図面 (/)

技術 ネットワークアクセス制御方法、ネットワークアクセス制御システム、認証処理装置、アクセス制御装置、代理要求装置およびアクセス要求装置

出願人 富士通株式会社
発明者 岩本勝徳石西洋青柳好織
出願日 2006年5月26日 (13年3ヶ月経過) 出願番号 2008-517726
公開日 2009年10月1日 (9年11ヶ月経過) 公開番号 WO2007-138663
状態 特許登録済
技術分野 オンライン・システムの機密保護
主要キーワード ポート番 Webプロキシ コンピュータ単位 アクセス要求装置 押下状況 装置識別データ 代理アクセス アクセス許可データ
関連する未来課題
重要な関連分野

この項目の情報は公開日時点(2009年10月1日)のものです。
また、この項目は機械的に抽出しているため、正しく解析できていない場合があります

図面 (20)

課題・解決手段

アクセス要求装置40が認証処理装置10に直接要求するのではなく、アクセス要求装置40の要請を受けて代理要求装置30が認証処理装置10に自己の認証データで要求し、認証処理装置10がその要請を受けて認証処理結果に基づくアクセス制御データアクセス制御装置20に配布するので、管理管轄外の情報端末であるアクセス要求装置40であっても、このアクセス要求装置40が管理管轄内の情報端末である代理要求装置30にアクセス要求して代理要求装置30、アクセス制御装置20及び認証処理装置10の処理が実行された後であれば、アクセス要求したアクセス要求装置40からのネットワークアクセスに対してアクセス制御装置20の制御が変わってネットワークへアクセスすることができる。

概要

背景

近年、コンピュータの小型化・高性能化に伴い、情報端末利用者が自社のオフィス内に限定せず、移動中や出先等のあらゆる場所で、前記情報端末を活用して業務を遂行することが可能になってきている。情報端末を活用した業務としては、メールやWebアプリケーションを利用する形態が一般的であるため、あらゆる場所でネットワークへの接続環境を維持することは、あらゆる場所で業務を遂行するための必要条件となっている。

一方で、企業のイントラネットワーク等においては、情報漏洩コンピュータウィルス侵入等のリスクを回避するために、ネットワークのアクセス管理を厳しく行っており、部外者によるネットワークの接続を排除する傾向にある。この様な規制は、前記リスクを回避するための手段の一つではあるが、社外からの訪問者の利便性を損なうだけで無く、ネットワークを活用した訪問者との共同作業(例えば、電子会議等)も実現不可能となるため、訪問者が持ち込んだ情報端末を適切なアクセス制御ポリシに基づいてネットワークに接続させることは、企業同士の業務連携における重要な課題となっている。

現在、世界に広く普及しているTCP/IPネットワークにおいて、ネットワークに接続しようとする情報端末あるいはその利用者の認証を行い、当該情報端末に対するアクセス制御データ配付する手段として、RADIUS(Remote Authentication Dial In User Service)が存在する。RADIUSについては、RFC2865等に記述されている。

RADIUSによれば、RADIUSサーバはRADIUSクライアントから情報端末に関する認証要求を受信し、前記RADIUSサーバは事前に設定されたアクセス制御ポリシに基づいて情報端末あるいはその利用者を認証し、RADIUSクライアントはRADIUSサーバから当該情報端末に対するアクセス制御データを含む認証応答を受信し、情報端末はRADIUSクライアントから前記アクセス制御データを取得し、情報端末およびRADIUSクライアントは前記アクセス制御データに基づくアクセス制御を実行することにより、情報端末ごとあるいは利用者ごとに適切なアクセス制御ポリシに基づいて、ネットワークへのアクセスを制御することが可能である。
特許文献1:特開2003−345752号公報
特許文献2:特開平08−335208号公報

概要

アクセス要求装置40が認証処理装置10に直接要求するのではなく、アクセス要求装置40の要請を受けて代理要求装置30が認証処理装置10に自己の認証データで要求し、認証処理装置10がその要請を受けて認証処理結果に基づくアクセス制御データをアクセス制御装置20に配布するので、管理管轄外の情報端末であるアクセス要求装置40であっても、このアクセス要求装置40が管理管轄内の情報端末である代理要求装置30にアクセス要求して代理要求装置30、アクセス制御装置20及び認証処理装置10の処理が実行された後であれば、アクセス要求したアクセス要求装置40からのネットワークのアクセスに対してアクセス制御装置20の制御が変わってネットワークへアクセスすることができる。

目的

本発明は、上記の点に鑑みなされたものであり、外部ネットワークサーバに認証要求を転送する必要がなく、管理管轄外の情報端末に対するアクセス制御ポリシを時限的に設定する必要がない、管理管轄に属していない情報端末あるいは利用者が対象ネットワークを利用することができるネットワークアクセス制御方法ネットワークアクセス制御システム、認証処理装置、アクセス制御装置、代理要求装置及びアクセス要求装置を提供することを総括的な目的とする。

効果

実績

技術文献被引用数
3件
牽制数
1件

この技術が所属する分野

ライセンス契約や譲渡などの可能性がある特許掲載中! 開放特許随時追加・更新中 詳しくはこちら

請求項1

アクセス制御装置ネットワークへのアクセス試みるアクセス要求装置からのネットワークアクセスを制御するネットワークアクセス制御方法であって、代理要求装置は、アクセス要求装置からのアクセス要求装置の識別情報を含むアクセス要求を受信して代理要求装置の利用者許可を受け、アクセス要求装置の識別情報及び代理要求装置の認証データを含む代理アクセス要求をアクセス制御装置に行うステップと、アクセス制御装置が代理アクセス要求のアクセス要求装置の識別情報を記録すると共に、代理要求装置の認証データを含む許諾認証要求認証処理装置に行うステップと、認証処理装置は、許諾認証要求の認証データを認証処理し、許諾認証要求したアクセス制御装置に認証処理結果に基づいたアクセス制御データ配付するステップと、アクセス制御装置が認証処理装置から配布されたアクセス制御データに基づいて記録したアクセス要求装置の識別情報で識別されるアクセス要求装置からのネットワークアクセスを制御するステップとを含むネットワークアクセス制御方法。

請求項2

アクセス制御装置がネットワークへのアクセスを試みるアクセス要求装置からのネットワークアクセスを制御するネットワークアクセス制御方法であって、代理要求装置は、アクセス要求装置からのアクセス要求装置の識別情報を含むアクセス要求を受信して代理要求装置の利用者の許可を受け、アクセス要求装置の識別情報及び代理要求装置の認証データを含む代理アクセス要求をアクセス制御装置に行うステップと、アクセス制御装置が代理アクセス要求のアクセス要求装置の識別情報を記録すると共に、代理要求装置の認証データを含む許諾認証要求を認証処理装置に行うステップと、認証処理装置は、許諾認証要求の認証データを認証処理し、許諾認証要求したアクセス制御装置に認証処理結果に基づいたアクセス制御データを配付するステップと、アクセス制御装置が認証処理装置から配布されたアクセス制御データを記録すると共に、代理要求装置にアクセス制御データを代理アクセス要求した代理要求装置に送信するステップと、代理要求装置がアクセス制御装置から送信されたアクセス制御データをアクセス要求したアクセス要求装置に送信するステップと、アクセス要求装置が代理要求装置から送信されたアクセス制御データを記録するステップと、代理要求装置からのアクセス制御データを記録した後に、前記アクセス要求装置が記録したアクセス制御データに基づくネットワークアクセスを実行するステップと、アクセス制御装置が記録したアクセス制御データに基づいて記録したアクセス要求装置の識別情報で識別されるアクセス要求装置からのネットワークアクセスを制御するステップとを含むネットワークアクセス制御方法。

請求項3

前記アクセス制御データにはアクセス制御データの有効時間が含まれ、前記アクセス制御装置が記録したアクセス制御データの有効時間が満了した場合には、アクセス制御装置が該当アクセス制御データを削除するステップを新たに含む前記請求項1または2に記載のネットワークアクセス制御方法。

請求項4

前記アクセス要求装置は、アクセス制御データの有効時間の少なくとも満了前に、前記アクセス要求した代理要求装置に対してアクセス要求を送信するステップを新たに含む前記請求項3に記載のネットワークアクセス制御方法。

請求項5

アクセス制御装置がネットワークへのアクセスを試みるアクセス要求装置からのネットワークアクセスを制御するネットワークアクセス制御システムであって、代理要求装置及び認証処理装置を含み、代理要求装置は、アクセス要求装置からのアクセス要求装置の識別情報を含むアクセス要求を受信する手段、アクセス要求してきたアクセス要求装置からのアクセス要求に対する代理要求装置の利用者の許可を受ける手段、及び、代理要求装置の利用者の許可を受けた後にアクセス要求装置の識別情報及び代理要求装置の認証データを含む代理アクセス要求をアクセス制御装置に行う手段を含み、アクセス制御装置は、代理アクセス要求のアクセス要求装置の識別情報を記録する手段、代理要求装置の認証データを含む許諾認証要求を認証処理装置に行う手段、及び、認証処理装置から配布されるアクセス制御データに基づいて記録したアクセス要求装置の識別情報で識別されるアクセス要求装置からのネットワークアクセスを制御する手段を含み、認証処理装置は、許諾認証要求の認証データを認証処理する手段、及び、許諾認証要求したアクセス制御装置に認証処理結果に基づいたアクセス制御データを配付する手段を含むネットワークアクセス制御システム。

請求項6

代理要求装置がアクセス要求装置に代わってアクセス制御データの取得を行うネットワークアクセス制御方法であって、代理要求装置はアクセス要求装置からのアクセス要求の受信を契機にアクセス制御データの取得処理を実行するステップと、認証処理装置は代理要求装置に対する認証処理結果を元に、アクセス制御装置にアクセス制御データを配付するステップと、前記アクセス要求装置は前記アクセス要求の応答によって前記代理要求装置から取得した前記アクセス制御データに基づくネットワークアクセスを実行するステップと、前記アクセス制御装置は前記代理要求装置の取得処理において配付された前記アクセス制御データに基づいてネットワークアクセス制御を行うステップとを含むネットワークアクセス制御方法。

請求項7

代理要求装置がアクセス要求装置に代わってアクセス制御データの取得を行うネットワークアクセス制御システムであって、前記代理要求装置は前記アクセス要求装置からのアクセス要求受信を契機にアクセス制御データの取得処理を実行するアクセス制御データ取得手段を含み、前記認証処理装置は前記代理要求装置に対する認証処理結果を元に、アクセス制御装置にアクセス制御データの配布を行うアクセス制御データ配付手段を含み、前記アクセス制御装置は前記代理要求装置の取得処理において配付された前記アクセス制御データに基づいてネットワークアクセス制御を行うアクセス制御手段を含み、前記アクセス要求装置は前記代理要求装置から取得した前記アクセス制御データに基づくネットワークアクセスを実行するアクセス実行手段を含むネットワークアクセス制御システム。

請求項8

代理要求装置がアクセス要求装置に代わってアクセス制御データの取得を行うネットワークアクセス制御システムで用いる認証処理装置であって、代理要求装置による代理アクセス要求の受信を契機にアクセス制御装置より送信される許諾認証要求に基づき、前記代理要求装置の正当性および前記アクセス要求装置へのアクセス許諾可否について認証処理を実行する許諾認証処理手段と、許諾認証処理の結果に応じて前記アクセス要求装置に対するアクセス制御データを含む許諾認証応答を生成する許諾認証応答生成手段と、前記許諾認証応答によってアクセス制御データをアクセス制御装置に配付するアクセス制御データ配付手段を含む認証処理装置。

請求項9

代理要求装置がアクセス要求装置に代わってアクセス制御データの取得を行うネットワークアクセス制御システムで用いるアクセス制御装置であって、前記代理要求装置による代理アクセス要求の受信を契機に前記アクセス要求装置に対するアクセス制御データを取得するための許諾認証要求を生成する許諾認証要求生成手段と、当該許諾認証要求に対する応答である許諾認証応答を受信時に、当該許諾認証応答に含まれる前記アクセス制御データを抽出して設定するアクセス制御データ設定手段と、前記許諾認証応答の内容を元に前記代理アクセス要求の応答である代理アクセス応答を生成する代理アクセス応答生成手段と、前記代理アクセス応答によってアクセス制御データを代理要求装置に配付するアクセス制御データ配付手段と、前記アクセス制御データに基づいて前記アクセス要求装置のネットワークアクセスを制御するアクセス制御手段を含むアクセス制御装置。

請求項10

代理要求装置がアクセス要求装置に代わってアクセス制御データの取得を行うネットワークアクセス制御システムの代理要求装置であって、アクセス要求装置によるアクセス要求の受信を契機に前記アクセス要求装置に対するアクセス制御データを取得するための代理アクセス要求を生成する代理アクセス要求生成手段と、当該代理アクセス要求の応答である代理アクセス応答を受信時に、当該代理アクセス応答からアクセス制御データを抽出し、前記アクセス制御データを含むアクセス応答を生成するアクセス応答生成手段と、前記アクセス応答によって前記アクセス制御データを前記アクセス要求装置に配付するアクセス制御データ配付手段を含む代理要求装置。

請求項11

代理要求装置がアクセス要求装置に代わってアクセス制御データの取得を行うネットワークアクセス制御システムのアクセス要求装置であって、代理要求装置にアクセス制御データの取得を依頼するためのアクセス要求を生成するアクセス要求生成手段と、当該アクセス要求の応答であるアクセス応答を受信時に、当該アクセス応答よりアクセス制御データを抽出するアクセス制御データ抽出手段と、当該アクセス制御データに基づくネットワークアクセスを実行するアクセス実行手段を含むアクセス要求装置。

請求項12

前記アクセス制御データは、アクセスに関する種別および利用可否を示すアクセス認可データを含む前記請求項7に記載のネットワークアクセス制御システム。

請求項13

前記アクセス制御データは、アクセスに関する種別および利用可否を示すアクセス認可データと、当該アクセスを実行するために必要なアクセス実行データを含む前記請求項7に記載のネットワークアクセス制御システム。

請求項14

アクセス認可データは、さらにアクセス認可データの有効時間を含む前記請求項12または13に記載のネットワークアクセス制御システム。

請求項15

前記アクセス実行データは、IPアドレスサブネットマスクを含む前記請求項13に記載のネットワークアクセス制御システム。

請求項16

前記アクセス実行データは、Proxyアドレスポート番号を含む前記請求項13に記載のネットワークアクセス制御システム。

請求項17

前記アクセス制御データは、アクセスに関する種別および利用可否を示すアクセス認可データと、当該アクセスを実行するために必要なアクセス実行データを含み、アクセス認可データは、さらにアクセス認可データの有効時間を含み、前記アクセス制御装置は、アクセス認可データに含まれる有効時間の満了を契機に、アクセス管理データより該当エントリを削除するアクセス管理データ削除手段をさらに含む前記請求項9に記載のアクセス制御装置。

請求項18

前記アクセス制御データは、アクセスに関する種別および利用可否を示すアクセス認可データと、当該アクセスを実行するために必要なアクセス実行データを含み、アクセス認可データは、さらにアクセス認可データの有効時間を含み、前記アクセス要求装置は、さらにアクセス認可データに含まれる有効時間の満了前に、代理要求装置に対してアクセス要求を送信し、アクセス制御データを再取得することによりアクセスの利用を継続するアクセス継続手段を有する前記請求項11に記載のアクセス要求装置。

技術分野

0001

本発明は、企業内ネットワークのようにネットワークへの接続が厳密に管理される環境において好適なネットワークアクセス制御方法ネットワークアクセス制御システム認証処理装置アクセス制御装置代理要求装置およびアクセス要求装置に関する。

背景技術

0002

近年、コンピュータの小型化・高性能化に伴い、情報端末利用者が自社のオフィス内に限定せず、移動中や出先等のあらゆる場所で、前記情報端末を活用して業務を遂行することが可能になってきている。情報端末を活用した業務としては、メールやWebアプリケーションを利用する形態が一般的であるため、あらゆる場所でネットワークへの接続環境を維持することは、あらゆる場所で業務を遂行するための必要条件となっている。

0003

一方で、企業のイントラネットワーク等においては、情報漏洩コンピュータウィルス侵入等のリスクを回避するために、ネットワークのアクセス管理を厳しく行っており、部外者によるネットワークの接続を排除する傾向にある。この様な規制は、前記リスクを回避するための手段の一つではあるが、社外からの訪問者の利便性を損なうだけで無く、ネットワークを活用した訪問者との共同作業(例えば、電子会議等)も実現不可能となるため、訪問者が持ち込んだ情報端末を適切なアクセス制御ポリシに基づいてネットワークに接続させることは、企業同士の業務連携における重要な課題となっている。

0004

現在、世界に広く普及しているTCP/IPネットワークにおいて、ネットワークに接続しようとする情報端末あるいはその利用者の認証を行い、当該情報端末に対するアクセス制御データ配付する手段として、RADIUS(Remote Authentication Dial In User Service)が存在する。RADIUSについては、RFC2865等に記述されている。

0005

RADIUSによれば、RADIUSサーバはRADIUSクライアントから情報端末に関する認証要求を受信し、前記RADIUSサーバは事前に設定されたアクセス制御ポリシに基づいて情報端末あるいはその利用者を認証し、RADIUSクライアントはRADIUSサーバから当該情報端末に対するアクセス制御データを含む認証応答を受信し、情報端末はRADIUSクライアントから前記アクセス制御データを取得し、情報端末およびRADIUSクライアントは前記アクセス制御データに基づくアクセス制御を実行することにより、情報端末ごとあるいは利用者ごとに適切なアクセス制御ポリシに基づいて、ネットワークへのアクセスを制御することが可能である。
特許文献1:特開2003−345752号公報
特許文献2:特開平08−335208号公報

発明が解決しようとする課題

0006

前記RADIUSサーバは、管理管轄に属していない情報端末あるいは利用者に関する認証要求を受信する時、当該認証要求を前記情報端末の管理元RADIUSサーバに転送し、当該RADIUSサーバから認証応答を受信するプロキシ機能を備えており、管理管轄外の情報端末に対する認証を間接的に実行することができる。

0007

本技術によれば、他社より来訪した社員が持ち込んだ情報端末の認証要求は当該社員の所属先企業のRADIUSサーバに転送され、認証結果は自社ネットワークを管理するRADIUSサ
ーバに返信されるため、自社ネットワークを管理するRADIUSサーバは、ネットワークへの接続を要求しているのが確かに該当企業の社員であり、ネットワークへの接続が許可されたものであるかを確認することができる。即ち、訪問者が持ち込んだ情報端末に対しても自社が管理する情報端末と同様に、適切なアクセス制御ポリシに基づいて、ネットワークへのアクセスを制御することが可能である。

0008

しかし、前記技術におけるプロキシ機能では自社及び管理元のRADIUSサーバが連携することが前提となるため、自社及び管理元ネットワークがともにRADIUSによる認証方式を採用し、両方のRADIUSサーバ同士が通信可能な環境を構築にしておく必要がある。加えて、管理元のRADIUSサーバによる認証結果に基づいて、自社ネットワークのアクセス制御を実現するため、企業間で事前に適切な契約あるいはルールを交わしておくことが必要であり、限られた部門同士の業務連携や短期間の業務連携における実現手段とする場合において、導入のための敷居が高く、また柔軟性にかけるという問題がある。

0009

一方、業務連携の期間中だけ、自社ネットワークのRADIUSサーバに他社社員の情報端末に対するアクセス制御ポリシを設定し、一時的に自社ネットワークの管理管轄におくことにより、自社情報端末と同様にアクセス制御を実現する運用も可能であるが、アクセス制御ポリシの設定に関わる手続きにおける手間の発生による管理コストの増加や期間終了後の認証情報の削除漏れ等によるセキュリティ低下の問題がある。

0010

なお、以上説明したRADIUS以外に本発明に関連する技術として、特開2003−345752号公報及び特開平08−335208号公報に開示される技術が存在する。この公知技術は、前者がユーザ端末からの要求に応じてサービス提供サーバへのログイン代行する認証管理サーバに関するものであり、後者がアクセス要求ノードの代わりに他の正当性の確認を経たノードがアクセス対象のノードにアクセス要求をアクセス要求ノードの情報を用いてアクセスするものである。前者の公知技術は既に説示した問題を解決することができないことは明らかであり、後者の公知技術を適用した場合であっても、例えば、他社より来訪した社員が持ち込んだ情報端末の代わりに自社が管理する情報端末がRADIUSクライアントを経てRADIUSサーバに対して認証要求するものの、認証の対象となる情報が他社より来訪した社員又はその社員が持ち込んだ情報端末の情報(ID及びパスワード等)であり、結局のところ、認証を実行するためにその社員が所属する組織のRADIUSサーバとの連携が別途必要となり、前記問題を解決することはできない。

0011

本発明は、上記の点に鑑みなされたものであり、外部ネットワークサーバに認証要求を転送する必要がなく、管理管轄外の情報端末に対するアクセス制御ポリシを時限的に設定する必要がない、管理管轄に属していない情報端末あるいは利用者が対象ネットワークを利用することができるネットワークアクセス制御方法、ネットワークアクセス制御システム、認証処理装置、アクセス制御装置、代理要求装置及びアクセス要求装置を提供することを総括的な目的とする。

課題を解決するための手段

0012

[1] 本発明に係るネットワークアクセス制御方法は、アクセス制御装置がネットワークへのアクセスを試みるアクセス要求装置からのネットワークアクセスを制御するネットワークアクセス制御方法であって、代理要求装置は、アクセス要求装置からのアクセス要求装置の識別情報を含むアクセス要求を受信して代理要求装置の利用者の許可を受け、アクセス要求装置の識別情報及び代理要求装置の認証データを含む代理アクセス要求をアクセス制御装置に行うステップと、アクセス制御装置が代理アクセス要求のアクセス要求装置の識別情報を記録すると共に、代理要求装置の認証データを含む許諾認証要求を認証処理装置に行うステップと、認証処理装置は、許諾認証要求の認証データを認証処理し、許諾認証要求したアクセス制御装置に認証処理結果に基づいたアクセス制御データを配付
するステップと、アクセス制御装置が認証処理装置から配布されたアクセス制御データに基づいて記録したアクセス要求装置の識別情報で識別されるアクセス要求装置からのネットワークアクセスを制御するステップとを含むものである。

0013

このように本発明によれば、アクセス要求装置が認証処理装置に直接要求するのではなく、アクセス要求装置の要請を受けて代理要求装置が認証処理装置に自己の認証データで要求し、認証処理装置がその要請を受けて認証処理結果に基づくアクセス制御データをアクセス制御装置に配布するので、管理管轄外の情報端末であるアクセス要求装置であっても、このアクセス要求装置が管理管轄内の情報端末である代理要求装置にアクセス要求して代理要求装置、アクセス制御装置及び認証処理装置の処理が実行された後であれば、アクセス要求したアクセス要求装置からのネットワークのアクセスに対してアクセス制御装置の制御が変わってネットワークへアクセスすることができるという効果を奏する。

0014

アクセス要求装置は代理要求装置を介してアクセス制御データを受ける構成とすることもできるが、アクセス要求装置が代理要求装置にアクセス要求した後に、アクセス要求装置がアクセス制御装置に所定間隔で情報を送信する構成の場合には代理要求装置を介してアクセス制御データをアクセス要求装置が受ける必要は必ずしもない。

0015

[2] 本発明に係るネットワークアクセス制御方法は、アクセス制御装置がネットワークへのアクセスを試みるアクセス要求装置からのネットワークアクセスを制御するネットワークアクセス制御方法であって、アクセス要求装置が、アクセス要求装置の識別情報を含むアクセス要求を代理要求装置に行うステップと、代理要求装置は、アクセス要求装置からのアクセス要求装置の識別情報を含むアクセス要求を受信して代理要求装置の利用者の許可を受け、アクセス要求装置の識別情報及び代理要求装置の認証データを含む代理アクセス要求をアクセス制御装置に行うステップと、アクセス制御装置が代理アクセス要求のアクセス要求装置の識別情報を記録すると共に、代理要求装置の認証データを含む許諾認証要求を認証処理装置に行うステップと、認証処理装置は、許諾認証要求の認証データを認証処理し、許諾認証要求したアクセス制御装置に認証処理結果に基づいたアクセス制御データを配付するステップと、アクセス制御装置が認証処理装置から配布されたアクセス制御データを記録すると共に、代理要求装置にアクセス制御データを代理アクセス要求した代理要求装置に送信するステップと、代理要求装置がアクセス制御装置から送信されたアクセス制御データをアクセス要求したアクセス要求装置に送信するステップと、アクセス要求装置が代理要求装置から送信されたアクセス制御データを記録し、記録したアクセス制御データに基づくネットワークアクセスを実行するステップと、アクセス制御装置が記録したアクセス制御データに基づいて記録したアクセス要求装置の識別情報で識別されるアクセス要求装置からのネットワークアクセスを制御するステップとを含むものである。

0016

アクセス要求装置が受けるアクセス制御情報には、アクセス要求装置がネットワークへ情報を送信する場合に送信情報に付加する必要のある情報を含んでいることが望ましい。アクセス制御装置に送信情報に付加する必要のある情報を含んでいない場合には、ネットワークへアクセスすることが可能となった後に、別の装置からその情報を受けてもよい。その情報は、たとえば、IPアドレスサブネットマスクデフォルトゲートウェイである。別の装置は、たとえば、DHCP(Dynamic Host Configuration Protocol)サーバである。

0017

[3] 本発明に係るネットワークアクセス制御方法は必要に応じて、前記アクセス制御データにはアクセス制御データの有効時間が含まれ、前記アクセス制御装置が記録したアクセス制御データの有効時間が満了した場合には、アクセス制御装置が該当アクセス制御データを削除するステップを新たに含むものである。

0018

このように本発明によれば、アクセス制御データの有効時間が満了するとアクセス制御装置が該当アクセス制御データを削除するので、アクセス制御装置が認証処理装置からアクセス制御装置を受ける前と同じようにアクセス要求装置の識別情報で識別されるアクセス要求装置からのネットワークのアクセスを制御し、このアクセス要求装置がネットワークにアクセスすることができなくなり、一旦ネットワークへのアクセスを許可された場合であっても永続的にネットワークへアクセスできるのではなく、許された時間のみネットワークのアクセスがアクセス要求装置に与えられ、必要範囲で適切なネットワークアクセスの制御を実現することができるという効果を有する。

0019

[4] 本発明に係るネットワークアクセス制御方法は必要に応じて、前記アクセス要求装置は、アクセス制御データの有効時間の少なくとも満了前に、前記アクセス要求した代理要求装置に対してアクセス要求を送信するステップを新たに含むものである。

0020

このように本発明によれば、アクセス要求装置がアクセス制御データの有効時間の満了前に代理要求装置に対してアクセス要求するので、アクセス制御装置で有効時間の満了と共に削除される予定のアクセス制御データが削除されず、当初のアクセス制御データの有効時間の満了以降もアクセス要求装置がネットワークへアクセスすることができるという効果を有する。

0021

代理要求装置に対する再度のアクセス要求により、最初にアクセス要求したように処理してアクセス制御装置に認証処理装置からのアクセス制御データが再配布される構成であってもよいが、代理要求装置からのアクセス制御装置へアクセス要求装置のネットワークアクセスの延長を要請する構成であってもよい。この要請時にはアクセス要求装置の識別情報の他、追加する有効時間を伴わせてもよい。

0022

[5] 本発明に係るネットワークアクセス制御システムは、アクセス制御装置がネットワークへのアクセスを試みるアクセス要求装置からのネットワークアクセスを制御するネットワークアクセス制御システムであって、代理要求装置及び認証処理装置を含み、代理要求装置は、アクセス要求装置からのアクセス要求装置の識別情報を含むアクセス要求を受信する手段、アクセス要求してきたアクセス要求装置からのアクセス要求に対する代理要求装置の利用者の許可を受ける手段、及び、代理要求装置の利用者の許可を受けた後にアクセス要求装置の識別情報及び代理要求装置の認証データを含む代理アクセス要求をアクセス制御装置に行う手段を含み、アクセス制御装置は、代理アクセス要求のアクセス要求装置の識別情報を記録する手段、代理要求装置の認証データを含む許諾認証要求を認証処理装置に行う手段、及び、認証処理装置から配布されるアクセス制御データに基づいて記録したアクセス要求装置の識別情報で識別されるアクセス要求装置からのネットワークアクセスを制御する手段を含み、認証処理装置は、許諾認証要求の認証データを認証処理する手段、及び、許諾認証要求したアクセス制御装置に認証処理結果に基づいたアクセス制御データを配付する手段を含むものである。

0023

「アクセス要求してきたアクセス要求装置からのアクセス要求に対する代理要求装置の利用者の許可を受ける手段」は、代理要求装置が構築されているコンピュータ等のキーボード等の入力手段を介して入力されるアクセス要求してきたアクセス要求装置からのアクセス要求に対する代理要求装置の利用者の許可の情報を受ける手段である。

0024

[6] 本発明のネットワークアクセス制御方法は、管理管轄に属する情報端末である代理要求装置が管理管轄外の情報端末であるアクセス要求装置に代わってアクセス制御データの取得を行うネットワークアクセス制御方法であって、代理要求装置はアクセス要求装置からのアクセス要求の受信を契機にアクセス制御データの取得処理を実行し、認証処理装置は代理要求装置に対する認証結果を元に、アクセス要求装置に対するアクセス制御データの配付を行い、アクセス制御装置は前記代理要求装置による取得処理において配付された前記アクセス制御データに基づいてネットワークアクセス制御を行い、前記アクセス要求装置は前記アクセス要求の応答によって前記代理要求装置から取得した前記アクセス制御データに基づくネットワークアクセスを実行するものである。
これら前記の発明の概要は、本発明に必須となる特徴を列挙したものではなく、これら複数の特徴のサブコンビネーションも発明となり得る。

発明の効果

0025

本発明によれば、ネットワークに接続するための認証処理は自社のネットワーク内に閉じられるため、企業同士のサーバ連携を必要としない。また、アクセス要求装置のネットワークアクセスに際して、代理要求装置が認証手続きを実行する過程でアクセス制御装置および前記アクセス要求装置にアクセス制御データを配付することが可能であるため、前記アクセス要求装置によるネットワークアクセスが適切な権利を有する情報端末あるいは利用者によって許諾されたことを確認することができる。これらの特徴により、本発明によるネットワークアクセス制御方法は従来技術と比較して、より簡易且つ柔軟に来訪者が持ち込んだ情報端末を適切なアクセス制御ポリシに基づいてネットワークに接続させることができる。

図面の簡単な説明

0026

本発明のネットワークアクセス制御システムの一実施形態のシステム構成図である。
ネットワークアクセス制御システムの構成要素が構築されているコンピュータのハードウェア構成図である。
認証処理装置の機能ブロック図である。
アクセス制御装置の機能ブロック図である。
代理要求装置の機能ブロック図である。
アクセス要求装置の機能ブロック図である。
認証管理データの構成図である。
アクセス管理データの構成図である。
アクセス制御データの構成図である。
認証処理装置が実行する処理のフローチャートである。
アクセス制御装置が実行する処理のフローチャートである。
アクセス制御装置が実行する処理のフローチャートである。
代理要求装置が実行する処理のフローチャートである。
アクセス要求装置が実行する処理のフローチャートである。
本発明のネットワークアクセス制御シーケンスを説明するための図である。
代理要求装置のディスプレイ上のウィンドウ表示例である。
本発明のネットワークアクセス制御シーケンスを説明するための図である。
本発明のネットワークアクセス制御システムの実施例1のシステム構成図である。
実施例1の認証管理データの構成例を示す図である。
実施例1のアクセス管理データの構成例を示す図である。
実施例1のアクセス制御データの構成例を示す図である。
実施例1のネットワークアクセス制御シーケンスを説明するための図である。
本発明のネットワークアクセス制御システムの実施例2のシステム構成図である。
実施例2の認証管理データの構成例を示す図である。
実施例2のアクセス管理データの構成例を示す図である。
実施例2のアクセス制御データの構成例を示す図である。
実施例2のネットワークアクセス制御シーケンスを説明するための図である。

符号の説明

0027

10認証処理装置
11データ送受信
12認証要求処理部
13認証管理データ
20アクセス制御装置
21 データ送受信部
22アクセス制御部
23アクセス管理データ
24アクセス要求処理部
30代理要求装置
31 データ送受信部
32 アクセス要求処理部
33 認証データ
40アクセス要求装置
41 データ送受信部
42 アクセス要求実行部
43装置識別データ
44アクセス処理
45アクセス実行データ
100コンピュータ
111 CPU
112 RAM
113 ROM
114フラッシュメモリ
115 HD
116LANカード
117マウス
118キーボード
119ビデオカード
119aディスプレイ
120サウンドカード
120aスピーカ
121 ドライブ

発明を実施するための最良の形態

0028

ここで、本発明は多くの異なる形態で実施可能である。したがって、下記の実施形態の記載内容のみで解釈すべきではない。また、実施形態の全体を通して同じ要素には同じ符号を付けている。

0029

実施形態では、主にシステムについて説明するが、所謂当業者であれば明らかな通り、本発明はコンピュータで使用可能なプログラム、方法としても実施できる。また、本発明は、ハードウェアソフトウェア、または、ソフトウェア及びハードウェアの実施形態で実施可能である。プログラムは、ハードディスクCD−ROM、DVD−ROM、光記憶装置または磁気記憶装置等の任意のコンピュータ可読媒体に記録できる。さらに、プログラムはネットワークを介した他のコンピュータに記録することができる。

0030

1.第1の実施形態
以下、図面に基づいて本発明の実施形態について説明する。
[1]システム構成
図1は、本発明のネットワークアクセス制御システムのシステム構成図を示す。同図中に示す通り、ネットワークアクセス制御システムは、認証処理装置10、アクセス制御装置20、代理要求装置30及びアクセス要求装置40からなる。認証処理装置10とアクセス制御装置20とは通信ネットワーク50を介して情報を送受信できる。アクセス制御装置20と代理要求装置30及びアクセス要求装置40とは少なくとも物理層において通信可能な状態となっている。認証処理装置10およびアクセス制御装置20および代理要求装置30および通信ネットワーク50は、同一の管理管轄に属するものであって、アクセス要求装置40は、これらとは異なる管理管轄に属するものである。

0031

[2]ハードウェア構成
図2はネットワークアクセス制御システムの構成要素が構築されているコンピュータのハードウェア構成図である。
代理要求装置30が構築されているコンピュータ100は、CPU(Central Processing Unit)111、RAM(Random Access Memory)112、ROM(Read Only Memory)113、フラッシュメモリ(Flash memory)114、外部記憶装置であるHD(Hard disk)115、LAN(Local Area Network)カード116、マウス117、キーボード118、ビデオカード119、このビデオカード119と電気的に接続する表示装置であるディスプレイ119a、サウンドカード120、このサウンドカード120と電気的に接続する音出力装置であるスピーカ120a及びフロッピーディスク登録商標)、CD−ROM、DVD−ROM等の記憶媒体を読み書きするドライブ121からなる。前記LANカード116は無線LAN用のLANカードである。アクセス要求装置40が構築されているコンピュータも同様のハードウェア構成である。ここでは、代理要求装置30及びアクセス要求装置40がノートパソコンデスクトップパソコン、Tablet PC等の一般的なPC(Personal Computer)に構築されている例のハードウェア構成例を示したが、PDA(Personal Digital Assistant)、携帯電話、PHS等に構築することもできる。なお、現在すでに無線LAN対応の携帯電話が公知となっている。

0032

代理要求装置30として機能するためのプログラムがコンピュータ100にインストール(Install、セットアップと呼ぶこともある)されてコンピュータ上に代理要求装置30が構築される。アクセス要求装置40も同様である。
認証処理装置10は通常サーバ用コンピュータに構築され、通常、コンピュータ100とハードウェア構成は同様である。

0033

[3]システムの構成要素
以下に、各構成要素についての説明を述べる。

0034

<認証処理装置>
認証処理装置は、アクセス制御装置20からの要求に応じて認証処理を実行し、認証の結果に応じてアクセス制御データの配付を行う装置であって、企業内ネットワークのように限定的な範囲を管理する認証サーバに相当する。通常、認証サーバは事前に設定されたアクセス制御ポリシに基づいて、認証対象の情報端末あるいは利用者に対するアクセス制御を実現するためのアクセス制御データを配付する手段を備える。

0035

一方、本発明の認証処理装置10は、上記に加えて、認証対象の情報端末あるいは利用者が第三者に対して許諾可能なサービスを管理する機能を備えており、代理要求装置30から許諾認証要求を受信時、代理要求装置30が第三者に許諾するアクセス制御を実現するためのアクセス制御データを生成する手段と、前記許諾認証要求に対応する許諾認証応答に前記アクセス制御データを含めてアクセス制御装置20に配付する手段を備える。

0036

図3は、認証処理装置の構成図を示す。データ送受信部11は、装置外部との通信に関してデータの送受信を行う機能部である。認証要求処理部12は、データ送受信部11より受信した認証要求および許諾認証要求に応じて情報端末あるいは利用者の認証処理を行う機能部であって、認証管理データより認証対象の情報端末に対応するエントリのデータを抽出する。また、認証要求処理部12は、認証処理結果を元に前記認証管理データより前記情報端末が第三者に許諾可能なサービスに関するアクセス制御データを生成し、認証応答あるいは許諾認証応答を生成した後、データ送受信部11に対して当該応答の送信を要求する。

0037

図7(ここで、図の順序は図面の見易さの観点から説明の順序と異なる)は、認証管理データの構成を示す。認証管理データは、管理対象である情報端末あるいは利用者毎に設定される認証処理データの集まりで構成される。認証処理データは、前記情報端末あるいは利用者を認証するための認証データと、当該情報端末あるいは利用者に対するアクセスの実行可否を示すアクセス認可データと、当該情報端末あるいはユーザが第三者に対して許諾するアクセスの実行可否を示す許諾アクセス認可データによって構成される。尚、認証データおよびアクセス認可データの構成については、本発明では制限されず、一般的な認証サーバの構成に従うものとする。例えば、認証データはIDとパスワードの組み合わせを使用することが可能であり、アクセス認可データはネットワークへの接続可否通信品質等を利用することが可能である。また、許諾アクセス認可データの構成はアクセス認可データと同じでも良いが、内容は同じである必要はない。例えば、ある情報端末に対応するエントリにおいて、アクセス認可データに「ネットワーク接続可」を設定し、許諾アクセス認可データに「ネットワーク接続不可」を設定しても良い。

0038

図9は、アクセス制御データの構成を示す。アクセス制御データは、アクセス認可データとアクセス実行データで構成されるが、アクセス要求装置40がアクセスを実行するために特別な情報を必要としない場合は、アクセス実行データは不要である。尚、アクセス実行データの構成については、本発明では制限されず、一般的な認証サーバの構成に従うものとする。また、前記許諾認証応答に対するアクセス制御データの生成時は、アクセス制御データのアクセス認可データとして、認証処理データの許諾アクセス認可データを設定する。

0039

<アクセス制御装置>
アクセス制御装置は、アクセス制御データに基づき情報端末のネットワークアクセスを制御する装置であって、NAS(Network Access Server)や無線アクセスポイント等に相当する。通常、アクセス制御装置は認証処理が完了していない情報端末によるネットワークのアクセスを排除する機能や認証処理が完了した情報端末によるネットワークアクセスに関して適切な通信品質を提供する機能等を備える。

0040

一方、本発明のアクセス制御装置20は、上記に加えて、代理要求装置30からの代理アクセス要求の受信を契機に認証処置装置10に対して許諾認証要求を送信する手段と、認証処理装置10から前記許諾認証要求に対する許諾認証応答を受信する手段と、前記許諾認証応答に含まれるアクセス要求装置40に対するアクセス制御データを抽出し設定することで、認証対象の情報端末が許諾した情報端末、即ちアクセス要求装置40に対するアクセス制御を実行する手段を備える。

0041

図4は、アクセス制御装置の構成図を示す。データ送受信部21は、装置外部との通信に関してデータの送受信を行う機能部である。アクセス制御部22は、アクセス制御装置20を経由するデータにするアクセス制御を実行する機能部であって、データ送受信部21より受信したデータの送信元情報端末に対応するアクセス制御処理データをアクセス管理データ23より抽出し、アクセス制御処理データに基づいてデータの破棄や通信品質の適用等を行い、当該データがアクセス制御装置20を通過可能である場合には、当該データの送信をデータ送受信部21に要求する。また、アクセス要求処理部24からの要求に応じてアクセス制御データをアクセス管理データに設定する。アクセス要求処理部24は、データ送受信部21より受信したアクセス要求あるいは代理アクセス要求あるいは認証応答あるいは許諾認証応答に対応する処理を実行する機能部であって、代理アクセス要求を受信時、許諾認証要求を生成してデータ送受信部21に対して当該許諾認証要求の送信を要求する。また、許諾認証応答を受信時、当該許諾認証応答に含まれるアクセス制御データを抽出し、アクセス制御部22にアクセス制御データの設定を要求した後、前記許諾認証応答に対応する代理アクセス応答を生成し、データ送受信部21に対して当該代理アクセス応答の送信を要求する。

0042

図8は、アクセス管理データの構成を示す。アクセス管理データ23は、アクセス制御装置20が管理する情報端末毎にこれを識別するための装置識別データと当該情報端末に対するアクセスの実行可否を示すアクセス認可データによって構成される。尚、装置識別子の内容は本発明では制限されず、当該情報端末に対するアクセス制御を行う上で前記情報端末を特定できるものであれば良い。例えば、MACアドレスやIPアドレスや接続先デバイスポート番号等を利用することができる。

0043

<代理要求装置>
代理要求装置30は、メールやWebアプリケーションを実行する装置であって、通信手段を有するPC(Personal Computer)やPDA(Personal Digital Assistant)等の情報端末に相当する。通常、アクセス制御データに基づいてネットワークにアクセスする機能を備える。

0044

一方、本発明の代理要求装置30は、上記に加えて、アクセス要求装置40からのアクセス要求を受信する手段と、前記アクセス要求の受信を契機にアクセス制御装置20に対して代理アクセス要求を送信する手段と、前記代理アクセス要求に対応する代理アクセス応答を受信する手段と、前記代理アクセス応答の受信を契機に前記アクセス要求装置40に対してアクセス応答を送信する手段を備える。

0045

図5は、代理要求装置の構成図を示す。データ送受信部31は、装置外部との通信に関してデータの送受信を行う機能部である。アクセス要求処理部32は、データ送受信部31より受信したアクセス要求あるいは代理アクセス応答に対応する処理を実行する機能部であって、アクセス要求を受信時、認証処理装置10が当該代理要求装置30を認証するための認証データ33を抽出し、抽出した認証データ33を含む代理アクセス要求を生成した後に、データ送受信部31に対して当該代理アクセス要求の送信を要求する。また、アクセス要求処理部32は、代理アクセス応答を受信時、当該代理アクセス応答に対応するアクセス応答を生成し、データ送受信部31に対して当該アクセス応答の送信を要求する。認証データ33は、認証処理装置10が当該代理要求装置30を認証するための認証データを格納する。ここで、認証データの内容は認証処理装置10の認証管理データにおける当該代理要求装置30に対する認証処理データの認証データに相当し、これと一致しなければならない。

0046

<アクセス要求装置>
アクセス要求装置は、メールやWebアプリケーションを実行する装置であって、通信手段を有するPCやPDA等の情報端末に相当する。通常、アクセス制御データに基づいてネットワークにアクセスする機能を備える。

0047

一方、本発明のアクセス要求装置40は、上記に加えて、前記代理要求装置30に対してアクセス要求を送信する手段と、前記アクセス要求に対応するアクセス応答を受信時、前記アクセス応答に含まれるアクセス制御データを抽出して設定する手段を備える。

0048

図6は、アクセス要求装置の構成図を示す。データ送受信部41は、装置外部との通信に関してデータの送受信を行う機能部である。アクセス要求実行部42は、アクセス要求およびアクセス応答を処理する機能部であって、ネットワークにアクセスする際、装置識別データ43の抽出を実行し、取得した装置識別データ43を含むアクセス要求を生成した後、データ送受信部41に対して当該アクセス要求の送信を要求する。また、アクセス要求実行部42は、アクセス応答を受信時、当該アクセス応答に含まれるアクセス制御データを抽出し、アクセス処理部44に対してアクセス制御データ45の設定を要求する。装置識別データ43は、代理要求装置30が当該アクセス要求装置40を識別するためデータを格納し、前記アクセス制御装置20のアクセス管理データ23に含まれる装置識別データに該当する。アクセス処理部44は、取得したアクセス制御データに基づくネットワークアクセスを実行する機能部であって、当該アクセス要求装置40の利用者からの指示に従って、メールやWebアプリケーションの通信データの送信をデータ送受信部41に要求する。また、アクセス要求実行部42からの要求に従い、アクセス制御データに含まれるアクセス実行データを設定する。

0049

<通信ネットワーク>
通信ネットワーク50は、前記装置間あるいは他のサーバや情報端末間で行われる通信に関してデータの送達を行うネットワークであって、企業のイントラネットワーク(Intranet ,Intranetwork)等に相当する。イントラネットワークの具体的ネットワーク構成は当業者であれば適宜構築することができるので、ここでは詳説しない。ネットワーク構成の構成要素としては、LANケーブル等の通信ケーブルリピータ、HUB、レイヤ2スイッチ、ルータレイヤ3スイッチ等のネットワーク機器がある。

0050

[4]システム動作
<認証処理装置の処理>
図10は、認証処理装置が実行する処理のフローチャートを示す。図10のステップS101で、外部から何らかのデータを受信したかを判定する。ここで、受信していた場合にはステップS102に移行し、受信していなかった場合は処理を終了する。
ステップS102では、受信したデータが認証要求であるかを判定する。認証要求であればステップS103に移行し、認証要求でなければステップS106に移行する。

0051

ステップS103では、認証要求に含まれる認証データを元に認証管理データ13より対応する情報端末あるいは利用者の認証処理データを抽出する。
ステップS104では、認証要求に含まれる認証データと前記認証処理データから抽出した認証データを比較することによって認証処理を実行する。具体的には、認証要求に含まれるIDとパスワードが認証処理データに含まれるIDとパスワードに一致するか等の判定を行う。

0052

ステップS105では、ステップS104の結果を元に認証応答を生成し、これを認証要求の送信元すなわちアクセス制御装置20に送信する。この時、前記認証応答には認証処理の結果を含め、結果が正常であった場合は、さらにアクセス制御データを付加する。ここで、アクセス制御データのアクセス認可データは、認証処理データのアクセス認可データを設定する。

0053

ステップS106では、受信したデータが許諾認証要求であるかを判定する。許諾認証要求であればステップS107に移行し、許諾認証要求でなければ処理を終了する。
ステップS107では、許諾認証要求に含まれる認証データを元に認証管理データ13より対応する情報端末あるいは利用者の認証処理データを抽出する。

0054

ステップS108では、許諾認証要求に含まれる認証データと前記認証処理データから抽出した認証データを比較することによって認証処理を実行する。具体的には、許諾認証要求に含まれるIDとパスワードが認証処理データに含まれるIDとパスワードに一致するか等の判定を行う。

0055

ステップS109では、ステップS108の結果を元に許諾認証応答を生成し、これを許諾認証要求の送信元すなわちアクセス制御装置20に送信する。この時、前記許諾認証応答には認証処理の結果を含め、結果が正常であった場合は、さらにアクセス制御データを付加する。ここで、アクセス制御データのアクセス認可データは、認証処理データの許諾アクセス認可データを設定する。

0056

<アクセス制御装置の処理>
図11図12は、アクセス制御装置が実行する処理のフローチャートを示す。図11のステップS201で、外部から何らかのデータを受信したかを判定する。ここで、受信していた場合にはステップS202に移行し、受信していなかった場合は処理を終了する。

0057

ステップS202では、受信したデータがアクセス要求であるかを判定する。アクセス要求であればステップS203に移行し、アクセス要求でなければステップS204に移行する。
ステップS203では、アクセス要求に含まれる認証データを元に認証要求を生成し、これを認証処理装置10に送信する。

0058

ステップS204では、受信したデータが代理アクセス要求であるかを判定する。代理アクセス要求であればステップS205に移行し、代理アクセス要求でなければステップS206に移行する。

0059

ステップS205では、代理アクセス要求に含まれる認証データを元に許諾認証要求を生成し、これを認証処理装置10に送信する。
ステップS206では、受信したデータが認証応答であるかを判定する。認証応答であればステップS207に移行し、認証応答でなければステップS209に移行する。

0060

ステップS207では、認証応答に含まれる認証結果を確認し、結果が正常であった場合は、当該認証応答に含まれるアクセス制御データと先に受信したアクセス要求に含まれる装置識別データを元にアクセス制御処理データを生成し、アクセス管理データ23に設定する。

0061

ステップS208では、受信した認証応答を元にアクセス応答を生成し、これを代理要求装置30に送信する。
ステップS209では、受信したデータが許諾認証応答であるかを判定する。許諾認証応答であればステップS210に移行し、許諾認証応答でなければステップS212に移行する。

0062

ステップS210では、許諾認証応答に含まれる認証結果を確認し、結果が正常であった場合は、当該許諾認証応答に含まれるアクセス制御データと先に受信した代理アクセス要求に含まれる装置識別データを元にアクセス制御処理データを生成し、アクセス管理データ23に設定する。

0063

ステップS211では、受信した許諾認証応答を元に代理アクセス応答を生成し、これを代理要求装置30に送信する。
ステップS212では、受信したデータの送信元情報に含まれる装置識別データを元に、当該装置識別データに対応するアクセス制御処理データをアクセス管理データ23から抽出する。

0064

ステップS213では、ステップS212で抽出した情報を元にアクセス制御を実行する。具体的には、ネットワークアクセスが許可されている場合には、受信したデータを宛先情報に従って転送する。また、通信品質に関して優先度が高く設定されている場合には、優先的に転送処理を実行する。ここで、該当するアクセス制御処理データが存在しない場合、すなわち適切な認証手続きが完了していない情報端末からデータを受信した場合は、デフォルトの設定に従い処理を行う。例えば、受信したデータを廃棄する。

0065

<代理要求装置の処理>
図13は、代理要求装置が実行する処理のフローチャートを示す。図13のステップS301で、外部から何らかのデータを受信したかを判定する。ここで、受信していた場合にはステップS302に移行し、受信していなかった場合は処理を終了する。
ステップS302では、受信したデータがアクセス要求であるかを判定する。アクセス要求であればステップS303に移行し、アクセス要求でなければステップS306へ移行する。

0066

ステップS303では、受信したアクセス要求に含まれる装置識別データを元に、代理要求を実行するかを判定する。ここで、代理要求を実行する場合はステップS304へ移行し、実行しない場合は処理を終了する。尚、本発明では代理要求の実行可否を判定する方法については限定しないが、代理要求装置30の画面上に前記装置識別データを表示させ、代理要求装置30の利用者に実行可否を問い合わせることで、前記利用者の意思を確認する方法が望ましい。

0067

ステップS304では、代理要求装置30自体あるいはその利用者の認証データを抽出する。
ステップS305では、受信したアクセス要求に含まれる装置識別データおよびステップS304で抽出した認証データを元に、代理アクセス要求を生成し、これをアクセス制御装置20に送信する。

0068

ステップS306では、受信したデータが代理アクセス応答であるかを判定する。代理アクセス応答であればステップS307に移行し、代理アクセス応答でなければ処理を終了する。
ステップS307では、受信した代理アクセス応答を元にアクセス応答を生成し、これをアクセス要求装置40に送信する。

0069

<アクセス要求装置の処理フロー
図14は、アクセス要求装置が実行する処理のフローチャートを示す。図14のステップS401で、外部から何らかのデータを受信したかを判定する。ここで、受信していた場合にはステップS402に移行し、受信していなかった場合は処理を終了する。

0070

ステップS402では、受信したデータがアクセス応答であるかを判定する。アクセス応答であればステップS403に移行し、アクセス応答でなければステップS404に移行する。
ステップS403では、受信したアクセス応答からアクセス制御データを抽出し、アクセス制御データにアクセス実行データが含まれる場合には、これを設定する。

0071

ステップS404では、アクセス要求を送信するかを判定する。ここで、アクセス要求を送信する場合はステップS405に移行し、送信しない場合は処理を終了する。尚、本発明ではアクセス要求を送信するかしないかの判定方法については限定しないが、ネットワークへのアクセスを試みた際に、アクセス制御装置20からアクセス不可通知を受信したことを契機にアクセス要求を送信すると判断しても良い。

0072

ステップS405では、アクセス要求装置40を識別するための装置識別データの抽出を行う。
ステップS406では、ステップS405で抽出した装置識別データを含むアクセス要求を生成し、これを代理要求装置30に送信する。ここで、前記アクセス要求にはアクセスを試みるアクセス制御装置20の識別子を含めても良い。アクセス制御装置20の識別子は、アクセス制御装置20が周期的に報知するメッセージに含めることあるいは前記アクセス不可の通知に含めることにより取得可能である。尚、本発明では代理要求装置30にアクセス要求を送信する方法は限定しない。無線電波到達範囲内あるいは有線サブネット内ブロードキャストする方法や赤外線による直接的な通信手段を選択することが可能である。

0073

<アクセス制御処理のシーケンス>
図15は、アクセス制御処理のシーケンスを説明するための図である。同図中、括弧付き数字は以下の説明と対応している。

0074

(1)アクセス要求装置40は、同装置を識別可能な装置識別データを含むアクセス要求を代理要求装置30に送信する。

0075

(2)代理要求装置30は、アクセス要求を受信時、当該アクセス要求に含まれる装置識別データと同装置に格納された認証データを含む代理アクセス要求を生成し、これをアクセス制御装置20に送信する。

0076

(3)アクセス制御装置20は、代理アクセス要求を受信時、当該代理アクセス要求に含まれる認証データを含む許諾認証要求を生成し、これを認証処理装置10に送信する。

0077

(4)認証処理装置10は、許諾認証要求を受信時、当該許諾認証要求に含まれる認証データを元に認証処理を行い、認証結果に応じた許諾認証応答を生成し、これをアクセス制御装置20に送信する。この時、認証結果が正常であった場合は、当該許諾認証応答にアクセス制御データを含める。

0078

(5)アクセス制御装置20は、許諾認証応答を受信時、当該許諾認証応答に含まれるアクセス制御データを抽出し、(2)で取得した装置識別データと当該アクセス制御データに含まれるアクセス認可データを元にアクセス制御処理データを生成し、これをアクセス管理データ23に設定する。また、当該アクセス制御データを含む代理アクセス応答を生成し、これを代理要求装置30に送信する。

0079

(6)代理要求装置30は、代理アクセス応答を受信時、当該代理アクセス応答を元にアクセス応答を生成し、これをアクセス要求装置40に送信する。

0080

(7)アクセス要求装置40は、アクセス応答で取得したアクセス制御データにアクセス実行データが含まれていた場合、これを設定し、同情報に基づいた通信処理を実行する。

0081

(8)アクセス制御装置20は、通信データを受信時、アクセス管理データ23を元にアクセス制御を実行し、受信データの廃棄あるいは適切な宛先に向けた転送処理を行う。

0082

2.その他の実施形態
[代理要求装置でのユーザインターフェース
アクセス要求装置40から代理要求装置30に対してアクセス要求が例えば無線LANのアドホックモードでなされ、代理要求装置30ではそのアクセス要求を受け、例えば、図16(a)に示すようなGUI(Graphical User Interface)のウィンドウが表示される。代理要求装置30が「OK」ボタンを押下すれば代理アクセス要求がアクセス制御装置20になされ、「Cancel」ボタンを押下すれば何もしないか、アクセス要求装置40に代理アクセス要求の拒否の旨を通知する。なお、図16(a)のウィンドウ上の「XXX」の部分は、アクセス要求装置40の利用者名又はホスト名が表示される。この利用者名又はホスト名はアクセス要求時にアクセス要求装置40から代理要求装置30に送信されたものである。勿論、利用者名、ホスト名以外に、会社名、所属、電話番号であってもよい。このようにアクセス要求装置40又はその利用者を代理要求装置30の利用者が識別できることで、より安全なネットワークアクセス制御を実現することができる。アクセス要求装置40から受信した情報では代理要求装置30の利用者がアクセス要求装置40又はその利用者を識別することができないときのために、代理要求装置30がアクセス要求装置40に対してさらなる情報提供を要請し、その要請に応えてアクセス要求装置40が代理要求装置30に提供情報を送信する構成にすることもできる。代理要求装置30からの情報提供の要請は「他の情報を提供して下さい」といった一般的な文言でもよいし、「服装?」「マシンの色?」「マシンの種類?」「マシンの型番?」…といった予め用意された文言の中から代理要求装置30の利用者が指定した文言でもよいし、代理要求装置30の利用者自ら作成した文言であってもよい。

0083

複数アクセス制御装置、複数認証処理装置の構成]
図1にはアクセス制御装置20は1つのみ表示されているが、複数配置された構成であってもよい。アクセス制御装置20を配置させた場所の周辺で社外からの訪問者がアクセス要求装置40を用いて代理要求装置30を介してネットワークアクセスへの許可を得られるため、アクセス制御装置20を複数配置させることで複数の場所で適切なネットワークアクセスが可能となる。

0084

認証処理装置10も図1では1つのみ表示されているが、複数配置された構成であってもよい。認証処理装置10とアクセス制御装置20は通信する必要が、ネットワーク構成により一の認証処理装置10とアクセス制御装置20が通信できない状態となる場合があり、この場合に勿論ネットワーク構成又はネットワーク設定を変更することもできるが通信可能な範囲内のネットワーク内に認証処理装置10を配置させることもできる。そうすると、イントラネットワーク内に複数の認証処理装置10が配置される構成となる。勿論、単に、負荷分散のために認証処理装置10を複数配置する構成であっても構わない。

0085

アクセス制御装置20が複数配置されている構成で、一のアクセス制御装置20と他のアクセス制御装置20が制御対象とするネットワークは異なる構成にすることもできる。これは単に、一のアクセス制御装置20と他のアクセス制御装置20が接続する物理的なネットワークが異なるということだけを意味するのではなく、同じ物理的なネットワーク内に接続した場合にそのネットワークが複数の論理的ネットワークに分けて運用されている場合に一のアクセス制御装置20は一の論理的ネットワークを制御対象とし、他のアクセス制御装置20は他の論理的ネットワークを制御対象としていることも意味する。論理的ネットワークは、サブネットマスクを用いてネットワークを分割して運用して管理する場合に形成される他、VLAN(Virtual LAN)を用いてネットワークを分割して運用して管理する場合等にも形成される。

0086

[対象ネットワークの指定又は制限]
あるアクセス制御装置20が管理対象とする論理的ネットワークその1、論理的ネットワークその2及び論理的ネットワークその3がある場合に、アクセス要求装置40のアクセス要求を受けた代理要求装置30上で図16(b)に示すユーザインターフェースを表示させ、代理要求装置30の利用者の指定を受け、チェックボックスの指定がなされた論理的ネットワークに対して代理アクセス要求をアクセス制御装置20になすこともできる。この場合に、アクセス制御装置20を介して許諾認証要求を受けた認証処理装置10が用いる認証管理データの許諾アクセス認可データは、この代理要求装置30が許可できる論理的ネットワークあるか否かまでを設定可能なデータとすることもできるが、前説したような許諾の可否のみのデータとすることもできる。

0087

また、許諾アクセス認可データで論理的ネットワークまでを設定可能である場合には、代理要求装置30で指定された論理ネットワークであっても対象となる認証データに関連付けされた許諾アクセス許可データで設定されていない論理ネットワークであればアクセス要求装置40のネットワークアクセスはアクセス装置20で許可されない。すなわち、アクセス制御装置20のアクセス管理データ23のアクセス許可データが論理ネットワーク毎に設定され、その設定を受けてアクセス制御装置20はアクセス要求装置40からの情報をアクセス制御する。

0088

さらに、図16(b)では指定できるネットワークがサブウィンドウに表示されているが、このサブウィンドウでの表示を現在の代理要求装置30の認証データに関連付けされた許諾アクセス許可データで設定されている論理ネットワークのみを表示させる構成にすることもできる。そうすることで、代理要求装置30の利用者が折角指定した論理ネットワークに対してアクセス要求装置40の利用者が利用できないといった事態を回避することができる。ここで、サブウィンドウの下に配置された「Detail」ボタンを押下すると、SNMP(Simple Network Management Protocol)に従って実装されたネットワーク管理システムで表示されるサブウィンドウで表示された論理ネットワークよりも詳細なネットワーク構成図が表示される。このネットワーク構成図に表示されるネットワーク構成も現在の代理要求装置30の認証データに関連付けされた許諾アクセス許可データで設定されている論理ネットワークとすることもできる。

0089

ここまで、論理ネットワークについて記述してきたが、指定及び/又は設定された論理ネットワークの代わりにアクセス制御装置20が制御対象とするネットワーク上に接続するコンピュータの中から指定及び/又は設定されたコンピュータであってもよい。つまり、代理要求装置30の利用者が図16(b)で表示されたネットワークの代わりにコンピュータを表示させ、その利用者がアクセス要求装置40を接続してよいコンピュータをネットワークの代わりに指定し、指定されたコンピュータに対してのみアクセス制御装置20がアクセス要求装置40からの情報をアクセス制御する。アクセス管理データ23のアクセス許可データがコンピュータ単位で設定可能な構成とすれば、代理要求装置30の利用者による指定又は認証処理装置10の認証管理データの許諾アクセス許可データでの設定からアクセス制御装置20が該当する認証データに関連付いたアクセス許可データに基づきアクセス要求装置40からの情報をアクセス制御することができる。このようなアクセス制御装置20でのコンピュータ単位での情報のふるいは、IP層パケットフィルタリング(Packet Filtering)が実現されている周知技術と同様の手法である。つまり、あるアクセス要求装置40からの情報を全て通過させるのではなく、例えば、あるアクセス要求装置40からの情報はアクセス制御装置20上でヘッダ解析され、送信元IPアドレス送信先IPアドレス、ポート番号が取り出され、指定された組み合わせのヘッダ情報を有するアクセス要求装置40からの情報のみを通過させたり、通過させなかったりすることができる。具体的な運用としては、代理要求装置30の利用者である社内の人が、アクセス要求装置40の利用者である社外の人も電子会議に参加させたい場合に、電子会議が動作する上で必要となるアクセス要求装置40がアクセスする必要があるコンピュータとのみアクセス制御をできるように代理要求装置30で指定する。このとき、その社内の人間が電子会議に係るコンピュータを全て指定することは煩雑となるため、予めコンピュータのグループを設定しておくか、電子会議サービスの指定で自動的に電子会議に係るコンピュータを指定することができる構成であることが望ましい。勿論、ポート番号の指定であってもよく、ポート番号の指定がより簡便である。

0090

[代理要求装置によるアクセス要求装置のネットワークアクセスの禁止、制限及び拡大]
代理要求装置30はアクセス制御装置20から代理アクセス応答を受けることになるが、このときのアクセス制御データを記録しておき、代理要求装置30の利用者の指定のタイミングで自己の代理アクセス要求に係るアクセス要求装置40からのネットワークアクセスを禁止、制限又は拡大することができ、より適切にネットワークアクセスを制御することができる。ここで、アクセス要求装置40からのネットワークアクセスの禁止は現在まで許可していた情報のアクセス制御装置20での通過を禁止するものである。例えば、電子会議等が終了して社外の人がネットワークアクセスにアクセスする必要がなくなった時点で、その社外の人が使用するアクセス要求装置40のアクセス要求を受けて代理アクセス要求を実行した代理要求装置30の利用者がネットワークアクセスの禁止をアクセス制御装置20に通知することで、アクセス制御装置30の該当アクセス許可データを削除又は変更することで実現することができる。変更は一時的にネットワークアクセスを禁止するものであり、禁止を解くこともでき、例えば、小休止で部屋を退出する場合に使用することが可能である。ネットワークアクセスの制限は今まで許可していた範囲を制限するものであり、代理要求装置30の利用者がネットワークアクセスの制限をアクセス制御装置20に通知し、アクセス制御装置20の該当アクセス許可データを変更することで実現することができる。ネットワークアクセスの拡大は今まで許可していた範囲を拡大するものであり、同様に、アクセス制御装置20の該当アクセス許可データを変更することで実現することができる。例えば、アクセスする必要がないコンピュータにパケットが到達していたことをネットワーク管理から指摘を受けて代理要求装置30の利用者がネットワークアクセスを制限し、他方、電子会議等のサービスを受けたいが指定したネットワーク又はコンピュータだけではアクセス要求装置40がサービス提供を受けられない場合に代理要求装置30の利用者がネットワークアクセスを拡大することができる。ネットワークアクセスの拡大の場合は、アクセス要求装置40の利用者がサービスを受けられない旨を代理要求装置30の利用者に口頭で伝えてもよいが、アクセス要求装置40から代理要求装置30へ情報装置することで通知してもよい。

0091

これらネットワークアクセスの禁止、制限及び拡大を代理要求装置30からアクセス制御装置20に直接指示情報を送信してもよいが、禁止を例示した図17に示すように、認証処理装置10を介して認証処理を経て認証処理装置10から更新されたアクセス制御データを配布する構成であってもよい。そうすることで、更新されたアクセス制御データに基づきアクセス制御装置20がアクセス要求装置40からのネットワークアクセスを禁止、制限又は拡大の制御することができる。なお、禁止の場合には、アクセス制御データではなく、既に配布したアクセス制御データの削除を指示する指示情報とすることもできる。

0092

[アクセス制御データへの有効時間の付加]
前記第1の実施形態の認証処理装置10からアクセス制御装置20に配布されるアクセス制御データに有効時間を含ませることもでき、アクセス制御装置20は前記第1の実施形態と同様にアクセス制御データに基づきアクセス要求装置40のネットワークアクセスを制御するものの、最初のアクセス要求装置40のネットワークアクセスから前記有効時間が満了した場合にはアクセス制御データを削除し、以降のアクセス要求装置40からのネットワークアクセスを受け付けない。そうすることで、代理要求装置30の利用者、システム運用者又はネットワーク管理者が明示的にアクセス要求装置40のネットワークアクセスを禁止する指示を行わなくとも、永続的なアクセス要求装置40からのネットワークアクセスを防止することができる。ここで、有効時間は全て同じ設定することもできるし、代理要求装置30でアクセス要求を受けた時点で、代理要求装置30の利用者が指定することもできる。また、「最初のアクセス要求装置40のネットワークアクセスから前記有効時間が満了した場合」としたが、有効時間のカウント開始は最初のアクセス要求装置40のネットワークアクセスの時点の他に、アクセス要求装置40がアクセス要求した時点、代理要求装置30が代理要求した時点、アクセス制御装置20が許諾認証要求した時点の各種要求時点、認証処理装置10が許諾認証応答した時点、アクセス制御装置20が代理アクセス応答した時点、代理要求装置30がアクセス応答した時点の各種応答時点、アクセス制御装置20が転送した時点がある。

0093

また、有効時間の概念取り入れた場合に、電子会議等のサービスが継続している場合に有効時間が満了したからといってアクセス要求装置40からのネットワークアクセスを受け入れないと電子会議等のサービスが急に受けれなくなったという状況にアクセス要求装置40の利用者が陥ることになる。それに対して、アクセス要求装置40でもアクセス制御装置20での有効時間のカウントを同様にして、有効時間の少なくとも満了前にアクセス要求装置40の利用者の報知するためにディスプレイに有効時間が満了に近いことを出力し、さらに、有効時間を延長するために代理要求装置30に対して再度アクセス要求し、アクセス制御データを再取得する構成にすることもできる。そうすることで、有効時間の満了前にアクセス制御データが再取得され、有効時間が延長される。このアクセス制御データの再取得は何度行ってもよいし、制限されるものであってもよい。ここで、アクセス要求装置40の利用者のために報知を行ってアクセス制御データの再取得を行っているが、報知を行うことなくアクセス制御データの再取得を行ってもよい。また、アクセス制御データの再取得の前にアクセス要求装置40の利用者にアクセス制御データの再取得を行うか否かを問い合わせる構成にすることもできる。具体的には、「ネットワークアクセスの満了時間が近づいています。電子会議のサービスを受けるには延長する必要があります。延長しますか?」といったテキスト情報が配置されたウィンドウを表示し、「延長する」「延長しない」のコマンドボタンをウィンドウ上に配置し、そのボタンの押下状況によってアクセス要求装置40の利用者の意思を確認する。

0094

[アクセス要求装置のためのプログラムのインストール方法
前記第1の実施形態においては、管理管轄外のアクセス要求装置40が既に他社より来訪した社員が持ち込んだ情報端末に構築されていることを前提に説示したが、アクセス要求装置40が未だ構築されていない場合には、自社の社員等によってUSBフラッシュメモリー(USB flash memory)、CD−ROM、DVD−ROM等の各種記憶媒体が他社より来訪した社員に渡され、他社より来訪した社員が持ち込んだ情報端末に挿入されることで、自動又は手動でインストールされて自動又は手動で起動する。なお、インストールされずに、記憶媒体からプログラムをメインメモリ上に読み出し実行することでアクセス要求装置40を一時的に構築する構成であってもよい。

0095

[代理要求装置とアクセス要求装置の有線による通信]
前記第1の実施形態においては、代理要求装置30とアクセス要求装置40は無線LANのアドホックモード、赤外線通信で通信すると説示したが、有線によって通信することもできる。第1に、代理要求装置30とアクセス要求装置40を各種通信ケーブルでピーツーピアで接続して通信する構成をとることができる。第2に、アクセス制御装置20に相当するハブ等に有線で代理要求装置30及びアクセス要求装置40が接続し、アクセス制御装置20がアクセス要求装置40からの情報でアクセス要求のみをアクセス制御装置20に接続する情報端末に送信する構成にすることもできる。そして、受信した情報端末の中で代理要求装置30だけが処理を開始する。アクセス制御装置20に相当する無線LANのアクセスポイントであっても、アクセス制御装置20がアクセス要求装置40からの情報でアクセス要求のみをアクセス制御装置20へ直接電波発信する情報端末に送信する構成にすることもでき、無線LANのアドホックモードに限らず、インフラストラクチャーモードであっても実現することができる。なお、アクセス制御装置20に相当するハブ等のバックボーンポートにアクセス制御装置20がアクセス要求装置40からの情報でアクセス要求のみを通過させる構成であってもよい。このように構成した場合であっても、極限られたネットワークアクセスをアクセス要求装置40に許すだけであって、セキュリティ上の問題はほとんど生じ得ない。

0096

(実施例1)
図18は、本発明のネットワークアクセス制御システムの実施例1のシステム構成を示す。同図中、情報端末A、Bはそれぞれ代理要求装置30とアクセス要求装置40に、無線アクセスポイント(無線LAN(Wireless LAN system)の親機とも呼ぶ)はアクセス制御装置20に、認証サーバは認証処理装置10に相当する。前記認証サーバは、一般のRADIUSサーバに本発明の機能を付加したものであっても良いが、これに限定されない。他に、PPP(Point To Point Protocol)、PPTP(Point To Point Tunneling Protocol)、Kerberos、ベンダー独自プロトコル上で動作する認証サーバであってもよい。
本実施例では、無線アクセスポイントが認証処理の完了していない情報端末によるイントラネットワークへのアクセスを排除するよう設計されたネットワークにおける適用例を示す。

0097

図19は、認証サーバにおける認証管理データの構成例を示す。ここでは、認証データとしてIDとパスワードを使用し、アクセス認可データおよび許諾アクセス認可データとしてイントラネットワークへの接続可否を使用する場合の構成例を記載する。

0098

図20は、アクセス制御装置におけるアクセス制御データの構成例を示す。ここでは、装置識別データとしてMACアドレスを使用する場合の構成例を記載する。

0099

図21は、アクセス制御データの構成例を示す。ここでは、アクセス実行データとしてIPアドレスおよびサブネットマスクを使用する場合の構成例を記載する。

0100

<実施例1のアクセス制御処理のシーケンス>
図22は、実施例1のアクセス制御処理のシーケンスを示す。同図中、括弧付き数字は以下の説明と対応している。

0101

(1)アクセス要求装置40は、同装置40のMACアドレスを含むアクセス要求を代理要求装置30に送信する。

0102

(2)代理要求装置30は、アクセス要求を受信時、当該アクセス要求に含まれるMACアドレスと同装置30に格納されたIDとパスワードを含む代理アクセス要求を生成し、これをアクセス制御装置20に送信する。

0103

(3)アクセス制御装置20は、代理アクセス要求を受信時、当該代理アクセス要求に含まれるIDとパスワードを含む許諾認証要求を生成し、これを認証処理装置10に送信する。

0104

(4)認証処理装置10は、許諾認証要求を受信時、当該許諾認証要求に含まれるIDとパスワードを元に認証処理を行い、認証結果に応じた許諾認証応答を生成し、これをアクセス制御装置20に送信する。この時、認証結果が正常であった場合は、当該許諾認証応答にアクセス制御データを含める。

0105

(5)アクセス制御装置20は、許諾認証応答を受信時、当該許諾認証応答に含まれるアクセス制御データを抽出して、接続許可である場合は(2)で取得したMACアドレスと接続許可データをアクセス管理データ23に設定し、前記アクセス制御データを含む代理アクセス応答を生成し、これを代理要求装置30に送信する。

0106

(6)代理要求装置30は、代理アクセス応答を受信時、当該代理アクセス応答を元にアクセス応答を生成し、これをアクセス要求装置40に送信する。

0107

(7)アクセス要求装置40は、アクセス応答で取得したアクセス制御データよりIPアドレスとサブネットマスクをアクセス実行データに設定し、同情報に基づいた通信処理を実行する。

0108

(8)アクセス制御装置20は、通信データを受信時、当該通信データの送信元MACアドレスを元にアクセス管理データ23に設定されたアクセス制御処理データを検索し、送信元MACアドレスに一致するエントリを抽出する。ここで、当該エントリのアクセス認可データが接続許可であった場合、受信データを適切な宛先に向けて転送する。

0109

(実施例2)
図23は、本発明のネットワークアクセス制御システムの実施例2のシステム構成を示す。同図中、情報端末A、Bはそれぞれ代理要求装置30とアクセス要求装置40に、Proxyサーバはアクセス制御装置20に、認証サーバは認証処理装置10に相当する。前記認証サーバは、一般のRADIUSサーバに本発明の機能を付加したものであっても良いが、これに限定されない。また、Proxyサーバは一般のWebプロキシファイアウォールゲートウェイに本発明の機能を付加してものであっても良いが、これに限定
されない。
本実施例では、Proxyサーバが認証処理の完了していない情報端末によるインターネットへのアクセスを排除するよう設計されたネットワークにおける適用例を示す。

0110

図24は、認証サーバにおける認証管理データの構成例を示す。ここでは、認証データとしてIDとパスワードを使用し、アクセス認可データおよび許諾アクセス認可データとしてインターネットへのアクセス可否を使用する場合の構成例を記載する。

0111

図25は、アクセス制御装置におけるアクセス管理データの構成例を示す。ここでは、装置識別データとしてIPアドレスを使用する場合の構成例を記載する。

0112

図26は、アクセス制御データの構成例を示す。ここでは、アクセス実行データとしてProxyサーバのIPアドレスおよびポート番号を使用する場合の構成例を記載する。

0113

<実施例2のアクセス制御処理のシーケンス>
図27は、実施例2のアクセス制御処理のシーケンスを示す。同図中、括弧付き数字は以下の説明と対応している。

0114

(1)アクセス要求装置40は、同装置40のIPアドレスを含むアクセス要求を代理要求装置30に送信する。

0115

(2)代理要求装置30は、アクセス要求を受信時、当該アクセス要求に含まれるIPアドレスと同装置30に格納されたIDとパスワードを含む代理アクセス要求を生成し、これをアクセス制御装置20に送信する。

0116

(3)アクセス制御装置20は、代理アクセス要求を受信時、当該代理アクセス要求に含まれるIDとパスワードを含む許諾認証要求を生成し、これを認証処理装置10に送信する。

0117

(4)認証処理装置10は、許諾認証要求を受信時、当該許諾認証要求に含まれるIDとパスワードを元に認証処理を行い、認証結果に応じた許諾認証応答を生成し、これをアクセス制御装置20に送信する。この時、認証結果が正常であった場合は、当該許諾認証応答にアクセス制御データを含める。

0118

(5)アクセス制御装置20は、許諾認証応答を受信時、当該許諾認証応答に含まれるアクセス制御データを抽出して、アクセス許可である場合は(2)で取得したIPアドレスとアクセス許可データをアクセス管理データ23に設定し、前記アクセス制御データを含む代理アクセス応答を生成し、これを代理要求装置30に送信する。

0119

(6)代理要求装置30は、代理アクセス応答を受信時、当該代理アクセス応答を元にアクセス応答を生成し、これをアクセス要求装置40に送信する。

0120

(7)アクセス要求装置40は、アクセス応答で取得したアクセス制御データよりProxyアドレスとポート番号をアクセス実行データに設定し、同情報に基づいた通信処理を実行する。

0121

(8)アクセス制御装置20は、通信データを受信時、当該通信データの送信元IPアドレスを元にアクセス管理データ23に設定されたアクセス制御処理データを検索し、送信元IPアドレスに一致するエントリを抽出する。ここで、当該エントリのアクセス認可データがアクセス許可であった場合、受信データを適切な宛先に向けて転送する。

0122

以上の前記各実施形態及び実施例により本発明を説明したが、本発明の技術的範囲は実施形態及び実施例に記載の範囲には限定されず、これら各実施形態及び実施例に多様な変更又は改良を加えることが可能である。そして、かような変更又は改良を加えた実施形態及び実施例も本発明の技術的範囲に含まれる。このことは、特許請求の範囲及び課題を解決する手段からも明らかなことである。

ページトップへ

この技術を出願した法人

この技術を発明した人物

ページトップへ

関連する挑戦したい社会課題

関連する公募課題

ページトップへ

おススメ サービス

おススメ astavisionコンテンツ

新着 最近 公開された関連が強い技術

  • 深セン前海達闥雲端智能科技有限公司の「 登録・認可方法、装置及びシステム」が 公開されました。( 2019/08/08)

    【課題・解決手段】従来の認可技術のセキュリティが低い技術的問題を解決するための登録・認可方法、装置及びシステムを提供する。前記方法は、認可サーバに適用され、前記認可サーバは、ブロックチェーンネットワー... 詳細

  • 株式会社アドイン研究所の「 情報処理システム、情報処理方法及びプログラム」が 公開されました。( 2019/07/25)

    【課題】データの難読化におけるセキュリティを向上させる情報処理システムを提供する。【解決手段】情報処理システム10は、第1乃至第3情報処理装置101〜103を有する。第1情報処理装置は、第2及び第3情... 詳細

  • 日本電気株式会社の「 顔認証装置」が 公開されました。( 2019/07/25)

    【課題】運用開始当初の利便性の低下を防止することができる顔認証装置を提供する。【解決手段】顔認証装置100は、顔画像取得部132と照合部133と時間計測部134と閾値変更部135とを含む。顔画像取得部... 詳細

この 技術と関連性が強い技術

関連性が強い 技術一覧

この 技術と関連性が強い人物

関連性が強い人物一覧

この 技術と関連する社会課題

関連する挑戦したい社会課題一覧

この 技術と関連する公募課題

関連する公募課題一覧

astavision 新着記事

サイト情報について

本サービスは、国が公開している情報(公開特許公報、特許整理標準化データ等)を元に構成されています。出典元のデータには一部間違いやノイズがあり、情報の正確さについては保証致しかねます。また一時的に、各データの収録範囲や更新周期によって、一部の情報が正しく表示されないことがございます。当サイトの情報を元にした諸問題、不利益等について当方は何ら責任を負いかねることを予めご承知おきのほど宜しくお願い申し上げます。

主たる情報の出典

特許情報…特許整理標準化データ(XML編)、公開特許公報、特許公報、審決公報、Patent Map Guidance System データ