JP2019168772A - 認証システム、認証方法およびプログラム - Google Patents

認証システム、認証方法およびプログラム Download PDF

Info

Publication number
JP2019168772A
JP2019168772A JP2018054211A JP2018054211A JP2019168772A JP 2019168772 A JP2019168772 A JP 2019168772A JP 2018054211 A JP2018054211 A JP 2018054211A JP 2018054211 A JP2018054211 A JP 2018054211A JP 2019168772 A JP2019168772 A JP 2019168772A
Authority
JP
Japan
Prior art keywords
authentication
authentication information
communication terminal
information management
time
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2018054211A
Other languages
English (en)
Other versions
JP7087515B2 (ja
Inventor
和将 竹村
Kazumasa Takemura
和将 竹村
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Ricoh Co Ltd
Original Assignee
Ricoh Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Ricoh Co Ltd filed Critical Ricoh Co Ltd
Priority to JP2018054211A priority Critical patent/JP7087515B2/ja
Publication of JP2019168772A publication Critical patent/JP2019168772A/ja
Application granted granted Critical
Publication of JP7087515B2 publication Critical patent/JP7087515B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Landscapes

  • Mobile Radio Communication Systems (AREA)

Abstract

【課題】通信端末および仲介装置の機能に依存することなく、意図したネットワークの接続および切断を実行可能な認証システム、認証方法及びプログラムを提供する。【解決手段】認証システム5は、記憶部14b及び認証情報管理部33を備える。記憶部は、所定の条件に応じて使用可否が変更される認証情報を記憶する。認証情報管理部は、記憶部に使用可能な認証情報が存在するか否かを判定する。認証システムは、通信端末70の認証処理に用いる認証情報を、通信端末に接続された無線LANアクセスポイント50(仲介装置)から取得する。そして、認証システムは、取得された認証情報が記憶部に存在すると判定された場合、無線LANアクセスポイントへ認証成功を示す認証結果を送信し、取得された認証情報が記憶部に存在しないと判定された場合、無線LANアクセスポイントへ認証失敗を示す認証結果を送信する。【選択図】図3

Description

本発明は、認証システム、認証方法およびプログラムに関する。
通信端末の無線LAN(Local Area Network)通信を仲介する無線LANアクセスポイントのSSID(Service Set Identifier)/PSK(Pre Shared Key)等の接続情報を、時間経過や管理者の操作をトリガーとして変更することで、通信端末が接続されたネットワークを強制的に切断させる技術が知られている。
また、通信端末にインストール可能なWi―Fiプロファイル等の認証情報に有効期限を含むことで、一定時間経過後に通信端末が接続されたネットワークを自動切断する技術が知られている。このような技術を用いて、通信端末を、限られた時間のみネットワークに接続させることが可能な時限付きネットワークシステムを実現することができる。
例えば、特許文献1は、認証サーバにおいて認証情報が変更された場合、無線LAN端末は、既存の認証情報を用いて接続した際に、認証サーバから新しい認証情報を取得し、新しい認証情報を用いて再度認証処理を行うことで、認証情報を自動で更新する内容を開示している。
しかしながら、上記の方法の場合、外部のアプリケーションから認証情報の変更を指示する必要があり、無線LAN端末(例えば、通信端末)においても専用のアプリケーションをインストールする必要があった。そのため、通信端末、および通信端末の通信を仲介する仲介装置の機能に依存することなく、意図したネットワークの接続および切断を実行することが困難であるという課題があった。
本発明に係る認証システムは、ネットワークを介して通信端末の認証処理を行う認証システムであって、前記認証処理に用いる認証情報を、前記通信端末の通信を仲介する仲介装置から取得する取得手段と、所定の条件に応じて使用可否が変更される認証情報を記憶する記憶手段と、前記記憶手段に使用可能な前記認証情報が存在するか否かを判定する判定手段と、前記取得された認証情報が前記記憶手段に存在すると判定された場合、前記仲介装置へ認証成功を示す認証結果を送信し、前記取得された認証情報が前記記憶手段に存在しないと判定された場合、前記仲介装置へ認証失敗を示す認証結果を送信する送信手段と、を備える。
本発明によれば、通信端末および仲介装置の機能に依存することなく、意図したネットワークの接続および切断を実行することができる。
第1の実施形態に係るネットワークシステムのシステム構成の一例を示す図である。 第1の実施形態に係るコンピュータのハードウエア構成の一例を示す図である。 第1の実施形態に係るネットワークシステムの機能構成の一例を示す図である。 第1の実施形態に係る端末情報管理テーブルの一例を示す図である。 第1の実施形態に係る認証情報管理テーブルの一例を示す図である。 第1の実施形態に係る時間情報管理テーブルの一例を示す図である。 第1の実施形態に係るネットワークシステムにおける認証情報の登録処理の一例を示すシーケンス図である。 第1の実施形態に係るネットワークシステムにおける通信端末の認証処理の一例を示すシーケンス図である。 第1の実施形態に係るネットワークシステムにおける接続された通信端末に対する再認証処理の一例を示すシーケンス図である。 第1の実施形態に係る認証システムにおける認証情報管理テーブルの更新処理の一例を示すフローチャートである。 第1の実施形態に係るネットワークシステムにおける接続された通信端末の再認証処理の一例を示すシーケンス図である。 第1の実施形態の変形例に係る時間情報管理テーブルの一例を示す図である。 第1の実施形態の変形例に係る認証システムにおける認証情報管理テーブルの更新処理の一例を示すフローチャートである。 第2の実施形態に係る認証情報管理テーブルの一例を示す図である。 第2の実施形態に係るネットワークシステムにおける接続された通信端末に対する再認証処理の一例を示すシーケンス図である。 第3の実施形態に係るネットワークシステムにおける接続された通信端末に対する再認証処理の一例を示すシーケンス図である。
以下、図面を参照しながら、発明を実施するための形態を説明する。なお、図面の説明において同一要素には同一符号を付し、重複する説明は省略する。
●第1の実施形態●
●システム構成
図1は、第1の実施形態に係るネットワークシステムのシステム構成の一例を示す図である。ネットワークシステム1は、通信端末および仲介装置の機能に依存することなく、意図したネットワークの接続および切断を実行することができるシステムである。ネットワークシステム1は、無線LANアクセスポイント50を介して、認証システム5によって認証された通信端末70の無線LAN通信を実現する。
ネットワークシステム1は、認証サーバ10、データベースサーバ30、無線LANアクセスポイント50(50a、50b、以下、区別する必要のないときは、無線LANアクセスポイント50とする。)、通信端末70(70a、70aa、70b、以下、区別する必要のないときは、通信端末70とする。)および管理者端末90によって構成される。
認証サーバ10およびデータベースサーバ30は、通信端末70が無線LANアクセスポイント50に接続するための認証処理を実行する認証システム5を構成する。認証システム5は、例えば、WPA−EAP(Wi-Fi Protected Access - Extensible Authentication Protocol)/WPA2―EAP(Wi-Fi Protected Access 2 - Extensible Authentication Protocol)(PEAP(Protected Extensible Authentication Protocol))による認証方式を用いて、通信端末70の認証処理を行う。
認証サーバ10は、通信端末70の認証処理を行うサーバ装置である。認証サーバ10は、通信端末70からの接続要求に応じて、データベースサーバ30へ、通信端末70の認証処理に用いる認証情報が存在するか否かの問い合わせを行う。認証サーバ10は、例えば、RADIUS(Remote Authentication Dial-In User Service)サーバである。
データベースサーバ30は、通信端末70の認証処理に用いる認証情報を管理するサーバ装置である。データベースサーバ30は、アプリケーションサーバとしての機能を担う。データベースサーバ30は、通信端末70の認証処理に用いる認証情報を、認証情報管理テーブル300に予め記憶している。データベースサーバ30は、例えば、LDAP(Lightweight Directory Access Protocol)サーバである。
なお、図1は、認証サーバ10とデータベースサーバ30が、別々の装置として設けられている構成を説明するが、認証サーバ10とデータベースサーバ30の機能を一台のサーバ装置で実現する構成であってもよい。また、図1は、認証システム5における認証方式が、EAP−PEAP方式を用いる例を説明するが、同じくIDおよびパスワードを用いて認証処理を行うEAP−TTLS(Extensible Authentication Protocol - Tunneled Transport Layer Security)方式、または電子証明書を用いて認証を行うEAP−TLS(Extensible Authentication Protocol - Transport Layer Security)方式を用いてもよい。
無線LANアクセスポイント50a、通信端末70aおよび通信端末70aaは、ローカルネットワークシステム3aを構成する。同様に、無線LANアクセスポイント50bおよび通信端末70bは、ローカルネットワークシステム3bを構成する。以下、区別する必要のないときは、ローカルネットワークシステム3とする。ローカルネットワーク3は、例えば、学校の教室または会議室等の閉じられた特定のエリアごとに形成されるネットワークである。
無線LANアクセスポイント50は、通信端末70の無線LAN通信を仲介するためのアクセスポイントである。無線LANアクセスポイント50は、通信端末70が無線LAN通信を行うための接続情報を生成する。接続情報は、例えば、SSID(Service Set Identifier)、パスワード、または暗号鍵(暗号化キー)等である。
また、無線LANアクセスポイント50は、認証システム5へ通信端末70の認証要求を行う。無線LANアクセスポイント50は、認証システム5によって認証された通信端末70と無線LAN接続を確立する。なお、無線LANアクセスポイント50は、例えば、スイッチングおよびコントローラ機能を備えた制御装置であってもよい。無線LANアクセスポイント50は、仲介装置の一例である。
通信端末70は、無線LANアクセスポイント50を介して、他の通信端末との無線LAN通信を行う。通信端末70は、例えば、ノートPC(Personal Computer)またはスマートフォン等の通信装置である。通信端末70は、画像処理機能を備えたMFP(Multifunction Peripheral:複合機)プリンタ、PJ(Projector:プロジェクタ)、IWB(Interactive White Board:相互通信が可能な電子式の黒板機能を有する白板)、デジタルサイネージ等の出力装置、HUD(Head Up Display)装置、スピーカ等の音響出力装置、産業機械、撮像装置、集音装置、医療機器、ネットワーク家電、携帯電話、タブレット端末、ウェアラブルPCまたはデスクトップPC等であってもよい。
なお、ローカルネットワークシステム3を構成する通信端末70の数は、これに限られない。また、ネットワークシステム1に含まれるローカルネットワークシステム3の数は、これに限られない。
管理者端末90は、ネットワークシステム1の管理者が使用する端末である。管理者端末90は、例えば、管理者の入力操作に基づいて、データベースサーバ30が管理する認証情報の設定または変更操作を行う。管理者端末90は、データベースサーバ30と同様にネットワーク2に接続してもよいし、無線LANアクセスポイント50を介して接続してもよい。管理者端末90は、例えば、ノートPC(Personal Computer)等の通信装置である。管理者端末90は、携帯電話、スマートフォン、タブレット端末、ウェアラブルPC、デスクトップPC等でもよい。
●ハードウエア構成
続いて、第1の実施形態に係る各装置のハードウエア構成について説明する。第1の実施形態に係る各装置のハードウエア構成は、一般的なコンピュータの構成を有する。ここでは、一般的なコンピュータのハードウエア構成例について説明する。なお、実施形態に係る各装置のハードウエア構成は、必要に応じて構成要素が追加または削除されてもよい。
図2は、第1の実施形態に係るコンピュータのハードウエア構成の一例を示す図である。コンピュータ1000は、CPU(Central Processing Unit)1001、ROM(Read Only Memory)1002、RAM(Random Access Memory)1003、ストレージ1004、キーボード1005、ディスプレイインターフェース(I/F)1006、メディアインターフェース(I/F)1007、ネットワークインターフェース(I/F)1008およびバス1009を備える。
CPU1001は、ROM1002またはストレージ1004等に格納された、本発明に係るプログラムまたはデータをRAM1003上に読み出し、処理を実行することで、コンピュータ1000の各機能を実現する演算装置である。例えば、認証システム5は、本発明に係るプログラムが実行されることによって本発明に係る認証方法を実現する。
ROM1002は、電源を切ってもプログラムまたはデータを保持することができる不揮発性のメモリである。ROM1002は、例えば、フラッシュROM等により構成される。ROM1002は、SDK(Software Development Kit)およびAPI(Application Programming Interface)等のアプリケーションをインストールしており、インストールされたアプリケーションを用いて、コンピュータ1000の機能またはネットワーク接続等を実現することが可能である。
RAM1003は、CPU1001のワークエリア等として用いられる揮発性のメモリである。ストレージ1004は、例えば、HDD(Hard Disk Drive)、SSD(Solid State Drive)等のストレージデバイスである。ストレージ1004は、例えば、OS(Operation System)、アプリケーションプログラムおよび各種データ等を記憶する。
キーボード1005は、文字、数値、各種指示等の入力のための複数のキーを備えた入力手段の一種である。入力手段は、キーボード1005のみならず、例えば、マウス、タッチパネルまたは音声入力装置等であってもよい。ディスプレイインターフェース(I/F)1006は、LCD(Liquid Crystal Display)等のディスプレイ1006aに対するカーソル、メニュー、ウィンドウ、文字または画像等の各種情報の表示を制御する。ディスプレイ1006aは、入力手段を備えたタッチパネルディスプレイであってもよい。
メディアインターフェース(I/F)1007は、USB(Universal Serial Bus)メモリ、メモリカード、光学ディスクまたはフラッシュメモリ等の記録メディア1007aに対するデータの読み出しまたは書き込み(記憶)を制御する。
ネットワークインターフェース(I/F)1008は、コンピュータ1000をネットワークに接続し、他のコンピュータや、電子機器等とデータの送受信を行うためのインターフェースである。ネットワークインターフェース(I/F)1008は、例えば、有線または無線LAN(Local Area Network)等の通信インターフェースである。また、ネットワークインターフェース(I/F)1008は、3G(3rd Generation)、LTE(Long Term Evolution)、4G(4rd Generation)、5G(5rd Generation)、Zigbee(登録商標)、BLE(Bluetooth(登録商標)Low Energy)、ミリ波無線通信の通信インターフェースを備えてもよい。
バス1009は、上記の各構成要素に共通に接続され、アドレス信号、データ信号、および各種制御信号等を伝送する。CPU1001、ROM1002、RAM1003、ストレージ1004、キーボード1005、ディスプレイインターフェース(I/F)1006、メディアインターフェース(I/F)1007およびネットワークインターフェース(I/F)は、バス1009を介して相互に接続されている。
●機能構成
図3は、第1の実施形態に係るネットワークシステムの機能構成の一例を示す図である。図3に示す認証サーバ10は、送受信部11、認証処理部12、タイマー処理部13、記憶・読出部14aおよび記憶部14bを含む。
送受信部11は、無線LANアクセスポイント50またはデータベースサーバ30との間でデータ(パケット情報)をやり取りする機能である。送受信部11は、例えば、ネットワーク2を介して無線LANアクセスポイント50から送信された、通信端末70の認証処理を要求する認証要求を受信する。また、送受信部11は、受信した認証要求情報に含まれる認証情報が、後述する認証情報管理テーブル300に存在するか否かを、データベースサーバ30へ問い合わせる。さらに、送受信部11は、認証処理部12による認証結果を、無線LANアクセスポイント50へ送信する。送受信部11は、例えば、図2に示したネットワークインターフェース(I/F)1008およびCPU1001によって実行されるプログラム等によって実現される。送受信部11は、取得手段および送信手段の一例である。
認証処理部12は、データベースサーバ30から受信した認証情報管理テーブル300に存在するか否かの判定結果に基づいて、通信端末70の認証処理を実行する機能である。認証情報管理テーブル300に送受信部11によって受信された認証要求に含まれる認証情報が存在する旨の判定結果を、データベースサーバ30から受信した場合、認証処理部12は、通信端末70の認証処理を実行する。そして、認証サーバ10は、認証成功を示す認証結果を、無線LANアクセスポイント50へ送信する。
一方で、認証情報管理テーブル300に送受信部11によって受信された認証要求に含まれる認証情報が存在しない旨の判定結果を、データベースサーバ30から受信した場合、認証処理部12は、通信端末70の認証処理を行わない。そして、認証サーバ10は、認証失敗を示す認証結果を、無線LANアクセスポイント50へ送信する。認証処理部12は、例えば、図2に示したCPU1001により実行されるプログラム等によって実現される。
タイマー処理部13は、データベースサーバ30へ認証情報の存在の有無を問い合わせるタイミングを計測する機能である。認証サーバ10は、例えば、タイマー処理部13によって計測された所定の時間ごとに、端末情報管理テーブル100に含まれる認証情報を照合するための認証情報確認要求を、データベースサーバ30へ送信する。タイマー処理部13は、例えば、図2に示したCPU1001により実行されるプログラム等によって実現される。
記憶・読出部14aは、記憶部14bに各種データを記憶し、記憶部14bから各種データを読み出す機能である。記憶・読出部14aおよび記憶部14bは、例えば、図2に示したROM1002、ストレージ1004およびCPU1001で実行されるプログラム等により実現される。また、記憶部14bは、端末情報管理テーブル100を記憶している。
○端末情報管理テーブル
ここで、図4を用いて、端末情報管理テーブル100について説明する。図4は、第1の実施形態に係る端末情報管理テーブルの一例を示す図である。端末情報管理テーブル100は、認証システム5において認証された通信端末70の端末情報および認証情報が管理されている。
端末情報管理テーブル100は、認証システム5において認証された通信端末70のMAC(Media Access Controller)アドレス、ID(identification)およびパスワードを関連づけて(対応づけて、紐づけて)記憶している。MACアドレスは、通信端末70を識別するための各端末に固有に割り当てられた端末情報の一例である。MACアドレスは、シリアルナンバー(製造番号)等であってもよい。IDおよびパスワードは、通信端末70の認証処理に用いられた認証情報の一例である。認証情報は、例えば、ユーザごとに定められたユーザIDおよびパスワードであってもよいし、通信端末70ごとに定められた端末IDおよびパスワードであってもよい。
認証サーバ10は、認証処理が成功した通信端末70の端末情報を、端末情報管理テーブル100に追加する。また、認証サーバ10は、認証処理に失敗した通信端末70の端末情報を、端末情報管理テーブル100から削除してもよい。
図3に戻り、ネットワークシステム1の機能構成の説明を続ける。図3に示すデータベースサーバ30は、送受信部31、タイマー処理部32、認証情報管理部33、記憶・読出部34a、記憶部34bおよびアプリケーション部35を含む。
送受信部31は、認証サーバ10との間でデータ(パケット情報)をやり取りする機能である。送受信部31は、認証情報が認証情報管理テーブル300に存在するか否かの問い合わせである認証情報確認要求を、認証サーバ10から受信する。また、送受信部31は、受信した認証情報確認要求に含まれる認証情報が認証情報管理テーブル300に存在するか否かの判定結果を、認証サーバ10へ送信する。送受信部31は、例えば、図2に示したネットワークインターフェース(I/F)1008およびCPU1001によって実行されるプログラム等によって実現される。
タイマー処理部32は、認証サーバ10によって認証された通信端末70の無線LANアクセスポイント50に対する接続時間を計測する機能である。タイマー処理部32は、所定の時間ごとに、記憶部34bに記憶された時間情報管理テーブル350を参照し、有効時間が経過した認証情報が存在するか否かを判断する。また、タイマー処理部32は、時間情報管理テーブル350に記憶された認証情報のうち、有効時間を経過した認証情報が存在すると判断した場合、判断結果を認証情報管理部33へ出力する。タイマー処理部32は、例えば、図2に示したCPU1001により実行されるプログラム等によって実現される。
認証情報管理部33は、記憶部34bに記憶された認証情報管理テーブル300および時間情報管理テーブル350を管理する機能である。認証情報管理部33は、例えば、認証サーバ10から送信された認証情報確認要求に含まれる認証情報が、認証情報管理テーブル300に存在するか否かを判定する。また、認証情報管理部33は、例えば、タイマー処理部32から有効時間を経過した認証情報が存在する旨の判断結果を検知した場合、該当する認証情報を、認証情報管理テーブル300から削除する。認証情報管理部33は、例えば、図2に示したCPU1001により実行されるプログラム等によって実現される。認証情報管理部33は、判定手段の一例である。
記憶・読出部34aは、記憶部34bに各種データを記憶し、記憶部34bから各種データを読み出す機能である。記憶・読出部34aおよび記憶部34bは、例えば、図2に示したROM1002、ストレージ1004およびCPU1001で実行されるプログラム等により実現される。記憶部34bは、記憶手段の一例である。また、記憶部34bは、認証情報管理テーブル300および時間情報管理テーブル350を記憶している。
○認証情報管理テーブル
続いて、図5を用いて、認証情報管理テーブル300について説明する。図5は、第1の実施形態に係る認証情報管理テーブルの一例を示す図である。認証情報管理テーブル300は、ネットワークシステム1の認証情報を管理するものである。認証情報管理テーブル300は、データ番号(No.)ごとに、IDおよびパスワードを関連づけて(対応づけて、紐づけて)記憶している。IDおよびパスワードは、通信端末70の認証処理に用いられた認証情報の一例である。認証情報は、例えば、ユーザごとに定められたユーザIDおよびパスワードであってもよいし、通信端末70ごとに定められた端末IDおよびパスワードであってもよい。
認証情報管理テーブル30に含まれる認証情報は、管理者端末90を使用するネットワークシステム1の管理者によって登録される。例えば、ネットワークシステム1が学校の教室または会議室のように、時間割または予約時刻によって通信端末70ごとの使用時間が予め定められている場合、ネットワークシステム1の管理者は、管理者端末90を用いて、利用者の使用開始時刻までに必要な認証情報を、認証情報管理テーブル300に登録する。
認証サーバ10は、無線LANアクセスポイント50から送信された通信端末70の認証要求を受信した場合、データベースサーバ30に記憶された認証情報管理テーブル300を用いて、認証処理を実行する。認証サーバ10は、受信した認証要求に含まれる認証情報が、認証情報管理テーブル300に存在する場合、認証成功を示す認証結果を、無線LANアクセスポイント50へ送信する。一方で、認証サーバ10は、受信した認証要求に含まれる認証情報が、認証情報管理テーブル300に存在しない場合、認証失敗を示す認証結果を、無線LANアクセスポイント50へ送信する。
○時間情報管理テーブル
続いて、図6を用いて、時間情報管理テーブル350について説明する。図6は、第1の実施形態に係る時間情報管理テーブルの一例を示す図である。時間情報管理テーブル350は、認証システム5によって認証された通信端末70が無線LANアクセスポイント50に接続された時間に関する時間情報を管理するものである。時間情報管理テーブル350は、データ番号(No.)ごとに、通信端末70の接続開始時刻および認証情報の有効時間を関連づけて(対応づけて、紐づけて)記憶している。時間情報管理テーブル350のデータ番号(No.)は、認証情報管理テーブル300のデータ番号(No.)に対応している。時間情報管理テーブル350は、認証情報管理テーブル300と同一のデータ番号(No.)に、該当する認証情報の接続開始時刻および有効時間を関連づけて記憶している。時間情報管理テーブル350に含まれる接続開始時刻および有効時間を示す時間情報は、所定の条件の一例である。
「接続開始時刻」は、通信端末70が無線LANアクセスポイント50に接続された時点の日時を示す時間情報である。データベースサーバ30は、認証サーバ10から認証成功を示す認証結果を受信した場合、時間情報管理テーブル350の該当するデータ番号(NO.)に紐づけて接続開始時刻を記憶する。
「有効時間」は、通信端末70が無線LANアクセスポイント50に接続された時点から接続可能な時間を示す時間情報である。「有効時間」は、管理者端末90による認証情報管理テーブル300への認証情報の登録と併せて登録される。認証情報管理部33は、時間情報管理テーブル350に含まれる有効時間が経過した認証情報を、認証情報管理テーブル300から削除する。認証情報管理テーブル300に含まれる認証情報(IDおよびパスワード)は、所定の条件に応じて使用可否が変更される認証情報の一例である。
時間情報管理テーブル350において、例えば、データ番号No.1の認証情報を用いて接続された通信端末70の接続開始時刻は、“2017/01/01 10:00:00”であり、有効時間が“60min”である。また、データ番号No.2の認証情報を用いて接続された通信端末70の接続開始時刻は、“2017/01/01 10:10:30”であり、有効時間が“90min”である。
なお、「接続開始時刻」は、通信端末70が無線LANアクセスポイント50に接続されたた時点の日時に限られず、通信端末70が認証サーバ10によって認証された時点の日時であってもよい。また、認証情報管理テーブル300と時間情報管理テーブル350は、両者を一つのテーブルとした構成であってもよい。
図5に戻り、ネットワークシステム1の機能構成の説明を続ける。アプリケーション部35は、所定のアプリケーションを実行するアプリケーションサーバとしての機能である。アプリケーション部35は、外部からの認証情報管理テーブル300および時間情報管理テーブル350の設定または変更操作を受け付ける。アプリケーション部35は、例えば、管理者端末90から認証情報の登録要求を受け付ける。また、アプリケーション部35は、例えば、管理者端末90から通信端末70の切断要求を受け付ける。アプリケーション部35は、例えば、図2に示したCPU1001によって実行されるプログラム等によって実現される。
続いて、管理者端末90の機能構成を説明する。図5に示す管理者端末90により実現される機能は、アプリケーション部91、受付部92および表示制御部93を含む。
アプリケーション部91は、データベースサーバ30に記憶された各種情報の設定または変更操作を行う機能である。アプリケーション部91は、例えば、管理者端末90のディスプレイ1006aに表示されたWEBブラウザ上の操作画面を介して、認証情報管理テーブル300または時間情報管理テーブル350の設定または変更操作を受け付ける。また、アプリケーション部91は、例えば、APIを有して所定のアプリケーションを実行することによって、認証情報管理テーブル300または時間情報管理テーブル350の設定または変更操作を受け付ける。アプリケーション部91は、例えば、図2に示したCPU1001によって実行されるプログラム等によって実現される。
受付部92は、図2に示したキーボード1005等の入力手段を用いて、管理者からの入力を受け付ける機能である。受付部92は、例えば、キーボード1005等の入力手段を用いて入力された認証情報の登録要求を受け付ける。また、受付部92は、例えば、キーボード1005等の入力手段を用いて入力された、時間情報管理テーブル350の更新要求を受け付ける。受付部92は、図2に示したCPU1001によって実行されるプログラム等によって実現される。
表示制御部93は、図2に示したディスプレイ1006aに、管理者による入力操作を受け付ける操作画面等を表示させる機能である。表示制御部93は、例えば、WEBブラウザを用いて、HTML(HyperText Markup Language)等により作成されたWebページを、ディスプレイ1006aに表示させる。表示制御部93は、例えば、図2に示したディスプレイインターフェース(I/F)1006およびCPU1001で実行されるプログラム等により実現される。
なお、認証システム5は、複数のローカルネットワーク3と通信を行う構成であってもよい。
●通信端末の認証処理
○認証情報の登録処理
続いて、第1の実施形態に係るネットワークシステムにおける通信端末70の認証処理について説明する。図7は、第1の実施形態に係るネットワークシステムにおける認証情報の登録処理の一例を示すシーケンス図である。図7は、ネットワークシステム1の管理者が使用する管理者端末90を使用して、データベースサーバ30に認証情報を登録する例を説明する。例えば、ネットワークシステム1が学校の教室または会議室のように、時間割または予約時刻等によって使用時間が予め定められている場合、ネットワークシステム1の管理者は、管理者端末90を用いて、利用者の使用開始時刻までに必要な認証情報を、データベースサーバ30に登録する。
ステップS101において、管理者端末90の受付部92は、ネットワークシステム1の管理者による認証情報の登録要求を受け付ける。ステップS102において、管理者端末90のアプリケーション部91は、受付部92から出力された認証情報の登録要求を出力する。
ステップS103において、管理者端末90のアプリケーション部91は、データベースサーバ30へ、認証情報の登録要求を送信する。ステップS104において、データベースサーバ30のアプリケーション部35は、受信した認証情報を、認証情報管理部33へ出力する。
ステップS105において、データベースサーバ30の認証情報管理部33は、記憶部34bに記憶された認証情報管理テーブル300に、出力された認証情報を登録する。これによって、ネットワークシステム1は、データベースサーバ30に、通信端末70の認証処理に用いる認証情報を、登録させることができる。
○通信端末の認証処理
次に、通信端末70の認証処理について説明する。図8は、第1の実施形態に係るネットワークシステムにおける通信端末の認証処理の一例を示すシーケンス図である。図8は、WPA−EAP/WPA2―EAP(PPEP)による認証方式を使用した場合の通信端末70の認証処理を説明する。なお、図8は、通信端末70から送信される認証情報が、認証情報管理テーブル300に予め登録されているものとして説明する。図8において、通信端末70から送信される認証情報は、図5に示した認証情報管理テーブル300のデータ番号No.1(ID「id_001」およびパスワード「abcd」)であるものとする。
ステップS201において、通信端末70は、無線LANアクセスポイント50へ、無線LAN通信の接続要求を送信する。具体的には、通信端末70は、ユーザの入力操作によって接続要求を受け付けた場合、接続したい無線LANアクセスポイント50のSSIDを指定して接続要求を送信する。ステップS202において、無線LANアクセスポイント50は、通信端末70へ、認証方式を示す情報を送信する。無線LANアクセスポイント50は、例えば、WPA−EAP/WPA2―EAP(PPEP)による認証方式を使用する場合、当該認証方式を示す情報を、通信端末70へ送信する。
ステップS203において、通信端末70は、ユーザの入力操作によって受け付けられた認証情報を、無線LANアクセスポイント50へ送信する。なお、通信端末70は、予め認証情報を記憶しており、ユーザの入力操作をトリガーとして、記憶された認証情報を送信する構成にしてもよい。
ステップS204において、無線LANアクセスポイント50は、受信した認証情報を、認証サーバ10へ送信する(取得ステップの一例)。ステップS205において、認証サーバ10の送受信部11は、無線LANアクセスポイント50から送信された認証情報を受信した場合、データベースサーバ30へ、受信した認証情報が認証情報管理テーブル300に存在するか否かの問い合わせである認証情報確認要求を送信する。認証情報確認要求は、無線LANアクセスポイント50から送信された認証情報を含む。ステップS206において、データベースサーバ30の送受信部31は、受信した認証情報確認要求を、認証情報管理部33へ出力する。
ステップS207において、認証情報管理部33は、認証情報確認要求を検知した場合、記憶部34bに記憶された認証情報管理テーブル300の読み出しを行う。具体的には、認証情報管理部33は、記憶・読出部34aへ、認証情報管理テーブル300の読出要求を出力する。そして、記憶・読出部34aは、出力された読出要求を検知した場合、記憶部34bに記憶された認証情報管理テーブル300を読み出す。
ステップS208において、記憶部34bは、認証情報管理部33へ、認証情報管理テーブル300を出力する。具体的には、記憶部34bは、記憶・読出部34aへ、認証情報管理テーブル300を出力する。そして、記憶・読出部34aは、認証情報管理部33へ、出力された認証情報管理テーブル300を出力する。
ステップS209において、認証情報管理部33は、認証情報確認要求に含まれる認証情報が、認証情報管理テーブル300に存在するか否かを判定する(判定ステップの一例)。この場合、認証情報ID「id_001」およびパスワード「abcd」は、図5に示した認証情報管理テーブル300に含まれているため、認証情報管理部33は、認証情報が存在すると判定する。
ステップS210において、認証情報管理部33は、認証情報確認要求に含まれる認証情報が存在する旨の判定結果を、送受信部31へ出力する。ステップS211において、データベースサーバ30の送受信部31は、出力された判定結果を、認証サーバ10へ送信する。ステップS212において、認証サーバ10の送受信部11は、受信した判定結果を、認証処理部12へ出力する。
ステップS213において、認証処理部12は、出力された判定結果に基づいて、通信端末70の認証処理を実行する。この場合、認証処理部12は、出力された判定結果が、認証情報確認要求に含まれる認証情報が存在する旨の判定結果であるため、接続要求を送信した通信端末70に対する認証処理を実行する。ステップS214において、認証処理部12は、認証成功を示す認証結果を、送受信部11へ出力する。
ステップS215において、認証サーバ10の送受信部11は、出力された認証結果を、データベースサーバ30へ送信する。この場合、送信する認証結果は、通信端末70が無線LANアクセスポイント50に接続された時刻を示す接続開始時刻の時間情報を含む。なお、認証結果に含まれる時間情報は、通信端末70が無線LANアクセスポイント50に接続された時刻に限られず、認証サーバ10による認証処理が行われた時刻であってもよい。ステップS216において、データベースサーバ30の送受信部31は、受信した認証結果を、認証情報管理部33へ出力する。
ステップS217において、認証情報管理部33は、出力された認証結果に含まれる時間情報を、記憶部34bに記憶された時間情報管理テーブル350に登録する。具体的には、認証情報管理部33は、通信端末70が無線LANアクセスポイント50に接続された時刻を示す接続開始時刻を、通信端末70の認証処理に用いられた認証情報に関連づけて(対応づけて、紐づけて)、時間情報管理テーブル350に登録する。さらに、ステップS218において、認証処理部12は、認証処理が成功した通信端末70の端末情報および認証情報を、記憶部14bに記憶された端末情報管理テーブル100に登録する。
ここで、ステップS218の処理において、端末情報管理テーブル100は、通信端末70の接続開始時刻の時間情報も併せて記憶する構成であってもよい。この場合、認証サーバ10は、タイマー処理部13によって計測された所定の時間ごとに、時間情報を含む認証結果を送信してもよい。ネットワークシステム1は、通信端末70が認証サーバ10によって認証されるたびに認証結果を送信する構成と比較して、通信頻度および通信コストを低減させることができる。
また、認証サーバ10は、端末情報管理テーブル100に記憶されたデータ量が、所定の閾値を超えた等の条件に応じて、データベースサーバ30へ、時間情報を含む認証結果を送信してもよい。この場合、ネットワークシステム1は、端末情報管理テーブル100に記憶されたデータ量に関わらず認証結果を送信する構成と比較して、通信頻度および通信コストを低減させることができる。
ステップS219において、認証サーバ10の送受信部11は、認証処理部12から出力された認証成功を示す認証結果を、無線LANアクセスポイント50へ送信する(送信ステップの一例)。ステップS220において、無線LANアクセスポイント50は、認証サーバ10から送信された認証成功を示す認証結果を受信した場合、通信端末70へ、無線LANアクセスポイント50との接続を行うための暗号鍵を送信する。無線LANアクセスポイント50との接続を行うための暗号鍵は、例えば、無線LANの暗号鍵(暗号化キー)である。
なお、ステップS214〜ステップS217の処理、ステップS218の処理およびステップS219〜ステップS220の処理の順序は、前後してもよく、または並行して行われてもよい。
○通信端末の再認証処理
続いて、図8に示した処理において、無線LANアクセスポイント50に接続された通信端末70の再認証処理について、図9乃至11を用いて説明する。図9は、第1の実施形態に係るネットワークシステムにおける接続された通信端末に対する再認証処理の一例を示すシーケンス図である。図9は、図8に示した処理において、ID「id_001」およびパスワード「abcd」の認証情報を用いて認証された通信端末70の再認証処理を説明する。
ステップS301において、無線LANアクセスポイント50は、認証サーバ10へ、通信端末70の再認証要求を送信する(取得ステップの一例)。無線LANアクセスポイント50が送信する再認証要求は、通信端末70の認証処理に使用された認証情報を含む。再認証要求に含まれる情報は、例えば、図7のステップS204の処理における認証要求と同様であってもよい。無線LANアクセスポイント50は、接続された通信端末70の再認証要求を、定期的に認証サーバ10へ送信する。
ステップS302において、認証サーバ10の送受信部11は、無線LANアクセスポイント50から送信された再認証要求を受信した場合、データベースサーバ30へ、認証情報が認証情報管理テーブル300に存在するか否かの問い合わせである認証情報確認要求を送信する。ステップS303において、データベースサーバ30の送受信部31は、受信した認証情報確認要求を、認証情報管理部33へ出力する。
ステップS304において、認証情報管理部33は、認証情報確認要求を検知した場合、記憶部34bに記憶された認証情報管理テーブル300の読み出しを行う。具体的には、認証情報管理部33は、記憶・読出部34aへ、認証情報管理テーブル300の読出要求を出力する。そして、記憶・読出部34aは、出力された読出要求を検知した場合、記憶部34bに記憶された認証情報管理テーブル300を読み出す。
ステップS305において、記憶部34bは、認証情報管理部33へ、認証情報管理テーブル300を出力する。具体的には、記憶部34bは、記憶・読出部34aへ、認証情報管理テーブル300を出力する。そして、記憶・読出部34aは、認証情報管理部33へ、出力された認証情報管理テーブル300を出力する。
ステップS306において、認証情報管理部33は、認証情報確認要求に含まれる認証情報が、認証情報管理テーブル300に存在するか否かを判定する(判定ステップの一例)。この場合、認証情報ID「id_001」およびパスワード「abcd」は、図5に示した認証情報管理テーブル300に含まれているため、認証情報管理部33は、認証情報が存在すると判定する。
ステップS307において、認証情報管理部33は、認証情報確認要求に含まれる認証情報が存在する旨の判定結果を、送受信部31へ出力する。ステップS308において、データベースサーバ30の送受信部31は、出力された判定結果を、認証サーバ10へ送信する。ステップS309において、認証サーバ10の送受信部11は、受信した判定結果を、認証処理部12へ出力する。
ステップS310において、認証処理部12は、出力された判定結果に基づいて、通信端末70の認証処理を実行する。この場合、認証処理部12は、出力された判定結果が、認証情報確認要求に含まれる認証情報が存在する旨の判定結果であるため、接続要求を送信した通信端末70に対する認証処理を実行する。ステップS311において、認証処理部12は、認証成功を示す認証結果を、送受信部11へ出力する。ステップS312において、認証サーバ10の送受信部11は、認証成功を示す認証結果を、データベースサーバ30へ送信する。ネットワークシステム1は、無線LANアクセスポイント50から再認証要求を定期的に送信することで、図8に示した通信端末70の再認証処理を繰り返し実行する。
次に、認証情報管理テーブル300に記憶された認証情報を削除する処理について説明する。図10は、第1の実施形態に係る認証システムにおける認証情報管理テーブルの更新処理の一例を示すフローチャートである。図10は、図5に示した認証情報管理テーブル300内のデータ番号No.1に紐づく認証情報(ID「id001」およびパスワード「abcd」)が削除される場合の例について説明する。
ステップS401において、データベースサーバ30のタイマー処理部32は、時間情報管理テーブル350に含まれる接続開始時刻から所定の時間経過した認証情報が存在する場合、処理をステップS402へ移行させる。タイマー処理部32は、例えば、時間情報管理テーブル350に含まれるデータ番号No.1の接続開始時刻から、有効時間である60分が経過した場合、処理をステップS402へ移行させる。一方で、タイマー処理部32は、時間情報管理テーブル350に含まれる接続開始時刻から所定に時間経過した認証情報が存在しない場合、ステップS401の処理を繰り返す。
ステップS402において、タイマー処理部32は、認証情報管理部33へ、該当する認証情報の削除要求を出力する。この場合、タイマー処理部32は、認証情報管理テーブル300に含まれるデータ番号No.1の認証情報の削除要求を、認証情報管理部33へ出力する。ステップS403において、認証情報管理部33は、出力された削除要求に該当する認証情報を、記憶部34bに記憶された認証情報管理テーブル300から削除する。
ステップS404において、記憶部34bは、認証情報管理部33によって認証情報が削除された場合、認証情報管理テーブル300および時間情報管理テーブル350を更新する。具体的には、記憶部34bは、認証情報管理テーブル300から削除された認証情報と同一のデータ番号No.1に紐づく時間情報を、時間情報管理テーブル350から削除する。記憶部34bは、認証情報および時間情報を削除した場合、認証情報管理テーブル300および時間情報管理テーブル350のデータ番号(No.)を繰り上げる構成にしてもよい。これによって、データベースサーバ30は、認証情報管理テーブル300に含まれる有効時間の経過した認証情報を、随時削除することができる。
続いて、図10に示した処理によって、認証情報管理テーブル300からデータ番号No.1の認証情報(ID「id_001」、パスワード「abcd」)が削除された場合の通信端末70の再認証処理について説明する。図11は、第1の実施形態に係るネットワークシステムにおける接続された通信端末の再認証処理の一例を示すシーケンス図である。なお、図11に示す処理は、図9に示した処理と同様に、ID「id_001」およびパスワード「abcd」である認証情報を用いて接続された通信端末70の再認証処理である。また、ステップS501〜ステップS505の処理は、図9に示したステップS301〜ステップS305の処理と同様であるため、説明を省略する。
ステップS506において、認証情報管理部33は、認証情報確認要求に含まれる認証情報が、認証情報管理テーブル300に存在するか否かを判定する(判定ステップの一例)。図10に示した処理において、図5に示した認証情報管理テーブル300のデータ番号No.1の認証情報は、削除されている。つまり、認証情報確認要求に含まれる認証情報(ID「id_001」およびパスワード「abcd」)は、認証情報管理テーブル300に存在しない。したがって、認証情報管理部33は、認証情報確認要求に含まれる認証情報が存在しない旨の判定結果を、送受信部31へ出力する。
ステップS508において、データベースサーバ30の送受信部31は、出力された判定結果を、認証サーバ10へ送信する。ステップS509において、認証サーバ10の送受信部11は、受信した判定結果を、認証処理部12へ出力する。ステップS510において、認証処理部12は、出力された判定結果に基づいて、通信端末70の認証処理を実行する。この場合、データベースサーバ30における判定結果が、認証情報確認要求に含まれる認証情報が存在しない旨の判定結果であるため、認証処理部12は、通信端末70の認証処理を行わない。
ステップS511において、認証処理部12は、認証失敗を示す認証結果を、送受信部11へ出力する。ステップS512において、認証サーバ10の送受信部11は、出力された認証失敗を示す認証結果を、無線LANアクセスポイント50へ送信する(送信ステップの一例)。
ステップS513において、通信端末70は、無線LANアクセスポイント50と任意の通信を行う。ステップS514において、無線LANアクセスポイント50は、通信端末70からの任意の通信に対する応答として、接続エラーを示すエラーメッセージ(Packet of Disconnect)を送信する。
これによって、ネットワークシステム1は、認証情報管理テーブル300から削除された認証情報を用いて無線LANアクセスポイント50に接続された通信端末70の無線LAN通信を、通信端末70および無線LANアクセスポイント50の機能によらず、意図的に切断することができる。なお、無線LANアクセスポイント50は、認証サーバ10から認証失敗を示す認証結果を受信した場合、直ちに通信端末70へ、エラーメッセージを送信してもよい。
●第1の実施形態の効果
以上説明したように、第1の実施形態に係るネットワークシステムは、通信端末70の認証処理を行う認証サーバ10と、通信端末70の認証処理に用いる認証情報を記憶するデータベースサーバ30を含む認証システム5を有する。認証システム5は、通信端末70から認証情報を取得した場合、データベースサーバ30に認証情報が存在するか否かを判定する。そして、認証システム5は、取得された認証情報がデータベースサーバ30に存在しないと判定された場合、無線LANアクセスポイント50へ認証成功を示す認証結果を送信し、取得された認証情報がデータベースサーバ30に存在しないと判定された場合、無線LANアクセスポイント50へ認証失敗を示す認証結果を送信する。
さらに、認証システム5は、通信端末70が無線LANアクセスポイント50に接続されてから所定の時間経過した場合、データベースサーバ30に記憶された認証情報を削除する。そのため、ネットワークシステム1は、通信端末70または無線LANアクセスポイント50に専用のアプリケーションを必要とせず、意図した通信端末70の接続および切断を実行することができる。
●第1の実施形態の変形例●
次に、第1の実施形態の変形例に係るネットワークシステムについて説明する。なお、第1の実施形態と同一構成および同一機能は、同一の符号を付して、その説明を省略する。第1の実施形態の変形例に係るネットワークシステム1aは、時間情報管理テーブル350aに時間帯ごとの認証情報の有効性を示す情報を含む。これによって、ネットワークシステム1aは、現在時刻における認証情報の有効性を参照することで、有効時間に基づく認証情報の削除を行わずに、通信端末70と無線LANアクセスポイント50との接続および切断を行うことができる。
図12は、第1の実施形態の変形例1に係る時間情報管理テーブルの一例を示す図である。時間情報管理テーブル350aは、認証情報を使用できる時間帯に関する時間情報を管理するものである。時間情報管理テーブル350aは、時間帯ごとの認証情報の有効性を示す情報が管理されている。時間情報管理テーブル350aに含まれるデータ番号(No.)は、図6に示した時間情報管理テーブル350と同様に、認証情報管理テーブル300のデータ番号(No.)に対応している。時間情報管理テーブル350aは、認証情報管理テーブル300と同一のデータ番号(No.)に、該当する認証情報の時間帯ごとの有効性を関連づけて記憶している。時間情報管理テーブル350aに含まれる時間帯および有効性を示す時間情報は、所定の条件の一例である。
時間情報管理テーブル350aは、例えば、ローカルネットワークシステム3が学校の教室において使用されることを想定し、時間割に対応している。データ番号No.1の認証情報は、現在時刻が始業時刻(9時)になった場合、有効になる、そして、ネットワークシステム1aは、1時限目(9時〜10時半)と2時限目(10時半〜12時10分)の間、データ番号No.1の認証情報を用いて認証された通信端末70と無線LANアクセスポイント50との接続を維持する。また、データ番号No.1の認証情報は、現在時刻が昼休み(12時10分〜13時)の時間帯になった場合、無効になる。そして、ネットワークシステム1aは、データ番号No.1の認証情報を用いた通信端末70と無線LANアクセスポイント50との接続を切断する。
次に、データ番号No.1の認証情報は、現在時刻が3時限目(13時〜14時半)の開始時刻になった場合、有効になる。そして、ネットワークシステム1aは、データ番号No.1の認証情報を用いて認証された通信端末70を、無線LANアクセスポイント50に接続させる。最後に、データ番号No.1の認証情報は、現在時刻が4時限目(14時半〜16時)の終了時刻が経過した場合、無効になる。そして、ネットワークシステム1aは、データ番号No.1の認証情報を用いて認証された通信端末70と無線LANアクセスポイント50との接続を切断し、一日の授業を終了する。
一方で、例えば、データ番号No.2の認証情報は、授業が行われる日中の時間帯(9時〜16時)において、継続して有効になる。この場合、ネットワークシステム1aは、日中の時間帯のみ、データ番号No.2の認証情報を用いて認証された通信端末70を無線LANアクセスポイント50に接続させる構成にすることもできる。このように、ネットワークシステム1aは、例えば、学校の時間割に対応させて認証情報の有効性を設定することが可能である。
なお、図12に示す時間情報管理テーブル350aに含まれる時間帯ごとの認証情報の有効性は、一例であり、ローカルネットワークシステム3の設置場所、通信端末70の種別またはシステムの運用方法等に応じて適宜設定または変更が可能である。この場合、ネットワークシステム1aは、管理者端末90において、時間情報管理テーブル350aの設定または変更を行う。
図13は、第1の実施形態の変形例に係る認証システムにおける認証情報管理テーブルの更新処理の一例を示すフローチャートである。ステップS601において、データベースサーバ30は、送受信部31によって認証情報確認要求を受信した場合、処理をステップS602へ移行させる。一方で、データベースサーバ30は、送受信部31によって認証情報確認要求を受信していない場合、ステップS601の処理を繰り返す。
ステップS602において、データベースサーバ30の認証情報管理部33は、認証情報管理テーブル300および時間情報管理テーブル350aの読み出しを行う。具体的には、認証情報管理部33は、記憶・読出部34aへ、認証情報管理テーブル300および時間情報管理テーブル350aの読出要求を出力する。記憶・読出部34aは、出力された読出要求を検知した場合、記憶部34bに記憶された認証情報管理テーブル300および時間情報管理テーブル350aを読み出す。そして、記憶部34bは、記憶・読出部34aへ、認証情報管理テーブル300および時間情報管理テーブル350aを出力する。記憶・読出部34aは、認証情報管理部33へ、出力された認証情報管理テーブル300および時間情報管理テーブル350aを出力する。
ステップS603において、データベースサーバ30の認証情報管理部33は、読み出した認証情報管理テーブル300に、受信した認証情報確認要求に含まれる認証情報が存在する場合、処理をステップS604へ移行させる。一方で、認証情報管理部33は、読み出した認証情報管理テーブル300に、受信した認証情報確認要求に含まれる認証情報が存在しない場合、処理をステップS606へ移行させる。
ステップS604において、データベースサーバ30の認証情報管理部33は、受信した認証情報確認要求に含まれる認証情報が、タイマー処理部32によって計測された現在時刻において、有効である場合、処理をステップS605へ移行させる。一方で、認証情報管理部33は、受信した認証情報確認要求に含まれる認証情報が、タイマー処理部32によって計測された現在時刻において、無効である場合、処理をステップS606へ移行させる。
ステップS605において、データベースサーバ30の送受信部31は、認証情報が有効である旨の判定結果を、認証サーバ10へ送信する。ステップS606において、データベースサーバ30の送受信部31は、認証情報が存在しない旨の判定結果を認証サーバ10へ送信する。
以上の処理によって、ネットワークシステム1aは、有効時間に基づく認証情報の削除を行わず、現在時刻における認証情報の有効性に基づいて、通信端末70と無線LANアクセスポイント50との接続および切断を行うことができる。
●第2の実施形態●
次に、第2の実施形態に係るネットワークシステムについて説明する。なお、第1の実施形態と同一構成および同一機能は、同一の符号を付して、その説明を省略する。第2の実施形態に係るネットワークシステム1bは、システムの管理者が使用する管理者端末90を用いて、データベースサーバ30を操作することで、認証情報を削除する。ネットワークシステム1bにおいて、データベースサーバ30は、管理者端末90から受信した通信端末70と無線LANアクセスポイント50の切断要求に応じて、該当する認証情報を削除する。これによって、ネットワークシステム1bは、時間経過に関わらず、データベースサーバ30から認証情報を削除することで、任意のタイミングで通信端末70との接続を切断することができる。
図14は、第2の実施形態に係る認証情報管理テーブルの一例を示す図である。認証情報管理テーブル300aは、図5に示した認証情報管理テーブル300に含まれるデータに加え、データ番号(No.)ごとにMACアドレスが紐づけられている。認証情報管理テーブル300aに含まれるMACアドレスは、通信端末70を識別するための各端末に固有に割り当てられた端末情報の一例である。MACアドレスは、シリアルナンバー(製造番号)等であってもよい。これによって、データベースサーバ30は、認証情報と当該認証情報を用いて認証処理が行われた通信端末70との組み合わせを、認証情報管理テーブル300aを参照することによって確認することができる。なお、端末情報は、通信端末70の認証処理が行われた場合に認証サーバ10から送信されてもよいし、認証情報とともに管理者端末90によって登録されてもよい。
図15は、第2の実施形態に係るネットワークシステムにおける接続された通信端末に対する再認証処理の一例を示すシーケンス図である。図15に示す処理は、図11に示した処理と同様に、ID「id_001」およびパスワード「abcd」である認証情報を用いて接続された通信端末70の再認証処理である。また、図15は、ID「id_001」およびパスワード「abcd」である認証情報を用いて接続された通信端末70の切断要求が、管理者端末90から送信される場合について説明する。
ステップS701において、管理者端末90は、データベースサーバ30へ、通信端末70の切断要求を送信する。具体的には、管理者端末90のアプリケーション部91は、データベースサーバ30から提供された所定のアプリケーションを実行する。そして、アプリケーション部91は、受付部92によって受け付けられた切断要求を、データベースサーバ30へ送信する。切断要求は、例えば、MACアドレス等の通信端末70を識別するための端末情報を含む。
ステップS702において、データベースサーバ30のアプリケーション部35は、受信した通信端末70の切断要求を、認証情報管理部33へ出力する。ステップS703において、認証情報管理部33は、記憶部34bに記憶された認証情報管理テーブル300aのデータのうち、出力された切断要求に対応する通信端末70の端末情報に紐づく認証情報を削除する。データベースサーバ30が管理者端末90から送信された切断要求を受信したことは、所定の条件の一例である。
ステップS704〜ステップS717の処理は、図11に示したステップS501〜ステップS514の処理と同様であるため、説明を省略する。図15に示した処理により、無線LANアクセスポイント50は、通信端末70へ、接続エラーを示すエラーメッセージ(Packet of Disconnect)を送信する。
●第2の実施形態の効果
以上説明したように、第2の実施形態に係るネットワークシステムは、データベースサーバ30が、管理者端末90から受信した通信端末70と無線LANアクセスポイント50との切断要求に応じて、認証情報管理テーブル300から該当する認証情報を削除する。そのため、ネットワークシステム1bは、通信端末70が無線LANアクセスポイント50に接続されてからの時間経過に関わらず、管理者が任意のタイミングで認証情報を削除することによって、通信端末70と無線LANアクセスポイント50との接続を切断することができる。
●第3の実施形態●
次に、第3の実施形態に係るネットワークシステムについて説明する。なお、第1の実施形態および第2の実施形態と同一構成および同一機能は、同一の符号を付して、その説明を省略する。第3の実施形態に係るネットワークシステム1cは、認証サーバ10が定期的にデータベースサーバ30へ、認証情報の問い合わせを行う。この場合、ネットワークシステム1cは、無線LANアクセスポイント50からの再認証要求を必要としない。
図16は、第3の実施形態に係るネットワークシステムにおける接続された通信端末に対する再認証処理の一例を示すシーケンス図である。ステップS801〜ステップS803の処理は、図15に示したステップS701〜ステップS703の処理と同様であるため、説明を省略する。なお、ステップS801〜ステップS803の処理において、第1の実施形態に示したように、通信端末70が無線LANアクセスポイント50に接続された時刻から所定の時間経過した場合に、認証情報を削除する構成にしてもよい。
ステップS804において、認証サーバ10の送受信部11は、タイマー処理部13によって計測された所定の時間ごとに、データベースサーバ30へ、認証情報確認要求を送信する。
ステップS805〜ステップS816の処理は、図11に示したステップS503〜ステップS514の処理と同様であるため、説明を省略する。図16に示した処理により、無線LANアクセスポイント50は、通信端末70へ、接続エラーを示すエラーメッセージ(Packet of Disconnect)を送信する。
●第3の実施形態の効果
以上説明したように、第3の実施形態に係るネットワークシステムは、認証サーバ10が定期的にデータベースサーバ30へ、認証情報確認要求を送信する。そして、認証サーバ10は、データベースサーバ30に記憶された認証情報管理テーブル300に、要求した認証情報が存在しない場合、無線LANアクセスポイントへ、エラーメッセージを送信する。これによって、ネットワークシステム1cは、無線LANアクセスポイント50が認証サーバ10へ再認証要求を送信する機能を備えていない場合においても、認証情報の削除または無効化を検知して、通信端末70と無線LANアクセスポイント50との接続を切断することができる。
●まとめ●
以上説明したように、本発明の一実施形態に係る認証システムは、ネットワークを介して通信端末70の認証処理を行う認証システム5であって、通信端末70の認証処理に用いる認証情報を、通信端末に接続された無線LANアクセスポイント50(仲介装置の一例)から取得する。また、認証システム5は、所定の条件に応じて使用可否が変更される認証情報を記憶する記憶部14b(記憶手段の一例)と、記憶部14bに使用可能な認証情報が存在するか否かを判定する認証情報管理部33(判定手段の一例)とを備える。そして、認証システム5は、取得された認証情報が記憶部14bに存在すると判定された場合、無線LANアクセスポイント50へ認証成功を示す認証結果を送信し、取得された認証情報が記憶部14bに存在しないと判定された場合、無線LANアクセスポイント50へ認証失敗を示す認証結果を送信する。そのため、認証システム5は、通信端末70または無線LANアクセスポイント50の機能に依存することなく、意図したネットワークの接続および切断を実行することができる。
また、本発明の一実施形態に係る認証システムは、通信端末70が無線LANアクセスポイント50(仲介装置の一例)に接続された時間に関する時間情報(時間情報管理テーブル350の一例)を記憶し、通信端末70が無線LANアクセスポイント50に接続されてから所定の時間が経過した場合、記憶された認証情報を削除する。そのため、認証システム5は、通信端末70の認証処理に用いる認証情報を、一定時間経過後に削除できるため、通信端末70と無線LANアクセスポイント50との接続を切断することができる。
さらに、本発明の一実施形態に係る認証システムは、認証情報を使用できる時間帯に関する時間情報(時間情報管理テーブル350aの一例)を記憶し、現在時刻が認証情報を使用できる時間帯でない場合、取得された認証情報が記憶部14b(記憶手段の一例)に存在しないと判定する。そのため、認証システム5は、通信端末70の認証処理に用いる認証情報を、現在時刻における認証情報の有効性に基づいて、通信端末70と無線LANアクセスポイント50との接続および切断を行うことができる。
また、本発明の一実施形態に係る認証システムは、通信端末70の認証処理を実行する認証サーバ10と、認証処理に用いる認証情報を記憶するデータベースサーバ30と、を備え、認証サーバ10は、認証情報が記憶部14b(記憶手段の一例)に存在するか否かの確認要求をデータベースサーバ30に送信し、データベースサーバ30は、受信した確認要求に含まれる認証情報が記憶部14bに存在するか否かを判定する。そのため、認証システム5は、認証情報が記憶されたデータベースサーバ30のアプリケーションを利用することで、通信端末70と無線LANアクセスポイント50との接続および切断を実現することができる。
さらに、本発明の一実施形態に係る認証システムは、認証サーバ10が、所定の間隔で認証情報の確認要求をデータベースサーバ30へ送信する。そのため、認証システム5は、無線LANアクセスポイント50(仲介装置の一例)が認証サーバ10へ再認証要求を送信する機能を備えていない場合においても、認証情報の削除または無効化を検知して、通信端末70と無線LANアクセスポイント50との接続を切断することができる。
また、本発明の一実施形態に係る認証システムは、認証サーバ10が認証された通信端末70が無線LANアクセスポイント50に接続された時刻を示す端末情報管理テーブル100(時間情報の一例)を記憶し、所定の間隔で記憶した端末情報管理テーブル100に含まれる時間情報をデータベースサーバ30へ送信し、データベースサーバ30が受信した時間情報を認証情報に関連づけて記憶する。そのため、認証システム5は、通信端末70が無線LANアクセスポイント50に接続されるたびに認証結果を送信する構成と比較して、通信頻度および通信コストを低減させることができる。
さらに、本発明の一実施形態に係る認証システムは、認証サーバ10が、認証された通信端末70が無線LANアクセスポイント50に接続された時刻を示す端末情報管理テーブル100(時間情報の一例)を記憶し、記憶された端末情報管理テーブル100が所定のデータ量を超えた場合、端末情報管理テーブル100に含まれる時間情報をデータベースサーバ30へ送信し、データベースサーバ30が、受信した時間情報を認証情報に関連づけて記憶する。そのため、認証システム5は、端末情報管理テーブル100に記憶されたデータ量に関わらず認証結果を送信する構成と比較して、通信頻度および通信コストを低減させることができる。
また、本発明の一実施形態に係る認証システムは、管理者端末90から無線LANアクセスポイント50に対する通信端末70の接続の切断要求を受信した場合、通信端末70の認証処理に用いられた認証情報を削除する。そのため、認証システム5は、通信端末70が無線LANアクセスポイント50に接続されてからの時間経過に関わらず、管理者が任意のタイミングで認証情報を削除することによって、通信端末70の無線LANアクセスポイント50に対する接続を切断することができる。
さらに、本発明の一実施形態に係る認証方法は、ネットワークを介して通信端末70の認証処理を行う認証システム5が実行する認証方法であって、認証システム5は、所定の条件に応じて使用可否が変更される認証情報を記憶する記憶部14b(記憶手段の一例)を備え、認証処理に用いる認証情報を、通信端末70に接続された無線LANアクセスポイント50(仲介装置の一例)から取得する取得ステップと、記憶部14bに使用可能な認証情報が存在するか否かを判定する判定ステップと、取得された認証情報が記憶部14bに存在すると判定された場合、無線LANアクセスポイント50へ認証成功を示す認証結果を送信し、取得された認証情報が記憶部14bに存在しないと判定された場合、無線LANアクセスポイント50へ認証失敗を示す認証結果を送信する送信ステップと、を実行する。そのため、本発明の一実施形態に係る認証方法は、通信端末70または無線LANアクセスポイント50の機能に依存することなく、意図したネットワークの接続および切断を実行することができる。
●補足●
なお、各実施形態の機能は、アセンブラ、C、C++、C#、Java(登録商標)等のレガシープログラミング言語またはオブジェクト指向プログラミング言語等で記述されたコンピュータ実行可能なプログラムにより実現でき、各実施形態の機能を実行するためのプログラムは、電気通信回線を通じて頒布することができる。
また、各実施形態の機能を実行するためのプログラムは、ROM、EEPROM(Electrically Erasable Programmable Read-Only Memory)、EPROM(Erasable Programmable Read-Only Memory)、フラッシュメモリ、フレキシブルディスク、CD(Compact Disc)−ROM、CD−RW(Re-Writable)、DVD−ROM、DVD−RAM、DVD−RW、ブルーレイディスク、SDカード、MO(Magneto-Optical disc)等の装置可読な記録媒体に格納して頒布することもできる。
さらに、各実施形態の機能の一部または全部は、例えばFPGA(Field Programmable Gate Array)等のプログラマブル・デバイス(PD)上に実装することができ、またはASICとして実装することができ、各実施形態の機能をPD上に実現するためにPDにダウンロードする回路構成データ(ビットストリームデータ)、回路構成データを生成するためのHDL(Hardware Description Language)、VHDL(Very High Speed Integrated Circuits Hardware Description Language)、Verilog−HDL等により記述されたデータとして記録媒体により配布することができる。
これまで本発明の一実施形態に係る認証システム、認証方法およびプログラムについて説明してきたが、本発明は、上述した実施形態に限定されるものではなく、他の実施形態の追加、変更または削除等、当業者が想到することができる範囲内で変更することができ、いずれの態様においても本発明の作用・効果を奏する限り、本発明の範囲に含まれるものである。
1、1a、1b、1c ネットワークシステム
5 認証システム
10 認証サーバ
11 送受信部(取得手段および送信手段の一例)
30 データベースサーバ
33 認証情報管理部(判定手段の一例)
34b 記憶部(記憶手段の一例)
50 無線LANアクセスポイント(仲介装置の一例)
70 通信端末
90 管理者端末
特開2008−97264号公報

Claims (10)

  1. ネットワークを介して通信端末の認証処理を行う認証システムであって、
    前記認証処理に用いる認証情報を、前記通信端末の通信を仲介する仲介装置から取得する取得手段と、
    所定の条件に応じて使用可否が変更される認証情報を記憶する記憶手段と、
    前記記憶手段に使用可能な前記認証情報が存在するか否かを判定する判定手段と、
    前記取得された認証情報が前記記憶手段に存在すると判定された場合、前記仲介装置へ認証成功を示す認証結果を送信し、前記取得された認証情報が前記記憶手段に存在しないと判定された場合、前記仲介装置へ認証失敗を示す認証結果を送信する送信手段と、
    を備える認証システム。
  2. 前記条件は、前記通信端末が前記仲介装置に接続された時間に関する条件であり、
    前記通信端末が前記仲介装置に接続されてから所定の時間が経過した場合、前記記憶された前記認証情報を削除する、請求項1に記載の認証システム。
  3. 前記条件は、前記認証情報を使用できる時間帯に関する条件であり、
    前記判定手段は、現在時刻が前記時間帯ではない場合、前記取得された認証情報が前記記憶手段に存在しないと判定する、請求項1に記載の認証システム。
  4. 請求項1乃至3のいずれか一項に記載の認証システムであって、更に、
    前記認証処理を実行する認証サーバと、前記認証処理に用いる認証情報を記憶するデータベースサーバと、を備え、
    前記認証サーバは、前記認証情報が前記記憶手段に存在するか否かの確認要求を、前記データベースサーバへ送信し、
    前記データベースサーバは、受信した前記確認要求に含まれる認証情報が前記記憶手段に存在するか否かを判定する、認証システム。
  5. 前記認証サーバは、所定の間隔で前記確認要求を前記データベースサーバへ送信する、請求項4に記載の認証システム。
  6. 前記認証サーバは、認証した通信端末が前記仲介装置に接続された時刻に関する時間情報を記憶し、所定の間隔で前記記憶した時間情報を前記データベースサーバへ送信し、
    前記データベースサーバは、前記時間情報を前記認証情報に関連づけて記憶する、請求項4または5に記載の認証システム。
  7. 前記認証サーバは、認証した通信端末が前記仲介装置に接続された時刻に関する時間情報を記憶し、前記記憶された時間情報が所定のデータ量を超えた場合、前記時間情報を前記データベースサーバへ送信し、
    前記データベースサーバは、前記時間情報を前記認証情報に関連づけて記憶する、請求項4または5に記載の認証システム。
  8. 前記条件は、管理者端末からの前記通信端末が接続された前記仲介装置との切断要求を受信したことを示す条件であり、
    前記切断要求を受信した場合、前記認証処理に用いられた認証情報を削除する、請求項1乃至7のいずれか一項に記載の認証システム。
  9. ネットワークを介して通信端末の認証処理を行う認証システムが実行する認証方法であって、
    前記認証システムは、所定の条件に応じて使用可否が変更される認証情報を記憶する記憶手段を備え、
    前記認証処理に用いる認証情報を、前記通信端末に接続された仲介装置から取得する取得ステップと、
    前記記憶手段に使用可能な前記認証情報が存在するか否かを判定する判定ステップと、
    前記取得された認証情報が前記記憶手段に存在すると判定された場合、前記仲介装置へ認証成功を示す認証結果を送信し、前記取得された認証情報が前記記憶手段に存在しないと判定された場合、前記仲介装置へ認証失敗を示す認証結果を送信する送信ステップと、
    を実行する認証方法。
  10. コンピュータに、請求項9に記載の認証方法を実行させるプログラム。
JP2018054211A 2018-03-22 2018-03-22 認証システム、認証方法およびプログラム Active JP7087515B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2018054211A JP7087515B2 (ja) 2018-03-22 2018-03-22 認証システム、認証方法およびプログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2018054211A JP7087515B2 (ja) 2018-03-22 2018-03-22 認証システム、認証方法およびプログラム

Publications (2)

Publication Number Publication Date
JP2019168772A true JP2019168772A (ja) 2019-10-03
JP7087515B2 JP7087515B2 (ja) 2022-06-21

Family

ID=68106791

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018054211A Active JP7087515B2 (ja) 2018-03-22 2018-03-22 認証システム、認証方法およびプログラム

Country Status (1)

Country Link
JP (1) JP7087515B2 (ja)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111132168A (zh) * 2020-01-02 2020-05-08 深圳市高德信通信股份有限公司 一种无线网络接入系统
KR102236656B1 (ko) * 2020-06-23 2021-04-07 주식회사 이노스코리아 다기능을 가지는 보안 연결을 제공하는 보안 통신 장치 및 그 동작 방법
KR102675599B1 (ko) * 2023-11-08 2024-06-17 주식회사 베이스인 네트웍스 무선랜 환경 시간 기반 인증 서비스 제공 시스템

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH10240687A (ja) * 1997-02-28 1998-09-11 Tec Corp ネットワークシステム
WO2004112312A1 (ja) * 2003-06-12 2004-12-23 Fujitsu Limited ユーザ認証システム
JP2010176168A (ja) * 2009-01-27 2010-08-12 Hitachi Software Eng Co Ltd 情報漏洩防止システム
US20150043561A1 (en) * 2012-04-24 2015-02-12 Huawei Technologies Co., Ltd. Wireless network access technology
JP2017169137A (ja) * 2016-03-17 2017-09-21 キヤノン株式会社 情報処理装置、制御方法、およびそのプログラム
JP2018028786A (ja) * 2016-08-17 2018-02-22 富士通株式会社 情報処理装置、情報処理プログラムおよび情報処理方法および情報処理システム

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH10240687A (ja) * 1997-02-28 1998-09-11 Tec Corp ネットワークシステム
WO2004112312A1 (ja) * 2003-06-12 2004-12-23 Fujitsu Limited ユーザ認証システム
JP2010176168A (ja) * 2009-01-27 2010-08-12 Hitachi Software Eng Co Ltd 情報漏洩防止システム
US20150043561A1 (en) * 2012-04-24 2015-02-12 Huawei Technologies Co., Ltd. Wireless network access technology
JP2017169137A (ja) * 2016-03-17 2017-09-21 キヤノン株式会社 情報処理装置、制御方法、およびそのプログラム
JP2018028786A (ja) * 2016-08-17 2018-02-22 富士通株式会社 情報処理装置、情報処理プログラムおよび情報処理方法および情報処理システム

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111132168A (zh) * 2020-01-02 2020-05-08 深圳市高德信通信股份有限公司 一种无线网络接入系统
KR102236656B1 (ko) * 2020-06-23 2021-04-07 주식회사 이노스코리아 다기능을 가지는 보안 연결을 제공하는 보안 통신 장치 및 그 동작 방법
WO2021261728A1 (ko) * 2020-06-23 2021-12-30 주식회사 이노스코리아 다기능을 가지는 보안 연결을 제공하는 보안 통신 장치 및 그 동작 방법
KR102675599B1 (ko) * 2023-11-08 2024-06-17 주식회사 베이스인 네트웍스 무선랜 환경 시간 기반 인증 서비스 제공 시스템

Also Published As

Publication number Publication date
JP7087515B2 (ja) 2022-06-21

Similar Documents

Publication Publication Date Title
JP7091785B2 (ja) 通信システム、通信方法
JP4027360B2 (ja) 認証方法及びシステムならびに情報処理方法及び装置
EP2779010B1 (en) Information processing system and information processing method
JP6024167B2 (ja) 要求処理システム
EP3148160B1 (en) Information processing apparatus, information processing method, and program
JP2016170702A (ja) 情報処理装置、情報処理装置の制御方法及びプログラム
JP5962698B2 (ja) 画像形成システム、サービス提供サーバー、情報処理端末、画像形成装置及びプログラム
JP6891570B2 (ja) 電子機器システム、通信方法、端末装置、プログラム
JP6690258B2 (ja) プログラム、情報処理装置、通信システム
JP4455076B2 (ja) 無線通信装置の認証方法、無線通信装置、コンピュータプログラム、及びコンピュータ読み取り可能な記録媒体
JP2017108384A (ja) プログラム、情報処理装置、及び情報処理システム
JP2016197466A (ja) サーバ装置、要求処理システムおよび電子機器
JP2010183204A (ja) ネットワークシステム
JP6334940B2 (ja) 通信装置、通信装置の制御方法およびプログラム
JP2017041697A (ja) 情報処理装置、プログラム、通信制御方法
JP7087515B2 (ja) 認証システム、認証方法およびプログラム
JP2017212694A (ja) 情報処理装置、情報処理方法及びプログラム
JP2008033391A (ja) デジタル複合機
JP2007207189A (ja) 通信端末装置、鍵情報管理サーバ装置
JP6197286B2 (ja) 通信装置、情報処理システム及び情報処理システムの制御方法
JP6385100B2 (ja) 情報処理装置、情報処理システム、情報処理装置の制御方法およびコンピュータプログラム
JP2022030590A (ja) 管理装置、ネットワークシステムおよびプログラム
JP6228421B2 (ja) 情報処理装置及びその制御方法、並びにプログラム
KR20060023630A (ko) 자원 공유 서비스 기능이 있는 이동통신 단말기, 그를이용한 자원 공유 시스템 및 자원 제공과 이용 방법
JP2013114516A (ja) 利用管理システム、利用管理方法、情報端末、及び利用管理プログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20210208

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20211025

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20211109

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20211210

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20220510

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20220523

R151 Written notification of patent or utility model registration

Ref document number: 7087515

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151