JP4839754B2 - 電子機器の利用認証システム - Google Patents

電子機器の利用認証システム Download PDF

Info

Publication number
JP4839754B2
JP4839754B2 JP2005278301A JP2005278301A JP4839754B2 JP 4839754 B2 JP4839754 B2 JP 4839754B2 JP 2005278301 A JP2005278301 A JP 2005278301A JP 2005278301 A JP2005278301 A JP 2005278301A JP 4839754 B2 JP4839754 B2 JP 4839754B2
Authority
JP
Japan
Prior art keywords
authentication
identifier
personal
electronic device
reader
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2005278301A
Other languages
English (en)
Other versions
JP2007087321A (ja
Inventor
尚弘 福田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Panasonic Corp
Panasonic Electric Works Co Ltd
Original Assignee
Panasonic Corp
Matsushita Electric Works Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Panasonic Corp, Matsushita Electric Works Ltd filed Critical Panasonic Corp
Priority to JP2005278301A priority Critical patent/JP4839754B2/ja
Publication of JP2007087321A publication Critical patent/JP2007087321A/ja
Application granted granted Critical
Publication of JP4839754B2 publication Critical patent/JP4839754B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Description

本発明は電子機器の利用認証システムに関し、特に、ユーザ及び領域ごとに電子機器の利用を許可する利用認証システムに関する。
通信ネットワークにアクセスする際、通信端末からログイン名とパスワードを管理サーバに送信し、管理サーバはユーザ認証を行った上で当該通信端末からのアクセスを許可するのが一般的である。
しかし、この方法ではログイン名とパスワードを第3者に盗まれ、不正に利用されるおそれがあった。
そこで、入退出管理などエリアによる機器ユーザの物理的な認証とIEEE802.1xなどによる機器のネットワークへのアクセス認証とを組み合わせた統合的な情報漏えいを防ぐセキュリティシステムが知られている(例えば、特許文献1など参照)。
例えば、特許文献1では、企業や組織では、事業所・部門などの「エリア」、サーバやクライアントなどの「機器」、そして役職や担当などの「ユーザ」ごとに情報セキュリティを管理している。
特開2002−41469号公報
ところで、エリア、機器、ユーザの状況に応じたネットワークへのアクセス制御が望まれるところであるが、それら要素が統合されていなかったため、それらの管理不備を突いたネットワークへのアクセスが行われてきた。
たとえば、本来あるエリア(社長室)からしかその機器が使えないはずだが、その機器でそのユーザ(社長)が社外からアクセスがあった場合、またはエリアにはあるうえにユーザは正しいが、機器が異なる場合、エリア、機器は正しいがユーザが異なる場合などである。これらユーザ誘拐、・機器盗難、不正侵入、または不正ユーザによってアクセスが可能となってしまっていた。
そこで、本発明は、エリア、機器、ユーザの状況に応じたセキュリティポリシによって通信制御の内容を変更することができる電子機器の利用認証システムを提供することを目的とする。
本発明に係わる電子機器の利用認証システムは、複数の領域にそれぞれ設置され、各々自己を特定するための認識手段識別子を有する個人認識手段であって、電子機器を利用するユーザが保持する個人を特定するための個人識別子を取得し、自己が有する認識手段識別子を当該個人識別子と共に識別子の組として送信する前記個人認識手段と、電子機器の利用が許可された特定の領域に属する電子機器が有する認識手段識別子と個人識別子とが対応づけられた第1の識別子情報を格納する許可情報保持手段と、個人認識手段から受信した識別子の組が第1の識別子情報において対応づけられているか否かを判断し、対応づけられている場合に限り、識別子の組に含まれる認識手段識別子を有する電子機器が属する領域においてこの電子機器の利用を許可する利用許可手段を備えることを特徴とする。これにより、電子機器がそれぞれ属する複数の領域のうち、特定の領域でのみ、電子機器の利用を許可することができる。
本発明によれば、エリア、機器、ユーザの状況に応じたセキュリティポリシによって通信制御の内容を変更することができる電子機器の利用認証システムを提供することが出来る。
以下図面を参照して、本発明の実施の形態を説明する。図面の記載において同一あるいは類似の部分には同一あるいは類似な符号を付している。
(第1の実施の形態)
図1を参照して、本発明の第1の実施の形態に係わる電子機器の利用認証システムの全体構成を説明する。
第1の実施の形態に係わる電子機器の利用認証システムは、ユーザ登録されたICカードを認識し認証データ(ID、パスワード、証明書など)をイーサネット(登録商標)等によって通信する機能を備える認証リーダ装置X1〜Xn(個人認識手段)と、パーソナルコンピュータ(PC)、IP電話、プリンタ、ネットワークカメラ等の情報機器装置Y1〜Ynと、遠隔からの制御命令に従って遮断、VLAN制御、トラフィック制御等の通信制御を行う管理機能付きネットワーク認証スイッチC1〜Cn(インテリジェントスイッチングハブ)と、一般的な認証サーバ機能(RADIUS、認証局)を持ち、領域(エリア)に登録されたユーザ、機器、制御ポートなどのマッピング対応によって認証スイッチC1〜Cnの制御を行う機能を備える認証サーバA1(利用許可手段)と、マッピングデータを格納する許可情報データベース(許可情報保持手段)と、サーバ装置Z1とを備える。
認証リーダ装置X1〜Xnと情報機器装置Y1〜Ynは、認証リーダ装置X1〜Xnのエリア単位(D1〜Dn)でグルーピングされている。認証リーダ装置X1〜Xn及び情報機器装置Y1〜Ynは、それぞれモジュラージャックコンセントJ1〜Jnを介して認証スイッチC1〜Cnの通信ポートP1〜Pnに接続されている。また、認証スイッチC1〜Cnの間は、アップリンクポートUP1〜UPnを介して相互に接続されている。このような構成により、グルーピングされた情報機器装置Y1〜Ynからサーバ装置Z1まで管理機能付きイーサネット(登録商標)スイッチである認証スイッチC1〜Cmを経由して通信が行われる。
認証リーダ装置X1〜Xnは、複数の領域(エリアD1〜Dn)にそれぞれ設置され、各々自己を特定するための認識手段識別子を有する。また、認証リーダ装置X1〜Xnは、電子機器(情報機器装置Y1〜Yn)を利用するユーザが保持する個人を特定するための個人識別子(個人ID=認証データ)を取得し、そして、自己が有する認識手段識別子を認証データと共に識別子の組として送信する。
第1の実施の形態に係わる利用認証システムは、ユーザが保持するICカード(個人特定手段)を更に備える。認証リーダ装置X1〜Xnは、自己が配置された領域内に入ってきたICカードを検出して、当該ICカードから個人IDを取得する。
許可情報データベースには、情報機器装置の利用が許可された特定のエリアD1〜Dnに属する認証リーダ装置X1〜Xnが有する認識手段識別子と認証データとが対応づけられた第1の識別子情報(マッピングデータ)が格納されている。
認証サーバA1は、認証リーダ装置X1〜Xnから受信した識別子の組が第1の識別子情報において対応づけられているか否かを判断し、対応づけられている場合に限り、識別子の組に含まれる認識手段識別子を有する情報機器装置Y1〜Ynが属するエリアD1〜Dnにおいて、受信した認証データに対応した情報機器装置Y1〜Ynの利用を許可する。
更に、許可情報データベースは、情報機器装置が有する認識手段識別子(機器ID)と当該情報機器装置の利用が許可されるユーザの個人識別子(個人ID)とが対応づけられた第2の識別子情報を格納する。そして、認証サーバA1は、識別子の組が第1及び第2の識別子情報において対応づけられているか否かを判断し、第1及び第2の識別子情報において対応づけられている場合に限り、当該受信した個人識別子に対応した電子機器の利用を許可するようにしても構わない。
このようにして、電子機器の利用認証システムは、情報機器装置Y1〜Ynが属する複数のエリアD1〜Dnのうち、特定の領域Dkでのみ、情報機器装置の利用を許可することができる。
情報機器装置Y1〜Yn、サーバ装置Z1及び認証サーバA1は基本的に通常のPCの構造を想定する。制御装置C1〜CmはLANの典型的なネットワーク管理機能を持つインテリジェント型のネットワークスイッチであり、SNMPのTRAPなどのネットワーク管理機能を有する。認証リーダ装置X1〜Xnは、RFIDリーダをUSBインターフェースに、イーサネット(登録商標)をLANポートに接続するタイプの認証リーダであり、RFIDのタグを読み込んでタグ情報をイーサネット(登録商標)上のパケットに載せて設定した認証サーバA1に送信する。
図2を参照して、図1の各構成要素の詳細な構成例を説明する。複数のエリアD1〜Dnのうち、あるエリアDには、認証リーダXと情報機器装置Yが属している。認証リーダ装置X及び情報機器装置Yの各ポート部(603,301)は、制御装置Cのポート部(104,105)にそれぞれ接続されている。サーバ装置Z及び認証サーバAは、それぞれポート部401,707を介して制御装置Cのポート部(106,108)にそれぞれ接続されている。なお、各ポート部間は、LANケーブルにより接続されている。
認証リーダ装置Xは、Radio Frequency Identification(RFID)を用いて非接触ICカードから個人識別子(個人ID=認証データ)を取得するリーダ部602と、各ユーザが持つ認証データを認証サーバAに送信するサプリカント部600と、通信のためのプロトコル通信部601と、物理的なポート部603とを備える。
情報機器装置Y及びサーバ装置Zは、通信用の物理的ポート部を持つが、それぞれPC上の通信ソフトウェアであり、様々なプロトコルやアプリケーション(電子メール、ファイル転送、データベースソフトなど)であっても構わない。
認証サーバAはラディウス(Remote Authentication Dial-In User Service:RADIUS)の認証サーバであり、RFIDのユーザ情報を認証し、制御装置Cに制御命令を送信する。認証サーバAには、RFIDの登録ユーザを認証するユーザ認証部703と、登録・設定したエリア(XとYをグループとする単位)で認証するエリア認証部704と、登録した機器の認証を行う機器認証部705と、登録したユーザと機器の組合せを認証するユーザ機器認証部706とを備え、これらの認証部が、RADIUSの認証機能である認証部の認証判断をおこなう部分である。
制御装置(認証スイッチ)Cは、管理機能付きネットワークスイッチであり、通常のパケットのフォワーディング機能に加え、管理マネージャからの制御命令によってポートのオン/オフ制御、バーチャルLAN(VLAN)機能、パケットフィルタリング機能を備える。
図3を参照して、図1の利用認証システムの概念を説明する。利用認証システムは、ユーザ空間、リーダ空間、コネクション空間及び機器空間からなる。これらの各空間は、それぞれ異なるカテゴリーの要素またはグループを扱う。ユーザ空間には、要素としてのユーザU1〜U12が含まれ、そのうち、ユーザU5〜U7はユーザグループUG1を形成し、ユーザU8〜U10はユーザグループUG2を形成している。リーダ空間には、要素として認証リーダR1〜R12が含まれ、認証リーダR8〜R10はリーダグループRG1を形成し、認証リーダR5〜R7はリーダグループRG2を形成する。ポート空間には、要素としてポートP1〜P12が含まれ、ポートP1〜P2はポートグループPG1を形成する。機器空間には、要素として情報機器装置N1〜N12が含まれ、情報機器装置N5〜N6は機器グループNG1を形成し、情報機器装置N8〜N9は機器グループNG2を形成する。このように、各空間では要素を単体または複数(グループ)として扱う。
またそれぞれの空間は関連づけされる。具体的には、ユーザ空間とリーダ空間の間ではどの認証リーダがどのユーザを管理するかが関連付けられている。リーダ空間とコネクション空間の間ではどの認証リーダがどのコネクション(ポート、ポートグループ、フィルタ、VLAN)を管理するかが関連付けられている。また、コネクション空間と機器空間の間ではどのポートにどの情報機器装置が繋がっているかが関連付けられている。また、ユーザ空間と機器空間ではどのユーザがどの情報機器装置を使用するかが関連付けられている。なお、関連付け(マッピング)は、個々の空間内の要素または要素のグループ毎に行われる。
このような各空間の間で要素間の関連付けを「要素間マッピング10」と呼び、ある空間の要素と他の空間の要素のグループ間の関連付けを「要素・グループ間マッピング40」と呼び、ある空間の要素のグループとある空間の要素との関連づけを「グループ・要素間マッピング30」と呼び、要素のグループ間の関連づけを「グループ間マッピング20」と呼ぶ。
例えば、ユーザ空間のユーザU1とリーダ空間の認証リーダR1とが関連付けされている場合、ユーザU1と認証リーダR1の間に要素間マッピングが形成されていることになる。またユーザ空間のユーザグループUG1とリーダ空間のリーダグループRG2が関連付けされている場合、ユーザグループUG1とリーダグループRG2の間にグループ間マッピングが形成されていることになる。このように、各空間間でのマッピングを行うことで、認証のイベントが発生した場合にその関連によって認証を制御することができる。
図4を参照して、図1の電子機器の利用認証システムの動作を説明する。図4(a)は認証リーダ装置の動作を示し、図4(b)は認証スイッチの動作を示し、図4(c)は認証サーバの動作を示す。
図4(a)に示すように、認証リーダ装置は、非接触ICカードを検出する(S11)と、ICカードより認証用データを読み込む(S12)。そして、認証フローに基づき、認証用データをIDとして認証スイッチと通信する(S13)。このようにして、認証リーダ装置は、電子機器を利用するユーザが保持する個人を特定するための個人識別子(個人ID=認証用データ)を取得し、自己が有する認識手段識別子を当該個人識別子と共に識別子の組として送信する。
図4(b)に示すように、認証スイッチ(SW装置)は、認証リーダ装置より認証データを受け取る(S21においてYES)と、認証フローに基づき、認証用データを認証サーバと通信する(S22)。認証サーバよりポート制御命令(ポート、VLAN、フィルタの制御命令)を受け取る(S23においてYES)と、当該命令に基づいてポートの制御を行う(S24)。上記処理がなければ通常のイーサネット(登録商標)のスイッチング処理を行う。
図4(c)に示すように、認証サーバは、後述する認証フローに基づき、認証スイッチより認証データを受け取る(S31においてYES)と、図5に示す認証フローに基づき、認証用データを認証スイッチと通信する(S32)。認証データとマッピングデータとの比較を行い、結果ポート切り替え(ポート、VLAN、フィルタの制御を含む)が必要であれば(S33においてYES)、ポート制御の命令を通信する(S34)。
ポート制御にはRADIUSのメッセージング処理によってポート、VLAN、フィルタの制御を行う。RADIUSのメッセージングには、認証スイッチに対して、ポート番号、VLANID、フィルタ番号、ステータスからなるフィールド属性が記述されたフィールドが認証サーバから認証スイッチに送られることで、認証スイッチがその項目とID(番号)によってそれぞれ制御を行う。ここではポート制御をRADIUSのメッセージングでの通信としたが、認証サーバより別途SNMPなどの管理機能によってポート制御を行ってもよい。
図5を参照して、図4の処理手順における認証フローの一例として、IEEE802.1xのRADIUSを用いたEAP(Extensible Authentication Protocol)の認証手順を説明する。認証フローではIEEE802.1xのRADIUSを用いたEAPの認証手順に基づく。認証リーダ装置はサプリカントとして、認証スイッチはアクセスポイントとして、認証サーバはRADIUSの認証サーバとして機能する。
(イ)サプリカントである認証リーダ装置は図4(a)のS13段階の認証用データ通信(1)においてはじめにEAPの開始を示すEAPOL−Startメッセージを送信してEAPの認証を開始する。
(ロ)アクセスポイントである認証スイッチがEAPOL−Startを受信すると、認証スイッチは図4(b)のS22段階の認証用データ通信(2)において、サプリカントである認証リーダ装置に認証のためのIDを要求するEAP−Requestを送信する。
(ハ)認証リーダ装置はEAP−Requestを受信すると、S13段階の認証用データ通信(1)において、認証データの一部をユーザIDとするEAP−Responseを認証スイッチに送信する。
(ニ)EAP−Responseを受信した認証スイッチは、S22段階の認証用データ通信(2)において、認証サーバにRadius−Access-Requestを送信する。このメッセージには認証データをIDとする値が含まれる。IDを認識した認証サーバは、図4(c)のS32段階の認証用データ通信(3)において、IDの正当性を確認するためのEAP−Access-Challengeを認証スイッチに送信する。
(ホ)EAP−Access-Challengeを受信した認証スイッチは、S22段階においてこのメッセージをEAP−Requestに変換して認証リーダ装置に送信する。そして、EAP−Requestを受信した認証リーダ装置は、S13段階において認証データのもう一部であるパスワードのハッシュをクレデンシャルとしてEAP−Responseメッセージで認証スイッチ宛に送信する。
(へ)認証スイッチはEAP−ResponseメッセージをRADIUS−Access−Requestに変換して認証サーバに送信する(認証用データ通信(2))。認証サーバがRADIUS−Access−Requestを受信し、受信した認証IDとパスワードのハッシュ値が登録されている正当なIDであることを確認する。
(ト)そして、認証サーバは、ポート切替の必要を確認した後、ポート制御、ポートグループ制御、VLAN制御、フィルタ制御を目的とするポート制御命令(RADIUS−Access−Accept)をRADIUSリクエストの属性部分に伴って認証スイッチに送信する。この処理段階は、認証用データ通信(3)及びポート制御命令に相当する。
(チ)ポート制御命令を受信した認証スイッチは、RADIUSリクエストの属性部分に記述されたポートメッセージをEAP−Successとして認証リーダ装置に送信する(認証用データ通信(2))。認証スイッチは、その後、図4(b)のS24段階において、ポート制御命令を解釈し、ポート制御、ポートグループ制御、VLAN制御、フィルタ制御を行う。
ここで、図4(c)の「ポート切替必要(S33)」では、S32段階によって得られた認証データを図3に示したようなユーザと認証リーダ間のマッピングデータと比較する。マッピングデータは許可情報データベースに格納され、認証サーバは、許可情報データベースにアクセスしてマッピングデータを確認する。
(A)具体的には、認証データであるユーザIDとパスワードが図9に示すユーザ空間テーブルに存在するか否かを通常のベーシック認証(パスワード認証)手順で確認する。
(B)認証リーダ装置のリーダID(認識手段識別子)を認証リーダ装置のMACアドレスとする。S32段階で通信されるパケットより認証リーダ装置のMACアドレスを抽出し、認証サーバは、図8の例のリーダ空間テーブルを参照して、リーダIDが登録されているかを確認する。リーダIDの登録では、リーダIDの列に当該リーダIDがあるかどうかを確認する。MACアドレスは、図6(a)のDAから抽出することができる。
なお、ここでは認証リーダ装置のリーダIDをMACアドレスとしたが、リーダIDを別途定め、パケット内に専用フィールドを設けて送信してもよい。たとえば、図7の認証データフォーマット図における点線の四角部分を拡張して、リーダIDを入れるフィールドを用意しても構わない。これにより、図4(b)のS22段階の通信時に認証リーダ装置のリーダIDを付加することで可能である。
(C)最後に、図12の例にあるような認証リーダ装置とユーザのマッピングテーブルを参照する。上記した(A)及び(B)でユーザIDとリーダID、またはそれぞれ対応するグループIDが確認された場合、つまり、図12の各マッピングテーブルで一致する組み合わせがあれば、図9のユーザ空間テーブルと図8のリーダ空間テーブルのステータスをそれぞれOKおよびYESとする。できなければNG、「−」とする。
以上説明したように、第1の実施の形態によれば、ICカードのユーザIDと認証リーダ装置のリーダIDによって、ユーザのエリア(位置)に対応したセキュリティ管理を行う電子機器の利用認証システムを提供することが出来る。
たとえば、本来あるエリア(社長室)からしかその情報機器装置が使えないはずだが、その情報機器装置でそのユーザ(社長)が社外からアクセスがあった場合、これを不正アクセスとして管理することができる。
(第2の実施の形態)
(D)前記した(C)における図12の例にあるような認証リーダ装置とユーザのマッピングテーブルを参照してマッピング確認を行って、マッピングデータの確認が取れた場合、さらに、図3のリーダ空間とポート(コネクション)空間とのマッピング確認を行っても構わない。
例えば、図13に示すようなリーダIDとポートIDのマッピングデータをデータベース内に格納しておく。なお、リーダIDとポートIDのマッピングデータには、図13に示すように、要素間マッピング、グループ間マッピング、グループ・要素間マッピング、要素・グループ間マッピングが含まれる。認証サーバは、図13のマッピングデータ例を参照して、対応するリーダIDまたはグループとポートまたはグループの識別子の組があれば、図10のステータス(リンク)をONとし、なければOFFとする。
第2の実施の形態によれば、ICカードと認証リーダ装置によって、ユーザのエリア(位置)に対応したネットワークのセキュリティ管理ができる。たとえば、ユーザが利用するネットワークのポートやVLANを入退出(ICカード)のタイミングで制御することで、ポートに接続する機器または機器への不正アクセスを防ぐことができる。また、管理者が指定したネットワークの利用を許可するにあたり、ICカードの配布だけで可能とすることができる。
(第3の実施の形態)
(E)図13の例にあるような認証リーダ装置とポート(コネクション)のマッピングデータを参照してリーダ空間とコネクション空間のマッピング確認が取れた場合、さらに、図3のコネクション空間と機器空間とのマッピング確認を行っても構わない。具体的には以下のとおりである。
(E-1)認証スイッチのポートに接続する情報機器装置のID確認を行う。認証時にRADIUSサーバのデータベースを参照して、情報機器装置のMACアドレスが図11の例にある情報機器装置のテーブルに示す機器IDと一致するか否かを確認する。なお、RADIUSサーバは、RADIUSメッセージの属性であるCalling-Station-Id(通常機器のMACアドレスが採用される)より入手できるMACアドレスを機器ID(認識手段識別子)として管理している。
(E-2)MACアドレスが図11のテーブルに示す機器IDと一致すればステータス(接続)をYESとし、一致しなければNOを記録する。なお、機器IDの確認として認証サーバまたは認証スイッチより定期的に、または情報機器装置と認証スイッチ間の接続リンクのアップ・ダウン時に定期的に、MACアドレスを確認する方法も可能である。その場合は、PING、ARP、またはSNMPなどのプロトコルを用いて、ブロードキャスト、マルチキャスト、ユニキャストを問わず送信し、その応答で機器IDであるMACアドレスを取得することができる。
(E-3)その後、コネクション空間と機器空間とのマッピング確認を行う。図20を例とするポートと機器のマッピングテーブルを参照し、対応する組が存在すれば図17の機器空間テーブルのステータス(マップ)をYESとし、一致しなければNOとする。
例えば、図14に示すようなポートIDと機器IDのマッピングデータをデータベース内に格納しておく。なお、ポートIDと機器IDのマッピングデータには、図14に示すように、要素間マッピング、グループ間マッピング、グループ・要素間マッピング、要素・グループ間マッピングが含まれる。認証サーバは、図14のマッピングデータ例を参照して、対応するポートIDまたはグループと機器IDまたはグループの識別子の組があれば、図11のステータス(マップ)をYESとし、なければNOとする。
第3の実施の形態によれば、第2の実施の形態に加えて、セキュリティ上のネットワークの制限や許可をするにあたり、許可していない接続機器との接続、たとえばアクセスや所有権のない機器との接続を防止できる。つまり、エリアに対して機器を設定(提供)することが可能となる。
例えば、エリアの認証及びユーザの認証は取れたが、情報機器装置の認証が取れない場合、或いはエリア、情報機器装置は正しいがユーザが異なる場合、これらを不正アクセスとして管理することができる。
(第4の実施の形態)
(F)第3の実施の形態における情報機器装置のID確認及びコネクション空間と機器空間とのマッピング確認が取れた場合、即ち、図11のステータス(接続)及びステータス(マップ)がともにYESの場合、さらに、図3のユーザ空間と機器空間とのマッピング確認を行っても構わない。
例えば、図15に示すようなユーザIDと機器IDのマッピングデータをデータベース内に格納しておく。認証サーバは、図15のマッピングデータ例を参照して、対応するポートIDまたはグループと機器IDまたはグループの識別子の組があれば、図9のステータス(認証)をOKとし、なければNGとする。
第4の実施の形態によれば、第2及び第3の実施の形態に加えて、どのユーザがどの機器を使ってよいかという許可が可能となる。また異なる人(ICカード)に対して異なる装置(機器)群をネットワーク経由で利用させることが可能となる。
(第5の実施の形態)
以下、認証スイッチとポート番号およびVLAN・フィルタのマッピングについて説明する。図16(a)に、スイッチとポート番号およびVLAN・フィルタのマッピングデータを示す。図16(a)のコネクション空間テーブルはスイッチ番号毎に管理されている。図5に示したRADIUS−Access-Acceptに含まれるポート制御のための属性フィールドは図16(a)から生成される。どの制御装置(認証スイッチ)のどのポート、VLAN、フィルタを制御するかは、ステータスに記述される。例えば、図16(b)に示すように、ステータスが「1」であればそのポートはオフ状態である。ステータスが「4」であればVLAN ID1をオン状態とする。また、フィルタに関してもVLAN同様に番号として管理される。たとえば、図16(c)に示すように、フィルタ番号が「1」ならば、MACアドレス「00:23:24:12:33:24」をフィルタする。フィルタ番号が「4」であれば、MACアドレスが「00:12:34:22:12:23」でサブネットマスク255.255.255.255であるIPアドレス10.0.0.1のパケットをフィルタする。
(その他の実施の形態)
上記のように、本発明は、第1乃至第5の実施の形態によって記載したが、この開示の一部をなす論述及び図面はこの発明を限定するものであると理解すべきではない。この開示から当業者には様々な代替実施の形態、実施例及び運用技術が明らかとなろう。
第1乃至第5の実施の形態では、ポート制御を図5に示したように、RADIUSのメッセージングでの通信としたが、本発明はこれに限定されない。認証サーバより別途SNMPなどの管理機能によってポート制御を行っても構わない。
図1において、認証リーダ装置X1〜Xnと情報機器装置Y1〜Ynは一体であっても構わない。
第1乃至第5の実施の形態では、認証リーダ装置のリーダIDをMACアドレスとしたが、本発明はこれに限定されない。認証リーダ装置のID(認識手段識別子)を別途定め、パケット内に専用フィールドを設けて送信してもよい。たとえば、図7の認証データフォーマット図の点線の四角部分を拡張し、リーダIDを入れるフィールドを用意してもよい。これにより、認証データ通信(S22)の通信時に認証リーダ機器のリーダIDを付加することで可能である。
第1乃至第5の実施の形態では、イーサネット(登録商標)を用いた有線LANにより接続を形成しているが、本発明はこれに限定されず、無線LANによっても実現可能である。この場合、図17に示すように、認証リーダ装置X1〜Xn及び情報機器装置Y1〜Ynと認証スイッチC1〜Cnとの間は、それぞれチャネルCH1〜CHnによって通信が行われる。
このように、本発明はここでは記載していない様々な実施の形態等を包含するということを理解すべきである。したがって、本発明はこの開示から妥当な特許請求の範囲に係る発明特定事項によってのみ限定されるものである。
本発明の第1の実施の形態に係わる電子機器の利用認証システムの全体構成を示すブロック図である。 図1の各構成要素の詳細な構成例を示すブロックである。 図1のシステムの概念を示すブロック図であり、システムは、互いに関連付けられたユーザ空間、リーダ空間、コネクション空間及び機器空間からなる。 図1の電子機器の利用認証システムの動作を示すフローチャートであり、(a)は認証リーダ装置の動作を示し、(b)は認証スイッチの動作を示し、(c)は認証サーバの動作を示す。 図4の処理手順における認証フローの一例として、IEEE802.1xのRADIUSを用いたEAPの認証手順を示すフローチャートである。 図6(a)〜図6(d)は図5の認証手順における通信データのフォーマットを示すブロック図である。 認証データフォーマットの一例を示すブロック図であり、点線部分がMACアドレスとは異なる独自のリーダIDを設ける領域を示す。 図3のリーダ空間における認証リーダ装置のリーダID及びグループIDそしてステータスを示すリーダ空間テーブルである。 図3のユーザ空間におけるユーザID及びグループIDそしてステータスを示すユーザ空間テーブルである。 図3のコネクション空間におけるポートID、ポートグループID、VLANグループID、フィルタグループIDそしてステータスを示すコネクション空間テーブルである。 図3の機器空間における機器ID及びグループIDそしてステータスを示す機器空間テーブルである。 リーダID又はそのグループとユーザID又はそのグループのマッピングデータを示すテーブルである。 リーダID又はそのグループとポートID又はそのグループのマッピングデータを示すテーブルである。 ポートID又はそのグループと機器ID又はそのグループのマッピングデータを示すテーブルである。 ユーザID又はそのグループと機器ID又はそのグループのマッピングデータを示すテーブルである。 図16(a)は認証スイッチとポート及びVLAN・フィルタのマッピングデータを示すテーブルであり、図16(b)はステータスの内容を示すグラフであり、図16(c)はフィルタ番号の内容を示すグラフである。 無線LANによる利用認証システムの全体構成の例を示すブロック図である。
符号の説明
A1…認証サーバ(利用許可手段)
C1〜Cn…認証スイッチ
D1〜Dn…エリア(領域)
J1〜Jn…モジュラージャックコンセント
P1〜Pn…ポート
X1〜Xn、R1〜R12…認証リーダ装置(個人認識手段)
Y1〜Yn…情報機器装置(電子機器)
Z…サーバ装置
10…要素間マッピング
20…グループ間マッピング
30…グループ・要素間マッピング
40…要素・グループ間マッピング

Claims (3)

  1. 電子機器がそれぞれ属する複数の領域のうち、特定の領域でのみ、電子機器の利用を許可する電子機器の利用認証システムであって、
    前記複数の領域にそれぞれ設置され、各々自己を特定するための認識手段識別子を有する個人認識手段であって、前記特定の領域に登録されたユーザが保持する個人を特定するための個人識別子を取得し、自己が有する前記認識手段識別子を当該個人識別子と共に識別子の組として送信する前記個人認識手段と、
    前記個人認識手段が有する前記認識手段識別子と前記個人識別子とが対応づけられた第1の識別子情報を格納する許可情報保持手段と、
    前記個人認識手段から受信した前記識別子の組が前記第1の識別子情報において対応づけられているか否かを判断し、対応づけられている場合に限り、前記識別子の組に含まれる前記認識手段識別子を有する前記個人認識手段が属する領域において、前記個人認識手段とグルーピングされた電子機器の利用を、前記個人認識手段が属する領域に登録されたユーザに許可する利用許可手段
    とを備えることを特徴とする電子機器の利用認証システム。
  2. 前記個人識別子を有し、前記ユーザが保持する個人特定手段を更に備え、
    前記個人認識手段は、自己が配置された領域内における前記個人特定手段を検出して、当該個人特定手段から前記個人識別子を取得することを特徴とする請求項1記載の電子機器の利用認証システム。
  3. 前記許可情報保持手段は、電子機器が有する識別子と当該電子機器の利用が許可されるユーザの前記個人識別子とが対応づけられた第2の識別子情報を格納し、
    前記利用許可手段は、前記識別子の組が前記第1及び第2の識別子情報において対応づけられているか否かを判断し、前記第1及び第2の識別子情報において対応づけられている場合に限り、当該受信した個人識別子に対応した電子機器の利用を許可する
    ことを特徴とする請求項1又は2記載の電子機器の利用認証システム。
JP2005278301A 2005-09-26 2005-09-26 電子機器の利用認証システム Active JP4839754B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2005278301A JP4839754B2 (ja) 2005-09-26 2005-09-26 電子機器の利用認証システム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2005278301A JP4839754B2 (ja) 2005-09-26 2005-09-26 電子機器の利用認証システム

Publications (2)

Publication Number Publication Date
JP2007087321A JP2007087321A (ja) 2007-04-05
JP4839754B2 true JP4839754B2 (ja) 2011-12-21

Family

ID=37974217

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2005278301A Active JP4839754B2 (ja) 2005-09-26 2005-09-26 電子機器の利用認証システム

Country Status (1)

Country Link
JP (1) JP4839754B2 (ja)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5157668B2 (ja) * 2008-06-19 2013-03-06 富士通株式会社 通信装置および通信方法
JP2010136014A (ja) * 2008-12-03 2010-06-17 Hitachi Information & Communication Engineering Ltd Macアドレス自動認証システム

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH10198636A (ja) * 1997-01-13 1998-07-31 Nri & Ncc Co Ltd 個人認証システムおよび個人認証方法
JP2002117377A (ja) * 2000-10-04 2002-04-19 Nec Corp 位置情報を用いた、個人認証システム、カードによる認証システム及び暗証番号によるドアロックシステム
WO2002084548A1 (fr) * 2001-04-11 2002-10-24 Eleven Point Two Inc Systeme de reglement electronique
JP2004013591A (ja) * 2002-06-07 2004-01-15 Matsushita Electric Ind Co Ltd 共有端末におけるサービス利用者認証システム
JP2005182480A (ja) * 2003-12-19 2005-07-07 Casio Comput Co Ltd 電子機器、電子機器の制御方法及び認証制御プログラム

Also Published As

Publication number Publication date
JP2007087321A (ja) 2007-04-05

Similar Documents

Publication Publication Date Title
US8484705B2 (en) System and method for installing authentication credentials on a remote network device
ES2401027T3 (es) Gestión segura de una red doméstica
CN100594476C (zh) 用于实现基于端口的网络访问控制的方法和装置
CN101119206B (zh) 基于标识的一体化网络终端统一接入控制方法
CN100367699C (zh) 在以太无源光网络中的认证方法和装置
US9602471B2 (en) Device introduction and access control framework
US7263076B1 (en) System and method for managing a wireless network community
CN101102188B (zh) 一种移动接入虚拟局域网的方法与系统
US20060130135A1 (en) Virtual private network connection methods and systems
JP2011505735A (ja) 異なる組織に属する複数のユーザのためのクレデンシャルの複製を行わない認証方法
CN1973495A (zh) 无线局域网关联的设备和方法及相应产品
CN102271134B (zh) 网络配置信息的配置方法、系统、客户端及认证服务器
WO2009074082A1 (fr) Procédé, système et dispositif de contrôle d'accès
WO2007128134A1 (en) Secure wireless guest access
KR100707805B1 (ko) 사용자 및 인증자별로 제어할 수 있는 인증 시스템
KR100656520B1 (ko) 홈 네트워크의 레벨별 인증 시스템 및 그 방법
CN100591068C (zh) 一种桥接设备透传802.1x认证报文的方法
JP4839754B2 (ja) 電子機器の利用認証システム
JP4752436B2 (ja) 連携制御装置及びネットワーク管理システム
CN101364909B (zh) 无卡设备接入个人网络的方法、装置及系统
WO2011063658A1 (zh) 统一安全认证的方法和系统
CN104581723A (zh) 一种客户端设备联网信息数据的应用方法及装置
KR100904215B1 (ko) 사용자 인증에 기반한 네트워크 접속 관리 시스템 및 방법
CN110875923B (zh) 对网络提供增强型网络访问控制的方法和系统
WO2006001587A1 (en) Network management system and network management server of co-operating with authentication server

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20080610

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20110301

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20110302

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20110427

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20110906

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20110919

R150 Certificate of patent or registration of utility model

Ref document number: 4839754

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20141014

Year of fee payment: 3