図面 (/)

技術 ネットワークシステム、ネットワーク間接続/認証方式及びアクセス制限方法

出願人 株式会社日本デジタル研究所
発明者 土本一生佐原豪浜栄司
出願日 2000年1月21日 (20年3ヶ月経過) 出願番号 2000-012980
公開日 2001年7月27日 (18年9ヶ月経過) 公開番号 2001-203690
状態 特許登録済
技術分野 オンライン・システムの機密保護 広域データ交換 小規模ネットワーク(3)ループ,バス以外
主要キーワード プロセスチャート マスタフラグ マシン台数 接続先コンピュータ 会計事務 外部セグメント 接続認証情報 公開元
関連する未来課題
重要な関連分野

この項目の情報は公開日時点(2001年7月27日)のものです。
また、この項目は機械的に抽出しているため、正しく解析できていない場合があります

図面 (17)

課題

広域ネットワークの設定/管理をネットワーク専門知識を持っていない事務担当者や管理者が行うことのできるネットワークシステムネットワーク間接続認証方式及び広域ネットワークに属するコンピュータ端末相互の接続時にアクセス制限を行うことのできるアクセス制限方法の提供。

解決手段

TAやルータで区切られたネットワークの範囲を管理単位セグメント)とし、各セグメントにはネットワーク情報(NIF)及びネットワークアクセス情報を管理するセグメントマスタと呼ぶサーバーを1台設定する。NIFにはマシン台数分のレコード登録されており、発信側マシン装置はアプリケーション実行時にNIFを見て着信側のネットワークに接続されているマシンを認識することができる。また、NIFには相手マシンと接続するときに必要なIPアドレスやそのマシン独自の情報が登録されており、ネットワークアクセス情報によりNIFの取得制限を行って相手マシンとの接続を制限(制御)する。

概要

背景

異なるネットワーク、例えば、複数のLAN間を接続するには、ファイヤーウォールルータブリッジ等を用いて接続・設定する方法がある。

また、ネットワーク間での接続設定をさらに個々のコンピュータ装置に対して行うために個々のコンピュータのホスト名を管理する管理接続サーバを設置し、専門家が管理している(例えば、インターネットではDNS(Domain Name System)サーバーがホストの後に部署やサイト名をつけた階層構造ホスト情報アドレス)を管理している)。

上記DNS方式では非正式アドレスに対する接続はできないが、特開平9−252316号公報及び特開平10−13471号公報には異なるネットワークの非正式アドレス端末同士をネットワークを介して接続する技術が.開示されている。

概要

広域ネットワークの設定/管理をネットワークの専門知識を持っていない事務担当者や管理者が行うことのできるネットワークシステムネットワーク間接続認証方式及び広域ネットワークに属するコンピュータ端末相互の接続時にアクセス制限を行うことのできるアクセス制限方法の提供。

TAやルータで区切られたネットワークの範囲を管理単位セグメント)とし、各セグメントにはネットワーク情報(NIF)及びネットワークアクセス情報を管理するセグメントマスタと呼ぶサーバーを1台設定する。NIFにはマシン台数分のレコード登録されており、発信側マシン装置はアプリケーション実行時にNIFを見て着信側のネットワークに接続されているマシンを認識することができる。また、NIFには相手マシンと接続するときに必要なIPアドレスやそのマシン独自の情報が登録されており、ネットワークアクセス情報によりNIFの取得制限を行って相手マシンとの接続を制限(制御)する。

目的

本発明は上記問題点に鑑みてなされたものであり、広域ネットワークの設定/管理をネットワークの専門知識を持っていない事務担当者や管理者が行うことのできるネットワークシステム、ネットワーク間接続/認証方式及びインターネットやLANを含む広域ネットワークに属するコンピュータ装置相互の接続時にアクセス制限を行うことのできるアクセス制限方法の提供を目的とする。

効果

実績

技術文献被引用数
1件
牽制数
0件

この技術が所属する分野

(分野番号表示ON)※整理標準化データをもとに当社作成

ライセンス契約や譲渡などの可能性がある特許掲載中! 開放特許随時追加・更新中 詳しくはこちら

請求項1

少なくとも1台のコンピュータ装置が属するネットワークセグメントを複数含む広域ネットワークにおいて、上記各ネットワークセグメントは、それぞれのネットワークセグメントに属するコンピュータ装置の中で、ネットワークセグメント及びコンピュータ装置の識別情報を含むネットワーク情報ネットワークの接続時にコンピュータ装置間アクセス制御を行うアクセス制御情報とを保持・管理する1台のセグメントマスタをそれぞれ備え、ネットワークセグメントに属する第1のコンピュータ装置と他のネットワークセグメントに属する第2のコンピュータ装置との接続時に、第1のコンピュータ装置は、自機の属するネットワークセグメントの第1のセグメントマスタから前記ネットワーク情報を取得し、前記第2のコンピュータ装置に係るネットワーク情報を抽出し、この抽出したネットワーク情報を基に前記第1のセグメントマスタから自機及び第2のコンピュータ装置に係る接続認証用情報を取得して前記第2のコンピュータ装置に送信し、前記第2のコンピュータ装置は、前記第1のコンピュータ装置から送信された前記接続認証用情報を受信すると、受信した該接続認証情報を自機の属するネットワークセグメントの第2のセグメントマスタに渡して認証を求め、前記第2のセグメントマスタによる認証を得た場合に、前記第1のコンピュータ装置とのネットワーク接続を有効とする、ことを特徴とするネットワークシステム

請求項2

前記第2のセグメントマスタは、前記第2のコンピュータ装置から前記接続認証用情報を受け取ると、その接続認証用情報と第2のセグメントマスタが保持しているアクセス制御情報の中の前記第1及び第2のコンピュータ装置に係る接続認証用情報とを比較し、両者が一致した場合に前記第2のコンピュータ装置から受け取った接続認証用情報を認証することを特徴とする請求項1記載のネットワークシステム。

請求項3

前記アクセス制御情報及び接続認証用情報は、前記第1のコンピュータ装置による前記第2のコンピュータ装置に属するデバイスへのアクセスを制限するアクセス制限情報を含むことを特徴とする請求項1又は2記載のネットワークシステム。

請求項4

前記アクセス制限情報は前記第1のコンピュータが実行するアプリケーション単位に設けられていることを特徴とする請求項3記載のネットワークシステム。

請求項5

同一ネットワークセグメント内では、セグメントマスタが該ネットワークセグメント内のネットワーク情報に係る更新情報収集して自機が保持・管理するネットワーク情報を更新し、外部ネットワークセグメント間では、前記第1のコンピュータ装置と前記第2のコンピュータ装置の接続認証時に前記第1のセグメントマスタと前記第2のセグメントマスタが保持するネットワーク情報を交換し、交換したネットワーク情報を前記第1のセグメントマスタと前記第2のセグメントマスタに渡し、前記第1のセグメントマスタと前記第2のセグメントマスタは受け取ったネットワーク情報で自機の保持・管理するネットワーク情報をそれぞれ更新することを特徴とする請求項1記載のネットワークシステム。

請求項6

前記ネットワーク情報は各コンピュータ装置特有バージョン情報を含むことを特徴とする請求項1または5記載のネットワークシステム。

請求項7

前記ネットワーク情報及び接続認証用情報は、前記第1のコンピュータ装置と前記第2のコンピュータ装置との接続認証時に暗号化され、相手側コンピュータ装置に送信されることを特徴とする請求項1乃至6記載のネットワークシステム。

請求項8

広域ネットワークに接続する複数のコンピュータ装置をグループ化したネットワークセグメント間で、接続認証を行った後、各ネットワークセグメントを識別する識別子を含むネットワーク情報を交換することを特徴とするネットワーク間接続認証方式

請求項9

広域ネットワークに接続する複数のコンピュータ装置をグループ化したネットワークセグメント間で、各ネットワークセグメントを識別する識別子を含むネットワーク情報を用いてネットワークセグメント間の接続を行い、前記各ネットワークセグメントは各コンピュータ装置間のアクセス制御を行うアクセス制御情報を備え、前記ネットワークセグメント間の接続時にこのアクセス制御情報から接続元コンピュータ装置及び接続先コンピュータ装置に係る接続認証用情報を抽出し、この接続認証用情報と接続先のコンピュータ装置が属するネットワークセグメントに備えられたアクセス制御情報の中の接続元コンピュータ装置及び接続先コンピュータ装置に係る接続認証用情報とを比較し、両者が一致した場合に前記接続元コンピュータ装置と接続先コンピュータ装置との接続を有効とすることを特徴とするネットワークシステム。

請求項10

前記ネットワークセグメント間の接続時に、接続元コンピュータ装置及び接続先コンピュータ装置に係る接続認証用情報に基づいてアプリケーション単位での接続、認証を行うことを特徴とする請求項9記載のネットワーク間接続/認証方式。

請求項11

前記ネットワーク情報及び接続認証用情報は、ネットワークセグメントを識別するセグメント識別子、セグメント内のコンピュータ装置を識別するLANアドレスIPアドレス及びコンピュータ装置固有のバージョン情報を含むことを特徴とする請求項9記載のネットワーク間接続/認証方式。

請求項12

前記アクセス制御情報及び接続認証情報は、公開元情報及び公開先情報を含み、前記公開先情報は公開先のコンピュータ装置が属するセグメント識別子、セグメント内で該コンピュータ装置を識別するLANアドレス及びセキュリテイ情報からなり、前記ネットワークセグメント間の接続時に行うコンピュータ装置の接続認証は、接続元コンピュータ装置の属するネットワークセグメント内で行う該接続元コンピュータ装置のセグメント識別子、LANアドレス及びセキュリテイ情報と前記公開先情報との比較結果が一致し、且つ、接続先コンピュータ装置の属するネットワークセグメント内で行う該接続元コンピュータ装置のセグメント識別子、LANアドレス及びセキュリテイ情報と前記公開先情報との比較結果が一致した場合、に行われることを特徴とする請求項9乃至11のいずれか1項に記載のネットワーク間接続/認証方式。

請求項13

前記アクセス制御情報及び接続認証用情報は、公開元情報及び公開先情報を含み、前記公開元情報は公開元のコンピュータ装置が属するセグメント識別子、セグメント内で該コンピュータ装置を識別するLANアドレス、及び接続元に公開する公開情報からなり、前記公開情報は前記接続元のコンピュータ装置による前記接続先のコンピュータ装置に属するデバイスへのアクセスを制限するアクセス制限情報を含み、前記ネットワークセグメント間の接続時に行う接続先コンピュータ装置へのアクセスは、接続元コンピュータ装置の属するネットワークセグメント内で行う該接続先コンピュータ装置のセグメント識別子、LANアドレス、アクセス制限情報と前記公開元情報中の接続先コンピュータ装置のセグメント識別子、LANアドレス、アクセス制限情報との比較結果が一致し、且つ、接続先コンピュータ装置の属するネットワークセグメント内で行う該接続先コンピュータ装置のセグメント識別子、LANアドレス及びセキュリテイ情報と前記公開元情報の中の接続先コンピュータ装置のセグメント識別子、LANアドレス、アクセス制限情報との比較結果が一致した場合、に行われることを特徴とする請求項9乃至11のいずれか1項に記載のネットワーク間接続/認証方式。

請求項14

前記アクセス制限情報は、アプリケーションに対応付けられたアプリケーション識別コード、該アプリケーションによってアクセス可能デバイス情報を含むことを特徴とする請求項13記載のネットワーク間接続/認証方式。

請求項15

前記各ネットワークセグメントは、それぞれのネットワークに属するコンピュータ装置のうちの1つの装置からなるセグメントマスタを備え、前記セグメントマスタは前記ネットワーク情報及び前記アクセス制御情報を保持・管理すると共に、異なるネットワークセグメントに属するコンピュータ装置間の接続認証時に、自機の属するネットワークセグメントのコンピュータ装置が接続元の場合には、該接続元コンピュータ装置から該接続元コンピュータ装置及び接続先コンピュータ装置に係る接続認証用情報取得要求があると、自機が保持しているアクセス制御情報から該接続元コンピュータ装置及び接続先コンピュータ装置に係る接続認証用情報を抽出して自機が保持しているネットワーク情報と共に前記接続元コンピュータ装置に渡し、自機の属するネットワークセグメントのコンピュータ装置が接続先の場合には、該接続先コンピュータ装置から前記接続元コンピュータ装置から受信した前記接続認証用情報の認証要求があると、該接続先コンピュータ装置から接続認証用情報を受け取り、受け取った前記接続認証用情報と自機が保持している前記接続元コンピュータ装置及び接続先コンピュータ装置に係る接続認証用情報を比較し、認証結果及び自機が保持しているネットワーク情報を前記接続先コンピュータ装置に渡す、ことを特徴とする請求項9乃至14のいずれか1項に記載のネットワーク間接続/認証方式。

請求項16

前記ネットワーク情報及び接続認証用情報は、異なるネットワークセグメントに属するコンピュータ装置間の接続認証時に暗号化され、相手側コンピュータ装置に送信されることを特徴とする請求項1乃至15のいずれか1項に記載のネットワーク間接続/認証方式。

請求項17

前記アクセス制御情報は、前記セグメントマスタから入力設定及び変更設定し、設定されたアクセス制御情報は自機の属するネットワークセグメントのセグメントマスタのみが保持・管理することを特徴とする請求項9乃至15のいずれか1項に記載のネットワーク間接続/認証方式。

請求項18

前記アクセス制御情報は、各ネットワークセグメントに属するコンピュータ装置から入力設定及び変更設定可能であり、入力設定及び変更設定されたアクセス制御情報は自機の属するネットワークセグメントのセグメントマスタが保持・管理することを特徴とする請求項9乃至15のいずれか1項に記載のネットワーク間接続/認証方式。

請求項19

前記アクセス制御情報の入力設定又は変更設定時に、接続するネットワークセグメントを特定のネットワークセグメントに限定するように設定可能なことを特徴とする請求項17又は18に記載のネットワーク間接続/認証方式。

請求項20

接続する複数のコンピュータ装置をグループ化した複数のネットワークセグメントからなる広域ネットワークにおいて、第1のネットワークセグメントに属する接続元コンピュータ装置を第2のネットワークセグメントに属する接続先コンピュータ装置に接続するステップと、前記第1のネットワークセグメントにおいて、接続元コンピュータ装置が実行するアプリケーションからそのアプリケーションの識別コードを取り出すステップと、前記アプリケーションから取り出した識別コードを、該第1のネットワークセグメントで保持している、接続先コンピュータ装置に属するデバイスへのアクセスを制限するアクセス制限情報の中のアプリケーションの識別コードと比較するステップと、この比較結果により接続元コンピュータ装置による接続先コンピュータ装置に属するデバイスへのアクセスを行わせるか否かを決定するステップと、前記アプリケーションから取り出した識別コードを、該第2のネットワークセグメントで保持している、接続先コンピュータ装置に属するデバイスへのアクセスを制限するアクセス制限情報の中のアプリケーションの識別コードと比較するステップと、この比較結果により接続元コンピュータ装置による接続先コンピュータ装置に属するデバイスへのアクセスを行わせるか否かを決定するステップと、を含むことを特徴とするアクセス制限方法

技術分野

0001

本発明はコンピュータ装置間通信に関し、特に、広域ネットワークインターネット、LAN(Local Area Network)を含む)において、セグメント間の接続/認証管理技術、異なるセグメントに属するするコンピュータ装置間の接続/認証管理技術及びそれらコンピュータ装置間のアプリケーション単位の接続認証技術に関する。

背景技術

0002

異なるネットワーク、例えば、複数のLAN間を接続するには、ファイヤーウォールルータブリッジ等を用いて接続・設定する方法がある。

0003

また、ネットワーク間での接続設定をさらに個々のコンピュータ装置に対して行うために個々のコンピュータのホスト名を管理する管理接続サーバを設置し、専門家が管理している(例えば、インターネットではDNS(Domain Name System)サーバーがホストの後に部署やサイト名をつけた階層構造ホスト情報アドレス)を管理している)。

0004

上記DNS方式では非正式アドレスに対する接続はできないが、特開平9−252316号公報及び特開平10−13471号公報には異なるネットワークの非正式アドレス端末同士をネットワークを介して接続する技術が.開示されている。

発明が解決しようとする課題

0005

しかしながら、上記、従来の、ファイヤーウォール、ルータ、ブリッジ等を用いて異なるネットワーク間を接続・設定する方法では、グループ毎相互参照を広域ネットワークの設定/管理を専門知識を持たない者(一般的な事務の担当者や管理者等)が管理することは難しく、別途、ネットワークの専門家が設定しなければならないといったネットワーク運用上の問題点があった。

0006

また、上記DNS方式や、上記特開平9−252316号公報及び特開平10−13471号公報に開示された技術のように異なるネットワークの非正式アドレス端末同士をネットワークを介して接続する技術では、異なるネットワークの非正式アドレス端末同士をネットワークを介して接続できるが、一旦接続可能となると、それぞれのネットワークに属する全ての端末が相互にアクセス可能となり、特定の端末同士をアクセス可能とすることができないといった問題点があった。

0007

また、上記いずれの技術でも接続時にアクセス制限を行うことができないので、発信側の端末(コンピュータ装置)と着信側の端末が一旦接続すると、発信側からは着信側端末資源を原則として自由に利用することができ(アクセスフリー)、これを制限するためには別途セキュリテイによるアクセス制限(例えば、登録IDやパスワード等による情報利用制限等)を行なう必要があった。しかし、上記のようなアクセス制限を行っても、一旦発信側端末の登録IDやパスワードが盗用されると他の端末から上記着信側端末の資源へのアクセスを行うことができるといった問題点があった。

0008

上述のように、従来のネットワーク間の端末接続方式では、一旦接続可能となると、それぞれのネットワークに属する全ての端末が相互のアクセス可能となり、資源へのアクセス制限ができないことから、例えば、会計事務所を中心として、複数の顧問先企業を接続した広域ネットワークを構築した場合、あるLANに接続する顧問先企業Aを発信側とし他のLANに接続する顧問先企業Bを着信側とするネットワーク間接続を行うことができ、パスワードがわかれば顧問先企業Aから顧問先企業Bの財務内容を参照できるといった問題があった。

0009

本発明は上記問題点に鑑みてなされたものであり、広域ネットワークの設定/管理をネットワークの専門知識を持っていない事務担当者や管理者が行うことのできるネットワークシステム、ネットワーク間接続/認証方式及びインターネットやLANを含む広域ネットワークに属するコンピュータ装置相互の接続時にアクセス制限を行うことのできるアクセス制限方法の提供を目的とする。

課題を解決するための手段

0010

上記課題を解決するために、第1の発明のネットワークシステムは、少なくとも1台のコンピュータ装置が属するネットワークセグメントを複数含む広域ネットワークにおいて、各ネットワークセグメントは、それぞれのネットワークセグメントに属するコンピュータ装置の中で、ネットワークセグメント及びコンピュータ装置の識別情報を含むネットワーク情報とネットワークの接続時にコンピュータ装置間のアクセス制御を行うアクセス制御情報とを保持・管理する1台のセグメントマスタをそれぞれ備え、ネットワークセグメントに属する第1のコンピュータ装置と他のネットワークセグメントに属する第2のコンピュータ装置との接続時に、第1のコンピュータ装置は、自機の属するネットワークセグメントの第1のセグメントマスタからネットワーク情報を取得し、第2のコンピュータ装置に係るネットワーク情報を抽出し、この抽出したネットワーク情報を基に第1のセグメントマスタから自機及び第2のコンピュータ装置に係る接続認証用情報を取得して第2のコンピュータ装置に送信し、第2のコンピュータ装置は、第1のコンピュータ装置から送信される接続認証用情報を受信すると、受信した該接続認証情報を自機の属するネットワークセグメントの第2のセグメントマスタに渡して認証を求め、第2のセグメントマスタによる認証を得て、第1のコンピュータ装置とのネットワーク接続を有効とする、ことを特徴とする。

0011

また、第2の発明は上記第1の発明のネットワークシステムにおいて、第2のセグメントマスタは、第2のコンピュータ装置から接続認証用情報を受け取ると、その接続認証用情報と第2のセグメントマスタが保持しているアクセス制御情報の中の前記第1及び第2のコンピュータ装置に係る接続認証用情報とを比較し、両者が一致した場合に第2のコンピュータ装置から受け取った接続認証用情報を認証することを特徴とする。

0012

また、第3の発明は上記第1及び第2の発明のネットワークシステムにおいて、アクセス制御情報及び接続認証用情報は、第1のコンピュータ装置による第2のコンピュータ装置に属するデバイスへのアクセスを制限するアクセス制限情報を含むことを特徴とする。

0013

また、第4の発明は上記第3の発明のネットワークシステムにおいて、アクセス制限情報は前記第1のコンピュータが実行するアプリケーション単位に設けられていることを特徴とする。

0014

また、第5の発明は上記第1の発明のネットワークシステムにおいて、同一ネットワークセグメント内では、セグメントマスタが該ネットワークセグメント内のネットワーク情報にかかわる更新情報収集して自機が保持・管理するネットワーク情報を更新し、外部ネットワークセグメント間では、第1のコンピュータ装置と第2のコンピュータ装置の接続認証時に第1のセグメントマスタと第2のセグメントマスタが保持するネットワーク情報を受け取って交換し、交換したネットワーク情報を前記第1のセグメントマスタと第2のセグメントマスタに渡し、第1のセグメントマスタと前記第2のセグメントマスタは受け取ったネットワーク情報で自機の保持・管理するネットワーク情報をそれぞれ更新することを特徴とする。

0015

また、第6の発明は上記第1乃至第5のいずれかの発明のネットワークシステムにおいて、ネットワーク情報は各コンピュータ装置特有バージョン情報を含むことを特徴とする。

0016

また、第7の発明は上記第1乃至第6のいずれかの発明のネットワークシステムにおいて、ネットワーク情報及び接続認証用情報は、第1のコンピュータ装置と第2のコンピュータ装置との接続認証時に暗号化され、相手側コンピュータ装置に送信されることを特徴とする請求項1乃至6記載のネットワークシステム。

0017

また、第8の発明のネットワーク間接続/認証方式は、ネットワークシステムにおいて、広域ネットワークに接続する複数のコンピュータ装置をグループ化したネットワークセグメント間で、接続認証を行った後、各ネットワークセグメントを識別する識別子を含むネットワーク情報を交換することを特徴とする。

0018

また、第9の発明のネットワーク間接続/認証方式は、広域ネットワークに接続する複数のコンピュータ装置をグループ化したネットワークセグメントを設定し、各ネットワークセグメントを識別する識別子を含むネットワーク情報を用いてネットワークセグメント間の接続を行い、各ネットワークセグメントは各コンピュータ装置間のアクセス制御を行うアクセス制御情報を備え、ネットワークセグメント間の接続時にこのアクセス制御情報から接続元コンピュータ装置及び接続先コンピュータ装置に係る接続認証用情報を抽出し、この接続認証用情報と接続先のコンピュータ装置が属するネットワークセグメントに備えられたアクセス制御情報の中の接続元コンピュータ装置及び接続先コンピュータ装置に係る接続認証用情報とを比較し、両者が一致した場合に接続元コンピュータ装置と接続先装置との接続を有効とすることを特徴とする。

0019

また、第10の発明は上記第9の発明のネットワーク間接続/認証方式において、ネットワークセグメント間の接続時に、接続元コンピュータ装置及び接続先コンピュータ装置に係る接続認証用情報に基づいてアプリケーション単位での接続、認証を行うことを特徴とする。

0020

また、第11の発明は上記第9の発明のネットワーク間接続/認証方式において、ネットワーク情報及び接続認証用情報は、ネットワークセグメントを識別するセグメント識別子、セグメント内のコンピュータ装置を識別するLANアドレス、IPアドレス及びコンピュータ装置固有のバージョン情報を含むことを特徴とする。

0021

また、第12の発明は上記第9乃至第11のいずれかの発明のネットワーク間接続/認証方式において、アクセス制御情報及び接続認証情報は、公開元情報及び公開先情報を含み、公開先情報は公開先のコンピュータ装置が属するセグメント識別子、セグメント内で該コンピュータ装置を識別するLANアドレス及びセキュリテイ情報からなり、ネットワークセグメント間の接続時に行うコンピュータ装置の接続認証は、接続元コンピュータ装置の属するネットワークセグメント内で行う該接続元コンピュータ装置のセグメント識別子、LANアドレス及びセキュリテイ情報と前記公開先情報との比較結果が一致し、且つ、接続先コンピュータ装置の属するネットワークセグメント内で行う該接続元コンピュータ装置のセグメント識別子、LANアドレス及びセキュリテイ情報と公開先情報との比較結果が一致した場合、に行われることを特徴とする。

0022

また、第13の発明は上記第9乃至第11のいずれかの発明のネットワーク間接続/認証方式において、アクセス制御情報及び接続認証用情報は、公開元情報及び公開先情報を含み、公開元情報は公開元のコンピュータ装置が属するセグメント識別子、セグメント内で該コンピュータ装置を識別するLANアドレス、及び接続元に公開する公開情報からなり、公開情報は前記接続元のコンピュータ装置による接続先のコンピュータ装置に属するデバイスへのアクセスを制限するアクセス制限情報を含み、ネットワークセグメント間の接続時に行う接続先コンピュータ装置へのアクセスは、接続元コンピュータ装置の属するネットワークセグメント内で行う該接続先コンピュータ装置のセグメント識別子、LANアドレス、アクセス制限情報と公開元情報中の接続先コンピュータ装置のセグメント識別子、LANアドレス、アクセス制限情報との比較結果が一致し、且つ、接続先コンピュータ装置の属するネットワークセグメント内で行う該接続先コンピュータ装置のセグメント識別子、LANアドレス及びセキュリテイ情報と公開元情報の中の接続先コンピュータ装置のセグメント識別子、LANアドレス、アクセス制限情報との比較結果が一致した場合、に行われることを特徴とする。

0023

また、第14の発明は上記第13の発明のネットワーク間接続/認証方式において、アクセス制限情報は、アプリケーションに対応付けられたアプリケーション識別コード、該アプリケーションによってアクセス可能なデバイス情報を含むことを特徴とする。

0024

また、第15の発明は上記第9乃至第14のいずれかの発明のネットワーク間接続/認証方式において、各ネットワークセグメントは、それぞれのネットワークに属するコンピュータ装置のうちの1つの装置からなるセグメントマスタを備え、該セグメントマスタは前記ネットワーク情報及び前記アクセス制御情報を保持・管理すると共に、異なるネットワークセグメントに属するコンピュータ装置間の接続認証時に、自機の属するネットワークセグメントのコンピュータ装置が接続元の場合には、該接続元コンピュータ装置から該接続元コンピュータ装置及び接続先コンピュータ装置に係る接続認証用情報取得要求があると、自機が保持しているアクセス制御情報からその接続元コンピュータ装置及び接続先コンピュータ装置に係る接続認証用情報を抽出して自機が保持しているネットワーク情報と共に前記接続元コンピュータ装置に渡し、自機の属するネットワークセグメントのコンピュータ装置が接続先の場合には、該接続先コンピュータ装置から前記接続元コンピュータ装置から受信した接続認証用情報の認証要求があると、該接続先コンピュータ装置から接続認証用情報を受け取り、受け取った接続認証用情報と自機が保持している接続元コンピュータ装置及び接続先コンピュータ装置に係る接続認証用情報を比較し、認証結果及び自機が保持しているネットワーク情報を接続先コンピュータ装置に渡す、ことを特徴とする。

0025

また、第16の発明は上記第9乃至第15のいずれかの発明のネットワーク間接続/認証方式において、ネットワーク情報及び接続認証用情報は、異なるネットワークセグメントに属するコンピュータ装置間の接続認証時に暗号化され、相手側コンピュータ装置に送信されることを特徴とする。

0026

また、第17の発明は上記第9乃至第15のいずれかの発明のネットワーク間接続/認証方式において、アクセス制御情報は、セグメントマスタから入力設定及び変更設定し、設定されたアクセス制御情報は自機の属するネットワークセグメントのセグメントマスタのみが保持・管理することを特徴とする。

0027

また、第18の発明は上記第9乃至15のいずれかの発明のネットワーク間接続/認証方式において、アクセス制御情報は、各ネットワークセグメントに属するコンピュータ装置から入力設定及び変更設定可能であり、入力設定及び変更設定されたアクセス制限情報は自機の属するネットワークセグメントのセグメントマスタが保持・管理することを特徴とする。

0028

また、第19の発明は上記第17又は第18の発明のネットワーク間接続/認証方式において、アクセス制御情報の入力設定又は変更設定時に接続するネットワークセグメントを特定のネットワークセグメントに限定するように設定可能なことを特徴とする。

0029

また、第20の発明のアクセス制限方法は、接続する複数のコンピュータ装置をグループ化した複数のネットワークセグメントからなる広域ネットワークにおいて、第1のネットワークセグメントに属する接続元コンピュータ装置を第2のネットワークセグメントに属する接続先コンピュータ装置に接続するステップと、第1のネットワークセグメントにおいて、接続元コンピュータ装置が実行するアプリケーションからそのアプリケーションの識別コードを取り出すステップと、アプリケーションから取り出した識別コードを、該第1のネットワークセグメントで保持している、接続先コンピュータ装置に属するデバイスへのアクセスを制限するアクセス制限情報の中のアプリケーションの識別コードと比較するステップと、この比較結果により接続元コンピュータ装置による接続先コンピュータ装置に属するデバイスへのアクセスを行わせるか否かを決定するステップと、アプリケーションから取り出した識別コードを、該第2のネットワークセグメントで保持している、接続先コンピュータ装置に属するデバイスへのアクセスを制限するアクセス制限情報の中のアプリケーションの識別コードと比較するステップと、この比較結果により接続元コンピュータ装置による接続先コンピュータ装置に属するデバイスへのアクセスを行わせるか否かを決定するステップと、を含むことを特徴とする。

発明を実施するための最良の形態

0030

[発明の概要]本発明は下記の3発明を含んでいる。
インターネットやLANを含む広域ネットワークにおいて、接続するコンピュータ端末(複数)をグループ化してセグメント単位で接続/認証管理を行なう方式、
上記のグループ間での接続時に個々のコンピュータ装置(コンピュータ端末)毎に接続/認証管理を行う方式、
上記、の接続時に個々のコンピュータ装置についてアプリケーション単位での接続/認証を行ってアクセス制限をなすアクセス制限方法。

0031

本発明では、下記に述べるように、各ネットワークセグメントに属するコンピュータ装置はNIF(ネットワーク情報)の交換によりネットワークセグメント間での接続が可能となるが、NIFの交換は各セグメント毎に設けられているセグメントマスタによって制御される。

0032

1.ネットワークセグメント
本発明ではTA(Terminal Adapter)やルータで区切られたネットワークの範囲をネットワークセグメント(又は、単に、セグメント)と呼ぶ。ネットワークセグメントは本発明における仮想的な管理単位であり、同一セグメント内に従来のLAN単位を複数(TAやルータを複数)含めることもできる。また、各セグメントはセグメントIDによって識別することができる。セグメントIDは各ネットワークセグメント固有の識別子であり、例えば、0000〜9999までの4桁の整数を用いることができる(4桁の整数に限定されない)。

0033

2.セグメントマスタ
また、各セグメントにはNIF及びアクセス制限情報(ネットワークアクセス情報(後述))を管理するセグメントマスタと呼ぶサーバーを1台設定する。各セグメントマスタは自機と同じセグメントに属するコンピュータ装置から認証用データアクセス制御データ取得要求があると、NIF及びアクセス制限情報から認証用データを構成して当該コンピュータ装置に渡す。また、自機と同じセグメントに属するコンピュータ装置から他のセグメントのコンピュータ装置の認証要求(他のセグメントのコンピュータから受け取った認証用データが渡される)があると認証処理を行う。

0034

図1は、広域ネットワークを構成するネットワークセグメント及びセグメントマスタによるNIF(ネットワーク情報)交換の説明図である。図1の例では、広域ネットワーク5で、セグメントID=0001のネットワークセグメント1はセグメントマスタSm及び4台のコンピュータ端末Ws、セグメントID=0002のネットワークセグメント2はセグメントマスタSm及び1台のコンピュータ端末Ws、セグメントID=0003のネットワークセグメント3はセグメントマスタSm(兼コンピュータ端末)からなっている。

0035

3.ネットワーク情報
図2は、本発明で用いるネットワーク情報(以下、NIF(Network Information File)と記す)の一実施例の構成を示す図である。ネットワークに属するコンピュータ装置がアプリケーション実行時に他のネットワークに属するコンピュータ装置にLAN接続しようとする場合には、着信側のネットワークの情報を必要とする。本発明ではこのネットワーク情報をNIFと呼ぶ。NIFには本発明のネットワーク間接続/認証方式下のコンピュータ装置の台数分のレコードが登録されており、発信側のコンピュータ装置はアプリケーションの実行によるネットワーク接続時にNIFを見て着信側のネットワーク(着信側が同一ネットワークにある場合はそのネットワーク)にはどのようなマシン(コンピュータ装置)が何台接続されているかを認識することができる。また、NIFには図1に示すように相手マシン(着信側コンピュータ装置)と接続するときに必要なIPアドレス(IP-Address)やそのマシン独自の情報が登録されており、本発明はこのNIFの取得制限を行うことにより相手マシンとの接続を制限する。

0036

図2で、NIF20はセグメントID21(後述)、セグメント名称22、LANアドレス23、マシン名称24、電源オンオフ情報)25、サーバーかワークステーションかの別を示すSv/Ws26、装置がセグメントマスタの場合オン(値=1)となるセグメントマスタフラグ27、機種情報28、IPアドレス29からなる複数のレコード(本発明のネットワーク間接続/認証方式下のコンピュータ装置の台数分のレコード)からなっている。なお、上記符号23の「LANアドレス」はセグメント内のマシン(コンピュータ装置)を識別するための各マシンに固有の識別子であり、例えば、0000〜9999までの4桁の整数を用いることができる(4桁の整数に限定されない)。また、NIF20にOSのバージョン情報を登録するようにしてもよい。

0037

つまり、NIF20には接続に必要なIPアドレスのほかにコンピュータ装置が特定のアプリケーションを実行するために必要な固有の情報(例えば、会計事務所に設置された監査用会計処理装置とネットワークを介して接続可能な顧問先会計処理装置との間で会計システムを実行するために必要なOS情報やマシン構成等)を登録することができる。また、各セグメントマスタの保存メモリに保存されているNIFは、セグメントマスタが起動されると保存メモリから作業メモリに読み出される。セグメントマスタは後述のLANリソース情報図6)及びネットワークアクセス情報(図8)の設定入力がなされるとそれらから必要情報を抽出してNIFを生成する。また、同じセグメントに属するコンピュータ装置が接続認証動作時に他のセグメントのコンピュータ装置(接続相手)から受け取ったNIFの収集を行い作業メモリ上のNIF(ダイナミックNIF)を更新する。また、同じセグメントに属するコンピュータ装置のOSや機器等のバージョン変更があると最新情報を収集して作業メモリ上のNIF(ダイナミックNIF)を更新する。また、ダイナミックNIFはセグメントマスタの電源切断時に(電源投入時には定期的に)保存メモリに格納されているNIFに上書きされる。

0038

[LAN接続時の動作概要]図3はアプリケーション実行時に先だって行われるLAN接続動作時の動作概要を示すプロセスチャートである(詳細な処理の流れに付いては図13図16ののフローチャート参照)。

0039

プロセスP1:(発信側(接続元)の接続時認証)
先ず、アプリケーションを実行しようとするコンピュータ装置(発信側マシン(接続元マシン=公開先マシン))は自機の属するセグメントのセグメントマスタから、自機が実行しようとするアプリケーションを実行可能な着信マシン候補のレコードを抽出して一覧表示する。ユーザが表示された着信マシン候補から着信マシンを選ぶと、選択された着信マシンが発信側セグメント(自機の属するセグメント)とは異なるセグメントに属している場合にはP2に遷移する。また、選択された着信マシンが発信側セグメントと同一のセグメントに属している場合にはセグメント内のファイルアクセスを開始する(図13)。

0040

プロセスP2:(発信側セグメントマスタからの認証用データ等の取得)
発信マシンは発信側セグメントから認証用データ(ユーザコード認証コード、公開元(着信側)情報(セグメントID/LANアドレス)、公開先(発信側)情報(セグメントID/LANアドレス)、アクセス制限情報(アプリケーションのジョブ番号、アクセスするファイルパスアクセス権等)及びNIFを取得する。

0041

プロセスP3:(着信側(接続先)の接続時認証)
発信マシン(接続元マシン=公開元マシン)は上記プロセスP2で取得した認証用データを着信マシンに送信する(図13)。認証用データを受信した着信マシンはそれを着信側のセグメントマスタに復号済み認証用データを送って認証処理を依頼する(図15)。

0042

プロセスP4:(着信側セグメントマスタによる認証処理)
着信側セグメントマスタは着信マシンから受け取った認証用データを用いて認証処理を行い、認証結果を着信マシンに通知する(図16)。

0043

プロセスP5:(着信側から発信側への認証結果通知等)
着信側セグメントマスタから認証結果を受け取った着信マシンは認証結果及びNIFを発信マシンに送信する。発信マシンは受け取った認証結果を調べ、それが「認証成功」の場合にはアプリケーションによるファイル操作を開始する(図15)。

0044

プロセスP6:(発信マシンのファイルアクセス開始)
着信側装置から受信した認証結果が「認証成功」の場合は発信マシンはアプリケーションによるファイルアクセスを開始する。また、「認証失敗」の場合はエラー処理を行う(図13)。

0045

[ハードウエア構成例]図4は、本発明を適用可能なコンピュータ装置の一実施例の構成を示すブロック図であり、コンピュータ装置200はデータ入力部10、制御部12、作業メモリ13、表示部14、ネットワーク接続制御部15、受信部16、送信部17、保存メモリ18および印刷出力部(プリンタ)19を備えている。なお、符号11はデータ入力部10の一部機能(指示(ポイント)機能)を代わって実行するポインティングデバイス(例えば、マウス)11を意味する。

0046

制御部12はCPU、プログラム格納メモリ、RAM及びクロック等の周辺回路からなるプロセッサ構成をなし、コンピュータ装置200全体の動作を制御する。

0047

作業メモリ13はDRAM等の揮発性メモリからなり、作業用領域として用いられる他、NIFを記憶することができる。表示部14は表示画面を備え、制御部12の制御下でネットワーク接続時に行われる相手マシン選択のためのNIFの表示やアプリケーションプログラムによる各種データやメッセージアイコン等を表示する。

0048

また、ネットワーク接続制御部15は通信制御プログラム及び本発明のネットワーク間接続/認証プログラム及び暗号化モジュールによって構成され、制御部12の制御下で受信部16及び送信部17の動作を制御すると共にネットワークとの通信プロトコル確立及び本発明に基づくネットワーク間接続/認証方式によるLAN間接続及び認証処理を実行する。

0049

保存メモリ18は磁気ディスク光ディスク、又はフラッシュメモリ等の書き換え可能な保存メモリからなり、各種ファイル保存記憶する。なお、コンピュータ装置がセグメントマスタの場合には、NIFを保存する。

0050

なお、本発明を適用可能なコンピュータ装置は上記図4の構成に限定されない。つまり、通信機能を備えたコンピュータ応用装置であればよく、例えば、会計事務所の監査用に構成された監査用会計処理装置や顧問先の会計処理用に構成された顧問先会計処理装置のように特定応用分野用の専用機でもよく、また、それら会計処理装置をサーバーとするワークステーションでもよく、通信機能を備えたパーソナルコンピュータでもよい。また、セグメントマスタ以外のマシンであればモバイル携帯電話等の情報端末でもよい(以下、上述したコンピュータ装置等を単に、マシンと記す)。

0051

[ネットワーク情報の管理方法]本発明のネットワーク間接続/認証方式では、ネットワーク情報の管理は次の二つの階層によって行われる。
I:ネットワークセグメント内のNIF管理
II: 複数のネットワークセグメント間のNIF管理
つまり、それぞれのネットワークセグメント内でNIFを管理して、そのNIFをネットワークセグメント同士で交換し、セグメント内に存在するマシン情報機種やOSのバージョン変更情報等)や接続認証時に他セグメントのマシンから取得したNIFはセグメントマスタが他マシンからそれらを収集してセグメントマスタのNIFを自動的に更新し、管理する。また、他セグメントとNIFを交換する場合には、盗聴改竄を防止するためにソフトウエア又はハードウエアによる暗号化手段を用いて暗号化して接続相手に送信し、受信側では暗号化されたNIFを復号して用いる。また、他セグメントとNIFを交換する場合にはネットワークアクセス情報(詳細は後述)を基に、相手セグメントに応じて交換する情報の制限(アクセス制限)を行う。

0052

ネットワークアクセス情報は、「どこのマシンからどこのマシンにどのアプリケーションで接続するか」、を示す情報を設定したレコードからなるファイルであり、ネットワークマスタによって一括管理される。つまり、ネットワークアクセス情報には「どのマシン同士を接続するか」という情報(例えば、IPアドレス)だけでなく、「どのアプリケーションで接続するか」も設定する。また、接続時に発信側のセグメントマスタのネットワークアクセス情報と着信側のネットワークアクセス情報の両方が一致して初めて接続可能となる。すなわち、接続には発信側と着信側の双方の一致が必要となっており、一方がネットワークアクセス情報を満足するだけでは接続することはできない(但し、一方のセグメントが接続を全面的に開放している場合(一方のみアクセス制限なしの場合)には、他の一方のセグメントがネットワークアクセス情報を満たしていれば接続することができる)。

0053

[設定例]本実施例では、NIFは前述したように、入力設定されるネットワークセグメント内のLANリソース情報とセグメントマスタに保持・管理されているネットワークアクセス情報から必要情報を抽出して生成される。また、セグメントマスタは各マシンのバージョン情報(機種やOSバージョン等)や各マシンが接続認証の際に他のマシンから受け取ったNIFを収集してNIFを更新する。

0054

1.ネットワークセグメント内のLANリソース情報の設定例
LANリソース情報は図6に示すようにセグメントマスタとそのセグメントに属するマシンの関係を規定する情報からなり、ネットワークセグメントの設定時又は設定済みのネットワークセグメントにマシンを追加する場合に各マシンにより設定入力される。なお、LANリソース情報をセグメントマスタで一括して設定入力するように構成してもよい。

0055

図5は、広域ネットワークの一実施例をなす会計処理LANの構成例を示す図であり、図6は、図5の各会計処理LAN(セグメント)内の各マシンによって設定されたLANリソース情報の説明図である。

0056

図5(a)は会計事務所(「デジタル会計」内に設置された監査用会計処理装置と2台のワークステーションから構成されたLANからなるセグメント(セグメントID=0001)を示し、セグメントマスタはLANアドレス「9000」の監査用会計処理装置である。また、図5(b)は顧問先Aに設置された1台の会計処理装置とワークステーションから構成されたLANからなるセグメント(セグメントID=0002)を示し、セグメントマスタはLANアドレス「8001」の会計処理装置である。また、図5(c)は顧問先Bに設置された1台の会計処理装置からなるセグメント(セグメントID=0003)を示し、このLANアドレス「8000」の会計処理装置はセグメントマスタを兼ねている。

0057

また、図6(a)は会計事務所内に設置されたセグメント(セグメントID=0001)の各マシンで設定入力したLANリソース情報を示し、セグメントマスタ(サーバー)として登録された監査用会計処理装置(LANアドレス「9000」)のLANリソース情報61−1と、LANアドレス「1001」、「1002」の2台のワークステーションのLANリソース情報61−2、61−3が示されている。また、図6(b)は顧問先Aに設置されたセグメント(セグメントID=0002)の各マシンで設定入力したLANリソース情報を示し、セグメントマスタ(サーバー)として登録されたワークステーション(LANアドレス「8001」)のLANリソース情報62−1と、LANアドレス「2001」の1台のワークステーションのLANリソース情報62−2が示されている。また、図6(c)は顧問先Bに設置されたセグメント(セグメントID=0003)のセグメントマスタ(サーバー)の各マシンで設定入力したLANリソース情報を示し、セグメントマスタ(サーバー)として登録されたワークステーション(LANアドレス「8000」)のLANリソース情報63−1が示されている。なお、上記図6で、本体LANアドレス、サーバーLANアドレス、及びマシンがサーバーかワークステーションかの別を示すServer/WS及びマシン名称は設定時にそれぞれユーザによって手動入力される項目であり、マシンがセグメントマスタの場合オン(値=1)となるセグメントマスタフラグ、セグメントID及びセグメント名称は本体LANアドレス〜マシン名称が手動入力されると各マシンにインストールされているLANリソース情報設定プログラムにより自動的に設定される。

0058

(ネットワークアクセス情報)図7は上記図5で示した各セグメントの接続例を示す図であり、図8は各セグメントマスタに設定したネットワークアクセス情報80の一実施例を示す図である。

0059

図7で、会計事務所に構成されたLANからなるセグメント(セグメントID=0001)は顧問先Aに設置されたLANからなるセグメント(セグメントID=0002)及び顧問先Bに設置されたセグメント(セグメントID=0003)の両者と接続している。また、この例では会計事務所のセグメント(セグメントID=0001)と顧問先Aのセグメント(セグメントID=0002)は相互に接続しているが、会計事務所のセグメント(セグメントID=0001)顧問先Bのセグメント(セグメントID=0002)とは顧問先Bのセグメントからは接続できるが、会計事務所のセグメントからは接続はできない。また、顧問先Aのセグメント(セグメントID=0002)と顧問先Bのセグメント(セグメントID=0003)のセグメントとは接続することができず、顧問先Aから顧問先Bのデータを参照したり、顧問先Bから顧問先Aのデータを参照したりすることができないように構成(アクセス制限)されている。なお、これら各セグメント間のアクセス制限は図8に示すようなネットワークアクセス情報により決定される。なお、ネットワークアクセス情報は図8に示すように公開元(着信側)のセグメントIDとLANアドレス、マシン名称及び公開情報(公開資源、IPアドレス及びセグメント名称)と、この公開元と接続可能な公開先(送信側)のセグメントIDとLANアドレス、ユーザコード、認証コードからなっている。また、ネットワークアクセス情報は実施例ではユーザがセグメントマスタのデータ入力部から入力設定及び変更設定し、入力設定及び変更設定されたアクセス制限情報はセグメントマスタのみに保存され管理されている。なお、ネットワークアクセス情報の設定及び設定変更はセグメントマスタから入力する方式に限定されない。つまり、ネットワークアクセス情報をネットワークセグメントに属するマシンから入力設定及び変更設定可能に構成し、入力設定及び変更設定されたネットワークアクセス情報をセグメントマスタが収集(或いはネットワークセグメントに属するマシンとの接続時に受け取って)、セグメントマスタに保存・管理するように構成してもよく、また、ネットワークセグメントに属するマシン又はセグメントマシンのいずれからでも設定又は設定変更可能に構成してもよい。

0060

また、会計事務所と複数の顧問先からなる広域ネットワークにおいては、会計事務所のネットワークセグメントからは各顧問先のネットワークセグメントと接続できるが、各顧問先ネットワークセグメントからは会計事務所のネットワークセグメントだけに接続できればよく、顧問先のネットワークセグメント同士が接続アクセス可能となることは誤り或いは禁止事項となる。そこで、上記入力設定または変更設定の場合にセグメントを1つまたは予め決定された数だけしか設定できないように制限できるようにしてもよい。

0061

図8(a)は顧問先Aのセグメントマスタに設定されたネットワークアクセス情報80−1を示す。レコードには公開元(着信側)情報として、マシン「0001−9000」(会計事務所のセグメントマスタ(サーバ(監査用会計処理装置))のセグメントIDとLANアドレス、マシン名称及び公開情報が登録され、公開先(送信側)情報として、マシン「0002−2001」(顧問先Aのワークステーション)のセグメントIDとLANアドレス、ユーザコード、認証コードが登録されている。また、レコードには公開元(着信側)情報として、マシン「0002−8001」(顧問先Aのセグメントマスタ(サーバ:会計処理装置))のセグメントIDとLANアドレス、マシン名称及び公開情報が登録され、公開先(送信側)情報として、マシン「0001−9000」(会計事務所のセグメントマスタ(サーバ:監査用会計処理装置))のセグメントIDとLANアドレス、ユーザコード、認証コードが登録されている。ここで、ユーザコードはマシンのインストール時にインストールプログラムによりユーザが設定するユーザ識別コードであり、認証データはマシンに対して割り当てられている固有の識別コード(ユーザによる参照及び更新不可)である。ここで、顧問先Aのマシンから会計事務所(「デジタル会計」)のマシンに接続して資源を利用する手順(詳しい手順は図13図16のフローチャート参照)を示すと、
i:まず、会計事務所のネットワークアクセス情報はレコードに登録されているので、レコードの公開先情報に顧問先Aのマシンが登録されていれば会計事務所の公開資源(この例では”DISK”(後述))が利用可能となる。
ii:また、接続時に、会計事務所のマシン側でも公開先に顧問先Aのマシンが登録されているか否かを確認し、登録されている場合は公開先のユーザコード及び認証コードを基に接続時認証を行う。また、パスワードが設定してある場合にはパスワードによる認証も行う。
iii:接続時認証が正常に終了してから公開資源へのアクセスが行われる。

0062

つまり、図8(a)の例ではレコードの公開元である会計事務所のサーバに対応する公開先に顧問先Aのマシン(ワークステーション「2001」)が登録されており、また、レコードの公開元である顧問先Aのサーバに対応する公開先に会計事務所のマシン(サーバ)が登録されているので、顧問先Aのワークステーション「2001」は会計事務所のサーバに接続しその公開資源を利用することができるし、会計事務所のサーバから顧問先Aのサーバ「8001」に接続することができる。

0063

図8(b)は顧問先Bのセグメントマスタに設定されたネットワークアクセス情報80−2を示す。レコードには公開元(着信側)情報として、マシン「0001−9000」(会計事務所のセグメントマスタ(サーバ(監査用会計処理装置))のセグメントIDとLANアドレス、マシン名称及び公開情報が登録され、公開先(送信側)情報として、マシン「0003−8000」(顧問先Bのサーバ(会計処理装置))のセグメントIDとLANアドレス、ユーザコード、認証コードが登録されている。

0064

また、顧問先Bのマシンから会計事務所(「デジタル会計」)のマシンに接続して資源を利用する手順は上記図8(a)で述べた顧問先Aのマシンからの接続手順と同様である。しかし、図8(b)の例ではレコードの公開元である会計事務所のサーバに対応する公開先に顧問先Aのマシン(ワークステーション「2001」)が登録されており、また、レコードの公開元である顧問先Aのサーバに対応する公開先に会計事務所のマシン(サーバ)が登録されているので、顧問先Aのワークステーション「2001」は会計事務所のサーバに接続しその公開資源を利用することができるが、会計事務所のサーバと顧問先Aのマシンとのネットワークアクセス情報が登録されていないので、会計事務所からはサーバ「8001」に接続することができない。

0065

図8(c)は会計事務所(「デジタル会計」)のセグメントマスタに設定されたネットワークアクセス情報80−3を示す。レコードには公開元(着信側)情報として、マシン「0001−9000」(会計事務所のセグメントマスタ(サーバ(監査用会計処理装置))のセグメントIDとLANアドレス、マシン名称及び公開情報が登録され、公開先(送信側)情報として、マシン「0002」、LANアドレス「2001」(顧問先Aのワークステーション)のセグメントIDとLANアドレス、ユーザコード、認証コードが登録されている。また、レコードには公開元(着信側)情報として、マシン「0001−9000」(会計事務所のセグメントマスタ)のセグメントIDとLANアドレス、マシン名称及び公開情報が登録され、公開先(送信側)情報として、マシン「0003−8000」(顧問先Bのサーバ(会計処理装置)のセグメントIDとLANアドレス、ユーザコード、認証コードが登録されている。また、レコードには公開元(着信側)情報として、マシン「0002−8001」(顧問先Aのセグメントマスタ(サーバ:会計処理装置))のセグメントIDとLANアドレス、マシン名称及び公開情報が登録され、公開先(送信側)情報として、マシン「0001−9000」(会計事務所のセグメントマスタ(サーバ:監査用会計処理装置))のセグメントIDとLANアドレス、ユーザコード、認証コードが登録されている。ここで、会計事務所(「デジタル会計」)のマシンから顧問先に接続して資源を利用する手順を示すと、
i:まず、顧問先Aのネットワークアクセス情報はレコードに登録されているので、レコードの公開先情報に会計事務所のマシンが登録されていれば顧問先Aの公開資源(この例では”DISK”(後述))が利用可能となる。
ii:また、接続時に、顧問先Aのマシン側でも公開先に会計事務所のマシンが登録されているか否かを確認し、登録されている場合は公開先のユーザコード及び認証コードを基に接続時認証を行う。また、パスワードが設定してある場合にはパスワードによる認証も行う。

0066

iii:接続時認証が正常に終了すると(つまり、接続認証がなされると)公開資源(デバイス)へのアクセスが行われる。

0067

また、上記図8の例では、顧問先Aを公開元(又は公開先)として顧問先Bを公開先(又は公開元)として対応付けたネットワークアクセス設定がなされていないので、顧問先Aと顧問先Bが接続することはない。また、会計事務所のワークステーション「1001」、「1002」についても顧問先A又は顧問先Bと関連付けたネットワークアクセス設定がなされていないので、ワークステーション「1001」、「1002」は会計事務所内のLAN接続のみ可能であり、外部セグメントとの接続はできない。

0068

(ジョブ番号)図9はジョブ番号の一実施例を示す図であり、ジョブ番号90はアプリケーションを識別するための各アプリケーションに固有の識別子であり、実施例では図示のように0001〜9999までの4桁の整数を用い、アプリケーション名称に対応させてオブジェクトプログラムに記入され、また、アクセス制限情報(ネットワークアクセス情報80の公開情報(デバイス)のアクセス情報として登録されている(なお、ジョブ番号は4桁の整数に限定されない)。

0069

(アクセス制限情報)アクセス制限情報はセグメントマスタに設定してあるネットワークアクセス情報中の公開情報の公開資源情報からなり、公開先は接続後、アクセス制限情報に設定されたアプリケーション及び資源のみ利用できる(つまり、その他のアプリケーション及び資源はアクセスできない)。なお、全ての資源を利用可能なアクセスフリーに設定することもできる。

0070

図8の例で説明すると、ネットワークアクセス情報80−1は公開資源情報を含んでいる。ここで、公開資源情報はアクセスできるファイルパスとアクセス権及びアプリケーションを制限するアクセス制限情報100であり(図10(b)、図11(b))、公開資源=”xxxx”なる標記は、xxxxで示すデバイスに対するアクセスが可能であることを意味する。例えば、”DISK”はHD(磁気デイスク)やMO(光磁気デイスク)、FDフロッピデイスク、CD等の保存記憶デバイスを意味し、公開資源=”DISK”は保存記憶デバイスに対するアクセスが可能であること(つまり、保存記憶デバイスのファイルに対するアクセスが可能であることとする)を意味する。また、公開資源=”LIST”はプリンタ等の出力デバイスに対するアクセス(つまり、出力が可能であること)を意味する。また、公開資源=”RDR”は読取り装置等の入力デバイスに対するアクセスが可能であること(つまり,入力可能であること)を意味する。また、公開資源情報によってアクセス制限されるデバイスはこれらのデバイスに限定されない。また、公開資源=”xxxx”なる標記によって示されるデバイスによるアクセスの対象となるファイルはファイルパス及びアプリケーションによって規定される。なお、アプリケーションは図9に示したようなジョブ番号(JOB NO.)で識別される。

0071

(アクセス制限情報の設定例)図10はアクセス制限情報の一実施例(公開資源情報の設定例)を示す図であり、図10(a)は会計事務所(「デジタル会計」)のセグメントマスタに設定してあるネットワークアクセス情報80−2を示し、図10(b)はその公開情報中の公開資源情報(アクセス制限情報)100の設定例を示す。図10(b)で、会計事務所のセグメントマスタのネットワークアクセス情報80中の公開資源情報には、会計事務所サーバ(監査用会計事務処理装置)が顧問先Aのサーバに公開するデバイス(”DISK”)のアクセス制限情報(JOB−NO.、アプリケーション名称、ファイルパス(デイレクトリィ)、アクセス権)が登録されており、このアクセス制限情報により、公開先はアクセス制限情報に登録された情報以外はその装置のデバイスにアクセスできないという意味でのアクセス制限が行われる。

0072

図11はアクセス制限情報100’の一実施例を示す図であり、図11(a)は顧問先Aのセグメントマスタに設定してあるネットワークアクセス情報80’を示し、図11(b)はその公開情報中の公開資源情報(アクセス制限情報)の設定例を示す。図11(b)で、顧問先Aのセグメントマスタのネットワークアクセス情報中のアクセス制限情報には、会計事務所サーバ(監査用会計事務処理装置)が顧問先Aのサーバに公開するデバイス(”DISK”)のアクセス制限情報(JOB−NO.、アプリケーション名称、ファイルパス(デイレクトリィ)、アクセス権)が登録されている。つまり、この例では、会計事務所と顧問先Aのセグメントマスタのネットワークアクセス情報100、100’中には同じアクセス制限情報が登録されている。これにより、会計事務所のサーバ「9000」と顧問先Aのワークステーション「2001」双方のアクセス制限情報(公開資源情報)が一致するので、顧問先Aのワークステーション「2001」は、会計事務所のサーバ「9000」にアクセスして”DISK”上のファイルを利用することができる。なお、この例では、双方のアクセス制限情報が一致している場合のみアクセス可としたが、一方のマシンのアクセス制限が設定されていない場合、すなわち、ネットワークアクセス情報の公開情報中で、公開資源=フリー(FREE)の場合(一方のみアクセス制限なしの場合)には、前述したように他の一方のセグメントが公開資源情報以外のネットワークアクセス情報を満たしていれば接続することができる)。

0073

また、接続時認証の際にはNIFと同様に認証用データの盗聴や改竄を防止するためにソフトウエア又はハードウエアによる暗号化手段を用いて認証用データを暗号化して送信し、受信側では暗号化された認証用データを復号して用いる。

0074

[ネットワークセグメントの認証手順]前述したNIFの最新版とネットワークアクセス情報はセグメントマスタが保持・管理しており、他マシンがネットワークアクセス情報を利用する場合はセグメントマスタに対して問い合わせを行う。問い合わせは能動コネクション時(公開先(発信側=接続元)による接続動作時)と受動コネクション時(公開元(着信側=接続先)による接続動作時)の両方で必ずセグメントマスタに対して行われる。つまり、ネットワークセグメント間のLANアクセスを行うには、互いのセグメントマスタが動作している必要がある。

0075

(セグメントマスタでないマシン同士のセキュリィテイ認証)図12は、セグメントマスタでないマシン同士のセキュリティ認証の説明図である。以下、顧問先Aのマシン「0002−2001」から会計事務所(「デジタル会計」)のマシン「0001−1002」の”DISK”に接続する場合を例としてその手順を説明する。なお、図12記号〜は下記手順の番号である(詳細な手順は図13図15のフローチャート参照)。

0076

マシン「0001−2001」の”DISK”がマシン「0002−2001」に公開されているか否かを調べるため、マシン「0002−2001」は自分の属するセグメント(顧問先A)のセグメントマスタ「0002−8000」に問い合わせを行う。
次に、顧問先Aのセグメントマスタ「0002−8000」で会計事務所のマシン「0001−1002」の”DISK”がマシン「0002−2001」に公開されているかを確認する。
公開されていれば、セグメントマスタ「0002−8000」はマシン「0002−2001」にアクセス可の返答を送る。
マシン「0002−2001」はセグメントマスタ「0002−8000」からの返答を確認し、マシン「0001−1002」に接続して、”DISK”に対し通常のデイスクアクセスを開始する。
会計事務所側では、接続時、すなわち、マシン「0001−1002」は他のセグメントのマシン「0002−2001」から接続要求があると、セグメントマスタ「0001−9000」に接続し、会計事務所のマシン「0001−1002」の公開資源”DISK”がマシン「0002−2001」に公開されているかを問い合わせる。
次に、会計事務所のセグメントマスタ「0001−9000」で会計事務所のマシン「0001−1002」の”DISK”がマシン「0002−2001」に公開されているかを確認する。
公開されていれば、セグメントマスタ「0001−9000」はマシン「0001−1002」にアクセス可の返答を送る。
ワークステーション「0001−1002」はセグメントマスタ「0001−9000」からの返答を確認し、マシン「0002−2001」に接続可の返答を送って通常のデイスクアクセスを開始する。

0077

[異なるセグメント間のマシンの接続・認証動作]以下、異なるセグメント間のマシンの接続・認証動作について、図6に示したように設定されたLANリソース情報及び図8に示したように設定されたネットワークアクセス情報を例として顧問先Aのマシンから会計事務所(「デジタル会計」)のマシンに接続して保存メモリに保存記憶されたファイルを利用する場合の手順について、図13図16のフローチャートを基に説明する。

0078

(発信側の接続時認証動作)図13は、発信側(接続元コンピュータ装置)の接続時認証動作の一実施例を示すフローチャートであり、図3に示したプロセスチャートのプロセスP1、P6の詳細動作に相当する。

0079

ステップS1:(アプリケーションのジョブ番号の取得)
接続元マシン「0002−2001」のネットワーク接続制御部15は、実行するアプリケーション用のプログラムの所定番地に埋め込まれているアプリケーション固有の識別子であるジョブ番号(JOB−NO.)及びファイルパスを取り出す。

0080

ステップS2:(接続可能なNIF一覧のセグメントマスタからの取得)
次に、接続元マシン(=接続元コンピュータ装置)「0002−2001」のネットワーク接続制御部15は、上記ジョブ番号をキーとして、接続可能なNIF一覧を顧問先Aのセグメントマスタ「0002−8000」から取得する。

0081

ステップS3:(接続マシン候補一覧の作成及び表示)
接続元マシン「0002−2001」のネットワーク接続制御部15は、セグメントマスタ「0002−8000」から取得したNIF一覧から接続マシン候補の一覧を作成し、表示部14に一覧表示する。

0082

ステップS4:(接続相手マシンの選択及び所属セグメントの判定)
顧問先Aのユーザは画面表示された接続マシン候補の中から所望の接続相手マシンを選んで、マウスで指定すると、接続元マシン「0002−2001」のネットワーク接続制御部15は、選択された接続相手マシンのセグメントIDと自機のセグメントIDを比較し、セグメントIDが一致した場合は選択された接続相手マシンは同一セグメントに属するマシンと判定してS5に遷移する。また、セグメントIDが異なる場合は選択された接続相手マシンは他セグメントに属するマシンと判定してS6に遷移する。

0083

ステップS5:(セグメント内のファイルアクセス処理開始)
接続元マシン「0002−2001」のネットワーク接続制御部15は、制御部12に制御を渡し、制御部12はそのアプリケーションプログラムの実行制御を行い、セグメント「0002]内での接続相手マシンのデイスク上のファイルアクセス処理を開始する。

0084

ステップS6:(発信側セグメントマスタへの認証用データ取得依頼)以下、上記ステップS4で選択した接続相手マシン(=接続先コンピュータ装置:以下、接続先マシンと記す)としてユーザが会計事務所(「デジタル会計」)のマシン「0001−1002」を選択したとして説明する。接続元マシン「0002−2001」のネットワーク接続制御部15は、セグメントマスタ「0002−8000」に自機及び接続先マシン「0001−1002」のセグメントID、LANアドレス、ジョブ番号及びファイルパスを送信して認証用データの取得依頼を行う。

0085

ステップS7:(認証用データ取得の成否判定)接続元マシン「0002−2001」のネットワーク接続制御部15は、セグメントマスタ「0002−8000」からの認証用データの取得処理結果の受信を待ち、認証用データを受信した場合にはS7に遷移し、認証失敗通知を受信した場合にはステップS12に遷移する。

0086

ステップS8:(相手マシンとのコネクション確立の成否判定)接続元マシン「0002−2001」のネットワーク接続制御部15は、接続先マシン「0001−1002」とのコネクション(接続)確立動作(例えば、通信プロトコルの確立動作)を実行し、コネクションが確立した場合にはS9に遷移し、コネクションが確立できなかった場合にはステップS12に遷移する。

0087

ステップS9:(認証用データ、NIFの暗号化と相手マシンへの送信)接続元マシン「0002−2001」のネットワーク接続制御部15は、セグメントマスタ「0002−8000」から取得した認証用データ及びNIFを暗号化してパケットとして接続先マシン「0001−1002」に送信する。ここで、認証用データにはネットワークアクセス情報のマシン「0002−2001」該当レコードにある公開先(発信側=接続元)にあるユーザコードと認証コード、公開元(着信側=接続先)情報(セグメントID/LANアドレス)、公開先情報(セグメントID/LANアドレス)、アクセス制限情報(アプリケーションのジョブ番号、アクセスするファイルパス、アクセス権)からなる。

0088

ステップS10:(認証結果及びNIFの受信及と認証成否の判定)接続元マシン「0002−2001」のネットワーク接続制御部15は、接続先マシン「0001−1002」から認証処理結果及びNIFを受信すると、その認証処理結果を調べ、会計事務所のネットワークのセグメントマスタ「0001−9000」により認証された場合はS11に遷移し、認証されなかった場合にはS13に遷移する。なお、受信したNIF(暗号化されている)は復号してセグメントマスタ「0002−8000」に渡す(受信したNIFの復号はセグメントマスタ側で行うようにしてもよい)。

0089

ステップS11:(相手マシンのファイル操作開始)接続元マシン「0002−2001」のネットワーク接続制御部15は、制御部12に制御を渡す。制御部12はそのアプリケーションプログラムの実行制御を行い、接続先マシン「0001−1002」のデイスク上のファイルアクセス処理を開始する。

0090

ステップS12:(エラー処理)接続元マシン「0002−2001」のネットワーク接続制御部15は、所定のエラー処理を行った後、接続失敗原因を示すメッセージ或いはコードを表示して認証処理を終了する。つまり、上記ステップS7から遷移した場合には発信側(=接続元マシン)の認証失敗による接続失敗を意味するメッセージ或いはコードを表示し、上記ステップS8から遷移した場合にはコネクション失敗を意味するメッセージ或いはコードを表示し、上記ステップS10から遷移した場合には着信側の認証失敗による接続失敗を意味するメッセージ或いはコードを表示する。

0091

(発信側セグメントマスタの認証用データ取得動作図14は、発信側のセグメントマスタ(=接続元コンピュータ装置の属するセグメントマスタ)の認証用データ取得処理動作の一実施例を示すフローチャートであり、図3に示したプロセスチャートのプロセスP2の詳細動作に相当する。

0092

ステップT1:(ネットワークアクセス情報の検索
発信側セグメントマスタ「0002−8001」のネットワーク接続制御部は、接続元マシン「0002−2001」からの認証用データ取得依頼を受信すると認証用データ取得依頼と共に受け取った接続元マシン「0002−2001」と接続先マシン「0001−1002」のセグメントID及びLANアドレスをキーとしてセグメントマスタ「0002−8001」が保持しているネットワーク情報を検索する。

0093

ステップT2:(該当レコードの有無判定
発信側セグメントマスタ「0002−8001」のネットワーク接続制御部は、自機が保持しているネットワーク情報を検索した結果、該当するレコードをヒットした場合はT3に遷移し、そうでない場合にはT6に遷移する。

0094

ステップT3:(公開資源一致判定
発信側セグメントマスタ「0002−8001」のネットワーク接続制御部は、上記ステップT1で検索したレコードの公開情報中の公開資源名と接続元マシン「0002−2001」から受け取ったファイルパスのファイル識別子(この例ではファイル=ディスク(DISK))を比較し、一致している場合はT4に遷移し、そうでない場合にはT6に遷移する。

0095

ステップT4:(アプリケーション一致判定)
発信側セグメントマスタ「0002−8001」のネットワーク接続制御部は、上記ステップT1で検索したレコードのアクセス制限情報を接続元マシン「0002−2001」から受け取ったジョブ番号をキーとして検索し、ヒットした場合はアプリケーション一致と判定してT5に遷移し、そうでない場合はT6に遷移する。

0096

ステップT5:(認証用データ取得及び認証用データとNIFの依頼元マシンへの送信)
発信側セグメントマスタ「0002−8001」のネットワーク接続制御部は、上記ステップT1で検索したネットワーク情報中の該当レコードから、公開先(発信側=接続元)にあるユーザコードと認証コード、公開元(着信側=接続元)情報(セグメントID/LANアドレス)、公開先情報(セグメントID/LANアドレス)、アクセス制限情報(アプリケーションのジョブ番号、アクセスするファイルパス、アクセス権)を抽出して認証用データとしてNIFと共に認証用データの取得依頼を行った接続元マシン「0002−2001」に渡す(NIFはセグメントマスタの作業メモリ内のダイナミックNIFが転送される)。

0097

ステップT6:(エラー処理)
発信側セグメントマスタ「0002−8001」のネットワーク接続制御部は、所定のエラー処理を行った後、認証用データ取得理を終了する。

0098

(着信側の接続時認証動作)図15は、着信側(=接続先コンピュータ装置(以下、接続先マシン)の接続時認証動作の一実施例を示すフローチャートであり、図3に示したプロセスチャートのプロセスP3、P5の詳細動作に相当する。

0099

ステップU1:(発信側から送信されたパケットの受信)
接続先マシン「0001−1002」は接続元マシン「0002−2001」からの接続があると、接続元マシン「0002−2001」から受信した暗号化された認証用データのパケットを受信し、受信処理によりパケットを解体して暗号化された認証用データ及びNIFを取り出す。

0100

ステップU2:(暗号化された認証用データ及びNIFの復号)
次に、接続先マシン「0001−1002」のネットワーク接続制御部は、復号手段(復号プログラム)により暗号化された認証データ及びNIFの復号を行って認証用データ及びNIFを復元する。

0101

ステップU3:(所属セグメントの判定)
接続先マシン「0001−1002」のネットワーク接続制御部は、復元した認証用データの公開先(発信側)セグメントIDと自機のセグメントIDを比較し、セグメントIDが一致した場合は接続元マシンは同一セグメントに属するマシンとしてU4に遷移する。また、セグメントIDが異なる場合は接続元マシンは他セグメントに属するマシンとしてU5に遷移する。

0102

ステップU4:(セグメント内のセキュリテイ処理)
接続先マシンのネットワーク接続制御部は、着信側セグメントマスタからセグメント内のNIFを取得して、接続元マシンのNIFを探し出し、ネットワーク接続動作時に取得した接続元IPアドレスが正しいか確認し、正しければファイル操作を開始し、違っている場合にはコネクション(LAN接続)を切断し処理を終了する。

0103

ステップU5:(着信側セグメントマスタへの認証依頼
接続先マシン「0001−1002」のネットワーク接続制御部は、セグメントマスタ「0001−9000」に認証用データを渡して認証処理を依頼する。また、この際、接続元マシン「0002−2001」からのNIFもセグメントマスタ「0001−9000」に渡す。

0104

ステップU6:(認証結果の受信及び判定)
接続先マシン「0001−1002」のネットワーク接続制御部は、セグメントマスタ「0001−9000」からの認証処理結果を受信すると、その認証処理結果を調べ、セグメントマスタ「0001−9000」により認証されている場合はU7に遷移し、認証されなかった場合にはU9に遷移する。

0105

ステップU7:(認証成功通知等)
接続先マシン「0001−1002」のネットワーク接続制御部は、セグメントマスタ「0001−9000」から受け取った認証成功通知及びNIFを接続元マシン「0002−2001」に送信し(NIFは暗号化して送信される)、制御部に制御を渡す。

0106

ステップU8:(ファイル操作開始)
接続先マシン「0001−1002」の制御部はそのアプリケーションプログラムの実行制御を行い、デイスク上のファイル操作を開始する。

0107

ステップU9:(エラー処理)
接続先マシン「0001−1002」のネットワーク接続制御部は、認証失敗通知を接続元マシン「0002−2001」に送信し、所定のエラー処理を行った後、コネクション(LAN接続)を切断する。

0108

(着信側セグメントマスタの認証動作)
図16は、着信側セグメントマスタ(=接続先コンピュータ装置の属するセグメントマスタ)の認証動作の一実施例を示すフローチャートであり、図3に示したプロセスチャートのプロセスP4の詳細動作に相当する。

0109

ステップV1:(ネットワークアクセス情報の検索等)
着信側セグメントマスタ「0001−9000」のネットワーク接続制御部は、接続先マシン「0001−1002」からの認証用データ取得依頼、認証用データ及びNIFを受け取ると認証用データ中の接続元マシン「0002−2001」と接続先マシン「0001−1002」のセグメントID及びLANアドレスをキーとしてそのセグメントマスタが保持しているネットワーク情報を検索する。また、受け取ったNIFで作業メモリ内のダイナミックNIFを更新する。

0110

ステップV2:(該当レコードの有無判定)
セグメントマスタ「0001−9000」のネットワーク接続制御部は、自機が保持しているネットワーク情報を検索した結果、該当するレコードをヒットした場合はV3に遷移し、そうでない場合にはV7に遷移する。

0111

ステップV3:(ユーザコード及び認証コードの一致判定)
セグメントマスタ「0001−9000」のネットワーク接続制御部は、上記ステップV2で検索した該当レコードのユーザコード及び認証コードと、接続先マシン「0001−1002」を介して接続元マシン「0002−2001」から受け取った認証用コード中のユーザコード及び認証コードが一致するか否かを調べ、一致している場合はV4に遷移し、そうでない場合にはV7に遷移する。

0112

ステップV4:(公開資源一致判定)
セグメントマスタ「0001−9000」のネットワーク接続制御部は、上記ステップV1で検索した該当レコードの公開情報中の公開資源名と接続先マシン「0001−1002」を介して接続元マシン「0002−2001」から受け取った認証用データ中のファイルパスのファイル識別子(この例ではファイル=デイスク(DISK))を比較し、一致している場合はV5に遷移し、そうでない場合にはV7に遷移する。

0113

ステップV5:(アプリケーション一致判定)
セグメントマスタ「0001−9000」のネットワーク接続制御部は、上記ステップV1で検索したレコードのアクセス制限情報を接続先マシン「0001−1002」を介して接続元マシン「0002−2001」から受け取ったジョブ番号をキーとして検索し、ヒットした場合はアプリケーション一致と判定してV6に遷移し、そうでない場合はV7に遷移する。

0114

ステップV6:(着信マシンへの認証成功通知)
セグメントマスタ「0001−9000」のネットワーク接続制御部は、接続先マシン「0001−1002」に認証成功通知及び作業メモリ内のダイナミックNIFを読み出して渡す。

0115

ステップV7:(エラー処理)
セグメントマスタ「0001−9000」のネットワーク接続制御部は、所定のエラー処理の後、上記ステップV2、V3から遷移した場合は認証失敗通知を着信マシンに渡してコネクションを解除する。また、上記ステップV4、V5から遷移した場合は所定のエラー処理の後、コネクションを解除して認証処理を終了する。

0116

なお、上記図13図15の説明では、会計事務所の監査用会計処理装置を中心として複数の顧問先会計処理装置を接続した広域ネットワーク構成において、会計事務所ネットワークセグメント、顧問先Aネットワークセグメント、顧問先Bネットワークセグメントを構成し、顧問先Aネットワークセグメントに属するマシンを接続元(発信側)から会計事務所ネットワークマシンに属するマシンを接続先(着信側)とした例について述べたが、広域ネットワーク、ネットワークセグメントの構成及び接続元、接続先は上述の例に限定されない。また、広域ネットワークはインターネットや他のLAN接続でもよい。

0117

また、上記各実施例では各ネットワークセグメントに属するマシンのうちの一つをセグメントマスタとして設定し、ネットワークアクセス情報及びネットワークアクセス情報を保持・管理させるようにし、かつ認証を行うように構成したが、これに限定されない。例えば、各マシンがそれぞれネットワークアクセス情報及びネットワークアクセス情報を保持・管理させるようにし、かつ認証を行うように構成するようにしてもよい。また、ネットワークセグメントの中で所定のタイミングでセグメントマスタを交代させるように構成してもよい。

0118

以上、本発明のいくつかの実施例について説明したが本発明は上記各実施例に限定されるものではなく、種々の変形実施が可能であることはいうまでもない。

発明の効果

0119

上記説明したように、第1乃至第6の発明のネットワークシステム及び第8乃至第13の発明のネットワーク間接続/認証方式によれば、複数のネットワークセグメントからなる広域ネットワークを構成し、各セグメントに属するコンピュータの接続をネットワーク情報を基に行い、接続されるコンピュータの認証をネットワーク制御情報によって行うので、広域ネットワークを含めたLAN間接続やインターネットにおけるセキュリテイの確立を行うことができる。例えば、会計事務所の監査用会計処理装置を中心として複数の顧問先会計処理装置を接続した広域ネットワーク構成において、顧問先会計処理装置相互間でのアクセス制限を行うことができる。また、第3の発明のネットワークシステム及び第20の発明のアクセス制限方法によれば、アクセス制御情報に含まれるアクセス制限情報でデバイスへのアクセスを制限できるので、例えば、企業の本−支店間を結ぶネットワークを例とすると、支店間でアクセスできるデバイスを制限することができる。

0120

また、第4、第6の発明のネットワークシステム、第16の発明のネットワーク間接続/認証方式及び第20の発明のアクセス制限方法によれば、アクセス制御情報に含まれるアクセス制限情報でアプリケーションを制限できるので、例えば、企業の本−支店間を結ぶネットワークを例とすると、支店間でアクセスできるアプリケーション及びデバイスを制限することができる。

0121

また、第5の発明のネットワークシステム及び第15の発明のネットワーク間接続/認証方式によれば、認証接続時にネットワークセグメント間でネットワーク情報を交換できるので、セグメントマスタはネットワーク情報更新のために特別な接続処理を行わなくても最新のネットワーク情報を保持・管理することができる。

0122

また、第7の発明のネットワークシステム及び第16の発明のネットワーク間接続/認証方式によれば、接続認証時にアクセス制御情報及びネットワーク情報は暗号化されて送信されるので、他機によるアクセス制御情報及びネットワーク情報の盗用を防止することができ、セキュリテイを更に高めることができる。

0123

また、第8の発明のネットワーク間接続/認証方式によれば、ネットワークセグメント間の接続認証時にネットワーク情報を交換することができるので、ネットワーク情報の管理がしやすい。

0124

また、第17の発明のネットワーク間接続/認証方式によれば、アクセス制御情報はセグメントマスタ側で入力設定及び変更設定し、セグメントマスタが保持・管理するのでネットワークの専門家でない事務担当者等でもネットワークセグメントに属する各マシン対するアクセス制限を行うことができ、また、管理がしやすい(設定又は設定変更のタイミングと設定又は設定変更されたアクセス制御情報を保存管理するタイミングが一致し、セグメント間のデータ送受信がないので入力設定用手段(プログラム)の構成が簡単になる。

0125

また、第18の発明のネットワーク間接続/認証方式によれば、アクセス制御情報は各ネットワークセグメントに属するコンピュータ装置で入力設定及び変更設定し、セグメントマスタが保持・管理するので、ネットワークの専門家でない事務担当者等でも自機に対するアクセス制限を簡単に行うことができる。

0126

また、第19の発明のネットワーク間接続/認証方式によれば、アクセス制御情報の入力設定及び変更設定の際にセグメントを1つまたは予め決定された数だけしか設定できないように限定できるので、会計事務所と複数の顧問先からなるような1対他の接続関係のセグメントからなる広域ネットワークにおいては、会計事務所のセグメントと各顧問先のセグメントは接続できるが、各顧問先セグメント同士アクセスできないように設定できるので、間違いや偶然から他のセグメントをアクセス可能とするようなことを防止できる。

図面の簡単な説明

0127

図1広域ネットワークを構成するネットワークセグメント及びセグメントマスタによるNIF(ネットワーク情報)交換の説明図である。
図2本発明で用いるNIFの一実施例の構成を示す図である。
図3LAN接続動作時の動作概要を示すプロセスチャートである。
図4本発明を適用可能なコンピュータ装置の一実施例の構成を示すブロック図である。
図5広域ネットワークの一実施例をなす会計処理LANの構成例を示す図である。
図6図5の各会計処理LAN(セグメント)内において設定されたLANソース情報の一実施例を示す図である。
図7図5の各セグメントの接続例を示す図である。
図8各セグメントマスタに設定したネットワークアクセス情報の一実施例を示す図である。
図9ジョブ番号の一実施例を示す図である。
図10アクセス制限情報の一実施例を示す図である。
図11アクセス制限情報の一実施例を示す図である。
図12セグメントマスタでないマシン同士のセキュリティ認証の説明図である。
図13発信側の接続時認証動作の一実施例を示すフローチャートである。
図14発信側セグメントマスタの認証用データ取得処理動作の一実施例を示すフローチャートである。
図15着信側の接続時認証動作の一実施例を示すフローチャートである。
図16着信側セグメントマスタの認証処理動作の一実施例を示すフローチャートである。

--

0128

1〜3ネットワークセグメント
5広域ネットワーク
200、1001、1002、2001マシン、コンピュータ装置
12 制御部
14 表示部
15ネットワーク接続制御部
20ネットワーク情報(NIF)
60 LANリソース情報(アクセス制御情報)
80、80’ネットワークアクセス情報(アクセス制御情報)
90ジョブ番号
100,100’公開資源情報、アクセス制限情報
8000,8001,9000 マシン、コンピュータ装置(セグメントマスタ)

ページトップへ

この技術を出願した法人

この技術を発明した人物

ページトップへ

関連する挑戦したい社会課題

関連する公募課題

ページトップへ

技術視点だけで見ていませんか?

この技術の活用可能性がある分野

分野別動向を把握したい方- 事業化視点で見る -

(分野番号表示ON)※整理標準化データをもとに当社作成

ページトップへ

おススメ サービス

おススメ astavisionコンテンツ

新着 最近 公開された関連が強い技術

この 技術と関連性が強い人物

関連性が強い人物一覧

この 技術と関連する社会課題

関連する挑戦したい社会課題一覧

この 技術と関連する公募課題

関連する公募課題一覧

astavision 新着記事

サイト情報について

本サービスは、国が公開している情報(公開特許公報、特許整理標準化データ等)を元に構成されています。出典元のデータには一部間違いやノイズがあり、情報の正確さについては保証致しかねます。また一時的に、各データの収録範囲や更新周期によって、一部の情報が正しく表示されないことがございます。当サイトの情報を元にした諸問題、不利益等について当方は何ら責任を負いかねることを予めご承知おきのほど宜しくお願い申し上げます。

主たる情報の出典

特許情報…特許整理標準化データ(XML編)、公開特許公報、特許公報、審決公報、Patent Map Guidance System データ