2013-200589号複数ネットワークによる認証装置、認証方法、認証システム、及びそのためのプログラム

出願人	日本電気株式会社
発明者	山根進也
出願日	2012年3月23日（8年10ヶ月経過）	出願番号	2012-066945
公開日	2013年10月3日（7年4ヶ月経過）	公開番号	2013-200589
状態	特許登録済
技術分野	オンライン・システムの機密保護、電話通信サービス
主要キーワード	侵入回数、侵入情報、接続遮断、ネットワーク接続制御、接続権限、認証失敗回数、入力送信、アウトオブバンド
関連する未来課題	サイバー攻撃のない社会を実現する、犯罪者のいない都市を実現する、手足の欠損や麻痺をおぎなう社会を実現する、副作用・重症化のない社会を実現する
重要な関連分野	オンライン・システムの機密保護、電話通信サービス

※この項目の情報は公開日時点（2013年10月3日）のものです。
また、この項目は機械的に抽出しているため、正しく解析できていない場合があります

図面 (7)

課題

他の認証システムで不正侵入を図った利用者の認証申請そのものを拒絶したり、利用者によって許可する接続先を変更するなどの高度な制御を行える認証装置を提供する。

解決手段

接続申請情報として入手した利用者の第一の利用者端末からの端末情報と、第一の利用者端末の端末情報が記載された第二の利用者端末の接続申請情報を受信し、一致した場合を以って利用者認証とする。認証失敗した第二の利用者端末の端末情報と失敗回数をブラックリストにまとめ、他ネットワーク認証装置と共有する。また、前述の利用者認証とは別に第二の認証装置または第二の認証部を設け、第二の認証の結果によって利用者それぞれの接続権限を確認し接続先の制御を行う。

概要

- Facebook
- Twitter
- Google+
- LinkedIn

背景

ネットワーク認証において、複数ネットワークにより認証を行う技術が知られている。この技術は、利用者から複数のネットワークにより識別情報を送信し、その照合結果によって認証の可否を決定することで、事前に利用者の端末情報を認証装置に登録することなく利用することが可能である。

複数ネットワークによる認証の一例が特許文献１に記載されている。特許文献１に記載された装置は、利用者装置の特定が容易な電話回線の接続を認証の条件とすることで、提供情報配信および課金処理の信頼性を高める。

概要

他の認証システムで不正侵入をった利用者の認証申請そのものを拒絶したり、利用者によって許可する接続先を変更するなどの高度な制御を行える認証装置を提供する。接続申請情報として入手した利用者の第一の利用者端末からの端末情報と、第一の利用者端末の端末情報が記載された第二の利用者端末の接続申請情報を受信し、一致した場合を以って利用者認証とする。認証失敗した第二の利用者端末の端末情報と失敗回数をブラックリストにまとめ、他ネットワーク認証装置と共有する。また、前述の利用者認証とは別に第二の認証装置または第二の認証部を設け、第二の認証の結果によって利用者それぞれの接続権限を確認し接続先の制御を行う。

目的

本発明の目的の一例は、上述した問題点を解決できる認証システム、認証装置、認証方法およびプログラムを提供する

効果

実績

技術文献被引用数: 0件
牽制数: 1件

この技術が所属する分野

（分野番号表示ON）※整理標準化データをもとに当社作成

5B285オンライン・システムの機密保護
5K201電話通信サービス

請求項1

ネットワークへの接続を制御し、第一の利用者端末の端末情報を含む第二の利用者端末の接続申請情報と前記第一の利用者端末から送信される端末情報とを受信する通信部と、前記第一の利用者端末から受信する端末情報と前記第二の利用者端末から受信する接続申請情報に含まれる端末情報とを照合し、照合結果に応じて前記第二の利用者端末の認証およびネットワーク接続可否を判断する端末情報照合部と、前記端末情報照合部で認証を失敗した前記第二の利用者端末の端末情報と認証を失敗した失敗回数を記録するブラックリストを記憶するブラックリスト記憶部と、前記ブラックリストの更新と他ネットワーク認証装置とのブラックリストを共有するための制御を実行するブラックリスト制御部と、前記端末情報照合部でのネットワーク接続可否の判断結果と前記失敗回数に応じて前記第二の利用者端末のネットワークへの接続を制御するネットワーク接続制御部とを含むネットワーク認証装置。

請求項2

前記端末情報照合部での認証とは別に、前記第二の利用者端末の接続申請情報により認証を行う第二認証部と、をさらに含み、前記第二認証部での認証結果により、前記ネットワーク接続制御部が前記第二の利用者端末の接続先を制御する請求項１記載のネットワーク認証装置。

請求項3

前記第一の利用者端末からの端末情報と、前記第一の利用者端末の端末情報が記載された第二の利用者端末の接続申請情報を受信し、双方が一致するかどうかで端末情報照合部が認証を判断し、認証失敗した場合は第二の利用者端末の端末情報をブラックリストに登録更新し、前記端末情報照合部の認証およびネットワーク接続可否と前記ブラックリストの認証失敗回数によってネットワーク接続制御部が前記第二の利用者端末のネットワークへの接続を制御するネットワーク認証方法。

請求項4

前記端末情報照合部での認証とは別に、前記第二の利用者端末の接続申請情報により認証を行うネットワーク第二認証装置と、をさらに含み前記ネットワーク第二認証装置での認証結果により、前記ネットワーク接続制御部が前記第二の利用者端末の接続先を制御する請求項３記載のネットワーク認証方法。

請求項5

第一の利用者端末の端末情報と、第一の利用者端末の端末情報が記載された第二の利用者端末の接続申請情報を受信し、双方が一致するかどうかで端末情報照合部が認証を判断し、認証失敗した場合は第二の利用者端末の端末情報をブラックリストに登録更新し、前記端末情報照合部の認証およびネットワーク接続可否と前記ブラックリストの認証失敗回数によってネットワーク接続制御部が前記第二の利用者端末のネットワークへの接続を制御するネットワーク認証装置を含むネットワーク認証システム。

請求項6

前記端末情報照合部での認証とは別に、前記第二の利用者端末の接続申請情報により認証を行うネットワーク第二認証装置と、をさらに含み前記ネットワーク第二認証装置での認証結果により、前記ネットワーク接続制御部が前記第二の利用者端末の接続先を制御する請求項５記載の認証システム。

請求項7

第一の利用者端末の端末情報と、第一の利用者端末の端末情報が記載された第二の利用者端末の接続申請情報を受信し、双方が一致するかどうかで端末情報照合部が認証を判断し、認証失敗した場合は第二の利用者端末の端末情報をブラックリストに登録更新し、前記端末情報照合部の認証およびネットワーク接続可否と前記ブラックリストの認証失敗回数によって前記利用者端末のネットワークへの接続を制御する処理をコンピュータに実行させるネットワーク認証プログラム。

請求項8

前記端末情報照合部での認証とは別に、前記第二の利用者端末の接続申請情報により認証を行うネットワーク第二認証装置と、をさらに含み前記ネットワーク第二認証装置での認証結果により、前記ネットワーク接続制御部が前記第二の利用者端末の接続先を制御する処理をコンピュータに実行させる請求項７記載のネットワーク認証プログラム。

技術分野

0001

本発明は、複数ネットワークによる認証装置、認証方法、認証システム、及びそのためのプログラムに関する。

背景技術

0002

0003

先行技術

0004

特開２００３−２３４８５１号公報

発明が解決しようとする課題

0005

しかしながら、上述した技術文献１に記載された技術は、単一のシステムでの認証に留まり、他の認証システムで不正侵入を図った利用者であっても認証申請そのものを拒絶することができない。また、認証方式も単一であるため、利用者によって許可する接続先を変更するなどの高度な制御を行うことも不可能である。したがって、技術文献１に記載された技術は、他の認証システムと連携した制御が不可能という問題点がある。

0006

本発明の目的の一例は、上述した問題点を解決できる認証システム、認証装置、認証方法およびプログラムを提供することにある。

課題を解決するための手段

0007

本発明の一形態におけるネットワーク認証装置は、ネットワークとの送受信を制御し、利用者携帯電話端末の電話番号が記載された利用者端末の接続申請情報と端末情報を受信するネットワーク通信部と、
利用者携帯電話端末の端末情報を受信する携帯電話端末通信部と、
前記携帯電話端末通信部から受信した利用者携帯電話端末の端末情報と前記ネットワーク通信部から受信した利用者端末の接続申請情報とを照合し、照合結果により前記利用者端末の認証およびネットワーク接続可否を判断する端末情報照合部と、
認証失敗した前記利用者端末の端末情報と失敗回数を記録するブラックリストを記憶するブラックリスト記憶部と、
前記ブラックリストの更新と他ネットワーク認証装置とのブラックリスト共有を行うブラックリスト制御部と、
前記端末情報照合部の接続可否判断と前記ブラックリストの認証失敗回数によって前記利用者端末のネットワークへの接続を制御するネットワーク接続制御部とを備える。

0008

本発明の一形態におけるネットワーク認証システムは、利用者携帯電話端末の端末情報と、利用者携帯電話端末の電話番号が記載された利用者端末の接続申請情報を受信し、
双方が一致するかどうかで端末情報照合部が認証を判断し、
認証失敗した場合は利用者端末の端末情報をブラックリストに登録更新し、
前記端末情報照合部の認証およびネットワーク接続可否と前記ブラックリストの認証失敗回数によってネットワーク接続制御部が前記利用者端末のネットワークへの接続を制御するネットワーク認証装置を含む。

0009

本発明の一形態におけるネットワーク認証方法は、利用者携帯電話端末の端末情報と、利用者携帯電話端末の電話番号が記載された利用者端末の接続申請情報を受信し、
双方が一致するかどうかで端末情報照合部が認証を判断し、
認証失敗した場合は利用者端末の端末情報をブラックリストに登録更新し、
前記端末情報照合部の認証およびネットワーク接続可否と前記ブラックリストの認証失敗回数によってネットワーク接続制御部が前記利用者端末のネットワークへの接続を制御する。

0010

本発明の一形態における第一のネットワーク認証プログラムは、利用者携帯電話端末の端末情報と、利用者携帯電話端末の電話番号が記載された利用者端末の接続申請情報を受信し、
双方が一致するかどうかで端末情報照合部が認証を判断し、
認証失敗した場合は利用者端末の端末情報をブラックリストに登録更新し、
前記端末情報照合部の認証およびネットワーク接続可否と前記ブラックリストの認証失敗回数によって前記利用者端末のネットワークへの接続を制御する処理を実行させる。

発明の効果

0011

本発明によれば、他の認証システムで不正侵入を図った利用者の認証申請そのものを拒絶することができる。また、利用者によって許可する接続先を変更するなどの高度な制御を行うことも可能となるという効果が得られる。

図面の簡単な説明

0012

図１は、本発明の第一の実施形態の構成を示すブロック図である。
図２は、第一の実施の形態におけるネットワーク認証システム１０００をコンピュータ装置とその周辺装置で実現したハードウェア構成を示す図である。
図３は、第一の実施の形態におけるネットワーク認証装置１の他の認証システムと連携したネットワーク認証の動作を示すフローチャートである。
図４は、本発明の第二の実施形態の構成を示すブロック図である。
図５は、ネットワーク第二認証装置９の代わりに第二認証部１０６を構成に追加した、本発明の第二の実施形態の構成を示すブロック図である。
図６は、第二の実施の形態におけるネットワーク認証装置１Ａの他の認証情報と連携したネットワーク認証の動作を示すフローチャートである。

図１

図２

図３

図４

図５

図６

実施例

0013

次に、本発明の実施形態について図面を参照して詳細に説明する。

0014

［第１の実施の形態］
図１は、本発明の第一の実施の形態におけるネットワーク認証システム１０００の構成を示すブロック図である。図１を参照すると、ネットワーク認証システム１０００は複数のネットワーク認証装置１、５、６と、第一の利用者端末に相当する利用者携帯電話端末２と、第２の利用者端末に相当する利用者端末３と、ネットワーク接続装置４を備える。ネットワーク認証装置１、５、６はネットワーク７を介して接続されており、また利用者端末３はネットワーク接続装置４を通してネットワーク７に接続しているが、この接続形態に限らず、たとえばネットワーク接続装置４がアウトオブバンド方式にて利用者端末３のネットワークへの接続と遮断の制御を行う形態でもよい。利用者携帯電話端末２は携帯電話通信網８を介してネットワーク認証装置１にアクセスすることが可能である。

図１

0015

ネットワーク認証装置１は、ブラックリスト記憶部１００とブラックリスト制御部１０１とネットワーク接続制御部１０２と端末情報照合部１０３と携帯電話端末通信部１０４とネットワーク通信部１０５と、を備える。

0016

ネットワーク認証装置５、６は便宜上説明に必要なブラックリスト記憶部５００、６００とブラックリスト制御部５０１、６０１とネットワーク通信部５０５、６０５のみを記す。

0017

次に、第一の実施の形態におけるネットワーク認証装置１の構成について説明する。なおネットワーク認証装置５、６についても同様とする。

0018

ブラックリスト記憶部１００は、認証の結果、不正侵入と判断されたアクセスの利用者端末３の端末情報と不正侵入回数がリスト化されたブラックリストを記憶する。

0019

ブラックリスト制御部１０１は、利用者端末３からのアクセスに対して端末情報照合部１０３からブラックリストに追加する指示を受信した場合、ブラックリスト記憶部１００に記憶されているブラックリストに該当アクセスの利用者端末３の端末情報を追加し不正侵入回数を更新する。このとき、利用者端末３の端末情報に加えて利用者携帯電話端末２の端末情報をブラックリストに追加してもよい。更にブラックリスト制御部１０１は、他のネットワーク認証装置５、６にブラックリストを送信するため、ネットワーク通信部１０５にブラックリストのデータを送信する。また、逆に他のネットワーク認証装置５、６からネットワーク通信部１０５を通じてブラックリストが送付された場合、ブラックリスト制御部１０１は、ブラックリスト記憶部１００のブラックリストを上書き更新する。

0020

ネットワーク接続制御部１０２は、あらかじめ利用者端末３のネットワークへの接続を遮断するようネットワーク接続装置４を制御する。また、ネットワーク接続制御部１０２は、利用者端末３からネットワーク接続装置４を通じてネットワーク接続要求を受信した場合、利用者端末３に対して接続申請情報の入力送信要求と利用者携帯電話端末２による発呼要求を送信する。また、ネットワーク接続制御部１０２は、利用者端末３から接続申請情報を入手する際、同時に利用者端末３の端末情報を受信し保持する。更に、ネットワーク接続制御部１０２は、端末情報照合部１０３から照合結果を受信し、一致していれば正常認証と判断し、利用者端末３のネットワークへの接続遮断を解除するようネットワーク接続装置４を制御する。

0021

端末情報照合部１０３は、携帯電話端末通信部１０４から受信した利用者携帯電話端末２の端末情報（例えば、電話番号）とネットワーク通信部１０５から受信した利用者端末３の接続申請情報とを照合し、ネットワーク接続制御部１０２に照合結果を出力する。照合の結果、ネットワーク接続制御部１０２が接続申請情報の入力送信要求を送信してからあらかじめ決められた時間内に合致できなかった場合（認証失敗の場合）、端末情報照合部１０３は、不正侵入と判断する。そして、端末情報照合部１０３は、ブラックリスト制御部１０１にネットワーク接続制御部１０２が保持している該当アクセスの利用者端末３の端末情報を出力し、さらに、ブラックリストに追加する指示を出力する。

0022

携帯電話端末通信部１０４は、携帯電話通信網８を通じて利用者携帯電話端末２の端末情報を受信し、端末情報照合部１０３に送信する。

0023

ネットワーク通信部１０５は、ネットワーク７を通じて利用者端末３から受信した接続申請情報を端末情報照合部１０３に送信する。また、ブラックリスト制御部１０１から受信したブラックリストを他のネットワーク認証装置５、６に送信する。逆に他のネットワーク認証装置５、６から受信したブラックリストはブラックリスト制御部１０１に送信する。

0024

携帯電話端末通信部１０４とネットワーク通信部１０５は、第一の利用者端末の端末情報を含む第二の利用者端末の接続申請情報と前記第一の利用者端末から送信される端末情報とを受信する通信部に対応する。なお、通信部は携帯電話端末通信部１０４とネットワーク通信部１０５に限定されない。互いに異なる通信網にて接続申請情報と端末情報が受信できる環境であれば良い。

0025

図２は、本発明の第一の実施の形態におけるネットワーク認証システム１０００をコンピュータおよびその周辺装置で実現したハードウェア構成を示す図である。図２に示されるように、ネットワーク認証装置１は、ＣＰＵ１１、出力装置１２、入力装置１３、主記憶装置１４、二次記憶装置１５を含む。また、ネットワーク認証装置１は、ネットワークインタフェース１０を介してネットワーク７に接続されている。

図２

0026

ＣＰＵ１１は、オペレーティングシステムを動作させて本発明の第一の実施の形態に係るネットワーク認証装置１の全体を制御する。また、ＣＰＵ１１は、例えば二次記憶装置１５から主記憶装置１４にプログラムやデータを読み出し、第一の実施の形態におけるブラックリスト制御部１０１、ネットワーク接続制御部１０２、および端末情報照合部１０３として各種の処理を実行する。

0027

二次記憶装置１５は、例えば光ディスク、フレキシブルディスク、磁気光ディスク、外付けハードディスク、または半導体メモリ等であって、コンピュータプログラムをコンピュータ読み取り可能に記録する。また、コンピュータプログラムは、通信網に接続されている図示しない外部コンピュータからダウンロードされてもよい。

0028

入力装置１３は、例えばマウスやキーボード、内蔵のキーボタンなどで実現され、入力操作に用いられる。入力装置１３は、マウスやキーボード、内蔵のキーボタンに限らず、例えばタッチパネルでもよい。

0029

出力装置１２は、例えばディスプレイで実現され、出力を確認するために用いられる。

0030

なお、第一の実施の形態の説明において利用されるブロック図（図１）には、ハードウェア単位の構成ではなく、機能単位のブロックが示されている。これらの機能ブロックは図２に示されるハードウェア構成によって実現される。ただし、ネットワーク認証装置１が備える各部の実現手段は特に限定されない。すなわち、ネットワーク認証装置１は、物理的に結合した一つの装置により実現されてもよいし、物理的に分離した二つ以上の装置を有線または無線で接続し、これら複数の装置により実現されてもよい。

図１

図２

0031

また、ＣＰＵ１１は、二次記憶装置１５に記録されているコンピュータプログラムを読み込み、そのプログラムにしたがって、ブラックリスト制御部１０１、ネットワーク接続制御部１０２、および端末情報照合部１０３として動作してもよい。

0032

また、前述のプログラムのコードを記録した記録媒体（または記憶媒体）が、ネットワーク認証装置１に供給され、ネットワーク認証装置１が記録媒体に格納されたプログラムのコードを読み出し実行してもよい。すなわち、本発明は、第一の実施の形態におけるネットワーク認証装置１が実行するためのソフトウェア（ネットワーク認証プログラム）を一時的に記憶するまたは非一時的に記憶する二次記憶装置１５も含む。

0033

以上のように構成されたネットワーク認証装置１の動作について、図３のフローチャートを参照して説明する。

図３

0034

図３は、第一の実施の形態におけるネットワーク認証装置１での他の認証システムと連携したネットワーク認証の動作の概要を示すフローチャートである。尚、このフローチャートによる処理は、前述したＣＰＵによるプログラム制御に基づいて、実行されても良い。

図３

0035

図３に示すように、まず、ネットワーク接続制御部１０２は、あらかじめ利用者端末３のネットワークへの接続を遮断するようネットワーク接続装置４を制御する（ステップＳ１０１）。ここで、利用者端末３が、ネットワークへの接続のためのネットワーク接続要求をネットワーク接続装置４に出力すると、ネットワーク接続装置４は、利用者端末３のネットワーク接続認証を制御するネットワーク認証装置に対する接続に限定してネットワーク７への接続を開始する。

図３

0036

次に、ネットワーク通信部１０５は、ネットワーク接続装置４経由で利用者端末３から受信したネットワーク接続要求をネットワーク接続制御部１０２に出力する（ステップＳ１０２）。

0037

次に、ネットワーク通信部１０５は、利用者端末３に対して接続申請情報の入力送信要求と利用者携帯電話端末２による発呼要求を送信する（ステップＳ１０３）。具体的には接続申請情報は、利用者端末３の利用者に発呼させる利用者携帯電話端末２の電話番号を入力させるフォームを含む。発呼要求は、発呼先の電話番号が記載されたウィンドウを利用者端末３のディスプレイへ表示させる情報が備わっていれば良い。発呼先の電話番号は、ネットワーク認証装置側で決められた電話番号である。ステップＳ１０３の処理の後、ネットワーク通信部１０５は、利用者端末３からの接続申請要求の受信を待機する。

0038

次に、ネットワーク通信部１０５は、ネットワーク接続装置４経由で利用者端末３から受信した接続申請情報（発呼させる利用者携帯電話端末２の電話番号を含む）を端末情報照合部１０３に出力する（ステップＳ１０４）。また、同時に接続申請情報から利用者端末３の端末情報を入手し、ネットワーク接続制御部１０２に出力する（ステップＳ１０５）。

0039

次に、ネットワーク接続制御部１０２は、受信した利用者端末３の端末情報がブラックリスト記憶部１００に記憶されているブラックリストに登録され、その端末情報と対応付けてブラックリストに登録されている不正侵入回数（認証の失敗回数）が一定回数を超えているか否かを調査する（ステップＳ１０６）。もし超えていれば、ネットワーク接続制御部１０２は接続が不可能である旨を、ネットワーク通信部１０５を通じて利用者端末３に通知し、本ネットワーク認証の処理を終了する（ステップＳ１０７）。通知の方法は利用者端末３のディスプレイへ表示させるなどどのような方法でも良い。通知せずに終了しても良い。ステップＳ１０６において、超えていない場合、処理はステップＳ１０８に移行する。

0040

もし、ネットワーク接続制御部１０２は、接続申請情報の入力送信要求を送信してからあらかじめ定められた時間内に、ネットワーク通信部１０５が利用者端末３に対して送信した発呼先の電話番号への発呼があるか否かを判定し（ステップＳ１０８）、発呼があった場合、携帯電話端末通信部１０４は発呼元の電話番号を解読し、端末情報照合部１０３に出力する（ステップＳ１０９）。

0041

次に、端末情報照合部１０３は、ステップＳ１０４で利用者端末３から入手した接続申請情報（発呼させる利用者携帯電話端末２の電話番号）とステップＳ１０９で入手した発呼元の電話番号とを照合し、照合結果をネットワーク接続制御部１０２に出力する（ステップＳ１１０）。

0042

もし双方の電話番号が一致した場合は（ステップＳ１１１）、正常認証と判断し、ネットワーク接続制御部１０２は、ネットワーク接続装置４に利用者端末３からのネットワーク７へのアクセスを許可するよう制御する（ステップＳ１１２）。

0043

ステップＳ１１０で双方の電話番号が一致しない場合は発呼先の電話番号への発呼は無かったものとみなし、ネットワーク接続制御部１０２は、再度発呼先の電話番号への発呼を待機する（ステップＳ１０８）。

0044

もしステップＳ１０８であらかじめ定められた時間内にネットワーク通信部１０５が利用者端末３に対して送信した発呼先の電話番号への発呼が無かった場合（認証失敗の場合）、携帯電話端末通信部１０４は端末情報照合部１０３にその旨を通知する。これにより、端末情報照合部１０３は該当アクセス（利用者端末３からのアクセス）を不正侵入と判断し、ブラックリスト制御部１０１にネットワーク接続制御部１０２が保持している該当アクセスの利用者端末３の端末情報を出力し、ブラックリストに追加する指示を出力する（ステップＳ１１３）。

0045

次に、ブラックリスト制御部１０１は、該当アクセスの利用者端末３の端末情報をブラックリスト記憶部１００に記憶されているブラックリストに追加する。既に登録されている場合は不正侵入の回数（失敗回数）を更新する（ステップＳ１１４）。

0046

次に、ブラックリスト制御部１０１は、更新したブラックリストを、ネットワーク通信部１０５を経由して他のネットワーク認証装置５、６に送信する（ステップＳ１１５）。

0047

最後に他のネットワーク認証装置５、６のブラックリスト制御部５０１、６０１は、ネットワーク通信部５０５、６０５を経由して受信したネットワーク認証装置１のブラックリストを、ブラックリスト記憶部５００、６００に記憶されているブラックリストに追加し更新する（ステップＳ１１６）。更新の方法は差分のみを送信して更新する方法でも、ブラックリスト全体を送信し上書きする方法でもどのような方法でも構わない。また、ブラックリスト制御部１０１は利用者端末３だけではなく、利用者携帯電話端末２の端末情報もブラックリストに追加してよい。この場合は、携帯電話端末通信部１０４はステップＳ１０９において、入手した発呼元の電話番号を、端末情報照合部１０３とともにネットワーク接続制御部１０２にも出力する。出力後、ネットワーク接続制御部１０２はステップＳ１０６〜ステップＳ１０７のブラックリスト確認処理を利用者携帯電話端末２の端末情報に対して行う。

0048

以上で、ネットワーク認証装置１は、他の認証システムと連携したネットワーク認証の動作を終了する。

0049

ブラックリストに登録されている利用者端末３の端末情報の不正侵入回数が何回を超えた場合に接続不可能とするかはシステムの管理者などにより適宜決定される。

0050

また、以上の説明で、端末情報照合部１０３は、ステップＳ１０４で利用者端末３から入手した接続申請情報（利用者携帯電話端末２の電話番号）とステップＳ１０９で入手した発呼元の電話番号とを照合しているが、電話番号以外の端末情報を照合するようにしても良い。

0051

また、第一の利用者端末は、利用者携帯電話端末８に限らず、他の通信端末、コンピュータなどの情報処理端末でも良い。また、携帯電話通信網８の代わりに、他の通信ネットワークが使用されても良い。

0052

次に、本発明の第１の実施の形態の効果について説明する。

0053

上述した本実施形態におけるネットワーク認証装置は、不正侵入のリスクを軽減することができる。

0054

その理由は、以下のような構成を含むからである。即ち、第１に端末情報照合部は、あらかじめ定められた時間内に接続申請情報に記載された電話番号等の端末情報からの発呼が無かった場合、該当アクセスを不正侵入と判断する。第２に、ブラックリスト制御部は、不正侵入のアクセスに使用された利用者端末の端末情報をブラックリストに登録する。第３に、更新されたブラックリストは他のネットワーク認証装置とともに共有される。これにより、他のネットワーク認証装置で検出された不正侵入情報を即座に共有できるため、ネットワーク認証装置は、不正侵入のリスクを軽減することができるという効果が得られる。

0055

［第２の実施形態］
次に、本発明の第２の実施形態について図面を参照して詳細に説明する。以下、本実施形態の説明が不明確にならない範囲で、前述の説明と重複する内容については説明を省略する。

0056

図４は、本発明の第２の実施形態に係るネットワーク認証システム１０００Ａの構成を示すブロック図である。

図４

0057

図４を参照すると、本実施形態におけるネットワーク認証システム１０００Ａは、第１の実施形態のそれと比べて、ネットワーク接続制御部１０２に新たな機能が追加されネットワーク接続制御部１０２Ａとなっている。また、ネットワーク認証装置５、６の代わりにネットワーク第二認証装置９を備える。

図４

0058

ネットワーク第二認証装置９は、本実施形態において利用者端末３が送信する接続申請情報に追加される第二の認証情報によって認証を行う。第二の認証情報とは、例えば所属部門名、役職などである。また、図５のようにネットワーク第二認証装置９はネットワーク認証装置１Ａの一部分、例えば第二認証部１０６であっても良い。

図５

0059

ネットワーク接続制御部１０２Ａは、第１の実施形態のそれに追加して、ネットワーク第二認証装置９（または第二認証部１０６）での認証結果を受信し、認証結果に従って利用者端末３の接続先を制御する。第二の認証情報とは、例えば所属部門名、役職などである。

0060

また、第二の認証情報を認証不要の情報とし、ネットワーク第二認証装置９を設けず、ネットワーク認証装置１の認証結果のみで第二の認証情報に従った接続先制御を行うことも可能である。

0061

次に、ネットワーク認証装置１Ａの他の認証情報と連携したネットワーク認証動作について図６に示すフローチャートを参照して説明する。

図６

0062

ステップＳ１０１、Ｓ１０２は第一の実施形態と同様である。

0063

次に、ネットワーク通信部１０５は、利用者端末３に対して接続申請情報の入力送信要求と利用者携帯電話端末２による発呼要求を送信する（ステップＳ１０３Ａ）。第一の実施形態と異なるのは、接続申請情報に含まれる、発呼させる利用者携帯電話端末２の電話番号を入力させるフォームと、発呼要求に含まれる発呼先の電話番号の他に、第二の認証情報が追加されていることである。ここでは仮に第二の認証情報を利用者の姓名と所属部門名とする。

0064

次に、ネットワーク通信部１０５は、ネットワーク接続装置４経由で利用者端末３から受信した接続申請情報のうち、利用者携帯電話端末２の電話番号を端末情報照合部１０３に送信し、さらに利用者の姓名と所属部門名をネットワーク第二認証装置９に送信し認証させる（ステップＳ１０４Ａ）。

0065

ステップＳ１０５〜Ｓ１１０は第一の実施形態と同様である。

0066

次に、端末情報照合部１０３は、ステップＳ１０４で入手した接続申請情報（発呼させる利用者携帯電話端末２の電話番号）とステップＳ１０９で入手した発呼元の電話番号とを照合し、照合結果をネットワーク接続制御部１０２に送信する。また、ネットワーク第二認証装置９での認証結果をネットワーク接続制御部１０２に送信する（ステップＳ１１０Ａ）。

0067

もし双方の電話番号が一致し、ネットワーク第二認証装置９での認証結果も正常であった場合（ステップＳ１１１Ａ）は、正常認証と判断し、ネットワーク接続制御部１０２はネットワーク接続装置４に利用者端末３からのネットワーク７へのアクセスを、利用者の所属部門が許可されている領域に限定して許可するよう制御する（ステップＳ１１２Ａ）。

0068

もしネットワーク第二認証装置９での認証結果が正常ではなかった場合、第一の実施形態のステップＳ１１２〜Ｓ１１５と同様にブラックリストの更新処理を行っても良い。

0069

以上で、ネットワーク認証装置１Ａは、他の認証情報と連携したネットワーク認証の動作を終了する。

0070

次に、本発明の第２の実施の形態の効果について説明する。

0071

上述した本実施形態におけるネットワーク認証装置は、利用者によって許可する接続先を変更するなどの高度な制御を行うことができる。

0072

その理由は、以下のような構成を含むからである。即ち、第１にネットワーク第二認証装置は、第二の認証情報によって認証を行う。第２に、ネットワーク接続制御部は、ネットワーク第二認証装置の認証結果によって利用者それぞれの接続権限を確認できる。したがって、利用者によって許可する接続先を変更するなどの高度な制御を行うことができるという効果が得られる。

0073

以上説明した、本発明の各実施形態における各構成要素は、その機能をハードウェア的に実現することはもちろん、プログラム制御に基づくコンピュータ装置、ファームウェアで実現することができる。プログラムは、磁気ディスクや半導体メモリなどのコンピュータ可読記録媒体に記録されて提供され、コンピュータの立ち上げ時などにコンピュータに読み取られる。この読み取られたプログラムは、そのコンピュータの動作を制御することにより、そのコンピュータを前述した各実施の形態における構成要素として機能させる。

0074

以上、各実施の形態を参照して本発明を説明したが、本発明は上記実施の形態に限定されるものではない。本発明の構成や詳細には、本発明のスコープ内で当業者が理解しえる様々な変更をすることができる。

0075

たとえば、以上の各実施形態で説明した各構成要素は、必ずしも個々に独立した存在である必要はない。例えば、各構成要素は、複数の構成要素が１個のモジュールとして実現されたり、一つの構成要素が複数のモジュールで実現されたりしてもよい。また、各構成要素は、ある構成要素が他の構成要素の一部であったり、ある構成要素の一部と他の構成要素の一部とが重複していたり、といったような構成であってもよい。

0076

また、以上説明した各実施形態では、複数の動作をフローチャートの形式で順番に記載してあるが、その記載の順番は複数の動作を実行する順番を限定するものではない。このため、各実施形態を実施するときには、その複数の動作の順番は内容的に支障しない範囲で変更することができる。

0077

さらに、以上説明した各実施形態では、複数の動作は個々に相違するタイミングで実行されることに限定されない。例えば、ある動作の実行中に他の動作が発生したり、ある動作と他の動作との実行タイミングが部分的に乃至全部において重複していたりしていてもよい。

0078

さらに、以上説明した各実施形態では、ある動作が他の動作の契機になるように記載しているが、その記載はある動作と他の動作の全ての関係を限定するものではない。このため、各実施形態を実施するときには、その複数の動作の関係は内容的に支障のない範囲で変更することができる。また各構成要素の各動作の具体的な記載は、各構成要素の各動作を限定するものではない。このため、各構成要素の具体的な各動作は、各実施形態を実施する上で機能的、性能的、その他の特性に対して支障をきたさない範囲内で変更されて良い。

0079

１、１Ａ、５、６ネットワーク認証装置
２利用者携帯電話端末
３利用者端末
４ネットワーク接続装置
７ネットワーク
８携帯電話通信網
９ネットワーク第二認証装置
１０ネットワークインタフェース
１１ＣＰＵ
１２出力装置
１３入力装置
１４主記憶装置
１５二次記憶装置
１００、５００、６００ブラックリスト記憶部
１０１、５０１、６０１ブラックリスト制御部
１０２、１０２Ａネットワーク接続制御部
１０３端末情報照合部
１０４携帯電話端末通信部
１０５、５０５、６０５ネットワーク通信部
１０６第二認証部
１０００、１０００Ａネットワーク認証システム