アウトバンド認証を伴うネットワークシステム
【課題】 高度なセキュリティ性および優れた操作性を有するネットワークシステムを提供することを目的とする。
【解決手段】 情報を提供する情報提供サーバ12と、第1のネットワーク13とを有する情報提供システム10、利用者端末50を利用する利用者51の、情報提供サーバ12へのアクセス権限の認証を行う認証サーバ22と、第2のネットワーク23とを有する認証システム20、および認証システム20での認証結果を情報提供システム10に通知する通信路30を有し、認証システム20は、利用者51が正当なアクセス権限を有する者である場合に、利用者端末50を特定する端末情報を情報提供システム10に通知するものであり、情報提供システム10は、利用者端末50が、認証システム20から通知を受けた端末情報に合致する利用者端末である場合に情報提供サーバ12の利用を許可する。
【解決手段】 情報を提供する情報提供サーバ12と、第1のネットワーク13とを有する情報提供システム10、利用者端末50を利用する利用者51の、情報提供サーバ12へのアクセス権限の認証を行う認証サーバ22と、第2のネットワーク23とを有する認証システム20、および認証システム20での認証結果を情報提供システム10に通知する通信路30を有し、認証システム20は、利用者51が正当なアクセス権限を有する者である場合に、利用者端末50を特定する端末情報を情報提供システム10に通知するものであり、情報提供システム10は、利用者端末50が、認証システム20から通知を受けた端末情報に合致する利用者端末である場合に情報提供サーバ12の利用を許可する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、アウトバンド認証(ネットワーク外認証)を伴うネットワークシステムに関する。
【背景技術】
【0002】
近年、パーソナルコンピュータの急速な普及と共に、コンピュータやパケット通信装置の高機能化、高性能化が進んでいる。企業内ではビジネスを円滑に進めるためのツールとしてネットワークの重要性が高まりつつあり、ネットワーク上で重要なデータのやり取りが行われるようになっている。そのため、外部からの不正アクセスやウイルスなどの攻撃に対してファイアウォール等のセキュリティ装置を用いて企業内のデータを守るためのセキュリティ対策が考えられている。それらのセキュリティ対策として、近年、特に注目されているものの一つに、ネットワーク認証技術がある。
【0003】
このネットワーク認証は、ネットワークを利用しようとする利用者がそのネットワークの正当な利用者として許可された者であるか否かを認証し、許可されていない利用者にはネットワークを使わせないようにすることによって不正な利用者を排除する技術である。
【0004】
このようなネットワーク認証技術として、例えば、公衆回線網に接続された端末からルータを介して接続された他のネットワークにアクセスする際に利用者の認証を行う利用者認証装置において、認証済み利用者認証情報を前記ルータに記憶させておき、該認証済み利用者認証情報を用いて利用者の認証を行うようにした利用者認証装置が開示されている(例えば、特許文献1参照)。
【特許文献1】特開平11−355266号公報
【発明の開示】
【発明が解決しようとする課題】
【0005】
しかし、上記特許文献1に開示された認証処理はインバンド認証、すなわちネットワークの内部で認証を行うシステムであるため、本来は認証後にしか利用できないはずのネットワークを利用して認証を行わなければならない。従って、認証に関する通信に限り認証前でもネットワークを利用できるようにしなければならない。例えば、イーサネット(登録商標)上でネットワーク認証を実現するIEEE(電気電子学会:Institute of Electrical and Electronic Engineers)802.1xの場合には、L2−SW(レイヤ2スイッチ)に接続されたクライアントは、L2−SWまでの通信路のみ利用可能であり、L2−SWがクライアントから受けた認証用のパケットを自ら認証サーバに対して送信することにより認証が行われるようになっている。
【0006】
このように、インバンドで認証を行う場合には、実際に認証を行うサーバとクライアントとの対応だけでなく、途中の通信路上の全てのネットワーク機器、または一部のネットワーク機器がその認証方式をサポートしている必要がある。従って、新たな認証方式が登場した時には、それまで利用してきたネットワーク機器は、そのままでは利用できなくなる恐れがある。例えば、検疫システムのように、認証処理の他に別の処理が入り、全体の手順が複雑になるような場合には、ネットワーク機器を新たな認証方式に対応したものに入れ替えなければならない。
【0007】
また、従来方式では、認証の前後でアクセス制限が変更されるが、利用者があるサーバを利用しようとした時にたまたまそのサーバが使えない状態となった場合は、何が原因でサーバにアクセスできなくなったのかがわかりくいという問題がある。すなわち、認証が失敗であったのか、認証は正しかったがアクセス制限が変更されなかったのか、サーバヘのアクセス経路がダウンしているのか、あるいは、該当するサーバ自体がダウンしているのか等々、多くの原因が考えられるが真の原因を突き止めることはきわめて難しいという問題がある。このような問題は、本来利用が規制されているネットワークを使ってインバンドで認証を行っているために生じる問題である。
【0008】
本発明は、上記事情に鑑み、高度なセキュリティ性および優れた操作性を有するアウトバンド認証を伴うネットワークシステムを提供することを目的とする。
【課題を解決するための手段】
【0009】
上記目的を達成する、アウトバンド認証を伴う本発明の第1のネットワークシステムは、
利用者により操作される利用者端末が接続される第1の接続口と、該利用者端末に情報を提供する情報提供サーバと、該第1の接続口と該情報提供サーバとを接続する第1のネットワークとを有する情報提供システム、
上記利用者端末が接続される、上記第1の接続口とは物理的に異なる第2の接続口と、該利用者端末を利用する利用者の、上記情報提供サーバへのアクセス権限の認証を行う認証サーバと、該第2の接続口と該認証サーバとを接続する第2のネットワークとを有する認証システム、および
上記認証システムでの認証結果を上記情報提供システムに通知する通信路を有し、
上記認証システムが、上記第2の接続口に接続された利用者端末を操作する利用者の認証を行い、該利用者が、上記情報提供サーバへの正当なアクセス権限を有する利用者である場合に、上記利用者端末を特定する端末情報を、上記通信路を経由して、上記情報提供システムに通知するものであり、
上記情報提供システムは、上記第1の接続口に接続された利用者端末が、上記認証システムから上記通信路を経由して通知を受けた端末情報に合致する利用者端末である場合に、該利用者端末による上記情報提供サーバの利用を許可するものであることを特徴とする。
【0010】
本発明の第1のネットワークシステムによれば、情報提供システム側の第1のネットワークと、認証システム側の第2のネットワークとを互いに独立したネットワークとしたので、第2のネットワークの方で認証処理を行うことにより、簡単な操作で第1のネットワークを利用することができる。従って、双方のシステムの負荷が軽減され軽快な動作を行わせることができる。また、第2のネットワークにおける認証方法をより強固な認証方式に変更するだけで、第1のネットワークに何らの変更を加えることなく、ネットワークシステム全体のセキュリティ性をレベルアップすることができる。
【0011】
ここで、上記認証システムが、上記第2の接続口に接続され上記認証サーバにより正当なアクセス権限を有する利用者である旨の認証を受けた利用者端末から該利用者端末を特定する端末情報を取得して登録するとともに該端末情報を上記通信路を経由して上記情報提供システムに通知し、さらに該通知からの経過時間を測定して所定時間経過後に、該利用者端末による上記情報提供サーバの利用の禁止を指示する禁止指示情報を上記通信路を経由して上記情報提供システムに通知するとともに該利用者端末の端末情報の記録を抹消する情報登録用サーバを備え、
上記情報提供システムが、上記認証システムからの端末情報の通知を受けて該端末情報により特定される利用者端末による上記情報提供サーバの利用を許可し、上記認証システムからの禁止指示情報の通知を受けて該禁止指示情報により特定される利用者端末による上記情報提供サーバの利用を禁止するアクセス装置を備えたものであってもよい。
【0012】
本発明の第1のネットワークシステムを上記のように構成した場合は、より信頼性の高いネットワークシステムを構築することができる。
【0013】
また、上記端末情報が、上記第2の接続口に接続された利用者端末のMACアドレスに基づく情報であってもよい。ここで、MACアドレスとは、IEEEが管理・割当てをしている各メーカごとに固有な番号と、メーカが独自に各通信機器に割り当てる番号の組み合わせによって表される、各通信機器のイーサネット(登録商標)カード固有の識別情報である。
【0014】
本発明の第1のネットワークシステムを上記のように構成した場合は、さらに信頼性の高いネットワークシステムを構築することができる。
【0015】
また、上記端末情報が、上記第2の接続口に接続された利用者端末のIPアドレスに基づく情報であってもよい。ここで、IPアドレスとは、インターネットやイントラネットなどのIPネットワークに接続されたコンピュータや通信機器ごとに割り振られた識別番号をいう。
【0016】
本発明の第1のネットワークシステムを上記のように構成した場合は、さらに信頼性の高いネットワークシステムを構築することができる。
【0017】
また、上記目的を達成する、アウトバンド認証を伴う本発明の第2のネットワークシステムは、
利用者により操作される利用者端末が接続される第1の接続口と、該利用者端末に情報を提供する情報提供サーバと、該第1の接続口と該情報提供サーバとを接続する第1のネットワークとを有する情報提供システム、および
上記利用者端末が接続される、上記第1の接続口とは物理的に異なる第2の接続口と、該利用者端末を利用する利用者の、上記情報提供サーバへのアクセス権限の認証を行う認証サーバと、該第2の接続口と該認証サーバとを接続する第2のネットワークとを有する認証システムを有し、
上記認証システムが、上記第2の接続口に接続された利用者端末を操作する利用者の認証を行い、該利用者が、上記情報提供サーバへの正当なアクセス権限を有する利用者である場合に、上記利用者端末に暗号化用の鍵情報を渡すものであり、
上記情報提供システムは、上記第1の接続口に接続された利用者端末から送信されてきた、上記鍵情報により正規に暗号化された情報を受け入れて該利用者端末に上記情報提供サーバを利用させるものであることを特徴とする。
【0018】
本発明の第2のネットワークシステムによれば、情報提供システム側の第1のネットワークと、認証システム側の第2のネットワークとを互いに独立したネットワークとしたので、第2のネットワークの方で認証処理を行うことにより、簡単な操作で第1のネットワークを利用することができる。従って、双方のシステムの負荷が軽減され軽快な動作を行わせることができる。また、第2のネットワークにおける認証方法をより強固な認証方式に変更するだけで、第1のネットワークに何らの変更を加えることなく、ネットワークシステム全体のセキュリティ性をレベルアップさせることができる。
【0019】
また、この第2のネットワークシステムでは、本発明の第1のネットワークシステムにおいては必要であった通信路30(図3参照)は不要であり、第1のネットワークと第2のネットワークとの独立性はさらに強められている。
【0020】
ここで、上記認証システムが、暗号化用の鍵情報を保持し、正当なアクセス権限を有する利用者である旨の認証を行う認証サーバからの要請を受けて該鍵情報を該認証サーバに渡す情報通知用サーバを備え、
上記認証サーバが、上記情報通知用サーバから上記鍵情報を受け取って、該鍵情報を伴う、上記情報提供システムの利用許可情報を、上記第2の接続口に接続され正当なアクセス権限を有する利用者である旨の認証を与えた利用者端末に通知するものであってもよい。
【0021】
本発明の第2のネットワークシステムを上記のように構成した場合は、より信頼性の高いネットワークシステムを構築することができる。
【0022】
また、上記情報提供システムは、上記第1の接続口に接続された利用者端末から送信されてきた上記情報提供サーバをアクセスするための情報が上記鍵情報により正規に暗号化された暗号化情報である場合に該暗号化情報を復号化して上記情報提供サーバに伝えるとともに、不正な情報である場合には該情報を破棄するアクセス装置を備えたものであってもよい。
【0023】
本発明の第2のネットワークシステムを上記のように構成した場合は、さらに信頼性の高いネットワークシステムを構築することができる。
【0024】
また、上記目的を達成する、アウトバンド認証を伴う本発明の第3のネットワークシステムは、
利用者により操作される利用者端末が接続される第1の接続口と、該利用者端末に情報を提供する情報提供サーバと、該第1の接続口と該情報提供サーバとを接続する第1のネットワークとを有する情報提供システム、および
上記利用者端末が接続される、上記第1の接続口とは物理的に異なる第2の接続口と、該利用者端末を利用する利用者の、上記情報提供サーバへのアクセス権限の認証を行う認証サーバと、該第2の接続口と該認証サーバとを接続する第2のネットワークとを有する認証システムを有し、
上記認証システムが、上記第2の接続口に接続された利用者端末を操作する利用者の認証を行い、該利用者が、上記情報提供サーバへの正当なアクセス権限を有する利用者である場合に、上記利用者端末に該利用者の種別に応じたアクセス権限の種別情報を渡すものであり、
上記情報提供システムは、上記第1の接続口に接続された利用者端末から上記種別情報を受け取り、該利用者端末に該種別情報に応じたアクセスを許可するものであることを特徴とする。
【0025】
本発明の第3のネットワークシステムによれば、情報提供システム側の第1のネットワークと、認証システム側の第2のネットワークとを互いに独立したネットワークとしたので、第2のネットワークの方で認証処理を行うことにより、簡単な操作で第1のネットワークを利用することができる。従って、双方のシステムの負荷が軽減され軽快な動作を行わせることができる。また、第2のネットワークにおける認証方法をより強固な認証方式に変更するだけで、第1のネットワークに何らの変更を加えることなく、ネットワークシステム全体のセキュリティ性をレベルアップさせることができる。
【0026】
また、この第3のネットワークシステムでは、本発明の第1のネットワークシステムにおいて必要であった通信路は不要であり、第1のネットワークと第2のネットワークとの独立性をさらに強めることができる。
【0027】
ここで、上記情報提供システムは、上記第1の接続口に接続された、上記種別情報を伴う情報を受け取り、該情報を、該情報に付随した種別情報に応じて通過させ、あるいは破棄するアクセス装置を備えたものであってもよい。
【0028】
本発明の第3のネットワークシステムを上記のように構成した場合は、より信頼性の高いネットワークシステムを構築することができる。
【発明の効果】
【0029】
以上説明したように、本発明によれば、第2のネットワークで認証処理を行うことにより簡単な操作で第1のネットワークを利用することができるようになるので、高度のセキュリティ性および優れた操作性を有するネットワークシステムを実現することができる。
【発明を実施するための最良の形態】
【0030】
以下、図を参照して本発明の実施の形態を説明する。
【0031】
図1は、本発明の各実施形態のネットワークシステムが形成されるコンピュータシステムの概略構成図である。
【0032】
ここには、利用者端末500が接続される第1の接続口205と、情報提供サーバとして動作するコンピュータ100およびアクセス装置として動作するコンピュータ200をLANケーブル900を介して接続する第1のネットワーク401と、利用者端末500が接続される第2の接続口605と、認証サーバとして動作するコンピュータ600および情報登録用サーバ又は情報通知用サーバとして動作するコンピュータ700をLANケーブル900を介して接続する第2のネットワーク402と、利用者端末として動作するコンピュータ500とが示されている。
【0033】
なお、このシステムでは、第1の接続口205および第2の接続口605という物理的に異なる2つの接続口を備えているが、接続口は必ずしも2個備える必要はなく、システム全体に対して1個の接続口を備えた構成であってもよい。
【0034】
また、図1には情報提供サーバとして動作するコンピュータとして1台のコンピュータ100のみが示されているが、情報提供サーバとして動作するコンピュータは1台に限られるものではなく複数台であってもよい。
【0035】
第1の接続口205、第2の接続口605にはLANコネクタが用いられ、これらの接続口に利用者端末500のLANケーブル先端のモジュラープラグ505が挿入されるようになっている。
【0036】
本実施形態では、これら2つのネットワーク401,402が、複数のコンピュータシステムが設置された1つの企業内のLAN(Local Area Network)として構築された例について説明しているが、インターネットやWAN(Wide Area Network)として構築された、複数の企業に跨る処理を行なうネットワークシステムであってもよい。
【0037】
上記第1のネットワーク401および第2のネットワーク402は、互いに独立したネットワークとして構成されており、利用者端末500を、先ず第2のネットワーク402に接続して認証処理を行い、認証処理が完了した後、第2のネットワーク402との接続を絶ってから、第1のネットワーク401に接続することによって第1のネットワーク401内の情報提供サーバからの情報提供を受けるように構成されている。
【0038】
なお、図1には、第2のネットワーク402から第1のネットワーク401に認証結果を通知するための通信路30が示されているが、後述するように複数のネットワークシステムのうち第1の実施形態のネットワークシステムのみが通信路30を備えており、第2および第3の実施形態のネットワークシステムには通信路は備えられていない。
【0039】
上記の各コンピュータ100,200,600,700としては、一般にパーソナルコンピュータやワークステーションと呼ばれるコンピュータシステム、またはブレードサーバなどを用いることができる。また、図1に示すシステムでは、コンピュータ500には、いわゆるノート型パーソナルコンピュータが用いられている。
【0040】
上記の各コンピュータ100,200,500,600,700は、CPU(中央処理装置)、RAM(ランダムアクセスメモリ)、ハードディスク、通信用ボード等が内蔵された本体部101,201,501,601,701からの指示により表示画面102a,202a,502a,602a,702a上に画像や文字列を表示するディスプレイ102,202,502,602,702、各コンピュータ100,200,500,600,700に利用者の指示を入力するためのキーボード103,203,503,603,703、表示画面102a,202a,502a,602a,702a上の任意の位置を指定することにより、その指定時にその位置に表示されていたアイコン等に応じた指示を入力するマウス104,204,604,704、およびトラックパッド504を備えている。
【0041】
本体部101,201,501,601,701は、さらに外観上、MO(光磁気ディスク)、CD/DVDが装填されるMO装填口101a,201a,501a,601a,701a、CD/DVD装填口101b,201b,501b,601b,701bを有しており、それらの内部には、それらの装填口101a,201a,501a,601a,701a,101b,201b,501b,601b,701bから装填されたMOやCD又はDVDをドライブしてアクセスするMOドライブやCD/DVDドライブが内蔵されている。
【0042】
図2は、図1に外観を示したコンピュータのハードウェア構成図である。
【0043】
ここでは代表的にコンピュータ100を取り上げて説明するが、コンピュータ200,500,600,700も基本的に同様の構成を有する。
【0044】
図2のハードウェア構成図には、CPU105、RAM106、ハードディスクコントローラ113、MOドライブ114、CD/DVDドライブ115、マウスコントローラ116、キーボードコントローラ117、ディスプレイコントローラ118、および通信用ボード119が示されており、それらはバス110で相互に接続されている。
【0045】
MOドライブ114、CD/DVDドライブ115は、図1を参照して説明したように、それぞれMO装填口101aおよびCD/DVD装填口101bから装填されたMO601、CD/DVD602をアクセスするものである。
【0046】
通信用ボード119はネットワーク401,402(図1参照)に接続される。
【0047】
また、図2には、ハードディスクコントローラ113によりアクセスされるハードディスク600、マウスコントローラ116により制御されるマウス104、キーボードコントローラ117により制御されるキーボード103、およびディスプレイコントローラ118により制御されるディスプレイ102も示されている。
【0048】
図3は、本発明の第1の実施形態のネットワークシステムの概略構成図である。
【0049】
図3に示すように、このネットワークシステム1は、情報提供システム10、認証システム20、および通信路30を有する。
【0050】
情報提供システム10は、利用者51により操作される利用者端末50が接続される第1の接続口11と、利用者端末50に情報を提供する情報提供サーバ12と、利用者端末50による情報提供サーバ12の利用を許可し、又は利用を禁止するアクセス装置14と、上記アクセス装置14と上記情報提供サーバ12とを接続する第1のネットワーク13とを有する。
【0051】
なお、図3には、1台の情報提供サーバ12のみが示されているが、情報提供サーバは1台に限られるものではなく複数台であってもよい。
【0052】
認証システム20は、利用者端末50が接続される、第1の接続口11とは物理的に異なる第2の接続口21と、利用者端末50を利用する利用者51の、情報提供サーバ12へのアクセス権限の認証を行う認証サーバ22と、端末情報を取得して登録するとともに該端末情報を通信路30を経由して情報提供システム10に通知する情報登録用サーバ24と、上記情報提供サーバ12と上記情報登録用サーバ24とを接続する第2のネットワーク23とを有する。
【0053】
本実施形態では、認証サーバ22として、RADIUS(Remote Authentication Dial−In User Service)サーバ、すなわち、クライアントサーバモデルのダイヤルアップ接続利用者認証システムを用いているが、本発明の認証サーバは、このRADIUSサーバに限定されるものではなく、このネットワークシステムの情報提供サーバへのアクセス権限の認証を行うことのできる認証サーバであればどのような方式の認証サーバを用いてもよい。
【0054】
通信路30は、認証システム20での認証結果を情報提供システム10に通知するものである。
【0055】
本実施形態では、認証システム20は、第2の接続口21に接続された利用者端末50を操作する利用者51の認証を行い、利用者51が、情報提供サーバ12への正当なアクセス権限を有する利用者である場合に、第2の接続口21に接続され上記認証サーバ20により正当なアクセス権限を有する利用者である旨の認証を受けた利用者端末50から該利用者端末を特定する端末情報を取得して登録するとともに、該端末情報を通信路30を経由して情報提供システム10に通知する情報登録用サーバ24を備えている。
【0056】
さらに、本実施形態の情報登録用サーバ24は、該通知からの経過時間を測定して、所定時間経過後に、該利用者端末50による情報提供サーバ12の利用の禁止を指示する禁止指示情報を通信路30を経由して情報提供システム10に通知するとともに、該利用者端末50の端末情報の記録を抹消する一方、上記情報提供システム10は、第1の接続口11に接続された利用者端末50が、認証システム20から通信路30を経由して通知を受けた端末情報に合致する利用者端末である場合に、利用者端末50による情報提供サーバ12の利用を許可し、認証システム20からの禁止指示情報の通知を受けて該禁止指示情報により特定される利用者端末による情報提供サーバ12の利用を禁止するアクセス装置14を備えている。
【0057】
次に、本実施形態のネットワークシステム1の動作について説明する。
【0058】
ここでは、このネットワークシステム1を備えた企業を訪れた来訪者(利用者)が、このネットワークシステム1に備えられた情報提供サーバ12を一時的に利用しようとする場合について説明する。
【0059】
図4は、第1の実施形態における通信シーケンスを示す図である。
【0060】
利用者51(図3参照)がこのネットワークシステム1を備えた企業を訪れ、受付の担当者に情報提供システム10の利用を申し出るとともに、図1および図4に示すように、利用者端末50のLANケーブル52を認証システム20の第2の接続口21であるコンピュータ300のLANコネクタ205に接続して認証処理を行う(図4:ステップS11)。
【0061】
この認証処理は、本実施形態では認証サーバ22によるRADIUS認証手順を用いて利用者本人の認証を行うようになっているが、これ以外にどのような方法で利用者の本人認証を行ってもよく、例えば、訪問者の名前や会社名等の情報に基づき受付担当者により本人であることを確認するようにしてもよい。
【0062】
本実施形態では、認証サーバ22による認証処理が完了した後に、利用者端末50を特定する端末情報として、利用者端末50のMACアドレスが認証サーバ22により読み出され(図4:ステップS12)、情報登録用サーバ24に登録される。情報登録用サーバ24は、登録された端末情報に基づき利用者51の訪問場所(例えば、会議室や応接室など)に存在するアクセス装置14に対してアクセス制限の解除を行うよう、通信路30を経由して情報提供システム10に通知するとともに、利用者端末50にも通知する。
【0063】
アクセス装置14は基本的にアクセス拒否状態となっており、上記アクセス制限の解除の通知を情報登録用サーバ24から受けたときだけアクセス制限解除対象の利用者端末からのアクセスを許可するようになっている。
【0064】
なお、本実施形態では、利用者の訪問時間に合わせて利用許可時間情報を情報登録用サーバ24に保有しておき、その利用許可時間情報に基づきアクセス制限の解除/再制限を行うようになっている。
【0065】
利用者51は、認証システム20による認証処理が終わった後、第2のネットワーク23の第2の接続口21と利用者端末とのLAN接続を外してから訪問場所(会議室/応接室)に移動し、第1のネットワーク13の接続口11と利用者端末とのLAN接続を行い、第1のネットワーク13の利用を開始する。
【0066】
前述の通り、アクセス装置14では、情報登録用サーバ22から受け取った端末情報と、利用者端末50から受け取った端末情報との対応付けを行い、対応が付いた場合に、利用者端末50の利用を可能とする。以上のように構成されているため、利用者51は利用者端末50による第1のネットワーク13の利用に際して訪問場所での特別な設定や操作を行うことなしに、情報提供システム10を利用することができる(図4:ステップS13)。
【0067】
情報登録用サーバ22は、図4に示すように、利用許可時間t(図4参照)が経過した後は、再びアクセス制限をかけるようにアクセス装置14に指示を出す(図4:ステップS14)。アクセス制限指示が出された後は、利用者51は第1のネットワーク13を利用することができない。第1のネットワーク13を続けて利用したいときには、利用者端末50を第2のネットワーク23に再び接続し、認証システム20による再認証・再登録の手続きを行う必要がある(図4:ステップS15、ステップS16)。
【0068】
以上のように、このネットワークシステム1においては、第1のネットワーク13側の情報提供システム10内での認証処理は行われず、第2のネットワーク23側の認証システム20が認証処理を行う。そして、認証システム20で認証された利用者が第1のネットワーク13内の情報提供サーバ12を利用することができる。
【0069】
以上の説明では、端末情報として利用者端末50のMACアドレスを用いた場合の例を示しているが、MACアドレスの代わりに、利用者端末50のIPアドレス(インターネットやイントラネットなどのIPネットワークに接続されたコンピュータや通信機器に割り振られた固有の識別情報)に基づく情報を端末情報として用いてもよい。これ意外にも、認証対象となる利用者端末を特定できる情報、あるいは利用者端末固有の情報であれば、端末情報として適宜利用可能である。
【0070】
また、利用者端末50の利用時間を延長したい場合に、再認証の場合に限り、第1のネットワーク13上で再認証を行えるように構成してもよい。ただし、この場合は、認証サーバおよび情報登録用サーバが、第1のネットワーク13上にも存在しなければならず、また本来の認証用ネットワークである第2のネットワーク23との間で、データの同期がとれるようにしておく必要がある。
【0071】
以上のようにして、この第1の実施形態のネットワークシステム1では、第1のネットワーク13側では認証処理は行われず、第2のネットワーク23側で認証された利用者のみが第1のネットワーク13内の情報提供サーバ12を利用することができる。
【0072】
次に、本発明の第2の実施形態について説明する。
【0073】
図5は、本発明の第2の実施形態のネットワークシステムの概略構成図である。
【0074】
なお、この第2の実施形態のネットワークシステム2は、アウトバンド認証を伴う本発明の第2のネットワークシステムに相当する。
【0075】
図5に示すように、本実施形態のネットワークシステム2は、情報提供システム60および認証システム70を有している。
【0076】
情報提供システム60は、利用者51により操作される利用者端末50が接続される第1の接続口61と、利用者端末50に情報を提供する情報提供サーバ62と、第1の接続口61と情報提供サーバ62とを接続する第1のネットワーク63とを有する。
【0077】
認証システム70は、利用者端末50が接続される、第1の接続口61とは物理的に異なる第2の接続口71と、利用者端末50を利用する利用者51の、情報提供サーバ62へのアクセス権限の認証を行う認証サーバ72と、第2の接続口71と認証サーバ72とを接続する第2のネットワーク73とを有している。
【0078】
この認証システム70は、第2の接続口71に接続された利用者端末50を操作する利用者51の認証を行い、利用者51が、上記情報提供サーバ62への正当なアクセス権限を有する利用者である場合に、利用者端末50に暗号化用の鍵情報を渡すものである。また、情報提供システム60は、第1の接続口61に接続された利用者端末50から送信されてきた情報提供サーバ62をアクセスするための情報が上記鍵情報により正規に暗号化された暗号化情報である場合に、該暗号化情報を復号化して情報提供サーバ62に伝えることにより利用者端末50に情報提供サーバ62を利用させるようにするとともに、不正な情報である場合には該情報を破棄するアクセス装置64を備えている。
【0079】
さらに、本実施形態では、上記認証システム70は、暗号化用の鍵情報を保持し、正当なアクセス権限を有する利用者である旨の認証を行う認証サーバ72からの要請を受けて該鍵情報を該認証サーバ72に渡す情報通知用サーバ75を備えている。認証サーバ72は、情報通知用サーバ75から上記鍵情報を受け取って、該鍵情報を伴う情報提供システム60の利用許可情報を、第2の接続口71に接続され正当なアクセス権限を有する利用者である旨の認証を与えた利用者端末50に通知するようになっている。
【0080】
次に、本実施形態のネットワークシステム2の動作について説明する。
【0081】
ここでは、このネットワークシステム2を備えた企業を訪れた来訪者(利用者)がこのネットワークシステム2に備えられた情報提供サーバ62を一時的に利用しようとする場合の例について説明する。
【0082】
図6は、第2の実施形態における通信シーケンスを示す図である。
【0083】
利用者51(図5参照)がこのネットワークシステム2を備えた企業を訪れ、受付の担当者に情報提供システム60の利用を申し出るとともに、図1および図6に示すように、利用者端末50のLANケーブル52を第2のネットワーク73の第2の接続口71であるコンピュータ300のLANコネクタ205に接続して認証処理を行う(図6:ステップS21)。
【0084】
この認証処理は、本実施形態では認証サーバ72によるRADIUS認証手順を用いて利用者本人の認証を行うようになっているが、これ以外にどのような方法で利用者の本人認証を行ってもよく、例えば、訪問者の名前や会社名等の情報に基づき受付担当者により本人であることを確認するようにしてもよい。
【0085】
本実施形態では、認証サーバ72による認証処理が完了した後に、情報通知用サーバ75は利用者端末50に暗号化用の鍵情報を渡す(図6:ステップS22)。情報通知用サーバ75は、実施形態1における情報登録用サーバ24とは異なり第2のネットワーク63内のアクセス装置64等の制御は行わない。また、通知される暗号化用鍵情報を、利用許可時間t(図6参照)内でのみ有効な情報とし、その情報に基づきアクセス制限の解除/再制限を行うように構成されている。
【0086】
利用者51は、認証システム70による認証処理が終わり認証サーバ72から暗号化用鍵情報を受け取った後、第2のネットワーク73の第2の接続口71とのLAN接続を外してから訪問場所(会議室又は応接室など)に移動し、第1のネットワーク63の第1の接続口61とのLAN接続を行い、第1のネットワーク63の利用を開始する(図6:ステップS23)。
【0087】
こうして、利用者51はこの訪問場所では特別な設定・操作をすることなしに第1のネットワーク63内の情報提供システム60の利用が可能となる。ただし、利用者は情報通知用サーバ75から渡された暗号化用鍵情報を利用することができるように、事前に利用者端末50の設定操作を行っておく必要がある。この設定操作とは、具体的には次に示すように、利用者端末50の鍵情報保持部50gに暗号化用鍵情報を保存することをいう。実際にどのような設定操作が必要であるかはネットワーク側のアクセス制御機能によって異なるが、本実施形態では、宛先MACアドレスを暗号化用鍵情報に変換する方法を利用した場合について説明する。
【0088】
なお、本実施形態で暗号化の対象となる情報は、例えばTCP/IP(Transmission Control Protocol/Internet Protocol)における各パケットのイーサネット(登録商標)ヘッダに記述される宛先MACアドレスなどである。
【0089】
図7は、第2の実施形態における利用者端末の機能ブロック図であり、図8は、第2の実施形態におけるアクセス装置の機能ブロック図である。
【0090】
図7に示すように、この利用者端末50は、受信I/F(インターフェース)部50a、宛先MACアドレス復号化部50b、FCS(Frame Check Sequence)チェック部50c、送信I/F部50d、宛先MACアドレス暗号化部50e、FCS計算部50f、上位機能処理部50hなどを有している。ここで、FCS(Frame Check Sequenceの略)とは、イーサネット(登録商標)フレームのヘッダ部とデータ部に誤りがないか否かを検出するための値であり、イーサネット(登録商標)フレームの末尾に付加される。
【0091】
図8に示すように、このアクセス装置64は、受信I/F(インターフェース)部64a、ポート状態確認部64b、宛先MACアドレス復号化部64c、FCSチェック部64d、送信I/F部64e、ポート状態確認部64f、宛先MACアドレス暗号化部64g、FCS計算部64h、鍵情報保持部64i、ブリッジ機能および上位機能処理部64jなどを有している。
【0092】
次に、第2の実施形態における認証処理の流れについて説明する。
【0093】
図9は、第2の実施形態における認証処理の流れを示すフローチャートであり、図10は、第2の実施形態における認証処理の過程におけるイーサネット(登録商標)フレームの推移を示す図である。
【0094】
図10(a)に示すように、イーサネット(登録商標)フレーム40は、宛先MACアドレス40a、発信元MACアドレス40b、タイプ40c、データ40dから構成されている。
【0095】
利用者端末50がアクセス装置64から宛先MACアドレスを受け取った後、図9:ステップS31において、利用者端末50のFCS計算部50f(図7参照)は、宛先MACアドレス40aを元にFCSを計算する。計算で得られたFCSは、図10(b)に示すように、イーサネット(登録商標)フレーム40の末尾に付加されイーサネット(登録商標)フレーム41が生成される。
【0096】
次に、宛先MACアドレス暗号化部50eにより、前述の暗号化用鍵情報を利用して宛先MACアドレス40aの暗号化が行われ(図9:ステップS32)、図10(c)に示すように、暗号化された宛先MACアドレス42aを含むイーサネット(登録商標)フレーム42が生成される。
【0097】
次に、PHY層(OSI階層モデルの第1層(物理層))の処理(図9:ステップS33)が行われ、暗号化された宛先MACアドレス42aを含むイーサネット(登録商標)フレーム42が暗号化用鍵情報として送信I/F部50dから送信される(図9:ステップS34)。なお、この暗号化用鍵情報は鍵情報保持部50gに保持される。
【0098】
こうして利用者端末50から送信されたイーサネット(登録商標)フレーム42は、アクセス装置64の受信I/F部64a(図8参照)から入力され(図9:ステップS35)、ポート状態確認部64bで、この受信ポートが、宛先MACアドレス変換を実施する対象ポートとなっているか否かを確認し、対象ポートに該当する場合は、宛先MACアドレス復号化部64cにおいて、暗号化されている宛先MACアドレス42aを復号化して暗号化前の宛先MACアドレス43aを含むイーサネット(登録商標)フレーム43が生成される(図9:ステップS36)。次に、FCSチェック部64dで、FCSの再計算が行われ、誤りがない場合、すなわち暗号化前の宛先MACアドレス43aが、暗号化後の宛先MACアドレス42a(図10(c)参照)と同一であることが確認された後(図9:ステップS37)、MAC層の処理(図9:ステップS38)を経て、フレーム中継等の操作が行われる。
【0099】
ここで、正規の暗号化用鍵情報を持たない利用者端末50がアクセス装置64に正規ではない暗号化用鍵情報を送信してきた場合は、宛先MACアドレスは別の宛先MACアドレスに変換されてしまうため、正しい宛先である情報提供サーバ62(図5参照)に送信することができない。また、FCSの計算も正しく行われないため、エラーフレームとして破棄される。
【0100】
また、正規の暗号化用鍵情報を持たない利用者端末50が、たまたま、暗号化後の宛先MACアドレスを含む暗号化用鍵情報をアクセス装置64に送信してきた場合も、イーサネット(登録商標)フレームのFCSが正しく計算されないため、エラーフレームとして破棄される(図6:ステップS24)
次に、本発明の第3の実施形態について説明する。
【0101】
前述のように第2の実施形態では、宛先MACアドレスを鍵情報に変換して認証を行う方式を採用しているが、さらに他の認証方式として、例えばイーサネット(登録商標)フレームのIPヘッダオプションやVLAN(Virtual LAN)−tagに特定の情報を付加する方法や、XMLによる特定の情報をパケットに付加して通信を行う方法などにより、特定の情報が付加されたフレームやパケットのみのアクセスを許可する認証方式を採用することもできる。
【0102】
以下には、第3の実施形態として、イーサネット(登録商標)フレームのIPヘッダオプションに特定の情報を付加する認証方式について説明する。
【0103】
図11は、本発明の第3の実施形態のネットワークシステムの概略構成図である。
【0104】
なお、この第3の実施形態のネットワークシステム3は、アウトバンド認証を伴う本発明の第3のネットワークシステムに相当する。
【0105】
図11に示すように、この第3の実施形態のネットワークシステム3は、利用51者により操作される利用者端末50が接続される第1の接続口81と、利用者端末50に情報を提供する情報提供サーバ82_1,82_2,82_3と、第1の接続口81と情報提供サーバ82_1,82_2,82_3とを接続する第1のサブネットワーク83_1,83_2,83_3とを有する情報提供システム80、および上記利用者端末50が接続される、第1の接続口81とは物理的に異なる第2の接続口86と、利用者端末50を利用する利用者51の、情報提供サーバ82_1,82_2,82_3へのアクセス権限の認証を行う認証サーバ87と、第2の接続口86と認証サーバ87とを接続する第2のネットワーク88とを有する認証システム85を有している。
【0106】
認証システム85は、第2の接続口86に接続された利用者端末50を操作する利用者51の認証を行い、該利用者51が、情報提供サーバ82への正当なアクセス権限を有する利用者である場合に、利用者端末51に利用者51の種別に応じたアクセス権限の種別情報を渡すものであり、情報提供システム80は、第1の接続口81に接続された、上記種別情報を伴う情報を受け取り、該情報を、該情報に付随した種別情報に応じて通過させ、あるいは破棄するアクセス装置84_1,84_2,84_3を備えており、これらのアクセス装置84_1,84_2,84_3により、利用者端末50のアクセスを制御するように構成されている。
【0107】
上記のように、このネットワークシステム3は、3つのアクセス装置と3つのサブネットワークと3つの情報提供サーバとにより階層的に構成されているが、これは、上記のように3つのアクセス装置84_1,84_2,84_3が種別情報を伴う情報を受け取り、該情報を、該情報に付随した種別情報に応じて通過させ、あるいは破棄するためである。例えば、第1のアクセス装置84_1は、種別情報が第1ランクの利用者(例えば一般来訪者)に対しては、第1段階の機密性を要する情報提供サーバ82_1へのアクセスを許可し、第2のアクセス装置84_2は、種別情報が第2ランクの利用者(例えばその企業の従業員)に対しては、第1段階の機密性を要する情報提供サーバ82_2へのアクセスを許可するなどというように、利用者の種別に応じて利用者端末50のアクセス権限を制御することができる。
【0108】
なお、図11には、上記のように3階層のネットワークとして構成した例を示したが、階層数は3階層に限られるものではなく、何階層であってもよい。
【0109】
図12は、第3の実施形態におけるアクセス装置の機能ブロック図である。
【0110】
図12には上記アクセス装置84_1,84_2,84_3のうちの一つのアクセス装置84のみを示しているが、3つのアクセス装置84_1,84_2,84_3ともに同様の構成となっている。
【0111】
このアクセス装置84は、伝送路制御部84a、タグ確認部84b、タグ処理部84c、ポリシー記録部84d、ポリシー入力部84e、パケット処理部84f、および伝送路制御部84gなどを有している。
【0112】
図13は、第3の実施形態において種別情報として用いられるイーサネット(登録商標)フレームのIPヘッダおよびIPヘッダオプションを示す図である。
【0113】
図13に示すように、このイーサネット(登録商標)フレームのIPヘッダ91には、可変長のIPヘッダオプション92が設けられており、このIPヘッダオプション92には利用者の属性を表す利用者属性93が記録されるようになっている。
【0114】
この利用者属性93は、認証システム85における利用者51の本人認証時に認証サーバ87によって付与される情報であり、例えば、利用者が一般来訪者である場合には利用者属性93として“1”が付与され、利用者がその企業の従業員である場合には利用者属性93として“2”が付与されるようになっている。この利用者属性93は、後述するようにアクセス装置84によるパケット処理(図14参照)の際に参照され、パケットを通過させるか破棄するかの判定に用いられる。
【0115】
なお、この利用者属性93は、本発明にいう種別情報の一例に相当するものである。
【0116】
次に、第3の実施形態における認証処理および認証後の処理について説明する。
【0117】
図14は、第3の実施形態における通信シーケンスを示す図である。
【0118】
利用者51(図11参照)がこのネットワークシステム3を備えた企業を訪れ、受付の担当者に情報提供システム80の利用を申し出るとともに、図1および図11に示すように、利用者端末50のLANケーブル52を認証システム85の第2の接続口86であるコンピュータ300のLANコネクタ205に接続することにより認証サーバ87による認証処理が開始される(図14:ステップS41)。
【0119】
この認証処理は、本実施形態ではRADIUS認証手順を用いて利用者本人の認証を行うようになっているが、この方法に限られるものではなく、どのような方法で利用者の本人認証を行ってもよい。例えば、訪問者の名前や会社名等の情報に基づき受付担当者により本人であることを確認するようにしてもよい。
【0120】
本実施形態では、この情報提供システム80を利用する利用者の属性に関する情報を記録した利用者データベースが備えられており、認証システム85は、この利用者データベースを用いて、第2の接続口86に接続された利用者端末50を操作する利用者51の認証を行うようになっている。この認証処理の結果、該利用者51が、情報提供サーバ82への正当なアクセス権限を有する利用者である場合には、認証システム85に備えられた情報通知用サーバ89は、利用者端末50に該利用者の種別に応じたアクセス権限の種別情報を上記利用者データベースに基づいて設定し、それを利用者端末50に通知する(図14:ステップS42)。
【0121】
通知される情報は、図13に示すIPヘッダオプション92のうちの利用者属性93である。この種別情報は、利用許可時間t(図14参照)内でのみ有効な情報として通知される。
【0122】
利用者51は、認証システム85による認証処理が終わり、情報通知用サーバ89から種別情報としての利用者属性93を利用者端末50に受け取った後、第2の接続口86とのLAN接続を外してから訪問場所(会議室又は応接室など)に移動し、第1の接続口81とのLAN接続を行い、第1のアクセス装置84_1(図11参照)へ利用者属性93(図13参照)を送信する(図14:ステップS43)。以下の説明では、説明が煩雑になるのをさけるため、第1のアクセス装置84_1を単にアクセス装置84という。
【0123】
アクセス装置84は、利用者端末50から送られてきたパケットの中からIPヘッダオプション92のタグ情報である利用者属性93(図13参照)をタグ確認部84b(図12参照)で確認し、利用者属性93が付与されていないパケットは廃棄し、利用者属性93が付与されているパケットは、タグ処理部84cに送る。タグ処理部84cは、パケットがこの先に転送してもよいパケットか否かの識別を行う。ポリシー記録部84dには、その識別を行うためのポリシーテーブルが記録されている。
【0124】
図15は、第3の実施形態における種別情報として用いられるポリシーテーブルを示す図である。
【0125】
図15に示されるように、このポリシーテーブル90には、アプリケーション識別子90a、利用者属性90b、振る舞い90cが保持されており、例えば、アプリケーション識別子90a: “1(ウエブアクセス[http])”のアプリケションについては、利用者属性90b≧1の利用者のアクセスを通過させること(レコード90_1)、アプリケーション識別子90a: “not1(ウエブアクセス以外)”のアプリケションについては、利用者属性90b≧2の利用者のアクセスを通過させること(レコード90_2)、また、アプリケーション識別子90aおよび利用者属性90bが 上記条件を満たさないものについては、そのパケットは破棄されることが定められている(レコード90_3)。
【0126】
タグ処理部84cは、利用者端末50から送られてきた利用者属性93を、上記のポリシーテーブル90に保持されている利用者属性90bと照合することによりアクセス装置84としてどのように処理すべきかを、振る舞い90cを参照して決定し、パケット処理部84dはその決定に基づき、送られてきたパケットを通過させ、または破棄処理する(図14:S44)。利用者端末50から送られてきたパケットがパケット処理部84dを通過した後は、利用者端末50は第1のネットワーク83の利用を開始することができる。
【0127】
例えば、認証システム85(図11参照)で、利用者の種別が“一般来訪者”である利用者に対して利用者属性“1”が利用者端末50に渡された場合について説明すると、利用者端末50から送られてきた利用者属性“1”が、上記ポリシーテーブル90と照合され、レコード90_1の利用者属性90bに合致するので、ウエブアクセス[http]のアプリケションを提供する第1の情報提供サーバ82_1へのアクセスを通過させる。しかし、この利用者の利用者属性“1”はレコード90_2の利用者属性90bには合致せず、レコード90_3の条件に従い、第2、第3の情報提供サーバ82_2,82_3へのアクセスは拒絶される。
【0128】
以上のように、IPヘッダオプションに利用者の種別に応じた種別情報を付加することにより、第1のネットワーク上の各サブネットワークの利用を利用者の種別に応じて制御することができる。
【0129】
この第3の実施形態においても、利用者51は、第2のネットワーク88内で認証を得た後は、訪問場所では特別な設定・操作をすることなく第1のネットワーク83内の情報提供サーバ82を利用することができる。
【0130】
上記の3つの実施形態に示したように、情報提供システムを含む第1のネットワークと、認証システムを含む第2のネットワークとを分離したことにより、第1のネットワーク内では特別な設定・操作を行うことなく情報提供システムを利用することができる。その結果、第1のネットワークおよび第2のネットワーク双方を簡略なネットワークシステムとすることができるので、第1のネットワーク上で行われる処理を軽快なものとすることができる。また、新たな認証方式が出現した場合には、第2のネットワークにおける認証方式を新たな認証方式に変更するだけで、第1のネットワークには何らの変更を加えることなく、ネットワークシステム全体のセキュリティ性をレベルアップすることが可能である。また、従来のインバンド認証で問題となっている機器の違いによるトラブルを生じることがなくなり、機器に依存しない一元的な認証システムを実現することができる。
【0131】
以下に、本発明の各種態様を付記する。
【0132】
(付記1)
利用者により操作される利用者端末が接続される第1の接続口と、該利用者端末に情報を提供する情報提供サーバと、該第1の接続口と該情報提供サーバとを接続する第1のネットワークとを有する情報提供システム、
前記利用者端末が接続される、前記第1の接続口とは物理的に異なる第2の接続口と、該利用者端末を利用する利用者の、前記情報提供サーバへのアクセス権限の認証を行う認証サーバと、該第2の接続口と該認証サーバとを接続する第2のネットワークとを有する認証システム、および
前記認証システムでの認証結果を前記情報提供システムに通知する通信路を有し、
前記認証システムが、前記第2の接続口に接続された利用者端末を操作する利用者の認証を行い、該利用者が、前記情報提供サーバへの正当なアクセス権限を有する利用者である場合に、前記利用者端末を特定する端末情報を、前記通信路を経由して、前記情報提供システムに通知するものであり、
前記情報提供システムは、前記第1の接続口に接続された利用者端末が、前記認証システムから前記通信路を経由して通知を受けた端末情報に合致する利用者端末である場合に、該利用者端末による前記情報提供サーバの利用を許可するものであることを特徴とするアウトバンド認証を伴うネットワークシステム。
【0133】
(付記2)
前記認証システムが、前記第2の接続口に接続され前記認証サーバにより正当なアクセス権限を有する利用者である旨の認証を受けた利用者端末から該利用者端末を特定する端末情報を取得して登録するとともに該端末情報を前記通信路を経由して前記情報提供システムに通知し、さらに該通知からの経過時間を測定して所定時間経過後に、該利用者端末による前記情報提供サーバの利用の禁止を指示する禁止指示情報を前記通信路を経由して前記情報提供システムに通知するとともに該利用者端末の端末情報の記録を抹消する情報登録用サーバを備え、
前記情報提供システムが、前記認証システムからの端末情報の通知を受けて該端末情報により特定される利用者端末による前記情報提供サーバの利用を許可し、前記認証システムからの禁止指示情報の通知を受けて該禁止指示情報により特定される利用者端末による前記情報提供サーバの利用を禁止するアクセス装置を備えたことを特徴とする付記1記載のアウトバンド認証を伴うネットワークシステム。
【0134】
(付記3)
前記端末情報が、前記第2の接続口に接続された利用者端末のMACアドレスに基づく情報であることを特徴とする付記1記載のアウトバンド認証を伴うネットワークシステム。
【0135】
(付記4)
前記端末情報が、前記第2の接続口に接続された利用者端末のIPアドレスに基づく情報であることを特徴とする付記1記載のアウトバンド認証を伴うネットワークシステム。
【0136】
(付記5)
利用者により操作される利用者端末が接続される第1の接続口と、該利用者端末に情報を提供する情報提供サーバと、該第1の接続口と該情報提供サーバとを接続する第1のネットワークとを有する情報提供システム、および
前記利用者端末が接続される、前記第1の接続口とは物理的に異なる第2の接続口と、該利用者端末を利用する利用者の、前記情報提供サーバへのアクセス権限の認証を行う認証サーバと、該第2の接続口と該認証サーバとを接続する第2のネットワークとを有する認証システムを有し、
前記認証システムが、前記第2の接続口に接続された利用者端末を操作する利用者の認証を行い、該利用者が、前記情報提供サーバへの正当なアクセス権限を有する利用者である場合に、前記利用者端末に暗号化用の鍵情報を渡すものであり、
前記情報提供システムは、前記第1の接続口に接続された利用者端末から送信されてきた、前記鍵情報により正規に暗号化された情報を受け入れて該利用者端末に前記情報提供サーバを利用させるものであることを特徴とするアウトバンド認証を伴うネットワークシステム。
【0137】
(付記6)
前記認証システムが、暗号化用の鍵情報を保持し、正当なアクセス権限を有する利用者である旨の認証を行う認証サーバからの要請を受けて該鍵情報を該認証サーバに渡す情報通知用サーバを備え、
前記認証サーバが、前記情報通知用サーバから前記鍵情報を受け取って、該鍵情報を伴う、前記情報提供システムの利用許可情報を、前記第2の接続口に接続され正当なアクセス権限を有する利用者である旨の認証を与えた利用者端末に通知するものであることを特徴とする付記5記載のアウトバンド認証を伴うネットワークシステム。
【0138】
(付記7)
前記情報提供システムは、前記第1の接続口に接続された利用者端末から送信されてきた前記情報提供サーバをアクセスするための情報が前記鍵情報により正規に暗号化された暗号化情報である場合に該暗号化情報を復号化して前記情報提供サーバに伝えるとともに、不正な情報である場合には該情報を破棄するアクセス装置を備えたことを特徴とする付記5記載のアウトバンド認証を伴うネットワークシステム。
【0139】
(付記8)
利用者により操作される利用者端末が接続される第1の接続口と、該利用者端末に情報を提供する情報提供サーバと、該第1の接続口と該情報提供サーバとを接続する第1のネットワークとを有する情報提供システム、および
前記利用者端末が接続される、前記第1の接続口とは物理的に異なる第2の接続口と、該利用者端末を利用する利用者の、前記情報提供サーバへのアクセス権限の認証を行う認証サーバと、該第2の接続口と該認証サーバとを接続する第2のネットワークとを有する認証システムを有し、
前記認証システムが、前記第2の接続口に接続された利用者端末を操作する利用者の認証を行い、該利用者が、前記情報提供サーバへの正当なアクセス権限を有する利用者である場合に、前記利用者端末に該利用者の種別に応じたアクセス権限の種別情報を渡すものであり、
前記情報提供システムは、前記第1の接続口に接続された利用者端末から前記種別情報を受け取り、該利用者端末に該種別情報に応じたアクセスを許可するものであることを特徴とするアウトバンド認証を伴うネットワークシステム。
【0140】
(付記9)
前記情報提供システムは、前記第1の接続口に接続された、前記種別情報を伴う情報を受け取り、該情報を、該情報に付随した種別情報に応じて通過させ、あるいは破棄するアクセス装置を備えたことを特徴とする付記8記載のアウトバンド認証を伴うネットワークシステム。
【0141】
(付記10)
第一の情報処理装置において、第二の情報処理装置による第三の情報処理装置へのアクセスの認証を行う認証方法であって、
前記第二の情報処理装置から、前記第一の情報処理装置に、前記第三の情報処理装置へのアクセス要求を創出するステップと、
前記第一の情報処理装置において、前記第二の情報処理装置によるアクセス認証を行うステップと、
前記アクセス認証結果に応じて、前記第二の情報処理装置から前記第一の情報処理装置に向けて、第一の情報を送出するステップと、
前記第二の情報処理装置から前記第三の情報処理装置に対して、前記第一の情報を送出するステップと、
前記第二の情報処理装置から、前記第三の情報処理装置に対して第二の情報を送出するステップと、
前記第三の情報処理装置において、前記第一の情報と前記第二の情報との対応関係を判別するステップと、
前記対応関係の判別結果に基づいて、前記第二の情報処理装置による前記第三の情報処理装置の利用を許容するステップとを備えたことを特徴とする認証方法。
【0142】
(付記11)
第一の情報処理装置において、第二の情報処理装置による第三の情報処理装置へのアクセスの認証を行う認証方法であって、
前記第二の情報処理装置から、前記第一の情報処理装置に、前記第三の情報処理装置へのアクセス要求を創出するステップと、
前記第一の情報処理装置において、前記第二の情報処理装置によるアクセス認証を行うステップと、
前記アクセス認証結果に応じて、前記第一の情報処理装置から前記第二の情報処理装置に向けて、第一の情報を送出するステップと、
前記第二の情報処理装置から、前記第三の情報処理装置に対して前記第一の情報が付加された情報を送出するステップと、
前記第三の情報処理装置において、前記第一の情報を判別するステップと、
前記判別結果に基づいて、前記第二の情報処理装置による前記第三の情報処理装置の利用を許容するステップとを備えたことを特徴とする認証方法。
【0143】
(付記12)
前記第一の情報は暗号鍵であり、
前記第二の情報処理装置は、前記暗号鍵を用いて暗号化された情報を前記第三の情報処理装置に送出することを特徴とする付記11記載の認証方法。
【0144】
(付記13)
第二の情報処理装置から第三の情報処理装置へのアクセスの認証を行う情報処理装置における認証方法であって、
前記第二の情報処理装置から、前記第三の情報処理装置に対するアクセス要求を受けるステップと、
前記アクセス要求に応じて、前記第二の情報処理装置のアクセス認証を行うステップと、
前記アクセス認証を受けた第二の情報処理装置から、当該第二の情報処理装置に関する情報を受けるステップと、
前記第二の情報処理装置から受けた情報を、前記情報処理装置から前記第三の情報処理装置に通知するステップとを備えたことを特徴とする認証方法。
【0145】
(付記14)
第二の情報処理装置から第三の情報処理装置へのアクセスの認証を行う情報処理装置における認証方法であって、
前記第二の情報処理装置から、前記第三の情報処理装置に対するアクセス要求を受けるステップと、
前記アクセス要求に応じて、前記第二の情報処理装置のアクセス認証を行うステップと、
前記アクセス認証を受けた第二の情報処理装置に対し、認証状況を示す情報を送付するステップとを備えたことを特徴とする認証方法。
【0146】
(付記15)
前記認証状況を示す情報は、暗号鍵であることを特徴とする付記14記載の認証方法。
【0147】
(付記16)
第二の情報処理装置から第三の情報処理装置へのアクセスの認証を行う情報処理装置であって、
前記第三の情報処理装置へのアクセス要求を、前記第二の情報処理装置から受ける手段と、
前記アクセス要求の受信に伴い、前記第二の情報処理装置による前記第三の情報処理装置へのアクセス認証を行う手段と、
アクセス可と認証された第二の情報処理装置から、前記第二の情報処理装置に関する情報を受ける手段と、
前記第二の情報処理装置から受信した情報を、前記第三の情報処理装置に通知する手段とを備えたことを特徴とする情報処理装置。
【0148】
(付記17)
第二の情報処理装置から第三の情報処理装置へのアクセスの認証を行う情報処理装置であって、
前記第三の情報処理装置へのアクセス要求を、前記第二の情報処理装置から受ける手段と、
前記アクセス要求の受信に伴い、前記第二の情報処理装置による前記第三の情報処理装置へのアクセス認証を行う手段と、
アクセス可と認証された第二の情報処理装置に対し、認証状況を示す情報を通知する手段とを備えたことを特徴とする情報処理装置。
【0149】
(付記18)
前記情報を通知する手段は、暗号鍵を前記第二の情報処理装置に通知するように構成されたことを特徴とする付記17記載の情報処理装置。
【0150】
(付記19)
第二の情報処理装置からのアクセスを受け付ける情報処理装置におけるアクセス処理方法において、
第三の情報処理装置から、前記第二の情報処理装置に関わる第一の情報を受けるステップと、
前記第二の情報処理装置から、前記第二の情報処理装置に関わる第二の情報を受けるステップと、
前記第一の情報と前記第二の情報との対応関係を判別するステップと、
前記対応関係の判別結果に応じて、前記第二の情報処理装置からのアクセスを受け付けるステップとを備えたことを特徴とするアクセス処理方法。
【0151】
(付記20)
情報処理装置における認証方法において、
前記情報処理装置を第一の情報処理装置に接続するステップと、
前記第一の情報処理装置に対し、第二の情報処理装置に対するアクセス要求を送出するステップと、
前記アクセス要求に応じた前記第一の情報処理におけるアクセス認証に対応して、前記第一の情報処理装置に対して前記情報処理装置に関する情報を送出するステップと、
前記第二の情報処理装置に接続するステップと、
前記第二の情報処理装置に対して、前記情報処理装置に関する情報を送出するステップと、
前記第二の情報処理装置へ送出した前記情報に対応した、前記第二の情報処理装置による前記第二の情報処理装置の利用許可に応じて、前記第二の情報処理装置にアクセスするステップとを備えたことを特徴とする認証方法。
【0152】
(付記21)
情報処理装置における認証方法において、
前記情報処理装置を第一の情報処理装置に接続するステップと、
前記第一の情報処理装置に対し、第二の情報処理装置に対するアクセス要求を送出するステップと、
前記アクセス要求に応じた前記第一の情報処理におけるアクセス認証に対応して、前記第一の情報処理装置から第一の情報を受け取るステップと、
前記第二の情報処理装置に接続するステップと、
前記第二の情報処理装置に対して、前記第一の情報を送出するステップとを備えたことを特徴とする認証方法。
【0153】
(付記22)
前記認証方法において、
前記第一の情報は暗号鍵であり、
前記第一の情報を送出するステップでは、前記暗号鍵により暗号化された情報を前記第二の情報処理装置に送出することを特徴とする付記21記載の認証方法。
【0154】
(付記23)
前記認証方法において、
前記暗号化された情報は、前記第二の情報処理装置固有の情報を前記暗号鍵により暗号化した情報であることを特徴とする付記22記載の認証方法。
【図面の簡単な説明】
【0155】
【図1】本発明の各実施形態のネットワークシステムが形成されるコンピュータシステムの概略構成図である。。
【図2】図1に外観を示したコンピュータのハードウェア構成図である。
【図3】本発明の第1の実施形態のネットワークシステムの概略構成図である。
【図4】第1の実施形態における通信シーケンスを示す図である。
【図5】本発明の第2の実施形態のネットワークシステムの概略構成図である。
【図6】第2の実施形態における通信シーケンスを示す図である。
【図7】第2の実施形態における利用者端末の機能ブロック図である。
【図8】第2の実施形態におけるアクセス装置の機能ブロック図である。
【図9】第2の実施形態における認証処理の流れを示すフローチャートである。
【図10】第2の実施形態における認証処理の過程におけるイーサネット(登録商標)フレームの推移を示す図である。
【図11】本発明の第3の実施形態のネットワークシステムの概略構成図である。
【図12】第3の実施形態におけるアクセス装置の機能ブロック図である。
【図13】第3の実施形態において種別情報として用いられるイーサネット(登録商標)フレームのIPヘッダおよびIPヘッダオプションを示す図である。
【図14】第3の実施形態における通信シーケンスを示す図である。
【図15】第3の実施形態における種別情報として用いられるポリシーテーブルを示す図である。
【符号の説明】
【0156】
1,2,3 ネットワークシステム
10 情報提供システム
11 第1の接続口
12 情報提供サーバ
13 第1のネットワーク
14 アクセス装置
20 認証システム
21 第2の接続口
22 認証サーバ
23 第2のネットワーク
30 通信路
40 イーサネット(登録商標)フレーム
40a 宛先MACアドレス
40b 発信元MACアドレス
40c タイプ
40d データ
41,42,43 イーサネット(登録商標)フレーム
42a,43a 宛先MACアドレス
50 利用者端末
50a 受信I/F部
50b 宛先MACアドレス復号化部
50c FCSチェック部
50d 送信I/F部
50e 宛先MACアドレス暗号化部
50f FCS計算部
50g 鍵情報保持部
50h 上位機能処理部
51 利用者
52 LANケーブル
60 情報提供システム
61 第1の接続口
62 情報提供サーバ
63 第1のネットワーク
64 アクセス装置
64a 受信I/F部
64b ポート状態確認部
64c 宛先MACアドレス復号化部
64d FCSチェック部
64e 送信I/F部
64f ポート状態確認部
64g 宛先MACアドレス暗号化部
64h FCS計算部
64i 鍵情報保持部
64j ブリッジ機能および上位機能処理部
70 認証システム
71 第2の接続口
72 認証サーバ
73 第2のネットワーク
75 情報通知用サーバ
80 情報提供システム
81 第1の接続口
82,82_1,82_2,82_3 情報提供サーバ
83 第1のネットワーク
83_1,83_2,83_3 サブネットワーク
84,84_1,84_2,84_3 アクセス装置
84a 伝送路制御部
84b タグ確認部
84c タグ処理部
84d ポリシー記録部
84e ポリシー入力部
84f パケット処理部
84g 伝送路制御部
85 認証システム
86 第2の接続口
87 認証サーバ
88 第2のネットワーク
89 情報通知用サーバ
90 ポリシーテーブル
90a アプリケーション識別子
90b 利用者属性
90c 振る舞い
91 IPヘッダ
92 IPヘッダオプション
93 利用者属性
100,200,500,600,700 コンピュータ
101,201,501,601,701 本体部
101a,201a,501a,601a,701a MO装填口
101b,201b,501b,601b,701b CD/DVD装填口
102,202,502,602,702 ディスプレイ
102a,202a,502a,602a,702a 表示画面
103,203,503,603,703 キーボード
104,204,604,704 マウス
105 CPU
106 RAM
113 ハードディスクコントローラ
114 MOドライブ
115 CD/DVDドライブ
116 マウスコントローラ
117 キーボードコントローラ
118 ディスプレイコントローラ
119 通信用ボード
205,605 LANコネクタ
401,402 ネットワーク
500 利用者端末
504 トラックパッド
505 モジュラープラグ
601 MO
602 CD/DVD
900 LANケーブル
【技術分野】
【0001】
本発明は、アウトバンド認証(ネットワーク外認証)を伴うネットワークシステムに関する。
【背景技術】
【0002】
近年、パーソナルコンピュータの急速な普及と共に、コンピュータやパケット通信装置の高機能化、高性能化が進んでいる。企業内ではビジネスを円滑に進めるためのツールとしてネットワークの重要性が高まりつつあり、ネットワーク上で重要なデータのやり取りが行われるようになっている。そのため、外部からの不正アクセスやウイルスなどの攻撃に対してファイアウォール等のセキュリティ装置を用いて企業内のデータを守るためのセキュリティ対策が考えられている。それらのセキュリティ対策として、近年、特に注目されているものの一つに、ネットワーク認証技術がある。
【0003】
このネットワーク認証は、ネットワークを利用しようとする利用者がそのネットワークの正当な利用者として許可された者であるか否かを認証し、許可されていない利用者にはネットワークを使わせないようにすることによって不正な利用者を排除する技術である。
【0004】
このようなネットワーク認証技術として、例えば、公衆回線網に接続された端末からルータを介して接続された他のネットワークにアクセスする際に利用者の認証を行う利用者認証装置において、認証済み利用者認証情報を前記ルータに記憶させておき、該認証済み利用者認証情報を用いて利用者の認証を行うようにした利用者認証装置が開示されている(例えば、特許文献1参照)。
【特許文献1】特開平11−355266号公報
【発明の開示】
【発明が解決しようとする課題】
【0005】
しかし、上記特許文献1に開示された認証処理はインバンド認証、すなわちネットワークの内部で認証を行うシステムであるため、本来は認証後にしか利用できないはずのネットワークを利用して認証を行わなければならない。従って、認証に関する通信に限り認証前でもネットワークを利用できるようにしなければならない。例えば、イーサネット(登録商標)上でネットワーク認証を実現するIEEE(電気電子学会:Institute of Electrical and Electronic Engineers)802.1xの場合には、L2−SW(レイヤ2スイッチ)に接続されたクライアントは、L2−SWまでの通信路のみ利用可能であり、L2−SWがクライアントから受けた認証用のパケットを自ら認証サーバに対して送信することにより認証が行われるようになっている。
【0006】
このように、インバンドで認証を行う場合には、実際に認証を行うサーバとクライアントとの対応だけでなく、途中の通信路上の全てのネットワーク機器、または一部のネットワーク機器がその認証方式をサポートしている必要がある。従って、新たな認証方式が登場した時には、それまで利用してきたネットワーク機器は、そのままでは利用できなくなる恐れがある。例えば、検疫システムのように、認証処理の他に別の処理が入り、全体の手順が複雑になるような場合には、ネットワーク機器を新たな認証方式に対応したものに入れ替えなければならない。
【0007】
また、従来方式では、認証の前後でアクセス制限が変更されるが、利用者があるサーバを利用しようとした時にたまたまそのサーバが使えない状態となった場合は、何が原因でサーバにアクセスできなくなったのかがわかりくいという問題がある。すなわち、認証が失敗であったのか、認証は正しかったがアクセス制限が変更されなかったのか、サーバヘのアクセス経路がダウンしているのか、あるいは、該当するサーバ自体がダウンしているのか等々、多くの原因が考えられるが真の原因を突き止めることはきわめて難しいという問題がある。このような問題は、本来利用が規制されているネットワークを使ってインバンドで認証を行っているために生じる問題である。
【0008】
本発明は、上記事情に鑑み、高度なセキュリティ性および優れた操作性を有するアウトバンド認証を伴うネットワークシステムを提供することを目的とする。
【課題を解決するための手段】
【0009】
上記目的を達成する、アウトバンド認証を伴う本発明の第1のネットワークシステムは、
利用者により操作される利用者端末が接続される第1の接続口と、該利用者端末に情報を提供する情報提供サーバと、該第1の接続口と該情報提供サーバとを接続する第1のネットワークとを有する情報提供システム、
上記利用者端末が接続される、上記第1の接続口とは物理的に異なる第2の接続口と、該利用者端末を利用する利用者の、上記情報提供サーバへのアクセス権限の認証を行う認証サーバと、該第2の接続口と該認証サーバとを接続する第2のネットワークとを有する認証システム、および
上記認証システムでの認証結果を上記情報提供システムに通知する通信路を有し、
上記認証システムが、上記第2の接続口に接続された利用者端末を操作する利用者の認証を行い、該利用者が、上記情報提供サーバへの正当なアクセス権限を有する利用者である場合に、上記利用者端末を特定する端末情報を、上記通信路を経由して、上記情報提供システムに通知するものであり、
上記情報提供システムは、上記第1の接続口に接続された利用者端末が、上記認証システムから上記通信路を経由して通知を受けた端末情報に合致する利用者端末である場合に、該利用者端末による上記情報提供サーバの利用を許可するものであることを特徴とする。
【0010】
本発明の第1のネットワークシステムによれば、情報提供システム側の第1のネットワークと、認証システム側の第2のネットワークとを互いに独立したネットワークとしたので、第2のネットワークの方で認証処理を行うことにより、簡単な操作で第1のネットワークを利用することができる。従って、双方のシステムの負荷が軽減され軽快な動作を行わせることができる。また、第2のネットワークにおける認証方法をより強固な認証方式に変更するだけで、第1のネットワークに何らの変更を加えることなく、ネットワークシステム全体のセキュリティ性をレベルアップすることができる。
【0011】
ここで、上記認証システムが、上記第2の接続口に接続され上記認証サーバにより正当なアクセス権限を有する利用者である旨の認証を受けた利用者端末から該利用者端末を特定する端末情報を取得して登録するとともに該端末情報を上記通信路を経由して上記情報提供システムに通知し、さらに該通知からの経過時間を測定して所定時間経過後に、該利用者端末による上記情報提供サーバの利用の禁止を指示する禁止指示情報を上記通信路を経由して上記情報提供システムに通知するとともに該利用者端末の端末情報の記録を抹消する情報登録用サーバを備え、
上記情報提供システムが、上記認証システムからの端末情報の通知を受けて該端末情報により特定される利用者端末による上記情報提供サーバの利用を許可し、上記認証システムからの禁止指示情報の通知を受けて該禁止指示情報により特定される利用者端末による上記情報提供サーバの利用を禁止するアクセス装置を備えたものであってもよい。
【0012】
本発明の第1のネットワークシステムを上記のように構成した場合は、より信頼性の高いネットワークシステムを構築することができる。
【0013】
また、上記端末情報が、上記第2の接続口に接続された利用者端末のMACアドレスに基づく情報であってもよい。ここで、MACアドレスとは、IEEEが管理・割当てをしている各メーカごとに固有な番号と、メーカが独自に各通信機器に割り当てる番号の組み合わせによって表される、各通信機器のイーサネット(登録商標)カード固有の識別情報である。
【0014】
本発明の第1のネットワークシステムを上記のように構成した場合は、さらに信頼性の高いネットワークシステムを構築することができる。
【0015】
また、上記端末情報が、上記第2の接続口に接続された利用者端末のIPアドレスに基づく情報であってもよい。ここで、IPアドレスとは、インターネットやイントラネットなどのIPネットワークに接続されたコンピュータや通信機器ごとに割り振られた識別番号をいう。
【0016】
本発明の第1のネットワークシステムを上記のように構成した場合は、さらに信頼性の高いネットワークシステムを構築することができる。
【0017】
また、上記目的を達成する、アウトバンド認証を伴う本発明の第2のネットワークシステムは、
利用者により操作される利用者端末が接続される第1の接続口と、該利用者端末に情報を提供する情報提供サーバと、該第1の接続口と該情報提供サーバとを接続する第1のネットワークとを有する情報提供システム、および
上記利用者端末が接続される、上記第1の接続口とは物理的に異なる第2の接続口と、該利用者端末を利用する利用者の、上記情報提供サーバへのアクセス権限の認証を行う認証サーバと、該第2の接続口と該認証サーバとを接続する第2のネットワークとを有する認証システムを有し、
上記認証システムが、上記第2の接続口に接続された利用者端末を操作する利用者の認証を行い、該利用者が、上記情報提供サーバへの正当なアクセス権限を有する利用者である場合に、上記利用者端末に暗号化用の鍵情報を渡すものであり、
上記情報提供システムは、上記第1の接続口に接続された利用者端末から送信されてきた、上記鍵情報により正規に暗号化された情報を受け入れて該利用者端末に上記情報提供サーバを利用させるものであることを特徴とする。
【0018】
本発明の第2のネットワークシステムによれば、情報提供システム側の第1のネットワークと、認証システム側の第2のネットワークとを互いに独立したネットワークとしたので、第2のネットワークの方で認証処理を行うことにより、簡単な操作で第1のネットワークを利用することができる。従って、双方のシステムの負荷が軽減され軽快な動作を行わせることができる。また、第2のネットワークにおける認証方法をより強固な認証方式に変更するだけで、第1のネットワークに何らの変更を加えることなく、ネットワークシステム全体のセキュリティ性をレベルアップさせることができる。
【0019】
また、この第2のネットワークシステムでは、本発明の第1のネットワークシステムにおいては必要であった通信路30(図3参照)は不要であり、第1のネットワークと第2のネットワークとの独立性はさらに強められている。
【0020】
ここで、上記認証システムが、暗号化用の鍵情報を保持し、正当なアクセス権限を有する利用者である旨の認証を行う認証サーバからの要請を受けて該鍵情報を該認証サーバに渡す情報通知用サーバを備え、
上記認証サーバが、上記情報通知用サーバから上記鍵情報を受け取って、該鍵情報を伴う、上記情報提供システムの利用許可情報を、上記第2の接続口に接続され正当なアクセス権限を有する利用者である旨の認証を与えた利用者端末に通知するものであってもよい。
【0021】
本発明の第2のネットワークシステムを上記のように構成した場合は、より信頼性の高いネットワークシステムを構築することができる。
【0022】
また、上記情報提供システムは、上記第1の接続口に接続された利用者端末から送信されてきた上記情報提供サーバをアクセスするための情報が上記鍵情報により正規に暗号化された暗号化情報である場合に該暗号化情報を復号化して上記情報提供サーバに伝えるとともに、不正な情報である場合には該情報を破棄するアクセス装置を備えたものであってもよい。
【0023】
本発明の第2のネットワークシステムを上記のように構成した場合は、さらに信頼性の高いネットワークシステムを構築することができる。
【0024】
また、上記目的を達成する、アウトバンド認証を伴う本発明の第3のネットワークシステムは、
利用者により操作される利用者端末が接続される第1の接続口と、該利用者端末に情報を提供する情報提供サーバと、該第1の接続口と該情報提供サーバとを接続する第1のネットワークとを有する情報提供システム、および
上記利用者端末が接続される、上記第1の接続口とは物理的に異なる第2の接続口と、該利用者端末を利用する利用者の、上記情報提供サーバへのアクセス権限の認証を行う認証サーバと、該第2の接続口と該認証サーバとを接続する第2のネットワークとを有する認証システムを有し、
上記認証システムが、上記第2の接続口に接続された利用者端末を操作する利用者の認証を行い、該利用者が、上記情報提供サーバへの正当なアクセス権限を有する利用者である場合に、上記利用者端末に該利用者の種別に応じたアクセス権限の種別情報を渡すものであり、
上記情報提供システムは、上記第1の接続口に接続された利用者端末から上記種別情報を受け取り、該利用者端末に該種別情報に応じたアクセスを許可するものであることを特徴とする。
【0025】
本発明の第3のネットワークシステムによれば、情報提供システム側の第1のネットワークと、認証システム側の第2のネットワークとを互いに独立したネットワークとしたので、第2のネットワークの方で認証処理を行うことにより、簡単な操作で第1のネットワークを利用することができる。従って、双方のシステムの負荷が軽減され軽快な動作を行わせることができる。また、第2のネットワークにおける認証方法をより強固な認証方式に変更するだけで、第1のネットワークに何らの変更を加えることなく、ネットワークシステム全体のセキュリティ性をレベルアップさせることができる。
【0026】
また、この第3のネットワークシステムでは、本発明の第1のネットワークシステムにおいて必要であった通信路は不要であり、第1のネットワークと第2のネットワークとの独立性をさらに強めることができる。
【0027】
ここで、上記情報提供システムは、上記第1の接続口に接続された、上記種別情報を伴う情報を受け取り、該情報を、該情報に付随した種別情報に応じて通過させ、あるいは破棄するアクセス装置を備えたものであってもよい。
【0028】
本発明の第3のネットワークシステムを上記のように構成した場合は、より信頼性の高いネットワークシステムを構築することができる。
【発明の効果】
【0029】
以上説明したように、本発明によれば、第2のネットワークで認証処理を行うことにより簡単な操作で第1のネットワークを利用することができるようになるので、高度のセキュリティ性および優れた操作性を有するネットワークシステムを実現することができる。
【発明を実施するための最良の形態】
【0030】
以下、図を参照して本発明の実施の形態を説明する。
【0031】
図1は、本発明の各実施形態のネットワークシステムが形成されるコンピュータシステムの概略構成図である。
【0032】
ここには、利用者端末500が接続される第1の接続口205と、情報提供サーバとして動作するコンピュータ100およびアクセス装置として動作するコンピュータ200をLANケーブル900を介して接続する第1のネットワーク401と、利用者端末500が接続される第2の接続口605と、認証サーバとして動作するコンピュータ600および情報登録用サーバ又は情報通知用サーバとして動作するコンピュータ700をLANケーブル900を介して接続する第2のネットワーク402と、利用者端末として動作するコンピュータ500とが示されている。
【0033】
なお、このシステムでは、第1の接続口205および第2の接続口605という物理的に異なる2つの接続口を備えているが、接続口は必ずしも2個備える必要はなく、システム全体に対して1個の接続口を備えた構成であってもよい。
【0034】
また、図1には情報提供サーバとして動作するコンピュータとして1台のコンピュータ100のみが示されているが、情報提供サーバとして動作するコンピュータは1台に限られるものではなく複数台であってもよい。
【0035】
第1の接続口205、第2の接続口605にはLANコネクタが用いられ、これらの接続口に利用者端末500のLANケーブル先端のモジュラープラグ505が挿入されるようになっている。
【0036】
本実施形態では、これら2つのネットワーク401,402が、複数のコンピュータシステムが設置された1つの企業内のLAN(Local Area Network)として構築された例について説明しているが、インターネットやWAN(Wide Area Network)として構築された、複数の企業に跨る処理を行なうネットワークシステムであってもよい。
【0037】
上記第1のネットワーク401および第2のネットワーク402は、互いに独立したネットワークとして構成されており、利用者端末500を、先ず第2のネットワーク402に接続して認証処理を行い、認証処理が完了した後、第2のネットワーク402との接続を絶ってから、第1のネットワーク401に接続することによって第1のネットワーク401内の情報提供サーバからの情報提供を受けるように構成されている。
【0038】
なお、図1には、第2のネットワーク402から第1のネットワーク401に認証結果を通知するための通信路30が示されているが、後述するように複数のネットワークシステムのうち第1の実施形態のネットワークシステムのみが通信路30を備えており、第2および第3の実施形態のネットワークシステムには通信路は備えられていない。
【0039】
上記の各コンピュータ100,200,600,700としては、一般にパーソナルコンピュータやワークステーションと呼ばれるコンピュータシステム、またはブレードサーバなどを用いることができる。また、図1に示すシステムでは、コンピュータ500には、いわゆるノート型パーソナルコンピュータが用いられている。
【0040】
上記の各コンピュータ100,200,500,600,700は、CPU(中央処理装置)、RAM(ランダムアクセスメモリ)、ハードディスク、通信用ボード等が内蔵された本体部101,201,501,601,701からの指示により表示画面102a,202a,502a,602a,702a上に画像や文字列を表示するディスプレイ102,202,502,602,702、各コンピュータ100,200,500,600,700に利用者の指示を入力するためのキーボード103,203,503,603,703、表示画面102a,202a,502a,602a,702a上の任意の位置を指定することにより、その指定時にその位置に表示されていたアイコン等に応じた指示を入力するマウス104,204,604,704、およびトラックパッド504を備えている。
【0041】
本体部101,201,501,601,701は、さらに外観上、MO(光磁気ディスク)、CD/DVDが装填されるMO装填口101a,201a,501a,601a,701a、CD/DVD装填口101b,201b,501b,601b,701bを有しており、それらの内部には、それらの装填口101a,201a,501a,601a,701a,101b,201b,501b,601b,701bから装填されたMOやCD又はDVDをドライブしてアクセスするMOドライブやCD/DVDドライブが内蔵されている。
【0042】
図2は、図1に外観を示したコンピュータのハードウェア構成図である。
【0043】
ここでは代表的にコンピュータ100を取り上げて説明するが、コンピュータ200,500,600,700も基本的に同様の構成を有する。
【0044】
図2のハードウェア構成図には、CPU105、RAM106、ハードディスクコントローラ113、MOドライブ114、CD/DVDドライブ115、マウスコントローラ116、キーボードコントローラ117、ディスプレイコントローラ118、および通信用ボード119が示されており、それらはバス110で相互に接続されている。
【0045】
MOドライブ114、CD/DVDドライブ115は、図1を参照して説明したように、それぞれMO装填口101aおよびCD/DVD装填口101bから装填されたMO601、CD/DVD602をアクセスするものである。
【0046】
通信用ボード119はネットワーク401,402(図1参照)に接続される。
【0047】
また、図2には、ハードディスクコントローラ113によりアクセスされるハードディスク600、マウスコントローラ116により制御されるマウス104、キーボードコントローラ117により制御されるキーボード103、およびディスプレイコントローラ118により制御されるディスプレイ102も示されている。
【0048】
図3は、本発明の第1の実施形態のネットワークシステムの概略構成図である。
【0049】
図3に示すように、このネットワークシステム1は、情報提供システム10、認証システム20、および通信路30を有する。
【0050】
情報提供システム10は、利用者51により操作される利用者端末50が接続される第1の接続口11と、利用者端末50に情報を提供する情報提供サーバ12と、利用者端末50による情報提供サーバ12の利用を許可し、又は利用を禁止するアクセス装置14と、上記アクセス装置14と上記情報提供サーバ12とを接続する第1のネットワーク13とを有する。
【0051】
なお、図3には、1台の情報提供サーバ12のみが示されているが、情報提供サーバは1台に限られるものではなく複数台であってもよい。
【0052】
認証システム20は、利用者端末50が接続される、第1の接続口11とは物理的に異なる第2の接続口21と、利用者端末50を利用する利用者51の、情報提供サーバ12へのアクセス権限の認証を行う認証サーバ22と、端末情報を取得して登録するとともに該端末情報を通信路30を経由して情報提供システム10に通知する情報登録用サーバ24と、上記情報提供サーバ12と上記情報登録用サーバ24とを接続する第2のネットワーク23とを有する。
【0053】
本実施形態では、認証サーバ22として、RADIUS(Remote Authentication Dial−In User Service)サーバ、すなわち、クライアントサーバモデルのダイヤルアップ接続利用者認証システムを用いているが、本発明の認証サーバは、このRADIUSサーバに限定されるものではなく、このネットワークシステムの情報提供サーバへのアクセス権限の認証を行うことのできる認証サーバであればどのような方式の認証サーバを用いてもよい。
【0054】
通信路30は、認証システム20での認証結果を情報提供システム10に通知するものである。
【0055】
本実施形態では、認証システム20は、第2の接続口21に接続された利用者端末50を操作する利用者51の認証を行い、利用者51が、情報提供サーバ12への正当なアクセス権限を有する利用者である場合に、第2の接続口21に接続され上記認証サーバ20により正当なアクセス権限を有する利用者である旨の認証を受けた利用者端末50から該利用者端末を特定する端末情報を取得して登録するとともに、該端末情報を通信路30を経由して情報提供システム10に通知する情報登録用サーバ24を備えている。
【0056】
さらに、本実施形態の情報登録用サーバ24は、該通知からの経過時間を測定して、所定時間経過後に、該利用者端末50による情報提供サーバ12の利用の禁止を指示する禁止指示情報を通信路30を経由して情報提供システム10に通知するとともに、該利用者端末50の端末情報の記録を抹消する一方、上記情報提供システム10は、第1の接続口11に接続された利用者端末50が、認証システム20から通信路30を経由して通知を受けた端末情報に合致する利用者端末である場合に、利用者端末50による情報提供サーバ12の利用を許可し、認証システム20からの禁止指示情報の通知を受けて該禁止指示情報により特定される利用者端末による情報提供サーバ12の利用を禁止するアクセス装置14を備えている。
【0057】
次に、本実施形態のネットワークシステム1の動作について説明する。
【0058】
ここでは、このネットワークシステム1を備えた企業を訪れた来訪者(利用者)が、このネットワークシステム1に備えられた情報提供サーバ12を一時的に利用しようとする場合について説明する。
【0059】
図4は、第1の実施形態における通信シーケンスを示す図である。
【0060】
利用者51(図3参照)がこのネットワークシステム1を備えた企業を訪れ、受付の担当者に情報提供システム10の利用を申し出るとともに、図1および図4に示すように、利用者端末50のLANケーブル52を認証システム20の第2の接続口21であるコンピュータ300のLANコネクタ205に接続して認証処理を行う(図4:ステップS11)。
【0061】
この認証処理は、本実施形態では認証サーバ22によるRADIUS認証手順を用いて利用者本人の認証を行うようになっているが、これ以外にどのような方法で利用者の本人認証を行ってもよく、例えば、訪問者の名前や会社名等の情報に基づき受付担当者により本人であることを確認するようにしてもよい。
【0062】
本実施形態では、認証サーバ22による認証処理が完了した後に、利用者端末50を特定する端末情報として、利用者端末50のMACアドレスが認証サーバ22により読み出され(図4:ステップS12)、情報登録用サーバ24に登録される。情報登録用サーバ24は、登録された端末情報に基づき利用者51の訪問場所(例えば、会議室や応接室など)に存在するアクセス装置14に対してアクセス制限の解除を行うよう、通信路30を経由して情報提供システム10に通知するとともに、利用者端末50にも通知する。
【0063】
アクセス装置14は基本的にアクセス拒否状態となっており、上記アクセス制限の解除の通知を情報登録用サーバ24から受けたときだけアクセス制限解除対象の利用者端末からのアクセスを許可するようになっている。
【0064】
なお、本実施形態では、利用者の訪問時間に合わせて利用許可時間情報を情報登録用サーバ24に保有しておき、その利用許可時間情報に基づきアクセス制限の解除/再制限を行うようになっている。
【0065】
利用者51は、認証システム20による認証処理が終わった後、第2のネットワーク23の第2の接続口21と利用者端末とのLAN接続を外してから訪問場所(会議室/応接室)に移動し、第1のネットワーク13の接続口11と利用者端末とのLAN接続を行い、第1のネットワーク13の利用を開始する。
【0066】
前述の通り、アクセス装置14では、情報登録用サーバ22から受け取った端末情報と、利用者端末50から受け取った端末情報との対応付けを行い、対応が付いた場合に、利用者端末50の利用を可能とする。以上のように構成されているため、利用者51は利用者端末50による第1のネットワーク13の利用に際して訪問場所での特別な設定や操作を行うことなしに、情報提供システム10を利用することができる(図4:ステップS13)。
【0067】
情報登録用サーバ22は、図4に示すように、利用許可時間t(図4参照)が経過した後は、再びアクセス制限をかけるようにアクセス装置14に指示を出す(図4:ステップS14)。アクセス制限指示が出された後は、利用者51は第1のネットワーク13を利用することができない。第1のネットワーク13を続けて利用したいときには、利用者端末50を第2のネットワーク23に再び接続し、認証システム20による再認証・再登録の手続きを行う必要がある(図4:ステップS15、ステップS16)。
【0068】
以上のように、このネットワークシステム1においては、第1のネットワーク13側の情報提供システム10内での認証処理は行われず、第2のネットワーク23側の認証システム20が認証処理を行う。そして、認証システム20で認証された利用者が第1のネットワーク13内の情報提供サーバ12を利用することができる。
【0069】
以上の説明では、端末情報として利用者端末50のMACアドレスを用いた場合の例を示しているが、MACアドレスの代わりに、利用者端末50のIPアドレス(インターネットやイントラネットなどのIPネットワークに接続されたコンピュータや通信機器に割り振られた固有の識別情報)に基づく情報を端末情報として用いてもよい。これ意外にも、認証対象となる利用者端末を特定できる情報、あるいは利用者端末固有の情報であれば、端末情報として適宜利用可能である。
【0070】
また、利用者端末50の利用時間を延長したい場合に、再認証の場合に限り、第1のネットワーク13上で再認証を行えるように構成してもよい。ただし、この場合は、認証サーバおよび情報登録用サーバが、第1のネットワーク13上にも存在しなければならず、また本来の認証用ネットワークである第2のネットワーク23との間で、データの同期がとれるようにしておく必要がある。
【0071】
以上のようにして、この第1の実施形態のネットワークシステム1では、第1のネットワーク13側では認証処理は行われず、第2のネットワーク23側で認証された利用者のみが第1のネットワーク13内の情報提供サーバ12を利用することができる。
【0072】
次に、本発明の第2の実施形態について説明する。
【0073】
図5は、本発明の第2の実施形態のネットワークシステムの概略構成図である。
【0074】
なお、この第2の実施形態のネットワークシステム2は、アウトバンド認証を伴う本発明の第2のネットワークシステムに相当する。
【0075】
図5に示すように、本実施形態のネットワークシステム2は、情報提供システム60および認証システム70を有している。
【0076】
情報提供システム60は、利用者51により操作される利用者端末50が接続される第1の接続口61と、利用者端末50に情報を提供する情報提供サーバ62と、第1の接続口61と情報提供サーバ62とを接続する第1のネットワーク63とを有する。
【0077】
認証システム70は、利用者端末50が接続される、第1の接続口61とは物理的に異なる第2の接続口71と、利用者端末50を利用する利用者51の、情報提供サーバ62へのアクセス権限の認証を行う認証サーバ72と、第2の接続口71と認証サーバ72とを接続する第2のネットワーク73とを有している。
【0078】
この認証システム70は、第2の接続口71に接続された利用者端末50を操作する利用者51の認証を行い、利用者51が、上記情報提供サーバ62への正当なアクセス権限を有する利用者である場合に、利用者端末50に暗号化用の鍵情報を渡すものである。また、情報提供システム60は、第1の接続口61に接続された利用者端末50から送信されてきた情報提供サーバ62をアクセスするための情報が上記鍵情報により正規に暗号化された暗号化情報である場合に、該暗号化情報を復号化して情報提供サーバ62に伝えることにより利用者端末50に情報提供サーバ62を利用させるようにするとともに、不正な情報である場合には該情報を破棄するアクセス装置64を備えている。
【0079】
さらに、本実施形態では、上記認証システム70は、暗号化用の鍵情報を保持し、正当なアクセス権限を有する利用者である旨の認証を行う認証サーバ72からの要請を受けて該鍵情報を該認証サーバ72に渡す情報通知用サーバ75を備えている。認証サーバ72は、情報通知用サーバ75から上記鍵情報を受け取って、該鍵情報を伴う情報提供システム60の利用許可情報を、第2の接続口71に接続され正当なアクセス権限を有する利用者である旨の認証を与えた利用者端末50に通知するようになっている。
【0080】
次に、本実施形態のネットワークシステム2の動作について説明する。
【0081】
ここでは、このネットワークシステム2を備えた企業を訪れた来訪者(利用者)がこのネットワークシステム2に備えられた情報提供サーバ62を一時的に利用しようとする場合の例について説明する。
【0082】
図6は、第2の実施形態における通信シーケンスを示す図である。
【0083】
利用者51(図5参照)がこのネットワークシステム2を備えた企業を訪れ、受付の担当者に情報提供システム60の利用を申し出るとともに、図1および図6に示すように、利用者端末50のLANケーブル52を第2のネットワーク73の第2の接続口71であるコンピュータ300のLANコネクタ205に接続して認証処理を行う(図6:ステップS21)。
【0084】
この認証処理は、本実施形態では認証サーバ72によるRADIUS認証手順を用いて利用者本人の認証を行うようになっているが、これ以外にどのような方法で利用者の本人認証を行ってもよく、例えば、訪問者の名前や会社名等の情報に基づき受付担当者により本人であることを確認するようにしてもよい。
【0085】
本実施形態では、認証サーバ72による認証処理が完了した後に、情報通知用サーバ75は利用者端末50に暗号化用の鍵情報を渡す(図6:ステップS22)。情報通知用サーバ75は、実施形態1における情報登録用サーバ24とは異なり第2のネットワーク63内のアクセス装置64等の制御は行わない。また、通知される暗号化用鍵情報を、利用許可時間t(図6参照)内でのみ有効な情報とし、その情報に基づきアクセス制限の解除/再制限を行うように構成されている。
【0086】
利用者51は、認証システム70による認証処理が終わり認証サーバ72から暗号化用鍵情報を受け取った後、第2のネットワーク73の第2の接続口71とのLAN接続を外してから訪問場所(会議室又は応接室など)に移動し、第1のネットワーク63の第1の接続口61とのLAN接続を行い、第1のネットワーク63の利用を開始する(図6:ステップS23)。
【0087】
こうして、利用者51はこの訪問場所では特別な設定・操作をすることなしに第1のネットワーク63内の情報提供システム60の利用が可能となる。ただし、利用者は情報通知用サーバ75から渡された暗号化用鍵情報を利用することができるように、事前に利用者端末50の設定操作を行っておく必要がある。この設定操作とは、具体的には次に示すように、利用者端末50の鍵情報保持部50gに暗号化用鍵情報を保存することをいう。実際にどのような設定操作が必要であるかはネットワーク側のアクセス制御機能によって異なるが、本実施形態では、宛先MACアドレスを暗号化用鍵情報に変換する方法を利用した場合について説明する。
【0088】
なお、本実施形態で暗号化の対象となる情報は、例えばTCP/IP(Transmission Control Protocol/Internet Protocol)における各パケットのイーサネット(登録商標)ヘッダに記述される宛先MACアドレスなどである。
【0089】
図7は、第2の実施形態における利用者端末の機能ブロック図であり、図8は、第2の実施形態におけるアクセス装置の機能ブロック図である。
【0090】
図7に示すように、この利用者端末50は、受信I/F(インターフェース)部50a、宛先MACアドレス復号化部50b、FCS(Frame Check Sequence)チェック部50c、送信I/F部50d、宛先MACアドレス暗号化部50e、FCS計算部50f、上位機能処理部50hなどを有している。ここで、FCS(Frame Check Sequenceの略)とは、イーサネット(登録商標)フレームのヘッダ部とデータ部に誤りがないか否かを検出するための値であり、イーサネット(登録商標)フレームの末尾に付加される。
【0091】
図8に示すように、このアクセス装置64は、受信I/F(インターフェース)部64a、ポート状態確認部64b、宛先MACアドレス復号化部64c、FCSチェック部64d、送信I/F部64e、ポート状態確認部64f、宛先MACアドレス暗号化部64g、FCS計算部64h、鍵情報保持部64i、ブリッジ機能および上位機能処理部64jなどを有している。
【0092】
次に、第2の実施形態における認証処理の流れについて説明する。
【0093】
図9は、第2の実施形態における認証処理の流れを示すフローチャートであり、図10は、第2の実施形態における認証処理の過程におけるイーサネット(登録商標)フレームの推移を示す図である。
【0094】
図10(a)に示すように、イーサネット(登録商標)フレーム40は、宛先MACアドレス40a、発信元MACアドレス40b、タイプ40c、データ40dから構成されている。
【0095】
利用者端末50がアクセス装置64から宛先MACアドレスを受け取った後、図9:ステップS31において、利用者端末50のFCS計算部50f(図7参照)は、宛先MACアドレス40aを元にFCSを計算する。計算で得られたFCSは、図10(b)に示すように、イーサネット(登録商標)フレーム40の末尾に付加されイーサネット(登録商標)フレーム41が生成される。
【0096】
次に、宛先MACアドレス暗号化部50eにより、前述の暗号化用鍵情報を利用して宛先MACアドレス40aの暗号化が行われ(図9:ステップS32)、図10(c)に示すように、暗号化された宛先MACアドレス42aを含むイーサネット(登録商標)フレーム42が生成される。
【0097】
次に、PHY層(OSI階層モデルの第1層(物理層))の処理(図9:ステップS33)が行われ、暗号化された宛先MACアドレス42aを含むイーサネット(登録商標)フレーム42が暗号化用鍵情報として送信I/F部50dから送信される(図9:ステップS34)。なお、この暗号化用鍵情報は鍵情報保持部50gに保持される。
【0098】
こうして利用者端末50から送信されたイーサネット(登録商標)フレーム42は、アクセス装置64の受信I/F部64a(図8参照)から入力され(図9:ステップS35)、ポート状態確認部64bで、この受信ポートが、宛先MACアドレス変換を実施する対象ポートとなっているか否かを確認し、対象ポートに該当する場合は、宛先MACアドレス復号化部64cにおいて、暗号化されている宛先MACアドレス42aを復号化して暗号化前の宛先MACアドレス43aを含むイーサネット(登録商標)フレーム43が生成される(図9:ステップS36)。次に、FCSチェック部64dで、FCSの再計算が行われ、誤りがない場合、すなわち暗号化前の宛先MACアドレス43aが、暗号化後の宛先MACアドレス42a(図10(c)参照)と同一であることが確認された後(図9:ステップS37)、MAC層の処理(図9:ステップS38)を経て、フレーム中継等の操作が行われる。
【0099】
ここで、正規の暗号化用鍵情報を持たない利用者端末50がアクセス装置64に正規ではない暗号化用鍵情報を送信してきた場合は、宛先MACアドレスは別の宛先MACアドレスに変換されてしまうため、正しい宛先である情報提供サーバ62(図5参照)に送信することができない。また、FCSの計算も正しく行われないため、エラーフレームとして破棄される。
【0100】
また、正規の暗号化用鍵情報を持たない利用者端末50が、たまたま、暗号化後の宛先MACアドレスを含む暗号化用鍵情報をアクセス装置64に送信してきた場合も、イーサネット(登録商標)フレームのFCSが正しく計算されないため、エラーフレームとして破棄される(図6:ステップS24)
次に、本発明の第3の実施形態について説明する。
【0101】
前述のように第2の実施形態では、宛先MACアドレスを鍵情報に変換して認証を行う方式を採用しているが、さらに他の認証方式として、例えばイーサネット(登録商標)フレームのIPヘッダオプションやVLAN(Virtual LAN)−tagに特定の情報を付加する方法や、XMLによる特定の情報をパケットに付加して通信を行う方法などにより、特定の情報が付加されたフレームやパケットのみのアクセスを許可する認証方式を採用することもできる。
【0102】
以下には、第3の実施形態として、イーサネット(登録商標)フレームのIPヘッダオプションに特定の情報を付加する認証方式について説明する。
【0103】
図11は、本発明の第3の実施形態のネットワークシステムの概略構成図である。
【0104】
なお、この第3の実施形態のネットワークシステム3は、アウトバンド認証を伴う本発明の第3のネットワークシステムに相当する。
【0105】
図11に示すように、この第3の実施形態のネットワークシステム3は、利用51者により操作される利用者端末50が接続される第1の接続口81と、利用者端末50に情報を提供する情報提供サーバ82_1,82_2,82_3と、第1の接続口81と情報提供サーバ82_1,82_2,82_3とを接続する第1のサブネットワーク83_1,83_2,83_3とを有する情報提供システム80、および上記利用者端末50が接続される、第1の接続口81とは物理的に異なる第2の接続口86と、利用者端末50を利用する利用者51の、情報提供サーバ82_1,82_2,82_3へのアクセス権限の認証を行う認証サーバ87と、第2の接続口86と認証サーバ87とを接続する第2のネットワーク88とを有する認証システム85を有している。
【0106】
認証システム85は、第2の接続口86に接続された利用者端末50を操作する利用者51の認証を行い、該利用者51が、情報提供サーバ82への正当なアクセス権限を有する利用者である場合に、利用者端末51に利用者51の種別に応じたアクセス権限の種別情報を渡すものであり、情報提供システム80は、第1の接続口81に接続された、上記種別情報を伴う情報を受け取り、該情報を、該情報に付随した種別情報に応じて通過させ、あるいは破棄するアクセス装置84_1,84_2,84_3を備えており、これらのアクセス装置84_1,84_2,84_3により、利用者端末50のアクセスを制御するように構成されている。
【0107】
上記のように、このネットワークシステム3は、3つのアクセス装置と3つのサブネットワークと3つの情報提供サーバとにより階層的に構成されているが、これは、上記のように3つのアクセス装置84_1,84_2,84_3が種別情報を伴う情報を受け取り、該情報を、該情報に付随した種別情報に応じて通過させ、あるいは破棄するためである。例えば、第1のアクセス装置84_1は、種別情報が第1ランクの利用者(例えば一般来訪者)に対しては、第1段階の機密性を要する情報提供サーバ82_1へのアクセスを許可し、第2のアクセス装置84_2は、種別情報が第2ランクの利用者(例えばその企業の従業員)に対しては、第1段階の機密性を要する情報提供サーバ82_2へのアクセスを許可するなどというように、利用者の種別に応じて利用者端末50のアクセス権限を制御することができる。
【0108】
なお、図11には、上記のように3階層のネットワークとして構成した例を示したが、階層数は3階層に限られるものではなく、何階層であってもよい。
【0109】
図12は、第3の実施形態におけるアクセス装置の機能ブロック図である。
【0110】
図12には上記アクセス装置84_1,84_2,84_3のうちの一つのアクセス装置84のみを示しているが、3つのアクセス装置84_1,84_2,84_3ともに同様の構成となっている。
【0111】
このアクセス装置84は、伝送路制御部84a、タグ確認部84b、タグ処理部84c、ポリシー記録部84d、ポリシー入力部84e、パケット処理部84f、および伝送路制御部84gなどを有している。
【0112】
図13は、第3の実施形態において種別情報として用いられるイーサネット(登録商標)フレームのIPヘッダおよびIPヘッダオプションを示す図である。
【0113】
図13に示すように、このイーサネット(登録商標)フレームのIPヘッダ91には、可変長のIPヘッダオプション92が設けられており、このIPヘッダオプション92には利用者の属性を表す利用者属性93が記録されるようになっている。
【0114】
この利用者属性93は、認証システム85における利用者51の本人認証時に認証サーバ87によって付与される情報であり、例えば、利用者が一般来訪者である場合には利用者属性93として“1”が付与され、利用者がその企業の従業員である場合には利用者属性93として“2”が付与されるようになっている。この利用者属性93は、後述するようにアクセス装置84によるパケット処理(図14参照)の際に参照され、パケットを通過させるか破棄するかの判定に用いられる。
【0115】
なお、この利用者属性93は、本発明にいう種別情報の一例に相当するものである。
【0116】
次に、第3の実施形態における認証処理および認証後の処理について説明する。
【0117】
図14は、第3の実施形態における通信シーケンスを示す図である。
【0118】
利用者51(図11参照)がこのネットワークシステム3を備えた企業を訪れ、受付の担当者に情報提供システム80の利用を申し出るとともに、図1および図11に示すように、利用者端末50のLANケーブル52を認証システム85の第2の接続口86であるコンピュータ300のLANコネクタ205に接続することにより認証サーバ87による認証処理が開始される(図14:ステップS41)。
【0119】
この認証処理は、本実施形態ではRADIUS認証手順を用いて利用者本人の認証を行うようになっているが、この方法に限られるものではなく、どのような方法で利用者の本人認証を行ってもよい。例えば、訪問者の名前や会社名等の情報に基づき受付担当者により本人であることを確認するようにしてもよい。
【0120】
本実施形態では、この情報提供システム80を利用する利用者の属性に関する情報を記録した利用者データベースが備えられており、認証システム85は、この利用者データベースを用いて、第2の接続口86に接続された利用者端末50を操作する利用者51の認証を行うようになっている。この認証処理の結果、該利用者51が、情報提供サーバ82への正当なアクセス権限を有する利用者である場合には、認証システム85に備えられた情報通知用サーバ89は、利用者端末50に該利用者の種別に応じたアクセス権限の種別情報を上記利用者データベースに基づいて設定し、それを利用者端末50に通知する(図14:ステップS42)。
【0121】
通知される情報は、図13に示すIPヘッダオプション92のうちの利用者属性93である。この種別情報は、利用許可時間t(図14参照)内でのみ有効な情報として通知される。
【0122】
利用者51は、認証システム85による認証処理が終わり、情報通知用サーバ89から種別情報としての利用者属性93を利用者端末50に受け取った後、第2の接続口86とのLAN接続を外してから訪問場所(会議室又は応接室など)に移動し、第1の接続口81とのLAN接続を行い、第1のアクセス装置84_1(図11参照)へ利用者属性93(図13参照)を送信する(図14:ステップS43)。以下の説明では、説明が煩雑になるのをさけるため、第1のアクセス装置84_1を単にアクセス装置84という。
【0123】
アクセス装置84は、利用者端末50から送られてきたパケットの中からIPヘッダオプション92のタグ情報である利用者属性93(図13参照)をタグ確認部84b(図12参照)で確認し、利用者属性93が付与されていないパケットは廃棄し、利用者属性93が付与されているパケットは、タグ処理部84cに送る。タグ処理部84cは、パケットがこの先に転送してもよいパケットか否かの識別を行う。ポリシー記録部84dには、その識別を行うためのポリシーテーブルが記録されている。
【0124】
図15は、第3の実施形態における種別情報として用いられるポリシーテーブルを示す図である。
【0125】
図15に示されるように、このポリシーテーブル90には、アプリケーション識別子90a、利用者属性90b、振る舞い90cが保持されており、例えば、アプリケーション識別子90a: “1(ウエブアクセス[http])”のアプリケションについては、利用者属性90b≧1の利用者のアクセスを通過させること(レコード90_1)、アプリケーション識別子90a: “not1(ウエブアクセス以外)”のアプリケションについては、利用者属性90b≧2の利用者のアクセスを通過させること(レコード90_2)、また、アプリケーション識別子90aおよび利用者属性90bが 上記条件を満たさないものについては、そのパケットは破棄されることが定められている(レコード90_3)。
【0126】
タグ処理部84cは、利用者端末50から送られてきた利用者属性93を、上記のポリシーテーブル90に保持されている利用者属性90bと照合することによりアクセス装置84としてどのように処理すべきかを、振る舞い90cを参照して決定し、パケット処理部84dはその決定に基づき、送られてきたパケットを通過させ、または破棄処理する(図14:S44)。利用者端末50から送られてきたパケットがパケット処理部84dを通過した後は、利用者端末50は第1のネットワーク83の利用を開始することができる。
【0127】
例えば、認証システム85(図11参照)で、利用者の種別が“一般来訪者”である利用者に対して利用者属性“1”が利用者端末50に渡された場合について説明すると、利用者端末50から送られてきた利用者属性“1”が、上記ポリシーテーブル90と照合され、レコード90_1の利用者属性90bに合致するので、ウエブアクセス[http]のアプリケションを提供する第1の情報提供サーバ82_1へのアクセスを通過させる。しかし、この利用者の利用者属性“1”はレコード90_2の利用者属性90bには合致せず、レコード90_3の条件に従い、第2、第3の情報提供サーバ82_2,82_3へのアクセスは拒絶される。
【0128】
以上のように、IPヘッダオプションに利用者の種別に応じた種別情報を付加することにより、第1のネットワーク上の各サブネットワークの利用を利用者の種別に応じて制御することができる。
【0129】
この第3の実施形態においても、利用者51は、第2のネットワーク88内で認証を得た後は、訪問場所では特別な設定・操作をすることなく第1のネットワーク83内の情報提供サーバ82を利用することができる。
【0130】
上記の3つの実施形態に示したように、情報提供システムを含む第1のネットワークと、認証システムを含む第2のネットワークとを分離したことにより、第1のネットワーク内では特別な設定・操作を行うことなく情報提供システムを利用することができる。その結果、第1のネットワークおよび第2のネットワーク双方を簡略なネットワークシステムとすることができるので、第1のネットワーク上で行われる処理を軽快なものとすることができる。また、新たな認証方式が出現した場合には、第2のネットワークにおける認証方式を新たな認証方式に変更するだけで、第1のネットワークには何らの変更を加えることなく、ネットワークシステム全体のセキュリティ性をレベルアップすることが可能である。また、従来のインバンド認証で問題となっている機器の違いによるトラブルを生じることがなくなり、機器に依存しない一元的な認証システムを実現することができる。
【0131】
以下に、本発明の各種態様を付記する。
【0132】
(付記1)
利用者により操作される利用者端末が接続される第1の接続口と、該利用者端末に情報を提供する情報提供サーバと、該第1の接続口と該情報提供サーバとを接続する第1のネットワークとを有する情報提供システム、
前記利用者端末が接続される、前記第1の接続口とは物理的に異なる第2の接続口と、該利用者端末を利用する利用者の、前記情報提供サーバへのアクセス権限の認証を行う認証サーバと、該第2の接続口と該認証サーバとを接続する第2のネットワークとを有する認証システム、および
前記認証システムでの認証結果を前記情報提供システムに通知する通信路を有し、
前記認証システムが、前記第2の接続口に接続された利用者端末を操作する利用者の認証を行い、該利用者が、前記情報提供サーバへの正当なアクセス権限を有する利用者である場合に、前記利用者端末を特定する端末情報を、前記通信路を経由して、前記情報提供システムに通知するものであり、
前記情報提供システムは、前記第1の接続口に接続された利用者端末が、前記認証システムから前記通信路を経由して通知を受けた端末情報に合致する利用者端末である場合に、該利用者端末による前記情報提供サーバの利用を許可するものであることを特徴とするアウトバンド認証を伴うネットワークシステム。
【0133】
(付記2)
前記認証システムが、前記第2の接続口に接続され前記認証サーバにより正当なアクセス権限を有する利用者である旨の認証を受けた利用者端末から該利用者端末を特定する端末情報を取得して登録するとともに該端末情報を前記通信路を経由して前記情報提供システムに通知し、さらに該通知からの経過時間を測定して所定時間経過後に、該利用者端末による前記情報提供サーバの利用の禁止を指示する禁止指示情報を前記通信路を経由して前記情報提供システムに通知するとともに該利用者端末の端末情報の記録を抹消する情報登録用サーバを備え、
前記情報提供システムが、前記認証システムからの端末情報の通知を受けて該端末情報により特定される利用者端末による前記情報提供サーバの利用を許可し、前記認証システムからの禁止指示情報の通知を受けて該禁止指示情報により特定される利用者端末による前記情報提供サーバの利用を禁止するアクセス装置を備えたことを特徴とする付記1記載のアウトバンド認証を伴うネットワークシステム。
【0134】
(付記3)
前記端末情報が、前記第2の接続口に接続された利用者端末のMACアドレスに基づく情報であることを特徴とする付記1記載のアウトバンド認証を伴うネットワークシステム。
【0135】
(付記4)
前記端末情報が、前記第2の接続口に接続された利用者端末のIPアドレスに基づく情報であることを特徴とする付記1記載のアウトバンド認証を伴うネットワークシステム。
【0136】
(付記5)
利用者により操作される利用者端末が接続される第1の接続口と、該利用者端末に情報を提供する情報提供サーバと、該第1の接続口と該情報提供サーバとを接続する第1のネットワークとを有する情報提供システム、および
前記利用者端末が接続される、前記第1の接続口とは物理的に異なる第2の接続口と、該利用者端末を利用する利用者の、前記情報提供サーバへのアクセス権限の認証を行う認証サーバと、該第2の接続口と該認証サーバとを接続する第2のネットワークとを有する認証システムを有し、
前記認証システムが、前記第2の接続口に接続された利用者端末を操作する利用者の認証を行い、該利用者が、前記情報提供サーバへの正当なアクセス権限を有する利用者である場合に、前記利用者端末に暗号化用の鍵情報を渡すものであり、
前記情報提供システムは、前記第1の接続口に接続された利用者端末から送信されてきた、前記鍵情報により正規に暗号化された情報を受け入れて該利用者端末に前記情報提供サーバを利用させるものであることを特徴とするアウトバンド認証を伴うネットワークシステム。
【0137】
(付記6)
前記認証システムが、暗号化用の鍵情報を保持し、正当なアクセス権限を有する利用者である旨の認証を行う認証サーバからの要請を受けて該鍵情報を該認証サーバに渡す情報通知用サーバを備え、
前記認証サーバが、前記情報通知用サーバから前記鍵情報を受け取って、該鍵情報を伴う、前記情報提供システムの利用許可情報を、前記第2の接続口に接続され正当なアクセス権限を有する利用者である旨の認証を与えた利用者端末に通知するものであることを特徴とする付記5記載のアウトバンド認証を伴うネットワークシステム。
【0138】
(付記7)
前記情報提供システムは、前記第1の接続口に接続された利用者端末から送信されてきた前記情報提供サーバをアクセスするための情報が前記鍵情報により正規に暗号化された暗号化情報である場合に該暗号化情報を復号化して前記情報提供サーバに伝えるとともに、不正な情報である場合には該情報を破棄するアクセス装置を備えたことを特徴とする付記5記載のアウトバンド認証を伴うネットワークシステム。
【0139】
(付記8)
利用者により操作される利用者端末が接続される第1の接続口と、該利用者端末に情報を提供する情報提供サーバと、該第1の接続口と該情報提供サーバとを接続する第1のネットワークとを有する情報提供システム、および
前記利用者端末が接続される、前記第1の接続口とは物理的に異なる第2の接続口と、該利用者端末を利用する利用者の、前記情報提供サーバへのアクセス権限の認証を行う認証サーバと、該第2の接続口と該認証サーバとを接続する第2のネットワークとを有する認証システムを有し、
前記認証システムが、前記第2の接続口に接続された利用者端末を操作する利用者の認証を行い、該利用者が、前記情報提供サーバへの正当なアクセス権限を有する利用者である場合に、前記利用者端末に該利用者の種別に応じたアクセス権限の種別情報を渡すものであり、
前記情報提供システムは、前記第1の接続口に接続された利用者端末から前記種別情報を受け取り、該利用者端末に該種別情報に応じたアクセスを許可するものであることを特徴とするアウトバンド認証を伴うネットワークシステム。
【0140】
(付記9)
前記情報提供システムは、前記第1の接続口に接続された、前記種別情報を伴う情報を受け取り、該情報を、該情報に付随した種別情報に応じて通過させ、あるいは破棄するアクセス装置を備えたことを特徴とする付記8記載のアウトバンド認証を伴うネットワークシステム。
【0141】
(付記10)
第一の情報処理装置において、第二の情報処理装置による第三の情報処理装置へのアクセスの認証を行う認証方法であって、
前記第二の情報処理装置から、前記第一の情報処理装置に、前記第三の情報処理装置へのアクセス要求を創出するステップと、
前記第一の情報処理装置において、前記第二の情報処理装置によるアクセス認証を行うステップと、
前記アクセス認証結果に応じて、前記第二の情報処理装置から前記第一の情報処理装置に向けて、第一の情報を送出するステップと、
前記第二の情報処理装置から前記第三の情報処理装置に対して、前記第一の情報を送出するステップと、
前記第二の情報処理装置から、前記第三の情報処理装置に対して第二の情報を送出するステップと、
前記第三の情報処理装置において、前記第一の情報と前記第二の情報との対応関係を判別するステップと、
前記対応関係の判別結果に基づいて、前記第二の情報処理装置による前記第三の情報処理装置の利用を許容するステップとを備えたことを特徴とする認証方法。
【0142】
(付記11)
第一の情報処理装置において、第二の情報処理装置による第三の情報処理装置へのアクセスの認証を行う認証方法であって、
前記第二の情報処理装置から、前記第一の情報処理装置に、前記第三の情報処理装置へのアクセス要求を創出するステップと、
前記第一の情報処理装置において、前記第二の情報処理装置によるアクセス認証を行うステップと、
前記アクセス認証結果に応じて、前記第一の情報処理装置から前記第二の情報処理装置に向けて、第一の情報を送出するステップと、
前記第二の情報処理装置から、前記第三の情報処理装置に対して前記第一の情報が付加された情報を送出するステップと、
前記第三の情報処理装置において、前記第一の情報を判別するステップと、
前記判別結果に基づいて、前記第二の情報処理装置による前記第三の情報処理装置の利用を許容するステップとを備えたことを特徴とする認証方法。
【0143】
(付記12)
前記第一の情報は暗号鍵であり、
前記第二の情報処理装置は、前記暗号鍵を用いて暗号化された情報を前記第三の情報処理装置に送出することを特徴とする付記11記載の認証方法。
【0144】
(付記13)
第二の情報処理装置から第三の情報処理装置へのアクセスの認証を行う情報処理装置における認証方法であって、
前記第二の情報処理装置から、前記第三の情報処理装置に対するアクセス要求を受けるステップと、
前記アクセス要求に応じて、前記第二の情報処理装置のアクセス認証を行うステップと、
前記アクセス認証を受けた第二の情報処理装置から、当該第二の情報処理装置に関する情報を受けるステップと、
前記第二の情報処理装置から受けた情報を、前記情報処理装置から前記第三の情報処理装置に通知するステップとを備えたことを特徴とする認証方法。
【0145】
(付記14)
第二の情報処理装置から第三の情報処理装置へのアクセスの認証を行う情報処理装置における認証方法であって、
前記第二の情報処理装置から、前記第三の情報処理装置に対するアクセス要求を受けるステップと、
前記アクセス要求に応じて、前記第二の情報処理装置のアクセス認証を行うステップと、
前記アクセス認証を受けた第二の情報処理装置に対し、認証状況を示す情報を送付するステップとを備えたことを特徴とする認証方法。
【0146】
(付記15)
前記認証状況を示す情報は、暗号鍵であることを特徴とする付記14記載の認証方法。
【0147】
(付記16)
第二の情報処理装置から第三の情報処理装置へのアクセスの認証を行う情報処理装置であって、
前記第三の情報処理装置へのアクセス要求を、前記第二の情報処理装置から受ける手段と、
前記アクセス要求の受信に伴い、前記第二の情報処理装置による前記第三の情報処理装置へのアクセス認証を行う手段と、
アクセス可と認証された第二の情報処理装置から、前記第二の情報処理装置に関する情報を受ける手段と、
前記第二の情報処理装置から受信した情報を、前記第三の情報処理装置に通知する手段とを備えたことを特徴とする情報処理装置。
【0148】
(付記17)
第二の情報処理装置から第三の情報処理装置へのアクセスの認証を行う情報処理装置であって、
前記第三の情報処理装置へのアクセス要求を、前記第二の情報処理装置から受ける手段と、
前記アクセス要求の受信に伴い、前記第二の情報処理装置による前記第三の情報処理装置へのアクセス認証を行う手段と、
アクセス可と認証された第二の情報処理装置に対し、認証状況を示す情報を通知する手段とを備えたことを特徴とする情報処理装置。
【0149】
(付記18)
前記情報を通知する手段は、暗号鍵を前記第二の情報処理装置に通知するように構成されたことを特徴とする付記17記載の情報処理装置。
【0150】
(付記19)
第二の情報処理装置からのアクセスを受け付ける情報処理装置におけるアクセス処理方法において、
第三の情報処理装置から、前記第二の情報処理装置に関わる第一の情報を受けるステップと、
前記第二の情報処理装置から、前記第二の情報処理装置に関わる第二の情報を受けるステップと、
前記第一の情報と前記第二の情報との対応関係を判別するステップと、
前記対応関係の判別結果に応じて、前記第二の情報処理装置からのアクセスを受け付けるステップとを備えたことを特徴とするアクセス処理方法。
【0151】
(付記20)
情報処理装置における認証方法において、
前記情報処理装置を第一の情報処理装置に接続するステップと、
前記第一の情報処理装置に対し、第二の情報処理装置に対するアクセス要求を送出するステップと、
前記アクセス要求に応じた前記第一の情報処理におけるアクセス認証に対応して、前記第一の情報処理装置に対して前記情報処理装置に関する情報を送出するステップと、
前記第二の情報処理装置に接続するステップと、
前記第二の情報処理装置に対して、前記情報処理装置に関する情報を送出するステップと、
前記第二の情報処理装置へ送出した前記情報に対応した、前記第二の情報処理装置による前記第二の情報処理装置の利用許可に応じて、前記第二の情報処理装置にアクセスするステップとを備えたことを特徴とする認証方法。
【0152】
(付記21)
情報処理装置における認証方法において、
前記情報処理装置を第一の情報処理装置に接続するステップと、
前記第一の情報処理装置に対し、第二の情報処理装置に対するアクセス要求を送出するステップと、
前記アクセス要求に応じた前記第一の情報処理におけるアクセス認証に対応して、前記第一の情報処理装置から第一の情報を受け取るステップと、
前記第二の情報処理装置に接続するステップと、
前記第二の情報処理装置に対して、前記第一の情報を送出するステップとを備えたことを特徴とする認証方法。
【0153】
(付記22)
前記認証方法において、
前記第一の情報は暗号鍵であり、
前記第一の情報を送出するステップでは、前記暗号鍵により暗号化された情報を前記第二の情報処理装置に送出することを特徴とする付記21記載の認証方法。
【0154】
(付記23)
前記認証方法において、
前記暗号化された情報は、前記第二の情報処理装置固有の情報を前記暗号鍵により暗号化した情報であることを特徴とする付記22記載の認証方法。
【図面の簡単な説明】
【0155】
【図1】本発明の各実施形態のネットワークシステムが形成されるコンピュータシステムの概略構成図である。。
【図2】図1に外観を示したコンピュータのハードウェア構成図である。
【図3】本発明の第1の実施形態のネットワークシステムの概略構成図である。
【図4】第1の実施形態における通信シーケンスを示す図である。
【図5】本発明の第2の実施形態のネットワークシステムの概略構成図である。
【図6】第2の実施形態における通信シーケンスを示す図である。
【図7】第2の実施形態における利用者端末の機能ブロック図である。
【図8】第2の実施形態におけるアクセス装置の機能ブロック図である。
【図9】第2の実施形態における認証処理の流れを示すフローチャートである。
【図10】第2の実施形態における認証処理の過程におけるイーサネット(登録商標)フレームの推移を示す図である。
【図11】本発明の第3の実施形態のネットワークシステムの概略構成図である。
【図12】第3の実施形態におけるアクセス装置の機能ブロック図である。
【図13】第3の実施形態において種別情報として用いられるイーサネット(登録商標)フレームのIPヘッダおよびIPヘッダオプションを示す図である。
【図14】第3の実施形態における通信シーケンスを示す図である。
【図15】第3の実施形態における種別情報として用いられるポリシーテーブルを示す図である。
【符号の説明】
【0156】
1,2,3 ネットワークシステム
10 情報提供システム
11 第1の接続口
12 情報提供サーバ
13 第1のネットワーク
14 アクセス装置
20 認証システム
21 第2の接続口
22 認証サーバ
23 第2のネットワーク
30 通信路
40 イーサネット(登録商標)フレーム
40a 宛先MACアドレス
40b 発信元MACアドレス
40c タイプ
40d データ
41,42,43 イーサネット(登録商標)フレーム
42a,43a 宛先MACアドレス
50 利用者端末
50a 受信I/F部
50b 宛先MACアドレス復号化部
50c FCSチェック部
50d 送信I/F部
50e 宛先MACアドレス暗号化部
50f FCS計算部
50g 鍵情報保持部
50h 上位機能処理部
51 利用者
52 LANケーブル
60 情報提供システム
61 第1の接続口
62 情報提供サーバ
63 第1のネットワーク
64 アクセス装置
64a 受信I/F部
64b ポート状態確認部
64c 宛先MACアドレス復号化部
64d FCSチェック部
64e 送信I/F部
64f ポート状態確認部
64g 宛先MACアドレス暗号化部
64h FCS計算部
64i 鍵情報保持部
64j ブリッジ機能および上位機能処理部
70 認証システム
71 第2の接続口
72 認証サーバ
73 第2のネットワーク
75 情報通知用サーバ
80 情報提供システム
81 第1の接続口
82,82_1,82_2,82_3 情報提供サーバ
83 第1のネットワーク
83_1,83_2,83_3 サブネットワーク
84,84_1,84_2,84_3 アクセス装置
84a 伝送路制御部
84b タグ確認部
84c タグ処理部
84d ポリシー記録部
84e ポリシー入力部
84f パケット処理部
84g 伝送路制御部
85 認証システム
86 第2の接続口
87 認証サーバ
88 第2のネットワーク
89 情報通知用サーバ
90 ポリシーテーブル
90a アプリケーション識別子
90b 利用者属性
90c 振る舞い
91 IPヘッダ
92 IPヘッダオプション
93 利用者属性
100,200,500,600,700 コンピュータ
101,201,501,601,701 本体部
101a,201a,501a,601a,701a MO装填口
101b,201b,501b,601b,701b CD/DVD装填口
102,202,502,602,702 ディスプレイ
102a,202a,502a,602a,702a 表示画面
103,203,503,603,703 キーボード
104,204,604,704 マウス
105 CPU
106 RAM
113 ハードディスクコントローラ
114 MOドライブ
115 CD/DVDドライブ
116 マウスコントローラ
117 キーボードコントローラ
118 ディスプレイコントローラ
119 通信用ボード
205,605 LANコネクタ
401,402 ネットワーク
500 利用者端末
504 トラックパッド
505 モジュラープラグ
601 MO
602 CD/DVD
900 LANケーブル
【特許請求の範囲】
【請求項1】
利用者により操作される利用者端末が接続される第1の接続口と、該利用者端末に情報を提供する情報提供サーバと、該第1の接続口と該情報提供サーバとを接続する第1のネットワークとを有する情報提供システム、
前記利用者端末が接続される、前記第1の接続口とは物理的に異なる第2の接続口と、該利用者端末を利用する利用者の、前記情報提供サーバへのアクセス権限の認証を行う認証サーバと、該第2の接続口と該認証サーバとを接続する第2のネットワークとを有する認証システム、および
前記認証システムでの認証結果を前記情報提供システムに通知する通信路を有し、
前記認証システムが、前記第2の接続口に接続された利用者端末を操作する利用者の認証を行い、該利用者が、前記情報提供サーバへの正当なアクセス権限を有する利用者である場合に、前記利用者端末を特定する端末情報を、前記通信路を経由して、前記情報提供システムに通知するものであり、
前記情報提供システムは、前記第1の接続口に接続された利用者端末が、前記認証システムから前記通信路を経由して通知を受けた端末情報に合致する利用者端末である場合に、該利用者端末による前記情報提供サーバの利用を許可するものであることを特徴とするアウトバンド認証を伴うネットワークシステム。
【請求項2】
前記認証システムが、前記第2の接続口に接続され前記認証サーバにより正当なアクセス権限を有する利用者である旨の認証を受けた利用者端末から該利用者端末を特定する端末情報を取得して登録するとともに該端末情報を前記通信路を経由して前記情報提供システムに通知し、さらに該通知からの経過時間を測定して所定時間経過後に、該利用者端末による前記情報提供サーバの利用の禁止を指示する禁止指示情報を前記通信路を経由して前記情報提供システムに通知するとともに該利用者端末の端末情報の記録を抹消する情報登録用サーバを備え、
前記情報提供システムが、前記認証システムからの端末情報の通知を受けて該端末情報により特定される利用者端末による前記情報提供サーバの利用を許可し、前記認証システムからの禁止指示情報の通知を受けて該禁止指示情報により特定される利用者端末による前記情報提供サーバの利用を禁止するアクセス装置を備えたことを特徴とする請求項1記載のアウトバンド認証を伴うネットワークシステム。
【請求項3】
利用者により操作される利用者端末が接続される第1の接続口と、該利用者端末に情報を提供する情報提供サーバと、該第1の接続口と該情報提供サーバとを接続する第1のネットワークとを有する情報提供システム、および
前記利用者端末が接続される、前記第1の接続口とは物理的に異なる第2の接続口と、該利用者端末を利用する利用者の、前記情報提供サーバへのアクセス権限の認証を行う認証サーバと、該第2の接続口と該認証サーバとを接続する第2のネットワークとを有する認証システムを有し、
前記認証システムが、前記第2の接続口に接続された利用者端末を操作する利用者の認証を行い、該利用者が、前記情報提供サーバへの正当なアクセス権限を有する利用者である場合に、前記利用者端末に暗号化用の鍵情報を渡すものであり、
前記情報提供システムは、前記第1の接続口に接続された利用者端末から送信されてきた、前記鍵情報により正規に暗号化された情報を受け入れて該利用者端末に前記情報提供サーバを利用させるものであることを特徴とするアウトバンド認証を伴うネットワークシステム。
【請求項4】
利用者により操作される利用者端末が接続される第1の接続口と、該利用者端末に情報を提供する情報提供サーバと、該第1の接続口と該情報提供サーバとを接続する第1のネットワークとを有する情報提供システム、および
前記利用者端末が接続される、前記第1の接続口とは物理的に異なる第2の接続口と、該利用者端末を利用する利用者の、前記情報提供サーバへのアクセス権限の認証を行う認証サーバと、該第2の接続口と該認証サーバとを接続する第2のネットワークとを有する認証システムを有し、
前記認証システムが、前記第2の接続口に接続された利用者端末を操作する利用者の認証を行い、該利用者が、前記情報提供サーバへの正当なアクセス権限を有する利用者である場合に、前記利用者端末に該利用者の種別に応じたアクセス権限の種別情報を渡すものであり、
前記情報提供システムは、前記第1の接続口に接続された利用者端末から前記種別情報を受け取り、該利用者端末に該種別情報に応じたアクセスを許可するものであることを特徴とするアウトバンド認証を伴うネットワークシステム。
【請求項5】
前記情報提供システムは、前記第1の接続口に接続された、前記種別情報を伴う情報を受け取り、該情報を、該情報に付随した種別情報に応じて通過させ、あるいは破棄するアクセス装置を備えたことを特徴とする請求項4記載のアウトバンド認証を伴うネットワークシステム。
【請求項1】
利用者により操作される利用者端末が接続される第1の接続口と、該利用者端末に情報を提供する情報提供サーバと、該第1の接続口と該情報提供サーバとを接続する第1のネットワークとを有する情報提供システム、
前記利用者端末が接続される、前記第1の接続口とは物理的に異なる第2の接続口と、該利用者端末を利用する利用者の、前記情報提供サーバへのアクセス権限の認証を行う認証サーバと、該第2の接続口と該認証サーバとを接続する第2のネットワークとを有する認証システム、および
前記認証システムでの認証結果を前記情報提供システムに通知する通信路を有し、
前記認証システムが、前記第2の接続口に接続された利用者端末を操作する利用者の認証を行い、該利用者が、前記情報提供サーバへの正当なアクセス権限を有する利用者である場合に、前記利用者端末を特定する端末情報を、前記通信路を経由して、前記情報提供システムに通知するものであり、
前記情報提供システムは、前記第1の接続口に接続された利用者端末が、前記認証システムから前記通信路を経由して通知を受けた端末情報に合致する利用者端末である場合に、該利用者端末による前記情報提供サーバの利用を許可するものであることを特徴とするアウトバンド認証を伴うネットワークシステム。
【請求項2】
前記認証システムが、前記第2の接続口に接続され前記認証サーバにより正当なアクセス権限を有する利用者である旨の認証を受けた利用者端末から該利用者端末を特定する端末情報を取得して登録するとともに該端末情報を前記通信路を経由して前記情報提供システムに通知し、さらに該通知からの経過時間を測定して所定時間経過後に、該利用者端末による前記情報提供サーバの利用の禁止を指示する禁止指示情報を前記通信路を経由して前記情報提供システムに通知するとともに該利用者端末の端末情報の記録を抹消する情報登録用サーバを備え、
前記情報提供システムが、前記認証システムからの端末情報の通知を受けて該端末情報により特定される利用者端末による前記情報提供サーバの利用を許可し、前記認証システムからの禁止指示情報の通知を受けて該禁止指示情報により特定される利用者端末による前記情報提供サーバの利用を禁止するアクセス装置を備えたことを特徴とする請求項1記載のアウトバンド認証を伴うネットワークシステム。
【請求項3】
利用者により操作される利用者端末が接続される第1の接続口と、該利用者端末に情報を提供する情報提供サーバと、該第1の接続口と該情報提供サーバとを接続する第1のネットワークとを有する情報提供システム、および
前記利用者端末が接続される、前記第1の接続口とは物理的に異なる第2の接続口と、該利用者端末を利用する利用者の、前記情報提供サーバへのアクセス権限の認証を行う認証サーバと、該第2の接続口と該認証サーバとを接続する第2のネットワークとを有する認証システムを有し、
前記認証システムが、前記第2の接続口に接続された利用者端末を操作する利用者の認証を行い、該利用者が、前記情報提供サーバへの正当なアクセス権限を有する利用者である場合に、前記利用者端末に暗号化用の鍵情報を渡すものであり、
前記情報提供システムは、前記第1の接続口に接続された利用者端末から送信されてきた、前記鍵情報により正規に暗号化された情報を受け入れて該利用者端末に前記情報提供サーバを利用させるものであることを特徴とするアウトバンド認証を伴うネットワークシステム。
【請求項4】
利用者により操作される利用者端末が接続される第1の接続口と、該利用者端末に情報を提供する情報提供サーバと、該第1の接続口と該情報提供サーバとを接続する第1のネットワークとを有する情報提供システム、および
前記利用者端末が接続される、前記第1の接続口とは物理的に異なる第2の接続口と、該利用者端末を利用する利用者の、前記情報提供サーバへのアクセス権限の認証を行う認証サーバと、該第2の接続口と該認証サーバとを接続する第2のネットワークとを有する認証システムを有し、
前記認証システムが、前記第2の接続口に接続された利用者端末を操作する利用者の認証を行い、該利用者が、前記情報提供サーバへの正当なアクセス権限を有する利用者である場合に、前記利用者端末に該利用者の種別に応じたアクセス権限の種別情報を渡すものであり、
前記情報提供システムは、前記第1の接続口に接続された利用者端末から前記種別情報を受け取り、該利用者端末に該種別情報に応じたアクセスを許可するものであることを特徴とするアウトバンド認証を伴うネットワークシステム。
【請求項5】
前記情報提供システムは、前記第1の接続口に接続された、前記種別情報を伴う情報を受け取り、該情報を、該情報に付随した種別情報に応じて通過させ、あるいは破棄するアクセス装置を備えたことを特徴とする請求項4記載のアウトバンド認証を伴うネットワークシステム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【公開番号】特開2008−52371(P2008−52371A)
【公開日】平成20年3月6日(2008.3.6)
【国際特許分類】
【出願番号】特願2006−225806(P2006−225806)
【出願日】平成18年8月22日(2006.8.22)
【出願人】(000005223)富士通株式会社 (25,993)
【Fターム(参考)】
【公開日】平成20年3月6日(2008.3.6)
【国際特許分類】
【出願日】平成18年8月22日(2006.8.22)
【出願人】(000005223)富士通株式会社 (25,993)
【Fターム(参考)】
[ Back to top ]