JP5018883B2 - 認証システム、端末認証装置および認証処理プログラム - Google Patents

認証システム、端末認証装置および認証処理プログラム Download PDF

Info

Publication number
JP5018883B2
JP5018883B2 JP2009522474A JP2009522474A JP5018883B2 JP 5018883 B2 JP5018883 B2 JP 5018883B2 JP 2009522474 A JP2009522474 A JP 2009522474A JP 2009522474 A JP2009522474 A JP 2009522474A JP 5018883 B2 JP5018883 B2 JP 5018883B2
Authority
JP
Japan
Prior art keywords
authentication
terminal
request
network device
address
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2009522474A
Other languages
English (en)
Other versions
JPWO2009008076A1 (ja
Inventor
真 久保田
健一 阿比留
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Publication of JPWO2009008076A1 publication Critical patent/JPWO2009008076A1/ja
Application granted granted Critical
Publication of JP5018883B2 publication Critical patent/JP5018883B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/34User authentication involving the use of external additional devices, e.g. dongles or smart cards
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2101/00Indexing scheme associated with group H04L61/00
    • H04L2101/60Types of network addresses
    • H04L2101/618Details of network addresses
    • H04L2101/622Layer-2 addresses, e.g. medium access control [MAC] addresses
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/10Mapping addresses of different types
    • H04L61/103Mapping addresses of different types across network layers, e.g. resolution of network layer into physical layer addresses or address resolution protocol [ARP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/50Address allocation
    • H04L61/5007Internet protocol [IP] addresses
    • H04L61/5014Internet protocol [IP] addresses using dynamic host configuration protocol [DHCP] or bootstrap protocol [BOOTP]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Power Engineering (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Small-Scale Networks (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Description

この発明は、認証システム、端末認証装置および認証処理プログラムに関する。
従来、ネットワークの利用やネットワークを通じて要求された処理において、正規のユーザであるか否かを認証し、正規のユーザである場合には、ネットワークの利用を認可したり、ネットワークを通じて要求された処理を実行したりする技術が存在する(例えば、特許文献1参照)。
また、企業内のシステムにおけるネットワーク利用の利便性を向上させることを目的として、企業が抱える各拠点で従業員に対して同じようにネットワークを利用させるための技術が存在する。
例えば、図22に示すように、出張先のサブネット管理者が、スイッチング・ハブ(スイッチ)のMACアドレスフィルタテーブルや、DHCP(Dynamic Host Configuration Protocol)サーバのMACアドレスリストに、設定端末を用いて出張者のMACアドレスを予め登録しておくことで、出張先でのネットワーク利用を可能とする。出張終了後は、管理者が、同様にしてスイッチやDHCPサーバなどのネットワーク機器から出張者のMACアドレスを削除することによって、ネットワークの一時的な利用を解除する。
特開2005−85090号公報
ところで、上記した従来の技術は、サブネット管理者に大きな作業負担を強いるという問題点があった。すなわち、管理者は、出張者来訪のたびに、スイッチやDHCPサーバなどのネットワーク機器に対してMACアドレスの事前登録および削除を手動で行う必要があるので、出張者が増加すればするほど、管理者に大きな作業負担を強いるという問題点があった。
なお、管理者を増やすことで対応することも考えられるが、ネットワークの設定には相応のスキルを要するので現実的な対応とはいえない。
そこで、この発明は、上述した従来技術の課題を解決するためになされたものであり、ネットワーク内における認証を簡易に実現するとともに、ネットワーク管理者の負担を軽減させることが可能な認証システム、端末認証装置および認証処理プログラムを提供することを目的とする。
上述した課題を解決し、目的を達成するため、本発明は、ネットワーク機器の利用に用いられる端末装置と、当該端末装置のユーザが当該ネットワーク機器を利用可能な正規のユーザであるか否かを認証する端末認証装置とをネットワークを介して通信可能に接続して構成される認証システムであって、前記端末装置は、端末認証装置のIPアドレスが入力される第1の入力手段と、入力された端末認証装置のIPアドレスをSender IP AddressとするGratuious ARP要求を含む認証依頼フレームを用いて、前記ネットワーク機器の利用の認否に関する認証依頼を当該端末認証装置に送信する認証依頼送信手段と、前記Gratuious ARP要求を含む認証依頼フレームに対する応答フレームを、認証結果として前記端末認証装置から受信する認証結果受信手段と、前記応答フレーム受信時に、前記応答フレームを受信したことを出力表示する認証結果出力表示手段と、前記第1の入力手段によりIPアドレスの取得指示を受けると、前記ネットワーク機器を利用するためのIPアドレス、前記ネットワーク機器から取得するネットワーク利用情報取得手段と、を備え、前記端末認証装置は、前記端末装置から前記認証依頼フレームを受信する認証依頼受信手段と、前記認証依頼フレームの受信時に、前記認証依頼フレームを受信したことを出力表示する認証依頼出力表示手段と、前記ネットワーク機器の利用に関する認否を示す認証結果が入力される第2の入力手段と、入力された認証結果が前記ネットワーク機器の利用を認める旨である場合には、前記認証依頼の送信元である端末装置のMACアドレスを利用認可対象として、前記ネットワーク機器に登録する情報登録手段と、前記ネットワーク機器への登録が完了した後に、入力された認証結果を前記認証依頼の送信元である端末装置に送信する認証結果送信手段とを備える。
また、本発明は、上記の発明において、前記端末認証装置は、前記認証依頼受信手段により前記認証依頼フレームが受信された場合に、当該認証依頼フレームの送信元である端末装置のMACアドレスと、当該端末装置による前記ネットワーク機器の利用認可状態情報とを対応付けて登録して保持する利用認可状態保持手段をさらに備える。
また、本発明は、上記の発明において、前記端末認証装置は、前記端末装置による前記ネットワーク機器の利用について取消指示を受け付けた場合には、前記ネットワーク機器において前記利用認可対象として登録されている端末装置のMACアドレスの中から、当該取消指示の対象となる端末装置のMACアドレスの登録を削除する利用取消手段をさらに備え、前記利用認可状態保持手段は、前記利用取消手段により前記利用認可対象としての登録を削除された端末装置について、前記ネットワーク機器の利用認可を取り消した旨を登録して保持する。
また、本発明は、上記の発明において、前記端末認証装置は、平時の通信用として使用する前記IPアドレスの代わりに、認証のために使用する他のIPアドレスを取得する認証用情報取得手段をさらに備える。
また、本発明は、上記の発明において、前記認証システムは、前記端末装置のユーザが前記ネットワーク機器を利用可能な正規のユーザであるか否かを認証する複数の端末認証装置を含んで構成され、前記端末装置と前記端末認証装置との間で前記認証依頼および前記認証結果の送受信を行う場合に、認証用として専用フレームを使用するものであって、前記認証依頼送信手段は、前記専用フレームを使用して複数の端末認証装置を宛先とする前記認証依頼をそれぞれ送信する。
また、本発明は、上記の発明において、前記認証システムは、ネットワーク機器の利用に用いられる複数の端末装置と、当該端末装置のユーザが当該ネットワーク機器を利用可能な正規のユーザであるか否かを認証する複数の端末認証装置とを含んで構成され、前記端末認証装置は、前記認証依頼受信手段により複数の端末認証装置を宛先とする前記認証依頼を新たに受信した場合に、受信済みの認証依頼数が予め定められた受付可能認証依頼数を到達しているか否か判定し、判定の結果、受信済みの認証依頼数が予め定められた受付可能認証依頼数に到達している場合には、新たに受信された認証依頼を他の端末認証装置に転送する認証依頼転送手段をさらに備える。
また、本発明は、上記の発明において、前記端末認証装置は、前記認証依頼受信手段により複数の端末認証装置を宛先とする前記認証依頼を受信した場合に、自己を含めた全ての端末認証装置における前記認証結果を集計する認証結果集計手段をさらに備え、前記情報登録手段は、前記認証結果集計手段により全ての端末認証装置から集計された前記認証結果が前記ネットワーク機器の利用を認める旨の認証結果である場合には、前記認証依頼の送信元である端末装置のMACアドレスを利用認可対象として当該ネットワーク機器に登録する。
また、本発明は、上記の発明において、前記認証用情報取得手段は、前記認証のために使用する他のIPアドレスを装置起動時に再度取得して、当該取得された他のIPアドレスが前回起動時に使用されたものと同一である場合には、異なるIPアドレスを改めて取得する。
また、本発明は、ネットワーク機器の利用に用いられる端末装置とネットワークを介して通信可能に接続され、当該端末装置のユーザが当該ネットワーク機器を利用可能な正規のユーザであるか否かを認証する端末認証装置であって、端末認証装置のIPアドレスをSender IP AddressとするGratuious ARP要求を含む認証依頼フレームを前記端末装置から受信する認証依頼受信手段と、前記認証依頼フレームの受信時に、前記認証依頼フレームを受信したことを出力表示する認証依頼出力表示手段と、前記ネットワーク機器の利用に関する認否を示す認証結果が入力される第2の入力手段と、入力された認証結果が前記ネットワーク機器の利用を認める旨である場合には、前記認証依頼の送信元である端末装置のMACアドレスを利用認可対象として、前記ネットワーク機器に登録する情報登録手段と、前記ネットワーク機器への登録が完了した後に、入力された認証結果を前記認証依頼の送信元である端末装置に送信する認証結果送信手段とを備える。
また、本発明は、ネットワーク機器の利用に用いられる端末装置とネットワークを介して通信可能に接続され、当該端末装置のユーザが当該ネットワーク機器を利用可能な正規のユーザであるか否かを認証する端末認証装置としてのコンピュータに実行させるための認証処理プログラムであって、端末認証装置のIPアドレスをSender IP AddressとするGratuious ARP要求を含む認証依頼フレームを前記端末装置から受信する認証依頼受信手順と、前記認証依頼フレームの受信時に、前記認証依頼フレームを受信したことを出力表示する認証依頼出力表示手順と、前記ネットワーク機器の利用に関する認否を示す認証結果が入力される第2の入力手順と、入力された認証結果が前記ネットワーク機器の利用を認める旨である場合には、前記認証依頼の送信元である端末装置のMACアドレスを利用認可対象として、前記ネットワーク機器に登録する情報登録手順と、前記ネットワーク機器への登録が完了した後に、入力された認証結果を前記認証依頼の送信元である端末装置に送信する認証結果送信手順とをコンピュータに実行させる。
本発明によれば、ネットワーク内における認証を簡易に実現するとともに、ネットワーク機器利用認可時のネットワーク機器に対する設定を自動化することが可能である。
以下に添付図面を参照して、この発明に係る認証システム、端末認証装置および認証処理プログラムの実施例を詳細に説明する。なお、以下では、本発明の一実施形態として、本発明に係る認証システムを実施例1で説明した後に、本発明に含まれる他の実施例を説明する。
以下の実施例1では、実施例1に係る認証システムの概要および特徴、かかる認証システムの構成および処理を順に説明し、最後に実施例1による効果を説明する。
[認証システムの概要および特徴(実施例1)]
最初に、図1および図2を用いて、実施例1に係る認証システムの概要および特徴を説明する。図1は、実施例1に係る認証システムの概要および特徴を説明するための図である。図2は、従来技術による処理ステップの概要を示す図である。
実施例1に係る認証システムは、ネットワーク機器の利用に用いられる端末装置のユーザがネットワーク機器を利用可能な正規のユーザであるか否かを認証することを概要とする。例えば、業務上の関係者(若しくは、サブネットなどのネットワーク管理者)が、出張者である従業員に対して、会社内に居る時と同じようにネットワークを介してネットワークを利用させることを概要とする。そして、実施例1に係る認証システムは、ネットワーク内における一時的な認証を簡易に実現するとともに、ネットワーク機器利用認可時のネットワーク機器に対する設定を自動化することを主たる特徴とする。このようなことから、実施例1に係る認証システムは、ネットワーク管理者の負担を軽減させることができる。
この主たる特徴について具体的に説明すると、実施例1に係る認証システムは、図1に示すように、ネットワーク機器の利用に用いられる出張者端末と、出張者端末のユーザである出張者がネットワーク機器を利用可能な正規のユーザであるか否かを認証する設定端末とをネットワークを介して通信可能に接続して構成される。
そして、実施例1に係る認証システムの設定端末のユーザであるネット管理者(若しくは業務上の関係者)は、出張者に対して出張先でのLAN使用許可を与えるために、設定端末のアドレス情報(IP−B)を認証用の情報として予め出張者に口頭で通知しておく。
これに対して、出張者端末は、ネット管理者から予め通知されていた設定端末のアドレス情報を認証用の情報として含んだフレームを用いて、ネットワーク機器の利用の認否に関する認証依頼を設定端末に送信する。ここで、ネットワーク機器とは、ネットワーク内のスイッチング・ハブやDHCPサーバなどをいう。
具体的に説明すると、出張者は、出張者端末のIP(インターネットプロトコル)設定画面を開いて、キーボードを操作して「IP−B」を入力して設定する。出張者端末は、出張者から「IP−B」の入力を受け付けると、OS(オペレーティングシステム)の機能により、「IP−B」を宛先IPとして含んだフレーム(Gratuitous ARPフレーム)を用いて、設定端末に認証依頼を送信する。ここで、「Gratuitous ARPフレーム」とは、OSに予め備えられている機能により、端末上でIPアドレスが設定されると、同一のIPアドレスを有する端末がネットワーク内に存在しないかどうかを確認するために送信されるフレームである。
出張者端末から認証依頼を受信すると、設定端末は、認証依頼についての受信メッセージを出力デバイス(例えば、ディスプレイやモニタなど)に表示する。具体的には、設定端末は、受信したフレームに含まれている宛先IPアドレスが、出張者端末のユーザに認証用の情報として口頭で通知した「IP−B」である場合には、認証依頼であると判断して受信メッセージを出力デバイスに表示する。なお、受信メッセージを表示する場合には、例えば、認証依頼、依頼元MACアドレスおよび受信時刻が一見して認識できる状態で表示するなど、認証依頼が受信されたことをネット管理者に認識させるように表示するものであればよい。
出力デバイスに表示された受信メッセージを確認したネット管理者は、キーボードなどの入力デバイスを操作して認証結果を設定端末に入力する。例えば、ネット管理者は、認証依頼の受信タイミングや認証用の情報として通知した「IP−B」の一致などをもって、認証依頼の送信元を正規のユーザ(出張者)であると判断する場合には、ネットワーク機器の利用を認可する旨の認証結果を入力する。なお、認証依頼の送信元を正規のユーザ(出張者)であると判断しない場合には、ネットワーク機器の利用を否認する旨の認証結果を入力する。
ネット管理者から認証結果を受け付けると、設定端末は、受け付けた認証結果がネットワーク機器の利用を認可する旨の認証結果である場合には、認証依頼の送信元である出張者端末のMACアドレスを利用認可対象としてネットワーク機器に登録する。
ネットワーク機器への登録完了後、設定端末は、ネットワーク機器の利用を認可する旨の認証結果を認証依頼の送信元である出張者端末へ送信する。一方、設定端末は、受け付けた認証結果がネットワーク機器の利用を否認する旨の認証結果である場合には、その旨の認証結果を認証依頼の送信元である出張者端末へ送信する。
設定端末から認証結果を受信すると、出張者端末は、認証結果についての受信メッセージを出力デバイス(例えば、ディスプレイやモニタなど)に表示する。そして、出力デバイスに表示された受信メッセージを確認して、ネットワーク機器の利用を認可する旨の認証結果であることを確認すると、出張者は、キーボードを操作して出張者端末のIP取得指示を入力する。出張者端末は、ネットワーク機器を利用するためのIP取得要求をネットワーク機器(DHCPサーバ)に要求してIPの払出を受ける。そして、出張者は、このIPを用いてデータ通信を開始する。
その後、ネット管理者は、出張者のネットワーク機器の利用を取り消す場合には、キーボードなどの入力デバイスを操作して、出張者端末によるネットワーク機器の利用について取消指示を設定端末に入力する。ネット管理者からの取消指示の入力を受け付けると、設定端末は、ネットワーク機器において利用認可対象として登録されている端末装置のアドレス情報の中から、取消指示の対象となる端末装置のアドレス情報の登録を削除する。
上述してきたように、実施例1に係る認証システムによれば、ネット管理者(若しくは業務上の関係者)が出張者の認証結果を設定端末に入力するだけで、その他の作業は自動化される。すなわち、図2に示すように、実施例1に係る認証システムと同様の処理を行う従来のシステムでは、ネット管理者(若しくは業務上の関係者)により手動で行なわれる作業が7ステップ、自動で行われる作業が0ステップである。これに対して、実施例1に係る認証システムでは、図1に示すように、ネット管理者(若しくは業務上の関係者)により手動で行なわれる作業が2ステップ、自動で行われる作業が6ステップとなり、ネット管理者(若しくは業務上の関係者)により手動で行なわれる作業が従来に比べて大幅に軽減される。
このようなことから、実施例1に係る認証システムは、上述した主たる特徴の如く、ネットワーク内における一時的な認証を簡易に実現するとともに、ネットワーク機器利用認可時のネットワーク機器に対する設定を自動化することができ、ネットワーク管理者の負担を軽減させることが可能である。
[認証システムの構成(実施例1)]
次に、図3を用いて、実施例1に係る認証システムの構成を説明する。図3は、実施例1に係る認証システムの構成を示すブロック図である。同図に示すように、実施例1に係る認証システムは、ネットワーク機器の利用に用いられる依頼元端末10と、依頼元端末のユーザがネットワーク機器20を利用可能な正規のユーザであるか否かを認証する依頼先端末30とをネットワーク1を介して通信可能に接続して構成される。
そして、依頼元端末10は、入力デバイス10aと、認証依頼送信部10bと、認証応答受信部10cと、出力デバイス10dと、IP取得部10eとから構成される。なお、認証依頼送信部10bは、特許請求の範囲に記載の「認証依頼送信手段」に対応し、認証応答受信部10cは、同じく特許請求の範囲に記載の「認証結果受信手段」に対応し、出力デバイス10dは、同じく特許請求の範囲に記載の「認証結果出力表示手段」に対応し、IP取得部10eは、同じく特許請求の範囲に記載の「ネットワーク利用情報取得手段」に対応する。
このうち、入力デバイス10aは、IP(インターネットプロトコル)設定画面を開いたユーザから、認証用の情報である依頼先端末30のアドレス情報(例えば、「IP−B」)の設定入力などを受け付ける。入力デバイス10aとしては、例えば、キーボードやマウスなどが該当する。
認証依頼送信部10bは、入力デバイス10aを介して、認証用の情報である依頼先端末30のアドレス情報(例えば、「IP−B」)の設定入力を受け付けると、OS(オペレーティングシステム)の機能により、「IP−B」を宛先IPとして含んだフレーム(Gratuitous ARPフレーム)を用いて、依頼先端末30に認証依頼を送信する。
ここで、「Gratuitous ARPフレーム」とは、OSに予め備えられている機能により、端末上でIPアドレスが設定されると、同一のIPアドレスを有する端末がネットワーク内に存在しないかどうかを確認するために送信されるフレームである。
図4に、依頼元端末10と依頼先端末30との間で送受信されるフレームの基本フォーマット、依頼元端末10から依頼先端末30に送信される要求フォーマット、および依頼先端末30から依頼元端末10に送信される応答フォーマットの構成例を示す。図4は、実施例1に係るフレームフォーマットの構成例を示す図である。同図に示すように、「Sender IP Adress」のフィールドと、「Target IP Adress」のフィールドに格納されている値が同一である場合には、「Gratuitous ARPフレーム」であることを意味する。また、「Ethernet(登録商標) Type」値としては、既存のARPを示す固定値(例えば、0x0806)を格納しておき、ネットワーク内のスイッチに対しても、この「Ethernet(登録商標) Type」の値が格納されたフレームを通過可能なように事前に設定しておく。
認証応答受信部10cは、依頼先端末30から認証依頼に対する認証結果を受信して、出力デバイス10dに認証結果についての受信メッセージを出力させる。
出力デバイス10dは、認証結果についての受信メッセージを表示する。出力デバイスとしては、例えば、受信メッセージを表示するディスプレイやモニタ、受信メッセージを印字出力するプリンタなどが該当する。
IP取得部10eは、入力デバイス10aを介してIP取得指示をユーザから受け付けると、DHCPクライアント機能等を用いて、ネットワーク機器20を利用するためのIP取得要求をネットワーク機器20(例えば、DHCPサーバ)に要求してIPアドレスの払出を受ける。
また、ネットワーク機器20は、ネットワーク1内のスイッチング・ハブやDHCPサーバなどである。
また、依頼先端末30は、認可状態情報保持部30aと、認証依頼受信部30bと、出力デバイス30cと、入力デバイス30dと、認証結果受付部30eと、依頼元MAC許可部30fと、認証応答送信部30gと、認可取消受付部30hと、依頼元MAC禁止部30iとから構成される。
なお、認可状態情報保持部30aは、特許請求の範囲に記載の「利用認可状態保持手段」に対応し、認証依頼受信部30bは、同じく特許請求の範囲に記載の「認証依頼受信手段」に対応し、出力デバイス30cは、同じく特許請求の範囲に記載の「認証依頼出力表示手段」に対応し、認証結果受付部30eは、同じく特許請求の範囲に記載の「認証結果受付手段」に対応し、依頼元MAC許可部30fは、同じく特許請求の範囲に記載の「情報登録手段」に対応し、認証応答送信部30gは、同じく特許請求の範囲に記載の「認証結果送信手段」に対応し、依頼元MAC禁止部30iは、同じく特許請求の範囲に記載の「利用取消手段」に対応する。
このうち、認可状態情報保持部30aは、認証依頼が受信された場合に、認証依頼の送信元である依頼元端末10のアドレス情報(例えば、依頼元MACアドレス)と、依頼元端末10によるネットワーク機器20の利用認可状態情報とを対応付けて保持する。
ここで、依頼元MACアドレスとは、認証依頼として受信したフレーム内の「Source MAC Adress」や「Sender Ethernet(登録商標) Adress」の領域に格納されている送信元のMACアドレスを示す値である。また、利用認可状態情報とは、例えば、認証依頼の受信時刻や、各処理部により更新される依頼元端末10の認可状態(例えば、「認証依頼中」、「認証OK・認可済み」、「認可取り消し済み」など)からなる情報である。
認証依頼受信部30bは、依頼元端末10から認証依頼を受信して、出力デバイス30cに認証依頼についての受信メッセージを出力させる。具体的には、認証依頼受信部30bは、受信したフレームに含まれている宛先IPアドレスが、依頼元端末10のユーザに認証用の情報として口頭で通知した自己のアドレス情報(例えば、「IP−B」)である場合には、認証依頼であると判断して受信メッセージを出力デバイス30cに表示させる。そして、認証依頼受信部30bは、認証依頼の送信元である依頼元端末10のMACアドレスに対応付けて、「認証依頼中」である旨の認可状態を登録する。
出力デバイス30cは、認証依頼についての受信メッセージを表示する。出力デバイスとしては、例えば、受信メッセージを表示するディスプレイやモニタ、受信メッセージを印字出力するプリンタなどが該当する。なお、受信メッセージを表示する場合には、例えば、認証依頼、依頼元MACアドレスおよび受信時刻が一見して認識できる状態で表示するなど、認証依頼が受信されたことを依頼先端末30のユーザに認識させるように表示するものであればよい。
入力デバイス30dは、出力デバイス30cに表示された受信メッセージを確認したユーザが認証結果を入力する場合などに、ユーザからの入力操作を受け付ける。
認証結果受付部30eは、入力デバイス30dを介して、依頼元端末10に対してネットワーク機器20の利用を認可する旨の認証結果や、ネットワーク機器20の利用を否認する旨の認証結果の入力をユーザから受け付ける。そして、認証結果受付部30eは、受け付けた認証結果がネットワーク機器20の利用を認可する旨の認証結果である場合には、認証依頼の送信元である依頼元端末10のMACアドレスを利用認可対象としてネットワーク機器20に登録するように依頼元MAC許可部30fに指示する。
依頼元MAC許可部30fは、認証結果受付部30eからの指示を受け付けて、認証依頼の送信元である依頼元端末10のMACアドレスを利用認可対象としてネットワーク機器20に登録する。また、依頼元MAC許可部30fは、認可状態情報保持部30aに対して、認証依頼の送信元である依頼元端末10のMACアドレスの認可状態を更新する(例えば、「認証依頼中」から「認証OK・認可済み」に更新する)。
認証応答送信部30gは、依頼元MAC許可部30fによるネットワーク機器20への登録完了後、依頼元端末10から受信した同一のフレームを用いて、認証結果受付部30eにより受け付けられた認証結果、すなわち、依頼元端末10に対してネットワーク機器20の利用を認可する旨の認証結果を送信する。依頼元端末10のMACアドレスは、認証結果受付部30eを介して認証依頼受信部30bから取得しておく。一方、認証応答送信部30gは、受け付けた認証結果がネットワーク機器20の利用を否認する旨の認証結果である場合には、その旨の認証結果を認証依頼の送信元である依頼元端末10へ送信する。なお、受け付けた認証結果がネットワーク機器20の利用を否認する旨の認証結果である場合には、認証結果を送信しないようにしてもよい。
許可取消受付部30hは、入力デバイス30dを介して、依頼元端末10によるネットワーク機器20の利用について取消指示の入力をユーザから受け付ける。そして、依頼元MAC禁止部30iに取消を指示する。
依頼元MAC禁止部30iは、許可取消受付部30hからの指示を受け付けて、ネットワーク機器20において利用認可対象として登録されている端末装置のアドレス情報の中から、取消指示の対象となる依頼元端末10のMACアドレスの登録を削除する。そして、依頼元MAC禁止部30iは、認可状態情報保持部30aに対して、取消指示対象である依頼元端末10のMACアドレスの認可状態を更新する(例えば、「認証OK・認可済み」から「認可取消済み」に更新する)。
また、依頼先端末30は、ネットワーク機器20のIPアドレス、および他の装置のMACアドレスをネットワーク機器20に登録する際の設定インタフェースに応じた設定入力手段や入力情報を予め所持している。
なお、依頼元端末10および依頼先端末30は、既知のパーソナルコンピュータ、ワークステーションなどの情報処理装置に、上記した各機能を搭載することによって実現することもできる。
[認証システムの処理(実施例1)]
続いて、図5〜図8を用いて、実施例1に係る認証システムの処理を説明する。図5は、実施例1に係る認証システムの処理を示す図である。図6は、実施例1に係る依頼元端末の処理の流れを示すフローチャートである。図7は、実施例1に係る依頼先端末の利用登録処理の流れを示すフローチャートである。図8は、実施例1に係る依頼先端末の利用取消処理の流れを示すフローチャートである。
[依頼元端末の処理(実施例1)]
まず、図5および図6を用いて、実施例1に係る依頼元端末の処理を説明する。図6に示すように、入力デバイス10aを介して、認証用の情報である依頼先端末30のアドレス情報(例えば、「IP−B」)の設定入力(認証依頼送信指示)を受け付けると(ステップS601肯定)、認証依頼送信部10bは、OS(オペレーティングシステム)の機能により、「IP−B」を宛先IPとして含んだフレーム(Gratuitous ARPフレーム)を用いて、依頼先端末30に認証依頼を送信する(ステップS602、図5のA−1参照)。
次に、認証応答受信部10cは、依頼先端末30から認証依頼に対する認証結果を受信すると(ステップS603肯定、図5のA−2参照)、出力デバイス10dに認証結果についての受信メッセージを出力させる(ステップS604、図5のA−3参照)。
続いて、入力デバイス10aを介してIP取得指示を受け付けると、IP取得部10eは、DHCPクライアント機能等を用いて、ネットワーク機器20を利用するためのIP取得要求をネットワーク機器20(例えば、DHCPサーバ)に要求してIPの払出を受ける(ステップS605、図5のA−4参照)。そして、依頼元端末10は、このIPを用いてデータ通信を開始する(ステップS606)。
[依頼先端末の利用登録処理(実施例1)]
次に、図5および図7を用いて、実施例1に係る依頼先端末の利用登録処理を説明する。図7に示すように、依頼元端末10から認証依頼を受信すると(ステップS701肯定、図5のB−1参照)、出力デバイス30cに認証依頼についての受信メッセージを出力させる(ステップS702、図5のB−2参照)。
続いて、認証結果受付部30eは、入力デバイス30dを介して、依頼元端末10に対してネットワーク機器20の利用を認可する旨の認証結果や、ネットワーク機器20の利用を否認する旨の認証結果の入力をユーザから受け付ける(ステップS703、図5のB−3参照)。そして、認証結果受付部30eは、受け付けた認証結果がネットワーク機器の利用を認可する旨の認証結果である場合には、認証依頼の送信元である依頼元端末10のMACアドレスを利用認可対象としてネットワーク機器20に登録するように依頼元MAC許可部30fに指示する。
依頼元MAC許可部30fは、認証結果受付部30eからの指示を受け付けて、認証依頼の送信元である依頼元端末10のMACアドレスを利用認可対象としてネットワーク機器20に登録する(ステップS704、図5のB−4参照)。
そして、認証応答送信部30gは、依頼元MAC許可部30fによるネットワーク機器20への登録完了後、認証結果受付部30eにより受け付けられた認証結果、すなわち、依頼元端末10に対してネットワーク機器20の利用を認可する旨の認証結果を送信する(ステップS705、図5のB−5参照)。
[依頼先端末の利用取消処理(実施例1)]
次に、図5および図8を用いて、実施例1に係る依頼先端末の利用取消処理を説明する。図8に示すように、許可取消受付部30hは、入力デバイス30dを介して、依頼元端末10によるネットワーク機器20の利用について取消指示の入力をユーザから受け付けると(ステップS801肯定、図5のB−6参照)、依頼元MAC禁止部30iに取消を指示する。
依頼元MAC禁止部30iは、許可取消受付部30hからの指示を受け付けて、ネットワーク機器20において利用認可対象として登録されている端末装置のアドレス情報の中から、取消指示の対象となる依頼元端末10のアドレス情報の登録を削除する(ステップS802、図5のB−7参照)。
[実施例1による効果]
上述してきたように、実施例1によれば、ネットワーク機器の利用に用いられる端末装置(依頼元端末10)と、当該端末装置のユーザが当該ネットワーク機器20を利用可能な正規のユーザであるか否かを認証する端末認証装置(依頼先端末30)とをネットワークを介して通信可能に接続して構成される認証システムにおいて、前記端末装置は、認証用の情報を含んだフレームを用いて、前記ネットワーク機器の利用の認否に関する認証依頼を当該端末認証装置に送信し、前記端末認証装置から前記認証依頼に対する認証結果を受信し、受信された前記認証結果を出力表示するとともに、受信された前記認証結果に応じて、ネットワーク機器を利用するためのネットワーク利用情報を当該ネットワーク機器から取得し、前記端末認証装置は、前記端末装置から認証依頼を受信し、受信された前記認証依頼を出力表示し、前記ネットワーク機器の利用に関する認否を示す認証結果を受け付け、前記ネットワーク機器の利用を認める旨の認証結果が受け付けられた場合には、前記認証依頼の送信元である端末装置のアドレス情報を利用認可対象として登録し、前記ネットワーク機器への登録が完了した後に、前記認証結果を前記認証依頼の送信元である端末装置に当該認証結果を送信するので、ネットワーク内における一時的な認証を簡易に実現するとともに、ネットワーク機器利用認可時のネットワーク機器に対する設定を自動化することができ、ネットワーク管理者の負担を大幅に軽減させることが可能である。
また、実施例1によれば、依頼先端末30は、認証依頼が受信された場合に、当該認証依頼の送信元である依頼元端末10のアドレス情報(例えば、MACアドレス)と、当該依頼元端末10によるネットワーク機器の利用認可状態情報(例えば、認証依頼の受信時刻や、利用認可の状況からなる情報)とを対応付けて登録して保持するので、依頼先端末30の管理者は、依頼元端末10の利用認可状態を適宜参照することが可能である。
また、実施例1によれば、依頼元端末10と依頼先端末30との間で認証依頼および認証結果の送受信を行う場合に、各装置に実装された既存のフレーム(例えば、Gratuitous ARPのフレーム)を使用するので、装置に新たな機能等を追加することなく、認証依頼および認証結果の送受信を既存の機能で実現することが可能である。
また、上記の実施例1では、認証応答送信部30gは、依頼元MAC許可部30fによるネットワーク機器20への登録完了後、認証結果受付部30eにより受け付けられた認証結果を依頼元端末10に送信する場合を説明したが、本発明はこれに限定されるものではなく、登録に要する時間を見計らって、予め認証結果を送信するようにしてもよい。
また、上記の実施例1では、IP取得部10eは、DHCPクライアント機能等を用いて、ネットワーク機器20を利用するためのIP取得要求をネットワーク機器20(例えば、DHCPサーバ)に要求してIPアドレスの払出を受ける場合を説明した。しかしながら、本発明はこれに限定されるものではなく、依頼先端末30が依頼元端末10に割り当てたIPアドレスをフレームの中に格納して認証結果を送信し、依頼元端末10は、受信したフレームの中に格納されているIPアドレスを用いるようにしてもよい。
また、上記の実施例1では、依頼先端末30がネットワーク機器20へのMACの設定を行うように説明したが、本発明はこれに限定されるものではなく、上記で説明した依頼元MAC許可部30fおよび依頼元MAC禁止部30iは、許可/禁止対象のMACを既存のネットワーク機器20に指示し、指示を受けた既存のネットワーク管理装置が、実際の機器設定を行うようにしてもよい。この場合、依頼先端末30は、ネットワーク管理装置のAPIに応じたコマンド投入だけすればよく、ネットワーク機器毎のAPIに応じたコマンド投入が不要となるので、依頼先端末30の実装がより容易になる。
上記の実施例1では、OSに予め備えられている機能により送信されるフレーム(Gratuitous ARPフレーム)を用いて、認証依頼または認証結果の送受信を行う場合について説明したが、本発明はこれに限定されるものではなく、予め用意した認証用の専用フレームを用いて、認証依頼または認証結果の送受信を行うようにしてもよい。そこで、以下の実施例2では、図9および図10を用いて、実施例2に係る認証システムの構成を説明する。図9は、実施例2に係る認証システムの構成を示すブロック図である。図10は、実施例2に係るフレームフォーマットの構成例を示す図である。
図9に示すように、実施例2に係る認証システムの構成は、実施例1に係る認証システムの構成と基本的には同様であるが、以下に説明する点が異なる。
すなわち、依頼元端末10の認証依頼送信部10bは、認証用の専用フレームを用いて、依頼先端末30に認証依頼を送信する。ここで、専用フレームのフォーマット構成としては、図10に示すように、「Ethernet(登録商標) Type」、「依頼先IPアドレス」および「依頼と応答の種別」を示す値を格納するフィールドを備えた構成とする。そして、「Ethernet(登録商標) Type」のフィールドに特定の値を格納して、この特定の値を示すフレームを通過可能なようにスイッチを事前に設定しておくことにより、認証用の専用フレームを実現する。また、依頼元端末10から認証依頼が送信される場合には、「依頼と応答の種別」のフィールドに「依頼」を示す値が格納され、依頼先端末30から認証結果が送信される場合には、「依頼と応答の種別」のフィールドに「応答」を示す値が格納される。
依頼元端末10の認証応答受信部10cは、専用フレームを用いて、依頼先端末30から送信された認証結果を受信すると、受信した認証結果の内容を確認する。確認の結果、ネットワーク機器20の利用を認可する旨の認証結果である場合には、認証応答受信部10cは、IP取得部10eにIPアドレスの取得を指示する。IP取得部10eは、認証応答受信部10cからの指示を受け付けて、DHCPクライアント機能等を用いて、ネットワーク機器20を利用するためのIP取得要求をネットワーク機器20(例えば、DHCPサーバ)に要求してIPアドレスの払出を受ける。
依頼元端末10のその他の処理は、上記の実施例1において説明した処理と同様である。
依頼先端末30の認証依頼受信部30bは、依頼元端末10から受信したフレームに含まれている宛先IPアドレスが、依頼元端末10のユーザに認証用の情報として口頭で通知した自己のアドレス情報(例えば、「IP−B」)であり、「Ethernet(登録商標) Type」のフィールドに格納された値が、認証用の専用フレームであることを示す特定の値である場合には、認証依頼であると判断して受信メッセージを出力デバイス30cに表示させる。
依頼先端末30のその他の処理は、上記の実施例1において説明した処理と同様である。
上述してきたように、実施例2によれば、依頼元端末10と依頼先端末30との間で認証依頼および認証結果の送受信を行う場合に、認証用として専用フレームを使用するので、各装置に実装された既存のフレーム(例えば、Gratuitous ARPのフレーム)を本来の目的に使用しつつ、認証依頼および認証結果の送受信を別のフレームで実現することが可能である。
なお、上記の実施例2において説明した専用フレームの構成はあくまで一例であり、少なくとも、「Ethernet(登録商標) Type」、「依頼先IPアドレス」および「依頼と応答の種別」を指定可能な構成であれば、どのようなフォーマットであっても構わない。
上記の実施例では、依頼先端末30が予め所持している自己のアドレス情報(例えば、「IP−B」などのIPアドレス)を認証用の情報として利用する場合を説明したが、本発明はこれに限定されるものではなく、もっぱら認証用の情報として用いるためのアドレス情報を取得して利用するようにしてもよい。そこで、以下の実施例3では、図11を用いて、実施例3に係る認証システムの構成を説明する。図11は、実施例3に係る認証システムの構成を説明するブロック図である。
図11に示すように、実施例3に係る認証システムの構成は、上記の実施例で説明した認証システムの構成と基本的には同様であるが、依頼先端末30に認証IP設定部30jを新たに備える点が上記の実施例とは異なる。
すなわち、認証IP設定部30jは、予め平時の通信用として所持するMACアドレスとは別に、認証用の仮想MACアドレスを所持しておく。そして、認証IP設定部30jは、DHCPサーバ40に対して、仮想MACアドレスに対応するIPアドレスを要求して払出を受ける。依頼先端末30のユーザは、このようにして取得したアドレス情報を依頼元端末10のユーザに予め通知しておくことで認証用の情報として利用する。
また、この認証IP設定部30jは、人が手設定で、平時の通信用IPとは別のIPを設定できるようなユーザインタフェースを備えるようにしてもよい。
上述してきたように、実施例3によれば、依頼先端末30は、予め所持している自己のアドレス情報の代わりに、認証用の情報として使用する他のアドレス情報を取得するので、ネットワークを介した平時の通信に用いる自己のアドレス情報が漏洩するのを防止することが可能である。
上記の実施例2において、図12に示すように、認証用の専用フレームの中に認証依頼の送信元であるユーザを識別するための情報(ユーザ識別ID)を格納するためのフィールドを設け、認証依頼の送信元であるユーザを識別するための情報が格納された認証依頼を送信するようにしてもよい。図12は、実施例4に係るフレームフォーマットの構成例を示す図である。
ここで、実施例4に係る認証システムの概要を簡単に説明する。例えば、依頼元端末10の認証依頼送信部10bは、ユーザから従業員カードを挿入された後に、入力デバイス10aを介して、認証用の情報である依頼先端末30のアドレス情報(例えば、「IP−B」)の設定入力を受け付ける。そして、認証依頼送信部10bは、挿入された従業員カードから従業員番号を読み出して、専用フレームの「ユーザ識別ID」のフィールドに格納し、依頼先端末30に認証依頼を送信する。
依頼先端末30の認証依頼受信部30bは、依頼元端末10から受信したフレームに含まれている宛先IPアドレスが、依頼元端末10のユーザに認証用の情報として口頭で通知した自己のアドレス情報(例えば、「IP−B」)であり、「Ethernet(登録商標) Type」のフィールドに格納された値が、認証用の専用フレームであることを示す特定の値である場合には、認証依頼であると判断して受信メッセージを出力デバイス30cに表示させる。さらに、フレーム内の「ユーザ識別ID」のフィールドに格納されている従業員番号もあわせて表示させる。このようにすることで、依頼先端末30のユーザは、従業員番号も認証に利用することができる。
依頼元端末10および依頼先端末30のその他の詳細な処理は、上記の実施例において説明した処理と同様である。
上述してきたように、実施例4によれば、認証用の情報の他に、依頼元端末10のユーザを特定するためのユーザ識別ID(例えば、従業員番号)を含んだフレームを用いて認証依頼を送信するので、依頼先端末30は、認証用の情報だけでなく、ユーザ識別子をさらに用いて認証を行うことができ、より正確な認証を行うことが可能である。
上記の実施例2において、依頼元端末10のユーザがネットワーク機器20を利用可能な正規のユーザであるか否かを認証する複数の依頼先端末30を含んでシステムが構成される場合に、図14に示すように、認証用の専用フレームの中に依頼先端末30を指定するためのフィールド(例えば、「依頼先IP1」、「依頼先IP2」および「依頼先IP3」)を複数設け、複数の依頼先端末30に対して認証依頼を送信するようにしてもよい。図14は、実施例5に係るフレームフォーマットの構成例を示す図である。
ここで、図13を用いて、実施例5に係る認証システムの概要を簡単に説明する。図13は、実施例5に係る認証システムの概要を示す図である。なお、同図に示す端末Aは上記の実施例における「依頼元端末」に対応し、端末B1〜B3は上記の実施例における「依頼先端末」に対応する。
端末B1〜B3の各ユーザである承認者B1〜B3は、認証用の情報「IP−B1」、「IP−B2」および「IP−B3」をそれぞれ口頭で予め端末Aのユーザである出張者Aに通知しておく。
端末Aのユーザである出張者Aは、専用のフレームを用いて、認証の依頼先を指定するフィールドに「IP−B1」、「IP−B2」および「IP−B3」をそれぞれ設定入力する。ユーザからの設定入力を受け付けて、端末Aは、端末B1〜B3を宛先とする認証依頼をそれぞれ送信する。
端末B1〜B3の各ユーザである承認者B1〜B3は、出力表示された認証依頼の内容を確認して認証結果をそれぞれの端末に入力する。認証結果の入力を受け付けて、端末B1〜B3は、端末Aに認証結果を送信する。この時、例えば、承認者B1およびB2が不在で、承認者3のみが在籍している場合であっても、出張者Aは、承認者B3からの認証結果をいち早く受信することができる。
端末Aおよび端末B1〜B3の詳細な処理は、上記の実施例において説明した依頼元端末10および依頼先端末30の処理とそれぞれ同様である。
上述してきたように、実施例5によれば、ネットワーク機器20(SW:スイッチング・ハブやDHCPサーバ)の利用に用いられる端末(例えば、端末A)のユーザがネットワーク機器を利用可能な正規のユーザであるか否かを認証する複数の端末(例えば、端末B1〜B3)を含んでシステムが構成される場合に、端末B1〜B3を宛先とする認証依頼をそれぞれ送信するので、各端末B1〜B3のいずれかもが認証を行うことができ、認証結果送信までの応答時間を短縮することが可能である。
また、上述してきた実施例5では、端末Aのユーザである出張者Aによって、認証の依頼先を指定するフィールドに「IP−B1」、「IP−B2」および「IP−B3」がそれぞれ設定入力された専用のフレームを用いて、端末Aが、例えば、端末B1〜B3といった複数の宛先に対して認証依頼を送信する場合を説明した。しかしながら、本発明はこれに限定されるものではなく、複数の宛先(例えば、端末B1〜B3)を宛先とするマルチキャストアドレスが一つ設定入力された専用のフレームを用いて、複数の宛先に対して認証依頼を送信するようにしてもよい。
上記の実施例5において、依頼元端末10のユーザがネットワーク機器20を利用可能な正規のユーザであるか否かを認証する複数の依頼先端末30だけでなく、ネットワーク機器20の利用に用いられる複数の依頼元端末10をさらに含んでシステムが構成される場合に、受信済みの認証依頼数が許容範囲の上限に到達している場合には、新たに受信した認証依頼を他の依頼先端末30へ転送するようにしてもよい。以下に、図15を用いて、実施例6に係る認証システムの概要を説明する。図15は、実施例6に係る認証システムの概要を示す図である。なお、実施例5と同様に、同図に示す端末A1〜A3は上記の実施例における「依頼元端末」に対応し、端末B1〜B3は上記の実施例における「依頼先端末」に対応する。
同図に示すように、各端末A1〜A3は、上記の実施例5と同様にして、端末B1〜B3を宛先とする認証依頼をそれぞれ送信する。そして、例えば、端末B1は、認証依頼を受信すると、受信済みの認証依頼数が予め設定された受信可能認証依頼数に到達しているか否か判定し、判定の結果、受信済みの認証依頼数が予め定められた受付可能認証依頼数に到達している場合には、新たに受信された認証依頼を他の端末(例えば、端末B2若しくはB3)に転送する。
端末A1〜A3および端末B1〜B3の詳細な処理は、上記の実施例において説明した依頼元端末10および依頼先端末30の処理とそれぞれ同様である。
上述してきたように、実施例6によれば、ネットワーク機器20(SW:スイッチング・ハブやDHCPサーバ)の利用に用いられる複数の端末(例えば、端末A1〜A3)と、端末のユーザがネットワーク機器を利用可能な正規のユーザであるか否かを認証する複数の端末(例えば、端末B1〜B3)とを含んでシステムが構成される場合に、例えば、端末B1は、端末A1〜A3から端末B1〜B3の全てを宛先とする新たな認証依頼を受信した場合に、受信済みの認証依頼数が予め設定された受信可能認証依頼数に到達しているか否か判定し、判定の結果、予め定められた受付可能認証依頼数に到達している場合には、受信された認証依頼を他の端末(例えば、端末B2若しくはB3)に転送するので、端末B1〜B3における処理の負荷分散が可能である。
なお、受信可能認証依頼数の上限は管理者が設定できるようにしてもよいし、プログラム決め打ちの固定値であってもよい。また、転送先のB2で受信可能認証依頼数の上限値到達したことにより、受信された認証依頼をB3に転送し、更にB3でも同上限値に到達したが、B3がこれ以上転送先とできる認証先端末が無いと判断した場合、その認証依頼は受信廃棄してもよいし、依頼元の端末に対して認証先混雑の旨の通知を返して処理を終了してもよい。
上記の実施例において、依頼元端末10は、認証依頼を送信した後、認証結果が受信されたか否かを一定時間経過ごとに確認し、当該認証結果が受信されていないことを確認する度に、前記認証依頼送信手段により前記認証依頼を再度送信するようにしてもよい。
例えば、依頼元端末10の認証応答受信部10cは、認証依頼送信部10bにより認証依頼が送信されると同時にタイマを起動させ、一定時間経過ごとに認証結果が受信されたかどうか確認して、認証結果が受信されていない場合には、再び認証依頼を送信するように認証依頼送信部10bに指示する。なお、認証結果が受信されているか否かの確認の繰り返し回数に上限を設けるようにしてもよい。
上述してきたように、実施例7によれば、依頼元端末10は、認証結果が受信されたか否かを一定時間経過ごとに確認し、認証結果が受信されていないことを確認する度に認証依頼を再度送信するので、ネットワーク上で認証依頼が破棄されてしまっている事態に対処することが可能である。
上記の実施例において、認可状態情報保持部30aにおける認可状態が登録または更新される度にログを記録するようにしてもよい。以下に、図16を用いて、実施例8に係る認証システムの構成を説明する。図16は、実施例8に係る認証システムの構成を示すブロック図である。
同図に示すように、実施例8に係る認証システムの構成は、上記の実施例において説明した認証システムと基本的には同様の構成であるが、依頼先端末30に認可情報記録部30kを新たに備える点が異なる。
すなわち、認可情報記録部30kは、認可状態情報保持部30aにおいて認可状態が登録または更新されるか否か監視し、認可状態が登録または更新される度に(例えば、認証依頼受信部30bによる認可状態の登録、依頼元MAC許可部30fまたは依頼元MAC禁止部30iによる認可状態の更新が行われる度に)、認可状態情報保持部30aに保持されている情報のログを記録する。
上述してきたように、実施例8によれば、依頼先端末30は、認可状態情報の登録または更新が行われるごとに、登録または更新にかかる認可状態情報のログを記録するので、依頼先端末30のユーザは、依頼元端末10の利用認可に関する履歴を適宜参照することが可能である。
なお、認可状態情報のログは自端末に残す場合に限られるものではなく、既存のネットワーク管理ツールやログツールのAPI(Application Programming Interface)を用いて認可状態情報を通知するなど、他の装置にログを残すようにしてもよい。
例えば、上記で説明した実施例5または6などのように、依頼元端末10のユーザがネットワーク機器20を利用可能な正規のユーザであるか否かを認証する依頼先端末30を複数備えてシステムが構成される場合に、各依頼先端末30の認証結果を集計するようにしてもよい。以下に、図17を用いて、実施例9に係る認証システムの構成を説明する。図17は、実施例9に係る認証システムの構成を示すブロック図である。
同図に示すように、実施例9に係る認証システムの構成は、上記の実施例において説明した認証システムと基本的には同様の構成であるが、依頼先端末31および32に認証結果集計部31lおよび32lを新たに備える点が異なる。
すなわち、依頼先端末31および依頼先端末32は、依頼元端末10から認証依頼をそれぞれ受信すると、例えば、受信したフレーム(図9参照)において依頼先端末を指定するためのフィールドに最初に格納されている依頼先端末を認証依頼の集計端末と判断する。なお、最初に格納されている依頼先端末を集計端末とする場合に限られるものではなく、どこか一つの端末を集計端末として決定すればよい。
仮に、集計端末が依頼先端末31である場合には、依頼先端末32の認証結果集計部32lは、ユーザから受け付けた認証結果を依頼先端末31の認証結果集計部31lに通知する。依頼先端末31の認証結果集計部31lは、自端末の認証結果および依頼先端末32から受け付けた認証結果を集計して、各認証結果がともにネットワーク機器20の利用を認める旨の認証結果である場合には、依頼元MAC許可部31fに対して認証依頼の送信元である依頼元端末10のMACアドレスを利用認可対象としてネットワーク機器20に登録するように指示するとともに、認証応答送信部31gに認証結果を依頼元端末10に送信するように指示する。
なお、依頼元端末10に対してネットワーク機器20の利用を認める場合には、全ての依頼先端末の認証結果が利用を認める旨の結果である場合に限られるものではなく、依頼先端末に対する利用を認める旨の認証結果数の割合(相対値)や、或いは利用を認める旨の認証結果数の絶対値が何らかの閾値(絶対値)以上であるかどうかなどに基づいて、依頼元端末10を認可するようにしてもよい。
上述してきたように、実施例9によれば、依頼先端末(例えば、依頼先端末31または32)は、複数の依頼先端末を宛先とする認証依頼を受信した場合に、自己を含めた全ての依頼先端末による認証結果を集計し、全ての依頼先端末から集計された認証結果がネットワーク機器20の利用を認める旨の認証結果である場合には、認証依頼の送信元である端末装置のアドレス情報を利用認可対象としてネットワーク機器20に登録するので、一つの依頼先端末により認証を行うよりも、セキュリティ強度の向上を図ることが可能である。また、依頼先端末が2以上存在する場合には、2つ以上の依頼先端末で依頼先端末の利用を認めた場合には、認証依頼の送信元である端末装置のアドレス情報を利用認可対象としてネットワーク機器20に登録するようにしてもよい。
上記の実施例において、依頼元端末10の認証用の情報として用いているIPアドレスを種々のトリガに応じて動的に変更するようにしてもよい。以下に、図18および図19を用いて、実施例10に係る認証システムの概要を説明する。図18および図19は、実施例10に係る認証システムの構成を示すブロック図である。
図18および図19に示すように、実施例10に係る認証システムの構成は、上記の実施例において説明した認証システムと基本的には同様の構成であるが、依頼先端末30においてIP動的変更部30mを新たに備える点が異なる。
例えば、端末起動をトリガとして、依頼先端末30は認証用の情報として用いているIPアドレスを変更するようにしてもよい。すなわち、図18に示すように、IP動的変更部30mは、自端末の起動を検知すると、DHCPサーバ40に対してIPアドレスを要求して払出を受ける。そして、IP動的変更部30mは、払出を受けたIPアドレスが前回のIPアドレスと同一である場合には、このIPアドレスを解放してDHCPサーバ40にIPアドレスを再び要求し、異なるIPアドレスの払出を受ける。
また、ネットワーク機器20に対する依頼元端末10の利用認可対象として登録完了をトリガとして、依頼先端末30は認証用の情報として用いているIPアドレスを変更するようにしてもよい。すなわち、図19に示すように、IP動的変更部30mは、ネットワーク機器20に対する依頼元端末10の利用認可対象として登録完了後、認証応答送信部30gによる認証結果の送信を検知すると、現時点のIPアドレスを解放して、DHCPサーバ40に対してIPアドレスを要求して払出を受ける。払出を受けたIPアドレスが前回のIPアドレスと同一である場合には、上述した場合と同様に、このIPアドレスを解放してDHCPサーバ40にIPアドレスを再び要求し、異なるIPアドレスの払出を受ける。
通常のDHCPサーバは、ある端末に一度IPを払い出すと、その端末のMACと払い出したIPの対を記憶し、以降、同じMACアドレスから一定時間内にIP払出要求を受けた場合は同じIPを払い出すことが多い。そこで、例えば、依頼先端末は、前回の自端末起動時に利用していたのとは別のMACアドレスを使って起動することで異なるIPを要求する、或いはDHCP・Offerメッセージにて前回と異なるIPを明示的に要求するなどして、前回起動時と異なるIPアドレスの払出を受ける。
上述してきたように、実施例10によれば、認証用の情報を装置起動時、あるいは認証完了時に再度取得して、取得した認証用の情報が前回使用されたものと同一である場合には、異なる認証用の情報を改めて取得するので、同一の認証用の情報が継続的に使用されることを回避することができ、セキュリティ強度の向上を図ることが可能である。
なお、DHCPサーバ40に対してIPアドレスを要求して認証用の情報を変更する場合に限られるものではなく、PPPoE(PPP over Ethernet)によりIPを取得して認証用の情報を変更する他、依頼先端末30にいくつかIPアドレスをプールしておき、依頼先端末30が前回使用のIPアドレスとは異なるIPアドレスを適宜選択して、認証用の情報として用いるようにしてもよい。
上記の実施例において、ネットワーク機器20に対する依頼元端末10の利用認可対象としての登録を種々のトリガに応じて取り消すようにしてもよい。以下に、図20を用いて、実施例11に係る認証システムの概要を説明する。図20は、実施例11に係る認証システムの構成を示すブロック図である。
図20に示すように、実施例11に係る認証システムの構成は、上記の実施例において説明した認証システムと基本的には同様の構成であるが、依頼先端末30において認可取消トリガ検知部30nを新たに備える点が異なる。
すなわち、認可取消トリガ検知部30nは、端末シャットダウン、サスペンド状態への移行、端末のログオフなどの端末使用状態の変化を登録取消のトリガとして検知する。また、認可取消トリガ検知部30nは、ネットワーク機器20に対する依頼元端末10の利用認可対象としての登録が完了すると内部的なタイマを起動させ、登録が完了してから予め規定された一定時間の経過を登録取消のトリガとして検知する。さらに、認可取消トリガ検知部30nは、依頼元端末10と依頼先端末30との間で利用されていた会議用アプリケーションの終了やログオフなど、アプリケーションの使用状態の変化を登録取消のトリガとして検知する。そして、認可取消トリガ検知部30nは、上述したような登録取消のトリガを検知すると、利用認可対象として登録されていた依頼元端末10のアドレス情報の登録をネットワーク機器20から削除するように、許可取消受付部30hに指示する。
上述してきたように、実施例11によれば、依頼先端末30は自己の使用状態の変化を検知し、自己の使用状態の変化が検知された場合には、ネットワーク機器20において利用認可対象として登録されている依頼元端末10のアドレス情報の登録を削除するので、例えば、依頼先端末30のシャットダウン、サスペンド状態への移行、ログオフなどの使用状態の変化をトリガとして依頼元端末10の使用許可を取り消すことで、依頼先端末30からユーザが離れた場合を考慮したセキュリティ強度の向上を図ることが可能である。
また、実施例11によれば、ネットワーク機器20において利用認可対象として端末装置のアドレス情報が登録されてから一定時間が経過している場合には、依頼元端末10のアドレス情報の登録を削除するので、依頼先端末30のユーザの取消手順忘却のリスクを回避することができ、セキュリティ強度の向上を図ることが可能である。
また、実施例11によれば、依頼先端末30におけるアプリケーションの使用状態の変化が検知された場合には、ネットワーク機器20において利用認可対象として登録されている依頼元端末10のアドレス情報の登録を削除するので、例えば、依頼元端末10と依頼先端末30との間で同時に使用されている会議用アプリケーションなどの終了をトリガとして依頼元端末10の使用許可を取り消すことで、利用目的は既に達成されており、他の目的で不正にネットワーク機器20が利用される恐れを回避することができ、セキュリティ強度の向上を図ることが可能である。
さて、これまで本発明一実施形態として種々の実施例を説明したが、本発明は上述した実施例以外にも他の実施形態にて実施されてよいものである。そこで、以下では、本発明に含まれる他の実施形態についての実施例を説明する。
(1)装置構成等
また、図3に示した依頼先端末30の各構成要素は機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、依頼先端末30の分散・統合の具体的形態は図示のものに限られず、例えば、出力デバイス30cおよび入力デバイス30dを分散して別端末上に配置するなど、その全部または一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的または物理的に分散・統合して構成することができる。さらに、依頼先端末30にて行なわれる各処理機能は、その全部または任意の一部が、CPUおよび当該CPUにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。
(2)認証処理プログラム
ところで、上記の実施例で説明した依頼先端末30の各種の処理(例えば、図5〜図8等参照)は、あらかじめ用意されたプログラムをパーソナルコンピュータやワークステーションなどのコンピュータシステムで実行することによって実現することができる。そこで、以下では、図21を用いて、上記の実施例と同様の機能を有する認証処理プログラムを実行するコンピュータの一例を説明する。図21は、認証処理プログラムを実行するコンピュータを示す図である。
同図に示すように、依頼先端末としてのコンピュータ50は、入力部51、出力部52、通信制御I/F部53、HDD54、RAM55およびCPU56をバス60で接続して構成される。
ここで、入力部51は、ユーザから各種データの入力を受け付ける。出力部52は、各種情報を表示する。通信制御I/F部53は、ネットワーク1を介して、依頼元端末70との間でやり取りされる各種データに関する通信を制御する。RAM55は、各種情報を一時的に記憶する。HDD54は、CPU56による各種処理の実行に必要な情報を記憶する。CPU56は、各種演算処理を実行する。
そして、HDD54には、図21に示すように、上記の実施例に示した依頼先端末の各処理部と同様の機能を発揮する認証処理プログラム54aと、入力部51を介してユーザから入力される入力データ54bとがあらかじめ記憶されている。なお、この認証処理プログラム54aを適宜分散させて、ネットワークを介して通信可能に接続された他のコンピュータの記憶部に記憶させておくこともできる。
そして、CPU56が、この認証処理プログラム54aをHDD54から読み出してRAM55に展開することにより、図21に示すように、認証処理プログラム54aは認証処理プロセス55aとして機能するようになる。そして、認証処理プロセス55aは、入力データ54b等をHDD54から読み出して、RAM55において自身に割り当てられた領域に展開し、この展開したデータ等に基づいて各種処理を実行する。なお、認証処理プロセス55aは、図3に示した依頼先端末30の認証依頼受信部30bと、認証結果受付部30eと、依頼元MAC許可部30fと、認証応答送信部30gと、認可取消受付部30hと、依頼元MAC禁止部30iとにそれぞれ対応する。
なお、上記した認証処理プログラム54aについては、必ずしも最初からHDD54に記憶させておく必要はなく、例えば、コンピュータ50に挿入されるフレキシブルディスク(FD)、CD−ROM、DVDディスク、光磁気ディスク、ICカードなどの「可搬用の物理媒体」、さらには、公衆回線、インターネット、LAN、WANなどを介してコンピュータ50に接続される「他のコンピュータ(またはサーバ)」などに各プログラムを記憶させておき、コンピュータ50がこれらから各プログラムを読み出して実行するようにしてもよい。
図1は、実施例1に係る認証システムの概要および特徴を説明するための図である。 図2は、従来技術による処理ステップの概要を示す図である。 図3は、実施例1に係る認証システムの構成を示すブロック図である。 図4は、実施例1に係るフレームフォーマットの構成例を示す図である。 図5は、実施例1に係る認証システムの処理を示す図である。 図6は、実施例1に係る依頼元端末の処理の流れを示すフローチャートである。 図7は、実施例1に係る依頼先端末の利用登録処理の流れを示すフローチャートである。 図8は、実施例1に係る依頼先端末の利用取消処理の流れを示すフローチャートである。 図9は、実施例2に係る認証システムの構成を示すブロック図である。 図10は、実施例2に係るフレームフォーマットの構成例を示す図である。 図11は、実施例3に係る認証システムの構成を説明するブロック図である。 図12は、実施例4に係るフレームフォーマットの構成例を示す図である。 図13は、実施例5に係る認証システムの概要を示す図である。 図14は、実施例5に係るフレームフォーマットの構成例を示す図である。 図15は、実施例6に係る認証システムの概要を示す図である。 図16は、実施例8に係る認証システムの構成を示すブロック図である。 図17は、実施例9に係る認証システムの構成を示すブロック図である。 図18は、実施例10に係る認証システムの構成を示すブロック図である。 図19は、実施例10に係る認証システムの構成を示すブロック図である。 図20は、実施例11に係る認証システムの構成を示すブロック図である。 図21は、認証処理プログラムを実行するコンピュータを示す図である。 図22は、従来の技術を説明するための図である。
1 ネットワーク
10 依頼元端末
10a 入力デバイス
10b 認証依頼送信部
10c 認証応答受信部
10d 出力デバイス
10e IP取得部
20 ネットワーク機器
30 依頼先端末
30a 認可状態情報保持部
30b 認証依頼受信部
30c 出力デバイス
30d 入力デバイス
30e 認証結果受付部
30f 依頼元MAC許可部
30g 認証応答送信部
30h 認可取消受付部
30i 依頼元MAC禁止部
30j 認証IP設定部
30k 認可情報記録部
30m IP動的変更部
30n 認可取消トリガ検知部
31 依頼先端末
31l 認証結果集計部
32 依頼先端末
32l 認証結果集計部
40 DHCPサーバ
50 コンピュータ(依頼先端末)
51 入力部
52 出力部
53 通信制御I/F部
54 HDD(Hard Disk Drive)
54a 認証処理プログラム
54b 入力データ
55 RAM(Random Access Memory)
55a 認証処理プロセス
56 CPU(Central Processing Unit)
60 バス
70 コンピュータ(依頼元端末)

Claims (10)

  1. ネットワーク機器の利用に用いられる端末装置と、当該端末装置のユーザが当該ネットワーク機器を利用可能な正規のユーザであるか否かを認証する端末認証装置とをネットワークを介して通信可能に接続して構成される認証システムであって、
    前記端末装置は、
    端末認証装置のIPアドレスが入力される第1の入力手段と、
    入力された端末認証装置のIPアドレスをSender IP AddressとするGratuious ARP要求を含む認証依頼フレームを用いて、前記ネットワーク機器の利用の認否に関する認証依頼を当該端末認証装置に送信する認証依頼送信手段と、
    前記Gratuious ARP要求を含む認証依頼フレームに対する応答フレームを、認証結果として前記端末認証装置から受信する認証結果受信手段と、
    前記応答フレーム受信時に、前記応答フレームを受信したことを出力表示する認証結果出力表示手段と、
    前記第1の入力手段によりIPアドレスの取得指示を受けると、前記ネットワーク機器を利用するためのIPアドレス、前記ネットワーク機器から取得するネットワーク利用情報取得手段と、
    を備え、
    前記端末認証装置は、
    前記端末装置から前記認証依頼フレームを受信する認証依頼受信手段と、
    前記認証依頼フレームの受信時に、前記認証依頼フレームを受信したことを出力表示する認証依頼出力表示手段と、
    前記ネットワーク機器の利用に関する認否を示す認証結果が入力される第2の入力手段と、
    入力された認証結果が前記ネットワーク機器の利用を認める旨である場合には、前記認証依頼の送信元である端末装置のMACアドレスを利用認可対象として、前記ネットワーク機器に登録する情報登録手段と、
    前記ネットワーク機器への登録が完了した後に、入力された認証結果を前記認証依頼の送信元である端末装置に送信する認証結果送信手段と
    を備えたことを特徴とする認証システム。
  2. 前記端末認証装置は、前記認証依頼受信手段により前記認証依頼フレームが受信された場合に、当該認証依頼フレームの送信元である端末装置のMACアドレスと、当該端末装置による前記ネットワーク機器の利用認可状態情報とを対応付けて登録して保持する利用認可状態保持手段をさらに備えたことを特徴とする請求項1に記載の認証システム。
  3. 前記端末認証装置は、前記端末装置による前記ネットワーク機器の利用について取消指示を受け付けた場合には、前記ネットワーク機器において前記利用認可対象として登録されている端末装置のMACアドレスの中から、当該取消指示の対象となる端末装置のMACアドレスの登録を削除する利用取消手段をさらに備え、
    前記利用認可状態保持手段は、前記利用取消手段により前記利用認可対象としての登録を削除された端末装置について、前記ネットワーク機器の利用認可を取り消した旨を登録して保持することを特徴とする請求項1または2に記載の認証システム。
  4. 前記端末認証装置は、平時の通信用として使用する前記IPアドレスの代わりに、認証のために使用する他のIPアドレスを取得する認証用情報取得手段をさらに備えたことを特徴とする請求項1〜3のいずれか1つに記載の認証システム。
  5. 前記認証システムは、前記端末装置のユーザが前記ネットワーク機器を利用可能な正規のユーザであるか否かを認証する複数の端末認証装置を含んで構成され、前記端末装置と前記端末認証装置との間で前記認証依頼および前記認証結果の送受信を行う場合に、認証用として専用フレームを使用するものであって、
    前記認証依頼送信手段は、前記専用フレームを使用して複数の端末認証装置を宛先とする前記認証依頼をそれぞれ送信することを特徴とする請求項1〜4のいずれか1つに記載の認証システム。
  6. 前記認証システムは、ネットワーク機器の利用に用いられる複数の端末装置と、当該端末装置のユーザが当該ネットワーク機器を利用可能な正規のユーザであるか否かを認証する複数の端末認証装置とを含んで構成され、
    前記端末認証装置は、前記認証依頼受信手段により複数の端末認証装置を宛先とする前記認証依頼を新たに受信した場合に、受信済みの認証依頼数が予め定められた受付可能認証依頼数を到達しているか否か判定し、判定の結果、受信済みの認証依頼数が予め定められた受付可能認証依頼数に到達している場合には、新たに受信された認証依頼を他の端末認証装置に転送する認証依頼転送手段をさらに備えたことを特徴とする請求項に記載の認証システム。
  7. 前記端末認証装置は、前記認証依頼受信手段により複数の端末認証装置を宛先とする前記認証依頼を受信した場合に、自己を含めた全ての端末認証装置における前記認証結果を集計する認証結果集計手段をさらに備え、
    前記情報登録手段は、前記認証結果集計手段により全ての端末認証装置から集計された前記認証結果が前記ネットワーク機器の利用を認める旨の認証結果である場合には、前記認証依頼の送信元である端末装置のMACアドレスを利用認可対象として当該ネットワーク機器に登録することを特徴とする請求項またはに記載の認証システム。
  8. 前記認証用情報取得手段は、前記認証のために使用する他のIPアドレスを装置起動時に再度取得して、当該取得された他のIPアドレスが前回起動時に使用されたものと同一である場合には、異なるIPアドレスを改めて取得することを特徴とする請求項に記載の認証システム。
  9. ネットワーク機器の利用に用いられる端末装置とネットワークを介して通信可能に接続され、当該端末装置のユーザが当該ネットワーク機器を利用可能な正規のユーザであるか否かを認証する端末認証装置であって、
    端末認証装置のIPアドレスをSender IP AddressとするGratuious ARP要求を含む認証依頼フレームを前記端末装置から受信する認証依頼受信手段と、
    前記認証依頼フレームの受信時に、前記認証依頼フレームを受信したことを出力表示する認証依頼出力表示手段と、
    前記ネットワーク機器の利用に関する認否を示す認証結果が入力される第2の入力手段と、
    入力された認証結果が前記ネットワーク機器の利用を認める旨である場合には、前記認証依頼の送信元である端末装置のMACアドレスを利用認可対象として、前記ネットワーク機器に登録する情報登録手段と、
    前記ネットワーク機器への登録が完了した後に、入力された認証結果を前記認証依頼の送信元である端末装置に送信する認証結果送信手段と
    を備えたことを特徴とする端末認証装置。
  10. ネットワーク機器の利用に用いられる端末装置とネットワークを介して通信可能に接続され、当該端末装置のユーザが当該ネットワーク機器を利用可能な正規のユーザであるか否かを認証する端末認証装置としてのコンピュータに実行させるための認証処理プログラムであって、
    端末認証装置のIPアドレスをSender IP AddressとするGratuious ARP要求を含む認証依頼フレームを前記端末装置から受信する認証依頼受信手順と、
    前記認証依頼フレームの受信時に、前記認証依頼フレームを受信したことを出力表示する認証依頼出力表示手順と、
    前記ネットワーク機器の利用に関する認否を示す認証結果が入力される第2の入力手順と、
    入力された認証結果が前記ネットワーク機器の利用を認める旨である場合には、前記認証依頼の送信元である端末装置のMACアドレスを利用認可対象として、前記ネットワーク機器に登録する情報登録手順と、
    前記ネットワーク機器への登録が完了した後に、入力された認証結果を前記認証依頼の送信元である端末装置に送信する認証結果送信手順と
    をコンピュータに実行させることを特徴とする認証処理プログラム。
JP2009522474A 2007-07-11 2007-07-11 認証システム、端末認証装置および認証処理プログラム Expired - Fee Related JP5018883B2 (ja)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/JP2007/063852 WO2009008076A1 (ja) 2007-07-11 2007-07-11 認証システム、端末認証装置および認証処理プログラム

Publications (2)

Publication Number Publication Date
JPWO2009008076A1 JPWO2009008076A1 (ja) 2010-09-02
JP5018883B2 true JP5018883B2 (ja) 2012-09-05

Family

ID=40228273

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2009522474A Expired - Fee Related JP5018883B2 (ja) 2007-07-11 2007-07-11 認証システム、端末認証装置および認証処理プログラム

Country Status (3)

Country Link
US (1) US8312513B2 (ja)
JP (1) JP5018883B2 (ja)
WO (1) WO2009008076A1 (ja)

Families Citing this family (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8458741B2 (en) * 2010-05-27 2013-06-04 Sony Corporation Provision of TV ID to non-TV device to enable access to TV services
CN103532715B (zh) * 2013-10-09 2016-11-23 北京奇虎科技有限公司 基于无密码或任意密码的网络授权的方法、系统和装置
CN103532946B (zh) * 2013-10-09 2016-11-23 北京奇虎科技有限公司 基于无密码或任意密码的网络授权的方法、系统和装置
JP2016208174A (ja) * 2015-04-20 2016-12-08 株式会社リコー 通信システムおよび通信方法
US10200342B2 (en) 2015-07-31 2019-02-05 Nicira, Inc. Dynamic configurations based on the dynamic host configuration protocol
CN106686592B (zh) * 2016-07-12 2020-05-19 飞天诚信科技股份有限公司 一种带有认证的网络接入方法及系统
JP6531730B2 (ja) * 2016-07-21 2019-06-19 京セラドキュメントソリューションズ株式会社 通信機器及び通信プログラム
JP6388014B2 (ja) * 2016-11-14 2018-09-12 オンキヨー株式会社 ファームウェア更新システム、サーバー、及び、電子機器
JP7059773B2 (ja) * 2018-04-23 2022-04-26 富士フイルムビジネスイノベーション株式会社 情報処理装置、情報処理プログラム及び情報処理システム
CN108713199B (zh) * 2018-06-04 2022-03-11 深圳市奥星澳科技有限公司 权限管理方法、系统、移动终端、共享充电设备及服务器
US11329990B2 (en) * 2019-05-17 2022-05-10 Imprivata, Inc. Delayed and provisional user authentication for medical devices

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002232449A (ja) * 2001-02-06 2002-08-16 Nec Soft Ltd 企業内・団体内におけるフローティングオフィス管理をアウトソーシングする方法及びシステム
JP2004207788A (ja) * 2002-12-20 2004-07-22 Furukawa Electric Co Ltd:The アクセス制御方法、アクセス制御装置およびその装置を用いたアクセス制御システム
JP2004228799A (ja) * 2003-01-21 2004-08-12 Ntt Docomo Inc ゲートウェイ装置及びネットワーク接続方法
JP2005286558A (ja) * 2004-03-29 2005-10-13 Hitachi Cable Ltd 端末認証システム
JP2006324723A (ja) * 2005-05-17 2006-11-30 Fujitsu Ltd Lanへの不正アクセス防止方式
JP2007174406A (ja) * 2005-12-22 2007-07-05 Fujitsu Ltd 不正アクセス防止装置および不正アクセス防止プログラム

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002016622A (ja) 2000-06-29 2002-01-18 Mitsubishi Electric Corp ネットワーク管理方式
JP2005085090A (ja) 2003-09-10 2005-03-31 Konica Minolta Business Technologies Inc 遠隔処理装置
JP2006171857A (ja) 2004-12-13 2006-06-29 Canon Inc 個人認証方法、個人認証装置及び認証方法

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002232449A (ja) * 2001-02-06 2002-08-16 Nec Soft Ltd 企業内・団体内におけるフローティングオフィス管理をアウトソーシングする方法及びシステム
JP2004207788A (ja) * 2002-12-20 2004-07-22 Furukawa Electric Co Ltd:The アクセス制御方法、アクセス制御装置およびその装置を用いたアクセス制御システム
JP2004228799A (ja) * 2003-01-21 2004-08-12 Ntt Docomo Inc ゲートウェイ装置及びネットワーク接続方法
JP2005286558A (ja) * 2004-03-29 2005-10-13 Hitachi Cable Ltd 端末認証システム
JP2006324723A (ja) * 2005-05-17 2006-11-30 Fujitsu Ltd Lanへの不正アクセス防止方式
JP2007174406A (ja) * 2005-12-22 2007-07-05 Fujitsu Ltd 不正アクセス防止装置および不正アクセス防止プログラム

Also Published As

Publication number Publication date
US8312513B2 (en) 2012-11-13
US20100115587A1 (en) 2010-05-06
WO2009008076A1 (ja) 2009-01-15
JPWO2009008076A1 (ja) 2010-09-02

Similar Documents

Publication Publication Date Title
JP5018883B2 (ja) 認証システム、端末認証装置および認証処理プログラム
CN101201727B (zh) 通过网络的打印机选择支持装置及系统
CN103400067B (zh) 权限管理方法、系统及服务器
US8359633B2 (en) Access control system and access control method
US7460266B2 (en) Method of printing over a network
JP6061633B2 (ja) デバイス装置、制御方法、およびそのプログラム。
US20090055891A1 (en) Device, method, and program for relaying data communication
JP5743786B2 (ja) サーバー装置、情報処理方法及びプログラム
WO2011089712A1 (ja) 認証方法、認証システムおよび認証プログラム
WO2001082086A1 (fr) Dispositif de definition de droit d'acces et terminal gestionnaire
JP2006229836A (ja) 通信装置
JP2008141581A (ja) 秘密情報アクセス認証システム及びその方法
JP2728033B2 (ja) コンピュータネットワークにおけるセキュリティ方式
JP2003218873A (ja) 通信監視装置及び監視方法
CN108092988A (zh) 基于动态创建临时密码的无感知认证授权网络系统和方法
JP7240280B2 (ja) ユーザ認証管理装置、それを備えた画像処理装置、ユーザ認証管理方法およびユーザ認証管理プログラム
JP6577546B2 (ja) リモートアクセス制御システム
JP6744030B2 (ja) ホームゲートウェイ装置、接続端末アクセス管理方法および接続端末アクセス管理プログラム
JP5589034B2 (ja) 情報流通システム、認証連携方法、装置及びそのプログラム
JP2018082310A (ja) PaaS接続プログラム、PaaS接続方法及びPaaS接続装置
JP2003044441A (ja) ネットワーク・アクセス制御管理システム
JP4760122B2 (ja) 仮想閉域網システム、共通鍵同期配信サーバ装置及びそれらに用いる共通鍵配信方法並びにそのプログラム
JP2004178565A (ja) 通信管理用サーバ、通信方法、及び、プログラム
JP2003324457A (ja) アクセス制御装置、方法、プログラムおよび記録媒体
JP2005286558A (ja) 端末認証システム

Legal Events

Date Code Title Description
TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20120515

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20120528

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20150622

Year of fee payment: 3

LAPS Cancellation because of no payment of annual fees