JP6347732B2 - 認証システム - Google Patents

認証システム Download PDF

Info

Publication number
JP6347732B2
JP6347732B2 JP2014245392A JP2014245392A JP6347732B2 JP 6347732 B2 JP6347732 B2 JP 6347732B2 JP 2014245392 A JP2014245392 A JP 2014245392A JP 2014245392 A JP2014245392 A JP 2014245392A JP 6347732 B2 JP6347732 B2 JP 6347732B2
Authority
JP
Japan
Prior art keywords
authentication
user
terminal
mac address
server
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2014245392A
Other languages
English (en)
Other versions
JP2016110300A (ja
Inventor
馨 江藤
馨 江藤
良平 中和田
良平 中和田
晃 大森
晃 大森
裕文 鐵
裕文 鐵
秀隆 益子
秀隆 益子
浩志 西野宮
浩志 西野宮
武 松澤
武 松澤
Original Assignee
エイチ・シー・ネットワークス株式会社
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by エイチ・シー・ネットワークス株式会社 filed Critical エイチ・シー・ネットワークス株式会社
Priority to JP2014245392A priority Critical patent/JP6347732B2/ja
Publication of JP2016110300A publication Critical patent/JP2016110300A/ja
Application granted granted Critical
Publication of JP6347732B2 publication Critical patent/JP6347732B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Small-Scale Networks (AREA)

Description

本発明は、認証システムの技術に関し、特に、ユーザ端末がネットワークへ接続及びログインする際の認証技術に関する。
LANやインターネット等のネットワークを含む通信システムは、ユーザ端末がネットワークへ接続及びログインする際に、認証を行う場合がある。
認証の例として、ユーザ認証がある。ユーザ認証は、ユーザのアカウントとして例えばユーザID及びパスワードの組合せを用いた認証である。ユーザ端末は、ログインの際、認証機器へアクセスする。認証機器は、認証サーバとの通信に基づいて、ユーザ認証を行い、その結果に応じてログインを許可または不許可にする。認証サーバは、ユーザのアカウントが設定された認証DBを参照してユーザ認証を行う。
認証の例として、端末認証がある。端末認証は、ユーザ端末の識別情報として例えばMACアドレスを用いた認証である。ユーザ端末は、ログインの際、認証機器へアクセスする。認証機器は、認証サーバとの通信に基づいて、端末認証を行い、その結果に応じてログインを許可または不許可にする。認証サーバは、ユーザ端末の識別情報が設定された認証DBを参照して端末認証を行う。
ログインの際の認証に係わる先行技術例として、特開2007−208759号公報(特許文献1)が挙げられる。特許文献1には、認証スイッチにおいて、ユーザID及びパスワードを用いたユーザ認証の成功後、更に、ユーザID、パスワード、及びMACアドレスの3種類のデータを用いた認証を行う旨が記載されている。
特開2007−208759号公報
従来、ユーザ端末がネットワークへログインする際にユーザ認証を行う認証システムでは、ユーザは、再ログインまたは再接続の度に、ユーザ認証用のアカウントの再入力等の作業が要求される。よって、従来の認証システムは、ユーザの手間が大きくなる場合があり、ユーザの利便性の観点では改善余地がある。
再ログインまたは再接続の例としては以下が挙げられる。第1の例は、同じ認証機器にアクセスする例である。ユーザ端末は、1回目のログインの際、第1の認証機器へアクセスし、ユーザ認証を経てログインし、サービスの利用後、ログアウトするか、ログインしたまま接続を切断する。その後、ユーザ端末は、2回目のログインまたは接続の際、同じ第1の認証機器へアクセスし、ユーザ認証を経てログインする。第2の例は、ネットワークに接続される複数の認証機器のうち、異なる認証機器にアクセスする例である。ユーザ端末は、1回目のログインの際、第1の認証機器へアクセスし、ユーザ認証を経てログインし、サービスの利用後、ログアウトするか、ログインしたまま接続を切断する。その後、ユーザ端末は、2回目のログインまたは接続の際、第2の認証機器へアクセスし、ユーザ認証を経てログインする。いずれの例も、ユーザ認証の度にアカウントの再入力が要求される。
本発明の目的は、ユーザ端末がネットワークへ接続及びログインする際に認証を行う認証システムに関して、ネットワークのセキュリティを確保しつつ、アカウントの再入力等のユーザの手間を軽減でき、ユーザの利便性を向上できる技術を提供することである。
本発明のうち代表的な実施の形態は、認証システムであって、以下に示す構成を有することを特徴とする。
(1) 一実施の形態の認証システムは、ネットワークに接続され、ユーザ端末がネットワークへログインする際にアクセスする認証機器と、ネットワークに接続され、ログインの際に、端末認証、及びユーザ認証を行う認証サーバと、端末認証用のMACアドレスが登録される端末認証DBと、ユーザ認証用のアカウントが登録されるユーザ認証DBと、を備え、認証機器は、アクセスを受けた場合、端末認証要求、及びユーザ端末のMACアドレスを、認証サーバへ送信する第1の処理と、認証サーバから端末認証応答を受信し、端末認証の成功の場合、ログインを許可し、端末認証の失敗の場合、ログインを不許可にする第2の処理と、端末認証の失敗の場合、ユーザ認証要求、ユーザにより入力されたアカウント、及びユーザ端末のMACアドレスを、認証サーバへ送信する第3の処理と、認証サーバからユーザ認証応答を受信し、ユーザ認証の成功の場合、ログインを許可し、ユーザ認証の失敗の場合、ログインを不許可にする第4の処理と、を行い、認証サーバは、端末認証要求、及びMACアドレスを受信し、端末認証DBを参照して端末認証を行い、当該端末認証の成功または失敗を表す端末認証応答を認証機器へ送信する処理と、ユーザ認証要求、アカウント、及びMACアドレスを受信し、ユーザ認証DBを参照してユーザ認証を行い、当該ユーザ認証の成功または失敗を表すユーザ認証応答を認証機器へ送信し、当該ユーザ認証の成功の場合、当該MACアドレスを、端末認証用のMACアドレスとして端末認証DBに登録する処理と、を行う。
(2) 一実施の形態の認証システムは、ネットワークに接続され、ユーザ端末がネットワークへログインする際にアクセスする認証機器と、ネットワークに接続され、ログインの際に、端末認証、及びユーザ認証を行う認証サーバと、端末認証用のMACアドレスが登録される端末認証DBと、ユーザ認証用のアカウントが登録されるユーザ認証DBと、を備え、認証機器として、第1の認証機器、及び第2の認証機器を有し、第1の認証機器は、アクセスを受けた場合、ユーザ認証要求、ユーザにより入力されたアカウント、及びユーザ端末のMACアドレスを、認証サーバへ送信する処理と、認証サーバからユーザ認証応答を受信し、ユーザ認証の成功の場合、ログインを許可し、ユーザ認証の失敗の場合、ログインを不許可にする処理と、を行い、第2の認証機器は、アクセスを受けた場合、端末認証要求、及びユーザ端末のMACアドレスを、認証サーバへ送信する処理と、認証サーバから端末認証応答を受信し、端末認証の成功の場合、ログインを許可し、端末認証の失敗の場合、ログインを不許可にする処理と、を行い、認証サーバは、第2の認証機器から、端末認証要求、及びMACアドレスを受信し、端末認証DBを参照して端末認証を行い、当該端末認証の成功または失敗を表す端末認証応答を第2の認証機器へ送信する処理と、第1の認証機器から、ユーザ認証要求、アカウント、及びMACアドレスを受信し、ユーザ認証DBを参照してユーザ認証を行い、当該ユーザ認証の成功または失敗を表すユーザ認証応答を第1の認証機器へ送信し、当該ユーザ認証の成功の場合、当該MACアドレスを、端末認証用のMACアドレスとして端末認証DBに登録する処理と、を行う。
本発明のうち代表的な実施の形態によれば、ユーザ端末がネットワークへ接続及びログインする際に認証を行う認証システムに関して、ネットワークのセキュリティを確保しつつ、アカウントの再入力等のユーザの手間を軽減でき、ユーザの利便性を向上できる。
本発明の実施の形態1の認証システムの構成を示す図である。 実施の形態1における、認証スイッチ及び認証サーバの構成を示す図である。 実施の形態1における、認証スイッチ内の制御処理の概要のフローを示す図である。 実施の形態1における、ユーザ認証DB、端末認証DB、及びリストの構成例を示す図である。 実施の形態1における、第1の例における1回目のログインの際の通信処理シーケンスを示す図である。 実施の形態1における、第1の例における2回目のログインの際の通信処理シーケンスを示す図である。 実施の形態1における、第2の例における2回目のログインの際の通信処理シーケンスを示す図である。 本発明の実施の形態2の認証システムの構成を示す図である。
以下、本発明の実施の形態を図面に基づいて詳細に説明する。なお、実施の形態を説明するための全図において同一部には原則として同一符号を付し、その繰り返しの説明は省略する。
(実施の形態1)
図1〜図7を用いて、本発明の実施の形態1の認証システムについて説明する。
[認証システム]
図1は、実施の形態1の認証システムの構成を示す。実施の形態1の認証システムは、複数のユーザ端末1、複数の認証スイッチ2、認証サーバ3、及びWebサーバ8等の他の装置がネットワーク4に接続される構成である。
実施の形態1の認証システムでは、ユーザ端末1がネットワーク4へ接続及びログインする際に、認証が行われる。認証として、ユーザ認証、端末認証がある。ユーザ認証は、ユーザのアカウントとしてユーザID及びパスワードを用いた認証である。端末認証は、ユーザ端末の識別情報としてMACアドレスを用いた認証である。ユーザ認証の際には、ユーザがアカウントを入力する必要がある。端末認証の際には、ユーザがユーザ端末の識別情報を入力する必要が無い。
ネットワーク4は、LANやインターネット等の通信網である。実施の形態1では、ネットワーク4は、1つの社内LANである。なお、ネットワーク4は、複数のネットワークの接続により構成されてもよい。例えば、ネットワーク4は、第1の認証スイッチを含む第1のLAN、第2の認証スイッチを含む第2のLAN、及び認証サーバを含むLAN、等の接続により構成されてもよい。
複数のユーザは、社内LANを利用する社員等である。複数のユーザとして、ユーザ9a、ユーザ9b、等がいる。ユーザには、予め、ユーザ認証用のアカウントが割り当てられる。ユーザのアカウントは、ユーザIDとパスワードとの組合せにより構成される。例えば、ユーザ9aのアカウントをA1、ユーザ9bのアカウントをA2、等とする。
ユーザ端末1は、ユーザが使用するPCやスマートフォン等の各種の端末装置である。複数のユーザ端末1として、ユーザ9aのユーザ端末1a、ユーザ9bのユーザ端末1b、等がある。ユーザ端末1は、図示しないプロセッサ、メモリ、通信インタフェース装置、入力装置、表示装置、等のハードウェアを備え、OS、Webブラウザ等のソフトウェアを備える。ユーザ端末1は、ネットワーク4へ接続する際、認証スイッチ2へアクセスし、認証スイッチ2と通信を行う。ユーザ端末1は、通信のためのMACアドレスを有する。ユーザ端末1のMACアドレスは、端末認証用の識別情報として用いられる。ユーザ端末1aのMACアドレスをMa、ユーザ端末1bのMACアドレスをMb、等とする。
ネットワーク4に接続される複数の認証スイッチ2として、認証スイッチ2a〜2mがある。認証スイッチ2は、レイヤ2及びレイヤ3のスイッチ機能を備えると共に、認証サーバ3との連係での通信に基づいて認証を行う機能を備える認証機器である。認証スイッチ2は、ネットワーク4のエッジに接続されるノードであり、ユーザ端末1をネットワーク4へ接続する。認証スイッチ2は、IPアドレスを持つ。認証スイッチ2aのIPアドレスをIP1、認証スイッチ2mのIPアドレスをIPm、等とする。
ユーザ端末1と認証スイッチ2は、所定の通信インタフェース、例えばイーサネット(登録商標)で接続される。この接続は、有線接続でもよいし、無線接続でもよい。無線接続の場合は以下である。ネットワーク4は、無線LANを含む。認証スイッチ2には、無線LANアクセスポイント装置が接続される。ユーザ端末1は、無線通信機能を持つ携帯端末であり、無線LANアクセスポイント装置との無線接続を通じて、認証スイッチ2と接続する。なお、認証スイッチ2は、無線LANアクセスポイント機能を備える装置でもよい。
認証スイッチ2及び認証サーバ3は、ユーザ認証と端末認証との両方に対応した機能を備える。認証スイッチ2は、ユーザ認証クライアント及び端末認証クライアントであり、認証サーバ3は、ユーザ認証サーバ及び端末認証サーバである。ユーザ端末1がネットワーク4へログインする際、認証スイッチ2と認証サーバ3との間では、RADIUSプロトコルに基づいて、クライアントサーバ通信により、ユーザ認証の処理が行われる。同様に、ログインの際、認証スイッチ2と認証サーバ3との間では、クライアントサーバ通信により、端末認証の処理が行われる。
また、認証スイッチ2は、ユーザ端末1のMACアドレスを用いた接続制限を行う機能を備える。接続制限は、ユーザ端末1がネットワーク4へ接続することに関する制限及び制御である。認証スイッチ2は、ユーザ認証の結果及び端末認証の結果に応じて、接続制限を行う。認証スイッチ2は、接続制限の管理のためのリスト7を保持する。例えば、認証スイッチ2aはリスト7aを保持し、認証スイッチ2mはリスト7mを保持する。実施の形態1では、リスト7は、接続許可MACアドレスリスト表である。認証スイッチ2は、認証の結果に基づいて、ネットワーク4への接続が許可されるユーザ端末1のMACアドレスを、接続許可MACアドレスとして、リスト7に登録する。図1では、初期設定として、各認証スイッチ2のリスト7には、接続許可MACアドレスが登録されていない。
認証スイッチ2と認証サーバ3は、ネットワーク4上、TCP/IP、及びUDP等の所定のプロトコルで通信を行う。認証サーバ3は、所定のIPアドレスを持つ。各認証スイッチ2は、所定のIPアドレスを宛先として認証サーバ3へアクセスする。
認証サーバ3は、ユーザ認証機能、端末認証機能、設定機能、等を備えるサーバ装置である。設定機能は、アカウント管理機能を含む。実施の形態1では、認証サーバ3は、ユーザ認証DB5、及び端末認証DB6を保持する。ユーザ認証DB5は、ユーザ認証用のアカウント50が登録及び管理されるデータベースである。端末認証DB6は、端末認証用のMACアドレス60が登録及び管理されるデータベースである。認証サーバ3は、認証スイッチ2との通信に基づいて、ユーザ認証DB5のアカウント50を参照しながら、ユーザ認証を行う。また、認証サーバ3は、認証スイッチ2との通信に基づいて、端末認証DB6のMACアドレス60を参照しながら、端末認証を行う。
アカウント管理機能は、ユーザ認証DB5のアカウント50を管理する機能である。設定機能は、管理者90を含む外部に対するインタフェースとして設定画面を提供する。管理者90は、例えばネットワーク4の管理者である。管理者90は、運用管理保守用の端末から認証サーバ3へアクセスし、認証サーバ3の設定機能による設定画面を表示する。設定画面は、ユーザ認証DB5のアカウント50の設定内容を表示する。管理者90は、設定画面でアカウント50の設定や確認が可能である。管理者90は、予め、ユーザ認証DB5のアカウント50に、正規の複数のユーザに関する、ユーザ認証用のアカウントを設定する。正規のユーザは、ネットワーク4へのログイン及びネットワーク4上のサービスの利用等が許可される。図1では、初期設定として、ユーザ認証DB5のアカウント50には、アカウントA1,A2等が登録されている。なお、初期設定では、端末認証DB6には、端末認証用のMACアドレスが登録されていない。
Webサーバ8は、ネットワーク4上でサービスを提供する装置の例である。ユーザ端末1は、認証スイッチ2を通じてネットワーク4へログインした後のログイン状態において、Webサーバ8等にアクセスしてサービスを利用できる。Webサーバ8は、ユーザ端末1からの認証スイッチ2を通じたアクセスに対してWebページ等を提供する。
ユーザ端末1がネットワーク4へ接続及びログインする際、ユーザ端末1と認証スイッチ2と認証サーバ3との間では、端末認証及びユーザ認証が行われる。認証スイッチ2は、端末認証、ユーザ認証の順に制御を行う。認証サーバ3は、ユーザ認証DB5のアカウント50を用いてユーザ認証を行い、端末認証DB6のMACアドレス60を用いて端末認証を行う。また、ユーザ端末1と認証スイッチ2との間では、認証の結果に基づいて、MACアドレスを用いた接続制限が行われる。
ユーザ端末1がネットワーク4へ1回目にログインした際には、端末認証及びユーザ認証が行われる。そのユーザ認証が成功した場合、そのユーザ端末1のMACアドレスが、端末認証用のMACアドレスとして、端末認証DB6に登録される。同じユーザ端末1が同じネットワーク4へ2回目以降にログインまたは接続した際には、端末認証DB6に登録済みのMACアドレスを用いて端末認証が行われる。その端末認証の成功により、ユーザ認証が省略される。
実施の形態1の認証システムでは、ユーザ認証、端末認証、及び接続制限の機能により、ネットワーク4のセキュリティが確保される。
[認証スイッチ及び認証サーバ]
図2は、図1の認証スイッチ2及び認証サーバ3の構成を示す。
認証スイッチ2は、図示しないプロセッサ、メモリ、通信インタフェース装置、等の要素により構成される。認証スイッチ2は、プロセッサ等によるソフトウェア処理またはハードウェア処理により、ユーザ認証クライアント部21、端末認証クライアント部22、及び接続制限部23を実現する。認証スイッチ2は、メモリに、リスト7を含む情報を格納する。通信インタフェース装置は、複数のポートを含む。複数のポートは、ユーザ端末1と接続されるポート、及びネットワーク4と接続されるポートを含み、ポート毎に所定の通信インタフェースによる通信処理を行う。
ユーザ認証クライアント部21は、ユーザ認証クライアントとしての処理を行う。ユーザ認証クライアント部21は、ユーザ端末1のユーザ認証を行う場合、認証サーバ3のユーザ認証サーバ部31と通信する。ユーザ認証クライアント部21は、ユーザ端末1へユーザ認証ページを提供し、ユーザ認証ページによりユーザ認証画面を表示させる。ユーザ認証クライアント部21は、ユーザ認証画面でユーザが入力したアカウント、及びユーザ認証の要求を、ユーザ認証サーバ部31へ送信する。ユーザ認証クライアント部21は、ユーザ認証サーバ部31からユーザ認証の結果を表す応答を受信し、その結果に応じて、ログインを許可または不許可にする。
また、ユーザ認証クライアント部21は、ユーザ認証の要求を送信する際、当該要求に、ユーザ端末1のMACアドレスを含む情報を付属させる処理を行う。
端末認証クライアント部22は、端末認証クライアントとしての処理を行う。端末認証クライアント部22は、ユーザ端末1の端末認証を行う場合、認証サーバ3の端末認証サーバ部32と通信する。端末認証クライアント部22は、アクセスしてきたユーザ端末1のMACアドレス、及び端末認証の要求を、端末認証サーバ部32へ送信する。端末認証クライアント部22は、端末認証サーバ部32から端末認証の結果を表す応答を受信し、その結果に応じて、ログインを許可または不許可にする。
接続制限部23は、メモリのリスト7を読み書きしながら、ユーザ端末1のMACアドレスを用いた接続制限の処理を行う。認証スイッチ2は、ユーザ認証の成功や端末認証の成功の場合、リスト7に接続許可MACアドレスを登録する。接続許可MACアドレスは、言い換えれば認証済みMACアドレスである。リスト7において接続許可MACアドレスが登録された状態は、接続許可状態及び認証済み状態に相当し、登録されていない状態は、接続不許可状態及び未認証状態に相当する。
接続制限部23は、ユーザ認証クライアント部21からの通知に基づいて、ユーザ認証の結果を認識する。同様に、接続制限部23は、端末認証クライアント部22からの通知に基づいて、端末認証の結果を認識する。接続制限部23は、ユーザ認証が成功の場合、または端末認証が成功の場合、ユーザ端末1のMACアドレスを、接続許可MACアドレスとしてリスト7に登録する。
また、接続制限部23は、ユーザ端末1がネットワーク4からログアウトして接続を切断した場合、あるいは、ユーザ端末1がログインしてからログイン状態のままログアウトせずに無通信状態が一定時間続いた場合、リスト7に登録されている当該ユーザ端末1の接続許可MACアドレスを削除する。
接続制限部23は、ユーザ端末1からのアクセスを受けた場合、ユーザ端末1からのフレームの送信元MACアドレス、及びリスト7を確認し、確認の結果に応じて、ネットワーク4への接続を許可または不許可にする。接続制限部23は、送信元MACアドレスが、リスト7に接続許可MACアドレスとして登録されている場合、ユーザ端末1の接続を許可し、登録されていない場合、不許可にする。接続制限部23は、許可の場合、ユーザ端末1からポートで受信したフレームを通過させ、不許可の場合、フレームを破棄する。
認証スイッチ2は、ユーザ端末1からのアクセスに対し、まず接続制限部23による接続制限の処理を行う。認証スイッチ2は、接続制限の処理の結果が、接続不許可である場合、端末認証クライアント部22による端末認証の処理として、端末認証の要求を認証サーバ3へ送信する。認証スイッチ2は、端末認証が失敗である場合、ユーザ認証クライアント部21により、ユーザ端末1のユーザ認証を行う。具体的には、ユーザ認証クライアント部21は、ユーザ端末1にユーザ認証ページを提供し、ユーザ端末1から入力されたアカウント、ユーザ端末1のMACアドレス、及びユーザ認証の要求を、認証サーバ3へ送信する。
認証サーバ3は、図示しないプロセッサ、メモリ、通信インタフェース装置、等の要素により構成される。認証サーバ3は、プロセッサ等によるソフトウェア処理またはハードウェア処理により、ユーザ認証サーバ部31、端末認証サーバ部32、及び設定部33を実現する。設定部33は、アカウント管理部33Aを含む。認証サーバ3は、メモリに、ユーザ認証DB5、端末認証DB6等の情報を格納する。通信インタフェース装置は、ネットワーク4と接続されるポートを含み、TCP/IP、及びUDP等のプロトコルで通信処理を行う。
ユーザ認証サーバ部31は、ユーザ認証サーバとしての処理を行う。ユーザ認証サーバ部31は、ユーザ認証クライアント部21との通信に基づいて、メモリのユーザ認証DB5のアカウント50を参照しながら、ユーザ認証の処理を行う。ユーザ認証サーバ部31は、ユーザ認証の要求に対し、入力されたアカウントと、ユーザ認証DB5のアカウント50とを比較し、入力されたアカウントのユーザID及びパスワードが、アカウント50に登録されているユーザID及びパスワードと一致する場合、ユーザ認証の結果を成功とし、不一致の場合、結果を失敗とする。ユーザ認証サーバ部31は、ユーザ認証の結果を表す応答をユーザ認証クライアント部21へ送信する。
また、ユーザ認証サーバ部31は、ユーザ認証が成功であった場合、それによりログインが許可される状態となったユーザ端末1のMACアドレスを、端末認証用のMACアドレスとして、端末認証DB6のMACアドレス60に登録する。
端末認証サーバ部32は、端末認証サーバとしての処理を行う。端末認証サーバ部32は、端末認証クライアント部22との通信に基づいて、メモリの端末認証DB6のMACアドレス60を参照しながら、端末認証の処理を行う。端末認証サーバ部32は、端末認証の要求に対し、当該要求に含まれるMACアドレスと、端末認証DB6に登録されているMACアドレス60とを比較する。その結果、端末認証サーバ部32は、要求に含まれるMACアドレスに一致するMACアドレスが登録済みである場合、端末認証の結果を成功とし、未登録である場合、結果を失敗とする。端末認証サーバ部32は、端末認証の結果を表す応答を端末認証クライアント部22へ送信する。
設定部33は、設定機能に対応した処理を行う。アカウント管理部33Aは、アカウント管理機能に対応した処理を行う。設定部33は、管理者90を含む外部からの指示や通知を受け付ける。アカウント管理部33Aは、指示や通知に従い、ユーザ認証DB5のアカウント50を設定する処理を行う。
[認証スイッチ内の制御処理]
図3は、認証スイッチ2内における基本的な制御処理の概要を示す。S101等はステップを表す。認証スイッチ2は、内部での基本的な制御の順序として、接続制限、端末認証、及びユーザ認証の順に行う。以下、図3のステップS101〜S113の処理を説明する。
(S101) 認証スイッチ2は、ユーザ端末1からのアクセスを受ける。認証スイッチ2は、ユーザ端末1から受信したフレームの送信元MACアドレスを参照する。
(S102) 認証スイッチ2は、まず接続制限の処理を行う。認証スイッチ2は、アクセスしてきたユーザ端末1の送信元MACアドレスが、リスト7に接続許可MACアドレスとして登録されているかどうかを確認する。
(S103) リスト7に登録されている場合(S102−Y)、接続許可状態を示すので、認証スイッチ2は、ユーザ端末1によるネットワーク4への接続を許可し、処理を終了する。
(S104) リスト7に登録されていない場合(S102−N)、接続不許可状態を示すので、認証スイッチ2は、ユーザ端末1によるネットワーク4への接続を不許可とする。
(S100) 次に、S100で、認証スイッチ2は、認証の処理を行う。S100の認証の処理は、S105の端末認証と、S109のユーザ認証とを含む。
(S105) 認証スイッチ2は、まず端末認証の処理を行う。認証スイッチ2は、アクセスしてきたユーザ端末1のMACアドレス、及び端末認証の要求を、認証サーバ3へ送信する。認証サーバ3は、受信したMACアドレスを用いて、端末認証DB6のMACアドレス60を参照して端末認証を行う。認証サーバ3は、端末認証の結果を表す応答を、認証スイッチ2へ送信する。
(S106〜S108) 認証スイッチ2は、S105の応答から、端末認証の結果が成功である場合(S106-Y)、S107で、当該ユーザ端末1のMACアドレスを、接続許可MACアドレスとしてリスト7に登録する。そして、S108で、認証スイッチ2は、当該ユーザ端末1によるネットワーク4への接続を許可し、処理を終了する。
(S109) 認証スイッチ2は、S105の応答から、端末認証の結果が失敗である場合(S106-N)、次に、S109で、ユーザ認証の処理を行う。認証スイッチ2は、アクセスしてきたユーザ端末1に対し、ユーザ認証ページを提供する。ユーザ端末1は、ユーザ認証ページによるユーザ認証画面を表示する。ユーザは、ユーザ認証画面でアカウントであるユーザID及びパスワードを入力する。ユーザ端末1は、入力されたアカウントを認証スイッチ2へ送信する。認証スイッチ2は、入力されたアカウント、ユーザ認証の要求、及び当該ユーザ端末1のMACアドレスを、認証サーバ3へ送信する。認証サーバ3は、受信したアカウントを用いて、ユーザ認証DB5のアカウント50を参照してユーザ認証を行う。認証サーバ3は、ユーザ認証の結果を表す応答を認証スイッチ2へ送信する。また、認証サーバ3は、ユーザ認証の結果が成功であった場合、受信したMACアドレスを端末認証用のMACアドレスとして端末認証DB6に登録する。
(S110〜S112) 認証スイッチ2は、S109の応答から、ユーザ認証の結果が成功である場合(S110-Y)、S111で、当該ユーザ端末1のMACアドレスを、接続許可MACアドレスとしてリスト7に登録する。そして、S112で、認証スイッチ2は、当該ユーザ端末1によるネットワーク4への接続を許可し、処理を終了する。
(S113) 認証スイッチ2は、S109の応答から、ユーザ認証の結果が失敗である場合(S110-N)、S113で、当該ユーザ端末1によるネットワーク4への接続を不許可とし、処理を終了する。
[ユーザ認証DB]
図4の(a)は、ユーザ認証DB5の構成例である表を示す。この表は、「ユーザ認証用のアカウント」列を含む。「ユーザ認証用のアカウント」列は、アカウント50に対応し、ユーザ毎に、ユーザ認証用のアカウントとして、ユーザID及びパスワードが格納される。例えば、ユーザ9aのアカウントA1として、ユーザIDであるIDa、及びパスワードであるPWaが設定されている。
[端末認証DB]
図4の(b)は、端末認証DB6の構成例である表を示す。この表は、「端末認証用のMACアドレス」列と、「ユーザ認証成功日時」列と、「有効期限」列とを含む。「端末認証用のMACアドレス」列は、MACアドレス60に対応し、端末認証用の識別情報であるMACアドレスが登録される。例えば、ユーザ端末1aについてはMACアドレス「Ma」が登録されている。ユーザ端末1bについてはMACアドレスが登録されていない。
「ユーザ認証成功日時」列は、認証サーバ3でのユーザ認証の結果が成功となった日時、言い換えると、端末認証用のMACアドレスが登録された日時、が格納される。
「有効期限」列は、端末認証用のMACアドレスに関する有効期限の情報が格納される。有効期限に関する制御については後述する。
[リスト]
図4の(c)は、リスト7である接続許可MACアドレスリスト表の構成例を示す。このリスト7は、「接続許可MACアドレス」列を有する。認証スイッチ2は、ユーザ端末1によるネットワーク4への接続を許可する場合、リスト7の「接続許可MACアドレス」列に、そのユーザ端末1のMACアドレスを登録する。また、認証スイッチ2は、ユーザ端末1によるネットワーク4への接続を不許可にする場合、リスト7の「接続許可MACアドレス」列において、そのユーザ端末1のMACアドレスを削除する。
[再ログイン及び再接続の例]
実施の形態1の認証システムにおいて、再ログイン及び再接続の例として、以下の第1の例、第2の例が挙げられる。
第1の例は、ユーザ端末1が同じ認証スイッチ2にアクセスする例である。例えば、図5に示すように、ユーザ9aのユーザ端末1aは、1回目にネットワーク4へ接続及びログインする際、認証スイッチ2aへアクセスし、端末認証及びユーザ認証を経て接続及びログインし、サービスを利用する。そして、ユーザ端末1aは、ユーザ9aの操作に基づいて、ネットワーク4からログアウトして認証スイッチ2aとの接続を切断するか、あるいは、ログイン状態のまま切断する。ログイン状態のままの切断は、例えば、ユーザ端末1aの電源オフや、ユーザ端末1aと認証スイッチ2aとを接続する通信ケーブルが引き抜かれた場合や、ユーザ端末1aが無線LANアクセスポイントから離れた場合等が挙げられる。その後、図6に示すように、ユーザ9aのユーザ端末1aは、2回目のログインまたは接続の際、同じ認証スイッチ2aへアクセスし、端末認証を経てログインまたは接続する。
第2の例は、ユーザ端末1が、ネットワーク4の複数の認証スイッチ2のうち、異なる認証スイッチ2にアクセスする例である。例えば、図5と同様に、ユーザ9aのユーザ端末1aは、1回目のログインの際、認証スイッチ2aへアクセスし、端末認証及びユーザ認証を経て接続及びログインし、サービスを利用する。そして、ユーザ端末1aは、ログアウトして切断するか、ログイン状態のまま切断する。その後、図7に示すように、ユーザ9aのユーザ端末1aは、2回目のログインまたは接続の際、認証スイッチ2aとは異なる認証スイッチ2bへアクセスし、端末認証を経てログインまたは接続する。
実施の形態1の認証システムは、第1の例及び第2の例のいずれにも対応できる。ユーザ端末1は、第1の例及び第2の例のいずれによっても、ネットワーク4への再ログインまたは再接続が可能である。
[第1の例における通信処理シーケンス]
図5及び図6を用いて、第1の例における通信処理シーケンスを説明する。
図5は、第1の例における1回目のログインの際の通信処理シーケンスを示す。S11等はステップを表す。前提の状態として、図1のように、ユーザ認証DB5にはアカウントA1,A2等が登録済みであり、端末認証DB6にはMACアドレスが未登録であり、各認証スイッチ2のリスト7には接続許可MACアドレスが未登録である。以下、図5のステップS11〜S19について順に説明する。
(S11) ユーザ9aは、ネットワーク4への1回目のログインの際、ユーザ端末1aから認証スイッチ2aにアクセスし、ログインを試みる。
(S12) 認証スイッチ2aは、S11のユーザ端末1aからのアクセスを受ける。認証スイッチ2aは、前述のように内部での制御の順序に従い、まず接続制限の処理を行う。本例では、認証スイッチ2aのリスト7aに、ユーザ端末1aのMACアドレス「Ma」が未登録であり接続不許可状態である。よって、認証スイッチ2aは、次に端末認証の処理を行う。図示を省略するが、認証スイッチ2aは、認証サーバ3との通信に基づいて、端末認証の処理を行う。本例では、端末認証DB6にはユーザ端末1aのMACアドレス「Ma」が登録されていないので、端末認証の結果は失敗になる。よって、認証スイッチ2aは、次にユーザ認証の処理を行う。
(S13) 認証スイッチ2aは、認証サーバ3との通信に基づいて、ユーザ9aのユーザ端末1aへユーザ認証ページを提供する。ユーザ端末1aは、受信したユーザ認証ページによるユーザ認証画面を表示する。ユーザ認証画面は、ユーザ認証用のアカウントの入力をユーザに促すメッセージ等の情報を含む。ユーザ9aは、ユーザ認証画面で、自分のアカウントのユーザID及びパスワードを入力する。本例では、ユーザ認証DB6に登録されているアカウントA1{IDa,PWa}が入力されたとする。ユーザ端末1aは、入力されたアカウントA1を認証スイッチ2aへ送信し、認証スイッチ2aは、アカウントA1を受信する。
(S14) 認証スイッチ2aと認証サーバ3との間では、IPアドレスを用いた通信接続において、ユーザ認証の処理が行われる。認証スイッチ2aは、ユーザ認証の要求、及びアカウントA1に、S11でアクセスしてきたユーザ端末1aのMACアドレス「Ma」を付属させて、認証サーバ3へ送信する。この際、認証スイッチ2aは、ユーザ認証の要求のパケットの中に、アカウントA1及びMACアドレス「Ma」を含ませる。当該パケットは、ヘッダの送信元IPアドレスとして、認証スイッチ2aのIPアドレス「IP1」が含まれる。
(S15) 認証サーバ3は、S14のユーザ認証の要求、アカウントA1、及びMACアドレス「Ma」を含む情報を受信する。認証サーバ3は、要求及びアカウントA1に対し、ユーザ認証DB5のアカウント50を参照してユーザ認証を行う。本例では、入力されたアカウントA1と、ユーザ認証DB5のアカウント50に設定されているアカウントA1とが一致するので、ユーザ認証の結果が成功になる。
(S16) 認証サーバ3は、S15のユーザ認証の結果として成功を表す応答を、認証スイッチ2aへ送信する。認証サーバ3は、S14の要求の送信元IPアドレスであるIPアドレス「IP1」を宛先として、S16の応答を認証スイッチ2aへ送信する。
(S17) また、認証サーバ3は、S15でユーザ認証が成功となった場合、S14の要求に付属していたMACアドレス「Ma」を、当該ユーザ端末1aに関する端末認証用のMACアドレスとして、端末認証DB6のMACアドレス60に登録する。この登録は、2回目以降のログインまたは接続の際の端末認証の準備のために行われる。
また、認証サーバ3は、ユーザ認証の成功の日時や、それに応じて決定される有効期限の情報を、端末認証DB6内に格納する。これにより、端末認証DB6内には、図4の(b)の第1行の例のように情報が登録される。
(S18) 一方、認証スイッチ2aは、S16の応答を受信し、当該応答からユーザ認証の結果を認識する。認証スイッチ2aは、ユーザ認証が成功であった場合、当該ユーザ9aのユーザ端末1aによる1回目のログインを許可する。認証スイッチ2aは、ユーザ認証の成功に従い、接続制限の処理として、ユーザ端末1aのMACアドレス「Ma」を、接続許可MACアドレスとしてリスト7aに登録する。
(S19) S18により、ユーザ端末1aは、接続許可状態及び認証済み状態になり、認証スイッチ2aを通じてネットワーク4との接続が確立され、ログイン状態になる。ログイン状態では、ユーザ端末1aは、認証スイッチ2aを通じてネットワーク4上のWebサーバ8等へのアクセス及び通信が許可され、サービスを利用可能である。認証スイッチ2aは、ユーザ端末1aからのフレームをポートで受信した場合、その送信元MACアドレス「Ma」がリスト7aに登録されているため、当該フレームをポートで通過させ、宛先へ向けて転送する。
その後、ユーザ9aは、必要に応じてネットワーク4からログアウトして、ユーザ端末1aと認証スイッチ2aとの接続を切断する。認証スイッチ2aは、ユーザ端末1aがログアウトした場合、あるいはログインしてからログアウトせずに無通信状態が続いた場合、リスト7aからMACアドレス「Ma」を削除する。これにより、ユーザ端末1aは接続不許可状態及び未認証状態になる。
なお、変形例として、S14の際、認証スイッチ2aは、ユーザ認証の要求のパケットとは別に、MACアドレス「Ma」を含ませたパケットを送信するようにしてもよい。また、認証サーバ3は、S16の応答を送信する前に、S17の登録を行ってもよい。
図6は、図5に続き、第1の例における2回目のログインの際の通信処理シーケンスを示す。前提の状態として、端末認証DB6には、図5のMACアドレス「Ma」を含む情報が登録済みである。ユーザ端末1aは例えばログアウト済みであり、そのため、認証スイッチ2aのリスト7aには、MACアドレス「Ma」が登録されていない。以下、図6のステップS21〜S27について順に説明する。
(S21) ユーザ9aは、ネットワーク4への2回目のログインの際、ユーザ端末1aから認証スイッチ2aへアクセスし、ログインを試みる。
(S22) 認証スイッチ2aは、S21のユーザ端末1aからのアクセスを受ける。認証スイッチ2aは、1回目のログインの際と同様に、まず接続制限の処理を行う。本例では、リスト7aにMACアドレス「Ma」が登録されておらず接続不許可状態である。よって、認証スイッチ2aは、次に端末認証の処理を行う。
(S23) 認証スイッチ2aは、ユーザ端末1aから受信したフレームの送信元MACアドレスを、端末認証に用いる。認証スイッチ2aは、端末認証の要求、及び端末1aのMACアドレス「Ma」を、認証サーバ3へ送信する。この際、認証スイッチ2aは、端末認証の要求のパケットの中に、MACアドレス「Ma」を含ませる。また、当該パケットは、ヘッダの送信元IPアドレスとして、認証スイッチ2aのIPアドレス「IP1」が含まれる。
(S24) 認証サーバ3は、S23の端末認証の要求を受信する。認証サーバ3は、当該要求に含まれるMACアドレス「Ma」を用いて、端末認証DB6のMACアドレス60を検索し、比較することにより、端末認証を行う。認証サーバ3は、当該要求に含まれるMACアドレス「Ma」が、端末認証DB6に登録済みである場合、端末認証の結果を成功とし、未登録である場合、結果を失敗とする。本例では、図5のS17でMACアドレス「Ma」が登録済みであるため、端末認証の結果が成功になる。
(S25) 認証サーバ3は、端末認証の結果として成功を表す応答を、認証スイッチ2aへ送信する。認証サーバ3は、S23の要求の送信元IPアドレスであるIPアドレス「IP1」を宛先として、S25の応答を認証スイッチ2aへ送信する。
(S26) 認証スイッチ2aは、S25の応答を受信し、当該応答から端末認証の結果を認識する。認証スイッチ2aは、端末認証の成功に従い、接続制限の処理として、ユーザ端末1aのMACアドレス「Ma」を接続許可MACアドレスとしてリスト7aに登録する。認証スイッチ2aは、端末認証が成功であるため、ユーザ認証を省略する。すなわち、ユーザ9aはアカウントの入力が不要である。
(S27) S26により、ユーザ9aのユーザ端末1aは、接続許可状態及び認証済み状態になり、認証スイッチ2aを通じてネットワーク4との接続が確立され、再びログイン状態になる。その後、ユーザ9aは、必要に応じてネットワーク4からログアウトし、ユーザ端末1aと認証スイッチ2aとの接続を切断する。認証スイッチ2aは、ユーザ端末1aがログアウトした場合等には、リスト7aからMACアドレス「Ma」を削除する。
なお、上記例は、1回目でログアウトして切断した後、2回目に再ログインする例であるが、1回目でログアウトせずに切断した後、2回目に再接続する例でも、同様の動作が実現される。
更に、その後、ユーザ9aのユーザ端末1aは、任意の認証スイッチ2へのアクセスを通じて、3回目以降のログインまたは接続を行ってもよい。3回目以降のログインまたは接続の際にも、端末認証DB6内に有効期限内であるMACアドレス「Ma」が登録済みである場合には、同様に端末認証が成功し、ユーザ認証が省略される。
[第2の例における通信処理シーケンス]
図5及び図7を用いて、第2の例における通信処理シーケンスを説明する。第2の例において、ユーザ9aのユーザ端末1aは、移動前の状態では、図5のように1回目のログインの際に認証スイッチ2aの付近にいる。ユーザ9aは、ユーザ端末1aと共に移動し、移動後の状態では、図7のように認証スイッチ2bの付近にいる。
第2の例における移動前の1回目のログインの際の通信処理シーケンスは、図5と同様であるため、説明を省略する。ユーザ端末1aは、1回目のログイン後、例えばログアウト済みである。
図7は、第2の例における移動後の2回目のログインの際の通信処理シーケンスを示す。前提の状態として、端末認証DB6には、図5のMACアドレス「Ma」を含む情報が登録済みである。ユーザ9aのユーザ端末1aは、認証スイッチ2bに対しては初回のアクセスとなる。そのため、認証スイッチ2bのリスト7bにはMACアドレス「Ma」が登録されていない。以下、図7のステップS31〜S37について順に説明する。
(S31) ユーザ9aは、ネットワーク4への2回目のログインの際、ユーザ端末1aから認証スイッチ2bへアクセスし、ログインを試みる。
(S32) 認証スイッチ2bは、S31のユーザ端末1aからのアクセスを受ける。認証スイッチ2bは、認証スイッチ2aと同様に、まず接続制限の処理を行う。本例では、リスト7bにMACアドレス「Ma」が未登録であり接続不許可状態である。よって、認証スイッチ2bは、次に端末認証の処理を行う。
(S33) 認証スイッチ2bは、ユーザ端末1aから受信したフレームの送信元MACアドレスを、端末認証に用いる。認証スイッチ2bは、端末認証の要求、及びユーザ端末1aのMACアドレス「Ma」を、認証サーバ3へ送信する。この際、認証スイッチ2bは、端末認証の要求のパケットの中に、MACアドレス「Ma」を含ませる。また、当該パケットは、ヘッダの送信元IPアドレスとして、認証スイッチ2bのIPアドレス「IP2」が含まれる。
(S34) 認証サーバ3は、S33の端末認証の要求を受信する。認証サーバ3は、当該要求に含まれるMACアドレス「Ma」を用いて、端末認証DB6のMACアドレス60を検索し、比較することにより、端末認証を行う。認証サーバ3は、当該要求に含まれるMACアドレス「Ma」が、端末認証DB6に登録済みである場合、端末認証の結果を成功とし、未登録である場合、結果を失敗とする。本例では、図5のS17でMACアドレス「Ma」が登録済みであるため、端末認証の結果が成功になる。
(S35) 認証サーバ3は、端末認証の結果として成功を表す応答を、認証スイッチ2bへ送信する。認証サーバ3は、S33の要求の送信元IPアドレスであるIPアドレス「IP2」を宛先として、S35の応答を認証スイッチ2bへ送信する。
(S36) 認証スイッチ2bは、S35の応答を受信し、当該応答から端末認証の結果を認識する。認証スイッチ2bは、端末認証の成功に従い、接続制限の処理として、ユーザ端末1aのMACアドレス「Ma」を接続許可MACアドレスとしてリスト7bに登録する。認証スイッチ2bは、端末認証が成功であるため、ユーザ認証を省略する。すなわち、ユーザはアカウントの入力が不要である。
(S37) S36により、ユーザ9aのユーザ端末1aは、接続許可状態及び認証済み状態になり、認証スイッチ2bを通じてネットワーク4との接続が確立され、ログイン状態になる。その後、ユーザ9aは、必要に応じてネットワーク4からログアウトし、ユーザ端末1aと認証スイッチ2bとの接続を切断する。認証スイッチ2bは、ユーザ端末1aがログアウトした場合等には、リスト7bからMACアドレス「Ma」を削除する。
更に、その後、ユーザ端末1aは、任意の認証スイッチ2へのアクセスを通じて、3回目以降のログインまたは接続を同様に行うことができる。また、ユーザ端末1b等についても、ユーザ端末1aと同様に、任意の認証スイッチ2を通じてネットワーク4へのログインが可能である。
上述のように、実施の形態1の認証システムでは、1回目のログインの際にはユーザ認証の成功により端末認証用のMACアドレスが登録され、2回目以降のログインまたは接続の際には端末認証の成功によりユーザ認証が省略される。ユーザは、同じネットワーク4へ再ログインまたは再接続する場合、ユーザ認証が省略されるので、アカウントの再入力等の手間が無く、すぐにログインができる。
[有効期限に関する制御]
有効期限に関する制御について説明する。実施の形態1の認証システムは、端末認証用のMACアドレスに関して、所定の有効期間による有効期限を設ける。認証サーバ3は、図4の(b)のように、端末認証DB6に、端末認証用のMACアドレス毎に、有効期限の情報を管理する。
認証サーバ3は、1回目のログインの際のユーザ認証が成功となった場合、当該ユーザ端末1のMACアドレスを、図4の(b)の「端末認証用のMACアドレス」列に登録し、「ユーザ認証成功日時」列に、その時点の日時を格納する。認証サーバ3は、その日時を起点として、所定の有効期間を適用し、その終点の日時を、当該MACアドレスに関する有効期限として、「有効期限」列に格納する。
所定の有効期間は、例えば8時間や1日等、任意の値が設定される。管理者90は、設定機能を用いて有効期間を設定可能である。有効期間は、全てのユーザ端末1で一律の設定値としてもよいし、ユーザ端末1毎に異なる設定値としてもよい。
図4の(b)の例では、第1行のユーザ端末1aのMACアドレス「Ma」について、ユーザ認証成功日時が9月1日である。有効期間の設定値が例えば1日である。これにより、当該MACアドレス「Ma」の有効期限が9月2日である。
認証サーバ3は、端末認証DB6に登録されたMACアドレスについて、その有効期限が過ぎた場合、無効にする。その処理例として、認証サーバ3は、有効期限が過ぎた場合、そのMACアドレスを削除することにより無効にする。すなわち、端末認証DB5には、有効期限内である場合にはそのMACアドレスが登録されており、有効期限外である場合にはそのMACアドレスが登録されていないことになる。
認証サーバ3は、端末認証の要求を受けた場合、端末認証DB6内に有効期限内であるMACアドレスが登録されているか否かを確認する。認証サーバ3は、要求のMACアドレスに一致するMACアドレスが登録済みである場合、有効期限内であるため、端末認証を有効とし、端末認証の結果を成功とする。また、認証サーバ3は、要求を受けた時点で、端末認証DB6内に、要求のMACアドレスに一致するMACアドレスが登録されていない場合、有効期限外であるため、端末認証を無効とし、端末認証の結果を失敗とする。
なお、2回目のログインの際の端末認証において、MACアドレスの有効期限が過ぎていることにより結果が失敗となった場合、認証スイッチ2は、次にユーザ認証を行う。認証サーバ3は、このユーザ認証の結果が成功となった場合、端末認証用のMACアドレスを再登録すると共に、その有効期限を再設定する。
[効果等]
以上説明したように、実施の形態1の認証システムによれば、ユーザ端末1がネットワーク4へ接続及びログインする際に、端末認証とユーザ認証とを組み合わせて認証を制御する構成である。これにより、ネットワーク4のセキュリティを確保しつつ、アカウントの再入力等のユーザの手間を軽減でき、ユーザの利便性を向上できる。ユーザは、2回目以降のログインの際には、ユーザ認証が省略され、端末認証で済むので、認証に要する時間が短く、すぐにログインしてサービスを利用できる。
実施の形態1の変形例として、ユーザ認証は、ユーザID及びパスワードを用いた認証に限らず、他の方式の認証も適用可能である。他の方式として、電子証明書を用いた認証、生体情報を用いた認証、トークンキーを用いた認証、等が挙げられる。認証スイッチ2及び認証サーバ3は、ユーザ認証の方式に応じた認証処理を行う。ユーザ認証DB5には、ユーザ認証の方式に応じた認証情報、例えば電子証明書、生体情報、またはトークンキー等が管理される。認証スイッチ2は、ユーザ端末1から入力された認証情報、ユーザ認証の要求、及びユーザ端末1のMACアドレスを、認証サーバ3へ送信する。認証サーバ3は、ユーザ認証DB5の認証情報を参照してユーザ認証を行う。
同様に、端末認証は、ユーザ端末1の識別情報としてMACアドレスを用いた認証に限らず、他の識別情報を用いた認証も適用可能である。
実施の形態1の変形例として、認証サーバ3は、端末認証DB6にMACアドレスを登録する際に、当該MACアドレスと関係付けて、ユーザ認証時のアカウントを格納してもよい。すなわち、図4の(b)の端末認証DB6の表において、「ユーザ認証用のアカウント」列が追加されてもよい。または、その表に、図4の(a)の「ユーザ認証用のアカウント」列の値を指し示すアドレス等を格納する列が追加されてもよい。あるいは、認証サーバ3は、ユーザ認証DB5及び端末認証DB6とは別に、MACアドレスとアカウントとの関係付け情報を含む管理表を保持してもよい。これらの変形例の場合、ユーザ端末1とそのユーザとの対応関係がわかりやすくなる。
(実施の形態2)
図8を用いて、本発明の実施の形態2の認証システムについて説明する。実施の形態2の認証システムの基本的な構成は、実施の形態1の構成と同様である。以下、実施の形態2の構成における、実施の形態1の構成とは異なる部分について説明する。
実施の形態2の認証システムは、ネットワーク4に接続される複数の認証スイッチ2の種類が異なる。
前述の実施の形態1では、ネットワーク4に接続される複数の認証スイッチ2は、いずれも同じ機能を備える同じ種類の装置である。すなわち、各認証スイッチ2は、ユーザ認証機能、及び端末認証機能等を備えている。実施の形態1では、1回目のログインの際には端末認証及びユーザ認証が行われ、ユーザ認証の成功により端末認証用のMACアドレスが登録される。2回目以降のログインの際には、端末認証用のMACアドレスを用いて端末認証が行われ、ユーザ認証が省略される。この動作を実現するためには、2回目以降にアクセスされる認証スイッチ2は、端末認証機能が必須であるが、ユーザ認証機能は必須では無い。
図8は、実施の形態2の認証システムの構成を示す。実施の形態2の認証システムは、ネットワーク4に接続される複数の認証スイッチ2として、認証スイッチ2A、認証スイッチ2B−1、認証スイッチ2B−2、等を有する。
実施の形態2の認証システムは、機能が異なる装置として、第1の認証スイッチと、第2の認証スイッチと、を有する。第1の認証スイッチは、機能KAとして、実施の形態1の認証スイッチ2と同様に、ユーザ認証機能及び端末認証機能を備える。第2の認証スイッチは、機能KBとして、ユーザ認証機能を備えず、端末認証機能を備える。1台の認証スイッチ2Aは、第1の認証スイッチである。認証スイッチ2B−1、認証スイッチ2B−2等の複数の認証スイッチは、第2の認証スイッチである。
実施の形態2の認証システムの運用においては、ユーザ端末1が1回目にログインする場合には、第1の認証スイッチへアクセスさせる。その後、2回目以降にログインまたは接続する場合には、第1の認証スイッチ及び第2の認証スイッチのいずれに対してもアクセス可能である。
図8の例では、ユーザ9aのユーザ端末1aは、1回目のログインの際、機能KAを持つ第1の認証スイッチである認証スイッチ2Aへアクセスする。認証スイッチ2Aは、接続制限、端末認証、ユーザ認証の順で処理を行う。認証スイッチ2Aは、認証サーバ3との間で、まず端末認証を行い、次にユーザ認証を行う。ユーザ認証の際、ユーザ9aは、アカウントA1を入力する。認証サーバ3は、ユーザ認証DB5のアカウント50を参照してユーザ認証を行う。本例では、ユーザ認証DB5にアカウントA1が設定されているので、ユーザ認証の結果が成功となる。認証サーバ3は、ユーザ端末1aのMACアドレス「Ma」を端末認証用のMACアドレスとして端末認証DB6に登録する。ユーザ端末1aは、1回目のログインが許可される。
その後、ユーザ9aのユーザ端末1aは、2回目のログインまたは接続の際、いずれかの認証スイッチへアクセスする。本例では、ユーザ9aは、ユーザ端末1aと共に移動し、認証スイッチ2B−1へアクセスする。認証スイッチ2B−1は、接続制限、端末認証の順で処理を行う。認証スイッチ2B−1は、端末認証の際、ユーザ端末1aのMACアドレス「Ma」を認証サーバ3へ送信する。認証サーバ3は、端末認証DB6のMACアドレス60を参照して端末認証を行う。本例では、端末認証DB6にMACアドレス「Ma」が登録済みであるため、端末認証の結果が成功となる。ユーザ端末1aは、2回目のログインまたは接続が許可される。
上記例のように、ユーザ端末1が1回目のログインの際に第1の認証スイッチへアクセスし、2回目以降のログインの際に第2の認証スイッチへアクセスした場合、実施の形態1と同様の動作が実現され、同様の効果が得られる。
実施の形態2の認証システムによれば、実施の形態1と同様に、ネットワーク4のセキュリティを確保しつつ、アカウントの再入力等のユーザの手間を軽減できる。
[変形例]
実施の形態2の変形例の認証システムとして、以下が挙げられる。変形例の認証システムにおいて、第1の認証スイッチは、ユーザ認証機能を備え、端末認証機能を備えない認証スイッチとする。第2の認証スイッチは、ユーザ認証機能を備えず、端末認証機能を備える認証スイッチとする。運用において、ユーザ端末1を、1回目のログインの際には第1の認証スイッチへアクセスさせ、2回目以降のログインまたは接続の際には第2の認証スイッチへアクセスさせる。この変形例の認証システムでも、実施の形態1や実施の形態2と同様の効果が実現できる。
(実施の形態3)
本発明の実施の形態3の認証システムについて説明する。以下、実施の形態3の構成における実施の形態1の構成とは異なる部分について説明する。
前述の実施の形態1では、認証サーバ3は、ユーザ認証DB5及び端末認証DB6を保持及び管理する。これに限らず、ユーザ認証DB5や端末認証DB6は、ネットワーク4上、認証サーバ3以外の場所に存在してもよい。
実施の形態3の認証システムでは、ユーザ認証DB5は、図示しないアカウント管理サーバに保持される。アカウント管理サーバは、ネットワーク4に接続され、アカウント管理機能を含む設定機能を有し、ユーザ認証DB5を管理する。アカウント管理サーバは、管理者90等からの指示に基づいて、ユーザ認証DB5にユーザ認証用のアカウントを設定する。
実施の形態3の認証サーバ3は、端末認証DB6を保持し、アカウント管理サーバと連係する。認証サーバ3は、ユーザ認証の要求を受けた場合、アカウント管理サーバへアクセスし、ユーザ認証DB5を参照してユーザ認証を行う。認証サーバ3は、ユーザ認証が成功した場合、自身の端末認証DB6に端末認証用のMACアドレスを登録する。認証サーバ3は、端末認証の要求を受けた場合、自身の端末認証DB6を参照して端末認証を行う。
実施の形態3の認証システムによれば、実施の形態1と同様の効果が得られる。
(他の実施の形態)
他の実施の形態の認証システムとして、以下が挙げられる。
他の実施の形態として、ユーザ認証DB5及び端末認証DB6は、アカウントやMACアドレスについて登録及び削除が行われる方式に限らず、予め保持されるアカウントやMACアドレスについて有効化及び無効化が行われる方式でもよい。この場合、例えばユーザ認証DB5には、予め初期設定として、正規の複数のユーザに関するユーザ認証用のアカウントが設定され、この情報が基本的に保持される。このアカウントは、フラグにより「有効」状態が設定される。また、端末認証DB6には、予め初期設定として、正規の複数のユーザ端末1に関する端末認証用のMACアドレスが設定され、この情報が基本的に保持される。このMACアドレスは、フラグにより「無効」状態が設定される。
認証サーバ3は、ユーザ認証が成功となった場合、端末認証DB6において、当該ユーザ端末1に関する端末認証用のMACアドレスを有効化、すなわち「無効」から「有効」へ変更し、その有効期限を設定する。認証サーバ3は、有効期限が過ぎた場合、そのユーザ端末認証用のMACアドレスを無効化、すなわち「有効」から「無効」へ変更する。
同様に、認証スイッチ2のリスト7は、接続許可MACアドレスの登録及び削除が行われる方式に限らず、予め設定されるMACアドレスについて有効化及び無効化が行われる方式でもよい。
以上、本発明を実施の形態に基づき具体的に説明したが、本発明は前記実施の形態に限定されず、その要旨を逸脱しない範囲で種々変更可能である。
1,1a,1b…ユーザ端末、2,2a,2m…認証スイッチ、3…認証サーバ、4…ネットワーク、5…ユーザ認証DB、6…端末認証DB、7,7a,7m…リスト、8…Webサーバ、9a,9b…ユーザ、50…アカウント、60…MACアドレス、90…管理者

Claims (8)

  1. ネットワークに接続され、ユーザ端末が前記ネットワークへログインする際にアクセスする認証機器と、
    前記ネットワークに接続され、前記ログインの際に、端末認証、及びユーザ認証を行う認証サーバと、
    前記端末認証用のMACアドレスが登録される端末認証DBと、
    前記ユーザ認証用のアカウントが登録されるユーザ認証DBと、
    を備え、
    前記認証機器は、
    前記アクセスを受けた場合、端末認証要求、及び前記ユーザ端末のMACアドレスを、前記認証サーバへ送信する第1の処理と、
    前記認証サーバから端末認証応答を受信し、前記端末認証の成功の場合、前記ログインを許可し、前記端末認証の失敗の場合、前記ログインを不許可にする第2の処理と、
    前記端末認証の失敗の場合、ユーザ認証要求、ユーザにより入力されたアカウント、及び前記ユーザ端末の前記MACアドレスを、前記認証サーバへ送信する第3の処理と、
    前記認証サーバからユーザ認証応答を受信し、前記ユーザ認証の成功の場合、前記ログインを許可し、前記ユーザ認証の失敗の場合、前記ログインを不許可にする第4の処理と、
    を行い、
    前記認証サーバは、
    前記端末認証要求、及び前記MACアドレスを受信し、前記端末認証DBを参照して前記端末認証を行い、当該端末認証の成功または失敗を表す前記端末認証応答を前記認証機器へ送信する処理と、
    前記ユーザ認証要求、前記アカウント、及び前記MACアドレスを受信し、前記ユーザ認証DBを参照して前記ユーザ認証を行い、当該ユーザ認証の成功または失敗を表す前記ユーザ認証応答を前記認証機器へ送信し、当該ユーザ認証の成功の場合、当該MACアドレスを、前記端末認証用の前記MACアドレスとして前記端末認証DBに登録する処理と、
    を行う、
    認証システム。
  2. ネットワークに接続され、ユーザ端末が前記ネットワークへログインする際にアクセスする認証機器と、
    前記ネットワークに接続され、前記ログインの際に、端末認証、及びユーザ認証を行う認証サーバと、
    前記端末認証用のMACアドレスが登録される端末認証DBと、
    前記ユーザ認証用のアカウントが登録されるユーザ認証DBと、
    を備え、
    前記認証機器として、第1の認証機器、及び第2の認証機器を有し、
    前記第1の認証機器は、
    前記アクセスを受けた場合、ユーザ認証要求、ユーザにより入力されたアカウント、及び前記ユーザ端末の前記MACアドレスを、前記認証サーバへ送信する処理と、
    前記認証サーバからユーザ認証応答を受信し、前記ユーザ認証の成功の場合、前記ログインを許可し、前記ユーザ認証の失敗の場合、前記ログインを不許可にする処理と、
    を行い、
    前記第2の認証機器は、
    前記アクセスを受けた場合、端末認証要求、及び前記ユーザ端末のMACアドレスを、前記認証サーバへ送信する処理と、
    前記認証サーバから端末認証応答を受信し、前記端末認証の成功の場合、前記ログインを許可し、前記端末認証の失敗の場合、前記ログインを不許可にする処理と、
    を行い、
    前記認証サーバは、
    前記第2の認証機器から、前記端末認証要求、及び前記MACアドレスを受信し、前記端末認証DBを参照して前記端末認証を行い、当該端末認証の成功または失敗を表す前記端末認証応答を前記第2の認証機器へ送信する処理と、
    前記第1の認証機器から、前記ユーザ認証要求、前記アカウント、及び前記MACアドレスを受信し、前記ユーザ認証DBを参照して前記ユーザ認証を行い、当該ユーザ認証の成功または失敗を表す前記ユーザ認証応答を前記第1の認証機器へ送信し、当該ユーザ認証の成功の場合、当該MACアドレスを、前記端末認証用の前記MACアドレスとして前記端末認証DBに登録する処理と、
    を行う、
    認証システム。
  3. 請求項1または2に記載の認証システムにおいて、
    前記認証サーバは、前記端末認証DBと、前記ユーザ認証DBと、を保持する、
    認証システム。
  4. 請求項1または2に記載の認証システムにおいて、
    前記認証サーバは、
    前記ユーザ認証の成功の場合、前記端末認証用の前記MACアドレスに関する有効期限を設定し、
    前記有効期限が過ぎた場合、前記端末認証用の前記MACアドレスを削除または無効化し、
    前記端末認証要求を受信した場合、前記有効期限内である前記端末認証用の前記MACアドレスを用いて前記端末認証を行う、
    認証システム。
  5. 請求項1または2に記載の認証システムにおいて、
    前記認証機器は、
    前記ユーザ認証の成功の場合、及び前記端末認証の成功の場合、前記ユーザ端末の前記MACアドレスを、前記ネットワークへの接続が許可されるMACアドレスとして、リストにおいて登録または有効化し、
    前記ユーザ端末が前記ネットワークからログアウトして前記認証機器との接続を切断した場合、あるいは前記ログインしてからログアウトせずに無通信状態が一定時間続いた場合、前記ユーザ端末の前記MACアドレスを、前記ネットワークへの接続が不許可にされるMACアドレスとして、前記リストにおいて削除または無効化し、
    前記ユーザ端末からアクセスを受けた場合、前記ユーザ端末の前記MACアドレス及び前記リストを確認した結果に基づいて、前記ユーザ端末による前記ネットワークへの接続を許可または不許可にし、
    前記接続を不許可にする場合、前記端末認証要求を送信し、当該端末認証が失敗の場合、前記ユーザ認証要求を送信する、
    認証システム。
  6. 請求項1または2に記載の認証システムにおいて、
    前記ユーザ認証は、前記アカウントとして、ユーザIDとパスワードとの組合せを用いた認証である、
    認証システム。
  7. 請求項1または2に記載の認証システムにおいて、
    前記ユーザ認証は、前記アカウントとして、電子証明書、生体情報、またはトークンキーを用いた認証である、
    認証システム。
  8. 請求項1記載の認証システムにおいて、
    第2の認証機器を有し、
    前記第2の認証機器は、前記第1の処理及び前記第2の処理を行い、前記第3の処理及び前記第4の処理を行わない、
    認証システム。
JP2014245392A 2014-12-03 2014-12-03 認証システム Active JP6347732B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2014245392A JP6347732B2 (ja) 2014-12-03 2014-12-03 認証システム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2014245392A JP6347732B2 (ja) 2014-12-03 2014-12-03 認証システム

Publications (2)

Publication Number Publication Date
JP2016110300A JP2016110300A (ja) 2016-06-20
JP6347732B2 true JP6347732B2 (ja) 2018-06-27

Family

ID=56122263

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2014245392A Active JP6347732B2 (ja) 2014-12-03 2014-12-03 認証システム

Country Status (1)

Country Link
JP (1) JP6347732B2 (ja)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6590763B2 (ja) * 2016-06-24 2019-10-16 三菱電機株式会社 電力系統監視制御システム
KR102028725B1 (ko) * 2019-03-04 2019-10-07 넷마블 주식회사 유저 인증 장치 및 방법

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3863441B2 (ja) * 2002-02-15 2006-12-27 日本電信電話株式会社 認証アクセス制御サーバ装置、認証アクセス制御方法、認証アクセス制御プログラム及びそのプログラムを記録したコンピュータ読み取り可能な記録媒体
JP5334693B2 (ja) * 2009-06-04 2013-11-06 アライドテレシスホールディングス株式会社 ネットワーク管理方法、ネットワーク管理プログラム、ネットワークシステム及び中継機器
JP5321256B2 (ja) * 2009-06-09 2013-10-23 日本電気株式会社 検疫ネットワークシステム、アクセス管理装置、アクセス管理方法、及びアクセス管理プログラム
JP5604176B2 (ja) * 2010-05-12 2014-10-08 日本放送協会 認証連携装置およびそのプログラム、機器認証装置およびそのプログラム、ならびに、認証連携システム
JP5921460B2 (ja) * 2013-02-20 2016-05-24 アラクサラネットワークス株式会社 認証方法、転送装置及び認証サーバ
JP5979304B2 (ja) * 2013-03-19 2016-08-24 富士通株式会社 プログラム、情報処理装置および更新方法

Also Published As

Publication number Publication date
JP2016110300A (ja) 2016-06-20

Similar Documents

Publication Publication Date Title
US10541992B2 (en) Two-token based authenticated session management
JP5494816B2 (ja) 通信制御装置、システム、方法及びプログラム
JP6929181B2 (ja) デバイスと、その制御方法とプログラム
JP5292712B2 (ja) 認証連携システム、中継装置、認証連携方法および認証連携プログラム
JP2019046060A (ja) 権限委譲システム、制御方法、およびプログラム
JP5239341B2 (ja) ゲートウェイ、中継方法及びプログラム
US10637830B2 (en) VPN access control system, operating method thereof, program, VPN router, and server
US9344417B2 (en) Authentication method and system
JP2019046059A (ja) 権限委譲システム、制御方法、およびプログラム
KR20080024469A (ko) 부정적인 인터넷 계정 액세스 방지
WO2009129753A1 (zh) 提高网络身份认证安全性的方法和装置
US11165768B2 (en) Technique for connecting to a service
KR20220006908A (ko) 5g 코어 시스템의 네트워크 기능 인증 방법
CA2912774C (en) Providing single sign-on for wireless devices
JP6347732B2 (ja) 認証システム
JP6345092B2 (ja) 通信システム
KR101628534B1 (ko) 가상 802.1x 기반 네트워크 접근 제어 장치 및 네트워크 접근 제어 방법
KR102333028B1 (ko) 방화벽 정책 제어 장치 및 방법
US11064544B2 (en) Mobile communication system and pre-authentication filters
KR102558821B1 (ko) 사용자 및 디바이스 통합 인증 시스템 및 그 방법
JP5721185B2 (ja) サービス提供システムおよびその通信方法
JP6358947B2 (ja) 認証システム
JP2005165418A (ja) ログイン認証システム。
JP6266049B1 (ja) 情報処理システム、情報処理方法、情報処理装置及びプログラム
CN106664313B (zh) 认证中心的系统或方法

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20170925

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20180427

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20180515

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20180529

R150 Certificate of patent or registration of utility model

Ref document number: 6347732

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250