JP4832516B2 - ネットワークアクセス制御方法、ネットワークアクセス制御システム、認証処理装置、アクセス制御装置、代理要求装置およびアクセス要求装置 - Google Patents

ネットワークアクセス制御方法、ネットワークアクセス制御システム、認証処理装置、アクセス制御装置、代理要求装置およびアクセス要求装置 Download PDF

Info

Publication number
JP4832516B2
JP4832516B2 JP2008517726A JP2008517726A JP4832516B2 JP 4832516 B2 JP4832516 B2 JP 4832516B2 JP 2008517726 A JP2008517726 A JP 2008517726A JP 2008517726 A JP2008517726 A JP 2008517726A JP 4832516 B2 JP4832516 B2 JP 4832516B2
Authority
JP
Japan
Prior art keywords
access
request
access control
proxy
data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2008517726A
Other languages
English (en)
Other versions
JPWO2007138663A1 (ja
Inventor
勝徳 岩本
洋 石西
好織 青柳
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Publication of JPWO2007138663A1 publication Critical patent/JPWO2007138663A1/ja
Application granted granted Critical
Publication of JP4832516B2 publication Critical patent/JP4832516B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2115Third party
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2129Authenticate client device independently of the user

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer And Data Communications (AREA)

Description

本発明は、企業内ネットワークのようにネットワークへの接続が厳密に管理される環境において好適なネットワークアクセス制御方法、ネットワークアクセス制御システム、認証処理装置、アクセス制御装置、代理要求装置およびアクセス要求装置に関する。
近年、コンピュータの小型化・高性能化に伴い、情報端末の利用者が自社のオフィス内に限定せず、移動中や出先等のあらゆる場所で、前記情報端末を活用して業務を遂行することが可能になってきている。情報端末を活用した業務としては、メールやWebアプリケーションを利用する形態が一般的であるため、あらゆる場所でネットワークへの接続環境を維持することは、あらゆる場所で業務を遂行するための必要条件となっている。
一方で、企業のイントラネットワーク等においては、情報漏洩やコンピュータウィルスの侵入等のリスクを回避するために、ネットワークのアクセス管理を厳しく行っており、部外者によるネットワークの接続を排除する傾向にある。この様な規制は、前記リスクを回避するための手段の一つではあるが、社外からの訪問者の利便性を損なうだけで無く、ネットワークを活用した訪問者との共同作業(例えば、電子会議等)も実現不可能となるため、訪問者が持ち込んだ情報端末を適切なアクセス制御ポリシに基づいてネットワークに接続させることは、企業同士の業務連携における重要な課題となっている。
現在、世界に広く普及しているTCP/IPネットワークにおいて、ネットワークに接続しようとする情報端末あるいはその利用者の認証を行い、当該情報端末に対するアクセス制御データを配付する手段として、RADIUS(Remote Authentication Dial In User Service)が存在する。RADIUSについては、RFC2865等に記述されている。
RADIUSによれば、RADIUSサーバはRADIUSクライアントから情報端末に関する認証要求を受信し、前記RADIUSサーバは事前に設定されたアクセス制御ポリシに基づいて情報端末あるいはその利用者を認証し、RADIUSクライアントはRADIUSサーバから当該情報端末に対するアクセス制御データを含む認証応答を受信し、情報端末はRADIUSクライアントから前記アクセス制御データを取得し、情報端末およびRADIUSクライアントは前記アクセス制御データに基づくアクセス制御を実行することにより、情報端末ごとあるいは利用者ごとに適切なアクセス制御ポリシに基づいて、ネットワークへのアクセスを制御することが可能である。
特許文献1:特開2003−345752号公報
特許文献2:特開平08−335208号公報
前記RADIUSサーバは、管理管轄に属していない情報端末あるいは利用者に関する認証要求を受信する時、当該認証要求を前記情報端末の管理元RADIUSサーバに転送し、当該RADIUSサーバから認証応答を受信するプロキシ機能を備えており、管理管轄外の情報端末に対する認証を間接的に実行することができる。
本技術によれば、他社より来訪した社員が持ち込んだ情報端末の認証要求は当該社員の所属先企業のRADIUSサーバに転送され、認証結果は自社ネットワークを管理するRADIUSサ
ーバに返信されるため、自社ネットワークを管理するRADIUSサーバは、ネットワークへの接続を要求しているのが確かに該当企業の社員であり、ネットワークへの接続が許可されたものであるかを確認することができる。即ち、訪問者が持ち込んだ情報端末に対しても自社が管理する情報端末と同様に、適切なアクセス制御ポリシに基づいて、ネットワークへのアクセスを制御することが可能である。
しかし、前記技術におけるプロキシ機能では自社及び管理元のRADIUSサーバが連携することが前提となるため、自社及び管理元ネットワークがともにRADIUSによる認証方式を採用し、両方のRADIUSサーバ同士が通信可能な環境を構築にしておく必要がある。加えて、管理元のRADIUSサーバによる認証結果に基づいて、自社ネットワークのアクセス制御を実現するため、企業間で事前に適切な契約あるいはルールを交わしておくことが必要であり、限られた部門同士の業務連携や短期間の業務連携における実現手段とする場合において、導入のための敷居が高く、また柔軟性にかけるという問題がある。
一方、業務連携の期間中だけ、自社ネットワークのRADIUSサーバに他社社員の情報端末に対するアクセス制御ポリシを設定し、一時的に自社ネットワークの管理管轄におくことにより、自社情報端末と同様にアクセス制御を実現する運用も可能であるが、アクセス制御ポリシの設定に関わる手続きにおける手間の発生による管理コストの増加や期間終了後の認証情報の削除漏れ等によるセキュリティ低下の問題がある。
なお、以上説明したRADIUS以外に本発明に関連する技術として、特開2003−345752号公報及び特開平08−335208号公報に開示される技術が存在する。この公知技術は、前者がユーザ端末からの要求に応じてサービス提供サーバへのログインを代行する認証管理サーバに関するものであり、後者がアクセス要求ノードの代わりに他の正当性の確認を経たノードがアクセス対象のノードにアクセス要求をアクセス要求ノードの情報を用いてアクセスするものである。前者の公知技術は既に説示した問題を解決することができないことは明らかであり、後者の公知技術を適用した場合であっても、例えば、他社より来訪した社員が持ち込んだ情報端末の代わりに自社が管理する情報端末がRADIUSクライアントを経てRADIUSサーバに対して認証要求するものの、認証の対象となる情報が他社より来訪した社員又はその社員が持ち込んだ情報端末の情報(ID及びパスワード等)であり、結局のところ、認証を実行するためにその社員が所属する組織のRADIUSサーバとの連携が別途必要となり、前記問題を解決することはできない。
本発明は、上記の点に鑑みなされたものであり、外部ネットワークのサーバに認証要求を転送する必要がなく、管理管轄外の情報端末に対するアクセス制御ポリシを時限的に設定する必要がない、管理管轄に属していない情報端末あるいは利用者が対象ネットワークを利用することができるネットワークアクセス制御方法、ネットワークアクセス制御システム、認証処理装置、アクセス制御装置、代理要求装置及びアクセス要求装置を提供することを総括的な目的とする。
発明に係るネットワークアクセス制御方法は、アクセス制御装置がネットワークへのアクセスを試みるアクセス要求装置からのネットワークアクセスを制御するネットワークアクセス制御方法であって、代理要求装置は、前記アクセス要求装置からの当該アクセス要求装置の識別情報を含むアクセス要求を受信して前記代理要求装置の利用者の許可を受け、前記アクセス要求装置の識別情報及び前記代理要求装置の認証データを含む代理アクセス要求を前記アクセス制御装置に行う第1のステップと、前記アクセス制御装置が前記代理アクセス要求のアクセス要求装置の識別情報を記録すると共に、前記代理要求装置の認証データを含む許諾認証要求を認証処理装置に行う第2のステップと、前記認証処理装置は、前記許諾認証要求の認証データを認証処理し、許諾認証要求した前記アクセス制御装置に認証処理結果に基づいたアクセス制御データを配付する第3のステップと、前記アクセス制御装置が前記認証処理装置から配布されたアクセス制御データに基づいて記録した前記アクセス要求装置の識別情報で識別される当該アクセス要求装置からのネットワークアクセスを制御する第4のステップとを含み、前記第1のステップにおいて、前記代理要求装置が、前記アクセス要求が送信されたアクセス要求装置を識別する情報又は当該アクセス要求装置を利用する利用者を識別する情報と共に、前記アクセス要求装置がネットワークへのアクセスを要求している旨を示す情報及び当該要求を許可するか否かを示す回答を入力するための情報を表示し、前記利用者からの回答を示す入力指示情報に基づいて、前記利用者の許可を受けて、前記代理アクセス要求を前記アクセス制御装置に行うものである。

このように本発明によれば、アクセス要求装置が認証処理装置に直接要求するのではなく、アクセス要求装置の要請を受けて代理要求装置が認証処理装置に自己の認証データで要求し、認証処理装置がその要請を受けて認証処理結果に基づくアクセス制御データをアクセス制御装置に配布するので、管理管轄外の情報端末であるアクセス要求装置であっても、このアクセス要求装置が管理管轄内の情報端末である代理要求装置にアクセス要求して代理要求装置、アクセス制御装置及び認証処理装置の処理が実行された後であれば、アクセス要求したアクセス要求装置からのネットワークのアクセスに対してアクセス制御装置の制御が変わってネットワークへアクセスすることができるという効果を奏する。
アクセス要求装置は代理要求装置を介してアクセス制御データを受ける構成とすることもできるが、アクセス要求装置が代理要求装置にアクセス要求した後に、アクセス要求装置がアクセス制御装置に所定間隔で情報を送信する構成の場合には代理要求装置を介してアクセス制御データをアクセス要求装置が受ける必要は必ずしもない。
発明に係るネットワークアクセス制御方法は、アクセス制御装置がネットワークへのアクセスを試みるアクセス要求装置からのネットワークアクセスを制御するネットワークアクセス制御方法であって、代理要求装置は、前記アクセス要求装置からの当該アクセス要求装置の識別情報を含むアクセス要求を受信して前記代理要求装置の利用者の許可を受け、前記アクセス要求装置の識別情報及び前記代理要求装置の認証データを含む代理アクセス要求を前記アクセス制御装置に行う第1のステップと、前記アクセス制御装置が前記代理アクセス要求のアクセス要求装置の識別情報を記録すると共に、前記代理要求装置の
認証データを含む許諾認証要求を認証処理装置に行う第2のステップと、前記認証処理装置は、前記許諾認証要求の認証データを認証処理し、許諾認証要求した前記アクセス制御装置に認証処理結果に基づいたアクセス制御データを配付する第3のステップと、前記アクセス制御装置が前記認証処理装置から配布されたアクセス制御データを記録すると共に、アクセス制御データを代理アクセス要求した前記代理要求装置に送信する第4のステップと、前記代理要求装置が前記アクセス制御装置から送信されたアクセス制御データをアクセス要求した前記アクセス要求装置に送信する第5のステップと、前記アクセス要求装置が前記代理要求装置から送信されたアクセス制御データを記録する第6のステップと、前記代理要求装置からのアクセス制御データを記録した後に、前記アクセス要求装置が記録したアクセス制御データに基づくネットワークアクセスを実行する第7のステップと、前記アクセス制御装置が記録したアクセス制御データに基づいて記録した前記アクセス要求装置の識別情報で識別される当該アクセス要求装置からのネットワークアクセスを制御する第8のステップとを含み、前記第1のステップにおいて、前記代理要求装置が、前記アクセス要求が送信されたアクセス要求装置を識別する情報又は当該アクセス要求装置を利用する利用者を識別する情報と共に、前記アクセス要求装置がネットワークへのアクセスを要求している旨を示す情報及び当該要求を許可するか否かを示す回答を入力するための情報を表示し、前記利用者からの回答を示す入力指示情報に基づいて、前記利用者の許可を受けて、前記代理アクセス要求を前記アクセス制御装置に行うものである。

アクセス要求装置が受けるアクセス制御情報には、アクセス要求装置がネットワークへ情報を送信する場合に送信情報に付加する必要のある情報を含んでいることが望ましい。アクセス制御装置に送信情報に付加する必要のある情報を含んでいない場合には、ネットワークへアクセスすることが可能となった後に、別の装置からその情報を受けてもよい。その情報は、たとえば、IPアドレス、サブネットマスク、デフォルトゲートウェイである。別の装置は、たとえば、DHCP(Dynamic Host Configuration Protocol)サーバである。
[3] 本発明に係るネットワークアクセス制御方法は必要に応じて、前記アクセス制御データにはアクセス制御データの有効時間が含まれ、前記アクセス制御装置が記録したアクセス制御データの有効時間が満了した場合には、アクセス制御装置が該当アクセス制御データを削除するステップを新たに含むものである。
このように本発明によれば、アクセス制御データの有効時間が満了するとアクセス制御装置が該当アクセス制御データを削除するので、アクセス制御装置が認証処理装置からアクセス制御装置を受ける前と同じようにアクセス要求装置の識別情報で識別されるアクセス要求装置からのネットワークのアクセスを制御し、このアクセス要求装置がネットワークにアクセスすることができなくなり、一旦ネットワークへのアクセスを許可された場合であっても永続的にネットワークへアクセスできるのではなく、許された時間のみネットワークのアクセスがアクセス要求装置に与えられ、必要範囲で適切なネットワークアクセスの制御を実現することができるという効果を有する。
[4] 本発明に係るネットワークアクセス制御方法は必要に応じて、前記アクセス要求装置は、アクセス制御データの有効時間の少なくとも満了前に、前記アクセス要求した代理要求装置に対してアクセス要求を送信するステップを新たに含むものである。
このように本発明によれば、アクセス要求装置がアクセス制御データの有効時間の満了前に代理要求装置に対してアクセス要求するので、アクセス制御装置で有効時間の満了と共に削除される予定のアクセス制御データが削除されず、当初のアクセス制御データの有効時間の満了以降もアクセス要求装置がネットワークへアクセスすることができるという効果を有する。
代理要求装置に対する再度のアクセス要求により、最初にアクセス要求したように処理してアクセス制御装置に認証処理装置からのアクセス制御データが再配布される構成であってもよいが、代理要求装置からのアクセス制御装置へアクセス要求装置のネットワークアクセスの延長を要請する構成であってもよい。この要請時にはアクセス要求装置の識別情報の他、追加する有効時間を伴わせてもよい。
発明に係るネットワークアクセス制御システムは、アクセス制御装置がネットワークへのアクセスを試みるアクセス要求装置からのネットワークアクセスを制御するネットワークアクセス制御システムであって、代理要求装置及び認証処理装置を含み、前記代理要求装置は、前記アクセス要求装置からの当該アクセス要求装置の識別情報を含むアクセス要求を受信する手段、アクセス要求してきた前記アクセス要求装置からのアクセス要求に対する前記代理要求装置の利用者の許可を受ける許可受付手段、及び、前記代理要求装置の利用者の許可を受けた後に前記アクセス要求装置の識別情報及び前記代理要求装置の認証データを含む代理アクセス要求を前記アクセス制御装置に行う手段を含み、前記アクセス制御装置は、前記代理アクセス要求のアクセス要求装置の識別情報を記録する手段、前記代理要求装置の認証データを含む許諾認証要求を前記認証処理装置に行う手段、及び、前記認証処理装置から配布されるアクセス制御データに基づいて記録した前記アクセス要求装置の識別情報で識別される前記アクセス要求装置からのネットワークアクセスを制御する手段を含み、前記認証処理装置は、前記許諾認証要求の認証データを認証処理する手段、及び、許諾認証要求した前記アクセス制御装置に認証処理結果に基づいたアクセス制御データを配付する手段を含み、前記許可受付手段が、前記アクセス要求が送信されたアクセス要求装置を識別する情報又は当該アクセス要求装置を利用する利用者を識別する情報と共に、前記アクセス要求装置がネットワークへのアクセスを要求している旨を示す情報及び当該要求を許可するか否かを示す回答を入力するための情報を表示し、前記利用者からの回答を示す入力指示情報を受け付けるものである。

発明のネットワークアクセス制御方法は、管理管轄に属する情報端末である代理要求装置が管理管轄外の情報端末であるアクセス要求装置に代わってアクセス制御データの取得を行うネットワークアクセス制御方法であって、代理要求装置はアクセス要求装置からのアクセス要求の受信を契機にアクセス制御データの取得処理を実行し、認証処理装置は代理要求装置に対する認証結果を元に、アクセス要求装置に対するアクセス制御データの配付を行い、アクセス制御装置は前記代理要求装置による取得処理において配付された前記アクセス制御データに基づいてネットワークアクセス制御を行い、前記アクセス要求装置は前記アクセス要求の応答によって前記代理要求装置から取得した前記アクセス制御データに基づくネットワークアクセスを実行し、前記代理要求装置が、前記アクセス要求装置からのアクセス要求を受信し、当該アクセス要求が送信されたアクセス要求装置を識別する情報又は当該アクセス要求装置を利用する利用者を識別する情報と共に、前記アクセス要求装置がネットワークへのアクセスを要求している旨を示す情報及び当該要求を許可するか否かを示す回答を入力するための情報を表示し、前記利用者からの回答を示す入力指示情報を受け付け、当該入力指示情報に基づいて前記要求が許可される場合に、アクセス制御データの取得処理を実行するものである。
これら前記の発明の概要は、本発明に必須となる特徴を列挙したものではなく、これら複数の特徴のサブコンビネーションも発明となり得る。
本発明によれば、ネットワークに接続するための認証処理は自社のネットワーク内に閉じられるため、企業同士のサーバ連携を必要としない。また、アクセス要求装置のネットワークアクセスに際して、代理要求装置が認証手続きを実行する過程でアクセス制御装置および前記アクセス要求装置にアクセス制御データを配付することが可能であるため、前記アクセス要求装置によるネットワークアクセスが適切な権利を有する情報端末あるいは利用者によって許諾されたことを確認することができる。これらの特徴により、本発明によるネットワークアクセス制御方法は従来技術と比較して、より簡易且つ柔軟に来訪者が持ち込んだ情報端末を適切なアクセス制御ポリシに基づいてネットワークに接続させることができる。
本発明のネットワークアクセス制御システムの一実施形態のシステム構成図である。 ネットワークアクセス制御システムの構成要素が構築されているコンピュータのハードウェア構成図である。 認証処理装置の機能ブロック図である。 アクセス制御装置の機能ブロック図である。 代理要求装置の機能ブロック図である。 アクセス要求装置の機能ブロック図である。 認証管理データの構成図である。 アクセス管理データの構成図である。 アクセス制御データの構成図である。 認証処理装置が実行する処理のフローチャートである。 アクセス制御装置が実行する処理のフローチャートである。 アクセス制御装置が実行する処理のフローチャートである。 代理要求装置が実行する処理のフローチャートである。 アクセス要求装置が実行する処理のフローチャートである。 本発明のネットワークアクセス制御シーケンスを説明するための図である。 代理要求装置のディスプレイ上のウィンドウ表示例である。 本発明のネットワークアクセス制御シーケンスを説明するための図である。 本発明のネットワークアクセス制御システムの実施例1のシステム構成図である。 実施例1の認証管理データの構成例を示す図である。 実施例1のアクセス管理データの構成例を示す図である。 実施例1のアクセス制御データの構成例を示す図である。 実施例1のネットワークアクセス制御シーケンスを説明するための図である。 本発明のネットワークアクセス制御システムの実施例2のシステム構成図である。 実施例2の認証管理データの構成例を示す図である。 実施例2のアクセス管理データの構成例を示す図である。 実施例2のアクセス制御データの構成例を示す図である。 実施例2のネットワークアクセス制御シーケンスを説明するための図である。
符号の説明
10 認証処理装置
11 データ送受信部
12 認証要求処理部
13 認証管理データ
20 アクセス制御装置
21 データ送受信部
22 アクセス制御部
23 アクセス管理データ
24 アクセス要求処理部
30 代理要求装置
31 データ送受信部
32 アクセス要求処理部
33 認証データ
40 アクセス要求装置
41 データ送受信部
42 アクセス要求実行部
43 装置識別データ
44 アクセス処理部
45 アクセス実行データ
100 コンピュータ
111 CPU
112 RAM
113 ROM
114 フラッシュメモリ
115 HD
116 LANカード
117 マウス
118 キーボード
119 ビデオカード
119a ディスプレイ
120 サウンドカード
120a スピーカ
121 ドライブ
ここで、本発明は多くの異なる形態で実施可能である。したがって、下記の実施形態の記載内容のみで解釈すべきではない。また、実施形態の全体を通して同じ要素には同じ符号を付けている。
実施形態では、主にシステムについて説明するが、所謂当業者であれば明らかな通り、本発明はコンピュータで使用可能なプログラム、方法としても実施できる。また、本発明は、ハードウェア、ソフトウェア、または、ソフトウェア及びハードウェアの実施形態で実施可能である。プログラムは、ハードディスク、CD−ROM、DVD−ROM、光記憶装置または磁気記憶装置等の任意のコンピュータ可読媒体に記録できる。さらに、プログラムはネットワークを介した他のコンピュータに記録することができる。
1.第1の実施形態
以下、図面に基づいて本発明の実施形態について説明する。
[1]システム構成
図1は、本発明のネットワークアクセス制御システムのシステム構成図を示す。同図中に示す通り、ネットワークアクセス制御システムは、認証処理装置10、アクセス制御装置20、代理要求装置30及びアクセス要求装置40からなる。認証処理装置10とアクセス制御装置20とは通信ネットワーク50を介して情報を送受信できる。アクセス制御装置20と代理要求装置30及びアクセス要求装置40とは少なくとも物理層において通信可能な状態となっている。認証処理装置10およびアクセス制御装置20および代理要求装置30および通信ネットワーク50は、同一の管理管轄に属するものであって、アクセス要求装置40は、これらとは異なる管理管轄に属するものである。
[2]ハードウェア構成
図2はネットワークアクセス制御システムの構成要素が構築されているコンピュータのハードウェア構成図である。
代理要求装置30が構築されているコンピュータ100は、CPU(Central Processing Unit)111、RAM(Random Access Memory)112、ROM(Read Only Memory)113、フラッシュメモリ(Flash memory)114、外部記憶装置であるHD(Hard disk)115、LAN(Local Area Network)カード116、マウス117、キーボード118、ビデオカード119、このビデオカード119と電気的に接続する表示装置であるディスプレイ119a、サウンドカード120、このサウンドカード120と電気的に接続する音出力装置であるスピーカ120a及びフロッピーディスク(登録商標)、CD−ROM、DVD−ROM等の記憶媒体を読み書きするドライブ121からなる。前記LANカード116は無線LAN用のLANカードである。アクセス要求装置40が構築されているコンピュータも同様のハードウェア構成である。ここでは、代理要求装置30及びアクセス要求装置40がノートパソコン、デスクトップパソコン、Tablet PC等の一般的なPC(Personal Computer)に構築されている例のハードウェア構成例を示したが、PDA(Personal Digital Assistant)、携帯電話、PHS等に構築することもできる。なお、現在すでに無線LAN対応の携帯電話が公知となっている。
代理要求装置30として機能するためのプログラムがコンピュータ100にインストール(Install、セットアップと呼ぶこともある)されてコンピュータ上に代理要求装置30が構築される。アクセス要求装置40も同様である。
認証処理装置10は通常サーバ用コンピュータに構築され、通常、コンピュータ100とハードウェア構成は同様である。
[3]システムの構成要素
以下に、各構成要素についての説明を述べる。
<認証処理装置>
認証処理装置は、アクセス制御装置20からの要求に応じて認証処理を実行し、認証の結果に応じてアクセス制御データの配付を行う装置であって、企業内ネットワークのように限定的な範囲を管理する認証サーバに相当する。通常、認証サーバは事前に設定されたアクセス制御ポリシに基づいて、認証対象の情報端末あるいは利用者に対するアクセス制御を実現するためのアクセス制御データを配付する手段を備える。
一方、本発明の認証処理装置10は、上記に加えて、認証対象の情報端末あるいは利用者が第三者に対して許諾可能なサービスを管理する機能を備えており、代理要求装置30から許諾認証要求を受信時、代理要求装置30が第三者に許諾するアクセス制御を実現するためのアクセス制御データを生成する手段と、前記許諾認証要求に対応する許諾認証応答に前記アクセス制御データを含めてアクセス制御装置20に配付する手段を備える。
図3は、認証処理装置の構成図を示す。データ送受信部11は、装置外部との通信に関してデータの送受信を行う機能部である。認証要求処理部12は、データ送受信部11より受信した認証要求および許諾認証要求に応じて情報端末あるいは利用者の認証処理を行う機能部であって、認証管理データより認証対象の情報端末に対応するエントリのデータを抽出する。また、認証要求処理部12は、認証処理結果を元に前記認証管理データより前記情報端末が第三者に許諾可能なサービスに関するアクセス制御データを生成し、認証応答あるいは許諾認証応答を生成した後、データ送受信部11に対して当該応答の送信を要求する。
図7(ここで、図の順序は図面の見易さの観点から説明の順序と異なる)は、認証管理データの構成を示す。認証管理データは、管理対象である情報端末あるいは利用者毎に設定される認証処理データの集まりで構成される。認証処理データは、前記情報端末あるいは利用者を認証するための認証データと、当該情報端末あるいは利用者に対するアクセスの実行可否を示すアクセス認可データと、当該情報端末あるいはユーザが第三者に対して許諾するアクセスの実行可否を示す許諾アクセス認可データによって構成される。尚、認証データおよびアクセス認可データの構成については、本発明では制限されず、一般的な認証サーバの構成に従うものとする。例えば、認証データはIDとパスワードの組み合わせを使用することが可能であり、アクセス認可データはネットワークへの接続可否や通信品質等を利用することが可能である。また、許諾アクセス認可データの構成はアクセス認可データと同じでも良いが、内容は同じである必要はない。例えば、ある情報端末に対応するエントリにおいて、アクセス認可データに「ネットワーク接続可」を設定し、許諾アクセス認可データに「ネットワーク接続不可」を設定しても良い。
図9は、アクセス制御データの構成を示す。アクセス制御データは、アクセス認可データとアクセス実行データで構成されるが、アクセス要求装置40がアクセスを実行するために特別な情報を必要としない場合は、アクセス実行データは不要である。尚、アクセス実行データの構成については、本発明では制限されず、一般的な認証サーバの構成に従うものとする。また、前記許諾認証応答に対するアクセス制御データの生成時は、アクセス制御データのアクセス認可データとして、認証処理データの許諾アクセス認可データを設定する。
<アクセス制御装置>
アクセス制御装置は、アクセス制御データに基づき情報端末のネットワークアクセスを制御する装置であって、NAS(Network Access Server)や無線アクセスポイント等に相当する。通常、アクセス制御装置は認証処理が完了していない情報端末によるネットワークのアクセスを排除する機能や認証処理が完了した情報端末によるネットワークアクセスに関して適切な通信品質を提供する機能等を備える。
一方、本発明のアクセス制御装置20は、上記に加えて、代理要求装置30からの代理アクセス要求の受信を契機に認証処置装置10に対して許諾認証要求を送信する手段と、認証処理装置10から前記許諾認証要求に対する許諾認証応答を受信する手段と、前記許諾認証応答に含まれるアクセス要求装置40に対するアクセス制御データを抽出し設定することで、認証対象の情報端末が許諾した情報端末、即ちアクセス要求装置40に対するアクセス制御を実行する手段を備える。
図4は、アクセス制御装置の構成図を示す。データ送受信部21は、装置外部との通信に関してデータの送受信を行う機能部である。アクセス制御部22は、アクセス制御装置20を経由するデータにするアクセス制御を実行する機能部であって、データ送受信部21より受信したデータの送信元情報端末に対応するアクセス制御処理データをアクセス管理データ23より抽出し、アクセス制御処理データに基づいてデータの破棄や通信品質の適用等を行い、当該データがアクセス制御装置20を通過可能である場合には、当該データの送信をデータ送受信部21に要求する。また、アクセス要求処理部24からの要求に応じてアクセス制御データをアクセス管理データに設定する。アクセス要求処理部24は、データ送受信部21より受信したアクセス要求あるいは代理アクセス要求あるいは認証応答あるいは許諾認証応答に対応する処理を実行する機能部であって、代理アクセス要求を受信時、許諾認証要求を生成してデータ送受信部21に対して当該許諾認証要求の送信を要求する。また、許諾認証応答を受信時、当該許諾認証応答に含まれるアクセス制御データを抽出し、アクセス制御部22にアクセス制御データの設定を要求した後、前記許諾認証応答に対応する代理アクセス応答を生成し、データ送受信部21に対して当該代理アクセス応答の送信を要求する。
図8は、アクセス管理データの構成を示す。アクセス管理データ23は、アクセス制御装置20が管理する情報端末毎にこれを識別するための装置識別データと当該情報端末に対するアクセスの実行可否を示すアクセス認可データによって構成される。尚、装置識別子の内容は本発明では制限されず、当該情報端末に対するアクセス制御を行う上で前記情報端末を特定できるものであれば良い。例えば、MACアドレスやIPアドレスや接続先のデバイスのポート番号等を利用することができる。
<代理要求装置>
代理要求装置30は、メールやWebアプリケーションを実行する装置であって、通信手段を有するPC(Personal Computer)やPDA(Personal Digital Assistant)等の情報端末に相当する。通常、アクセス制御データに基づいてネットワークにアクセスする機能を備える。
一方、本発明の代理要求装置30は、上記に加えて、アクセス要求装置40からのアクセス要求を受信する手段と、前記アクセス要求の受信を契機にアクセス制御装置20に対して代理アクセス要求を送信する手段と、前記代理アクセス要求に対応する代理アクセス応答を受信する手段と、前記代理アクセス応答の受信を契機に前記アクセス要求装置40に対してアクセス応答を送信する手段を備える。
図5は、代理要求装置の構成図を示す。データ送受信部31は、装置外部との通信に関してデータの送受信を行う機能部である。アクセス要求処理部32は、データ送受信部31より受信したアクセス要求あるいは代理アクセス応答に対応する処理を実行する機能部であって、アクセス要求を受信時、認証処理装置10が当該代理要求装置30を認証するための認証データ33を抽出し、抽出した認証データ33を含む代理アクセス要求を生成した後に、データ送受信部31に対して当該代理アクセス要求の送信を要求する。また、アクセス要求処理部32は、代理アクセス応答を受信時、当該代理アクセス応答に対応するアクセス応答を生成し、データ送受信部31に対して当該アクセス応答の送信を要求する。認証データ33は、認証処理装置10が当該代理要求装置30を認証するための認証データを格納する。ここで、認証データの内容は認証処理装置10の認証管理データにおける当該代理要求装置30に対する認証処理データの認証データに相当し、これと一致しなければならない。
<アクセス要求装置>
アクセス要求装置は、メールやWebアプリケーションを実行する装置であって、通信手段を有するPCやPDA等の情報端末に相当する。通常、アクセス制御データに基づいてネットワークにアクセスする機能を備える。
一方、本発明のアクセス要求装置40は、上記に加えて、前記代理要求装置30に対してアクセス要求を送信する手段と、前記アクセス要求に対応するアクセス応答を受信時、前記アクセス応答に含まれるアクセス制御データを抽出して設定する手段を備える。
図6は、アクセス要求装置の構成図を示す。データ送受信部41は、装置外部との通信に関してデータの送受信を行う機能部である。アクセス要求実行部42は、アクセス要求およびアクセス応答を処理する機能部であって、ネットワークにアクセスする際、装置識別データ43の抽出を実行し、取得した装置識別データ43を含むアクセス要求を生成した後、データ送受信部41に対して当該アクセス要求の送信を要求する。また、アクセス要求実行部42は、アクセス応答を受信時、当該アクセス応答に含まれるアクセス制御データを抽出し、アクセス処理部44に対してアクセス制御データ45の設定を要求する。装置識別データ43は、代理要求装置30が当該アクセス要求装置40を識別するためデータを格納し、前記アクセス制御装置20のアクセス管理データ23に含まれる装置識別データに該当する。アクセス処理部44は、取得したアクセス制御データに基づくネットワークアクセスを実行する機能部であって、当該アクセス要求装置40の利用者からの指示に従って、メールやWebアプリケーションの通信データの送信をデータ送受信部41に要求する。また、アクセス要求実行部42からの要求に従い、アクセス制御データに含まれるアクセス実行データを設定する。
<通信ネットワーク>
通信ネットワーク50は、前記装置間あるいは他のサーバや情報端末間で行われる通信に関してデータの送達を行うネットワークであって、企業のイントラネットワーク(Intranet ,Intranetwork)等に相当する。イントラネットワークの具体的ネットワーク構成は当業者であれば適宜構築することができるので、ここでは詳説しない。ネットワーク構成の構成要素としては、LANケーブル等の通信ケーブル、リピータ、HUB、レイヤ2スイッチ、ルータ、レイヤ3スイッチ等のネットワーク機器がある。
[4]システム動作
<認証処理装置の処理>
図10は、認証処理装置が実行する処理のフローチャートを示す。図10のステップS101で、外部から何らかのデータを受信したかを判定する。ここで、受信していた場合にはステップS102に移行し、受信していなかった場合は処理を終了する。
ステップS102では、受信したデータが認証要求であるかを判定する。認証要求であればステップS103に移行し、認証要求でなければステップS106に移行する。
ステップS103では、認証要求に含まれる認証データを元に認証管理データ13より対応する情報端末あるいは利用者の認証処理データを抽出する。
ステップS104では、認証要求に含まれる認証データと前記認証処理データから抽出した認証データを比較することによって認証処理を実行する。具体的には、認証要求に含まれるIDとパスワードが認証処理データに含まれるIDとパスワードに一致するか等の判定を行う。
ステップS105では、ステップS104の結果を元に認証応答を生成し、これを認証要求の送信元すなわちアクセス制御装置20に送信する。この時、前記認証応答には認証処理の結果を含め、結果が正常であった場合は、さらにアクセス制御データを付加する。ここで、アクセス制御データのアクセス認可データは、認証処理データのアクセス認可データを設定する。
ステップS106では、受信したデータが許諾認証要求であるかを判定する。許諾認証要求であればステップS107に移行し、許諾認証要求でなければ処理を終了する。
ステップS107では、許諾認証要求に含まれる認証データを元に認証管理データ13より対応する情報端末あるいは利用者の認証処理データを抽出する。
ステップS108では、許諾認証要求に含まれる認証データと前記認証処理データから抽出した認証データを比較することによって認証処理を実行する。具体的には、許諾認証要求に含まれるIDとパスワードが認証処理データに含まれるIDとパスワードに一致するか等の判定を行う。
ステップS109では、ステップS108の結果を元に許諾認証応答を生成し、これを許諾認証要求の送信元すなわちアクセス制御装置20に送信する。この時、前記許諾認証応答には認証処理の結果を含め、結果が正常であった場合は、さらにアクセス制御データを付加する。ここで、アクセス制御データのアクセス認可データは、認証処理データの許諾アクセス認可データを設定する。
<アクセス制御装置の処理>
図11と図12は、アクセス制御装置が実行する処理のフローチャートを示す。図11のステップS201で、外部から何らかのデータを受信したかを判定する。ここで、受信していた場合にはステップS202に移行し、受信していなかった場合は処理を終了する。
ステップS202では、受信したデータがアクセス要求であるかを判定する。アクセス要求であればステップS203に移行し、アクセス要求でなければステップS204に移行する。
ステップS203では、アクセス要求に含まれる認証データを元に認証要求を生成し、これを認証処理装置10に送信する。
ステップS204では、受信したデータが代理アクセス要求であるかを判定する。代理アクセス要求であればステップS205に移行し、代理アクセス要求でなければステップS206に移行する。
ステップS205では、代理アクセス要求に含まれる認証データを元に許諾認証要求を生成し、これを認証処理装置10に送信する。
ステップS206では、受信したデータが認証応答であるかを判定する。認証応答であればステップS207に移行し、認証応答でなければステップS209に移行する。
ステップS207では、認証応答に含まれる認証結果を確認し、結果が正常であった場合は、当該認証応答に含まれるアクセス制御データと先に受信したアクセス要求に含まれる装置識別データを元にアクセス制御処理データを生成し、アクセス管理データ23に設定する。
ステップS208では、受信した認証応答を元にアクセス応答を生成し、これを代理要求装置30に送信する。
ステップS209では、受信したデータが許諾認証応答であるかを判定する。許諾認証応答であればステップS210に移行し、許諾認証応答でなければステップS212に移行する。
ステップS210では、許諾認証応答に含まれる認証結果を確認し、結果が正常であった場合は、当該許諾認証応答に含まれるアクセス制御データと先に受信した代理アクセス要求に含まれる装置識別データを元にアクセス制御処理データを生成し、アクセス管理データ23に設定する。
ステップS211では、受信した許諾認証応答を元に代理アクセス応答を生成し、これを代理要求装置30に送信する。
ステップS212では、受信したデータの送信元情報に含まれる装置識別データを元に、当該装置識別データに対応するアクセス制御処理データをアクセス管理データ23から抽出する。
ステップS213では、ステップS212で抽出した情報を元にアクセス制御を実行する。具体的には、ネットワークアクセスが許可されている場合には、受信したデータを宛先情報に従って転送する。また、通信品質に関して優先度が高く設定されている場合には、優先的に転送処理を実行する。ここで、該当するアクセス制御処理データが存在しない場合、すなわち適切な認証手続きが完了していない情報端末からデータを受信した場合は、デフォルトの設定に従い処理を行う。例えば、受信したデータを廃棄する。
<代理要求装置の処理>
図13は、代理要求装置が実行する処理のフローチャートを示す。図13のステップS301で、外部から何らかのデータを受信したかを判定する。ここで、受信していた場合にはステップS302に移行し、受信していなかった場合は処理を終了する。
ステップS302では、受信したデータがアクセス要求であるかを判定する。アクセス要求であればステップS303に移行し、アクセス要求でなければステップS306へ移行する。
ステップS303では、受信したアクセス要求に含まれる装置識別データを元に、代理要求を実行するかを判定する。ここで、代理要求を実行する場合はステップS304へ移行し、実行しない場合は処理を終了する。尚、本発明では代理要求の実行可否を判定する方法については限定しないが、代理要求装置30の画面上に前記装置識別データを表示させ、代理要求装置30の利用者に実行可否を問い合わせることで、前記利用者の意思を確認する方法が望ましい。
ステップS304では、代理要求装置30自体あるいはその利用者の認証データを抽出する。
ステップS305では、受信したアクセス要求に含まれる装置識別データおよびステップS304で抽出した認証データを元に、代理アクセス要求を生成し、これをアクセス制御装置20に送信する。
ステップS306では、受信したデータが代理アクセス応答であるかを判定する。代理アクセス応答であればステップS307に移行し、代理アクセス応答でなければ処理を終了する。
ステップS307では、受信した代理アクセス応答を元にアクセス応答を生成し、これをアクセス要求装置40に送信する。
<アクセス要求装置の処理フロー>
図14は、アクセス要求装置が実行する処理のフローチャートを示す。図14のステップS401で、外部から何らかのデータを受信したかを判定する。ここで、受信していた場合にはステップS402に移行し、受信していなかった場合は処理を終了する。
ステップS402では、受信したデータがアクセス応答であるかを判定する。アクセス応答であればステップS403に移行し、アクセス応答でなければステップS404に移行する。
ステップS403では、受信したアクセス応答からアクセス制御データを抽出し、アクセス制御データにアクセス実行データが含まれる場合には、これを設定する。
ステップS404では、アクセス要求を送信するかを判定する。ここで、アクセス要求を送信する場合はステップS405に移行し、送信しない場合は処理を終了する。尚、本発明ではアクセス要求を送信するかしないかの判定方法については限定しないが、ネットワークへのアクセスを試みた際に、アクセス制御装置20からアクセス不可の通知を受信したことを契機にアクセス要求を送信すると判断しても良い。
ステップS405では、アクセス要求装置40を識別するための装置識別データの抽出を行う。
ステップS406では、ステップS405で抽出した装置識別データを含むアクセス要求を生成し、これを代理要求装置30に送信する。ここで、前記アクセス要求にはアクセスを試みるアクセス制御装置20の識別子を含めても良い。アクセス制御装置20の識別子は、アクセス制御装置20が周期的に報知するメッセージに含めることあるいは前記アクセス不可の通知に含めることにより取得可能である。尚、本発明では代理要求装置30にアクセス要求を送信する方法は限定しない。無線の電波到達範囲内あるいは有線のサブネット内にブロードキャストする方法や赤外線による直接的な通信手段を選択することが可能である。
<アクセス制御処理のシーケンス>
図15は、アクセス制御処理のシーケンスを説明するための図である。同図中、括弧付き数字は以下の説明と対応している。
(1)アクセス要求装置40は、同装置を識別可能な装置識別データを含むアクセス要求を代理要求装置30に送信する。
(2)代理要求装置30は、アクセス要求を受信時、当該アクセス要求に含まれる装置識別データと同装置に格納された認証データを含む代理アクセス要求を生成し、これをアクセス制御装置20に送信する。
(3)アクセス制御装置20は、代理アクセス要求を受信時、当該代理アクセス要求に含まれる認証データを含む許諾認証要求を生成し、これを認証処理装置10に送信する。
(4)認証処理装置10は、許諾認証要求を受信時、当該許諾認証要求に含まれる認証データを元に認証処理を行い、認証結果に応じた許諾認証応答を生成し、これをアクセス制御装置20に送信する。この時、認証結果が正常であった場合は、当該許諾認証応答にアクセス制御データを含める。
(5)アクセス制御装置20は、許諾認証応答を受信時、当該許諾認証応答に含まれるアクセス制御データを抽出し、(2)で取得した装置識別データと当該アクセス制御データに含まれるアクセス認可データを元にアクセス制御処理データを生成し、これをアクセス管理データ23に設定する。また、当該アクセス制御データを含む代理アクセス応答を生成し、これを代理要求装置30に送信する。
(6)代理要求装置30は、代理アクセス応答を受信時、当該代理アクセス応答を元にアクセス応答を生成し、これをアクセス要求装置40に送信する。
(7)アクセス要求装置40は、アクセス応答で取得したアクセス制御データにアクセス実行データが含まれていた場合、これを設定し、同情報に基づいた通信処理を実行する。
(8)アクセス制御装置20は、通信データを受信時、アクセス管理データ23を元にアクセス制御を実行し、受信データの廃棄あるいは適切な宛先に向けた転送処理を行う。
2.その他の実施形態
[代理要求装置でのユーザインターフェース]
アクセス要求装置40から代理要求装置30に対してアクセス要求が例えば無線LANのアドホックモードでなされ、代理要求装置30ではそのアクセス要求を受け、例えば、図16(a)に示すようなGUI(Graphical User Interface)のウィンドウが表示される。代理要求装置30が「OK」ボタンを押下すれば代理アクセス要求がアクセス制御装置20になされ、「Cancel」ボタンを押下すれば何もしないか、アクセス要求装置40に代理アクセス要求の拒否の旨を通知する。なお、図16(a)のウィンドウ上の「XXX」の部分は、アクセス要求装置40の利用者名又はホスト名が表示される。この利用者名又はホスト名はアクセス要求時にアクセス要求装置40から代理要求装置30に送信されたものである。勿論、利用者名、ホスト名以外に、会社名、所属、電話番号であってもよい。このようにアクセス要求装置40又はその利用者を代理要求装置30の利用者が識別できることで、より安全なネットワークアクセス制御を実現することができる。アクセス要求装置40から受信した情報では代理要求装置30の利用者がアクセス要求装置40又はその利用者を識別することができないときのために、代理要求装置30がアクセス要求装置40に対してさらなる情報提供を要請し、その要請に応えてアクセス要求装置40が代理要求装置30に提供情報を送信する構成にすることもできる。代理要求装置30からの情報提供の要請は「他の情報を提供して下さい」といった一般的な文言でもよいし、「服装?」「マシンの色?」「マシンの種類?」「マシンの型番?」…といった予め用意された文言の中から代理要求装置30の利用者が指定した文言でもよいし、代理要求装置30の利用者自ら作成した文言であってもよい。
[複数アクセス制御装置、複数認証処理装置の構成]
図1にはアクセス制御装置20は1つのみ表示されているが、複数配置された構成であってもよい。アクセス制御装置20を配置させた場所の周辺で社外からの訪問者がアクセス要求装置40を用いて代理要求装置30を介してネットワークアクセスへの許可を得られるため、アクセス制御装置20を複数配置させることで複数の場所で適切なネットワークアクセスが可能となる。
認証処理装置10も図1では1つのみ表示されているが、複数配置された構成であってもよい。認証処理装置10とアクセス制御装置20は通信する必要が、ネットワーク構成により一の認証処理装置10とアクセス制御装置20が通信できない状態となる場合があり、この場合に勿論ネットワーク構成又はネットワーク設定を変更することもできるが通信可能な範囲内のネットワーク内に認証処理装置10を配置させることもできる。そうすると、イントラネットワーク内に複数の認証処理装置10が配置される構成となる。勿論、単に、負荷分散のために認証処理装置10を複数配置する構成であっても構わない。
アクセス制御装置20が複数配置されている構成で、一のアクセス制御装置20と他のアクセス制御装置20が制御対象とするネットワークは異なる構成にすることもできる。これは単に、一のアクセス制御装置20と他のアクセス制御装置20が接続する物理的なネットワークが異なるということだけを意味するのではなく、同じ物理的なネットワーク内に接続した場合にそのネットワークが複数の論理的ネットワークに分けて運用されている場合に一のアクセス制御装置20は一の論理的ネットワークを制御対象とし、他のアクセス制御装置20は他の論理的ネットワークを制御対象としていることも意味する。論理的ネットワークは、サブネットマスクを用いてネットワークを分割して運用して管理する場合に形成される他、VLAN(Virtual LAN)を用いてネットワークを分割して運用して管理する場合等にも形成される。
[対象ネットワークの指定又は制限]
あるアクセス制御装置20が管理対象とする論理的ネットワークその1、論理的ネットワークその2及び論理的ネットワークその3がある場合に、アクセス要求装置40のアクセス要求を受けた代理要求装置30上で図16(b)に示すユーザインターフェースを表示させ、代理要求装置30の利用者の指定を受け、チェックボックスの指定がなされた論理的ネットワークに対して代理アクセス要求をアクセス制御装置20になすこともできる。この場合に、アクセス制御装置20を介して許諾認証要求を受けた認証処理装置10が用いる認証管理データの許諾アクセス認可データは、この代理要求装置30が許可できる論理的ネットワークあるか否かまでを設定可能なデータとすることもできるが、前説したような許諾の可否のみのデータとすることもできる。
また、許諾アクセス認可データで論理的ネットワークまでを設定可能である場合には、代理要求装置30で指定された論理ネットワークであっても対象となる認証データに関連付けされた許諾アクセス許可データで設定されていない論理ネットワークであればアクセス要求装置40のネットワークアクセスはアクセス装置20で許可されない。すなわち、アクセス制御装置20のアクセス管理データ23のアクセス許可データが論理ネットワーク毎に設定され、その設定を受けてアクセス制御装置20はアクセス要求装置40からの情報をアクセス制御する。
さらに、図16(b)では指定できるネットワークがサブウィンドウに表示されているが、このサブウィンドウでの表示を現在の代理要求装置30の認証データに関連付けされた許諾アクセス許可データで設定されている論理ネットワークのみを表示させる構成にすることもできる。そうすることで、代理要求装置30の利用者が折角指定した論理ネットワークに対してアクセス要求装置40の利用者が利用できないといった事態を回避することができる。ここで、サブウィンドウの下に配置された「Detail」ボタンを押下すると、SNMP(Simple Network Management Protocol)に従って実装されたネットワーク管理システムで表示されるサブウィンドウで表示された論理ネットワークよりも詳細なネットワーク構成図が表示される。このネットワーク構成図に表示されるネットワーク構成も現在の代理要求装置30の認証データに関連付けされた許諾アクセス許可データで設定されている論理ネットワークとすることもできる。
ここまで、論理ネットワークについて記述してきたが、指定及び/又は設定された論理ネットワークの代わりにアクセス制御装置20が制御対象とするネットワーク上に接続するコンピュータの中から指定及び/又は設定されたコンピュータであってもよい。つまり、代理要求装置30の利用者が図16(b)で表示されたネットワークの代わりにコンピュータを表示させ、その利用者がアクセス要求装置40を接続してよいコンピュータをネットワークの代わりに指定し、指定されたコンピュータに対してのみアクセス制御装置20がアクセス要求装置40からの情報をアクセス制御する。アクセス管理データ23のアクセス許可データがコンピュータ単位で設定可能な構成とすれば、代理要求装置30の利用者による指定又は認証処理装置10の認証管理データの許諾アクセス許可データでの設定からアクセス制御装置20が該当する認証データに関連付いたアクセス許可データに基づきアクセス要求装置40からの情報をアクセス制御することができる。このようなアクセス制御装置20でのコンピュータ単位での情報のふるいは、IP層でパケットフィルタリング(Packet Filtering)が実現されている周知技術と同様の手法である。つまり、あるアクセス要求装置40からの情報を全て通過させるのではなく、例えば、あるアクセス要求装置40からの情報はアクセス制御装置20上でヘッダが解析され、送信元IPアドレス、送信先IPアドレス、ポート番号が取り出され、指定された組み合わせのヘッダ情報を有するアクセス要求装置40からの情報のみを通過させたり、通過させなかったりすることができる。具体的な運用としては、代理要求装置30の利用者である社内の人が、アクセス要求装置40の利用者である社外の人も電子会議に参加させたい場合に、電子会議が動作する上で必要となるアクセス要求装置40がアクセスする必要があるコンピュータとのみアクセス制御をできるように代理要求装置30で指定する。このとき、その社内の人間が電子会議に係るコンピュータを全て指定することは煩雑となるため、予めコンピュータのグループを設定しておくか、電子会議サービスの指定で自動的に電子会議に係るコンピュータを指定することができる構成であることが望ましい。勿論、ポート番号の指定であってもよく、ポート番号の指定がより簡便である。
[代理要求装置によるアクセス要求装置のネットワークアクセスの禁止、制限及び拡大]
代理要求装置30はアクセス制御装置20から代理アクセス応答を受けることになるが、このときのアクセス制御データを記録しておき、代理要求装置30の利用者の指定のタイミングで自己の代理アクセス要求に係るアクセス要求装置40からのネットワークアクセスを禁止、制限又は拡大することができ、より適切にネットワークアクセスを制御することができる。ここで、アクセス要求装置40からのネットワークアクセスの禁止は現在まで許可していた情報のアクセス制御装置20での通過を禁止するものである。例えば、電子会議等が終了して社外の人がネットワークアクセスにアクセスする必要がなくなった時点で、その社外の人が使用するアクセス要求装置40のアクセス要求を受けて代理アクセス要求を実行した代理要求装置30の利用者がネットワークアクセスの禁止をアクセス制御装置20に通知することで、アクセス制御装置30の該当アクセス許可データを削除又は変更することで実現することができる。変更は一時的にネットワークアクセスを禁止するものであり、禁止を解くこともでき、例えば、小休止で部屋を退出する場合に使用することが可能である。ネットワークアクセスの制限は今まで許可していた範囲を制限するものであり、代理要求装置30の利用者がネットワークアクセスの制限をアクセス制御装置20に通知し、アクセス制御装置20の該当アクセス許可データを変更することで実現することができる。ネットワークアクセスの拡大は今まで許可していた範囲を拡大するものであり、同様に、アクセス制御装置20の該当アクセス許可データを変更することで実現することができる。例えば、アクセスする必要がないコンピュータにパケットが到達していたことをネットワーク管理から指摘を受けて代理要求装置30の利用者がネットワークアクセスを制限し、他方、電子会議等のサービスを受けたいが指定したネットワーク又はコンピュータだけではアクセス要求装置40がサービス提供を受けられない場合に代理要求装置30の利用者がネットワークアクセスを拡大することができる。ネットワークアクセスの拡大の場合は、アクセス要求装置40の利用者がサービスを受けられない旨を代理要求装置30の利用者に口頭で伝えてもよいが、アクセス要求装置40から代理要求装置30へ情報装置することで通知してもよい。
これらネットワークアクセスの禁止、制限及び拡大を代理要求装置30からアクセス制御装置20に直接指示情報を送信してもよいが、禁止を例示した図17に示すように、認証処理装置10を介して認証処理を経て認証処理装置10から更新されたアクセス制御データを配布する構成であってもよい。そうすることで、更新されたアクセス制御データに基づきアクセス制御装置20がアクセス要求装置40からのネットワークアクセスを禁止、制限又は拡大の制御することができる。なお、禁止の場合には、アクセス制御データではなく、既に配布したアクセス制御データの削除を指示する指示情報とすることもできる。
[アクセス制御データへの有効時間の付加]
前記第1の実施形態の認証処理装置10からアクセス制御装置20に配布されるアクセス制御データに有効時間を含ませることもでき、アクセス制御装置20は前記第1の実施形態と同様にアクセス制御データに基づきアクセス要求装置40のネットワークアクセスを制御するものの、最初のアクセス要求装置40のネットワークアクセスから前記有効時間が満了した場合にはアクセス制御データを削除し、以降のアクセス要求装置40からのネットワークアクセスを受け付けない。そうすることで、代理要求装置30の利用者、システム運用者又はネットワーク管理者が明示的にアクセス要求装置40のネットワークアクセスを禁止する指示を行わなくとも、永続的なアクセス要求装置40からのネットワークアクセスを防止することができる。ここで、有効時間は全て同じ設定することもできるし、代理要求装置30でアクセス要求を受けた時点で、代理要求装置30の利用者が指定することもできる。また、「最初のアクセス要求装置40のネットワークアクセスから前記有効時間が満了した場合」としたが、有効時間のカウント開始は最初のアクセス要求装置40のネットワークアクセスの時点の他に、アクセス要求装置40がアクセス要求した時点、代理要求装置30が代理要求した時点、アクセス制御装置20が許諾認証要求した時点の各種要求時点、認証処理装置10が許諾認証応答した時点、アクセス制御装置20が代理アクセス応答した時点、代理要求装置30がアクセス応答した時点の各種応答時点、アクセス制御装置20が転送した時点がある。
また、有効時間の概念を取り入れた場合に、電子会議等のサービスが継続している場合に有効時間が満了したからといってアクセス要求装置40からのネットワークアクセスを受け入れないと電子会議等のサービスが急に受けれなくなったという状況にアクセス要求装置40の利用者が陥ることになる。それに対して、アクセス要求装置40でもアクセス制御装置20での有効時間のカウントを同様にして、有効時間の少なくとも満了前にアクセス要求装置40の利用者の報知するためにディスプレイに有効時間が満了に近いことを出力し、さらに、有効時間を延長するために代理要求装置30に対して再度アクセス要求し、アクセス制御データを再取得する構成にすることもできる。そうすることで、有効時間の満了前にアクセス制御データが再取得され、有効時間が延長される。このアクセス制御データの再取得は何度行ってもよいし、制限されるものであってもよい。ここで、アクセス要求装置40の利用者のために報知を行ってアクセス制御データの再取得を行っているが、報知を行うことなくアクセス制御データの再取得を行ってもよい。また、アクセス制御データの再取得の前にアクセス要求装置40の利用者にアクセス制御データの再取得を行うか否かを問い合わせる構成にすることもできる。具体的には、「ネットワークアクセスの満了時間が近づいています。電子会議のサービスを受けるには延長する必要があります。延長しますか?」といったテキスト情報が配置されたウィンドウを表示し、「延長する」「延長しない」のコマンドボタンをウィンドウ上に配置し、そのボタンの押下状況によってアクセス要求装置40の利用者の意思を確認する。
[アクセス要求装置のためのプログラムのインストール方法]
前記第1の実施形態においては、管理管轄外のアクセス要求装置40が既に他社より来訪した社員が持ち込んだ情報端末に構築されていることを前提に説示したが、アクセス要求装置40が未だ構築されていない場合には、自社の社員等によってUSBフラッシュメモリー(USB flash memory)、CD−ROM、DVD−ROM等の各種記憶媒体が他社より来訪した社員に渡され、他社より来訪した社員が持ち込んだ情報端末に挿入されることで、自動又は手動でインストールされて自動又は手動で起動する。なお、インストールされずに、記憶媒体からプログラムをメインメモリ上に読み出し実行することでアクセス要求装置40を一時的に構築する構成であってもよい。
[代理要求装置とアクセス要求装置の有線による通信]
前記第1の実施形態においては、代理要求装置30とアクセス要求装置40は無線LANのアドホックモード、赤外線通信で通信すると説示したが、有線によって通信することもできる。第1に、代理要求装置30とアクセス要求装置40を各種通信ケーブルでピーツーピアで接続して通信する構成をとることができる。第2に、アクセス制御装置20に相当するハブ等に有線で代理要求装置30及びアクセス要求装置40が接続し、アクセス制御装置20がアクセス要求装置40からの情報でアクセス要求のみをアクセス制御装置20に接続する情報端末に送信する構成にすることもできる。そして、受信した情報端末の中で代理要求装置30だけが処理を開始する。アクセス制御装置20に相当する無線LANのアクセスポイントであっても、アクセス制御装置20がアクセス要求装置40からの情報でアクセス要求のみをアクセス制御装置20へ直接電波を発信する情報端末に送信する構成にすることもでき、無線LANのアドホックモードに限らず、インフラストラクチャーモードであっても実現することができる。なお、アクセス制御装置20に相当するハブ等のバックボーンポートにアクセス制御装置20がアクセス要求装置40からの情報でアクセス要求のみを通過させる構成であってもよい。このように構成した場合であっても、極限られたネットワークアクセスをアクセス要求装置40に許すだけであって、セキュリティ上の問題はほとんど生じ得ない。
(実施例1)
図18は、本発明のネットワークアクセス制御システムの実施例1のシステム構成を示す。同図中、情報端末A、Bはそれぞれ代理要求装置30とアクセス要求装置40に、無線アクセスポイント(無線LAN(Wireless LAN system)の親機とも呼ぶ)はアクセス制御装置20に、認証サーバは認証処理装置10に相当する。前記認証サーバは、一般のRADIUSサーバに本発明の機能を付加したものであっても良いが、これに限定されない。他に、PPP(Point To Point Protocol)、PPTP(Point To Point Tunneling Protocol)、Kerberos、ベンダー独自プロトコル上で動作する認証サーバであってもよい。
本実施例では、無線アクセスポイントが認証処理の完了していない情報端末によるイントラネットワークへのアクセスを排除するよう設計されたネットワークにおける適用例を示す。
図19は、認証サーバにおける認証管理データの構成例を示す。ここでは、認証データとしてIDとパスワードを使用し、アクセス認可データおよび許諾アクセス認可データとしてイントラネットワークへの接続可否を使用する場合の構成例を記載する。
図20は、アクセス制御装置におけるアクセス制御データの構成例を示す。ここでは、装置識別データとしてMACアドレスを使用する場合の構成例を記載する。
図21は、アクセス制御データの構成例を示す。ここでは、アクセス実行データとしてIPアドレスおよびサブネットマスクを使用する場合の構成例を記載する。
<実施例1のアクセス制御処理のシーケンス>
図22は、実施例1のアクセス制御処理のシーケンスを示す。同図中、括弧付き数字は以下の説明と対応している。
(1)アクセス要求装置40は、同装置40のMACアドレスを含むアクセス要求を代理要求装置30に送信する。
(2)代理要求装置30は、アクセス要求を受信時、当該アクセス要求に含まれるMACアドレスと同装置30に格納されたIDとパスワードを含む代理アクセス要求を生成し、これをアクセス制御装置20に送信する。
(3)アクセス制御装置20は、代理アクセス要求を受信時、当該代理アクセス要求に含まれるIDとパスワードを含む許諾認証要求を生成し、これを認証処理装置10に送信する。
(4)認証処理装置10は、許諾認証要求を受信時、当該許諾認証要求に含まれるIDとパスワードを元に認証処理を行い、認証結果に応じた許諾認証応答を生成し、これをアクセス制御装置20に送信する。この時、認証結果が正常であった場合は、当該許諾認証応答にアクセス制御データを含める。
(5)アクセス制御装置20は、許諾認証応答を受信時、当該許諾認証応答に含まれるアクセス制御データを抽出して、接続許可である場合は(2)で取得したMACアドレスと接続許可データをアクセス管理データ23に設定し、前記アクセス制御データを含む代理アクセス応答を生成し、これを代理要求装置30に送信する。
(6)代理要求装置30は、代理アクセス応答を受信時、当該代理アクセス応答を元にアクセス応答を生成し、これをアクセス要求装置40に送信する。
(7)アクセス要求装置40は、アクセス応答で取得したアクセス制御データよりIPアドレスとサブネットマスクをアクセス実行データに設定し、同情報に基づいた通信処理を実行する。
(8)アクセス制御装置20は、通信データを受信時、当該通信データの送信元MACアドレスを元にアクセス管理データ23に設定されたアクセス制御処理データを検索し、送信元MACアドレスに一致するエントリを抽出する。ここで、当該エントリのアクセス認可データが接続許可であった場合、受信データを適切な宛先に向けて転送する。
(実施例2)
図23は、本発明のネットワークアクセス制御システムの実施例2のシステム構成を示す。同図中、情報端末A、Bはそれぞれ代理要求装置30とアクセス要求装置40に、Proxyサーバはアクセス制御装置20に、認証サーバは認証処理装置10に相当する。前記認証サーバは、一般のRADIUSサーバに本発明の機能を付加したものであっても良いが、これに限定されない。また、Proxyサーバは一般のWebプロキシやファイアウォールやゲートウェイに本発明の機能を付加してものであっても良いが、これに限定
されない。
本実施例では、Proxyサーバが認証処理の完了していない情報端末によるインターネットへのアクセスを排除するよう設計されたネットワークにおける適用例を示す。
図24は、認証サーバにおける認証管理データの構成例を示す。ここでは、認証データとしてIDとパスワードを使用し、アクセス認可データおよび許諾アクセス認可データとしてインターネットへのアクセス可否を使用する場合の構成例を記載する。
図25は、アクセス制御装置におけるアクセス管理データの構成例を示す。ここでは、装置識別データとしてIPアドレスを使用する場合の構成例を記載する。
図26は、アクセス制御データの構成例を示す。ここでは、アクセス実行データとしてProxyサーバのIPアドレスおよびポート番号を使用する場合の構成例を記載する。
<実施例2のアクセス制御処理のシーケンス>
図27は、実施例2のアクセス制御処理のシーケンスを示す。同図中、括弧付き数字は以下の説明と対応している。
(1)アクセス要求装置40は、同装置40のIPアドレスを含むアクセス要求を代理要求装置30に送信する。
(2)代理要求装置30は、アクセス要求を受信時、当該アクセス要求に含まれるIPアドレスと同装置30に格納されたIDとパスワードを含む代理アクセス要求を生成し、これをアクセス制御装置20に送信する。
(3)アクセス制御装置20は、代理アクセス要求を受信時、当該代理アクセス要求に含まれるIDとパスワードを含む許諾認証要求を生成し、これを認証処理装置10に送信する。
(4)認証処理装置10は、許諾認証要求を受信時、当該許諾認証要求に含まれるIDとパスワードを元に認証処理を行い、認証結果に応じた許諾認証応答を生成し、これをアクセス制御装置20に送信する。この時、認証結果が正常であった場合は、当該許諾認証応答にアクセス制御データを含める。
(5)アクセス制御装置20は、許諾認証応答を受信時、当該許諾認証応答に含まれるアクセス制御データを抽出して、アクセス許可である場合は(2)で取得したIPアドレスとアクセス許可データをアクセス管理データ23に設定し、前記アクセス制御データを含む代理アクセス応答を生成し、これを代理要求装置30に送信する。
(6)代理要求装置30は、代理アクセス応答を受信時、当該代理アクセス応答を元にアクセス応答を生成し、これをアクセス要求装置40に送信する。
(7)アクセス要求装置40は、アクセス応答で取得したアクセス制御データよりProxyアドレスとポート番号をアクセス実行データに設定し、同情報に基づいた通信処理を実行する。
(8)アクセス制御装置20は、通信データを受信時、当該通信データの送信元IPアドレスを元にアクセス管理データ23に設定されたアクセス制御処理データを検索し、送信元IPアドレスに一致するエントリを抽出する。ここで、当該エントリのアクセス認可データがアクセス許可であった場合、受信データを適切な宛先に向けて転送する。
以上の前記各実施形態及び実施例により本発明を説明したが、本発明の技術的範囲は実施形態及び実施例に記載の範囲には限定されず、これら各実施形態及び実施例に多様な変更又は改良を加えることが可能である。そして、かような変更又は改良を加えた実施形態及び実施例も本発明の技術的範囲に含まれる。このことは、特許請求の範囲及び課題を解決する手段からも明らかなことである。

Claims (18)

  1. アクセス制御装置がネットワークへのアクセスを試みるアクセス要求装置からのネットワークアクセスを制御するネットワークアクセス制御方法であって、
    代理要求装置は、前記アクセス要求装置からの当該アクセス要求装置の識別情報を含むアクセス要求を受信して前記代理要求装置の利用者の許可を受け、前記アクセス要求装置の識別情報及び前記代理要求装置の認証データを含む代理アクセス要求を前記アクセス制御装置に行う第1のステップと、
    前記アクセス制御装置が前記代理アクセス要求のアクセス要求装置の識別情報を記録すると共に、前記代理要求装置の認証データを含む許諾認証要求を認証処理装置に行う第2のステップと、
    前記認証処理装置は、前記許諾認証要求の認証データを認証処理し、許諾認証要求した前記アクセス制御装置に認証処理結果に基づいたアクセス制御データを配付する第3のステップと、
    前記アクセス制御装置が前記認証処理装置から配布されたアクセス制御データに基づいて記録した前記アクセス要求装置の識別情報で識別される当該アクセス要求装置からのネットワークアクセスを制御する第4のステップとを含み、
    前記第1のステップにおいて、前記代理要求装置が、前記アクセス要求が送信されたアクセス要求装置を識別する情報又は当該アクセス要求装置を利用する利用者を識別する情報と共に、前記アクセス要求装置がネットワークへのアクセスを要求している旨を示す情報及び当該要求を許可するか否かを示す回答を入力するための情報を表示し、前記利用者からの回答を示す入力指示情報に基づいて、前記利用者の許可を受けて、前記代理アクセス要求を前記アクセス制御装置に行うネットワークアクセス制御方法。
  2. アクセス制御装置がネットワークへのアクセスを試みるアクセス要求装置からのネット
    ワークアクセスを制御するネットワークアクセス制御方法であって、
    代理要求装置は、前記アクセス要求装置からの当該アクセス要求装置の識別情報を含むアクセス要求を受信して前記代理要求装置の利用者の許可を受け、前記アクセス要求装置の識別情報及び前記代理要求装置の認証データを含む代理アクセス要求を前記アクセス制御装置に行う第1のステップと、
    前記アクセス制御装置が前記代理アクセス要求のアクセス要求装置の識別情報を記録すると共に、前記代理要求装置の認証データを含む許諾認証要求を認証処理装置に行う第2のステップと、
    前記認証処理装置は、前記許諾認証要求の認証データを認証処理し、許諾認証要求した前記アクセス制御装置に認証処理結果に基づいたアクセス制御データを配付する第3のステップと、
    前記アクセス制御装置が前記認証処理装置から配布されたアクセス制御データを記録すると共に、アクセス制御データを代理アクセス要求した前記代理要求装置に送信する第4のステップと、
    前記代理要求装置が前記アクセス制御装置から送信されたアクセス制御データをアクセス要求した前記アクセス要求装置に送信する第5のステップと、
    前記アクセス要求装置が前記代理要求装置から送信されたアクセス制御データを記録する第6のステップと、
    前記代理要求装置からのアクセス制御データを記録した後に、前記アクセス要求装置が記録したアクセス制御データに基づくネットワークアクセスを実行する第7のステップと、
    前記アクセス制御装置が記録したアクセス制御データに基づいて記録した前記アクセス要求装置の識別情報で識別される当該アクセス要求装置からのネットワークアクセスを制御する第8のステップとを含み、
    前記第1のステップにおいて、前記代理要求装置が、前記アクセス要求が送信されたアクセス要求装置を識別する情報又は当該アクセス要求装置を利用する利用者を識別する情報と共に、前記アクセス要求装置がネットワークへのアクセスを要求している旨を示す情報及び当該要求を許可するか否かを示す回答を入力するための情報を表示し、前記利用者からの回答を示す入力指示情報に基づいて、前記利用者の許可を受けて、前記代理アクセス要求を前記アクセス制御装置に行うネットワークアクセス制御方法。
  3. 前記アクセス制御データにはアクセス制御データの有効時間が含まれ、
    前記アクセス制御装置が記録したアクセス制御データの有効時間が満了した場合には、アクセス制御装置が該当アクセス制御データを削除するステップを新たに含む
    前記請求項1または2に記載のネットワークアクセス制御方法。
  4. 前記アクセス要求装置は、アクセス制御データの有効時間の少なくとも満了前に、前記アクセス要求した代理要求装置に対してアクセス要求を送信するステップを新たに含む
    前記請求項3に記載のネットワークアクセス制御方法。
  5. アクセス制御装置がネットワークへのアクセスを試みるアクセス要求装置からのネットワークアクセスを制御するネットワークアクセス制御システムであって、
    代理要求装置及び認証処理装置を含み、
    前記代理要求装置は、前記アクセス要求装置からの当該アクセス要求装置の識別情報を含むアクセス要求を受信する手段、アクセス要求してきた前記アクセス要求装置からのアクセス要求に対する前記代理要求装置の利用者の許可を受ける許可受付手段、及び、前記代理要求装置の利用者の許可を受けた後に前記アクセス要求装置の識別情報及び前記代理要求装置の認証データを含む代理アクセス要求を前記アクセス制御装置に行う手段を含み、
    前記アクセス制御装置は、前記代理アクセス要求のアクセス要求装置の識別情報を記録する手段、前記代理要求装置の認証データを含む許諾認証要求を前記認証処理装置に行う手段、及び、前記認証処理装置から配布されるアクセス制御データに基づいて記録した前記アクセス要求装置の識別情報で識別される前記アクセス要求装置からのネットワークアクセスを制御する手段を含み、
    前記認証処理装置は、前記許諾認証要求の認証データを認証処理する手段、及び、許諾認証要求した前記アクセス制御装置に認証処理結果に基づいたアクセス制御データを配付する手段を含み、
    前記許可受付手段が、前記アクセス要求が送信されたアクセス要求装置を識別する情報又は当該アクセス要求装置を利用する利用者を識別する情報と共に、前記アクセス要求装置がネットワークへのアクセスを要求している旨を示す情報及び当該要求を許可するか否かを示す回答を入力するための情報を表示し、前記利用者からの回答を示す入力指示情報を受け付けるネットワークアクセス制御システム。
  6. 代理要求装置がアクセス要求装置に代わってアクセス制御データの取得を行うネットワークアクセス制御方法であって、
    代理要求装置はアクセス要求装置からのアクセス要求の受信を契機にアクセス制御データの取得処理を実行するステップと、
    認証処理装置は代理要求装置に対する認証処理結果を元に、アクセス制御装置にアクセス制御データを配付するステップと、
    前記アクセス要求装置は前記アクセス要求の応答によって前記代理要求装置から取得した前記アクセス制御データに基づくネットワークアクセスを実行するステップと、
    前記アクセス制御装置は前記代理要求装置の取得処理において配付された前記アクセス制御データに基づいてネットワークアクセス制御を行うステップとを含み、
    前記代理要求装置が、前記アクセス要求装置からのアクセス要求を受信し、当該アクセス要求が送信されたアクセス要求装置を識別する情報又は当該アクセス要求装置を利用する利用者を識別する情報と共に、前記アクセス要求装置がネットワークへのアクセスを要求している旨を示す情報及び当該要求を許可するか否かを示す回答を入力するための情報を表示し、前記利用者からの回答を示す入力指示情報を受け付け、当該入力指示情報に基づいて前記要求が許可される場合に、アクセス制御データの取得処理を実行するネットワークアクセス制御方法。
  7. 代理要求装置がアクセス要求装置に代わってアクセス制御データの取得を行うネットワークアクセス制御システムであって、
    前記代理要求装置は前記アクセス要求装置からのアクセス要求受信を契機にアクセス制御データの取得処理を実行するアクセス制御データ取得手段を含み、
    前記認証処理装置は前記代理要求装置に対する認証処理結果を元に、アクセス制御装置にアクセス制御データの配布を行うアクセス制御データ配付手段を含み、
    前記アクセス制御装置は前記代理要求装置の取得処理において配付された前記アクセス制御データに基づいてネットワークアクセス制御を行うアクセス制御手段を含み、
    前記アクセス要求装置は前記代理要求装置から取得した前記アクセス制御データに基づくネットワークアクセスを実行するアクセス実行手段を含み、
    前記代理要求装置が、前記アクセス要求装置からのアクセス要求を受信し、当該アクセス要求が送信されたアクセス要求装置を識別する情報又は当該アクセス要求装置を利用する利用者を識別する情報と共に、前記アクセス要求装置がネットワークへのアクセスを要求している旨を示す情報及び当該要求を許可するか否かを示す回答を入力するための情報を表示し、前記利用者からの回答を示す入力指示情報を受け付け、当該入力指示情報に基づいて前記要求が許可される場合に、アクセス制御データの取得処理を実行するネットワークアクセス制御システム。
  8. 代理要求装置がアクセス要求装置に代わってアクセス制御データの取得を行うネットワークアクセス制御システムで用いる認証処理装置であって、
    代理要求装置による代理アクセス要求の受信を契機にアクセス制御装置より送信される許諾認証要求に基づき、前記代理要求装置の正当性および前記アクセス要求装置へのアクセス許諾可否について認証処理を実行する許諾認証処理手段と、
    許諾認証処理の結果に応じて前記アクセス要求装置に対するアクセス制御データを含む許諾認証応答を生成する許諾認証応答生成手段と、
    前記許諾認証応答によってアクセス制御データをアクセス制御装置に配付するアクセス制御データ配付手段を含み、
    前記代理要求装置が、前記アクセス要求装置からのアクセス要求を受信し、当該アクセス要求が送信されたアクセス要求装置を識別する情報又は当該アクセス要求装置を利用する利用者を識別する情報と共に、前記アクセス要求装置がネットワークへのアクセスを要求している旨を示す情報及び当該要求を許可するか否かを示す回答を入力するための情報を表示し、前記利用者からの回答を示す入力指示情報を受け付け、当該入力指示情報に基づいて前記要求が許可される場合に、前記代理アクセス要求を行う認証処理装置。
  9. 代理要求装置がアクセス要求装置に代わってアクセス制御データの取得を行うネットワークアクセス制御システムで用いるアクセス制御装置であって、
    前記代理要求装置による代理アクセス要求の受信を契機に前記アクセス要求装置に対するアクセス制御データを取得するための許諾認証要求を生成する許諾認証要求生成手段と、
    当該許諾認証要求に対する応答である許諾認証応答を受信時に、当該許諾認証応答に含まれる前記アクセス制御データを抽出して設定するアクセス制御データ設定手段と、
    前記許諾認証応答の内容を元に前記代理アクセス要求の応答である代理アクセス応答を生成する代理アクセス応答生成手段と、
    前記代理アクセス応答によってアクセス制御データを代理要求装置に配付するアクセス制御データ配付手段と、
    前記アクセス制御データに基づいて前記アクセス要求装置のネットワークアクセスを制御するアクセス制御手段を含み、
    前記代理要求装置が、前記アクセス要求装置からのアクセス要求を受信し、当該アクセス要求が送信されたアクセス要求装置を識別する情報又は当該アクセス要求装置を利用する利用者を識別する情報と共に、前記アクセス要求装置がネットワークへのアクセスを要求している旨を示す情報及び当該要求を許可するか否かを示す回答を入力するための情報を表示し、前記利用者からの回答を示す入力指示情報を受け付け、当該入力指示情報に基づいて前記要求が許可される場合に、前記代理アクセス要求を行うアクセス制御装置。
  10. 代理要求装置がアクセス要求装置に代わってアクセス制御データの取得を行うネットワークアクセス制御システムの代理要求装置であって、
    アクセス要求装置によるアクセス要求の受信を契機に前記アクセス要求装置に対するアクセス制御データを取得するための代理アクセス要求を生成する代理アクセス要求生成手段と、
    当該代理アクセス要求の応答である代理アクセス応答を受信時に、当該代理アクセス応答からアクセス制御データを抽出し、前記アクセス制御データを含むアクセス応答を生成するアクセス応答生成手段と、
    前記アクセス応答によって前記アクセス制御データを前記アクセス要求装置に配付するアクセス制御データ配付手段を含み、
    前記代理アクセス要求生成手段が、前記アクセス要求装置からのアクセス要求を受信し、当該アクセス要求が送信されたアクセス要求装置を識別する情報又は当該アクセス要求装置を利用する利用者を識別する情報と共に、前記アクセス要求装置がネットワークへのアクセスを要求している旨を示す情報及び当該要求を許可するか否かを示す回答を入力するための情報を表示し、前記利用者からの回答を示す入力指示情報を受け付け、当該入力指示情報に基づいて前記要求が許可される場合に、前記代理アクセス要求を生成する代理要求装置。
  11. 代理要求装置がアクセス要求装置に代わってアクセス制御データの取得を行うネットワークアクセス制御システムのアクセス要求装置であって、
    代理要求装置にアクセス制御データの取得を依頼するためのアクセス要求を生成するアクセス要求生成手段と、
    当該アクセス要求の応答であるアクセス応答を受信時に、当該アクセス応答よりアクセス制御データを抽出するアクセス制御データ抽出手段と、
    当該アクセス制御データに基づくネットワークアクセスを実行するアクセス実行手段を含み、
    前記代理要求装置が、前記アクセス要求装置からのアクセス要求を受信し、当該アクセス要求が送信されたアクセス要求装置を識別する情報又は当該アクセス要求装置を利用する利用者を識別する情報と共に、前記アクセス要求装置がネットワークへのアクセスを要求している旨を示す情報及び当該要求を許可するか否かを示す回答を入力するための情報を表示し、前記利用者からの回答を示す入力指示情報を受け付け、当該入力指示情報に基づいて前記要求が許可される場合に、前記アクセス制御データの取得を行うアクセス制御装置。
  12. 前記アクセス制御データは、アクセスに関する種別および利用可否を示すアクセス認可データを含む
    前記請求項7に記載のネットワークアクセス制御システム。
  13. 前記アクセス制御データは、アクセスに関する種別および利用可否を示すアクセス認可データと、当該アクセスを実行するために必要なアクセス実行データを含む
    前記請求項7に記載のネットワークアクセス制御システム。
  14. アクセス認可データは、さらにアクセス認可データの有効時間を含む
    前記請求項12または13に記載のネットワークアクセス制御システム。
  15. 前記アクセス実行データは、IPアドレスとサブネットマスクを含む
    前記請求項13に記載のネットワークアクセス制御システム。
  16. 前記アクセス実行データは、Proxyアドレスとポート番号を含む
    前記請求項13に記載のネットワークアクセス制御システム。
  17. 前記アクセス制御データは、アクセスに関する種別および利用可否を示すアクセス認可データと、当該アクセスを実行するために必要なアクセス実行データを含み、
    アクセス認可データは、さらにアクセス認可データの有効時間を含み、
    前記アクセス制御装置は、アクセス認可データに含まれる有効時間の満了を契機に、アクセス管理データより該当エントリを削除するアクセス管理データ削除手段をさらに含む
    前記請求項9に記載のアクセス制御装置。
  18. 前記アクセス制御データは、アクセスに関する種別および利用可否を示すアクセス認可データと、当該アクセスを実行するために必要なアクセス実行データを含み、
    アクセス認可データは、さらにアクセス認可データの有効時間を含み、
    前記アクセス要求装置は、さらにアクセス認可データに含まれる有効時間の満了前に、代理要求装置に対してアクセス要求を送信し、アクセス制御データを再取得することによりアクセスの利用を継続するアクセス継続手段を有する
    前記請求項11に記載のアクセス要求装置。
JP2008517726A 2006-05-26 2006-05-26 ネットワークアクセス制御方法、ネットワークアクセス制御システム、認証処理装置、アクセス制御装置、代理要求装置およびアクセス要求装置 Expired - Fee Related JP4832516B2 (ja)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/JP2006/310585 WO2007138663A1 (ja) 2006-05-26 2006-05-26 ネットワークアクセス制御方法、ネットワークアクセス制御システム、認証処理装置、アクセス制御装置、代理要求装置およびアクセス要求装置

Publications (2)

Publication Number Publication Date
JPWO2007138663A1 JPWO2007138663A1 (ja) 2009-10-01
JP4832516B2 true JP4832516B2 (ja) 2011-12-07

Family

ID=38778192

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2008517726A Expired - Fee Related JP4832516B2 (ja) 2006-05-26 2006-05-26 ネットワークアクセス制御方法、ネットワークアクセス制御システム、認証処理装置、アクセス制御装置、代理要求装置およびアクセス要求装置

Country Status (2)

Country Link
JP (1) JP4832516B2 (ja)
WO (1) WO2007138663A1 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2017131346A1 (ko) * 2016-01-26 2017-08-03 한국기초과학지원연구원 네트워크 접속 제어 시스템 및 제어 방법

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5207776B2 (ja) * 2008-03-05 2013-06-12 エヌ・ティ・ティ・コミュニケーションズ株式会社 認証システム、情報機器、認証方法、及びプログラム
JP2010097510A (ja) * 2008-10-17 2010-04-30 Dainippon Printing Co Ltd リモートアクセス管理システム及び方法
JP5876788B2 (ja) 2012-08-21 2016-03-02 株式会社Pfu 通信遮断装置、通信遮断方法、及びプログラム
JP6148458B2 (ja) * 2012-11-30 2017-06-14 株式会社東芝 認証装置およびその方法、ならびにコンピュータプログラム
JP6281343B2 (ja) * 2014-03-17 2018-02-21 株式会社リコー 権限委譲システム、権限委譲方法及び権限委譲プログラム
JP6155237B2 (ja) * 2014-08-25 2017-06-28 日本電信電話株式会社 ネットワークシステムとその端末登録方法
JP7001235B2 (ja) * 2019-01-29 2022-01-19 Necプラットフォームズ株式会社 ルータ、ルータの制御方法、及びルータの制御プログラム

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004007589A (ja) * 2002-04-16 2004-01-08 Xerox Corp 文書およびサービスへの安全なアドホックアクセス
JP2004086510A (ja) * 2002-08-27 2004-03-18 Wao Corporation コンテンツサービス提供システム、コンテンツサービス用サーバおよび会員用クライアント
JP2004287784A (ja) * 2003-03-20 2004-10-14 Fuji Xerox Co Ltd アクセス制御装置および方法
JP2005050185A (ja) * 2003-07-30 2005-02-24 Sony Corp 情報処理システム、情報処理装置および方法、記録媒体、並びにプログラム
JP2006005879A (ja) * 2004-06-21 2006-01-05 Trend Micro Inc 通信装置、無線ネットワーク、プログラムおよび記録媒体

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004007589A (ja) * 2002-04-16 2004-01-08 Xerox Corp 文書およびサービスへの安全なアドホックアクセス
JP2004086510A (ja) * 2002-08-27 2004-03-18 Wao Corporation コンテンツサービス提供システム、コンテンツサービス用サーバおよび会員用クライアント
JP2004287784A (ja) * 2003-03-20 2004-10-14 Fuji Xerox Co Ltd アクセス制御装置および方法
JP2005050185A (ja) * 2003-07-30 2005-02-24 Sony Corp 情報処理システム、情報処理装置および方法、記録媒体、並びにプログラム
JP2006005879A (ja) * 2004-06-21 2006-01-05 Trend Micro Inc 通信装置、無線ネットワーク、プログラムおよび記録媒体

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2017131346A1 (ko) * 2016-01-26 2017-08-03 한국기초과학지원연구원 네트워크 접속 제어 시스템 및 제어 방법
KR20170089235A (ko) * 2016-01-26 2017-08-03 한국기초과학지원연구원 네트워크 접속 제어 시스템 및 제어 방법
KR101869347B1 (ko) * 2016-01-26 2018-06-21 한국기초과학지원연구원 네트워크 접속 제어 시스템 및 제어 방법

Also Published As

Publication number Publication date
WO2007138663A1 (ja) 2007-12-06
JPWO2007138663A1 (ja) 2009-10-01

Similar Documents

Publication Publication Date Title
JP4832516B2 (ja) ネットワークアクセス制御方法、ネットワークアクセス制御システム、認証処理装置、アクセス制御装置、代理要求装置およびアクセス要求装置
KR101971167B1 (ko) 이주자에 의해 야기된 코어 네트워크 트래픽의 감소
US9531835B2 (en) System and method for enabling wireless social networking
JP5813790B2 (ja) 分散型無線ネットワークサービスを提供するための方法およびシステム
US7568107B1 (en) Method and system for auto discovery of authenticator for network login
KR101159355B1 (ko) 클라이언트 장치를 안전하게 준비하는 방법 및 시스템
US20060173844A1 (en) Automatic configuration of client terminal in public hot spot
JP2008500607A (ja) デバイス組分け及び組分けデバイス同士の会話を実現する方法
WO2005083928A1 (en) Trust inheritance in network authentication
JP2007180998A (ja) 無線網制御装置及び無線網制御システム
CA2647684A1 (en) Secure wireless guest access
JP2002152279A (ja) ネットワーク接続制御装置及びその方法
JP3987539B2 (ja) セッション情報管理方法およびセッション情報管理装置
WO2005088909A1 (ja) アクセス制御システム、並びにそれに用いられるアクセス制御装置、及びリソース提供装置
US11451960B2 (en) Methods and systems for segmenting computing devices in a network
US20050188063A1 (en) Modifying a DHCP configuration for one system according to a request from another system
US20050210288A1 (en) Method and apparatus for eliminating dual authentication for enterprise access via wireless LAN services
US20090271852A1 (en) System and Method for Distributing Enduring Credentials in an Untrusted Network Environment
CN111034240B (zh) 网络通信的以及与其相关的改进
Hidayat et al. Optimation wireless security IEEE 802.1 X using the extensible authentication protocol-protected extensible authentication protocol (EAP-PEAP)
JP6347732B2 (ja) 認証システム
JP2005167580A (ja) 無線lanシステムにおけるアクセス制御方法と装置
JP2005051436A (ja) ネットワーク機器
JP4584776B2 (ja) ゲートウェイ装置およびプログラム
JP2001069175A (ja) セッション情報管理方法およびセッション情報管理装置

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20110621

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20110819

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20110920

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20110920

R150 Certificate of patent or registration of utility model

Ref document number: 4832516

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140930

Year of fee payment: 3

LAPS Cancellation because of no payment of annual fees