JP6184281B2 - サーバ装置、登録方法、制御プログラム及び通信システム - Google Patents

サーバ装置、登録方法、制御プログラム及び通信システム Download PDF

Info

Publication number
JP6184281B2
JP6184281B2 JP2013205597A JP2013205597A JP6184281B2 JP 6184281 B2 JP6184281 B2 JP 6184281B2 JP 2013205597 A JP2013205597 A JP 2013205597A JP 2013205597 A JP2013205597 A JP 2013205597A JP 6184281 B2 JP6184281 B2 JP 6184281B2
Authority
JP
Japan
Prior art keywords
mac address
communication device
request signal
storage unit
authentication request
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2013205597A
Other languages
English (en)
Other versions
JP2015069586A (ja
Inventor
謙太郎 三輪
謙太郎 三輪
澤田 浩之
浩之 澤田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
PFU Ltd
Original Assignee
PFU Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by PFU Ltd filed Critical PFU Ltd
Priority to JP2013205597A priority Critical patent/JP6184281B2/ja
Publication of JP2015069586A publication Critical patent/JP2015069586A/ja
Application granted granted Critical
Publication of JP6184281B2 publication Critical patent/JP6184281B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Description

本発明は、サーバ装置、登録方法、制御プログラム及び通信システムに関し、特に、通信装置の認証を行うサーバ装置、登録方法、制御プログラム及び通信システムに関する。
近年、RADIUS(Remote Authentication Dial In User Service)プロトコルを利用して通信装置のネットワーク接続を認証する通信システムが提供されている。このような通信システムでは、通信装置が接続するスイッチングハブ、無線LAN(Local Area Network)のアクセスポイント等のNAS(Network Access Server)装置がRADIUSクライアントとなる。そして、RADIUSクライアントがRADIUSサーバに通信装置の認証を要求する。
スイッチ装置及び認証サーバを有する認証システムが開示されている。この認証システムは、IEEE(The Institute of Electrical and Electronics Engineers, Inc)802.1Xプロトコルによる端末認証を行う(特許文献1を参照)。
特開2010−122763号公報
RADIUSサーバ等のサーバ装置には、ネットワーク接続を許可する通信装置の情報を事前に登録しておく必要がある。一般に、通信装置の登録作業は管理者により入力装置を用いて行われ、多数の通信装置を登録するためには多大な工数及び労力が必要となる。
本発明の目的は、ネットワーク接続を許可する通信装置の情報を簡易に登録することが可能なサーバ装置、登録方法、制御プログラム及び通信システムを提供することにある。
本発明に係るサーバ装置は、通信装置のMAC(Media Access Control)アドレスを用いて通信装置の認証を行うサーバ装置であって、ネットワーク接続を許可する通信装置のMACアドレスが登録される記憶部と、クライアント装置から通信装置のMACアドレスを含む認証要求信号を受信する通信部と、認証モード及びMACアドレス収集モードで動作可能な制御部と、を有し、認証モードにおいて制御部は、認証要求信号に含まれるMACアドレスが記憶部に登録されたMACアドレスの内の何れかと一致するか否かを判定し、一致する場合には通信装置のネットワーク接続を許可する許可信号をクライアント装置に送信し、一致しない場合には通信装置のネットワーク接続を拒否する拒否信号をクライアント装置に送信し、MACアドレス収集モードにおいて制御部は、認証要求信号に含まれるMACアドレスが記憶部に登録されたMACアドレスの内の何れかと一致するか否かを判定し、一致しない場合には認証要求信号に含まれるMACアドレスを、認証モードにおいてネットワーク接続を許可する通信装置のMACアドレスとすべく記憶部に登録する。
また、本発明に係る登録方法は、ネットワーク接続を許可する通信装置のMACアドレスが登録される記憶部を有し、通信装置のMACアドレスを用いて通信装置の認証を行うサーバ装置における通信装置のMACアドレスの登録方法であって、クライアント装置から通信装置のMACアドレスを含む認証要求信号を受信するステップと、認証モードにおいて、認証要求信号に含まれるMACアドレスが記憶部に登録されたMACアドレスの内の何れかと一致するか否かを判定し、一致する場合には通信装置のネットワーク接続を許可する許可信号をクライアント装置に送信し、一致しない場合には通信装置のネットワーク接続を拒否する拒否信号をクライアント装置に送信するステップと、MACアドレス収集モードにおいて、認証要求信号に含まれるMACアドレスが記憶部に登録されたMACアドレスの内の何れかと一致するか否かを判定し、一致しない場合には認証要求信号に含まれるMACアドレスを、認証モードにおいてネットワーク接続を許可する通信装置のMACアドレスとすべく記憶部に登録するステップと、を含む。
また、本発明に係る制御プログラムは、ネットワーク接続を許可する通信装置のMACアドレスが登録される記憶部を有し、通信装置のMACアドレスを用いて通信装置の認証を行うサーバ装置に実行させる制御プログラムであって、クライアント装置から通信装置のMACアドレスを含む認証要求信号を受信するステップと、認証モードにおいて、認証要求信号に含まれるMACアドレスが記憶部に登録されたMACアドレスの内の何れかと一致するか否かを判定し、一致する場合には通信装置のネットワーク接続を許可する許可信号をクライアント装置に送信し、一致しない場合には通信装置のネットワーク接続を拒否する拒否信号をクライアント装置に送信するステップと、MACアドレス収集モードにおいて、認証要求信号に含まれるMACアドレスが記憶部に登録されたMACアドレスの内の何れかと一致するか否かを判定し、一致しない場合には認証要求信号に含まれるMACアドレスを、認証モードにおいてネットワーク接続を許可する通信装置のMACアドレスとすべく記憶部に登録するステップと、をコンピュータに実行させる。
また、本発明に係る通信システムは、クライアント装置と、通信装置のMACアドレスを用いて通信装置の認証を行うサーバ装置とを有する通信システムであって、クライアント装置は、通信装置のMACアドレスを含む認証要求信号をサーバ装置に送信し、サーバ装置は、ネットワーク接続を許可する通信装置のMACアドレスが登録される記憶部と、クライアント装置から認証要求信号を受信する通信部と、認証モード及びMACアドレス収集モードで動作可能な制御部と、を有し、認証モードにおいて制御部は、認証要求信号に含まれるMACアドレスが記憶部に登録されたMACアドレスの内の何れかと一致するか否かを判定し、一致する場合には通信装置のネットワーク接続を許可する許可信号をクライアント装置に送信し、一致しない場合には通信装置のネットワーク接続を拒否する拒否信号をクライアント装置に送信し、MACアドレス収集モードにおいて制御部は、認証要求信号に含まれるMACアドレスが記憶部に登録されたMACアドレスの内の何れかと一致するか否かを判定し、一致しない場合には認証要求信号に含まれるMACアドレスを、認証モードにおいてネットワーク接続を許可する通信装置のMACアドレスとすべく記憶部に登録する。
本発明によれば、サーバ装置は、通信装置のMACアドレスを用いて通信装置の認証を行う。このサーバ装置は、クライアント装置から通信装置のMACアドレスを含む認証要求信号を受信すると、受信した認証要求信号に含まれるMACアドレスを、ネットワーク接続を許可する通信装置のMACアドレスとすべく記憶部に登録する。これにより、ネットワーク接続を許可する通信装置の情報を簡易に登録することが可能なサーバ装置、登録方法、制御プログラム及び通信システムを提供することができる。
実施形態に従った通信システム1を示す概略構成図である。 サーバ装置100aのハードウェア構成図である。 クライアント装置管理テーブルのデータ構造の一例を示す図である。 通信装置管理テーブルのデータ構造の一例を示す図である。 プライマリサーバの同期管理テーブルのデータ構造の例を示す図である。 セカンダリサーバの同期管理テーブルのデータ構造の例を示す図である。 CPU110の概略構成の例を示す図である。 クライアント装置200aのハードウェア構成図である。 通信装置管理テーブルのデータ構造の一例を示す図である。 クライアントCPU210の概略構成の例を示す図である。 通信装置300aの認証シーケンスの例を示すシーケンス図である。 通信装置300aの認証処理の動作の例を示すフローチャートである。 同期処理の動作の例を示すフローチャートである。
以下、本発明の一側面に係るサーバ装置、登録方法、制御プログラム及び通信システムについて図を参照しつつ説明する。但し、本発明の技術的範囲はそれらの実施の形態に限定されず、特許請求の範囲に記載された発明とその均等物に及ぶ点に留意されたい。
図1は、実施形態に従った通信システム1を示す図である。通信システム1は、複数のサーバ装置100a〜100cと、複数のクライアント装置200a〜200cと、複数の通信装置300a〜300cとを有する。各サーバ装置100a〜100cは、それぞれイーサネット(登録商標)等の有線LANにより、イントラネット、インターネット等のネットワーク400a〜400cを介してクライアント装置200a〜200cと接続される。各クライアント装置200a〜200cは、それぞれ有線LANケーブルにより、通信装置300a〜300cと接続される。なお、各クライアント装置200a〜200cには、それぞれ複数の通信装置が接続されてもよい。以下では、複数のサーバ装置100a〜100cを総じてサーバ装置100と称し、複数のクライアント装置200a〜200cを総じてクライアント装置200と称し、複数の通信装置300a〜300cを総じて通信装置300と称する場合がある。
サーバ装置100は、例えばRADIUSサーバであり、通信装置300のMACアドレスを用いて通信装置300の認証を行う。本実施形態では、サーバ装置100aがプライマリサーバであり、サーバ装置100b及び100cがセカンダリサーバであるものとする。クライアント装置200は、例えばスイッチングハブ等のRADIUSクライアントである。なお、クライアント装置200は、無線LANにより通信装置300と接続する無線LANのアクセスポイントでもよい。通信装置300は、例えばパーソナルコンピュータである。なお、通信装置300は、有線LAN又は無線LANによりクライアント装置200と通信接続できる装置であれば、どのような装置でもよく、例えばプリンタ装置、スキャナ装置、いわゆるスマートフォン等の携帯電話装置等でもよい。
図2は、サーバ装置100aのハードウェア構成図である。サーバ装置100a〜100cの構成は同じであるため、以下では代表してサーバ装置100aについて説明する。図2に示すように、サーバ装置100aは、通信回路101と、入力装置102と、表示装置103と、記憶装置104と、CPU(Central Processing Unit)110を有する。以下、サーバ装置100aの各部について詳細に説明する。
通信回路101は、通信部の一例であり、イーサネット(登録商標)等の通信規格に従って、有線LAN等の有線通信ネットワークを通じて信号の送受信を行うための有線通信インターフェース回路を有する。通信回路101は、ネットワーク400aを介してクライアント装置200aと接続して各種の情報を送受信する。
入力装置102は、操作部の一例であり、例えば、タッチパネル式の入力装置、マウス、キーボード等の入力デバイス及び入力デバイスから信号を取得するインターフェース回路を有し、ユーザの操作に応じた信号をCPU110に対して出力する。
表示装置103は、表示部の一例であり、液晶等から構成されるディスプレイ及びディスプレイに画像データ又は各種の情報を出力するインターフェース回路を有し、CPU110と接続されて、CPU110から出力された情報をディスプレイに表示する。なお、タッチパネルディスプレイを用いて、入力装置102と表示装置103を一体に構成してもよい。
記憶装置104は、記憶部の一例である。記憶装置104は、RAM(Random Access Memory)、ROM(Read Only Memory)等のメモリ装置、ハードディスク等の固定ディスク装置、又はフレキシブルディスク、光ディスク等の可搬用の記憶装置等を有する。また、記憶装置104には、サーバ装置100aの各種処理に用いられるコンピュータプログラム、データベース、テーブル等が記憶される。コンピュータプログラムは、コンピュータ読み取り可能な可搬型記録媒体から、公知のセットアッププログラム等を用いて記憶装置104にインストールされてもよい。可搬型記録媒体は、例えばCD−ROM(Compact Disk Read Only Memory)、DVD−ROM(Digital Versatile Disk Read Only Memory)等とすることができる。また、記憶装置104には、クライアント装置を管理するクライアント装置管理テーブルと、通信装置を管理する通信装置管理テーブルと、サーバ装置100aの同期処理を管理する同期管理テーブルが記憶される。さらに、記憶装置104には、サーバ装置100aのIP(Internet Protocol)アドレス、デフォルトゲートウェイのIPアドレス等が記憶される。
CPU110は、通信回路101、入力装置102、表示装置103及び記憶装置104と接続され、これらの各部を制御する。CPU110は、通信回路101を介したクライアント装置200aとのデータ送受信制御、入力装置102の入力制御、表示装置103の表示制御、記憶装置104の制御等を行う。さらに、CPU110は、クライアント装置200aから受信した、通信装置300aの認証を要求する認証要求信号に基づいて、ネットワーク接続を許可する通信装置300aを登録するとともに、通信装置300aの認証を行う。
図3Aは、クライアント装置管理テーブルのデータ構造の一例を示す図である。クライアント装置管理テーブルには、クライアント装置毎に、クライアント装置ID(Identification)、シークレットキー、動作モード、種別情報及び認証フラグ等が記憶される。各情報は、入力装置102を用いた管理者からの指示に従って設定される。
クライアント装置IDは、そのクライアント装置の識別情報である。本実施形態では、クライアント装置IDとして、そのクライアント装置のIPアドレスが設定される。シークレットキーは、そのクライアント装置とサーバ装置とが共有する鍵の情報であり、クライアント装置を照合するために用いられる。動作モードは、そのクライアント装置から認証要求信号を受信した時のサーバ装置100aの動作を規定するモードである。動作モードには、MACアドレス収集モード(以下、収集モードと称する)、認証モード及び検知モードが含まれる。収集モードには、許可設定モード及び拒否設定モードが含まれる。なお、記憶装置104には、サーバ装置100aのデフォルトの動作モードが設定され、クライアント装置の動作モードとして、デフォルトの動作モードに従うことが設定されてもよい。また、全てのクライアント装置の動作モードとして、そのデフォルトの動作モードが設定されてもよい。各動作モードの詳細については後述する。種別情報は、そのクライアント装置が、スイッチングハブのように有線により通信装置と接続されるか、無線LANのアクセスポイントのように無線により通信装置と接続されるか、有線及び無線の両方により通信装置と接続されるかを示す。認証フラグは、有効又は無効に設定され、そのクライアント装置からの認証要求信号を受け付けるか否かを判定するために用いられる。
図3Bは、通信装置管理テーブルのデータ構造の一例を示す図である。通信装置管理テーブルには、ネットワーク接続を許可する通信装置毎に、通信装置ID、パスワード、登録日時、接続許可日時、許可フラグ、並びにクライアント装置のクライアント装置ID及び接続ポート情報等が記憶される。各情報は、クライアント装置200aから受信した認証要求信号等に従って設定される。
通信装置IDは、その通信装置の識別情報であり、パスワードとともに、その通信装置の認証に用いられる。本実施形態では、通信装置ID及びパスワードとして、その通信装置のMACアドレスが設定される。なお、通信装置ID及びパスワードとしてMACアドレス以外の任意のコードが設定されてもよい。登録日時は、その通信装置の通信装置ID及びパスワードを通信装置管理テーブルに登録した日時である。接続許可日時は、その通信装置のネットワーク接続を許可した最新の日時である。許可フラグは、許可又は拒否に設定され、その通信装置のネットワーク接続を許可するか拒否するかを判定するために用いられる。クライアント装置IDは、その通信装置が接続するクライアント装置のクライアント装置IDであり、接続ポート情報は、そのクライアント装置においてその通信装置が接続される接続ポートの識別情報である。
図4Aは、プライマリサーバの同期管理テーブルのデータ構造の一例を示す図である。プライマリサーバの同期管理テーブルには、サーバ動作モード、シークレットキー、各セカンダリサーバのIPアドレス、収集フラグ、配信フラグ、定期同期フラグ、定期同期間隔及び同期日時等が記憶される。
サーバ動作モードには、プライマリサーバであるかセカンダリサーバであるかが設定される。シークレットキーは、各サーバ装置が共有する鍵の情報であり、通信相手のサーバ装置を照合するために用いられる。収集フラグは、ON又はOFFに設定され、セカンダリサーバから通信装置の情報を収集するか否かを判定するために用いられる。配信フラグは、ON又はOFFに設定され、セカンダリサーバに通信装置の情報を配信するか否かを判定するために用いられる。定期同期フラグは、ON又はOFFに設定され、セカンダリサーバとの同期処理を定期的に実行するか否かを判定するために用いられる。定期同期間隔は、セカンダリサーバとの同期処理を定期的に実行する場合の実行間隔である。同期日時は、セカンダリサーバとの同期処理を行った最新の日時である。
図4Bは、セカンダリサーバの同期管理テーブルのデータ構造の一例を示す図である。セカンダリサーバの同期管理テーブルには、サーバ動作モード、シークレットキー、プライマリサーバのIPアドレス、同期日時等が記憶される。
図5は、CPU110の概略構成の例を示す図である。図5に示すようにCPU110は、制御部111及び同期制御部112を有する。これらの各部は、プロセッサ上で動作するソフトウェアにより実装される機能モジュールである。なお、これらの各部は、それぞれ独立した集積回路、マイクロプロセッサ、ファームウェア等で構成されてもよい。
図6は、クライアント装置200aのハードウェア構成図である。クライアント装置200a〜200cの構成は同じであるため、以下では代表してクライアント装置200aについて説明する。図6に示すように、クライアント装置200aは、第1クライアント通信回路201と、第2クライアント通信回路202と、クライアント記憶装置203と、クライアントCPU210を有する。以下、クライアント装置200aの各部について詳細に説明する。
第1クライアント通信回路201は、サーバ装置100aの通信回路101と同様の通信回路であり、ネットワーク400aを介してサーバ装置100aと接続して各種の情報を送受信する。
第2クライアント通信回路202は、イーサネット(登録商標)等の通信規格に従って、有線LAN等の有線通信ネットワークを通じて信号の送受信を行うための有線通信インターフェース回路を有し、通信装置300aと接続して各種の情報を送受信する。なお、第2クライアント通信回路202は、無線信号を送受信するアンテナと、IEEE802.11等の無線通信規格に従って無線通信回線を通じて信号の送受信を行うための無線通信インターフェース回路を有し、通信装置300aと無線により接続してもよい。
クライアント記憶装置203は、サーバ装置100aの記憶装置104と同様の記憶装置である。また、クライアント記憶装置203には、クライアント装置200aの各種処理に用いられるコンピュータプログラム、データベース、テーブル等が記憶される。コンピュータプログラムは、コンピュータ読み取り可能な可搬型記録媒体から、公知のセットアッププログラム等を用いてクライアント記憶装置203にインストールされてもよい。可搬型記録媒体は、例えばCD−ROM、DVD−ROM等とすることができる。また、クライアント記憶装置203には、通信装置を管理する通信装置管理テーブルが記憶される。さらに、クライアント記憶装置203には、クライアント装置200aのIPアドレス、及び、クライアント装置200aとサーバ装置100aが共有するシークレットキー等が記憶される。
クライアントCPU210は、第1クライアント通信回路201、第2クライアント通信回路202及びクライアント記憶装置203と接続され、これらの各部を制御する。クライアントCPU210は、第1クライアント通信回路201を介したサーバ装置100aとのデータ送受信制御、第2クライアント通信回路202を介した通信装置300aとのデータ送受信制御、クライアント記憶装置203の制御等を行う。さらに、クライアントCPU210は、通信装置300aの認証をサーバ装置100aに要求し、認証に成功すると、ネットワーク400aを介した通信装置300aの通信を許可する。
図7は、クライアント記憶装置203に記憶される通信装置管理テーブルのデータ構造の一例を示す図である。通信装置管理テーブルには、通信装置毎に、通信装置ID、パスワード、認証日時及び認証結果等が記憶される。
通信装置IDは、その通信装置の識別番号であり、パスワードとともに、サーバ装置100aによる通信装置の認証に用いられる。認証日時は、サーバ装置100aがその通信装置の認証を行った最新の日時である。認証結果は、認証成功又は認証失敗に設定され、その通信装置のネットワーク接続を許可するか拒否するかを判定するために用いられる。
図8は、クライアントCPU210の概略構成の例を示す図である。図8に示すようにクライアントCPU210は、クライアント制御部211を有する。クライアント制御部211は、プロセッサ上で動作するソフトウェアにより実装される機能モジュールである。なお、クライアント制御部211は、独立した集積回路、マイクロプロセッサ、ファームウェア等で構成されてもよい。
図9は、通信システム1における通信装置300aの認証シーケンスの例を示すシーケンス図である。以下、図9に示したシーケンス図を参照しつつ、通信装置300aの認証シーケンスの例を説明する。なお、以下に説明する各動作は、サーバ装置100aにおいて、予め記憶装置104に記憶されているプログラムに基づき主にCPU110によりサーバ装置100aの各要素と協働して実行される。同様に、各動作は、クライアント装置200aにおいて、予めクライアント記憶装置203に記憶されているプログラムに基づき主にクライアントCPU210によりクライアント装置200aの各要素と協働して実行される。
最初に、通信装置300aは、通信装置300aの装置起動又は通信装置300aとクライアント装置200aのケーブル接続等が行われることにより、クライアント装置200aとリンクアップする(ステップS101)。
次に、通信装置300aは、所定のパケットをクライアント装置200aに送信する(ステップS102)。所定のパケットは、例えばDHCP(Dynamic Host Configuration Protocol)パケット、ARP(Address Resolution Protocol)パケット等である。所定のパケットには、通信装置300aのMACアドレスが含まれる。
次に、クライアント装置200aのクライアント制御部211は、第2クライアント通信回路202を介して通信装置300aから所定のパケットを受信すると、受信したパケットから通信装置300aのMACアドレスを抽出する。そして、クライアント制御部211は、通信装置300aの認証を要求する認証要求信号及びその認証要求信号に基づいて算出したハッシュ値を第1クライアント通信回路201を介してサーバ装置100aに送信する(ステップS103)。認証要求信号には、通信装置300aの通信装置ID及びパスワードと、クライアント装置200aのクライアント装置ID、及び通信装置300aが接続された接続ポート情報とが含まれる。クライアント制御部211は、通信装置300aのMACアドレスを通信装置ID及びパスワードとし、クライアント装置200aのIPアドレスをクライアント装置IDとする。以下では、通信装置ID、パスワード、クライアント装置ID及び接続ポート情報をまとめて認証情報と称する場合がある。ハッシュ値は、例えば認証要求信号とシークレットキーを連結させたコードのハッシュ値である。
次に、サーバ装置100aの制御部111は、通信回路101を介してクライアント装置200aから認証要求信号及びハッシュ値を受信すると、受信した認証要求信号及びハッシュ値に基づいて通信装置300aの認証処理を実行する(ステップS104)。認証処理の詳細については後述する。
次に、制御部111は、認証処理において認証成功と判定すると、通信装置300aのネットワーク接続を許可する許可信号を通信回路101を介してクライアント装置200aに送信する。一方、制御部111は、認証処理において認証失敗と判定すると、通信装置300aのネットワーク接続を拒否する拒否信号を通信回路101を介してクライアント装置200aに送信する(ステップS105)。
次に、クライアント制御部211は、許可信号又は拒否信号を第1クライアント通信回路201を介してサーバ装置100aから受信すると、認証結果をクライアント記憶装置203の通信装置管理テーブルに登録する(ステップS106)。クライアント制御部211は、通信装置管理テーブルにおいて、通信装置300aの通信装置ID及びパスワードとして通信装置300aのMACアドレスを登録し、認証日時に現在の日時を記憶する。さらに、クライアント制御部211は、許可信号を受信した場合は認証結果に認証成功を記憶し、拒否信号を受信した場合は認証結果に認証失敗を記憶する。
以上により、通信装置300aの認証シーケンスは終了する。以降、クライアント制御部211は、通信装置300aからパケットを受信した場合、又は通信装置300a宛てのパケットを受信した場合、通信装置管理テーブルに基づいて、そのパケットを転送するか否かを判定する。クライアント制御部211は、通信装置管理テーブルに通信装置300aについての各情報が登録され、且つ認証結果として認証成功が記憶されている場合、そのパケットを転送する。一方、クライアント制御部211は、通信装置管理テーブルに通信装置300aについての各情報が登録されていない場合、又は認証結果として認証失敗が記憶されている場合、そのパケットを転送しない。
図10は、サーバ装置100aによる通信装置300aの認証処理の動作の例を示すフローチャートである。図10に示す動作のフローは、図9に示すシーケンスのステップS104において実行される。
最初に、制御部111は、クライアント装置200aから受信した認証要求信号に含まれるクライアント装置IDとハッシュ値とに基づいて、認証要求信号を受け付けるか否かを判定する(ステップS201)。
制御部111は、認証要求信号に含まれるクライアント装置IDがクライアント装置管理テーブルに記憶されているか否かを判定する。さらに、制御部111は、認証要求信号とクライアント装置管理テーブルにおいてそのクライアント装置IDと関連付けて記憶されたシークレットキーとを連結させたコードのハッシュ値を算出する。制御部111は、受信したハッシュ値と算出したハッシュ値が一致するか否かにより、受信したハッシュ値が正しいか否かを判定する。さらに、制御部111は、クライアント装置管理テーブルにおいてそのクライアント装置IDと関連付けて記憶された認証フラグが有効であるか否かを判定する。
制御部111は、クライアント装置IDがクライアント装置管理テーブルに記憶されていない場合、ハッシュ値が正しくない場合、又は認証フラグが無効である場合、認証要求信号を受け付けない。この場合、制御部111は、認証失敗と判定し(ステップS202)、一連のステップを終了する。
一方、制御部111は、クライアント装置IDがクライアント装置管理テーブルに記憶され、ハッシュ値が正しく、且つ認証フラグが有効である場合、認証要求信号を受け付ける。この場合、制御部111は、クライアント装置200aから受信した認証要求信号に含まれる通信装置ID及びパスワードがMACアドレスを表すか否かを判定する(ステップS203)。
制御部111は、通信装置ID及びパスワードが、16進数に対応する英数字により表された12桁のコード(「000000000000」〜「FFFFFFFFFFFF」)である場合、MACアドレスを表すと判定する。なお、制御部111は、12桁のコードが、2桁毎に「−」又は「:」で区切られている場合、又は、6桁毎に「−」又は「:」で区切られている場合も通信装置ID及びパスワードがMACアドレスを表すと判定する。一方、制御部111は、通信装置ID及びパスワードが上記の条件に該当しない場合、通信装置ID及びパスワードは、MACアドレスを表さないと判定する。
制御部111は、通信装置ID及びパスワードがMACアドレスを表さない場合、通常の認証処理を実施し(ステップS204)、一連のステップを終了する。
一方、制御部111は、通信装置ID及びパスワードがMACアドレスを表す場合、動作モードを、クライアント装置管理テーブルにおいてそのクライアント装置IDと関連付けて記憶された動作モードに決定する(ステップS205)。制御部111は、MACアドレスモード(許可設定モード、拒否設定モード)、認証モード及び検知モードの内の何れかの動作モードで動作可能である。制御部111は、動作モードが何れの場合も、処理をステップS206へ移行する。
次に、制御部111は、認証要求信号に含まれる認証情報が通信装置管理テーブルに関連付けて登録された認証情報の内の何れかと一致するか否かを判定する(ステップS206)。
制御部111は、認証要求信号に含まれる認証情報が通信装置管理テーブルに関連付けて登録された認証情報の内の何れかと一致する場合、処理をステップS211へ移行する。
一方、制御部111は、認証要求信号に含まれる認証情報が通信装置管理テーブルに関連付けて登録された認証情報の内の何れとも一致しない場合、動作モードが収集モードであるか否かを判定する(ステップS207)。
制御部111は、動作モードが収集モードである場合、さらに、動作モードが許可設定モードであるか否かを判定する(ステップS208)。
制御部111は、動作モードが許可設定モードである場合、認証要求信号に含まれる認証情報を関連付けて通信装置管理テーブルに登録する。この場合、制御部111は、その認証情報に関連付けられた登録日時として現在の日時を記憶し、許可フラグとして許可を記憶する(ステップS209)。
一方、制御部111は、動作モードが拒否設定モードである場合も、認証要求信号に含まれる認証情報を関連付けて通信装置管理テーブルに登録する。この場合、制御部111は、その認証情報に関連付けられた登録日時として現在の日時を記憶し、許可フラグとして拒否を記憶する(ステップS210)。
次に、ステップS211において、制御部111は、通信装置管理テーブルにおいて、認証要求信号に含まれる認証情報に関連付けられて記憶された許可フラグが許可を示すか否かを判定する(ステップS211)。
制御部111は、許可フラグが拒否を示す場合、認証失敗と判定し(ステップS202)、一連のステップを終了する。
一方、制御部111は、許可フラグが許可を示す場合、通信装置管理テーブルにおいて、その認証情報に関連付けられた接続許可日時として現在の日時を記憶する(ステップS212)。次に、制御部111は、認証成功と判定し(ステップS213)、一連のステップを終了する。
一方、ステップS207において動作モードが収集モードでなかった場合、制御部111は、動作モードが認証モードであるか否かを判定する(ステップS214)。
制御部111は、動作モードが認証モードである場合、認証失敗と判定し(ステップS202)、一連のステップを終了する。
一方、制御部111は、動作モードが認証モードでない場合、即ち検知モードである場合、その認証情報、特に通信装置300aのMACアドレスを含む認証要求信号を受信した旨を記憶装置104に履歴として記録する(ステップS215)。次に、制御部111は、認証成功と判定し(ステップS213)、一連のステップを終了する。
以下、各動作モードにおける制御部111の動作について説明する。
全ての動作モードにおいて制御部111は、認証要求信号に含まれる認証情報が、収集モードにおいて登録された認証情報の内の何れかと一致するか否かを判定する(ステップS206を参照)。一致する場合、制御部111は、その認証情報が、収集モードにおいてネットワーク接続を許可する通信装置及びクライアント装置の認証情報として登録された認証情報の内の何れかと一致するか否かを判定する(ステップS211を参照)。そして、制御部111は、一致する場合には認証成功と判定し(ステップS213を参照)、一致しない場合には認証失敗と判定する(ステップS202を参照)。
許可設定モードにおいて制御部111は、ステップS206で一致しなかった場合、その認証情報を、全ての動作モードにおいてネットワーク接続を許可する通信装置及びクライアント装置の認証情報とすべく記憶装置104に登録する(ステップS209を参照)。拒否設定モードにおいて制御部111は、ステップS206で一致しなかった場合、その認証情報を、全ての動作モードにおいてネットワーク接続を拒否する通信装置及びクライアント装置の認証情報とすべく記憶装置104に登録する(ステップS210を参照)。さらに、収集モードにおいて制御部111は、その認証情報が、収集モードにおいてネットワーク接続を許可する通信装置及びクライアント装置の認証情報として登録された認証情報の内の何れかと一致するか否かを判定する(ステップS211を参照)。そして、制御部111は、一致する場合には認証成功と判定し(ステップS213を参照)、一致しない場合には認証失敗と判定する(ステップS202を参照)。したがって、制御部111は、登録済みの通信装置については、ネットワーク接続を許可する通信装置として登録されているか否かにより、認証成功か認証失敗かを判定する。一方、制御部111は、未登録の通信装置については、許可設定モードでは認証成功と判定し、拒否設定モードでは認証失敗と判定する。
制御部111は、収集モードで動作することにより、通信装置のMACアドレスを自動的に収集することができ、通信システムを構築する際にネットワーク接続を許可する通信装置を容易に登録することが可能となる。さらに、制御部111は、許可設定モードで動作することにより、通信装置を新たに登録しつつ同時にその通信装置のネットワーク接続を許可することができる。したがって、通信システムが運用中であっても、新たな通信装置をネットワーク接続の失敗等の支障を生じることなく追加することが可能となる。一方、制御部111は、拒否設定モードで動作することにより、通信装置を新たに登録する場合にその通信装置のネットワーク接続を拒否することができる。したがって、通信システムが運用中である場合に、新たな通信装置をセキュリティ性を維持しつつ追加することが可能となる。管理者は、その後、利用者から許可申請等があった時に、入力装置を用いて通信装置管理テーブルの許可フラグを変更するだけでその通信装置のネットワーク接続を許可することができ、入力装置を用いて認証情報を登録することに比べて設定が容易になる。
一方、認証モードにおいて制御部111は、ステップS206で一致しなかった場合、認証失敗と判定する(ステップS214、S202を参照)。したがって、制御部111は、通信装置がネットワーク接続を許可する通信装置として登録されているか否かにより、認証成功か認証失敗かを判定する。
また、検知モードにおいて制御部111は、ステップS206で一致しなかった場合、その認証情報を含む認証要求信号を受信した旨を記憶装置104に履歴として記録して、認証成功と判定する(ステップS215、S213を参照)。この場合、制御部111は、認証要求信号に含まれる認証情報を、全ての動作モードにおいてネットワーク接続を許可する通信装置及びクライアント装置の認証情報として記憶装置104に登録しない。したがって、制御部111は、登録済みの通信装置については、ネットワーク接続を許可する通信装置として登録されているか否かにより、認証成功か認証失敗かを判定する。一方、制御部111は、未登録の通信装置については、履歴を記録しつつ、認証成功と判定する。したがって、未登録の通信装置がネットワークに接続しようとする場合に、暫定的に接続を許可しつつ、その後、管理者が、履歴を参照して、その通信装置の認証情報を登録するか否かを判断することが可能となる。
また、サーバ装置100の管理者は、状況に応じて、動作モードを、収集モード(許可設定モード、拒否設定モード)、認証モード及び検知モードの何れかに変更することができ、通信システムを柔軟に構築することが可能となる。
なお、通信装置管理テーブルにおいて許可フラグを省略し、制御部111は、収集モードにおいて受信した全ての認証要求情報に含まれる認証情報を、ネットワーク接続を許可する通信装置及びクライアント装置の認証情報として登録してもよい。その場合、制御部111は、受信した認証情報を判定する際に、収集モードにおいて登録された全ての認証情報は、ネットワーク接続を許可する通信装置及びクライアント装置の認証情報として登録された認証情報であると見なす。
以下、許可フラグを省略する場合の各動作モードにおける制御部111の動作について説明する。
ステップS206で、全ての動作モードにおいて制御部111は、認証要求信号に含まれる認証情報が、記憶装置104に登録された認証情報の内の何れかと一致するか否かを判定する。制御部111は、一致する場合には、ステップS211を省略して処理をステップS212に移行し、ステップS213で認証成功と判定する。
ステップS206で一致せず、且つステップS207で動作モードが収集モードである場合、制御部111は、ステップS208を省略して処理をステップS209に移行する。そして、収集モードにおいて制御部111は、認証要求信号に含まれる認証情報を、全ての動作モードにおいてネットワーク接続を許可する通信装置及びクライアント装置の認証情報とすべく記憶装置104に登録する(ステップS209を参照)。その後、制御部111は、ステップS211を省略して処理をステップS212に移行し、さらに、認証成功と判定する(ステップS213を参照)。したがって、収集モードにおいて制御部111は、認証要求信号に含まれる認証情報が記憶装置104に登録された認証情報の内の何れかと一致するか否かに関わらず、即ち通信装置が登録されているか否かに関わらず、認証成功と判定する。
一方、認証モード及び検知モードにおいて制御部111は、ステップS206で一致しなかった場合には、許可フラグを省略しない場合と同様に動作する。したがって、認証モードにおいて制御部111は、通信装置が登録されているか否かにより、認証成功か認証失敗かを判定する。一方、検知モードにおいて制御部111は、通信装置が登録されているか否かに関わらず認証成功と判定し、未登録の通信装置については履歴を記録する。
また、認証情報は、少なくとも通信装置のMACアドレスを一つ含んでいればよく、通信装置ID、パスワード、クライアント装置ID及び接続ポート情報を全て含まなくてもよい。例えば、認証情報は、クライアント装置の接続ポート情報を含まなくてもよい。また、認証情報は、クライアント装置IDを含まなくてもよい。また、認証情報は、通信装置のパスワードを含まなくてもよい。
また、制御部111は、通信装置300aが有線LANの装置である場合に限り、即ちクライアント装置200aがスイッチングハブである場合に限り、認証情報を登録してもよい。その場合、制御部111は、通信装置300aが無線LANの装置である場合、即ちクライアント装置200aが無線LANのアクセスポイントである場合は、認証情報を登録しない。制御部111は、クライアント装置管理テーブルの種別情報から通信装置300aが有線LANの装置であるか無線LANの装置であるかを判別する。これにより、制御部111は、偶然近くに存在している、登録する予定のない無線通信装置を誤って登録することを防止することができる。
また、制御部111は、ステップS203において、さらに認証方式を判別してもよい。その場合、クライアント装置200aのクライアント制御部211は、認証要求信号に認証方式の情報を含ませる。制御部111は、認証方式がPAP(Password Authentication Protocol)及びCHAP(Challenge Handshake Authentication Protocol)の何れかであるか否かを判定する。制御部111は、認証方式がPAP及びCHAPの何れかである場合に限り、処理をステップS205へ移行する。一方、制御部111は、認証方式がPAP又はCHAPでない(EAP(Extensible Authentication Protocol)、EAP−TLS(Transport Layer Security)等)場合、通常認証処理を実施する。
また、制御部111は、ステップS201の処理を省略し、クライアント装置がクライアント装置管理テーブルに登録されているか否かに関わらず、処理をステップS202へ移行してもよい。
図11は、サーバ装置100aによる同期処理の動作の例を示すフローチャートである。図11に示す動作のフローは、サーバ装置100aの管理者により入力装置102を用いて同期指示がなされたタイミングで実行される。また、図11に示す動作のフローは、同期管理テーブルにおいて、定期同期フラグがONに設定されている場合、定期同期間隔に設定されている時間の間隔で実行される。
最初に、同期制御部112は、同期管理テーブルに記憶された収集フラグがONであるか否かを判定する(ステップS301)。同期制御部112は、収集フラグがOFFである場合、処理をステップS305へ移行する。
一方、同期制御部112は、収集フラグがONである場合、通信装置情報要求信号及びその通信装置情報要求信号に基づいて算出したハッシュ値を通信回路101を介してサーバ装置100b及び100cに送信する(ステップS302)。サーバ装置100b及び100cに送信する通信装置情報要求信号は、それぞれサーバ装置100b及び100cに登録された、ネットワーク接続を許可する通信装置300b及び300cの認証に関する通信装置情報の取得を要求する信号である。通信装置情報は、少なくともネットワーク接続を許可する通信装置のMACアドレスを含む情報であり、通信装置管理テーブルにおいて管理される各情報を含む情報である。ハッシュ値は、例えば通信装置情報要求信号と同期管理テーブルに記憶されたシークレットキーとを連結させたコードのハッシュ値である。
次に、同期制御部112は、通信回路101を介してサーバ装置100b及び100cから通信装置情報信号及びハッシュ値を受信するまで待機する(ステップS303)。
なお、サーバ装置100b及び100cは、通信装置情報要求信号及びハッシュ値を受信すると、受信した通信装置情報要求信号と同期管理テーブルに記憶されたシークレットキーとを連結させたコードのハッシュ値を算出する。サーバ装置100b及び100cは、受信したハッシュ値と算出したハッシュ値が一致するか否かにより、サーバ装置100aの照合処理を行う。サーバ装置100b及び100cは、照合処理に成功すると、通信装置管理テーブルから、接続許可日時が同期管理テーブルの同期日時より新しい(最近である)通信装置についての通信装置情報を抽出する。そして、サーバ装置100b及び100cは、抽出した通信装置情報を含む通信装置情報信号及びその通信装置情報信号に基づいて算出したハッシュ値をサーバ装置100aに送信する。サーバ装置100aは、前回の同期後に、サーバ装置100b及び100cにおいて更新又は追加された通信装置情報のみを収集するので、通信量及び処理負荷の増大を抑制することができる。
次に、同期制御部112は、サーバ装置100b又は100cから通信装置情報信号及びハッシュ値を受信すると、受信した通信装置情報信号と同期管理テーブルに記憶されたシークレットキーとを連結させたコードのハッシュ値を算出する。同期制御部112は、受信したハッシュ値と算出したハッシュ値が一致するか否かにより、サーバ装置100b又は100cの照合処理を行う。同期制御部112は、照合処理に成功すると、受信した通信装置情報信号に含まれる通信装置情報、及び記憶装置104の通信装置管理テーブルに記憶された通信装置情報をマージする(ステップS304)。同期制御部112は、通信装置管理テーブルの各通信装置についての通信装置情報を、受信した通信装置情報及び記憶装置104の通信装置管理テーブルに記憶された通信装置情報のうち、接続許可日時が最も新しい通信装置情報に更新する。
なお、同期制御部112は、通信装置情報のうち、パスワードについては更新しないようにしてもよい。これにより、セカンダリサーバにおいて管理者が入力装置を用いて暫定的に変更したパスワードをプライマリサーバに反映させることを防止できる。
次に、同期制御部112は、同期管理テーブルに記憶された配信フラグがONであるか否かを判定する(ステップS305)。同期制御部112は、配信フラグがOFFである場合、一連のステップを終了する。
一方、同期制御部112は、配信フラグがONである場合、マージした通信装置情報を含む通信装置情報信号を通信回路101を介してサーバ装置100b及び100cに送信し(ステップS306)、一連のステップを終了する。
なお、サーバ装置100b及び100cは、通信装置情報信号を受信すると、通信装置管理テーブルの各通信装置についての通信装置情報を、受信した通信装置情報信号に含まれる通信装置情報に更新し、同期管理テーブルの同期日時を現在の日時に更新する。
なお、通信システム1がLDAP(Lightweight Directory Access Protocol)サーバ等の外部DB(Database)装置を備え、サーバ装置100aは外部DB装置に通信装置管理テーブルを記憶してもよい。その場合、サーバ装置100aは、外部DB装置についての情報を通信装置情報とともに、サーバ装置100b及び100cに送信する。これにより、セカンダリサーバも外部DB装置を利用することが可能となり、セカンダリサーバの通信装置管理テーブルに全ての通信装置についての情報を記憶する必要がなくなるため、セカンダリサーバの記憶装置の記憶容量を低減することができる。なお、サーバ装置100aは、外部DB装置についての情報を、サーバ装置100b及び100cに送信しないようにしてもよい。これにより、セカンダリサーバから外部DB装置へのアクセスは発生せず、外部DB装置における処理負荷の増大を防止することができる。
また、クライアント装置毎に、プライマリサーバとセカンダリサーバを異ならせてもよい。これにより、特定のサーバ装置が、全てのクライアント装置についてのプライマリサーバとして動作する必要がなくなり、サーバ装置の負荷を分散することができる。また、全てのクライアント装置についてセカンダリサーバを設定する必要はなく、セカンダリサーバの設定機能を有さないクライアント装置も本実施形態で利用することができる。
また、各サーバ装置のクライアント装置管理テーブルにおいて、全てのクライアント装置の情報を管理する必要はなく、例えばクライアント装置の情報が重複しないように管理してもよい。これにより、各サーバ装置の負荷を低減することができる。
以上詳述したように、図9に示したシーケンス及び図10に示したフローチャートに従って動作することによって、サーバ装置100は、ネットワーク接続を許可する通信装置のMACアドレスを自動的に収集することが可能となり、ネットワーク接続を許可する通信装置の情報を簡易に登録することが可能となった。
特に、通信装置が、プリンタ装置、スキャナ装置、いわゆるスマートフォン等の、IEEE802.1X認証機能、Web認証機能等を有さない装置である場合でも、サーバ装置100は、MACアドレスを自動的に収集することができる。管理者は、入力装置を用いて通信装置のMACアドレスを登録する必要がなくなり、通信装置を登録するための工数及び労力を低減することが可能となった。
また、通信システム1は、サーバ装置毎に、動作モードを異ならせることが可能である。したがって、通信システム1内の複数のサーバ装置のうち、特定のサーバ装置のみを収集モードに設定することにより、特定のサーバ装置のみが新たな通信装置を登録でき、セキュリティ性の低下を抑制することが可能となった。
また、本実施形態におけるクライアント装置及び通信装置は、MACアドレス認証機能を有する認証スイッチ、アクセスポイント、パーソナルコンピュータ等により実現することができ、特別な変更を加える必要がない。したがって、本発明は、汎用的な通信システムに容易に適用することが可能である。
また、図11に示したフローチャートに従って動作することによって、各サーバ装置100a、100b及び100cは、ネットワーク接続を許可する通信装置の情報を共有することが可能となった。これにより、特定の通信装置についてのネットワーク接続の許可を全てのサーバ装置が同様に行うことができるようになり、通信装置は、全てのクライアント装置に対して同様の認証ポリシーで通信することが可能となった。管理者は、各サーバ装置に通信装置のMACアドレスを登録する必要がなくなり、通信装置を登録するための工数及び労力を低減することが可能となった。
1 通信システム
100 サーバ装置
101 通信回路
104 記憶装置
111 制御部
112 同期制御部
200 クライアント装置

Claims (10)

  1. 通信装置のMACアドレスを用いて通信装置の認証を行うサーバ装置であって、
    ネットワーク接続を許可する通信装置のMACアドレスが登録される記憶部と、
    クライアント装置から通信装置のMACアドレスを含む認証要求信号を受信する通信部と、
    認証モード、許可設定モード及び拒否設定モードで動作可能な制御部と、を有し、
    前記認証モードにおいて前記制御部は、前記認証要求信号に含まれるMACアドレスが前記記憶部にネットワーク接続を許可する通信装置のMACアドレスとして登録されたMACアドレスの内の何れかと一致するか否かを判定し、一致する場合には通信装置のネットワーク接続を許可する許可信号をクライアント装置に送信し、一致しない場合には通信装置のネットワーク接続を拒否する拒否信号をクライアント装置に送信し、
    前記許可設定モードにおいて前記制御部は、前記認証要求信号に含まれるMACアドレスが前記記憶部に登録されたMACアドレスの内の何れかと一致するか否かを判定し、一致しない場合には前記認証要求信号に含まれるMACアドレスを、ネットワーク接続を許可する通信装置のMACアドレスとすべく前記記憶部に登録
    前記拒否設定モードにおいて前記制御部は、前記認証要求信号に含まれるMACアドレスが前記記憶部に登録されたMACアドレスの内の何れとも一致しない場合には、前記認証要求信号に含まれるMACアドレスを、ネットワーク接続を拒否する通信装置のMACアドレスとすべく前記記憶部に登録する、
    ことを特徴とするサーバ装置。
  2. 前記許可設定モード又は前記拒否設定モードにおいて前記制御部は、前記認証要求信号に含まれるMACアドレスが前記記憶部に登録されたMACアドレスの内の何れかと一致するか否かに関わらず、前記許可信号をクライアント装置に送信する、請求項1に記載のサーバ装置。
  3. 記許可設定モードにおいて前記制御部は、前記認証要求信号に含まれるMACアドレスが前記記憶部に登録されたMACアドレスの内の何れとも一致しない場合には、前記認証要求信号に含まれるMACアドレスを、前記許可設定モード又は前記拒否設定モードにおいてネットワーク接続を許可する通信装置のMACアドレスとすべく前記記憶部に登録し、
    前記拒否設定モードにおいて前記制御部は、前記認証要求信号に含まれるMACアドレスが前記記憶部に登録されたMACアドレスの内の何れとも一致しない場合には、前記認証要求信号に含まれるMACアドレスを、前記許可設定モード又は前記拒否設定モードにおいてネットワーク接続を拒否する通信装置のMACアドレスとすべく前記記憶部に登録し、
    前記許可設定モード又は前記拒否設定モードにおいて前記制御部は、前記認証要求信号に含まれるMACアドレスが前記記憶部に、前記許可設定モード又は前記拒否設定モードにおいてネットワーク接続を許可する通信装置のMACアドレスとして登録されたMACアドレスの内の何れかと一致するか否かを判定し、一致する場合には前記許可信号をクライアント装置に送信し、一致しない場合には前記拒否信号をクライアント装置に送信する、請求項1に記載のサーバ装置。
  4. 前記制御部は、更に、前記認証要求信号に含まれるMACアドレスが前記記憶部に登録されたMACアドレスの内の何れかと一致するか否かを判定し、一致する場合には前記許可信号をクライアント装置に送信し、一致しない場合には前記認証要求信号に含まれるMACアドレスを、前記認証モードにおいてネットワーク接続を許可する通信装置のMACアドレスとして前記記憶部に登録することなく、当該MACアドレスを含む認証要求信号を受信した旨を前記記憶部に記録して、前記許可信号をクライアント装置に送信する記録モードで動作可能に構成されている、請求項1〜3の何れか一項に記載のサーバ装置。
  5. 複数の他のサーバ装置から、複数の他のサーバ装置に登録された、ネットワーク接続を許可する通信装置のMACアドレスを受信し、前記受信したMACアドレス及び前記記憶部に登録されているMACアドレスをマージして、複数の他のサーバ装置に送信する同期制御部をさらに有する、請求項1〜4の何れか一項に記載のサーバ装置。
  6. 前記記憶部には、ネットワーク接続を許可する通信装置のMACアドレスがクライアント装置の識別情報と関連付けて登録され、
    前記認証要求信号には、クライアント装置の識別情報が更に含まれ、
    前記認証モードにおいて前記制御部は、前記認証要求信号に含まれるMACアドレス及びクライアント装置の識別情報が前記記憶部に関連付けて登録されたネットワーク接続を許可する通信装置のMACアドレス及びクライアント装置の識別情報の内の何れかと一致するか否かを判定し、一致する場合には前記許可信号をクライアント装置に送信し、一致しない場合には前記拒否信号をクライアント装置に送信し、
    前記許可設定モード又は前記拒否設定モードにおいて前記制御部は、前記認証要求信号に含まれるMACアドレス及びクライアント装置の識別情報が前記記憶部に関連付けて登録されたMACアドレス及びクライアント装置の識別情報の内の何れかと一致するか否かを判定し、一致しない場合には前記認証要求信号に含まれるMACアドレス及びクライアント装置の識別情報を、前記認証モードにおいてネットワーク接続を許可する通信装置のMACアドレス及びクライアント装置の識別情報とすべく前記記憶部に登録する、請求項1〜5の何れか一項に記載のサーバ装置。
  7. 前記記憶部には、ネットワーク接続を許可する通信装置のMACアドレスがクライアント装置の識別情報及び通信装置が接続される接続ポートの識別情報と関連付けて登録され、
    前記認証要求信号には、クライアント装置の識別情報及び通信装置が接続される接続ポートの識別情報が更に含まれ、
    前記認証モードにおいて前記制御部は、前記認証要求信号に含まれるMACアドレス、クライアント装置の識別情報及び接続ポートの識別情報が前記記憶部に関連付けて登録されたネットワーク接続を許可する通信装置のMACアドレス、クライアント装置の識別情報及び接続ポートの識別情報の内の何れかと一致するか否かを判定し、一致する場合には前記許可信号をクライアント装置に送信し、一致しない場合には前記拒否信号をクライアント装置に送信し、
    前記許可設定モード又は前記拒否設定モードにおいて前記制御部は、前記認証要求信号に含まれるMACアドレス、クライアント装置の識別情報及び接続ポートの識別情報が前記記憶部に関連付けて登録されたMACアドレス、クライアント装置の識別情報及び接続ポートの識別情報の内の何れかと一致するか否かを判定し、一致しない場合には前記認証要求信号に含まれるMACアドレス、クライアント装置の識別情報及び接続ポートの識別情報を、前記認証モードにおいてネットワーク接続を許可する通信装置のMACアドレス、クライアント装置の識別情報及び接続ポートの識別情報とすべく前記記憶部に登録する、請求項1〜5の何れか一項に記載のサーバ装置。
  8. ネットワーク接続を許可する通信装置のMACアドレスが登録される記憶部を有し、通信装置のMACアドレスを用いて通信装置の認証を行うサーバ装置における通信装置のMACアドレスの登録方法であって、
    クライアント装置から通信装置のMACアドレスを含む認証要求信号を受信するステップと、
    認証モードにおいて、前記認証要求信号に含まれるMACアドレスが前記記憶部にネットワーク接続を許可する通信装置のMACアドレスとして登録されたMACアドレスの内の何れかと一致するか否かを判定し、一致する場合には通信装置のネットワーク接続を許可する許可信号をクライアント装置に送信し、一致しない場合には通信装置のネットワーク接続を拒否する拒否信号をクライアント装置に送信するステップと、
    許可設定モードにおいて、前記認証要求信号に含まれるMACアドレスが前記記憶部に登録されたMACアドレスの内の何れかと一致するか否かを判定し、一致しない場合には前記認証要求信号に含まれるMACアドレスを、ネットワーク接続を許可する通信装置のMACアドレスとすべく前記記憶部に登録するステップと、
    拒否設定モードにおいて、前記認証要求信号に含まれるMACアドレスが前記記憶部に登録されたMACアドレスの内の何れとも一致しない場合には、前記認証要求信号に含まれるMACアドレスを、ネットワーク接続を拒否する通信装置のMACアドレスとすべく前記記憶部に登録するステップと、
    を含むことを特徴とする登録方法。
  9. ネットワーク接続を許可する通信装置のMACアドレスが登録される記憶部を有し、通信装置のMACアドレスを用いて通信装置の認証を行うサーバ装置に実行させる制御プログラムであって、
    クライアント装置から通信装置のMACアドレスを含む認証要求信号を受信するステップと、
    認証モードにおいて、前記認証要求信号に含まれるMACアドレスが前記記憶部にネットワーク接続を許可する通信装置のMACアドレスとして登録されたMACアドレスの内の何れかと一致するか否かを判定し、一致する場合には通信装置のネットワーク接続を許可する許可信号をクライアント装置に送信し、一致しない場合には通信装置のネットワーク接続を拒否する拒否信号をクライアント装置に送信するステップと、
    許可設定モードにおいて、前記認証要求信号に含まれるMACアドレスが前記記憶部に登録されたMACアドレスの内の何れかと一致するか否かを判定し、一致しない場合には前記認証要求信号に含まれるMACアドレスを、ネットワーク接続を許可する通信装置のMACアドレスとすべく前記記憶部に登録するステップと、
    拒否設定モードにおいて、前記認証要求信号に含まれるMACアドレスが前記記憶部に登録されたMACアドレスの内の何れとも一致しない場合には、前記認証要求信号に含まれるMACアドレスを、ネットワーク接続を拒否する通信装置のMACアドレスとすべく前記記憶部に登録するステップと、
    を前記サーバ装置に実行させることを特徴とする制御プログラム。
  10. クライアント装置と、通信装置のMACアドレスを用いて通信装置の認証を行うサーバ装置とを有する通信システムであって、
    前記クライアント装置は、通信装置のMACアドレスを含む認証要求信号を前記サーバ装置に送信し、
    前記サーバ装置は、
    ネットワーク接続を許可する通信装置のMACアドレスが登録される記憶部と、
    前記クライアント装置から前記認証要求信号を受信する通信部と、
    認証モード、許可設定モード及び拒否設定モードで動作可能な制御部と、を有し、
    前記認証モードにおいて前記制御部は、前記認証要求信号に含まれるMACアドレスが前記記憶部にネットワーク接続を許可する通信装置のMACアドレスとして登録されたMACアドレスの内の何れかと一致するか否かを判定し、一致する場合には通信装置のネットワーク接続を許可する許可信号を前記クライアント装置に送信し、一致しない場合には通信装置のネットワーク接続を拒否する拒否信号を前記クライアント装置に送信し、
    前記許可設定モードにおいて前記制御部は、前記認証要求信号に含まれるMACアドレスが前記記憶部に登録されたMACアドレスの内の何れかと一致するか否かを判定し、一致しない場合には前記認証要求信号に含まれるMACアドレスを、ネットワーク接続を許可する通信装置のMACアドレスとすべく前記記憶部に登録
    前記拒否設定モードにおいて前記制御部は、前記認証要求信号に含まれるMACアドレスが前記記憶部に登録されたMACアドレスの内の何れとも一致しない場合には、前記認証要求信号に含まれるMACアドレスを、ネットワーク接続を拒否する通信装置のMACアドレスとすべく前記記憶部に登録する、
    ことを特徴とする通信システム。
JP2013205597A 2013-09-30 2013-09-30 サーバ装置、登録方法、制御プログラム及び通信システム Active JP6184281B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2013205597A JP6184281B2 (ja) 2013-09-30 2013-09-30 サーバ装置、登録方法、制御プログラム及び通信システム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2013205597A JP6184281B2 (ja) 2013-09-30 2013-09-30 サーバ装置、登録方法、制御プログラム及び通信システム

Publications (2)

Publication Number Publication Date
JP2015069586A JP2015069586A (ja) 2015-04-13
JP6184281B2 true JP6184281B2 (ja) 2017-08-23

Family

ID=52836131

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2013205597A Active JP6184281B2 (ja) 2013-09-30 2013-09-30 サーバ装置、登録方法、制御プログラム及び通信システム

Country Status (1)

Country Link
JP (1) JP6184281B2 (ja)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2018033999A1 (ja) * 2016-08-19 2018-02-22 アライドテレシスホールディングス株式会社 接続可否決定装置、方法、プログラム、記録媒体

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3800198B2 (ja) * 2003-05-16 2006-07-26 ソニー株式会社 情報処理装置、およびアクセス制御処理方法、並びにコンピュータ・プログラム
JP2005340885A (ja) * 2004-05-24 2005-12-08 Matsushita Electric Ind Co Ltd Ip電話機、交換機、交換機システム及びその登録方法
JP2007018081A (ja) * 2005-07-05 2007-01-25 Ttt Kk ユーザ認証システム、ユーザ認証方法、ユーザ認証方法を実現するためのプログラム、及びプログラムを記憶した記憶媒体
JP2007213133A (ja) * 2006-02-07 2007-08-23 Fujitsu Ltd 機器認証装置
JP2009223389A (ja) * 2008-03-13 2009-10-01 Ricoh Co Ltd 接続制御装置、接続制御方法及び接続制御プログラム

Also Published As

Publication number Publication date
JP2015069586A (ja) 2015-04-13

Similar Documents

Publication Publication Date Title
US8935419B2 (en) Filtering device for detecting HTTP request and disconnecting TCP connection
JP3695538B2 (ja) ネットワークサービス接続方法/プログラム/記録媒体/システム、アクセスポイント、無線利用者端末
US20220046088A1 (en) Systems and methods for distributing partial data to subnetworks
EP2633667B1 (en) System and method for on the fly protocol conversion in obtaining policy enforcement information
US10638323B2 (en) Wireless communication device, wireless communication method, and computer readable storage medium
JP2004201046A (ja) 無線ネットワークのアクセス認証技術
EP2898654B1 (en) Method and device for securely accessing a web service
WO2012000271A1 (zh) 终端接入方法和无线通信网络
US10341114B2 (en) Providing device, terminal device, providing method, non-transitory computer readable storage medium, and authentication processing system
JP4906581B2 (ja) 認証システム
US20090037979A1 (en) Method and System for Recovering Authentication in a Network
JP6184281B2 (ja) サーバ装置、登録方法、制御プログラム及び通信システム
US8239930B2 (en) Method for controlling access to a network in a communication system
JP6272274B2 (ja) ネットワーク装置、認証システムおよび認証方法
KR101192442B1 (ko) Eap-tlv 메시지를 이용한 공중 무선랜 서비스 접속프로그램의 버전 관리 및 갱신 방법
JP2018097821A (ja) 制御装置および通信制御方法
WO2017221855A1 (ja) ユーザ認証統合装置、方法および記憶媒体
KR100687722B1 (ko) 인증 서버 및 인증 서버를 이용한 사용자 인증 방법
JP6100947B1 (ja) 認証システム、認証方法、認証装置、ルータ及びプログラム
US20190327232A1 (en) Pre-usage agreements
JP2008287637A (ja) 複数端末装置への一括認証システム
AU2023203129B2 (en) Systems and methods for distributing partial data to subnetworks
US11805479B2 (en) Establishing a connection between an access point and an unstable client device
US11601422B2 (en) Communication node, multi-hop network, equipment validity check method, and program
KR20190054409A (ko) 보안 검색 서버 및 이를 이용하는 보안 강화 방법

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20160406

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20170329

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20170418

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20170615

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20170627

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20170725

R150 Certificate of patent or registration of utility model

Ref document number: 6184281

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150