アクセス制御システム
【課題】所定のネットワーク網へのアクセス制御を行い、セキュリティの向上を図る。
【解決手段】情報処理端末による特定の領域内に設置されたアクセスポイントを介したネットワーク網へのアクセス制御を行うアクセス制御システムであって、情報処理端末毎に予め設定された固有の識別情報の入力を受け付けて登録する識別情報登録手段と、特定の領域の入口に設置されており、情報処理端末から送信された情報に基づいて識別情報登録手段にて識別情報が登録されていると判断した情報処理端末に対して特定の領域への入場を許可する入場許可手段と、アクセスポイントに対してアクセスしてきた情報処理端末が、当該情報処理端末から送信された情報に基づいて入場許可手段にて入場を許可された情報処理端末であると判断した場合に、当該情報処理端末に対して所定のネットワーク網へのアクセスを許可するアクセス許可手段と、を備えた。
【解決手段】情報処理端末による特定の領域内に設置されたアクセスポイントを介したネットワーク網へのアクセス制御を行うアクセス制御システムであって、情報処理端末毎に予め設定された固有の識別情報の入力を受け付けて登録する識別情報登録手段と、特定の領域の入口に設置されており、情報処理端末から送信された情報に基づいて識別情報登録手段にて識別情報が登録されていると判断した情報処理端末に対して特定の領域への入場を許可する入場許可手段と、アクセスポイントに対してアクセスしてきた情報処理端末が、当該情報処理端末から送信された情報に基づいて入場許可手段にて入場を許可された情報処理端末であると判断した場合に、当該情報処理端末に対して所定のネットワーク網へのアクセスを許可するアクセス許可手段と、を備えた。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、アクセス制御システムにかかり、特に、所定領域内において情報処理端末による無線ネットワークへのアクセス制御を行うシステムに関する。
【背景技術】
【0002】
近年、コンピュータによるネットワーク接続には、有線ケーブルを使用しない無線ネットワークが普及している。そして、このような無線ネットワークを用いる場合には、所定の領域内である室内に設置するアクセスポイントによる電波が、当該室内にのみ届くように設定することで、室内に存在するコンピュータに対してのみアクセスを許可し、第三者による不正アクセスを抑制している。例えば、特許文献1に記載されているように、ホットスポットサービスにて利用される。そして、アクセスポイントを介してインターネットにアクセスするコンピュータの認証は、例えば、コンピュータや装備されているネットワーク機器などに固有の識別情報であるMACアドレスを用いて行う。
【0003】
しかしながら、上述したような所定領域内(室内)においてのみアクセスを許容する無線ネットワークであっても、電波の届く範囲であれば所定領域外(室外)といった外部からコンピュータによるアクセス可能となってしまい、不正な者によってアクセスされる可能性があり、セキュリティが低下する、という問題が生じる。一方で、アクセスポイントにアクセスしてきたコンピュータを上述したようにMACアドレスを用いて接続許可/不許可を判断することもできるが、そのコンピュータが許可区域からのアクセスであるか、不許可区域からのアクセスであるか、を判定できない。かかる場合には、セキュリティの問題からコンピュータの使用場所を限定したい場合であっても、それを限定することができず、上記同様に、セキュリティの低下という問題が生じうる。
【0004】
また、関連する技術が、下記特許文献2,3,4に開示されている。特許文献2に開示の技術は、暗号キーなどの接続情報が予め記憶されたメモリーカードを装着した端末が、かかる接続情報を利用してアクセスポイントにアクセスし、認証が成功した場合に、端末固有の端末識別子(MACアドレス)とメモリーカードに記憶された認証情報とを登録する、というものである。そして、登録されたMACアドレス及び認証情報に基づいて、端末の接続を許可している。しかし、メモリーカードには、MACアドレスを登録する前に行う認証に必要な暗号キーなどが記憶されるだけであり、つまり、端末を特定する情報は記憶されていない。このため、メモリーカードを装着した端末はいずれも接続可能となってしまう、という問題が生じる。また、特定の領域外からのアクセスを防止する技術については記載されていない。
【0005】
また、特許文献3には、セキュリティカードを用いて、エリアの出入口に設置された入退場管理装置にてユーザの入退場管理を行う、という技術が開示されている。しかし、かかる技術でも、カードを有していれば他人のコンピュータによる接続が可能となってしまい、なりすましの問題が生じる。また、エリアへの入退場はカードで管理しているため、一旦エリアに入った端末が外に出た場合でも、無線通信が届く場合には、エリア外でも利用可能となってしまうという問題が生じる。
【0006】
さらに、特許文献4には、所定場所に入場する際に通過する入場ゲートを備えたシステムが開示されている。具体的には、近距離無線通信にて移動無線端末と通信を行い、当該移動無線端末が予め登録された端末であるか否かを認証し、入場ゲート開閉する、というシステムである。しかし、かかる技術では、移動無線端末を有するユーザの入場を規制するだけのシステムであって、上述したように、アクセスポイントを介したネットワークへのアクセスに関する技術は開示されていない。従って、アクセスポイントが設置された領域外からの不正アクセスへの対策は取られておらず、依然としてセキュリティの向上を図ることができない、という問題が生じる。
【0007】
【特許文献1】特開2003−318991号公報
【特許文献2】特開2006−67174号公報
【特許文献3】特開2006−345451号公報
【特許文献4】特開2003−30363号公報
【発明の開示】
【発明が解決しようとする課題】
【0008】
このため、本発明では、上記従来例の有する不都合を改善し、特に、特定領域における情報処理端末による無線通信を介した所定のネットワーク網へのアクセス制御を行うことで、不正アクセスを抑制し、セキュリティの向上を図る、ことをその目的とする。
【課題を解決するための手段】
【0009】
そこで、本発明の一形態であるアクセス制御システムは、
特定の領域内に設置されたアクセスポイントに無線通信にてアクセスしてきた情報処理端末に対して、アクセスポイントを介したネットワーク網へのアクセス制御を行うアクセス制御システムであって、
情報処理端末毎に予め設定された固有の識別情報の入力を受け付けて登録する識別情報登録手段と、
特定の領域の入口に設置されており、情報処理端末から送信された情報に基づいて識別情報登録手段にて識別情報が登録されていると判断した情報処理端末に対して特定の領域への入場を許可する入場許可手段と、
アクセスポイントに対してアクセスしてきた情報処理端末が、当該情報処理端末から送信された情報に基づいて入場許可手段にて入場を許可された情報処理端末であると判断した場合に、当該情報処理端末に対して所定のネットワーク網へのアクセスを許可するアクセス許可手段と、
を備えた、という構成を採っている。
【発明の効果】
【0010】
本発明は、以上のように構成されているため、事前に登録した情報処理端末のみが特定の領域に入場することができ、かつ、特定の領域に入場が許可された情報処理端末のみが所定のネットワーク網にアクセスすることができる。従って、所定のネットワーク網にアクセスする情報処理端末を制限することができ、不正アクセスを抑制し、セキュリティの向上を図ることができる、という従来にない優れた効果を有する。
【発明を実施するための最良の形態】
【0011】
本発明の一形態は、
特定の領域内に設置されたアクセスポイントに無線通信にてアクセスしてきた情報処理端末に対して、アクセスポイントを介したネットワーク網へのアクセス制御を行うアクセス制御システムであって、
情報処理端末毎に予め設定された固有の識別情報の入力を受け付けて登録する識別情報登録手段と、
特定の領域の入口に設置されており、情報処理端末から送信された情報に基づいて識別情報登録手段にて識別情報が登録されていると判断した情報処理端末に対して特定の領域への入場を許可する入場許可手段と、
アクセスポイントに対してアクセスしてきた情報処理端末が、当該情報処理端末から送信された情報に基づいて入場許可手段にて入場を許可された情報処理端末であると判断した場合に、当該情報処理端末に対して所定のネットワーク網へのアクセスを許可するアクセス許可手段と、
を備えた、という構成を採っている。
【0012】
また、上記構成に加え、識別情報登録手段は、情報処理端末から受け付けた識別情報に対応し、当該情報処理端末に搭載される記憶手段に記憶される固有の認証情報を発行する認証情報発行手段と、識別情報と認証情報とを関連付けて登録するデータ管理手段と、を備え、
入場許可手段は、情報処理端末から送信された認証情報の入力を受け付けて、この受け付けた認証情報がデータ管理手段に登録されている場合に、その情報処理端末に対して特定の領域への入場を許可する、
という構成を採っている。
【0013】
また、上記構成に加え、入場許可手段は、特定の領域への入場を許可した情報処理端末が入場中であることを表す入場情報の登録をデータ管理手段に依頼し、
データ管理手段は、入場許可手段から入場情報の登録を依頼された情報処理端末について登録されている識別情報に対して、入場情報を対応付けて登録し、
アクセス許可手段は、情報処理端末から送信された識別情報の入力を受け付けて、この受け付けた識別情報に入場情報が関連付けて登録されている場合に、その情報処理端末に対して所定のネットワーク網へのアクセスを許可する、
という構成を採っている。
【0014】
また、上記構成に加え、認証情報発行手段は、情報処理端末の内部に格納された記憶手段に発行した認証情報を格納するよう、当該認証情報を近距離無線通信にて情報処理端末に送信する、という構成を採っている。
【0015】
また、上記構成に加え、認証情報発行手段は、認証情報を記憶すると共に当該認証情報を近距離無線通信にて外部に送信可能であり、情報処理端末に貼付されるRFIDタグを生成して発行し、
入場許可手段は、情報処理端末に貼付されたRFIDタグから送信された認証情報を受け付ける、
という構成を採っている。
【0016】
さらに、上記構成に加え、入場許可手段は、特定の領域の出入口に設置されており、情報処理端末から送信された情報に基づいて当該情報処理端末の特定の領域からの退場を管理する、という構成を採っている。
【0017】
上記発明によると、まず、識別情報登録手段に情報処理端末毎に固有の識別情報が入力されると、この識別情報に対応する固有の認証情報を発行し(認証情報発行手段)、この認証情報と識別情報とを関連付けて登録する(データ管理手段)。そして、識別情報に対応して発行された認証情報は、情報処理端末の内部又は外部に搭載される記憶手段に格納される。例えば、情報処理端末の内部に装備されたメモリに認証情報が格納されたり、あるいは、認証情報が格納されたRFIDタグが発行され情報処理端末に貼付される。その後、特定の領域の入口に設置された入場許可手段に対して情報処理端末が認証情報を送信すると、この認証情報がデータ管理手段にて登録されているか否かを判断し、登録されている場合に、この情報処理端末の入場を許可する。そして、入場を許可された情報処理端末が特定の領域に入場して、当該特定の領域内に設置されているアクセスポイントに対して無線通信にて識別情報を送信して、ネットワーク網へのアクセスを要求する。すると、アクセス許可手段は、アクセス要求してきた情報処理端末の識別情報が登録されており、かつ、入場が許可されている場合に、所定のネットワーク網へのアクセスを許可する。
【0018】
これにより、事前に固有の識別情報を登録した情報処理端末のみが特定の領域に入場することができ、かつ、特定の領域に入場が許可された情報処理端末のみが所定のネットワーク網にアクセスすることができる。従って、所定のネットワーク網への不正アクセスを抑制することができると共に、特定の領域に対する情報処理端末の持ち込みを管理することができ、セキュリティの向上を図ることができる。特に、情報処理端末に予め設定されている識別情報の登録時に、これに対応する認証情報を発行して情報処理端末に格納し、入場時の認証に用いることで、より高度なセキュリティを実現できる。例えば、予め近距離無線通信手段を備えた情報処理端末に対しては、発行した認証情報を近距離無線通信手段を介して送信して情報処理端末に格納することができる。一方、情報処理端末が予め近距離無線通信手段等を装備していなくても、認証情報を記憶した近距離無線通信可能なRFIDを発行してコンピュータに貼付することで、上記同様の構成を採ることができる。
【0019】
また、本発明の他の形態は、
特定の領域内に設置されたアクセスポイントに無線通信にてアクセスしてきた情報処理端末に対して、アクセスポイントを介したネットワーク網へのアクセス制御を行うデータ管理装置であって、
情報処理端末毎に予め設定された固有の識別情報の入力を受け付けた認証情報発行手段にて当該受け付けた識別情報に対応して発行され情報処理端末に搭載される記憶手段に記憶される固有の認証情報を、識別情報と関連付けて記憶する識別情報登録部と、
特定の領域の入口に設置されている入場許可手段に対して情報処理端末から送信された情報に基づいて、当該情報処理端末の識別情報が識別情報登録部にて登録されていると判断した場合に、入場許可手段に対してその情報処理端末の特定の領域への入場を許可するよう指令する入場認証部と、
アクセスポイントに対してアクセスしてきた前記情報処理端末が、当該情報処理端末から送信された情報に基づいて入場認証部にて前記特定の領域に入場を許可された情報処理端末であると判断した場合に、当該情報処理端末に対してアクセスポイントを介して所定のネットワーク網へのアクセスを許可するよう当該アクセスポイントに指令するアクセス判定部と、
を備えた、という構成を採っている。
【0020】
また、本発明の他の形態は、
特定の領域内に設置されたアクセスポイントに無線通信にてアクセスしてきた情報処理端末に対して、前記アクセスポイントを介したネットワーク網へのアクセス制御を行うデータ管理装置に、
情報処理端末毎に予め設定された固有の識別情報の入力を受け付けた認証情報発行手段にて当該受け付けた識別情報に対応して発行され情報処理端末に搭載される記憶手段に記憶される固有の認証情報を、識別情報と関連付けて記憶する識別情報登録部と、
特定の領域の入口に設置されている入場許可手段に対して情報処理端末から送信された情報に基づいて、当該情報処理端末の識別情報が識別情報登録部にて登録されていると判断した場合に、入場許可手段に対してその情報処理端末の特定の領域への入場を許可するよう指令する入場認証部と、
アクセスポイントに対してアクセスしてきた情報処理端末が、当該情報処理端末から送信された情報に基づいて入場認証部にて特定の領域に入場を許可された情報処理端末であると判断した場合に、当該情報処理端末に対してアクセスポイントを介して所定のネットワーク網へのアクセスを許可するよう当該アクセスポイントに指令するアクセス判定部と、
を実現させるためのプログラムである。
【0021】
また、本発明の他の形態は、
特定の領域内に設置されたアクセスポイントに無線通信にてアクセスしてきた情報処理端末に対して、前記アクセスポイントを介したネットワーク網へのアクセス制御を行うアクセス制御方法であって、
情報処理端末毎に予め設定された固有の識別情報の入力を受け付けて登録する識別情報登録工程と、
特定の領域の入口に設置されている入場許可手段に対して情報処理端末から送信された情報に基づいて識別情報登録工程にて識別情報が登録されていると判断した情報処理端末に対して、特定の領域への入場を許可する入場許可工程と、
アクセスポイントに対してアクセスしてきた情報処理端末が、当該情報処理端末から送信された情報に基づいて入場許可工程にて入場を許可された情報処理端末であると判断した場合に、当該情報処理端末に対して所定のネットワーク網へのアクセスを許可するアクセス許可工程と、
を有する、という構成を採っている。
【0022】
そして、上記構成に加え、識別情報登録工程は、情報処理端末から受け付けた識別情報に対応し、当該情報処理端末に搭載される記憶手段に記憶される固有の認証情報を発行する認証情報発行工程と、識別情報と認証情報とを関連付けて登録するデータ管理工程と、を有し、
入場許可工程は、情報処理端末から送信された認証情報の入力を受け付けて、この受け付けた認証情報がデータ管理工程にて登録されている場合に、その情報処理端末に対して特定の領域への入場を許可する、
ことを特徴としている。
【0023】
以下、本発明であるアクセス制御システムの具体的な構成及び動作を、実施例にて説明する。
【実施例1】
【0024】
本発明の第1の実施例を、図1乃至図16を参照して説明する。図1は、アクセス制御システムの全体構成を示す概略図であり、図2は、その詳細な構成を示すブロック図である。図3乃至図7は、アクセス制御システムを構成する各装置の構成を示す機能ブロック図であり、図8は、アクセス制御システムで管理されるデータの一例を示す図である。図9乃至図12は、アクセス制御システムの動作を示す説明図であり、図13乃至図16は、動作を示すシーケンス図である。
【0025】
[構成]
まず、図1乃至図2を参照して、アクセス制御システムの全体構成について説明する。図1に示すように、本発明におけるアクセス制御システムは、ユーザUが操作するユーザ端末6(情報処理装置)が、アクセス許可区域A内から、当該アクセス許可区域A内に設置されたアクセスポイント(AP)4を介して、無線通信にて所定のネットワーク網Nにアクセスすることを制御するためのシステムである。ここで、アクセス許可区域Aとは、例えば、企業内でセキュリティ管理された特定の部屋といった特定の領域である。また、ユーザ端末6がアクセスポイントを介してアクセスするネットワーク網とは、例えば、企業内イントラネット網やインターネット網である。
【0026】
そして、図1に示すように、本実施例におけるアクセス制御システムは、アクセス許可区域Aの出入口に、当該区域A内にユーザUが通過することを制限するゲート51や扉を有するゲート型認証装置5(入場許可手段)を備えている。また、アクセスポイント4に対してアクセスしてきたユーザ端末6に対するネットワーク網Nへの接続の可否を管理するネットワーク管理装置3(アクセス許可手段)を備えている。さらに、事前にネットワーク網Nにアクセス可能なユーザ端末6を登録する識別情報登録装置10(識別情報登録手段)を備えている。この識別情報登録装置10は、上記ゲート型認証装置5とネットワーク管理装置3とに接続されている。そして、識別情報登録装置10は、登録されたユーザ情報に基づいて、ゲート型認証装置5に対して入場要求してきたユーザ端末6の入場を許可するか、さらには、アクセスポイント4に対して接続要求してきたユーザ端末6のネットワーク網Nへのアクセスを許可するか、ということを判断する機能を有する(入場許可手段、アクセス許可手段)。
【0027】
ここで、図1に開示したアクセス制御システムの識別情報登録装置10をさらに具体化した構成を図2に示す。この図に示すように、アクセス制御システムは、上述した識別情報登録装置10として、認証チップ発給装置1と、データ管理装置2と、を備えている。そして、データ管理装置2は、認証チップ発給装置1と、ゲート型認証装置5と、ネットワーク管理装置3と、に接続されており、ユーザ端末6のアクセス制御を行うべく、当該ユーザ端末6ごとの情報を管理している。以下、アクセス制御システムを構成する各装置について、さらに詳述する。
【0028】
まず、ユーザ端末6のアクセス制御を行うネットワーク網は、そのユーザUが所属する会社内のイントラネット網Nであることとする。また、イントラネット網Nは、さらにインターネット網に接続されていることとする。そして、イントラネット網Nには、無線通信可能なアクセスポイント(AP)4が接続されている。このアクセスポイント4は、無線通信にてアクセスしてきたユーザ端末4とイントラネット網Nとの間の通信を中継する機能を有する。そして、上記アクセスポイント4は、当該アクセスポイント4と無線通信可能なエリア(図2の斜線領域を参照)となる会社のセキュリティ室といったアクセス許可区域A内に設置されている。従って、主に、アクセス許可区域A内でのみ、ユーザ端末6はアクセスポイント4に無線通信可能となり、イントラネット網Nにアクセス可能となる。なお、アクセスポイント4は、図示されているように1台が装備されていることに限定されず、複数台が装備されていてもよい。
【0029】
次に、ユーザ端末6の構成について、図3の機能ブロック図を参照して説明する。ユーザ端末は、上記アクセスポイント4と無線通信可能なようネットワーク接続機能を有する無線通信部12を備え、ユーザにて操作されるノートパソコンなどのコンピュータである。また、ユーザ端末6は、RFIDタグ61を装備しており、後述する認証チップ発給装置1及びゲート型認証装置5と近距離無線通信が可能となっている。また、ユーザ端末6のCPUには、所定のプログラムが組み込まれることにより、認証データ発給処理部63と、ゲート認証処理部64と、無線アクセス処理部65と、が構築されている。また、ユーザ端末6内のメモリには、端末毎に予め設定された固有の識別情報であるMACアドレスを記憶した端末データ記憶部66と、認証チップ発給装置1にて発給される認証データを記憶する認証データ記憶部67と、が形成されている。
【0030】
上記認証データ発給処理部63は、RFIDタグ61から認証チップ発給装置1に対してMACアドレスを送信する。そして、認証チップ発給装置1にてMACアドレスに対応して生成され送信された認証ID(認証データ)を、当該認証チップ発給装置1からRFIDタグ61を介して受信し、認証データ記憶部67に記憶しておく。なお、MACアドレスと認証IDとは、後述するように、認証チップ発給装置1を介してデータ管理装置2に登録される。ここで、ユーザ端末6のMACアドレスは、必ずしもRFIDタグ61から認証チップ発給装置1に入力されることに限定されず、ユーザUが認証チップ発給装置1に装備された入力部に手動にて入力してもよい。
【0031】
また、上記ゲート認証処理部64は、上述したように認証データ発給処理部63にて発行され認証データ記憶部67に記憶された認証IDを、RFIDタグ61からゲート型認証装置5に対して送信する。これにより、ゲート型認証装置5及びデータ管理装置2にて認証IDが既に登録されていると判断されると、ゲート51が開き、ユーザUはアクセス許可区域Aに入場することができる。
【0032】
また、上記無線アクセス処理部65は、ユーザ端末6がアクセス許可区域A内に位置する場合に、無線通信部62を介してアクセスポイント4と無線通信を行い、MACアドレスを送信して、イントラネット網Nへのアクセスを要求する。そして、後述するように、データ管理装置2にてアクセス許可されると、ネットワーク管理装置3にてIPアドレスがユーザ端末6に割り振られ、イントラネット網Nさらにはインターネット網へのアクセスが可能となる。
【0033】
次に、認証チップ発給装置1について、図4の機能ブロック図を参照して説明する。この図に示すように、認証チップ発給装置1は、ユーザ端末6のRFIDタグ61と近距離無線通信可能なRFIDタグ通信部11と、タッチパネルなどユーザUが手動にてデータ入力可能なデータ入力部12と、少なくともデータ管理装置2に接続可能なネットワーク通信部13と、を備えている。また、CPUには、所定のプログラムが組み込まれることによって、端末データ受付処理部14と、認証データ発給処理部15と、ユーザデータ登録処理部16と、が構築されている。
【0034】
上記端末データ受付処理部14は、上述したようにユーザ端末6のRFIDタグ61から送信されRFIDタグ通信部11にて受信したユーザ端末6のMACアドレスを受け付ける。このとき、データ入力部12を介してユーザUから入力されたユーザ端末6に関するユーザ情報も受け付ける。また、上記認証データ発給装置15は、上記入力されたMACアドレスに対応する固有の認証IDを発行し、RFIDタグ通信部11を介してユーザ端末6に記憶するよう送信する。また、上記ユーザデータ登録処理部16は、MACアドレスと認証IDを関連付けて登録するよう、ネットワーク通信部13を介してデータ管理装置2に送信する。
【0035】
次に、ゲート型認証装置5について、図5の機能ブロック図を参照して説明する。ゲート型認証装置5は、上述したようにアクセス許可区域Aの入口に設置されており、ユーザUが有するユーザ端末6を認証すると共に、ユーザUの入場を規制するゲート51を開閉制御する機能を有する。具体的には、まず、RFIDタグ通信部52を備えると共に、ゲート型認証装置5に装備されたCPUに、所定のプログラムが組み込まれることによって、認証データ読取処理部53と、認証処理部54と、ゲート制御処理部55と、が構築されている。
【0036】
そして、上記認証データ読取処理部53は、ユーザ端末6のRFIDタグ61から送信されRFIDタグ通信部52にて受信したユーザ端末6の認証IDを受け付ける。そして、上記認証処理部54が、受信した認証IDがデータ管理装置2に登録されているか否かを当該データ管理装置2に問い合わせて結果を受け取る。その結果、認証IDが既にデータ管理装置2に登録されていると判断された場合には、上記ゲート制御処理部55がゲート51を開くよう制御し、ユーザU(ユーザ端末)がアクセス許可区域Aに入場することを許可する。このとき、ゲート制御処理部55は、ゲート51を開くことによってユーザUが入場したと判断し、ユーザUと共にユーザ端末6がアクセス許可区域Aに入場したことを登録するよう、データ管理装置2に依頼する。
【0037】
また、逆に、ゲート型認証装置5は、ユーザUの退場を検知する機能をも有する。例えば、アクセス許容区域Aの内部にもRFIDタグ通信部52を装備し、このRFIDタグ通信部52にて退場するユーザ端末6から認証IDを受信することによって当該アクセス許可区域Aから退場するユーザ端末6を検知する。そして、退場するユーザ端末6を検知した場合には、その認証IDのユーザ端末6が退場した旨をデータ管理装置2に通知し、当該データ管理装置2にて管理するよう依頼する。なお、ユーザUが入場あるいは退場したか否かは、ゲート51付近に別途赤外線センサなどの人感センサを設け、かかるセンサの検出によって入退場を検知し、その後、データ管理装置2に入退場の登録を依頼してもよい。
【0038】
次に、ネットワーク管理装置3について、図6の機能ブロック図を参照して説明する。ネットワーク管理装置3のCPUには、所定のプログラムが組み込まれることで、初期通信処理部31と、IPアドレス発給処理部32と、IPアドレス管理処理部33と、が構築されている。上記初期通信処理部31は、ユーザ端末6がアクセスポイント4に対してネットワーク接続許可要求のために無線通信にて初期通信した場合に、当該ユーザ端末6から通知されるMACアドレスをデータ管理装置2に転送する機能を有する。また、上記IPアドレス発給処理部32は、上記転送したMACアドレスに基づいてデータ管理装置2にてネットワーク接続の可否が判断され、許可がされた場合に、ユーザ端末6へのネットワーク接続用IPアドレスを発給する機能を有する。さらに、上記IPアドレス管理処理部33は、発給済みIPアドレスの継続使用/使用終了等の管理をする機能を有する。
【0039】
次に、データ管理装置2について、図7の機能ブロック図及び図8のデータ構成図を参照して説明する。データ管理装置2は、一般的なサーバコンピュータであり、上述したように、ユーザ端末6の登録状況、アクセス許可区域Aへの入退場状況、イントラネット網Nへのアクセス状況などを管理している。具体的に、データ管理装置2のCPUには、所定のプログラムが組み込まれることで、ユーザデータ登録処理部21と、認証処理部22と、接続判定処理部23と、が構築されている。また、ハードディスクなどの記憶装置には、ユーザデータ記憶部24が形成されている。
【0040】
ユーザデータ登録処理部21(識別情報登録部)は、上述したようにユーザ端末6から認証チップ発給装置1に入力されたMACアドレス、及び、これに対応して生成された認証IDを、認証チップ発給装置1から受け付けて、ユーザデータ記憶部24に登録する。そして、登録されたデータは、図8の各行に示すように、ユーザ端末6ごとに区別されて管理される。このとき、ユーザ端末6から、あるいは、ユーザUから認証チップ発給装置1に入力されたユーザ端末6の特徴を表す情報などを、認証チップ発給装置1から受け付けてコンピュータ端末情報として登録する。
【0041】
また、上記認証処理部22(入場認証部)は、ユーザ端末6からゲート型認証装置5に入力された認証IDを受け付けて、ユーザデータ記憶部24に登録されているか否かを調べ、認証結果をゲート型認証装置5に通知する。また、ゲート型認証装置5からユーザ端末6がゲートを通過した旨の通知を受け付けると、ゲート通過フラグを「0」から「1」にすると共に、そのときの時刻を入場した時刻として「In時間」に記録する。なお、ゲート型認証装置5からアクセス許可区域Aを退場したユーザ端末6を検知した旨の通知を受けた場合には、そのユーザ端末6のゲート通過フラグを「0」にし、そのときの時刻を退場した時刻として「Out時間」に記録する。
【0042】
また、上記接続判定処理部23(アクセス判定部)は、上述したように認証処理部22にて認証IDを認証して、ゲートの通過を許可したユーザ端末6に対応するMACアドレスを、イントラネット網Nに接続許可するユーザ端末としてネットワーク管理装置3に通知する。また、接続判定処理部23は、ユーザ端末6がアクセスポイント4に対してネットワーク接続許可のために初期通信して、当該ユーザ端末6から通知されたMACアドレスをアクセスポイント4及びネットワーク管理装置3を介して受信する。そして、このMACアドレスが、ユーザデータ記憶部24に登録されており、かつ、ゲート通過フラグが「1」であるかを調べる。つまり、既に認証チップ発給装置1を介してデータ管理装置2に登録されており、かつ、ゲート型認証装置5にて認証IDの認証が済んでいるユーザ端末であるかを判断する。そして、既に登録され、ゲートを通過した端末である場合には、ネットワーク接続用IPアドレスを発給するようネットワーク管理装置3に指示する。
【0043】
[動作]
次に、上記構成のアクセス制御システムの動作を、図9乃至図16を参照して説明する。はじめに、図9、図13、図14を参照して、ユーザ端末6の情報を登録する動作(識別情報登録工程)を説明する(図13のステップS1)。
【0044】
まず、ユーザUがユーザ端末6を認証チップ発給装置1の近くに持って行き、ユーザ端末6のRFIDタグ61と、認証チップ発給装置1のRFIDタグ通信部11とを近づけることで、相互に近距離無線通信を行い、ユーザ端末6のMACアドレスが認証チップ発給装置1に送信され、入力される(図9の矢印Y1、図13のステップS2)。なお、認証チップ発給装置1へのMACアドレスの入力は、当該認証チップ発給装置1に装備されたタッチパネル等の入力部からユーザUやシステム管理者によって手動で行われてもよい。
【0045】
そして、MACアドレスの入力を受けた認証チップ発給装置2は、入力されたMACアドレスが登録済みかどうかを判定するため、一旦、データ管理装置2にユーザ情報の問い合わせを行う(図9の矢印Y2、図13のステップS3)。すると、データ管理装置2は、データベースへの登録有無を確認し、認証チップ発給装置1に登録有無を通知する(図13のステップS4)。
【0046】
続いて、認証チップ発給装置1は、データ管理装置2から送信されたデータを元に判定を行い(図13のステップS5)、新規データ登録の場合は(図13のステップS5で「未登録」に進む)、その旨を認証チップ発給装置1に装備された画面に表示し、ユーザUに対して新規データの入力を促す。このとき、例えば、ユーザ端末の特徴を表す情報などの新規データが入力されると(図13のステップS6)、認証チップ発給装置1は、MACアドレスに一意の認証IDを作成し、ユーザ端末6に対して発給する(図13のステップS7、認証情報発行工程)。そして、認証チップ発給装置1は、RFIDタグ通信部11からユーザ端末6のRFIDタグ61に対して認証IDを送信する(図9の矢印Y3)。すると、ユーザ端末6内に認証IDが記憶される(図13のステップS10)。
【0047】
その後、認証チップ発給装置1は、MACアドレス及び認証IDをデータ管理装置2に送信する(図9の矢印Y4、図13のステップS8)。すると、データ管理装置2は、MACアドレスと認証IDを関連付けて、図8に示すような自装置内のデータベースに登録する(図13のステップS9、データ管理工程)。
【0048】
一方、図13のステップS5で、ユーザ端末6のMACアドレスが登録済みと判定された場合には(図13のステップS5で「既登録時」に進む)、認証チップ発給装置1は、ユーザ端末6に対して既に登録されていることを通知し(図14のステップS11)、登録情報を変更するか、削除するかの確認を行う。変更の場合には、変更箇所をユーザUあるいはユーザ端末6から入力させ(図14のステップS12)、認証チップ発給装置1を経由して(図14のステップS13)、データ管理装置2のデータベースに反映する(図14のステップS14)。また、削除の場合は、データ管理装置2のデータベースから登録情報を削除する。
【0049】
そして、データ管理装置2のデータの変更が終了した後、当該データ管理装置2は認証チップ発給装置1に変更/削除通知を行う(図14のステップS15)。すると、認証チップ発給装置1は、変更された認証IDを再度ユーザ端末6に発給する(図14のステップS16)。これにより、上述同様に、MACアドレスに対応して発給された認証IDがユーザ端末6に格納されると共に、データ管理装置2に関連付けて登録される。
【0050】
次に、図10、図11、図15を参照して、ユーザ端末6が入退出ゲートを兼ねるゲート型認証装置5を通過し、無線ネットワークに接続するまでの動作を説明する。
【0051】
まず、上述したように、データ管理装置2に登録したユーザ端末6が、アクセス許可区域Aに入場すべく、ゲート型認証装置5の設置された入退出ゲート51にさしかかる。そして、ユーザUがユーザ端末6のRFIDタグ61と、ゲート型認証装置5のRFIDタグ通信部52とを近づけることで、相互に近距離無線通信が行われ(図15のステップS21)、ゲート型認証装置5にてユーザ端末6に格納された認証IDが読み取られる(図10の矢印Y11、図15のステップS22)。そして、ゲート型認証装置5が、読み取った認証IDをデータ管理装置2に問い合わせる(図10の矢印Y12、図15のステップS23)。
【0052】
データ管理装置2は、認証IDがデータベースに登録されているかを確認し、ゲート型認証装置5に通知をする(図15のステップS24)。このとき、認証IDが正しく登録されたデータと一致した場合は(図15のステップS24にて「一致」に進む、ステップS25)、ゲート51を開き(図10の矢印Y13)、ユーザUつまりユーザ端末6を通過させる(図15のステップS26、入場許可工程)。
【0053】
そして、ゲート型認証装置5は、ゲート51が開いたのを確認次第、あるいは、人感センサなどでユーザ端末6がゲートを通過したのを確認次第、データ管理装置2に認証を行ったユーザ端末6に対するゲート通過フラグの付加を依頼する(図15のステップS27)。すると、データ管理装置2は、認証したユーザ端末6のゲート通過フラグを「1」に設定するよう、自装置内のデータベースを変更し、そのユーザ端末6に対応したMACアドレスを、ネットワーク管理装置5に通知する(図10の矢印Y14、図15のステップS28)。すると、ネットワーク管理装置5は、配下のアクセスポイント4に対して、通知のあったMACアドレスでの無線ネットワーク接続を許可する(図10の矢印Y15、図15のステップS29)。
【0054】
また、ゲート型認証装置5を通過し、アクセス許可区域Aに入場したユーザ端末6は、当該端末をユーザUにて起動されると、自動で無線通信にてアクセスポイント4にアクセスし、ネットワーク管理装置3にアクセスポイント4を経由したイントラネット網Nへのアクセス許可依頼を行う(図11の矢印Y21,Y22、図15のステップS30)。このとき、ユーザ端末6は、アクセスポイント4を介してネットワーク管理装置3に、MACアドレスを送信する。これを受けたネットワーク管理装置3は、ユーザ端末6から送信されたMACアドレスを、図15のステップS28でゲート通過を許可されたユーザ端末6としてデータ管理装置2から通知されているMACアドレスと比較し(図15のステップS31)、一致した場合にユーザ端末6がイントラネットへアクセスするためのIPアドレスを発給する(図11の矢印Y22、図15のステップS32、アクセス許可工程)。そして、ユーザ端末6は、発給されたIPアドレスを利用して、アクセスポイント4経由にてイントラネット網Nへの接続を行う(図15のステップS33)。
【0055】
次に、図12及び図16を参照して、ゲート型認証装置5を通過せずに、つまり、アクセス許可区域Aの外から、ユーザ端末6を使用してアクセスポイント4経由でイントラネット網Nに接続を試みた場合を説明する。
【0056】
まず、ゲート型認証装置5を通過していないユーザ端末6が、外部からアクセスポイント4に対して無線通信を行い、MACアドレスを通知し、IPアドレスの発給を依頼する(図12の矢印Y31、図16のステップS41,S42)。そして、MACアドレスを受けたアクセスポイント4は、ネットワーク管理装置3にMACアドレスを送信する(図12の矢印Y32、図16のステップS43)。すると、ネットワーク管理装置3は、MACアドレスを元にデータ管理装置2にゲート通過フラグの確認を行う(図12の矢印Y33、図16のステップS44)。データ管理装置2は、ネットワーク管理装置3より送られてきたMACアドレスを元にデータベースを確認し、該当するユーザ端末6のゲート通過フラグを確認し、通過/未通過をネットワーク管理装置3に通知する(図16のステップS45)。ネットワーク管理装置3は、ゲート通過フラグのないMACアドレスに対してIPアドレスの発給不可をアクセスポイントに通知する(図16のステップS46)。すると、アクセスポイント4は、ユーザ端末6にIPアドレスの発給不可を通知する(図16のステップS47)。その結果、ユーザ端末6はIPアドレスを入手できないため、イントラネット網に接続することができないこととなる(図12の矢印Y34、図16のステップS48)。
【0057】
以上により、本発明によると、事前にMACアドレス(固有の識別情報)を登録したユーザ端末6(情報処理端末)のみがアクセス許可区域A(特定の領域)に入場することができ、かつ、アクセス許可区域A(特定の領域)に入場したユーザ端末6(情報処理端末)のみがイントラネット網N(所定のネットワーク網)にアクセスすることができる。従って、仮に、アクセス許可区域Aの外部からアクセスポイント4への通信が可能であったとしても、ゲート51を通過していないユーザ端末6へのネットワーク接続資源(IPアドレス)の発給を止めることができるため、所定のネットワーク網への不正アクセスを抑制することができる。また、ユーザ端末6に固有のMACアドレス(固有の識別情報)を管理することにより、アクセス許可区域A(特定の領域)に対するユーザ端末6(情報処理端末)の持ち込み/持ち出しを管理することができ、セキュリティの向上を図ることができる。
【0058】
ここで、上記では、ユーザ端末6の登録時に、MACアドレスに対応する認証IDを生成し、ゲート型認証装置5を通過する際に認証IDを用いて認証する場合を例示したが、登録されるデータは、MACアドレスなどのユーザ端末6を識別する情報(固有の識別情報)のみであってもよく、当該MACアドレスをゲート型認証装置5における認証時に用いてもよい。また、ユーザ端末6に固有の識別情報としてMACアドレスを用いる場合を例示したが、当該ユーザ端末6に固有の情報で他の情報を上記MACアドレスに替えて用いてもよい。また、ユーザ端末6としてノートパソコンを一例に挙げて説明したが、PDAや携帯電話など、他の情報処理端末であってもよい。
【実施例2】
【0059】
次に、本発明の第2の実施例を、図17乃至図18を参照して説明する。本実施例におけるアクセス制御システムは、上述した実施例1のものとほぼ同様の構成を採っているが、認証チップ発給装置101の構成が異なる。以下、かかる相違点を主に説明する。
【0060】
まず、本実施例におけるユーザ端末106は、内部にRFIDタグを装備していない。そして、認証チップ発給装置101は、ユーザ端末106の筐体に貼付可能なシール状のRFIDタグ111を生成して発給する機能を有している。具体的には、ユーザ端末106の登録の際に、当該ユーザ端末106からMACアドレスを送信されると(図17の矢印Y41)、これに一意に対応する認証IDを生成し、この認証IDを記憶したRFIDタグ111を生成する(図17の矢印Y42)。そして、これを受け取ったユーザUは、RFIDタグ111をユーザ端末106の筐体表面に貼付する(図17の矢印Y43)。そして、認証チップ発給装置101は、MACアドレスと認証IDを関連付けて登録するよう、データ管理装置2に送信する(図17の矢印Y44)。これにより、上述した実施例1のユーザ端末6と同様に、認証IDが格納されたものと同様の構成になる。
【0061】
そして、ユーザ端末106は、その後は実施例1と同様に動作可能となる。具体的に、図18を参照して、ユーザ端末106が入退出ゲートを兼ねるゲート型認証装置5を通過しようとする場合を説明する。ユーザ端末106がゲート型認証装置5の設置された入退出ゲートにさしかかると、ゲート型認証装置5とユーザ端末106に貼付されたRFIDタグ111が近距離無線通信を行い、当該貼付されたRFIDタグ111からゲート型認証装置5にて認証IDが読み取られる(図18の矢印Y51)。そして、ゲート型認証装置5が、読み取った認証IDをデータ管理装置2に問いあわせ、当該データ管理装置2は、認証IDが登録されているかを確認し、ゲート型認証装置5に通知をする(図18の矢印Y52)。このとき、認証IDが正しく登録されたデータと一致した場合は、ゲート51を開き(図18の矢印Y53)、ユーザUつまりユーザ端末6を通過させる。
【0062】
そして、その後は、上記実施例1と同様の動作となる。つまり、ユーザ端末106がアクセス許可区域Aに入場した場合に、ユーザ端末106がアクセスポイント4にアクセスしてMACアドレスを通知することで、当該ユーザ端末106のMACアドレスは事前に登録されており、かつ、これに対応する認証IDによる認証がゲート型認証装置5にて済んでいるため、ネットワーク管理装置3からアクセスポイント4を介してユーザ端末6にIPアドレスが付与され、イントラネット網Nへのアクセスか可能となる。
【0063】
このように、予めRFIDタグなどの近距離無線通信手段等を装備していないユーザ端末を用いた場合であっても、識別情報に対応した認証情報を記憶したRFIDを発行して貼付することで、上述同様に、セキュリティの向上を図ることができる。
【産業上の利用可能性】
【0064】
本発明のアクセス制御システムは、情報処理端末のネットワークへのアクセスを端末や場所に応じて制限するといったセキュリティを重視する企業などに適用可能であり、産業上の利用可能性を有する。
【図面の簡単な説明】
【0065】
【図1】実施例1におけるアクセス制御システムの構成の概略を示すブロック図である。
【図2】実施例1におけるアクセス制御システムの詳細な構成を示すブロック図である。
【図3】図2に開示したユーザ端末の構成を示す機能ブロック図である。
【図4】図2に開示した認証チップ発給装置の構成を示す機能ブロック図である。
【図5】図2に開示したゲート型認証装置の構成を示す機能ブロック図である。
【図6】図2に開示したネットワーク管理装置の構成を示す機能ブロック図である。
【図7】図2に開示したデータ管理装置の構成を示す機能ブロック図である。
【図8】図7に開示したデータ管理装置にて管理されるユーザデータの一例を示す図である。
【図9】アクセス制御システムの動作を示す説明図であり、ユーザ端末の登録時の様子を示す。
【図10】アクセス制御システムの動作を示す説明図であり、ユーザ端末のゲート通過時の様子を示す。
【図11】アクセス制御システムの動作を示す説明図であり、ユーザ端末によるネットワークアクセス時の様子を示す。
【図12】アクセス制御システムの動作を示す説明図であり、ユーザ端末による外部からのネットワークアクセス時の様子を示す。
【図13】アクセス制御システムの動作を示すシーケンス図であり、ユーザ端末の登録時の様子を示す。
【図14】アクセス制御システムの動作を示すシーケンス図であり、ユーザ端末の登録時の様子を示す。
【図15】アクセス制御システムの動作を示すシーケンス図であり、ユーザ端末のゲート通過時、及び、ネットワークアクセス時の様子を示す。
【図16】アクセス制御システムの動作を示すシーケンス図であり、ユーザ端末による外部からのネットワークアクセス時の様子を示す。
【図17】実施例2におけるアクセス制御システムの構成、及び、ユーザ端末の登録時の動作を示す図である。
【図18】実施例2におけるアクセス制御システムの構成、及び、ユーザ端末のゲート通過時の動作を示す図である。
【符号の説明】
【0066】
1 認証チップ発給装置
2 データ管理装置
3 ネットワーク管理装置
4 アクセスポイント
5 ゲート型認証装置
6 ユーザ端末
10 識別情報登録装置
A アクセス許可区域
N イントラネット網
U ユーザ
【技術分野】
【0001】
本発明は、アクセス制御システムにかかり、特に、所定領域内において情報処理端末による無線ネットワークへのアクセス制御を行うシステムに関する。
【背景技術】
【0002】
近年、コンピュータによるネットワーク接続には、有線ケーブルを使用しない無線ネットワークが普及している。そして、このような無線ネットワークを用いる場合には、所定の領域内である室内に設置するアクセスポイントによる電波が、当該室内にのみ届くように設定することで、室内に存在するコンピュータに対してのみアクセスを許可し、第三者による不正アクセスを抑制している。例えば、特許文献1に記載されているように、ホットスポットサービスにて利用される。そして、アクセスポイントを介してインターネットにアクセスするコンピュータの認証は、例えば、コンピュータや装備されているネットワーク機器などに固有の識別情報であるMACアドレスを用いて行う。
【0003】
しかしながら、上述したような所定領域内(室内)においてのみアクセスを許容する無線ネットワークであっても、電波の届く範囲であれば所定領域外(室外)といった外部からコンピュータによるアクセス可能となってしまい、不正な者によってアクセスされる可能性があり、セキュリティが低下する、という問題が生じる。一方で、アクセスポイントにアクセスしてきたコンピュータを上述したようにMACアドレスを用いて接続許可/不許可を判断することもできるが、そのコンピュータが許可区域からのアクセスであるか、不許可区域からのアクセスであるか、を判定できない。かかる場合には、セキュリティの問題からコンピュータの使用場所を限定したい場合であっても、それを限定することができず、上記同様に、セキュリティの低下という問題が生じうる。
【0004】
また、関連する技術が、下記特許文献2,3,4に開示されている。特許文献2に開示の技術は、暗号キーなどの接続情報が予め記憶されたメモリーカードを装着した端末が、かかる接続情報を利用してアクセスポイントにアクセスし、認証が成功した場合に、端末固有の端末識別子(MACアドレス)とメモリーカードに記憶された認証情報とを登録する、というものである。そして、登録されたMACアドレス及び認証情報に基づいて、端末の接続を許可している。しかし、メモリーカードには、MACアドレスを登録する前に行う認証に必要な暗号キーなどが記憶されるだけであり、つまり、端末を特定する情報は記憶されていない。このため、メモリーカードを装着した端末はいずれも接続可能となってしまう、という問題が生じる。また、特定の領域外からのアクセスを防止する技術については記載されていない。
【0005】
また、特許文献3には、セキュリティカードを用いて、エリアの出入口に設置された入退場管理装置にてユーザの入退場管理を行う、という技術が開示されている。しかし、かかる技術でも、カードを有していれば他人のコンピュータによる接続が可能となってしまい、なりすましの問題が生じる。また、エリアへの入退場はカードで管理しているため、一旦エリアに入った端末が外に出た場合でも、無線通信が届く場合には、エリア外でも利用可能となってしまうという問題が生じる。
【0006】
さらに、特許文献4には、所定場所に入場する際に通過する入場ゲートを備えたシステムが開示されている。具体的には、近距離無線通信にて移動無線端末と通信を行い、当該移動無線端末が予め登録された端末であるか否かを認証し、入場ゲート開閉する、というシステムである。しかし、かかる技術では、移動無線端末を有するユーザの入場を規制するだけのシステムであって、上述したように、アクセスポイントを介したネットワークへのアクセスに関する技術は開示されていない。従って、アクセスポイントが設置された領域外からの不正アクセスへの対策は取られておらず、依然としてセキュリティの向上を図ることができない、という問題が生じる。
【0007】
【特許文献1】特開2003−318991号公報
【特許文献2】特開2006−67174号公報
【特許文献3】特開2006−345451号公報
【特許文献4】特開2003−30363号公報
【発明の開示】
【発明が解決しようとする課題】
【0008】
このため、本発明では、上記従来例の有する不都合を改善し、特に、特定領域における情報処理端末による無線通信を介した所定のネットワーク網へのアクセス制御を行うことで、不正アクセスを抑制し、セキュリティの向上を図る、ことをその目的とする。
【課題を解決するための手段】
【0009】
そこで、本発明の一形態であるアクセス制御システムは、
特定の領域内に設置されたアクセスポイントに無線通信にてアクセスしてきた情報処理端末に対して、アクセスポイントを介したネットワーク網へのアクセス制御を行うアクセス制御システムであって、
情報処理端末毎に予め設定された固有の識別情報の入力を受け付けて登録する識別情報登録手段と、
特定の領域の入口に設置されており、情報処理端末から送信された情報に基づいて識別情報登録手段にて識別情報が登録されていると判断した情報処理端末に対して特定の領域への入場を許可する入場許可手段と、
アクセスポイントに対してアクセスしてきた情報処理端末が、当該情報処理端末から送信された情報に基づいて入場許可手段にて入場を許可された情報処理端末であると判断した場合に、当該情報処理端末に対して所定のネットワーク網へのアクセスを許可するアクセス許可手段と、
を備えた、という構成を採っている。
【発明の効果】
【0010】
本発明は、以上のように構成されているため、事前に登録した情報処理端末のみが特定の領域に入場することができ、かつ、特定の領域に入場が許可された情報処理端末のみが所定のネットワーク網にアクセスすることができる。従って、所定のネットワーク網にアクセスする情報処理端末を制限することができ、不正アクセスを抑制し、セキュリティの向上を図ることができる、という従来にない優れた効果を有する。
【発明を実施するための最良の形態】
【0011】
本発明の一形態は、
特定の領域内に設置されたアクセスポイントに無線通信にてアクセスしてきた情報処理端末に対して、アクセスポイントを介したネットワーク網へのアクセス制御を行うアクセス制御システムであって、
情報処理端末毎に予め設定された固有の識別情報の入力を受け付けて登録する識別情報登録手段と、
特定の領域の入口に設置されており、情報処理端末から送信された情報に基づいて識別情報登録手段にて識別情報が登録されていると判断した情報処理端末に対して特定の領域への入場を許可する入場許可手段と、
アクセスポイントに対してアクセスしてきた情報処理端末が、当該情報処理端末から送信された情報に基づいて入場許可手段にて入場を許可された情報処理端末であると判断した場合に、当該情報処理端末に対して所定のネットワーク網へのアクセスを許可するアクセス許可手段と、
を備えた、という構成を採っている。
【0012】
また、上記構成に加え、識別情報登録手段は、情報処理端末から受け付けた識別情報に対応し、当該情報処理端末に搭載される記憶手段に記憶される固有の認証情報を発行する認証情報発行手段と、識別情報と認証情報とを関連付けて登録するデータ管理手段と、を備え、
入場許可手段は、情報処理端末から送信された認証情報の入力を受け付けて、この受け付けた認証情報がデータ管理手段に登録されている場合に、その情報処理端末に対して特定の領域への入場を許可する、
という構成を採っている。
【0013】
また、上記構成に加え、入場許可手段は、特定の領域への入場を許可した情報処理端末が入場中であることを表す入場情報の登録をデータ管理手段に依頼し、
データ管理手段は、入場許可手段から入場情報の登録を依頼された情報処理端末について登録されている識別情報に対して、入場情報を対応付けて登録し、
アクセス許可手段は、情報処理端末から送信された識別情報の入力を受け付けて、この受け付けた識別情報に入場情報が関連付けて登録されている場合に、その情報処理端末に対して所定のネットワーク網へのアクセスを許可する、
という構成を採っている。
【0014】
また、上記構成に加え、認証情報発行手段は、情報処理端末の内部に格納された記憶手段に発行した認証情報を格納するよう、当該認証情報を近距離無線通信にて情報処理端末に送信する、という構成を採っている。
【0015】
また、上記構成に加え、認証情報発行手段は、認証情報を記憶すると共に当該認証情報を近距離無線通信にて外部に送信可能であり、情報処理端末に貼付されるRFIDタグを生成して発行し、
入場許可手段は、情報処理端末に貼付されたRFIDタグから送信された認証情報を受け付ける、
という構成を採っている。
【0016】
さらに、上記構成に加え、入場許可手段は、特定の領域の出入口に設置されており、情報処理端末から送信された情報に基づいて当該情報処理端末の特定の領域からの退場を管理する、という構成を採っている。
【0017】
上記発明によると、まず、識別情報登録手段に情報処理端末毎に固有の識別情報が入力されると、この識別情報に対応する固有の認証情報を発行し(認証情報発行手段)、この認証情報と識別情報とを関連付けて登録する(データ管理手段)。そして、識別情報に対応して発行された認証情報は、情報処理端末の内部又は外部に搭載される記憶手段に格納される。例えば、情報処理端末の内部に装備されたメモリに認証情報が格納されたり、あるいは、認証情報が格納されたRFIDタグが発行され情報処理端末に貼付される。その後、特定の領域の入口に設置された入場許可手段に対して情報処理端末が認証情報を送信すると、この認証情報がデータ管理手段にて登録されているか否かを判断し、登録されている場合に、この情報処理端末の入場を許可する。そして、入場を許可された情報処理端末が特定の領域に入場して、当該特定の領域内に設置されているアクセスポイントに対して無線通信にて識別情報を送信して、ネットワーク網へのアクセスを要求する。すると、アクセス許可手段は、アクセス要求してきた情報処理端末の識別情報が登録されており、かつ、入場が許可されている場合に、所定のネットワーク網へのアクセスを許可する。
【0018】
これにより、事前に固有の識別情報を登録した情報処理端末のみが特定の領域に入場することができ、かつ、特定の領域に入場が許可された情報処理端末のみが所定のネットワーク網にアクセスすることができる。従って、所定のネットワーク網への不正アクセスを抑制することができると共に、特定の領域に対する情報処理端末の持ち込みを管理することができ、セキュリティの向上を図ることができる。特に、情報処理端末に予め設定されている識別情報の登録時に、これに対応する認証情報を発行して情報処理端末に格納し、入場時の認証に用いることで、より高度なセキュリティを実現できる。例えば、予め近距離無線通信手段を備えた情報処理端末に対しては、発行した認証情報を近距離無線通信手段を介して送信して情報処理端末に格納することができる。一方、情報処理端末が予め近距離無線通信手段等を装備していなくても、認証情報を記憶した近距離無線通信可能なRFIDを発行してコンピュータに貼付することで、上記同様の構成を採ることができる。
【0019】
また、本発明の他の形態は、
特定の領域内に設置されたアクセスポイントに無線通信にてアクセスしてきた情報処理端末に対して、アクセスポイントを介したネットワーク網へのアクセス制御を行うデータ管理装置であって、
情報処理端末毎に予め設定された固有の識別情報の入力を受け付けた認証情報発行手段にて当該受け付けた識別情報に対応して発行され情報処理端末に搭載される記憶手段に記憶される固有の認証情報を、識別情報と関連付けて記憶する識別情報登録部と、
特定の領域の入口に設置されている入場許可手段に対して情報処理端末から送信された情報に基づいて、当該情報処理端末の識別情報が識別情報登録部にて登録されていると判断した場合に、入場許可手段に対してその情報処理端末の特定の領域への入場を許可するよう指令する入場認証部と、
アクセスポイントに対してアクセスしてきた前記情報処理端末が、当該情報処理端末から送信された情報に基づいて入場認証部にて前記特定の領域に入場を許可された情報処理端末であると判断した場合に、当該情報処理端末に対してアクセスポイントを介して所定のネットワーク網へのアクセスを許可するよう当該アクセスポイントに指令するアクセス判定部と、
を備えた、という構成を採っている。
【0020】
また、本発明の他の形態は、
特定の領域内に設置されたアクセスポイントに無線通信にてアクセスしてきた情報処理端末に対して、前記アクセスポイントを介したネットワーク網へのアクセス制御を行うデータ管理装置に、
情報処理端末毎に予め設定された固有の識別情報の入力を受け付けた認証情報発行手段にて当該受け付けた識別情報に対応して発行され情報処理端末に搭載される記憶手段に記憶される固有の認証情報を、識別情報と関連付けて記憶する識別情報登録部と、
特定の領域の入口に設置されている入場許可手段に対して情報処理端末から送信された情報に基づいて、当該情報処理端末の識別情報が識別情報登録部にて登録されていると判断した場合に、入場許可手段に対してその情報処理端末の特定の領域への入場を許可するよう指令する入場認証部と、
アクセスポイントに対してアクセスしてきた情報処理端末が、当該情報処理端末から送信された情報に基づいて入場認証部にて特定の領域に入場を許可された情報処理端末であると判断した場合に、当該情報処理端末に対してアクセスポイントを介して所定のネットワーク網へのアクセスを許可するよう当該アクセスポイントに指令するアクセス判定部と、
を実現させるためのプログラムである。
【0021】
また、本発明の他の形態は、
特定の領域内に設置されたアクセスポイントに無線通信にてアクセスしてきた情報処理端末に対して、前記アクセスポイントを介したネットワーク網へのアクセス制御を行うアクセス制御方法であって、
情報処理端末毎に予め設定された固有の識別情報の入力を受け付けて登録する識別情報登録工程と、
特定の領域の入口に設置されている入場許可手段に対して情報処理端末から送信された情報に基づいて識別情報登録工程にて識別情報が登録されていると判断した情報処理端末に対して、特定の領域への入場を許可する入場許可工程と、
アクセスポイントに対してアクセスしてきた情報処理端末が、当該情報処理端末から送信された情報に基づいて入場許可工程にて入場を許可された情報処理端末であると判断した場合に、当該情報処理端末に対して所定のネットワーク網へのアクセスを許可するアクセス許可工程と、
を有する、という構成を採っている。
【0022】
そして、上記構成に加え、識別情報登録工程は、情報処理端末から受け付けた識別情報に対応し、当該情報処理端末に搭載される記憶手段に記憶される固有の認証情報を発行する認証情報発行工程と、識別情報と認証情報とを関連付けて登録するデータ管理工程と、を有し、
入場許可工程は、情報処理端末から送信された認証情報の入力を受け付けて、この受け付けた認証情報がデータ管理工程にて登録されている場合に、その情報処理端末に対して特定の領域への入場を許可する、
ことを特徴としている。
【0023】
以下、本発明であるアクセス制御システムの具体的な構成及び動作を、実施例にて説明する。
【実施例1】
【0024】
本発明の第1の実施例を、図1乃至図16を参照して説明する。図1は、アクセス制御システムの全体構成を示す概略図であり、図2は、その詳細な構成を示すブロック図である。図3乃至図7は、アクセス制御システムを構成する各装置の構成を示す機能ブロック図であり、図8は、アクセス制御システムで管理されるデータの一例を示す図である。図9乃至図12は、アクセス制御システムの動作を示す説明図であり、図13乃至図16は、動作を示すシーケンス図である。
【0025】
[構成]
まず、図1乃至図2を参照して、アクセス制御システムの全体構成について説明する。図1に示すように、本発明におけるアクセス制御システムは、ユーザUが操作するユーザ端末6(情報処理装置)が、アクセス許可区域A内から、当該アクセス許可区域A内に設置されたアクセスポイント(AP)4を介して、無線通信にて所定のネットワーク網Nにアクセスすることを制御するためのシステムである。ここで、アクセス許可区域Aとは、例えば、企業内でセキュリティ管理された特定の部屋といった特定の領域である。また、ユーザ端末6がアクセスポイントを介してアクセスするネットワーク網とは、例えば、企業内イントラネット網やインターネット網である。
【0026】
そして、図1に示すように、本実施例におけるアクセス制御システムは、アクセス許可区域Aの出入口に、当該区域A内にユーザUが通過することを制限するゲート51や扉を有するゲート型認証装置5(入場許可手段)を備えている。また、アクセスポイント4に対してアクセスしてきたユーザ端末6に対するネットワーク網Nへの接続の可否を管理するネットワーク管理装置3(アクセス許可手段)を備えている。さらに、事前にネットワーク網Nにアクセス可能なユーザ端末6を登録する識別情報登録装置10(識別情報登録手段)を備えている。この識別情報登録装置10は、上記ゲート型認証装置5とネットワーク管理装置3とに接続されている。そして、識別情報登録装置10は、登録されたユーザ情報に基づいて、ゲート型認証装置5に対して入場要求してきたユーザ端末6の入場を許可するか、さらには、アクセスポイント4に対して接続要求してきたユーザ端末6のネットワーク網Nへのアクセスを許可するか、ということを判断する機能を有する(入場許可手段、アクセス許可手段)。
【0027】
ここで、図1に開示したアクセス制御システムの識別情報登録装置10をさらに具体化した構成を図2に示す。この図に示すように、アクセス制御システムは、上述した識別情報登録装置10として、認証チップ発給装置1と、データ管理装置2と、を備えている。そして、データ管理装置2は、認証チップ発給装置1と、ゲート型認証装置5と、ネットワーク管理装置3と、に接続されており、ユーザ端末6のアクセス制御を行うべく、当該ユーザ端末6ごとの情報を管理している。以下、アクセス制御システムを構成する各装置について、さらに詳述する。
【0028】
まず、ユーザ端末6のアクセス制御を行うネットワーク網は、そのユーザUが所属する会社内のイントラネット網Nであることとする。また、イントラネット網Nは、さらにインターネット網に接続されていることとする。そして、イントラネット網Nには、無線通信可能なアクセスポイント(AP)4が接続されている。このアクセスポイント4は、無線通信にてアクセスしてきたユーザ端末4とイントラネット網Nとの間の通信を中継する機能を有する。そして、上記アクセスポイント4は、当該アクセスポイント4と無線通信可能なエリア(図2の斜線領域を参照)となる会社のセキュリティ室といったアクセス許可区域A内に設置されている。従って、主に、アクセス許可区域A内でのみ、ユーザ端末6はアクセスポイント4に無線通信可能となり、イントラネット網Nにアクセス可能となる。なお、アクセスポイント4は、図示されているように1台が装備されていることに限定されず、複数台が装備されていてもよい。
【0029】
次に、ユーザ端末6の構成について、図3の機能ブロック図を参照して説明する。ユーザ端末は、上記アクセスポイント4と無線通信可能なようネットワーク接続機能を有する無線通信部12を備え、ユーザにて操作されるノートパソコンなどのコンピュータである。また、ユーザ端末6は、RFIDタグ61を装備しており、後述する認証チップ発給装置1及びゲート型認証装置5と近距離無線通信が可能となっている。また、ユーザ端末6のCPUには、所定のプログラムが組み込まれることにより、認証データ発給処理部63と、ゲート認証処理部64と、無線アクセス処理部65と、が構築されている。また、ユーザ端末6内のメモリには、端末毎に予め設定された固有の識別情報であるMACアドレスを記憶した端末データ記憶部66と、認証チップ発給装置1にて発給される認証データを記憶する認証データ記憶部67と、が形成されている。
【0030】
上記認証データ発給処理部63は、RFIDタグ61から認証チップ発給装置1に対してMACアドレスを送信する。そして、認証チップ発給装置1にてMACアドレスに対応して生成され送信された認証ID(認証データ)を、当該認証チップ発給装置1からRFIDタグ61を介して受信し、認証データ記憶部67に記憶しておく。なお、MACアドレスと認証IDとは、後述するように、認証チップ発給装置1を介してデータ管理装置2に登録される。ここで、ユーザ端末6のMACアドレスは、必ずしもRFIDタグ61から認証チップ発給装置1に入力されることに限定されず、ユーザUが認証チップ発給装置1に装備された入力部に手動にて入力してもよい。
【0031】
また、上記ゲート認証処理部64は、上述したように認証データ発給処理部63にて発行され認証データ記憶部67に記憶された認証IDを、RFIDタグ61からゲート型認証装置5に対して送信する。これにより、ゲート型認証装置5及びデータ管理装置2にて認証IDが既に登録されていると判断されると、ゲート51が開き、ユーザUはアクセス許可区域Aに入場することができる。
【0032】
また、上記無線アクセス処理部65は、ユーザ端末6がアクセス許可区域A内に位置する場合に、無線通信部62を介してアクセスポイント4と無線通信を行い、MACアドレスを送信して、イントラネット網Nへのアクセスを要求する。そして、後述するように、データ管理装置2にてアクセス許可されると、ネットワーク管理装置3にてIPアドレスがユーザ端末6に割り振られ、イントラネット網Nさらにはインターネット網へのアクセスが可能となる。
【0033】
次に、認証チップ発給装置1について、図4の機能ブロック図を参照して説明する。この図に示すように、認証チップ発給装置1は、ユーザ端末6のRFIDタグ61と近距離無線通信可能なRFIDタグ通信部11と、タッチパネルなどユーザUが手動にてデータ入力可能なデータ入力部12と、少なくともデータ管理装置2に接続可能なネットワーク通信部13と、を備えている。また、CPUには、所定のプログラムが組み込まれることによって、端末データ受付処理部14と、認証データ発給処理部15と、ユーザデータ登録処理部16と、が構築されている。
【0034】
上記端末データ受付処理部14は、上述したようにユーザ端末6のRFIDタグ61から送信されRFIDタグ通信部11にて受信したユーザ端末6のMACアドレスを受け付ける。このとき、データ入力部12を介してユーザUから入力されたユーザ端末6に関するユーザ情報も受け付ける。また、上記認証データ発給装置15は、上記入力されたMACアドレスに対応する固有の認証IDを発行し、RFIDタグ通信部11を介してユーザ端末6に記憶するよう送信する。また、上記ユーザデータ登録処理部16は、MACアドレスと認証IDを関連付けて登録するよう、ネットワーク通信部13を介してデータ管理装置2に送信する。
【0035】
次に、ゲート型認証装置5について、図5の機能ブロック図を参照して説明する。ゲート型認証装置5は、上述したようにアクセス許可区域Aの入口に設置されており、ユーザUが有するユーザ端末6を認証すると共に、ユーザUの入場を規制するゲート51を開閉制御する機能を有する。具体的には、まず、RFIDタグ通信部52を備えると共に、ゲート型認証装置5に装備されたCPUに、所定のプログラムが組み込まれることによって、認証データ読取処理部53と、認証処理部54と、ゲート制御処理部55と、が構築されている。
【0036】
そして、上記認証データ読取処理部53は、ユーザ端末6のRFIDタグ61から送信されRFIDタグ通信部52にて受信したユーザ端末6の認証IDを受け付ける。そして、上記認証処理部54が、受信した認証IDがデータ管理装置2に登録されているか否かを当該データ管理装置2に問い合わせて結果を受け取る。その結果、認証IDが既にデータ管理装置2に登録されていると判断された場合には、上記ゲート制御処理部55がゲート51を開くよう制御し、ユーザU(ユーザ端末)がアクセス許可区域Aに入場することを許可する。このとき、ゲート制御処理部55は、ゲート51を開くことによってユーザUが入場したと判断し、ユーザUと共にユーザ端末6がアクセス許可区域Aに入場したことを登録するよう、データ管理装置2に依頼する。
【0037】
また、逆に、ゲート型認証装置5は、ユーザUの退場を検知する機能をも有する。例えば、アクセス許容区域Aの内部にもRFIDタグ通信部52を装備し、このRFIDタグ通信部52にて退場するユーザ端末6から認証IDを受信することによって当該アクセス許可区域Aから退場するユーザ端末6を検知する。そして、退場するユーザ端末6を検知した場合には、その認証IDのユーザ端末6が退場した旨をデータ管理装置2に通知し、当該データ管理装置2にて管理するよう依頼する。なお、ユーザUが入場あるいは退場したか否かは、ゲート51付近に別途赤外線センサなどの人感センサを設け、かかるセンサの検出によって入退場を検知し、その後、データ管理装置2に入退場の登録を依頼してもよい。
【0038】
次に、ネットワーク管理装置3について、図6の機能ブロック図を参照して説明する。ネットワーク管理装置3のCPUには、所定のプログラムが組み込まれることで、初期通信処理部31と、IPアドレス発給処理部32と、IPアドレス管理処理部33と、が構築されている。上記初期通信処理部31は、ユーザ端末6がアクセスポイント4に対してネットワーク接続許可要求のために無線通信にて初期通信した場合に、当該ユーザ端末6から通知されるMACアドレスをデータ管理装置2に転送する機能を有する。また、上記IPアドレス発給処理部32は、上記転送したMACアドレスに基づいてデータ管理装置2にてネットワーク接続の可否が判断され、許可がされた場合に、ユーザ端末6へのネットワーク接続用IPアドレスを発給する機能を有する。さらに、上記IPアドレス管理処理部33は、発給済みIPアドレスの継続使用/使用終了等の管理をする機能を有する。
【0039】
次に、データ管理装置2について、図7の機能ブロック図及び図8のデータ構成図を参照して説明する。データ管理装置2は、一般的なサーバコンピュータであり、上述したように、ユーザ端末6の登録状況、アクセス許可区域Aへの入退場状況、イントラネット網Nへのアクセス状況などを管理している。具体的に、データ管理装置2のCPUには、所定のプログラムが組み込まれることで、ユーザデータ登録処理部21と、認証処理部22と、接続判定処理部23と、が構築されている。また、ハードディスクなどの記憶装置には、ユーザデータ記憶部24が形成されている。
【0040】
ユーザデータ登録処理部21(識別情報登録部)は、上述したようにユーザ端末6から認証チップ発給装置1に入力されたMACアドレス、及び、これに対応して生成された認証IDを、認証チップ発給装置1から受け付けて、ユーザデータ記憶部24に登録する。そして、登録されたデータは、図8の各行に示すように、ユーザ端末6ごとに区別されて管理される。このとき、ユーザ端末6から、あるいは、ユーザUから認証チップ発給装置1に入力されたユーザ端末6の特徴を表す情報などを、認証チップ発給装置1から受け付けてコンピュータ端末情報として登録する。
【0041】
また、上記認証処理部22(入場認証部)は、ユーザ端末6からゲート型認証装置5に入力された認証IDを受け付けて、ユーザデータ記憶部24に登録されているか否かを調べ、認証結果をゲート型認証装置5に通知する。また、ゲート型認証装置5からユーザ端末6がゲートを通過した旨の通知を受け付けると、ゲート通過フラグを「0」から「1」にすると共に、そのときの時刻を入場した時刻として「In時間」に記録する。なお、ゲート型認証装置5からアクセス許可区域Aを退場したユーザ端末6を検知した旨の通知を受けた場合には、そのユーザ端末6のゲート通過フラグを「0」にし、そのときの時刻を退場した時刻として「Out時間」に記録する。
【0042】
また、上記接続判定処理部23(アクセス判定部)は、上述したように認証処理部22にて認証IDを認証して、ゲートの通過を許可したユーザ端末6に対応するMACアドレスを、イントラネット網Nに接続許可するユーザ端末としてネットワーク管理装置3に通知する。また、接続判定処理部23は、ユーザ端末6がアクセスポイント4に対してネットワーク接続許可のために初期通信して、当該ユーザ端末6から通知されたMACアドレスをアクセスポイント4及びネットワーク管理装置3を介して受信する。そして、このMACアドレスが、ユーザデータ記憶部24に登録されており、かつ、ゲート通過フラグが「1」であるかを調べる。つまり、既に認証チップ発給装置1を介してデータ管理装置2に登録されており、かつ、ゲート型認証装置5にて認証IDの認証が済んでいるユーザ端末であるかを判断する。そして、既に登録され、ゲートを通過した端末である場合には、ネットワーク接続用IPアドレスを発給するようネットワーク管理装置3に指示する。
【0043】
[動作]
次に、上記構成のアクセス制御システムの動作を、図9乃至図16を参照して説明する。はじめに、図9、図13、図14を参照して、ユーザ端末6の情報を登録する動作(識別情報登録工程)を説明する(図13のステップS1)。
【0044】
まず、ユーザUがユーザ端末6を認証チップ発給装置1の近くに持って行き、ユーザ端末6のRFIDタグ61と、認証チップ発給装置1のRFIDタグ通信部11とを近づけることで、相互に近距離無線通信を行い、ユーザ端末6のMACアドレスが認証チップ発給装置1に送信され、入力される(図9の矢印Y1、図13のステップS2)。なお、認証チップ発給装置1へのMACアドレスの入力は、当該認証チップ発給装置1に装備されたタッチパネル等の入力部からユーザUやシステム管理者によって手動で行われてもよい。
【0045】
そして、MACアドレスの入力を受けた認証チップ発給装置2は、入力されたMACアドレスが登録済みかどうかを判定するため、一旦、データ管理装置2にユーザ情報の問い合わせを行う(図9の矢印Y2、図13のステップS3)。すると、データ管理装置2は、データベースへの登録有無を確認し、認証チップ発給装置1に登録有無を通知する(図13のステップS4)。
【0046】
続いて、認証チップ発給装置1は、データ管理装置2から送信されたデータを元に判定を行い(図13のステップS5)、新規データ登録の場合は(図13のステップS5で「未登録」に進む)、その旨を認証チップ発給装置1に装備された画面に表示し、ユーザUに対して新規データの入力を促す。このとき、例えば、ユーザ端末の特徴を表す情報などの新規データが入力されると(図13のステップS6)、認証チップ発給装置1は、MACアドレスに一意の認証IDを作成し、ユーザ端末6に対して発給する(図13のステップS7、認証情報発行工程)。そして、認証チップ発給装置1は、RFIDタグ通信部11からユーザ端末6のRFIDタグ61に対して認証IDを送信する(図9の矢印Y3)。すると、ユーザ端末6内に認証IDが記憶される(図13のステップS10)。
【0047】
その後、認証チップ発給装置1は、MACアドレス及び認証IDをデータ管理装置2に送信する(図9の矢印Y4、図13のステップS8)。すると、データ管理装置2は、MACアドレスと認証IDを関連付けて、図8に示すような自装置内のデータベースに登録する(図13のステップS9、データ管理工程)。
【0048】
一方、図13のステップS5で、ユーザ端末6のMACアドレスが登録済みと判定された場合には(図13のステップS5で「既登録時」に進む)、認証チップ発給装置1は、ユーザ端末6に対して既に登録されていることを通知し(図14のステップS11)、登録情報を変更するか、削除するかの確認を行う。変更の場合には、変更箇所をユーザUあるいはユーザ端末6から入力させ(図14のステップS12)、認証チップ発給装置1を経由して(図14のステップS13)、データ管理装置2のデータベースに反映する(図14のステップS14)。また、削除の場合は、データ管理装置2のデータベースから登録情報を削除する。
【0049】
そして、データ管理装置2のデータの変更が終了した後、当該データ管理装置2は認証チップ発給装置1に変更/削除通知を行う(図14のステップS15)。すると、認証チップ発給装置1は、変更された認証IDを再度ユーザ端末6に発給する(図14のステップS16)。これにより、上述同様に、MACアドレスに対応して発給された認証IDがユーザ端末6に格納されると共に、データ管理装置2に関連付けて登録される。
【0050】
次に、図10、図11、図15を参照して、ユーザ端末6が入退出ゲートを兼ねるゲート型認証装置5を通過し、無線ネットワークに接続するまでの動作を説明する。
【0051】
まず、上述したように、データ管理装置2に登録したユーザ端末6が、アクセス許可区域Aに入場すべく、ゲート型認証装置5の設置された入退出ゲート51にさしかかる。そして、ユーザUがユーザ端末6のRFIDタグ61と、ゲート型認証装置5のRFIDタグ通信部52とを近づけることで、相互に近距離無線通信が行われ(図15のステップS21)、ゲート型認証装置5にてユーザ端末6に格納された認証IDが読み取られる(図10の矢印Y11、図15のステップS22)。そして、ゲート型認証装置5が、読み取った認証IDをデータ管理装置2に問い合わせる(図10の矢印Y12、図15のステップS23)。
【0052】
データ管理装置2は、認証IDがデータベースに登録されているかを確認し、ゲート型認証装置5に通知をする(図15のステップS24)。このとき、認証IDが正しく登録されたデータと一致した場合は(図15のステップS24にて「一致」に進む、ステップS25)、ゲート51を開き(図10の矢印Y13)、ユーザUつまりユーザ端末6を通過させる(図15のステップS26、入場許可工程)。
【0053】
そして、ゲート型認証装置5は、ゲート51が開いたのを確認次第、あるいは、人感センサなどでユーザ端末6がゲートを通過したのを確認次第、データ管理装置2に認証を行ったユーザ端末6に対するゲート通過フラグの付加を依頼する(図15のステップS27)。すると、データ管理装置2は、認証したユーザ端末6のゲート通過フラグを「1」に設定するよう、自装置内のデータベースを変更し、そのユーザ端末6に対応したMACアドレスを、ネットワーク管理装置5に通知する(図10の矢印Y14、図15のステップS28)。すると、ネットワーク管理装置5は、配下のアクセスポイント4に対して、通知のあったMACアドレスでの無線ネットワーク接続を許可する(図10の矢印Y15、図15のステップS29)。
【0054】
また、ゲート型認証装置5を通過し、アクセス許可区域Aに入場したユーザ端末6は、当該端末をユーザUにて起動されると、自動で無線通信にてアクセスポイント4にアクセスし、ネットワーク管理装置3にアクセスポイント4を経由したイントラネット網Nへのアクセス許可依頼を行う(図11の矢印Y21,Y22、図15のステップS30)。このとき、ユーザ端末6は、アクセスポイント4を介してネットワーク管理装置3に、MACアドレスを送信する。これを受けたネットワーク管理装置3は、ユーザ端末6から送信されたMACアドレスを、図15のステップS28でゲート通過を許可されたユーザ端末6としてデータ管理装置2から通知されているMACアドレスと比較し(図15のステップS31)、一致した場合にユーザ端末6がイントラネットへアクセスするためのIPアドレスを発給する(図11の矢印Y22、図15のステップS32、アクセス許可工程)。そして、ユーザ端末6は、発給されたIPアドレスを利用して、アクセスポイント4経由にてイントラネット網Nへの接続を行う(図15のステップS33)。
【0055】
次に、図12及び図16を参照して、ゲート型認証装置5を通過せずに、つまり、アクセス許可区域Aの外から、ユーザ端末6を使用してアクセスポイント4経由でイントラネット網Nに接続を試みた場合を説明する。
【0056】
まず、ゲート型認証装置5を通過していないユーザ端末6が、外部からアクセスポイント4に対して無線通信を行い、MACアドレスを通知し、IPアドレスの発給を依頼する(図12の矢印Y31、図16のステップS41,S42)。そして、MACアドレスを受けたアクセスポイント4は、ネットワーク管理装置3にMACアドレスを送信する(図12の矢印Y32、図16のステップS43)。すると、ネットワーク管理装置3は、MACアドレスを元にデータ管理装置2にゲート通過フラグの確認を行う(図12の矢印Y33、図16のステップS44)。データ管理装置2は、ネットワーク管理装置3より送られてきたMACアドレスを元にデータベースを確認し、該当するユーザ端末6のゲート通過フラグを確認し、通過/未通過をネットワーク管理装置3に通知する(図16のステップS45)。ネットワーク管理装置3は、ゲート通過フラグのないMACアドレスに対してIPアドレスの発給不可をアクセスポイントに通知する(図16のステップS46)。すると、アクセスポイント4は、ユーザ端末6にIPアドレスの発給不可を通知する(図16のステップS47)。その結果、ユーザ端末6はIPアドレスを入手できないため、イントラネット網に接続することができないこととなる(図12の矢印Y34、図16のステップS48)。
【0057】
以上により、本発明によると、事前にMACアドレス(固有の識別情報)を登録したユーザ端末6(情報処理端末)のみがアクセス許可区域A(特定の領域)に入場することができ、かつ、アクセス許可区域A(特定の領域)に入場したユーザ端末6(情報処理端末)のみがイントラネット網N(所定のネットワーク網)にアクセスすることができる。従って、仮に、アクセス許可区域Aの外部からアクセスポイント4への通信が可能であったとしても、ゲート51を通過していないユーザ端末6へのネットワーク接続資源(IPアドレス)の発給を止めることができるため、所定のネットワーク網への不正アクセスを抑制することができる。また、ユーザ端末6に固有のMACアドレス(固有の識別情報)を管理することにより、アクセス許可区域A(特定の領域)に対するユーザ端末6(情報処理端末)の持ち込み/持ち出しを管理することができ、セキュリティの向上を図ることができる。
【0058】
ここで、上記では、ユーザ端末6の登録時に、MACアドレスに対応する認証IDを生成し、ゲート型認証装置5を通過する際に認証IDを用いて認証する場合を例示したが、登録されるデータは、MACアドレスなどのユーザ端末6を識別する情報(固有の識別情報)のみであってもよく、当該MACアドレスをゲート型認証装置5における認証時に用いてもよい。また、ユーザ端末6に固有の識別情報としてMACアドレスを用いる場合を例示したが、当該ユーザ端末6に固有の情報で他の情報を上記MACアドレスに替えて用いてもよい。また、ユーザ端末6としてノートパソコンを一例に挙げて説明したが、PDAや携帯電話など、他の情報処理端末であってもよい。
【実施例2】
【0059】
次に、本発明の第2の実施例を、図17乃至図18を参照して説明する。本実施例におけるアクセス制御システムは、上述した実施例1のものとほぼ同様の構成を採っているが、認証チップ発給装置101の構成が異なる。以下、かかる相違点を主に説明する。
【0060】
まず、本実施例におけるユーザ端末106は、内部にRFIDタグを装備していない。そして、認証チップ発給装置101は、ユーザ端末106の筐体に貼付可能なシール状のRFIDタグ111を生成して発給する機能を有している。具体的には、ユーザ端末106の登録の際に、当該ユーザ端末106からMACアドレスを送信されると(図17の矢印Y41)、これに一意に対応する認証IDを生成し、この認証IDを記憶したRFIDタグ111を生成する(図17の矢印Y42)。そして、これを受け取ったユーザUは、RFIDタグ111をユーザ端末106の筐体表面に貼付する(図17の矢印Y43)。そして、認証チップ発給装置101は、MACアドレスと認証IDを関連付けて登録するよう、データ管理装置2に送信する(図17の矢印Y44)。これにより、上述した実施例1のユーザ端末6と同様に、認証IDが格納されたものと同様の構成になる。
【0061】
そして、ユーザ端末106は、その後は実施例1と同様に動作可能となる。具体的に、図18を参照して、ユーザ端末106が入退出ゲートを兼ねるゲート型認証装置5を通過しようとする場合を説明する。ユーザ端末106がゲート型認証装置5の設置された入退出ゲートにさしかかると、ゲート型認証装置5とユーザ端末106に貼付されたRFIDタグ111が近距離無線通信を行い、当該貼付されたRFIDタグ111からゲート型認証装置5にて認証IDが読み取られる(図18の矢印Y51)。そして、ゲート型認証装置5が、読み取った認証IDをデータ管理装置2に問いあわせ、当該データ管理装置2は、認証IDが登録されているかを確認し、ゲート型認証装置5に通知をする(図18の矢印Y52)。このとき、認証IDが正しく登録されたデータと一致した場合は、ゲート51を開き(図18の矢印Y53)、ユーザUつまりユーザ端末6を通過させる。
【0062】
そして、その後は、上記実施例1と同様の動作となる。つまり、ユーザ端末106がアクセス許可区域Aに入場した場合に、ユーザ端末106がアクセスポイント4にアクセスしてMACアドレスを通知することで、当該ユーザ端末106のMACアドレスは事前に登録されており、かつ、これに対応する認証IDによる認証がゲート型認証装置5にて済んでいるため、ネットワーク管理装置3からアクセスポイント4を介してユーザ端末6にIPアドレスが付与され、イントラネット網Nへのアクセスか可能となる。
【0063】
このように、予めRFIDタグなどの近距離無線通信手段等を装備していないユーザ端末を用いた場合であっても、識別情報に対応した認証情報を記憶したRFIDを発行して貼付することで、上述同様に、セキュリティの向上を図ることができる。
【産業上の利用可能性】
【0064】
本発明のアクセス制御システムは、情報処理端末のネットワークへのアクセスを端末や場所に応じて制限するといったセキュリティを重視する企業などに適用可能であり、産業上の利用可能性を有する。
【図面の簡単な説明】
【0065】
【図1】実施例1におけるアクセス制御システムの構成の概略を示すブロック図である。
【図2】実施例1におけるアクセス制御システムの詳細な構成を示すブロック図である。
【図3】図2に開示したユーザ端末の構成を示す機能ブロック図である。
【図4】図2に開示した認証チップ発給装置の構成を示す機能ブロック図である。
【図5】図2に開示したゲート型認証装置の構成を示す機能ブロック図である。
【図6】図2に開示したネットワーク管理装置の構成を示す機能ブロック図である。
【図7】図2に開示したデータ管理装置の構成を示す機能ブロック図である。
【図8】図7に開示したデータ管理装置にて管理されるユーザデータの一例を示す図である。
【図9】アクセス制御システムの動作を示す説明図であり、ユーザ端末の登録時の様子を示す。
【図10】アクセス制御システムの動作を示す説明図であり、ユーザ端末のゲート通過時の様子を示す。
【図11】アクセス制御システムの動作を示す説明図であり、ユーザ端末によるネットワークアクセス時の様子を示す。
【図12】アクセス制御システムの動作を示す説明図であり、ユーザ端末による外部からのネットワークアクセス時の様子を示す。
【図13】アクセス制御システムの動作を示すシーケンス図であり、ユーザ端末の登録時の様子を示す。
【図14】アクセス制御システムの動作を示すシーケンス図であり、ユーザ端末の登録時の様子を示す。
【図15】アクセス制御システムの動作を示すシーケンス図であり、ユーザ端末のゲート通過時、及び、ネットワークアクセス時の様子を示す。
【図16】アクセス制御システムの動作を示すシーケンス図であり、ユーザ端末による外部からのネットワークアクセス時の様子を示す。
【図17】実施例2におけるアクセス制御システムの構成、及び、ユーザ端末の登録時の動作を示す図である。
【図18】実施例2におけるアクセス制御システムの構成、及び、ユーザ端末のゲート通過時の動作を示す図である。
【符号の説明】
【0066】
1 認証チップ発給装置
2 データ管理装置
3 ネットワーク管理装置
4 アクセスポイント
5 ゲート型認証装置
6 ユーザ端末
10 識別情報登録装置
A アクセス許可区域
N イントラネット網
U ユーザ
【特許請求の範囲】
【請求項1】
特定の領域内に設置されたアクセスポイントに無線通信にてアクセスしてきた情報処理端末に対して、前記アクセスポイントを介したネットワーク網へのアクセス制御を行うアクセス制御システムであって、
前記情報処理端末毎に予め設定された固有の識別情報の入力を受け付けて登録する識別情報登録手段と、
前記特定の領域の入口に設置されており、前記情報処理端末から送信された情報に基づいて前記識別情報登録手段にて識別情報が登録されていると判断した情報処理端末に対して前記特定の領域への入場を許可する入場許可手段と、
前記アクセスポイントに対してアクセスしてきた前記情報処理端末が、当該情報処理端末から送信された情報に基づいて前記入場許可手段にて入場を許可された情報処理端末であると判断した場合に、当該情報処理端末に対して所定のネットワーク網へのアクセスを許可するアクセス許可手段と、
を備えたことを特徴とするアクセス制御システム。
【請求項2】
前記識別情報登録手段は、前記情報処理端末から受け付けた前記識別情報に対応し、当該情報処理端末に搭載される記憶手段に記憶される固有の認証情報を発行する認証情報発行手段と、前記識別情報と前記認証情報とを関連付けて登録するデータ管理手段と、を備え、
前記入場許可手段は、前記情報処理端末から送信された前記認証情報の入力を受け付けて、この受け付けた認証情報が前記データ管理手段に登録されている場合に、その情報処理端末に対して前記特定の領域への入場を許可する、
ことを特徴とする請求項1記載のアクセス制御システム。
【請求項3】
前記入場許可手段は、前記特定の領域への入場を許可した情報処理端末が入場中であることを表す入場情報の登録を前記データ管理手段に依頼し、
前記データ管理手段は、前記入場許可手段から入場情報の登録を依頼された情報処理端末について登録されている前記識別情報に対して、前記入場情報を対応付けて登録し、
前記アクセス許可手段は、前記情報処理端末から送信された識別情報の入力を受け付けて、この受け付けた識別情報に前記入場情報が関連付けて登録されている場合に、その情報処理端末に対して所定のネットワーク網へのアクセスを許可する、
ことを特徴とする請求項2記載のアクセス制御システム。
【請求項4】
前記認証情報発行手段は、前記情報処理端末の内部に格納された記憶手段に発行した前記認証情報を格納するよう、当該認証情報を近距離無線通信にて前記情報処理端末に送信する、
ことを特徴とする請求項2又は3記載のアクセス制御システム。
【請求項5】
前記認証情報発行手段は、前記認証情報を記憶すると共に当該認証情報を近距離無線通信にて外部に送信可能であり、前記情報処理端末に貼付されるRFIDタグを生成して発行し、
前記入場許可手段は、前記情報処理端末に貼付された前記RFIDタグから送信された前記認証情報を受け付ける、
ことを特徴とする請求項2又は3記載のアクセス制御システム。
【請求項6】
前記入場許可手段は、前記特定の領域の出入口に設置されており、前記情報処理端末から送信された情報に基づいて当該情報処理端末の前記特定の領域からの退場を管理する、
ことを特徴とする請求項1,2,3,4又は5記載のアクセス制御システム。
【請求項7】
特定の領域内に設置されたアクセスポイントに無線通信にてアクセスしてきた情報処理端末に対して、前記アクセスポイントを介したネットワーク網へのアクセス制御を行うデータ管理装置であって、
前記情報処理端末毎に予め設定された固有の識別情報の入力を受け付けた認証情報発行手段にて当該受け付けた識別情報に対応して発行され前記情報処理端末に搭載される記憶手段に記憶される固有の認証情報を、前記識別情報と関連付けて記憶する識別情報登録部と、
前記特定の領域の入口に設置されている入場許可手段に対して前記情報処理端末から送信された情報に基づいて、当該情報処理端末の識別情報が前記識別情報登録部にて登録されていると判断した場合に、前記入場許可手段に対してその情報処理端末の前記特定の領域への入場を許可するよう指令する入場認証部と、
前記アクセスポイントに対してアクセスしてきた前記情報処理端末が、当該情報処理端末から送信された情報に基づいて前記入場認証部にて前記特定の領域に入場を許可された情報処理端末であると判断した場合に、当該情報処理端末に対して前記アクセスポイントを介して所定のネットワーク網へのアクセスを許可するよう当該アクセスポイントに指令するアクセス判定部と、
を備えたことを特徴とするデータ管理装置。
【請求項8】
特定の領域内に設置されたアクセスポイントに無線通信にてアクセスしてきた情報処理端末に対して、前記アクセスポイントを介したネットワーク網へのアクセス制御を行うデータ管理装置に、
前記情報処理端末毎に予め設定された固有の識別情報の入力を受け付けた認証情報発行手段にて当該受け付けた識別情報に対応して発行され前記情報処理端末に搭載される記憶手段に記憶される固有の認証情報を、前記識別情報と関連付けて記憶する識別情報登録部と、
前記特定の領域の入口に設置されている入場許可手段に対して前記情報処理端末から送信された情報に基づいて、当該情報処理端末の識別情報が前記識別情報登録部にて登録されていると判断した場合に、前記入場許可手段に対してその情報処理端末の前記特定の領域への入場を許可するよう指令する入場認証部と、
前記アクセスポイントに対してアクセスしてきた前記情報処理端末が、当該情報処理端末から送信された情報に基づいて前記入場認証部にて前記特定の領域に入場を許可された情報処理端末であると判断した場合に、当該情報処理端末に対して前記アクセスポイントを介して所定のネットワーク網へのアクセスを許可するよう当該アクセスポイントに指令するアクセス判定部と、
を実現させるためのプログラム。
【請求項9】
特定の領域内に設置されたアクセスポイントに無線通信にてアクセスしてきた情報処理端末に対して、前記アクセスポイントを介したネットワーク網へのアクセス制御を行うアクセス制御方法であって、
前記情報処理端末毎に予め設定された固有の識別情報の入力を受け付けて登録する識別情報登録工程と、
前記特定の領域の入口に設置されている入場許可手段に対して前記情報処理端末から送信された情報に基づいて前記識別情報登録工程にて識別情報が登録されていると判断した情報処理端末に対して、前記特定の領域への入場を許可する入場許可工程と、
前記アクセスポイントに対してアクセスしてきた前記情報処理端末が、当該情報処理端末から送信された情報に基づいて前記入場許可工程にて入場を許可された情報処理端末であると判断した場合に、当該情報処理端末に対して所定のネットワーク網へのアクセスを許可するアクセス許可工程と、
を有することを特徴とするアクセス制御方法。
【請求項10】
前記識別情報登録工程は、前記情報処理端末から受け付けた前記識別情報に対応し、当該情報処理端末に搭載される記憶手段に記憶される固有の認証情報を発行する認証情報発行工程と、前記識別情報と前記認証情報とを関連付けて登録するデータ管理工程と、を有し、
前記入場許可工程は、前記情報処理端末から送信された前記認証情報の入力を受け付けて、この受け付けた認証情報が前記データ管理工程にて登録されている場合に、その情報処理端末に対して前記特定の領域への入場を許可する、
ことを特徴とする請求項9記載のアクセス制御方法。
【請求項1】
特定の領域内に設置されたアクセスポイントに無線通信にてアクセスしてきた情報処理端末に対して、前記アクセスポイントを介したネットワーク網へのアクセス制御を行うアクセス制御システムであって、
前記情報処理端末毎に予め設定された固有の識別情報の入力を受け付けて登録する識別情報登録手段と、
前記特定の領域の入口に設置されており、前記情報処理端末から送信された情報に基づいて前記識別情報登録手段にて識別情報が登録されていると判断した情報処理端末に対して前記特定の領域への入場を許可する入場許可手段と、
前記アクセスポイントに対してアクセスしてきた前記情報処理端末が、当該情報処理端末から送信された情報に基づいて前記入場許可手段にて入場を許可された情報処理端末であると判断した場合に、当該情報処理端末に対して所定のネットワーク網へのアクセスを許可するアクセス許可手段と、
を備えたことを特徴とするアクセス制御システム。
【請求項2】
前記識別情報登録手段は、前記情報処理端末から受け付けた前記識別情報に対応し、当該情報処理端末に搭載される記憶手段に記憶される固有の認証情報を発行する認証情報発行手段と、前記識別情報と前記認証情報とを関連付けて登録するデータ管理手段と、を備え、
前記入場許可手段は、前記情報処理端末から送信された前記認証情報の入力を受け付けて、この受け付けた認証情報が前記データ管理手段に登録されている場合に、その情報処理端末に対して前記特定の領域への入場を許可する、
ことを特徴とする請求項1記載のアクセス制御システム。
【請求項3】
前記入場許可手段は、前記特定の領域への入場を許可した情報処理端末が入場中であることを表す入場情報の登録を前記データ管理手段に依頼し、
前記データ管理手段は、前記入場許可手段から入場情報の登録を依頼された情報処理端末について登録されている前記識別情報に対して、前記入場情報を対応付けて登録し、
前記アクセス許可手段は、前記情報処理端末から送信された識別情報の入力を受け付けて、この受け付けた識別情報に前記入場情報が関連付けて登録されている場合に、その情報処理端末に対して所定のネットワーク網へのアクセスを許可する、
ことを特徴とする請求項2記載のアクセス制御システム。
【請求項4】
前記認証情報発行手段は、前記情報処理端末の内部に格納された記憶手段に発行した前記認証情報を格納するよう、当該認証情報を近距離無線通信にて前記情報処理端末に送信する、
ことを特徴とする請求項2又は3記載のアクセス制御システム。
【請求項5】
前記認証情報発行手段は、前記認証情報を記憶すると共に当該認証情報を近距離無線通信にて外部に送信可能であり、前記情報処理端末に貼付されるRFIDタグを生成して発行し、
前記入場許可手段は、前記情報処理端末に貼付された前記RFIDタグから送信された前記認証情報を受け付ける、
ことを特徴とする請求項2又は3記載のアクセス制御システム。
【請求項6】
前記入場許可手段は、前記特定の領域の出入口に設置されており、前記情報処理端末から送信された情報に基づいて当該情報処理端末の前記特定の領域からの退場を管理する、
ことを特徴とする請求項1,2,3,4又は5記載のアクセス制御システム。
【請求項7】
特定の領域内に設置されたアクセスポイントに無線通信にてアクセスしてきた情報処理端末に対して、前記アクセスポイントを介したネットワーク網へのアクセス制御を行うデータ管理装置であって、
前記情報処理端末毎に予め設定された固有の識別情報の入力を受け付けた認証情報発行手段にて当該受け付けた識別情報に対応して発行され前記情報処理端末に搭載される記憶手段に記憶される固有の認証情報を、前記識別情報と関連付けて記憶する識別情報登録部と、
前記特定の領域の入口に設置されている入場許可手段に対して前記情報処理端末から送信された情報に基づいて、当該情報処理端末の識別情報が前記識別情報登録部にて登録されていると判断した場合に、前記入場許可手段に対してその情報処理端末の前記特定の領域への入場を許可するよう指令する入場認証部と、
前記アクセスポイントに対してアクセスしてきた前記情報処理端末が、当該情報処理端末から送信された情報に基づいて前記入場認証部にて前記特定の領域に入場を許可された情報処理端末であると判断した場合に、当該情報処理端末に対して前記アクセスポイントを介して所定のネットワーク網へのアクセスを許可するよう当該アクセスポイントに指令するアクセス判定部と、
を備えたことを特徴とするデータ管理装置。
【請求項8】
特定の領域内に設置されたアクセスポイントに無線通信にてアクセスしてきた情報処理端末に対して、前記アクセスポイントを介したネットワーク網へのアクセス制御を行うデータ管理装置に、
前記情報処理端末毎に予め設定された固有の識別情報の入力を受け付けた認証情報発行手段にて当該受け付けた識別情報に対応して発行され前記情報処理端末に搭載される記憶手段に記憶される固有の認証情報を、前記識別情報と関連付けて記憶する識別情報登録部と、
前記特定の領域の入口に設置されている入場許可手段に対して前記情報処理端末から送信された情報に基づいて、当該情報処理端末の識別情報が前記識別情報登録部にて登録されていると判断した場合に、前記入場許可手段に対してその情報処理端末の前記特定の領域への入場を許可するよう指令する入場認証部と、
前記アクセスポイントに対してアクセスしてきた前記情報処理端末が、当該情報処理端末から送信された情報に基づいて前記入場認証部にて前記特定の領域に入場を許可された情報処理端末であると判断した場合に、当該情報処理端末に対して前記アクセスポイントを介して所定のネットワーク網へのアクセスを許可するよう当該アクセスポイントに指令するアクセス判定部と、
を実現させるためのプログラム。
【請求項9】
特定の領域内に設置されたアクセスポイントに無線通信にてアクセスしてきた情報処理端末に対して、前記アクセスポイントを介したネットワーク網へのアクセス制御を行うアクセス制御方法であって、
前記情報処理端末毎に予め設定された固有の識別情報の入力を受け付けて登録する識別情報登録工程と、
前記特定の領域の入口に設置されている入場許可手段に対して前記情報処理端末から送信された情報に基づいて前記識別情報登録工程にて識別情報が登録されていると判断した情報処理端末に対して、前記特定の領域への入場を許可する入場許可工程と、
前記アクセスポイントに対してアクセスしてきた前記情報処理端末が、当該情報処理端末から送信された情報に基づいて前記入場許可工程にて入場を許可された情報処理端末であると判断した場合に、当該情報処理端末に対して所定のネットワーク網へのアクセスを許可するアクセス許可工程と、
を有することを特徴とするアクセス制御方法。
【請求項10】
前記識別情報登録工程は、前記情報処理端末から受け付けた前記識別情報に対応し、当該情報処理端末に搭載される記憶手段に記憶される固有の認証情報を発行する認証情報発行工程と、前記識別情報と前記認証情報とを関連付けて登録するデータ管理工程と、を有し、
前記入場許可工程は、前記情報処理端末から送信された前記認証情報の入力を受け付けて、この受け付けた認証情報が前記データ管理工程にて登録されている場合に、その情報処理端末に対して前記特定の領域への入場を許可する、
ことを特徴とする請求項9記載のアクセス制御方法。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【公開番号】特開2008−294502(P2008−294502A)
【公開日】平成20年12月4日(2008.12.4)
【国際特許分類】
【出願番号】特願2007−135009(P2007−135009)
【出願日】平成19年5月22日(2007.5.22)
【出願人】(000232140)NECフィールディング株式会社 (373)
【Fターム(参考)】
【公開日】平成20年12月4日(2008.12.4)
【国際特許分類】
【出願日】平成19年5月22日(2007.5.22)
【出願人】(000232140)NECフィールディング株式会社 (373)
【Fターム(参考)】
[ Back to top ]