JP2014157461A - ネットワークのアクセス制御システム、アクセス制御装置およびアクセス制御用プログラム - Google Patents

ネットワークのアクセス制御システム、アクセス制御装置およびアクセス制御用プログラム Download PDF

Info

Publication number
JP2014157461A
JP2014157461A JP2013027611A JP2013027611A JP2014157461A JP 2014157461 A JP2014157461 A JP 2014157461A JP 2013027611 A JP2013027611 A JP 2013027611A JP 2013027611 A JP2013027611 A JP 2013027611A JP 2014157461 A JP2014157461 A JP 2014157461A
Authority
JP
Japan
Prior art keywords
right information
access right
access
mobile terminal
variable
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2013027611A
Other languages
English (en)
Inventor
Katsuya Ishino
勝也 石野
Sailsbury David
ソールズベリー デイビッド
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Star Micronics Co Ltd
Original Assignee
Star Micronics Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Star Micronics Co Ltd filed Critical Star Micronics Co Ltd
Priority to JP2013027611A priority Critical patent/JP2014157461A/ja
Priority to PCT/JP2014/052478 priority patent/WO2014125956A1/ja
Publication of JP2014157461A publication Critical patent/JP2014157461A/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/34User authentication involving the use of external additional devices, e.g. dongles or smart cards
    • G06F21/35User authentication involving the use of external additional devices, e.g. dongles or smart cards communicating wirelessly
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/42User authentication using separate channels for security data
    • G06F21/43User authentication using separate channels for security data wireless channels
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/02Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
    • H04W84/10Small scale networks; Flat hierarchical networks
    • H04W84/12WLAN [Wireless Local Area Networks]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/80Services using short range communication, e.g. near-field communication [NFC], radio-frequency identification [RFID] or low energy communication

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Signal Processing (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

【課題】正当なアクセス権を持った現職の従業員のみがネットワークに接続できるようにすることにより、セキュリティを向上させることができるようにする。
【解決手段】Webサーバ1とモバイル端末2とルータ3とを備えたネットワークシステムにおいて、モバイル端末2からネットワーク接続してWebサーバ1にアクセスをする際にアクセス権情報として使用するIDとPASSのうち少なくとも一方を繰り返し発行して設定する機能をルータ3が備え、随時変更してルータ3に設定される可変のアクセス権情報をNFC通信によりモバイル端末2にも設定しなければネットワーク接続ができないようにすることにより、NFC通信を通じて可変のアクセス権情報を随時設定可能な現職の従業員が持つモバイル端末2でなければWebサーバ1へのアクセスができないようにする。
【選択図】図1

Description

本発明は、ネットワークのアクセス制御システム、アクセス制御装置およびアクセス制御用プログラムに関し、特に、無線LANルータを通してモバイル式のクライアント端末(以下、モバイル端末という)をネットワーク上のサーバに接続するネットワークシステムにおいて、モバイル端末からサーバへのアクセスを制御するシステムに用いて好適なものである。
現状、世の中には、通常のルータ機能に無線アクセスポイント機能が付加された無線LANルータが広く普及している(例えば、特許文献1,2参照)。ここで、ルータ機能とは、有線LANとインターネットとの間を仲立ちする機能をいう。また、無線アクセスポイント機能とは、無線LANで接続するモバイル端末のために、無線LANと有線LANとを相互変換する機能をいう。
また、昨今ではスマートフォンやタブレットといったモバイル端末も広く普及し、会社の業務においてもモバイル端末を利用することが増えている。特に現在はBYOD(Bring Your Own Device)が普及しており、従業員が個人保有のモバイル端末を職場に持ち込み、モバイル端末を業務に使用することが増えている。例えば、モバイル端末からサーバにアクセスし、サーバ上の情報を活用して業務を遂行することが行われている。このときモバイル端末からのアクセスを無線LAN経由で行えるようにするために、無線LANルータが使用される。
サーバは、社内の有線LAN上に設置される場合もあるし(以下、この場合のサーバを社内サーバという)、インターネット上に設置される場合もある(以下、この場合のサーバをWebサーバという)。社内にいる従業員がモバイル端末から社内サーバまたはWebサーバのどちらにアクセスする場合も、無線LANルータを経由してアクセスすることが必要となる。また、社内の有線LAN上に社内サーバを設けている場合には、社外にいる従業員がモバイル端末からインターネット経由で社内サーバにアクセスする場合もある。このような社外から社内へのアクセスの場合も、無線LANルータを経由することが必要である。
前述のネットワークシステムにおいては、サーバへのアクセス権を従業員のみに限定することにより、セキュリティを確保する必要がある。そのために、無線LANルータ(以下、単にルータという)にIDとPASSWORD(以下、単にPASSという)を設定し、従業員は自らの保有するモバイル端末にルータのIDとPASSを手動で入力するようにしていた。すなわち、ルータのIDとPASSをモバイル端末に入力しない限りはネットワーク接続ができないため、ルータのIDとPASSを従業員のみに通知することで、従業員以外はサーバにアクセスできないネットワークを構築していた。
特開2008−146556号公報 特開2011−249889号公報
しかしながら、従業員が自分のモバイル端末に一度IDとPASSを入力すれば、それ以降はIDとPASSを入力することなく、ネットワークにモバイル端末を接続してサーバにアクセスすることが可能となる。よって、正当なアクセス権を失ったはずの元従業員も、簡単にネットワークに接続することが可能となり、サーバに記憶されている社内の重要情報を盗み見られてしまう恐れがあるという問題があった。
本発明は、このような問題を解決するために成されたものであり、正当なアクセス権を持った現職の従業員のみがネットワークに接続できるようにすることにより、セキュリティを向上させることができるようにすることを目的とする。
上記した課題を解決するために、本発明では、モバイル端末とルータとサーバとを備えたネットワークシステムにおいて、モバイル端末からネットワーク接続をする際にアクセス権情報として使用するルータのIDとパスワードのうち、少なくとも一方を繰り返し発行してネットワーク上に設定し、当該設定した可変のアクセス権情報をモバイル端末に通知して設定するようにしている。
上記のように構成した本発明によれば、ネットワーク接続に必要な可変のアクセス権情報が随時発行されてネットワーク上に設定されるので、そのように随時変更されるアクセス権情報を設定したモバイル端末でなければネットワークへの接続はできなくなる。そのため、現職の従業員が使用するモバイル端末に対してのみ随時変更されるアクセス権情報を通知して設定するようにすれば、通知が行われなくなった元従業員のモバイル端末からはネットワークへの接続を行うことができなくなる。これにより、正当なアクセス権を持った現職の従業員のみがネットワークに接続してサーバにアクセスすることができるようになり、セキュリティを向上させることができる。
第1の実施形態によるネットワークのアクセス制御システムの概略構成例を示す図である。 第1の実施形態によるモバイル端末、ルータおよびNFCリーダライタのハードウェア構成を示す図である。 第1の実施形態によるモバイル端末、ルータおよびNFCリーダライタの機能構成を示す図である。 第2の実施形態によるネットワークのアクセス制御システムの概略構成例を示す図である。 第2の実施形態によるモバイル端末、ルータおよびNFCリーダライタのハードウェア構成を示す図である。 第2の実施形態によるモバイル端末、ルータおよびNFCリーダライタの機能構成を示す図である。 第3の実施形態によるネットワークのアクセス制御システムの概略構成例を示す図である。 第3の実施形態によるモバイル端末、ルータ、NFCリーダライタおよびアクセス制御装置のハードウェア構成を示す図である。 第3の実施形態によるモバイル端末、ルータ、NFCリーダライタおよびアクセス制御装置の機能構成を示す図である。 第4の実施形態によるネットワークのアクセス制御システムの概略構成例を示す図である。 第5の実施形態によるモバイル端末、ルータおよびNFCリーダライタの機能構成を示す図である。 第6の実施形態によるネットワークのアクセス制御システムの概略構成例を示す図である。 第6の実施形態によるルータおよびプリンタのハードウェア構成を示す図である。 第6の実施形態によるルータおよびプリンタの機能構成を示す図である。
(第1の実施形態)
以下、本発明の第1の実施形態を図面に基づいて説明する。図1は、第1の実施形態によるネットワークのアクセス制御システムの概略構成例を示す図である。図1に示すように、第1の実施形態によるアクセス制御システムは、Webサーバ1、モバイル端末2、ルータ3およびNFCリーダライタ4を備えて構成されている。
ここで、Webサーバ1とルータ3との間はインターネット100で接続されている。また、モバイル端末2とルータ3との間は無線LAN200により接続されている。また、ルータ3とNFCリーダライタ4との間はUSB(Universal Serial Bus)等の有線ケーブル300により接続されている。さらに、モバイル端末2とNFCリーダライタ4との間はNFC(Near Field Communication)で無線通信が可能に構成されている。
第1の実施形態によるアクセス制御システムでは、モバイル端末2から無線LAN200を介してルータ3に接続し、当該ルータ3を介してインターネット100上のWebサーバ1に対してアクセスを行う際に、モバイル端末2からWebサーバ1へのネットワーク接続をIDとPASSにより制御する。
すなわち、第1の実施形態では、ルータ3において可変のアクセス権情報(IDおよびPASS)を発行して当該ルータ3に設定する。また、ルータ3に設定した可変のアクセス権情報をNFCリーダライタ4を介してNFC通信によりモバイル端末2に通知し、当該モバイル端末2にも可変のアクセス権情報を設定する。そして、モバイル端末2からルータ3を介してWebサーバ1にアクセスするときは、以上のようにしてモバイル端末2およびルータ3に設定した可変のアクセス権情報を用いて認証を実行する。
図2は、第1の実施形態によるアクセス制御システムの構成要素であるモバイル端末2、ルータ3およびNFCリーダライタ4のハードウェア構成を示す図である。図2に示すように、モバイル端末2は、そのハードウェア構成として、CPU201、無線LAN用I/F202、液晶ディスプレイ等の表示部203、タッチパネル等の入力部204、ROM205、RAM206、不揮発性メモリ207およびNFCリーダ208を備えている。
また、ルータ3は、そのハードウェア構成として、CPU301、インターネット用I/F302、無線LAN用I/F303、ケーブル用I/F304、ROM305、RAM306および不揮発性メモリ307を備えている。また、NFCリーダライタ4は、そのハードウェア構成として、CPU401、ケーブル用I/F402、ROM403、RAM404、不揮発性メモリ405およびNFCタグ406を備えている。
図3は、第1の実施形態によるアクセス制御システムの構成要素であるモバイル端末2、ルータ3およびNFCリーダライタ4の機能構成例を示すブロック図である。なお、この図3では、図2に示したハードウェア構成の一部もあわせて示している。
図3に示すように、モバイル端末2は、その機能構成として、アクセス権情報記録部21およびアクセス処理部22を備えている。ここで、アクセス権情報記録部21およびアクセス処理部22の機能は、図2に示したCPU201の制御に従って、ROM205、RAM206または不揮発性メモリ207に記憶されたアクセス制御用プログラムが動作することによって実現される。
また、ルータ3は、その機能構成として、アクセス権情報発行部30、アクセス権情報設定部31、アクセス権情報通知部32、照合部33およびルーティング部34を備えている。ここで、アクセス権情報発行部30、アクセス権情報設定部31、アクセス権情報通知部32および照合部33の機能は、図2に示したCPU301の制御に従って、ROM305、RAM306または不揮発性メモリ307に記憶されたアクセス制御用プログラムが動作することによって実現される。
また、NFCリーダライタ4は、その機能構成として、アクセス権情報記録部41を備えている。ここで、アクセス権情報記録部41の機能は、図2に示したCPU401の制御に従って、ROM403、RAM404または不揮発性メモリ405に記憶されたアクセス制御用プログラムが動作することによって実現される。
ルータ3のアクセス権情報発行部30は、モバイル端末2からネットワーク接続してWebサーバ1にアクセスをする際にアクセス権情報として使用するIDとPASSを繰り返し発行する。アクセス権情報発行部30で発行されたIDとPASSは、アクセス権情報設定部31に送信される。そしてアクセス権情報設定部31によって、不揮発性メモリ307にIDとPASSを記録する。これにより、不揮発性メモリ307にアクセス権情報を設定することができる。すなわち、アクセス権情報発行部30は、Webサーバ1とモバイル端末2とを繋ぐネットワーク上にあるルータ3にてIDとPASSを可変のアクセス権情報として繰り返し発行するものとして機能する。また、アクセス権情報設定部31は、アクセス権情報発行部30が発行した可変のアクセス権情報をルータ3自身に都度設定するものとして機能する。
繰り返しのタイミングは、所定の時間間隔毎の定期的なものでもよいし、非定期的なものでもよい。例えば、アクセス権情報発行部30は、毎日決められた時刻(例えば、午前0時)に可変のIDとPASSの両方を発行し、アクセス権情報設定部31が不揮発性メモリ307にIDとPASSを設定する。なお、ここではIDとPASSの両方を繰り返し発行する例について説明したが、何れか一方のみを可変のアクセス権情報とし、他方を固定のアクセス権情報としてもよい。
アクセス権情報通知部32は、アクセス権情報発行部30により発行された可変のアクセス権情報(IDとPASS)をモバイル端末2に通知する。第1の実施形態では、アクセス権情報通知部32は、アクセス権情報発行部30により発行された可変のアクセス権情報をNFCリーダライタ4に送信してNFCタグ406に記録させることにより、NFCタグ406の読み取りを通じて可変のアクセス権情報をモバイル端末2に通知する。
すなわち、アクセス権情報通知部32は、アクセス権情報発行部30により発行された可変のアクセス権情報を、ケーブル用I/F部304,402を介してNFCリーダライタ4に送信する。NFCリーダライタ4のアクセス権情報記録部41は、ルータ3から送信されてきた可変のアクセス権情報をNFCタグ406に記録する。NFCタグ406に記録された可変のアクセス権情報は、モバイル端末2のNFCリーダ208により読み取られ、アクセス権情報記録部21に供給される。
モバイル端末2のアクセス権情報記録部21は、NFCリーダ208によりNFCタグ406から読み取られた(つまり、ルータ3のアクセス権情報通知部32により通知された)可変のアクセス権情報を不揮発性メモリ207に記録する。アクセス権情報記録部21が新しいアクセス権情報を不揮発性メモリ207に記録する際、古いアクセス権情報は上書きにより削除する。なお、古いアクセス権情報は上書きによる削除を行わず、不揮発性メモリ207内に残しておいてもよい。
モバイル端末2のアクセス処理部22は、ルータ3を介してWebサーバ1に対するアクセスに関する処理を実行する。このときアクセス処理部22は、Webサーバ1のURL(Uniform Resource Locator)をルータ3に送信するとともに、不揮発性メモリ207に記憶されている可変のアクセス権情報をルータ3に送信してアクセスに関する処理を実行する。
ルータ3の照合部33は、モバイル端末2から送信されてきた可変のアクセス権情報(IDおよびPASS)と、不揮発性メモリ307に記憶されている可変のアクセス権情報(IDおよびPASS)とを照合し、両者が一致する場合にWebサーバ1へのアクセスを許可する。ルーティング部34は、照合部33によりWebサーバ1へのアクセスが許可された場合に、公知のルーティング処理を行ってWebサーバ1へのアクセスを実行する。
以上詳しく説明したように、第1の実施形態では、モバイル端末2からネットワーク接続してWebサーバ1にアクセスをする際にアクセス権情報として使用するIDとPASSの少なくとも一方をルータ3が繰り返し発行し、ルータ3自身に都度設定するようにしている。そして、ルータ3に設定した可変のアクセス権情報を、NFCタグ406を介してモバイル端末2に通知し、モバイル端末2にも都度設定するようにしている。
このように構成した第1の実施形態によれば、ネットワーク接続に必要な可変のアクセス権情報が随時発行されてルータ3に設定されるので、そのように随時変更されるアクセス権情報を設定したモバイル端末2でなければネットワーク接続はできなくなる。ここで、可変のアクセス権情報をモバイル端末2に通知するために用いられるNFCリーダライタ4は社内に設置されるので、社内への立ち入りを許可された現職の従業員でなければ、自分の使用するモバイル端末2に可変のアクセス権情報を設定することはできない。そのため、元従業員のモバイル端末からネットワーク接続してWebサーバ1へのアクセスを行うことはできず、正当なアクセス権を持った現職の従業員のみがモバイル端末2からWebサーバ1にアクセスすることができるようになる。これにより、セキュリティを向上させることができる。
(第2の実施形態)
次に、本発明の第2の実施形態を図面に基づいて説明する。図4は、第2の実施形態によるネットワークのアクセス制御システムの概略構成例を示す図である。なお、この図4において、図1に示した符号と同一の符号を付したものは同一の機能を有するものであるので、ここでは重複する説明を省略する。
図4に示すように、第2の実施形態によるアクセス制御システムは、図1に示したWebサーバ1の代わりに社内サーバ5を備えている。ここで、モバイル端末2とルータ3との間はインターネット100で接続されている。また、ルータ3と社内サーバ5との間は有線LAN400により接続されている。また、ルータ3とNFCリーダライタ4との間は有線のケーブル300により接続されている。さらに、モバイル端末2とNFCリーダライタ4との間はNFCで無線通信が可能に構成されている。なお、第2の実施形態によるルータはVPN(Virtual Private Network)機能を有するルータでもよい。
第2の実施形態によるアクセス制御システムでは、モバイル端末2からインターネット100を介してルータ3に接続し、当該ルータ3を介して有線LAN400上の社内サーバ5に対してアクセスを行う際に、モバイル端末2から社内サーバ5へのネットワーク接続をIDとPASSにより制御する。
すなわち、第2の実施形態では、ルータ3において可変のアクセス権情報(IDおよびPASS)を発行して当該ルータ3に設定する。また、ルータ3に設定した可変のアクセス権情報をNFCリーダライタ4を介してNFC通信によりモバイル端末2に通知し、当該モバイル端末2にも可変のアクセス権情報を設定する。そして、モバイル端末2からルータ3を介して社内サーバ5にアクセスするときは、以上のようにしてモバイル端末2およびルータ3に設定した可変のアクセス権情報を用いて認証を実行する。
図5は、第2の実施形態によるアクセス制御システムの構成要素であるモバイル端末2、ルータ3およびNFCリーダライタ4のハードウェア構成を示す図である。なお、この図5において、図2に示した符号と同一の符号を付したものは同一の機能を有するものであるので、ここでは重複する説明を省略する。
図5に示すように、モバイル端末2は、そのハードウェア構成として、無線LAN用I/F202の代わりにインターネット用I/F212を備えている。ルータ3は、図2に示した構成に加えて有線LAN用I/F308を更に備えている。なお、NFCリーダライタ4のハードウェア構成は、図2に示したものと同様である。
図6は、第2の実施形態によるモバイル端末2、ルータ3およびNFCリーダライタ4の機能構成例を示すブロック図である。なお、この図6において、図3に示した符号と同一の符号を付したものは同一の機能を有するものであるので、ここでは重複する説明を省略する。図6に示すように、モバイル端末2、ルータ3およびNFCリーダライタ4が備える機能構成は、図3に示したものと同様である。
図6に示す第2の実施形態では、モバイル端末2のアクセス処理部22は、ルータ3を介して社内サーバ5に対するアクセスに関する処理を実行する。このときアクセス処理部22は、インターネット用I/F212およびインターネット100を介して社内サーバ5のURLをルータ3に送信するとともに、不揮発性メモリ207に記憶されている可変のアクセス権情報をルータ3に送信してアクセスに関する処理を実行する。
ルータ3では、インターネット用I/F302を介してモバイル端末2から社内サーバ5のURLおよび可変のアクセス権情報を受信する。そして、照合部33は、モバイル端末2から送信されてきた可変のアクセス権情報(IDおよびPASS)と、不揮発性メモリ307に記憶されている可変のアクセス権情報(IDおよびPASS)とを照合し、両者が一致する場合に社内サーバ5へのアクセスを許可する。ルーティング部34は、照合部33により社内サーバ5へのアクセスが許可された場合に、公知のルーティング処理を行うことにより、有線LAN用I/F308を介して社内サーバ5へのアクセスを実行する。
このように構成した第2の実施形態においても第1の実施形態と同様に、ネットワーク接続に必要な可変のアクセス権情報が随時発行されてルータ3に設定されるので、そのように随時変更されるアクセス権情報を記録したモバイル端末2でなければネットワーク接続はできなくなる。そのため、元従業員のモバイル端末からネットワーク接続して社内サーバ5へのアクセスを行うことはできず、正当なアクセス権を持った現職の従業員のみがモバイル端末2から社内サーバ5にアクセスすることが接続できるようになる。これにより、セキュリティを向上させることができる。
なお、ここでは第1の実施形態と第2の実施形態とを分けて説明したが、第1の実施形態において、第2の実施形態のようにルータ3に有線LAN400を介して接続された社内サーバ5にアクセスすることも可能である。つまり、モバイル端末2からルータ3に無線LAN200で接続し、ルータ3に有線LAN400を介して接続された社内サーバ5にアクセスすることも可能である。この場合のアクセスの制御には、可変のアクセス権情報を用いることが可能である。
また、上記第1および第2の実施形態では、ルータ3が自らのトリガで(所定の時刻になったときに)アクセス権情報を変更する例について説明したが、本発明はこれに限定されない。例えば、社内サーバ5からルータ3に変更指令を出力することにより、アクセス権情報を変更するようにしてもよい。
また、上記第1および第2の実施形態では、ルータ3がアクセス権情報発行部30を備え、ルータ3で発生した可変のアクセス権情報をルータ3自身に設定する例について説明したが、本発明はこれに限定されない。例えば、社内サーバ5にアクセス権情報発行部30を備え、社内サーバ5で発行した可変のアクセス権情報をルータ3およびNFCリーダライタ4に送信するようにしてもよい。あるいは、Webサーバ1にアクセス権情報発行部30を備え、Webサーバ1で発行した可変のアクセス権情報をルータ3およびNFCリーダライタ4に送信するようにしてもよい。
また、上記第1および第2の実施形態では、ルータ3とNFCリーダライタ4を別々に設ける例について説明したが、本発明はこれに限定されない。ルータ3内にNFCリーダライタ4の各構成要素を含めることで、ルータ3とNFCリーダライタ4とを一体としてもよい。
(第3の実施形態)
次に、本発明の第3の実施形態を図面に基づいて説明する。図7は、第3の実施形態によるネットワークのアクセス制御システムの概略構成例を示す図である。なお、この図7において、図1に示した符号と同一の符号を付したものは同一の機能を有するものであるので、ここでは重複する説明を省略する。
図7に示すように、第3の実施形態によるアクセス制御システムは、Webサーバ1、モバイル端末2、ルータ3’、NFCリーダライタ4およびアクセス制御装置6を備えて構成されている。ルータ3の代わりにルータ3’を設け、ルータ3’とインターネット100との間にアクセス制御装置6を設けているところが第1の実施形態と異なっている。
ここで、Webサーバ1とアクセス制御装置6との間はインターネット100で接続されている。また、モバイル端末2とルータ3’との間は無線LAN200により接続されている。また、ルータ3’とアクセス制御装置6との間は有線のケーブル301で接続されている。また、アクセス制御装置6とNFCリーダライタ4との間も有線のケーブル302により接続されている。さらに、モバイル端末2とNFCリーダライタ4との間はNFCで無線通信が可能に構成されている。
第3の実施形態によるアクセス制御システムでは、モバイル端末2から無線LAN200を介してルータ3’に接続し、当該でルータ3’とこれに接続されたアクセス制御装置6を介してインターネット100上のWebサーバ1に対してアクセスを行う際に、モバイル端末2からWebサーバ1へのネットワーク接続をIDとPASSにより制御する。ここで、ルータ3’には固定のアクセス権情報が設定されている。また、アクセス制御装置6にて繰り返し発行された可変のアクセス権情報がアクセス制御装置6に都度設定されるようになっている。
すなわち、第3の実施形態では、アクセス制御装置6において可変のアクセス権情報(IDおよびPASS)を発行する。そして、発行した可変のアクセス権情報をアクセス制御装置6に設定する。また、アクセス制御装置6に設定した可変のアクセス権情報をNFCリーダライタ4を介してNFC通信によりモバイル端末2に通知し、当該モバイル端末2にも可変のアクセス権情報を記録する。一方、ルータ3’には固定のアクセス権情報をあらかじめ設定しておき、モバイル端末2にもルータ3’の固定のアクセス権情報をあらかじめ記録しておく。なお、アクセス制御装置6によって発行される可変のアクセス権情報は、ルータ3’に設定される固定のアクセス権情報と同一となることがないよう制御される。
そして、モバイル端末2からルータ3’およびアクセス制御装置6を介してWebサーバ1にアクセスするときは、以上のようにしてモバイル端末2およびルータ3’に設定した固定のアクセス権情報と、モバイル端末2およびアクセス制御装置6に設定した可変のアクセス権情報とを用いて認証を実行する。
図8は、第3の実施形態によるアクセス制御システムの構成要素であるモバイル端末2、ルータ3’、NFCリーダライタ4およびアクセス制御装置6のハードウェア構成を示す図である。なお、この図8において、図2に示した符号と同一の符号を付したものは同一の機能を有するものであるので、ここでは重複する説明を省略する。
図8に示すように、モバイル端末2、ルータ3’およびNFCリーダライタ4のハードウェア構成は、図2に示したものと同様である。また、アクセス制御装置6は、そのハードウェア構成として、CPU601、ケーブル用I/F602、インターネット用I/F603、ROM604、RAM605および不揮発性メモリ606を備えている。
図9は、第3の実施形態によるモバイル端末2、ルータ3’、NFCリーダライタ4およびアクセス制御装置6の機能構成例を示すブロック図である。なお、この図9において、図3に示した符号と同一の符号を付したものは同一の機能を有するものであるので、ここでは重複する説明を省略する。図9に示すように、モバイル端末2およびNFCリーダライタ4が備える機能構成は、図3に示したものと同様である。
第3の実施形態において、ルータ3’は、市販されている通常の機能を有する無線LANルータである。すなわち、ルータ3’は、図3に示したアクセス権情報発行部30、アクセス権情報設定部31およびアクセス権情報通知部32の機能構成を備えていない。また、不揮発性メモリ307には、可変のアクセス権情報ではなく、あらかじめ設定された固定のアクセス権情報(IDおよびPASS)が記憶されている。この固定のアクセス権情報は、ユーザがルータ3’を操作して設定したものである。
アクセス制御装置6は、その機能構成として、アクセス権情報発行部60、アクセス権情報設定部61、アクセス権情報通知部62および照合部63を備えている。ここで、アクセス権情報発行部60、アクセス権情報設定部61、アクセス権情報通知部62および照合部63の機能は、図8に示したCPU601の制御に従って、ROM604、RAM605または不揮発性メモリ606に記憶されたアクセス制御用プログラムが動作することによって実現される。
アクセス権情報発行部60は、モバイル端末2からネットワーク接続してWebサーバ1にアクセスをする際にアクセス権情報として使用するIDとPASSを繰り返し発行する。アクセス権情報設定部61は、アクセス権情報発行部60が発行したアクセス権情報を不揮発性メモリ606に記録する。これにより、不揮発性メモリ606にアクセス権情報を設定することができる。すなわち、アクセス権情報発行部60は、Webサーバ1とモバイル端末2とを繋ぐネットワーク上にあるアクセス制御装置6にてIDとPASSを可変のアクセス権情報として繰り返し発行するものとして機能し、アクセス権情報設定部61は、当該発行した可変のアクセス権情報をアクセス制御装置6自身に都度設定するものとして機能する。
繰り返しのタイミングは、所定の時間間隔毎の定期的なものでもよいし、非定期的なものでもよい。例えば、アクセス権情報発行部60によって毎日決められた時刻(例えば、午前0時)に可変のIDとPASSの両方を発行し、アクセス権情報設定部61によって不揮発性メモリ606に可変のIDとPASSを記録する。なお、ここではIDとPASSの両方を繰り返し発行する例について説明したが、何れか一方のみを可変のアクセス権情報とし、他方を固定のアクセス権情報としてもよい。
アクセス権情報通知部62は、アクセス権情報発行部60により発行された可変のアクセス権情報(IDとPASS)をモバイル端末2に通知する。第3の実施形態でも第1の実施形態と同様、アクセス権情報通知部62は、アクセス権情報発行部60により発行された可変のアクセス権情報をNFCリーダライタ4に送信してNFCタグ406に記録させることにより、NFCタグ406の読み取りを通じて可変のアクセス権情報をモバイル端末2に通知する。
すなわち、アクセス権情報通知部62は、アクセス権情報発行部60により発行された可変のアクセス権情報を、ケーブル用I/F部602,402を介してNFCリーダライタ4に送信する。NFCリーダライタ4のアクセス権情報記録部41は、アクセス制御装置6から送信されてきた可変のアクセス権情報をNFCタグ406に記録する。NFCタグ406に記録された可変のアクセス権情報は、モバイル端末2のNFCリーダ208により読み取られ、アクセス権情報記録部21に供給される。
モバイル端末2のアクセス権情報記録部21は、NFCリーダ208によりNFCタグ406から読み取られた(つまり、アクセス制御装置6のアクセス権情報通知部62により通知された)可変のアクセス権情報を不揮発性メモリ207の所定の記憶領域に記録する。アクセス権情報記録部21が新しいアクセス権情報を不揮発性メモリ207に記録する際、古いアクセス権情報は上書きにより削除する。なお、古いアクセス権情報は上書きによる削除を行わず、不揮発性メモリ207内に残しておいてもよい。
なお、不揮発性メモリ207には、ルータ3’の不揮発性メモリ307に記憶されている固定のアクセス権情報と同じアクセス権情報も記憶されている。この固定のアクセス権情報は、ユーザがモバイル端末2を操作してあらかじめ設定したものである。
モバイル端末2のアクセス処理部22は、ルータ3’およびアクセス制御装置6を介してWebサーバ1に対するアクセスに関する処理を実行する。このときアクセス処理部22は、Webサーバ1のURLをルータ3’に送信するとともに、不揮発性メモリ207に記憶されている可変のアクセス権情報および固定のアクセス権情報をルータ3’に送信してアクセスに関する処理を実行する。
ルータ3’の照合部36は、モバイル端末2から送信されてきた固定のアクセス権情報(IDおよびPASS)と、不揮発性メモリ307に記憶されている固定のアクセス権情報(IDおよびPASS)とを照合し、両者が一致する場合にWebサーバ1へのアクセスを許可する。なお、照合部36では、モバイル端末2から送信されてきたアクセス権情報のうち、どちらが固定のものでどちらが可変のものかは判別できない。そこで、両方のアクセス権情報を不揮発性メモリ307に記憶されている固定のアクセス権情報と照合し、どちらかが一致すればWebサーバ1へのアクセスを許可する。
ルーティング部37は、照合部36によりWebサーバ1へのアクセスが許可された場合に、公知のルーティング処理を行ってWebサーバ1へのアクセスを実行する。ただし、第3の実施形態では、ルータ3’とWebサーバ1との間にアクセス制御装置6が設置されている。よって、ルーティング部37は、モバイル端末2から受信したWebサーバ1のURLをアクセス制御装置6に転送するとともに、可変のアクセス権情報(不揮発性メモリ307に記憶されている固定のアクセス権情報と一致しなかった方)をアクセス制御装置6に転送してアクセスに関する処理を実行する。
アクセス制御装置6の照合部63は、ルータ3’から送信されてきた可変のアクセス権情報(IDおよびPASS)と、不揮発性メモリ606に記憶されている可変のアクセス権情報(IDおよびPASS)とを照合し、両者が一致する場合にWebサーバ1へのアクセスを許可する。Webサーバ1へのアクセスを許可する場合、照合部63は、ルータ3’から送信されてきたURLを用いてWebサーバ1へのアクセスを実行する。
以上詳しく説明したように、第3の実施形態では、モバイル端末2からネットワーク接続してWebサーバ1にアクセスをする際にアクセス権情報として使用するIDとPASSの少なくとも一方をアクセス制御装置6が繰り返し発行し、アクセス制御装置6自身に都度設定するようにしている。そして、アクセス制御装置6に設定した可変のアクセス権情報を、NFCタグ406を介してモバイル端末2に通知し、モバイル端末2にも都度記録するようにしている。
このように構成した第3の実施形態においても第1の実施形態と同様に、アクセス制御装置6により随時変更されるアクセス権情報を設定したモバイル端末2でなければネットワーク接続はできなくなる。そのため、元従業員のモバイル端末からネットワーク接続してWebサーバ1へのアクセスを行うことはできず、正当なアクセス権を持った現職の従業員のみがモバイル端末2からWebサーバ1にアクセスすることができるようになる。これにより、セキュリティを向上させることができる。
また、第3の実施形態では、ルータ3’とは別に専用装置としてアクセス制御装置6を設け、当該アクセス制御装置6において可変のアクセス権情報を発行して設定するようにしている。そのため、ネットワーク上で既に使用しているルータ3’をそのまま利用することができる。第1および第2の実施形態の場合は、通常のルータ3’を使用しているユーザは、アクセス権情報の変更機能が追加されたルータ3を新たに購入して設置しなければならない。これはコストアップにつながる。また、ルータ3’に代えてルータ3を設定する際にネットワークの細かな設定を再度行う必要もあるため、ユーザとしては好ましくない。
これに対して、第3の実施形態によれば、現状のネットワーク(アクセス権情報の変更機能がない通常のルータ3’)を利用したまま、セキュリティを向上させることができる。アクセス制御装置6を新たに購入する必要はあるが、ルーティング機能やアクセスポイント機能がなく、可変のアクセス権情報を発行して設定する機能だけあれば良いので、安価に構成することが可能である。したがって、アクセス権情報の変更機能が付加されたルータ3を購入する場合に比べて、コストアップを抑制することができる。
(第4の実施形態)
次に、本発明の第4の実施形態を図面に基づいて説明する。図10は、第4の実施形態によるネットワークのアクセス制御システムの概略構成例を示す図である。なお、この図10において、図7に示した符号と同一の符号を付したものは同一の機能を有するものであるので、ここでは重複する説明を省略する。
図10に示すように、第4の実施形態によるアクセス制御システムは、図7に示したWebサーバ1の代わりに社内サーバ5を備えている。この社内サーバ5は、ルータ3’との間が有線LAN400により接続されている。
第4の実施形態によるアクセス制御システムでは、モバイル端末2からインターネット100を介してルータ3’に接続し、当該ルータ3’とこれに接続されたアクセス制御装置6を介して有線LAN400上の社内サーバ5に対してアクセスを行う際に、モバイル端末2から社内サーバ5へのネットワーク接続をIDとPASSにより制御する。ここで、ルータ3’には固定のアクセス権情報が設定されており、アクセス制御装置6にて繰り返し発行された可変のアクセス権情報がアクセス制御装置6に都度設定されるようになっている。
すなわち、第4の実施形態では、アクセス制御装置6において可変のアクセス権情報(IDおよびPASS)を発行して当該アクセス制御装置6に設定する。また、アクセス制御装置6に設定した可変のアクセス権情報をNFCリーダライタ4を介してNFC通信によりモバイル端末2に通知し、当該モバイル端末2にも可変のアクセス権情報を記録する。一方、ルータ3’には固定のアクセス権情報をあらかじめ設定しておき、モバイル端末2にも固定のアクセス権情報をあらかじめ記録しておく。
そして、モバイル端末2からアクセス制御装置6およびルータ3’を介して社内サーバ5にアクセスするときは、以上のようにしてモバイル端末2およびルータ3’に設定した固定のアクセス権情報と、モバイル端末2およびアクセス制御装置6に設定した可変のアクセス権情報とを用いて認証を実行する。
第4の実施形態によるアクセス制御システムの構成要素であるモバイル端末2、ルータ3’、NFCリーダライタ4およびアクセス制御装置6のハードウェア構成は、図8に示したものとほぼ同じである。ただし、モバイル端末2は、図5と同様に、無線LAN用I/F202の代わりにインターネット用I/F212を備えている。また、ルータ3’は、図5と同様に、有線LAN用I/F308を更に備えている。
また、第4の実施形態によるアクセス制御システムの構成要素であるモバイル端末2、ルータ3’、NFCリーダライタ4およびアクセス制御装置6の機能構成は、図9に示したものとほぼ同じである。ただし、モバイル端末2は、図6と同様に、無線LAN用I/F202の代わりにインターネット用I/F212を備えている。また、ルータ3’は、図6と同様に、無線LAN用I/F303の代わりにインターネット用I/F302を備えている。
上述した第3の実施形態に対する第4の実施形態の関係は、第1の実施形態に対する第2の実施形態の関係と同様であり、モバイル端末2からアクセスするネットワーク接続の経路を変えたものである。したがって、第4の実施形態に関する詳細な説明は割愛するが、第4の実施形態においても第2の実施形態と同様に、元従業員のモバイル端末からネットワーク接続して社内サーバ5へのアクセスを行うことはできなくなり、正当なアクセス権を持った現職の従業員のみがモバイル端末2から社内サーバ5にアクセスすることができるようになる。
また、第4の実施形態においても第3の実施形態と同様に、現状のネットワーク(アクセス権情報の変更機能がない通常のルータ3’)を利用したまま、セキュリティを向上させることができる。これにより、コストアップを抑制するとともに、ネットワークの細かな設定を再度行う必要もなくすことができる。
(第5の実施形態)
次に、本発明の第5の実施形態を図面に基づいて説明する。第5の実施形態は、上述した第1〜第4の実施形態に対する応用例であり、どの実施形態に対しても適用することが可能である。以下では便宜上、第1の実施形態に対する応用例として説明する。
図11は、第5の実施形態によるアクセス制御システムの構成要素であるモバイル端末2、ルータ3およびNFCリーダライタ4の機能構成を示す図である。なお、この図11において、図3に示した符号と同一の符号を付したものは同一の機能を有するものであるので、ここでは重複する説明を省略する。
図11に示すように、第5の実施形態において、モバイル端末2は、その機能構成として、アクセス権情報記録部21の代わりにアクセス権情報記録部21’を備えるとともに、アクセス権情報削除部23を更に備えている。また、ルータ3は、その機能構成として、アクセス権情報発行部30とアクセス権情報設定部31の代わりにアクセス権情報発行部30’とアクセス権情報設定部31’を備えている。
第1の実施形態では、アクセス権情報記録部21が新しいアクセス権情報を不揮発性メモリ207に記録する際に、古いアクセス権情報は上書きにより削除していた。これに対し、アクセス権情報記録部21’は、古いアクセス権情報も上書きせずに不揮発性メモリ207に残しておく。
その代り、アクセス権情報削除部23が、アクセス権情報記録部21’により不揮発性メモリ207に記録された可変のアクセス権情報を、ルータ3のアクセス権情報発行部30’により可変のアクセス権情報が発行される時間間隔に合わせて削除する。例えば、アクセス権情報発行部30’が毎日決められた時刻に可変のアクセス権情報を発行する場合、アクセス権情報削除部23も毎日決められた同じ時刻に不揮発性メモリ207より可変のアクセス権情報を削除する。
アクセス権情報発行部30’は、毎日決められた時刻に可変のアクセス権情報(IDとPASS)を発行する際に、可変のアクセス権情報であることを示す所定の識別子(フラグ)を付けて可変のアクセス権情報を発行する。上述のアクセス権情報記録部21’は、このフラグが付いているアクセス権情報を不揮発性メモリ207に記録する。また、アクセス権情報削除部23は、フラグが付いている可変のアクセス権情報のみを不揮発性メモリ207から削除する。
例えば、ユーザが社内ネットワークにおいてモバイル端末2をBYODとして使用すると同時に、家庭内ネットワークにおいてもモバイル端末2を使用する場合、不揮発性メモリ207には、社内ネットワークで使用する可変のアクセス権情報の他に、家庭内ネットワークで使用する固定のアクセス権情報も不揮発性メモリ207に記憶されている。
この場合において、アクセス権情報削除部23は、フラグが付いている社内ネットワーク用の可変のアクセス権情報のみを不揮発性メモリ207から削除し、フラグが付いていない家庭内ネットワーク用の固定のアクセス権情報については不揮発性メモリ207から削除しない。これにより、第5の実施形態によれば、1つのモバイル端末2を複数のネットワークで使用する場合にも、それぞれのネットワークにおけるセキュリティを固定または可変のアクセス権情報を用いて適切に管理することができる。
なお、第5の実施形態においてもアクセス権情報記録部21を設け、新しいアクセス権情報を不揮発性メモリ207に記録する際に、古いアクセス権情報を上書きにより削除するようにしてもよい。この場合、アクセス権情報削除部23は設けなくてもよい。ただし、上書きにより削除するアクセス権情報は、フラグが付いている可変のアクセス権情報のみである。
(第6の実施形態)
次に、本発明の第6の実施形態を図面に基づいて説明する。第6の実施形態も上述した第1〜第4の実施形態に対する応用例であり、どの実施形態に対しても適用することが可能である。以下では便宜上、第1の実施形態に対する応用例として説明する。
図12は、第6の実施形態によるアクセス制御システムの概略構成例を示す図である。図12に示すように、第6の実施形態によるアクセス制御システムは、Webサーバ1、モバイル端末2、ルータ3、NFCリーダライタ4およびプリンタ7を備えて構成されている。周辺機器としてプリンタ7が追加されている点が、図1に示した第1の実施形態と異なる。プリンタ7は、有線LAN400を介してルータ3と接続されている。
図13は、第6の実施形態によるネットワークのアクセス制御システムの構成要素であるルータ3およびプリンタ7のハードウェア構成例を示すブロック図である。なお、モバイル端末2およびNFCリーダライタ4のハードウェア構成については図2と同様なので、図示を省略してある。また、図13において、図2に示した符号と同一の符号を付したものは同一の機能を有するものであるので、ここでは重複する説明を省略する。
図13に示すように、ルータ3は、図2に示した構成に加えて有線LAN用I/F308を更に備えている。プリンタ7は、そのハードウェア構成として、CPU701、有線LAN用I/F702、印刷部703、ROM704、RAM705および不揮発性メモリ706を備えている。
図14は、第6の実施形態によるアクセス制御システムの構成要素であるルータ3およびプリンタ7の機能構成例を示すブロック図である。なお、モバイル端末2およびNFCリーダライタ4の機能構成については図3と同様なので、図示を省略してある。また、図14において、図3に示した符号と同一の符号を付したものは同一の機能を有するものであるので、ここでは重複する説明を省略する。
図14に示すように、プリンタ7は、その機能構成として、アクセス権情報記録部71およびアクセス処理部72を備えている。ここで、アクセス権情報記録部71およびアクセス処理部72の機能は、図13に示したCPU701の制御に従って、ROM704、RAM705または不揮発性メモリ706に記憶されたアクセス制御用プログラムが動作することによって実現される。
また、ルータ3は、その機能構成として、アクセス権情報発行部30”、アクセス権情報設定部31”、アクセス権情報通知部32”、照合部38およびルーティング部34を備えている。ここで、アクセス権情報発行部30”、アクセス権情報発行・設定部31”、アクセス権情報通知部32”および照合部38の機能は、図13に示したCPU301の制御に従って、ROM305、RAM306または不揮発性メモリ307に記憶されたアクセス制御用プログラムが動作することによって実現される。
ルータ3のアクセス権情報発行部30”は、複数のアクセス権情報を発行する。アクセス権情報設定部31”は、アクセス権情報発行部30”により発行された複数のアクセス権情報を不揮発性メモリ307に設定する。第6の実施形態では、アクセス権情報発行部30”によって可変のアクセス権情報を繰り返し発行し、発行されたアクセス権情報をアクセス権情報設定部31”によって不揮発性メモリ307に繰り返し設定する。それとともに、アクセス権情報発行部30”によって固定のアクセス権情報を発行し、発行された固定のアクセス権情報をアクセス権情報設定部31”によって不揮発性メモリ307に設定する。なお、固定のアクセス権情報については繰り返し発行する必要はない。
具体的には、アクセス権情報発行部30”は、モバイル端末2からネットワーク接続してWebサーバ1にアクセスをする際に可変のアクセス権情報として使用するIDとPASSを繰り返し発行する。そして、発行されたIDとPASSを不揮発性メモリ307にアクセス権情報設定部31”が設定する。さらに、アクセス権情報発行部30”は、プリンタ7からWebサーバ1にアクセスをする際に固定のアクセス権情報として使用するIDとPASSを発行し、発行されたIDとPASSを不揮発性メモリ307にアクセス権情報設定部31”が設定する。
なお、プリンタ7からWebサーバ1にアクセスをするのは、例えば、プリンタ7において検知したインク切れや紙切れ、紙詰まりなどのメンテナンス情報を送信するためである。Webサーバ1の代わりに社内サーバ5を設け、メンテナンス情報をプリンタ7から社内サーバ5に送信するようにしてもよい。
アクセス権情報通知部32”は、アクセス権情報発行部30”により発行された可変のアクセス権情報をモバイル端末2に通知するとともに、アクセス権情報発行部30”により発行された固定のアクセス権情報をプリンタ7に通知する。
可変のアクセス権情報をモバイル端末2に通知する方法は、第1の実施形態と同様である。すなわち、アクセス権情報通知部32”は、アクセス権情報発行部30”により発行された可変のアクセス権情報をNFCリーダライタ4に送信してNFCタグ406に記録させることにより、NFCタグ406の読み取りを通じて可変のアクセス権情報をモバイル端末2に通知する。
一方、固定のアクセス権情報については、有線LAN400への送信を通じてプリンタ7に通知する。すなわち、アクセス権情報通知部32”は、アクセス権情報発行部30”により発行された固定のアクセス権情報を、有線LAN400を通じてプリンタ7のIPアドレスに向けて送信することにより、アクセス権情報の通知を行う。なお、IPアドレスではなくMACアドレスを利用してもよい。
プリンタ7のアクセス権情報記録部71は、ルータ3から有線LAN400を介して送信されてきた固定のアクセス権情報を不揮発性メモリ706に記録する。これにより、プリンタ7にルータ3のアクセス権情報を設定することができる。なお、固定のアクセス権情報は、不揮発性メモリ706に一度記録しておけばよく、繰り返し記録し直す必要はない。例えば、プリンタ7を有線LAN400に最初に接続するときに、プリンタ7のIPアドレス等をルータ3に記録してアクセス権情報の発行を指示することにより、アクセス権情報発行部30”にてプリンタ7用のアクセス権情報を一度だけ発行するようにする。
プリンタ7のアクセス処理部72は、ルータ3を介してWebサーバ1に対するアクセスに関する処理を実行する。このときアクセス処理部72は、Webサーバ1のURLをルータ3に送信するとともに、不揮発性メモリ706に記憶されている固定のアクセス権情報をルータ3に送信してアクセスに関する処理を実行する。
ルータ3の照合部38は、プリンタ7から送信されてきた固定のアクセス権情報と、不揮発性メモリ307に記憶されている固定のアクセス権情報とを照合し、両者が一致する場合にWebサーバ1へのアクセスを許可する。また、照合部38は、モバイル端末2から送信されてきた可変のアクセス権情報と、不揮発性メモリ307に記憶されている可変のアクセス権情報とを照合し、両者が一致する場合にWebサーバ1へのアクセスを許可する。
以上のように構成した第6の実施形態によれば、従業員がBYODとして使用するモバイル端末2については可変のアクセス権情報を設定してセキュリティを確保することができる。さらに、従業員の所有物ではなく、従業員の退職と関係なく社内において共有物として常時使用されるプリンタ7等の周辺機器については、固定のアクセス権情報を設定することにより、プリンタ7の設定を毎日行う手間を省くことができる。
(その他の実施形態)
なお、上記第1〜第6の実施形態では、NFCタグ406の読み取りを通じて可変のアクセス権情報をモバイル端末2に通知する例について説明したが、本発明はこれに限定されない。例えば、NFCリーダライタ4の代わりにプリンタを設け、アクセス権情報発行部30,30’,30”,60により発行された可変のアクセス権情報をプリンタに送信して識別子(例えば、バーコードや二次元コードなど)として印刷させる。そして、印刷された識別子をモバイル端末2の識別子リーダまたはカメラで読み取ることにより、可変のアクセス権情報をモバイル端末2に通知するようにしてもよい。なお、上記では、NFCリーダライタ4の代わりにプリンタを設ける例を説明したが、プリンタはルータ3,3’もしくはアクセス制御装置6と一体として構成されてもよい。
また、上記第1〜第6の実施形態では、NFCタグ406の読み取りを通じて可変のアクセス権情報をモバイル端末2に通知する例について説明したが、本発明はこれに限定されない。NFCタグではなく、NFC通信の可能な他の記憶媒体を利用してもよい。また、NFC通信ではなく、他の近距離無線通信を行ってもよい。例えば、ブルートゥースや光信号、赤外線信号、音信号などを利用してアクセス権情報を通知してもよい。
また、NFCリーダライタ4とルータ3,3’の間、もしくはNFCリーダライタ4とアクセス制御装置6の間は有線ケーブルに限らず、無線接続されていてもよい。
また、上記第3および第4の実施形態では、ルータ3’に設定した固定のアクセス権情報とアクセス制御装置6に設定した可変のアクセス権情報との2つを用いてネットワーク接続の制御を行う例について説明したが、本発明はこれに限定されない。すなわち、ルータ3’に対するアクセス権情報の設定を不要とし、アクセス制御装置6に設定した可変のアクセス権情報のみを用いてネットワーク接続の制御を行うようにしてもよい。
その他、上記第1〜第6の実施形態は、何れも本発明を実施するにあたっての具体化の一例を示したものに過ぎず、これらによって本発明の技術的範囲が限定的に解釈されてはならないものである。すなわち、本発明はその要旨、またはその主要な特徴から逸脱することなく、様々な形で実施することができる。
1 Webサーバ
2 モバイル端末
3,3’ ルータ
4 NFCリーダライタ
5 社内サーバ
6 アクセス制御装置
7 プリンタ
21,21’ アクセス権情報記録部
30,30’,30” アクセス権情報発行部
31,31’,31” アクセス権情報設定部
32,32” アクセス権情報通知部
60 アクセス権情報発行部
61 アクセス権情報設定部
62 アクセス権情報通知部
71 アクセス権情報記録部

Claims (10)

  1. モバイル端末と無線LANルータとサーバとを備えたネットワークシステムにおいて、上記モバイル端末から上記無線LANルータを介して上記サーバに対して行われるアクセスを制御するアクセス制御システムであって、
    上記モバイル端末から上記サーバにアクセスをする際にアクセス権情報として使用するIDとパスワードのうち少なくとも一方を繰り返し発行するアクセス権情報発行部と、
    上記アクセス権情報発行部により発行された可変のアクセス権情報を上記モバイル端末と上記サーバとの間のネットワーク上に設定するアクセス権情報設定部と、
    上記アクセス権情報発行部により発行された上記可変のアクセス権情報を上記モバイル端末に通知するアクセス権情報通知部と、
    上記アクセス権情報通知部により通知された上記可変のアクセス権情報を上記モバイル端末に記録するアクセス権情報記録部とを備えたことを特徴とするネットワークのアクセス制御システム。
  2. 上記アクセス権情報発行部と上記アクセス権情報設定部は、上記無線LANルータに接続されたアクセス制御装置に備えられ、上記無線LANルータには固定のアクセス権情報が設定されており、上記ネットワーク上にある上記アクセス制御装置にて繰り返し発行した上記可変のアクセス権情報を上記アクセス制御装置に都度設定することを特徴とする請求項1に記載のネットワークのアクセス制御システム。
  3. 上記アクセス権情報発行部と上記アクセス権情報設定部は、LANとインターネットとの間に設置された上記無線LANルータに備えられ、上記ネットワーク上にある上記無線LANルータにて繰り返し発行した上記可変のアクセス権情報を上記無線LANルータに都度設定することを特徴とする請求項1に記載のネットワークのアクセス制御システム。
  4. 上記アクセス権情報発行部は、所定の時間間隔毎に上記可変のアクセス権情報を繰り返し発行するようになされており、
    上記アクセス権情報記録部により上記モバイル端末に記録された上記可変のアクセス権情報を、上記アクセス権情報発行部により上記可変のアクセス権情報が発行される時間間隔に合わせて削除するアクセス権情報削除部を更に備えたことを特徴とする請求項2または3に記載のネットワークのアクセス制御システム。
  5. 上記アクセス権情報発行部は、上記可変のアクセス権情報であることを示す所定の識別子を付けて上記可変のアクセス権情報を繰り返し発行し、
    上記アクセス権情報削除部は、上記識別子が付いている上記可変のアクセス権情報のみを削除することを特徴とする請求項4に記載のネットワークのアクセス制御システム。
  6. 上記アクセス権情報発行部は、上記可変のアクセス権情報を繰り返し発行するとともに、固定のアクセス権情報を発行し、
    上記アクセス権情報設定部は、上記可変のアクセス権情報を繰り返し設定するとともに、上記固定のアクセス権情報を設定し、
    上記アクセス権情報通知部は、上記アクセス権情報発行部により発行された上記可変のアクセス権情報を上記モバイル端末に通知するとともに、上記アクセス権情報発行部により発行された上記固定のアクセス権情報を上記ネットワーク上に設置された周辺機器に通知することを特徴とする請求項2または3に記載のネットワークのアクセス制御システム。
  7. 上記アクセス権情報通知部は、上記アクセス権情報発行部により発行された上記可変のアクセス権情報をNFCリーダライタに送信してNFC記憶媒体に記録させ、
    上記アクセス権情報記録部は、上記NFCリーダライタにより上記NFC記憶媒体に記録された上記可変のアクセス権情報を読み取って上記モバイル端末に記録することを特徴とする請求項2または3に記載のネットワークのアクセス制御システム。
  8. 上記アクセス権情報通知部は、上記アクセス権情報発行部により発行された上記可変のアクセス権情報をプリンタに送信して識別子として印刷させ、
    上記アクセス権情報記録部は、上記プリンタにより印刷された識別子を読み取って上記可変のアクセス権情報を上記モバイル端末に記録することを特徴とする請求項2または3に記載のネットワークのアクセス制御システム。
  9. モバイル端末と無線LANルータとサーバとを備えたネットワークシステムにおいて、上記モバイル端末から上記無線LANルータを介して上記サーバに対して行われるアクセスを制御するアクセス制御装置であって、
    上記モバイル端末から上記サーバにアクセスをする際にアクセス権情報として使用するIDとパスワードのうち少なくとも一方を繰り返し発行するアクセス権情報発行部と、
    上記アクセス権情報発行部により発行された可変のアクセス権情報をネットワーク上に設定するアクセス権情報設定部と、
    上記アクセス権情報発行部により発行された上記可変のアクセス権情報を上記モバイル端末に通知するアクセス権情報通知部とを備えたことを特徴とするネットワークのアクセス制御装置。
  10. モバイル端末と無線LANルータとサーバとを備えたネットワークシステムにおいて、上記モバイル端末から上記無線LANルータを介して上記サーバに対して行われるアクセスを制御するためのアクセス制御用プログラムであって、
    上記モバイル端末から上記サーバにアクセスをする際にアクセス権情報として使用するIDとパスワードのうち少なくとも一方を繰り返し発行するアクセス権情報発行手段、
    上記アクセス権情報発行手段により発行された可変のアクセス権情報をネットワーク上に設定するアクセス権情報設定手段、および
    上記アクセス権情報発行手段により発行された上記可変のアクセス権情報を上記モバイル端末に通知するアクセス権情報通知手段
    としてコンピュータを機能させるためのネットワークのアクセス制御用プログラム。
JP2013027611A 2013-02-15 2013-02-15 ネットワークのアクセス制御システム、アクセス制御装置およびアクセス制御用プログラム Pending JP2014157461A (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2013027611A JP2014157461A (ja) 2013-02-15 2013-02-15 ネットワークのアクセス制御システム、アクセス制御装置およびアクセス制御用プログラム
PCT/JP2014/052478 WO2014125956A1 (ja) 2013-02-15 2014-02-04 ネットワークのアクセス制御システム、アクセス制御装置およびアクセス制御用プログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2013027611A JP2014157461A (ja) 2013-02-15 2013-02-15 ネットワークのアクセス制御システム、アクセス制御装置およびアクセス制御用プログラム

Publications (1)

Publication Number Publication Date
JP2014157461A true JP2014157461A (ja) 2014-08-28

Family

ID=51353964

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2013027611A Pending JP2014157461A (ja) 2013-02-15 2013-02-15 ネットワークのアクセス制御システム、アクセス制御装置およびアクセス制御用プログラム

Country Status (2)

Country Link
JP (1) JP2014157461A (ja)
WO (1) WO2014125956A1 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2017011586A (ja) * 2015-06-24 2017-01-12 株式会社リコー 中継装置、通信制御方法、及び通信制御システム

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106604278B (zh) * 2016-12-14 2020-10-13 炫彩互动网络科技有限公司 一种多权限的移动网络共享方法
CN109600242A (zh) * 2017-09-30 2019-04-09 美的智慧家居科技有限公司 用于家电配网的管理方法、家电、客户端及系统

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002032342A (ja) * 2000-07-17 2002-01-31 Isamu Maeda 情報端末確認とワンタイム・パスワード等による認証システム
JP4030369B2 (ja) * 2002-07-08 2008-01-09 シャープ株式会社 中継装置、端末およびネットワーク中継システム
WO2004105333A1 (ja) * 2003-05-22 2004-12-02 Fujitsu Limited 安全な仮想プライベート・ネットワーク
JP2006024037A (ja) * 2004-07-08 2006-01-26 Toshiba Corp 情報出力システム、情報出力方法、および情報出力プログラム
US7983180B2 (en) * 2005-05-13 2011-07-19 Cisco Technology, Inc. Triggered announcement from a gateway
JP4457102B2 (ja) * 2006-11-30 2010-04-28 みずほ情報総研株式会社 認証処理システム、認証処理方法及び認証処理プログラム
JP2008146556A (ja) * 2006-12-13 2008-06-26 Nec Computertechno Ltd プログラム配信装置、プログラム配信方法および配信プログラム
JP2009157772A (ja) * 2007-12-27 2009-07-16 Toppan Printing Co Ltd パスワード発生装置およびパスワード生成方法
JP5387078B2 (ja) * 2009-03-18 2014-01-15 株式会社リコー 情報処理装置および情報処理システム

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2017011586A (ja) * 2015-06-24 2017-01-12 株式会社リコー 中継装置、通信制御方法、及び通信制御システム

Also Published As

Publication number Publication date
WO2014125956A1 (ja) 2014-08-21

Similar Documents

Publication Publication Date Title
CN106856475B (zh) 授权服务器以及认证协作系统
US20180351958A1 (en) System, method for the system, and storage medium for the method
WO2014073363A1 (ja) ネットワーク印刷システムおよびネットワーク印刷用プログラム
US20150215297A1 (en) Devices, systems, and methods for device provisioning
US10860261B2 (en) Network printer detection and authentication for managed device deployment
JP6659170B2 (ja) 情報処理装置、情報処理方法及びプログラム
US10496342B2 (en) Printing system, method, and program for implementing service coordination among a plurality of security domains
JP2009193275A (ja) 認証装置、認証印刷システム、認証データ入力装置およびそれらの方法
JP5943971B2 (ja) 画像形成装置、遠隔操作の制御方法、コンピュータプログラム、及び記憶媒体
JP2014153805A (ja) 情報処理システム、情報処理装置、認証方法及びプログラム
JP2015532742A (ja) 仮想プリンタを用いた印刷制御装置及び方法、そして認証サーバ及びその認証方法
WO2014125956A1 (ja) ネットワークのアクセス制御システム、アクセス制御装置およびアクセス制御用プログラム
JP2015028704A (ja) サービス提供システム、サービス提供方法及びプログラム
JP2017212694A (ja) 情報処理装置、情報処理方法及びプログラム
JP2007004217A (ja) ネットワークプリントシステム
JP5501267B2 (ja) モバイルプリンティングシステム、および画像形成装置
JP6118128B2 (ja) 認証システム
EP3139535B1 (en) Information processing apparatus, communication method, and communication system
KR20160091625A (ko) 계층적 네트워크 제어 시스템 및 방법
KR101516217B1 (ko) 가상 터널기능을 이용한 개인 맞춤형 멀티미디어 서비스 방법 및 시스템
JP6093576B2 (ja) 無線lan接続自動化方法及び無線lan接続自動化システム
KR102468782B1 (ko) 복수 한도 선택을 지원하는 웹 기반 결제 서비스 제공 장치 및 방법, 그리고 시스템 및 컴퓨터 프로그램이 기록된 기록매체
JP5850324B2 (ja) シンクライアントシステム
KR101591053B1 (ko) 푸시 서비스를 이용한 원격제어 방법 및 그 시스템
JP2019115040A (ja) 情報処理システム、情報処理装置及び情報端末装置