ネットワークにアクセスする方法及び装置
【課題】ネットワークにアクセスする方法及び装置を提供する。
【解決手段】本発明に係る方法は、コンピューティング装置のネットワークへのアクセスを認証する方法であって、前記コンピューティング装置からユーザ識別子を含む認証データを受信することと、前記認証データの確認の許可が与えられているか否かを判断することと、前記認証データの確認の許可が与えられていると判断されるときに、前記認証データが確認されると、前記装置が前記ネットワークにアクセスするのを許可することとを含む。
【解決手段】本発明に係る方法は、コンピューティング装置のネットワークへのアクセスを認証する方法であって、前記コンピューティング装置からユーザ識別子を含む認証データを受信することと、前記認証データの確認の許可が与えられているか否かを判断することと、前記認証データの確認の許可が与えられていると判断されるときに、前記認証データが確認されると、前記装置が前記ネットワークにアクセスするのを許可することとを含む。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は包括的には、コンピュータネットワークにアクセスする方法及び装置に関する。
【背景技術】
【0002】
コンピューティング装置が公衆インターネットを介して企業コンピュータネットワーク又は他のプライベートコンピュータネットワークに遠隔接続することを可能にすることが既知である。
企業ネットワークにアクセスすることができる者を制御するために、IT管理者は様々な安全政策及び安全システムを使用し、管理しているコンピュータネットワークに許可されていないユーザが遠隔アクセスすることを阻止するのに役立てている。
【0003】
遠隔ユーザは概して、適切なユーザ認証手順の遂行に成功しなければ企業ネットワークに遠隔アクセスすることができない。妥当なレベルの確実性でユーザを認証することを可能にするために、デュアルファクタ認証がITネットワークの管理者によって十分に検討される。
デュアルファクタ認証は一般的に、「持っている或るもの」(例えばスマートカード又はハードウェアのトークン生成器)及び「知っている或るもの」(例えばパスワード)という主要な概念に基づいている。
【0004】
企業ネットワークへの遠隔接続は通常、安全な仮想プライベートネットワーク(VPN)を介して行われ、これによって、ユーザの装置と企業ネットワークとの間の通信が適度に安全であることが保証される。
この際、例えば適切な暗号技術が使用されるが、HTTPSの使用のような他のアクセス技法を使用してもよい。
【0005】
VPNを介してコンピューティング装置を遠隔ネットワークに接続するために、コンピューティング装置のユーザは通常、与えられる正確なパスワード(「知っている或るもの」)に応答して認証トークンを生成するハードウェア又はソフトウェアのトークン生成器(「持っている或るもの」)を有する。
幾つかのトークン生成器は、認証トークンの生成に使用される暗号データを含む、PINによって保護されるスマートカードを受け取るように構成されている。
この場合、このスマートカードは、「持っている或るもの」のファクタとみなすことができる。
生成された認証トークンは、ユーザが認証されたと判断するネットワークベースの認証システムに送信される。
【0006】
デュアルファクタ認証技術又はマルチファクタ認証技術は、高いレベルのユーザ認証を提供するが、ユーザにとっては幾らか不便である。
例えば、ユーザは、ハードウェアのトークン生成器、スマートカード、又はそれらの両方を特定の構成に応じて別個に携帯しなければならない場合がある。
さらに、VPNを通じて接続することは通常、正確な順序で実行されなければならない多数の独立したステップを必要とする。
例えば、ユーザは、まず自身のオペレーティングシステムのユーザ名及びパスワードを使用して自身のコンピュータをアンロックし、自身のスマートカードを自身のトークン生成器に挿入し、そのトークン生成器にパスワードを入力し、自身のVPNクライアントアプリケーションを開き、生成された認証トークンをそのVPNクライアントアプリケーションに手動で入力しなければならない場合がある。
【発明の開示】
【発明が解決しようとする課題】
【0007】
したがって、本発明の1つの目的は、上記の問題のうちの少なくとも幾つかを克服、又は少なくとも軽減することである。
【課題を解決するための手段】
【0008】
本発明の第1の態様によれば、コンピューティング装置のネットワークへのアクセスを認証する方法が提供される。
この方法は、コンピューティング装置からユーザ識別子を含む認証データを受信すること、認証データの確認の許可が与えられているか否かを判断すること、及び認証データの確認の許可が与えられていると判断される場合に、認証データが確認されると装置がネットワークにアクセスするのを許可することを含む。
【0009】
本発明の第2の態様によれば、コンピューティング装置において遠隔ネットワークにアクセスする方法が提供される。
この方法は、装置の特徴に関連する複数のパラメータから成る所定のセットを取得すること、収集された複数のパラメータを第1のサーバに送信すること、及び認証データを第2のサーバに送信することを含む。
【0010】
本発明の第3の態様によれば、上記方法ステップのうちの少なくとも幾つかに従って動作可能な認証サーバが提供される。
【0011】
本発明の第4の態様によれば、上記方法ステップのうちの少なくとも幾つかに従って動作可能なコンピューティング装置が提供される。
【0012】
次に、本発明の実施形態を、添付図面を参照して非限定的な例としてのみ説明する。
【発明を実施するための最良の形態】
【0013】
図1は、本発明の一実施形態によるシステム100の単純化されたブロック図を示す。
当業者は、明瞭にするために典型的なネットワークの全ての要素が示されていないことを理解するであろう。
【0014】
コンピューティング装置102、例えば適切に備え付けられたパーソナルコンピュータ、ポータブルコンピュータ、携帯情報端末(PDA)、携帯電話等は、適切な方法で公衆インターネット106に接続する。
このインターネットへの接続は、インターネットサービスプロバイダ(図示せず)を通じて行われ、ISPとの接続は任意の適切な方法、例えばDSL接続、無線LAN接続、GSMベースのGPRSデータ接続等を通じて行われる。
【0015】
企業ネットワーク110は、他の要素の中でも特に、遠隔認証ダイアルインユーザサービス(RADIUS)サーバ116と、ディレクトリサーバ118と、データベースサーバ120と、VPNゲートウェイサーバ124と、装置管理サーバ122とを含む。
企業ネットワーク110は、一対のファイヤウォール108及び112と共に構成され、いわゆる非武装地帯(DMZ)111と安全な企業内部ネットワーク114とを形成する。
DMZ111内では、装置管理サーバ122及びVPNゲートウェイサーバ124が配置され、これらの両方はインターネット106を通じて直接アクセス可能である。
【0016】
当業者によく理解されるように、DMZ111内のネットワーク資源はインターネットを通じて直接アクセス可能であるが、企業内部ネットワーク114内のネットワーク資源は通常、認証に成功した遠隔ユーザのみがアクセス可能である。
【0017】
コンピューティング装置102は、インターネット106に接続すると、この装置のユーザが適切に認証されることを条件として、企業内部ネットワーク114に遠隔接続することができ、その後企業内部ネットワーク114のネットワーク資源126にアクセスすることができる。
【0018】
本実施形態では、コンピューティング装置102は、VPNクライアントアプリケーション103と、装置構成管理アプリケーション104と、接続管理アプリケーション105とをホストする。
【0019】
装置構成管理プログラム104は、コンピューティング装置102から1つ又は複数の所定のパラメータを収集するように動作可能なソフトウェアアプリケーションである。
本明細書で使用される「パラメータ」という用語は、必要に応じて、パラメータ自体、パラメータの値、又はそれらの両方を指すものと理解される。
所定のパラメータは、物理的コンピューティング装置自体に関連することができ、例えば一意のハードウェア識別子(例えばこの装置が携帯電話である場合の、国際モバイル機器アイデンティティ、すなわちIMEI)、ハードウェアシリアル番号、媒体アクセスコントローラ(MAC)アドレス等である。
【0020】
所定のパラメータは、コンピューティング装置102上の1つ又は複数のソフトウェアコンポーネントにも関連することができ、例えば装置構成管理アプリケーション104の一意の識別子(例えばUUID)、コンピューティング装置102上で実行されている又は当該装置にインストールされている他のソフトウェアアプリケーションの詳細(例えば、必要に応じて、それらのソフトウェアの名前、UUID、バージョン番号等を含む)である。
【0021】
企業内部ネットワーク114の管理者によって必要とされる安全レベルに応じて、装置構成管理プログラム104によって収集されるように構成されている所定のパラメータと、当該パラメータの収集される数とを変更することができる。
【0022】
本実施形態では、コンピューティング装置102は適切には、携帯情報端末とIMEIを有する携帯電話との組み合わせである。
【0023】
企業ネットワークの管理者によってコンピューティング装置102上で実行される初期構成プロセスの一部として、又は必要に応じて後に、企業ネットワーク110の管理者は、例えば構成管理プログラム104を通じて、コンピューティング装置102から1つ又は複数のパラメータを取得する。
取得されたパラメータは、ネットワーク管理者によって、この装置の指定されたユーザに与えられるユーザ名、又は他の適切なユーザ識別子に関連付けられる。
通常、指定されたユーザはこの装置の唯一の想定ユーザとなる。ユーザ名は例えばネットワークユーザ名とすることができる。
初期構成プロセス中、UUIDを装置構成管理プログラム104に割り当てることができる。
【0024】
取得されたパラメータ及びユーザ名は、このユーザ名を、これらのパラメータのうちの1つ又は複数を探索キーとして使用してデータベースを探索することによって取り出すことができるように、データベースサーバ120内に記憶される。
【0025】
本実施形態では、装置構成管理プログラムは、コンピューティング装置102のIMEIと装置構成管理アプリケーション104のUUIDとを収集するように構成されている。
【0026】
表1は以下において、例えばコンピューティング装置102が企業内部ネットワーク114の管理者によって構成されたときに取得された、データベースサーバ120に記憶される情報を示す。
【0027】
【表1】
【0028】
接続管理アプリケーション105は、コンピューティング装置102を企業内部ネットワーク114に接続するタスクを促進するソフトウェアアプリケーションである。
次に、コンピューティング装置102が企業内部ネットワーク114に接続する方法を、さらに図2、図3、及び図4を参照して説明する。
【0029】
ユーザは適切な方法、例えば接続管理プログラムアイコンを「ダブルクリックすること」によって接続管理プログラム105を起動する。
起動時に、接続管理プログラム105は、コンピューティング装置102が現在インターネットに接続しているか否かを確認する。
インターネット接続が検出されない場合、接続管理プログラム105は、任意の適切な方法、例えば無線LAN接続ポイントを通じてインターネット106への接続を確立するように試みることができるか、又は他の場合では、コンピューティング装置102のユーザに、コンピューティング装置102をインターネットに接続する方法を教えることができる。
【0030】
インターネット接続が確認されると、接続管理プログラムは構成管理プログラム104から所定のパラメータを取得する(ステップ202)。
パラメータは、例えば、接続管理プログラム105による要求を受けて構成管理プログラム104が収集することができるか、又は代替的に、装置102が起動したときに、定期的に、若しくは他の任意の適切なときに収集することができ、後の取り出しのために記憶することができる。
【0031】
ステップ204において、接続管理プログラム105は取得したパラメータを装置管理サーバ122に送信する。
パラメータは、任意の適切な方法、例えばHTTP又はHTTPSを使用して装置管理サーバ122に送信することができる。
さらなる一実施形態では、装置管理サーバ122は、取得されたパラメータの送信前に、適切に一致するユーザ名及びパスワードを提供するようにコンピューティング装置のユーザに要求することができる。
【0032】
接続管理プログラム105は、装置管理サーバ122にパラメータを送信した後、VPNゲートウェイサーバ124との接続を確立するVPNクライアントアプリケーション103を起動する。
VPNゲートウェイサーバ124は、VPNクライアントアプリケーション103を介して、コンピューティング装置のユーザに或る認証データを入力するように要求し、その後、当該認証データはVPNゲートウェイサーバ124を通じてRADIUSサーバ116に送信される。認証データは、例えばユーザのネットワークユーザ名、関連付けられているパスワード、アクセスコード等を含むことができる。
【0033】
装置管理サーバ122は、パラメータを受信する(ステップ302)と、受信したパラメータのうちの1つ又は複数を探索キーとして使用してデータベースサーバ120の探索を実行する(ステップ304)。
本実施形態では、例えば、ステップ302において受信されたUUIDパラメータのみが探索キーとして使用されて、データベースサーバ120の探索が行われる。
そのUUIDを含むデータベースレコードが見つからない場合、さらなる動作は行われない(ステップ308)。データベースレコードが見つかった場合、そのデータベースレコードは取り出され(ステップ309)、当該データベースレコードからユーザ名が抽出される。ステップ310において、以下でさらに詳細に説明するように、抽出されたユーザ名に関連付けられる認証データの確認の許可が与えられる。
【0034】
さらなる一実施形態では、認証データの確認の許可は、ステップ302において受信されたパラメータのうちの1つ又は複数が、取り出されたデータベースレコード内の対応するパラメータ値に一致する場合にのみ与えられる。
例えば、追加のチェックを行って、パラメータを送信したコンピューティング装置102のIMEIが、データベースレコードが作成されたときに使用されたIMEIと同じであるか否かを判断することができる。
このようにして、企業内部ネットワーク114の管理者はさらに、例えば所与の装置を使用する場合は所与のユーザのみがネットワークにアクセスするように要求することによって、或るユーザと対になっている或るコンピューティング装置にネットワーク114へのアクセスを制限することができる。
【0035】
認証データの確認の許可は多数の方法で信号伝達することができる。
例えば、一実施形態では、許可がステップ310において与えられると、抽出されたユーザ名の詳細がRADIUSサーバ116に送信される。
代替の一実施形態では、抽出されたユーザ名に許可が与えられたことを示すフラグが、データベースサーバ120内の抽出されたユーザ名の対応するデータベースレコード内に記憶される。
【0036】
RADIUSサーバ116がステップ208において送信された認証データを受信する(ステップ402)と、認証データの確認の許可がステップ310において与えられたか否かを判断するチェックが行われる(ステップ404)。
許可されたユーザ名をRADIUSサーバ116に送信することによって許可が与えられた実施形態では、ステップ402において認証データと共に受信されたユーザ名が装置管理サーバ122から受信されたユーザ名と同じであるか否かを判断するチェックが行われる。
データベースサーバ120内にフラグを設定することによって許可が与えられた実施形態では、RADIUSサーバは、許可のフラグが設定されたか否かを判断するために、ステップ402において受信されたユーザ名を使用してデータベースサーバ120を探索する。
認証データの確認の許可がステップ402において受信されたユーザ名に与えられていないと判断された(ステップ404)場合は、ユーザ名の認証は失敗したとみなされ(ステップ406)、さらなる動作は行われない。
【0037】
しかし、認証データの確認の許可が与えられたと判断された(ステップ404)場合は、RADIUSサーバは、ディレクトリサーバ118に、ステップ402において受信された認証データを確認する(ステップ408)ように要求する。
認証データの確認は、例えば受信されたユーザ名及びパスワードがディレクトリサーバ118に記憶されているユーザ名及びパスワードと一致するか否かを調べることのような適切な方法で実行することができる。
ディレクトリサーバが受信された認証データが認証されないと示す場合、RADIUSサーバ116は認証の試みを拒否する(ステップ406)。
他方、ディレクトリサーバ118が、認証データが認証されることを確認した(ステップ408)場合、コンピューティング装置102は、ディレクトリサーバ118において規定されたように、企業内部ネットワーク114のネットワーク資源126にアクセスすることを許可される。
当業者によく理解されるように、RADIUSサーバ116は、コンピューティング装置102のユーザを認証し、コンピューティング装置102が任意の適切な方法で企業内部ネットワーク114にアクセスすることを可能にする。
【0038】
さらなる実施形態では、ステップ404におけるチェックは時間チェックを加えることによって拡張することができ、それによって、認証データの確認は、認証データの確認の許可が所定の時間期間内に与えられた場合にのみ実行される。
このような時間ベースのチェックは、例えば認証データの確認の許可と共にタイムスタンプデータを記録し、それによって、タイムスタンプデータが記録されてから経過した時間を計算することによって行うことができる。
【0039】
所定のタイムアウト期間は任意の適切な値に設定することができ、所定のパラメータが装置管理サーバ122に提供されてから、コンピューティング装置102のユーザが自身のユーザ名及びパスワードを提供しなければならない適切な時間期間が与えられる。
時間期間は例えば30秒〜60秒の間に適切に設定することができる。
より高い安全性が必要とされる場合、時間期間はより短く設定することができ、又は安全性をより緩めることが許可される場合、時間期間はより長く設定することができる。
【0040】
別のさらなる実施形態では、装置管理サーバ122は、例えば公衆交換電話網(PSTN)若しくは公衆陸上移動網(PLMN)から、又はボイスオーバーIP(VoIP)呼出のようなデータネットワークを介してアクセス可能な適切な音声アプリケーションに接続される。
上述した初期構成プロセスの一部として、又は必要に応じて後に、コンピューティング装置102又は当該コンピューティング装置のユーザのいずれかを識別するのに適切な識別子が、このユーザの割り当てられたユーザ名と共にデータベースサーバ120内に記憶される。
識別情報は、例えばコンピューティング装置102の発呼線識別番号(CLIN)、国際携帯電話加入者識別情報(IMSI)、SIP URI等とすることができる。
【0041】
音声アプリケーションは、当該音声アプリケーションに対する呼出が行われたときに、発呼者の適切な識別情報を取得するように構成されている。
この実施形態では、コンピューティング装置102がRADIUSサーバ116に接続する前に、ユーザが音声アプリケーションに関連付けられている電話番号に電話する。音声アプリケーションは、関連付けられている適切な発呼者識別情報を取得し、当該識別情報を装置管理サーバ122に渡す。
装置管理サーバ122は、上述したように、データベースサーバ120からユーザ名を取得するために、取得された識別情報を探索キーとして使用する。
音声アプリケーションが呼出を切ると、ユーザは、接続管理プログラムを通じて自身のユーザ名及びパスワードを入力し、当該ユーザ名及びパスワードは上述したようにRADIUSサーバ116に送信される。
その後、RADIUSサーバ116は上述したようにユーザを認証することができる。
【0042】
コンピューティング装置102は、例えば管理されているITサービスの一部として、遠隔更新、例えばソフトウェアアプリケーション更新又はファームウェア更新を企業内部ネットワーク114から受信及びインストールすることができる場合がある。
この場合、後続の認証の試みのために、装置構成管理プログラム104によって取得されたパラメータがデータベースサーバ120内のパラメータと同期するように、コンピューティング装置102上で完了に成功したあらゆる更新の詳細もデータベースサーバ内に記録される。
【0043】
装置管理サーバ122の機能は、RADIUSサーバ116と同じ場所に配置することができることを当業者は理解するであろう。
【0044】
コンピューティング装置102が携帯電話であるか又は携帯電話として機能する場合、企業内部ネットワーク114は携帯電話ネットワークサービスプロバイダのネットワークから独立することができることにさらに留意されたい。
【0045】
さらなる代替の一実施形態では、コンピューティング装置は、ファイヤウォール112を通じて、HTTPSのような安全な通信プロトコルを使用してネットワーク114に直接、すなわちVPNを使用せずに接続することができる。ファイヤウォール112への最初の接続時、このファイヤウォールはRADIUSサーバ116を通じてユーザを認証するように構成される。
RADIUSサーバ116は、上述したようにユーザを認証するように動作可能である。
【0046】
ここで図5を参照すると、本発明のさらに別の実施形態のシステムのブロック図が示されている。図5のシステムは図1のシステムと共通の要素を有し、同様の参照符号は同様の要素を示す。
この実施形態では、ユーザは第1のコンピューティング装置502、例えばポータブルコンピュータ又はデスクトップコンピュータを有する。
当該コンピューティング装置を通じて、企業内部ネットワーク114へのアクセスは行われる。
ユーザは、第2のコンピューティング装置506、例えば携帯情報端末、スマートフォン等も有する。
ユーザは、第1のコンピューティング装置502を通じて企業内部ネットワーク114にアクセスすることを望む場合、第2の通信装置506上の接続管理プログラム510をまず起動する。
上述したように、接続管理プログラムは装置構成管理プログラム508から第2のコンピューティング装置506の複数のパラメータを取得し、これらのパラメータを装置管理サーバ122に送信する。
パラメータが第2のコンピューティング装置506から送信されると、ユーザは、例えば接続管理プログラム(図示せず)を通じてVPNクライアントアプリケーション504を起動することができる。
当該VPNクライアントアプリケーションはユーザのユーザ名とパスワードとを要求する。ユーザの認証が上述したのと同じ方法で行われる。
第1のコンピューティング装置502及び第2のコンピューティング装置506の構成時にデータベースサーバ120内に最初に記憶されたパラメータは、適切には第2のコンピューティング装置506のパラメータであり、上述したようにユーザのユーザ名と関連付けられる。
このように、認証プロセス中に送信される認証データが、ネットワークへのアクセスを要求するコンピューティング装置以外の装置から来る。
【0047】
上述の実施形態から明らかなように、本発明の実施形態は、簡単且つ安全な方法で、また企業ネットワーク114のユーザ及び管理者の両方に有利な方法で、コンピューティング装置のユーザが企業内部ネットワークに遠隔接続することを可能にする。
アクセス方法は必要に応じて単純化され、その最も単純な形態では、ユーザは、単に接続管理アプリケーション105を起動して、要求されたときに自身の通常のユーザ名とパスワードとを提供するだけである。
ユーザは、追加の又は別個のスマートカード又はハードウェア若しくはソフトウェアのトークン生成器を必要としない。
【0048】
ネットワーク管理者は、ユーザがネットワークにアクセスするのを認証するためにデュアルファクタ認証が使用されるため満足する。
「知っているもの」のファクタはユーザのパスワードによって提供され、「持っているもの」のファクタは、コンピューティング装置102の特性であり、収集される1つ又は複数のパラメータによって提供され、接続管理プログラム105によって送信される。
さらに、装置構成管理プログラムがコンピューティング装置102の複数のパラメータを取得するように構成されている場合、単一の「持っているもの」のファクタよりも安全性を向上させることができる。
【0049】
各遠隔ユーザに支給される別個のハードウェアのトークン発生器又はスマートカードを必要としないことによって、著しいコスト節約も達成することができる。
【0050】
さらなる利点は、デュアル認証ファクタ、すなわち「持っているもの」のファクタ及び「知っているもの」のファクタの確認は、従来のデュアルファクタ認証手順におけるようにコンピューティング装置102上で局所的に実行されるのではなく、安全な企業内部ネットワークにおいて実行されるということである。
これは、コンピューティング装置102上の確認機構が危険に曝される可能性があるというリスクをさらに除去するため、安全性をさらに向上させるのに役立つ。
【0051】
本発明の実施形態はハードウェア、ソフトウェア、又はハードウェアとソフトウェアとの組み合わせの形態において実現することができることが理解されるであろう。
任意のこのようなソフトウェアは、例えばROMのようなストレージ装置(消去可能か又は再書き込み可能か否かを問わない)のような揮発性若しくは不揮発性のストレージの形態で、又は例えばRAM、メモリチップ、装置、若しくは集積回路のようなメモリの形態で、又は例えばCD、DVD、磁気ディスク、若しくは磁気テープのような光学的若しくは磁気的に読み取り可能な媒体上に記憶することができる。
ストレージ装置及びストレージ媒体は、実行されたときに本発明の実施形態を実施する1つ又は複数のプログラムを記憶するのに適切な機械可読ストレージの実施形態であることが理解されるであろう。
したがって、実施形態は、任意の先行する請求項に記載のシステム又は方法を実施するためのコードを含むプログラムと、このようなプログラムを記憶する機械可読ストレージとを提供する。
さらに、本発明の実施形態は、有線接続又は無線接続を介して搬送される通信信号のような任意の媒体を介して電子的に伝送することができ、実施形態は適切には、その任意の媒体(the same)を包含する。
【図面の簡単な説明】
【0052】
【図1】本発明の一実施形態によるシステム100のブロック図である。
【図2】本発明の一実施形態による、コンピューティング装置によって行われる処理ステップ例を概略的に示すフロー図である。
【図3】本発明の一実施形態による、データベースサーバによって行われる処理ステップ例を概略的に示すフロー図である。
【図4】本発明の一実施形態による、認証サーバによって行われる処理ステップ例を概略的に示すフロー図である。
【図5】本発明の一実施形態によるシステム500のブロック図である。
【符号の説明】
【0053】
100・・・システム
102・・・コンピューティング装置
103・・・VPNクライアント
104・・・装置構成管理プログラム
105・・・接続管理プログラム
106・・・インターネット
108、112・・・ファイヤウォール
110・・・企業ネットワーク
111・・・DMZ
114・・・企業内部ネットワーク
116・・・RADIUSサーバ
118・・・ディレクトリサーバ
120・・・DBサーバ
122・・・装置管理サーバ
124・・・VPNゲートウェイサーバ
126・・・ネットワーク資源
500・・・システム
502・・・コンピューティング装置1
504・・・VPNクライアント
506・・・コンピューティング装置2
508・・・装置構成管理プログラム
510・・・接続管理プログラム
【技術分野】
【0001】
本発明は包括的には、コンピュータネットワークにアクセスする方法及び装置に関する。
【背景技術】
【0002】
コンピューティング装置が公衆インターネットを介して企業コンピュータネットワーク又は他のプライベートコンピュータネットワークに遠隔接続することを可能にすることが既知である。
企業ネットワークにアクセスすることができる者を制御するために、IT管理者は様々な安全政策及び安全システムを使用し、管理しているコンピュータネットワークに許可されていないユーザが遠隔アクセスすることを阻止するのに役立てている。
【0003】
遠隔ユーザは概して、適切なユーザ認証手順の遂行に成功しなければ企業ネットワークに遠隔アクセスすることができない。妥当なレベルの確実性でユーザを認証することを可能にするために、デュアルファクタ認証がITネットワークの管理者によって十分に検討される。
デュアルファクタ認証は一般的に、「持っている或るもの」(例えばスマートカード又はハードウェアのトークン生成器)及び「知っている或るもの」(例えばパスワード)という主要な概念に基づいている。
【0004】
企業ネットワークへの遠隔接続は通常、安全な仮想プライベートネットワーク(VPN)を介して行われ、これによって、ユーザの装置と企業ネットワークとの間の通信が適度に安全であることが保証される。
この際、例えば適切な暗号技術が使用されるが、HTTPSの使用のような他のアクセス技法を使用してもよい。
【0005】
VPNを介してコンピューティング装置を遠隔ネットワークに接続するために、コンピューティング装置のユーザは通常、与えられる正確なパスワード(「知っている或るもの」)に応答して認証トークンを生成するハードウェア又はソフトウェアのトークン生成器(「持っている或るもの」)を有する。
幾つかのトークン生成器は、認証トークンの生成に使用される暗号データを含む、PINによって保護されるスマートカードを受け取るように構成されている。
この場合、このスマートカードは、「持っている或るもの」のファクタとみなすことができる。
生成された認証トークンは、ユーザが認証されたと判断するネットワークベースの認証システムに送信される。
【0006】
デュアルファクタ認証技術又はマルチファクタ認証技術は、高いレベルのユーザ認証を提供するが、ユーザにとっては幾らか不便である。
例えば、ユーザは、ハードウェアのトークン生成器、スマートカード、又はそれらの両方を特定の構成に応じて別個に携帯しなければならない場合がある。
さらに、VPNを通じて接続することは通常、正確な順序で実行されなければならない多数の独立したステップを必要とする。
例えば、ユーザは、まず自身のオペレーティングシステムのユーザ名及びパスワードを使用して自身のコンピュータをアンロックし、自身のスマートカードを自身のトークン生成器に挿入し、そのトークン生成器にパスワードを入力し、自身のVPNクライアントアプリケーションを開き、生成された認証トークンをそのVPNクライアントアプリケーションに手動で入力しなければならない場合がある。
【発明の開示】
【発明が解決しようとする課題】
【0007】
したがって、本発明の1つの目的は、上記の問題のうちの少なくとも幾つかを克服、又は少なくとも軽減することである。
【課題を解決するための手段】
【0008】
本発明の第1の態様によれば、コンピューティング装置のネットワークへのアクセスを認証する方法が提供される。
この方法は、コンピューティング装置からユーザ識別子を含む認証データを受信すること、認証データの確認の許可が与えられているか否かを判断すること、及び認証データの確認の許可が与えられていると判断される場合に、認証データが確認されると装置がネットワークにアクセスするのを許可することを含む。
【0009】
本発明の第2の態様によれば、コンピューティング装置において遠隔ネットワークにアクセスする方法が提供される。
この方法は、装置の特徴に関連する複数のパラメータから成る所定のセットを取得すること、収集された複数のパラメータを第1のサーバに送信すること、及び認証データを第2のサーバに送信することを含む。
【0010】
本発明の第3の態様によれば、上記方法ステップのうちの少なくとも幾つかに従って動作可能な認証サーバが提供される。
【0011】
本発明の第4の態様によれば、上記方法ステップのうちの少なくとも幾つかに従って動作可能なコンピューティング装置が提供される。
【0012】
次に、本発明の実施形態を、添付図面を参照して非限定的な例としてのみ説明する。
【発明を実施するための最良の形態】
【0013】
図1は、本発明の一実施形態によるシステム100の単純化されたブロック図を示す。
当業者は、明瞭にするために典型的なネットワークの全ての要素が示されていないことを理解するであろう。
【0014】
コンピューティング装置102、例えば適切に備え付けられたパーソナルコンピュータ、ポータブルコンピュータ、携帯情報端末(PDA)、携帯電話等は、適切な方法で公衆インターネット106に接続する。
このインターネットへの接続は、インターネットサービスプロバイダ(図示せず)を通じて行われ、ISPとの接続は任意の適切な方法、例えばDSL接続、無線LAN接続、GSMベースのGPRSデータ接続等を通じて行われる。
【0015】
企業ネットワーク110は、他の要素の中でも特に、遠隔認証ダイアルインユーザサービス(RADIUS)サーバ116と、ディレクトリサーバ118と、データベースサーバ120と、VPNゲートウェイサーバ124と、装置管理サーバ122とを含む。
企業ネットワーク110は、一対のファイヤウォール108及び112と共に構成され、いわゆる非武装地帯(DMZ)111と安全な企業内部ネットワーク114とを形成する。
DMZ111内では、装置管理サーバ122及びVPNゲートウェイサーバ124が配置され、これらの両方はインターネット106を通じて直接アクセス可能である。
【0016】
当業者によく理解されるように、DMZ111内のネットワーク資源はインターネットを通じて直接アクセス可能であるが、企業内部ネットワーク114内のネットワーク資源は通常、認証に成功した遠隔ユーザのみがアクセス可能である。
【0017】
コンピューティング装置102は、インターネット106に接続すると、この装置のユーザが適切に認証されることを条件として、企業内部ネットワーク114に遠隔接続することができ、その後企業内部ネットワーク114のネットワーク資源126にアクセスすることができる。
【0018】
本実施形態では、コンピューティング装置102は、VPNクライアントアプリケーション103と、装置構成管理アプリケーション104と、接続管理アプリケーション105とをホストする。
【0019】
装置構成管理プログラム104は、コンピューティング装置102から1つ又は複数の所定のパラメータを収集するように動作可能なソフトウェアアプリケーションである。
本明細書で使用される「パラメータ」という用語は、必要に応じて、パラメータ自体、パラメータの値、又はそれらの両方を指すものと理解される。
所定のパラメータは、物理的コンピューティング装置自体に関連することができ、例えば一意のハードウェア識別子(例えばこの装置が携帯電話である場合の、国際モバイル機器アイデンティティ、すなわちIMEI)、ハードウェアシリアル番号、媒体アクセスコントローラ(MAC)アドレス等である。
【0020】
所定のパラメータは、コンピューティング装置102上の1つ又は複数のソフトウェアコンポーネントにも関連することができ、例えば装置構成管理アプリケーション104の一意の識別子(例えばUUID)、コンピューティング装置102上で実行されている又は当該装置にインストールされている他のソフトウェアアプリケーションの詳細(例えば、必要に応じて、それらのソフトウェアの名前、UUID、バージョン番号等を含む)である。
【0021】
企業内部ネットワーク114の管理者によって必要とされる安全レベルに応じて、装置構成管理プログラム104によって収集されるように構成されている所定のパラメータと、当該パラメータの収集される数とを変更することができる。
【0022】
本実施形態では、コンピューティング装置102は適切には、携帯情報端末とIMEIを有する携帯電話との組み合わせである。
【0023】
企業ネットワークの管理者によってコンピューティング装置102上で実行される初期構成プロセスの一部として、又は必要に応じて後に、企業ネットワーク110の管理者は、例えば構成管理プログラム104を通じて、コンピューティング装置102から1つ又は複数のパラメータを取得する。
取得されたパラメータは、ネットワーク管理者によって、この装置の指定されたユーザに与えられるユーザ名、又は他の適切なユーザ識別子に関連付けられる。
通常、指定されたユーザはこの装置の唯一の想定ユーザとなる。ユーザ名は例えばネットワークユーザ名とすることができる。
初期構成プロセス中、UUIDを装置構成管理プログラム104に割り当てることができる。
【0024】
取得されたパラメータ及びユーザ名は、このユーザ名を、これらのパラメータのうちの1つ又は複数を探索キーとして使用してデータベースを探索することによって取り出すことができるように、データベースサーバ120内に記憶される。
【0025】
本実施形態では、装置構成管理プログラムは、コンピューティング装置102のIMEIと装置構成管理アプリケーション104のUUIDとを収集するように構成されている。
【0026】
表1は以下において、例えばコンピューティング装置102が企業内部ネットワーク114の管理者によって構成されたときに取得された、データベースサーバ120に記憶される情報を示す。
【0027】
【表1】
【0028】
接続管理アプリケーション105は、コンピューティング装置102を企業内部ネットワーク114に接続するタスクを促進するソフトウェアアプリケーションである。
次に、コンピューティング装置102が企業内部ネットワーク114に接続する方法を、さらに図2、図3、及び図4を参照して説明する。
【0029】
ユーザは適切な方法、例えば接続管理プログラムアイコンを「ダブルクリックすること」によって接続管理プログラム105を起動する。
起動時に、接続管理プログラム105は、コンピューティング装置102が現在インターネットに接続しているか否かを確認する。
インターネット接続が検出されない場合、接続管理プログラム105は、任意の適切な方法、例えば無線LAN接続ポイントを通じてインターネット106への接続を確立するように試みることができるか、又は他の場合では、コンピューティング装置102のユーザに、コンピューティング装置102をインターネットに接続する方法を教えることができる。
【0030】
インターネット接続が確認されると、接続管理プログラムは構成管理プログラム104から所定のパラメータを取得する(ステップ202)。
パラメータは、例えば、接続管理プログラム105による要求を受けて構成管理プログラム104が収集することができるか、又は代替的に、装置102が起動したときに、定期的に、若しくは他の任意の適切なときに収集することができ、後の取り出しのために記憶することができる。
【0031】
ステップ204において、接続管理プログラム105は取得したパラメータを装置管理サーバ122に送信する。
パラメータは、任意の適切な方法、例えばHTTP又はHTTPSを使用して装置管理サーバ122に送信することができる。
さらなる一実施形態では、装置管理サーバ122は、取得されたパラメータの送信前に、適切に一致するユーザ名及びパスワードを提供するようにコンピューティング装置のユーザに要求することができる。
【0032】
接続管理プログラム105は、装置管理サーバ122にパラメータを送信した後、VPNゲートウェイサーバ124との接続を確立するVPNクライアントアプリケーション103を起動する。
VPNゲートウェイサーバ124は、VPNクライアントアプリケーション103を介して、コンピューティング装置のユーザに或る認証データを入力するように要求し、その後、当該認証データはVPNゲートウェイサーバ124を通じてRADIUSサーバ116に送信される。認証データは、例えばユーザのネットワークユーザ名、関連付けられているパスワード、アクセスコード等を含むことができる。
【0033】
装置管理サーバ122は、パラメータを受信する(ステップ302)と、受信したパラメータのうちの1つ又は複数を探索キーとして使用してデータベースサーバ120の探索を実行する(ステップ304)。
本実施形態では、例えば、ステップ302において受信されたUUIDパラメータのみが探索キーとして使用されて、データベースサーバ120の探索が行われる。
そのUUIDを含むデータベースレコードが見つからない場合、さらなる動作は行われない(ステップ308)。データベースレコードが見つかった場合、そのデータベースレコードは取り出され(ステップ309)、当該データベースレコードからユーザ名が抽出される。ステップ310において、以下でさらに詳細に説明するように、抽出されたユーザ名に関連付けられる認証データの確認の許可が与えられる。
【0034】
さらなる一実施形態では、認証データの確認の許可は、ステップ302において受信されたパラメータのうちの1つ又は複数が、取り出されたデータベースレコード内の対応するパラメータ値に一致する場合にのみ与えられる。
例えば、追加のチェックを行って、パラメータを送信したコンピューティング装置102のIMEIが、データベースレコードが作成されたときに使用されたIMEIと同じであるか否かを判断することができる。
このようにして、企業内部ネットワーク114の管理者はさらに、例えば所与の装置を使用する場合は所与のユーザのみがネットワークにアクセスするように要求することによって、或るユーザと対になっている或るコンピューティング装置にネットワーク114へのアクセスを制限することができる。
【0035】
認証データの確認の許可は多数の方法で信号伝達することができる。
例えば、一実施形態では、許可がステップ310において与えられると、抽出されたユーザ名の詳細がRADIUSサーバ116に送信される。
代替の一実施形態では、抽出されたユーザ名に許可が与えられたことを示すフラグが、データベースサーバ120内の抽出されたユーザ名の対応するデータベースレコード内に記憶される。
【0036】
RADIUSサーバ116がステップ208において送信された認証データを受信する(ステップ402)と、認証データの確認の許可がステップ310において与えられたか否かを判断するチェックが行われる(ステップ404)。
許可されたユーザ名をRADIUSサーバ116に送信することによって許可が与えられた実施形態では、ステップ402において認証データと共に受信されたユーザ名が装置管理サーバ122から受信されたユーザ名と同じであるか否かを判断するチェックが行われる。
データベースサーバ120内にフラグを設定することによって許可が与えられた実施形態では、RADIUSサーバは、許可のフラグが設定されたか否かを判断するために、ステップ402において受信されたユーザ名を使用してデータベースサーバ120を探索する。
認証データの確認の許可がステップ402において受信されたユーザ名に与えられていないと判断された(ステップ404)場合は、ユーザ名の認証は失敗したとみなされ(ステップ406)、さらなる動作は行われない。
【0037】
しかし、認証データの確認の許可が与えられたと判断された(ステップ404)場合は、RADIUSサーバは、ディレクトリサーバ118に、ステップ402において受信された認証データを確認する(ステップ408)ように要求する。
認証データの確認は、例えば受信されたユーザ名及びパスワードがディレクトリサーバ118に記憶されているユーザ名及びパスワードと一致するか否かを調べることのような適切な方法で実行することができる。
ディレクトリサーバが受信された認証データが認証されないと示す場合、RADIUSサーバ116は認証の試みを拒否する(ステップ406)。
他方、ディレクトリサーバ118が、認証データが認証されることを確認した(ステップ408)場合、コンピューティング装置102は、ディレクトリサーバ118において規定されたように、企業内部ネットワーク114のネットワーク資源126にアクセスすることを許可される。
当業者によく理解されるように、RADIUSサーバ116は、コンピューティング装置102のユーザを認証し、コンピューティング装置102が任意の適切な方法で企業内部ネットワーク114にアクセスすることを可能にする。
【0038】
さらなる実施形態では、ステップ404におけるチェックは時間チェックを加えることによって拡張することができ、それによって、認証データの確認は、認証データの確認の許可が所定の時間期間内に与えられた場合にのみ実行される。
このような時間ベースのチェックは、例えば認証データの確認の許可と共にタイムスタンプデータを記録し、それによって、タイムスタンプデータが記録されてから経過した時間を計算することによって行うことができる。
【0039】
所定のタイムアウト期間は任意の適切な値に設定することができ、所定のパラメータが装置管理サーバ122に提供されてから、コンピューティング装置102のユーザが自身のユーザ名及びパスワードを提供しなければならない適切な時間期間が与えられる。
時間期間は例えば30秒〜60秒の間に適切に設定することができる。
より高い安全性が必要とされる場合、時間期間はより短く設定することができ、又は安全性をより緩めることが許可される場合、時間期間はより長く設定することができる。
【0040】
別のさらなる実施形態では、装置管理サーバ122は、例えば公衆交換電話網(PSTN)若しくは公衆陸上移動網(PLMN)から、又はボイスオーバーIP(VoIP)呼出のようなデータネットワークを介してアクセス可能な適切な音声アプリケーションに接続される。
上述した初期構成プロセスの一部として、又は必要に応じて後に、コンピューティング装置102又は当該コンピューティング装置のユーザのいずれかを識別するのに適切な識別子が、このユーザの割り当てられたユーザ名と共にデータベースサーバ120内に記憶される。
識別情報は、例えばコンピューティング装置102の発呼線識別番号(CLIN)、国際携帯電話加入者識別情報(IMSI)、SIP URI等とすることができる。
【0041】
音声アプリケーションは、当該音声アプリケーションに対する呼出が行われたときに、発呼者の適切な識別情報を取得するように構成されている。
この実施形態では、コンピューティング装置102がRADIUSサーバ116に接続する前に、ユーザが音声アプリケーションに関連付けられている電話番号に電話する。音声アプリケーションは、関連付けられている適切な発呼者識別情報を取得し、当該識別情報を装置管理サーバ122に渡す。
装置管理サーバ122は、上述したように、データベースサーバ120からユーザ名を取得するために、取得された識別情報を探索キーとして使用する。
音声アプリケーションが呼出を切ると、ユーザは、接続管理プログラムを通じて自身のユーザ名及びパスワードを入力し、当該ユーザ名及びパスワードは上述したようにRADIUSサーバ116に送信される。
その後、RADIUSサーバ116は上述したようにユーザを認証することができる。
【0042】
コンピューティング装置102は、例えば管理されているITサービスの一部として、遠隔更新、例えばソフトウェアアプリケーション更新又はファームウェア更新を企業内部ネットワーク114から受信及びインストールすることができる場合がある。
この場合、後続の認証の試みのために、装置構成管理プログラム104によって取得されたパラメータがデータベースサーバ120内のパラメータと同期するように、コンピューティング装置102上で完了に成功したあらゆる更新の詳細もデータベースサーバ内に記録される。
【0043】
装置管理サーバ122の機能は、RADIUSサーバ116と同じ場所に配置することができることを当業者は理解するであろう。
【0044】
コンピューティング装置102が携帯電話であるか又は携帯電話として機能する場合、企業内部ネットワーク114は携帯電話ネットワークサービスプロバイダのネットワークから独立することができることにさらに留意されたい。
【0045】
さらなる代替の一実施形態では、コンピューティング装置は、ファイヤウォール112を通じて、HTTPSのような安全な通信プロトコルを使用してネットワーク114に直接、すなわちVPNを使用せずに接続することができる。ファイヤウォール112への最初の接続時、このファイヤウォールはRADIUSサーバ116を通じてユーザを認証するように構成される。
RADIUSサーバ116は、上述したようにユーザを認証するように動作可能である。
【0046】
ここで図5を参照すると、本発明のさらに別の実施形態のシステムのブロック図が示されている。図5のシステムは図1のシステムと共通の要素を有し、同様の参照符号は同様の要素を示す。
この実施形態では、ユーザは第1のコンピューティング装置502、例えばポータブルコンピュータ又はデスクトップコンピュータを有する。
当該コンピューティング装置を通じて、企業内部ネットワーク114へのアクセスは行われる。
ユーザは、第2のコンピューティング装置506、例えば携帯情報端末、スマートフォン等も有する。
ユーザは、第1のコンピューティング装置502を通じて企業内部ネットワーク114にアクセスすることを望む場合、第2の通信装置506上の接続管理プログラム510をまず起動する。
上述したように、接続管理プログラムは装置構成管理プログラム508から第2のコンピューティング装置506の複数のパラメータを取得し、これらのパラメータを装置管理サーバ122に送信する。
パラメータが第2のコンピューティング装置506から送信されると、ユーザは、例えば接続管理プログラム(図示せず)を通じてVPNクライアントアプリケーション504を起動することができる。
当該VPNクライアントアプリケーションはユーザのユーザ名とパスワードとを要求する。ユーザの認証が上述したのと同じ方法で行われる。
第1のコンピューティング装置502及び第2のコンピューティング装置506の構成時にデータベースサーバ120内に最初に記憶されたパラメータは、適切には第2のコンピューティング装置506のパラメータであり、上述したようにユーザのユーザ名と関連付けられる。
このように、認証プロセス中に送信される認証データが、ネットワークへのアクセスを要求するコンピューティング装置以外の装置から来る。
【0047】
上述の実施形態から明らかなように、本発明の実施形態は、簡単且つ安全な方法で、また企業ネットワーク114のユーザ及び管理者の両方に有利な方法で、コンピューティング装置のユーザが企業内部ネットワークに遠隔接続することを可能にする。
アクセス方法は必要に応じて単純化され、その最も単純な形態では、ユーザは、単に接続管理アプリケーション105を起動して、要求されたときに自身の通常のユーザ名とパスワードとを提供するだけである。
ユーザは、追加の又は別個のスマートカード又はハードウェア若しくはソフトウェアのトークン生成器を必要としない。
【0048】
ネットワーク管理者は、ユーザがネットワークにアクセスするのを認証するためにデュアルファクタ認証が使用されるため満足する。
「知っているもの」のファクタはユーザのパスワードによって提供され、「持っているもの」のファクタは、コンピューティング装置102の特性であり、収集される1つ又は複数のパラメータによって提供され、接続管理プログラム105によって送信される。
さらに、装置構成管理プログラムがコンピューティング装置102の複数のパラメータを取得するように構成されている場合、単一の「持っているもの」のファクタよりも安全性を向上させることができる。
【0049】
各遠隔ユーザに支給される別個のハードウェアのトークン発生器又はスマートカードを必要としないことによって、著しいコスト節約も達成することができる。
【0050】
さらなる利点は、デュアル認証ファクタ、すなわち「持っているもの」のファクタ及び「知っているもの」のファクタの確認は、従来のデュアルファクタ認証手順におけるようにコンピューティング装置102上で局所的に実行されるのではなく、安全な企業内部ネットワークにおいて実行されるということである。
これは、コンピューティング装置102上の確認機構が危険に曝される可能性があるというリスクをさらに除去するため、安全性をさらに向上させるのに役立つ。
【0051】
本発明の実施形態はハードウェア、ソフトウェア、又はハードウェアとソフトウェアとの組み合わせの形態において実現することができることが理解されるであろう。
任意のこのようなソフトウェアは、例えばROMのようなストレージ装置(消去可能か又は再書き込み可能か否かを問わない)のような揮発性若しくは不揮発性のストレージの形態で、又は例えばRAM、メモリチップ、装置、若しくは集積回路のようなメモリの形態で、又は例えばCD、DVD、磁気ディスク、若しくは磁気テープのような光学的若しくは磁気的に読み取り可能な媒体上に記憶することができる。
ストレージ装置及びストレージ媒体は、実行されたときに本発明の実施形態を実施する1つ又は複数のプログラムを記憶するのに適切な機械可読ストレージの実施形態であることが理解されるであろう。
したがって、実施形態は、任意の先行する請求項に記載のシステム又は方法を実施するためのコードを含むプログラムと、このようなプログラムを記憶する機械可読ストレージとを提供する。
さらに、本発明の実施形態は、有線接続又は無線接続を介して搬送される通信信号のような任意の媒体を介して電子的に伝送することができ、実施形態は適切には、その任意の媒体(the same)を包含する。
【図面の簡単な説明】
【0052】
【図1】本発明の一実施形態によるシステム100のブロック図である。
【図2】本発明の一実施形態による、コンピューティング装置によって行われる処理ステップ例を概略的に示すフロー図である。
【図3】本発明の一実施形態による、データベースサーバによって行われる処理ステップ例を概略的に示すフロー図である。
【図4】本発明の一実施形態による、認証サーバによって行われる処理ステップ例を概略的に示すフロー図である。
【図5】本発明の一実施形態によるシステム500のブロック図である。
【符号の説明】
【0053】
100・・・システム
102・・・コンピューティング装置
103・・・VPNクライアント
104・・・装置構成管理プログラム
105・・・接続管理プログラム
106・・・インターネット
108、112・・・ファイヤウォール
110・・・企業ネットワーク
111・・・DMZ
114・・・企業内部ネットワーク
116・・・RADIUSサーバ
118・・・ディレクトリサーバ
120・・・DBサーバ
122・・・装置管理サーバ
124・・・VPNゲートウェイサーバ
126・・・ネットワーク資源
500・・・システム
502・・・コンピューティング装置1
504・・・VPNクライアント
506・・・コンピューティング装置2
508・・・装置構成管理プログラム
510・・・接続管理プログラム
【特許請求の範囲】
【請求項1】
コンピューティング装置のネットワークへのアクセスを認証する方法であって、
前記コンピューティング装置からユーザ識別子を含む認証データを受信することと、
前記認証データの確認の許可が与えられているか否かを判断することと、
前記認証データの確認の許可が与えられていると判断されるときに、前記認証データが確認されると、前記装置が前記ネットワークにアクセスするのを許可することと
を含む方法。
【請求項2】
前記認証データを受信する前に、
1つまたは複数のパラメータを受信することと、
受信された前記複数のパラメータのうちの少なくとも1つに対応するユーザ識別子をデータベースから取り出すことと、
取り出された前記ユーザ名に関連付けられる認証データの確認の許可を与えることと
をさらに含む請求項1に記載の方法。
【請求項3】
前記コンピューティング装置又は異なるコンピューティング装置のいずれかから前記複数のパラメータを受信すること
をさらに含む請求項1に記載の方法。
【請求項4】
前記許可することは、前記確認の許可が与えられる所定の期間内に、受信される前記認証データが受信されたと判断される場合にのみ実行される
請求項1〜3のいずれかに記載の方法。
【請求項5】
前記許可を与えることは、
取り出された前記ユーザ識別子に関連付けられるデータベースレコードを取り出すことと、
所定数の受信された前記複数のパラメータが、取り出された前記データベースレコード内の対応する値に一致するか否かを判断することと
をさらに含む請求項2〜4のいずれかに記載の方法。
【請求項6】
公衆インターネットを通じてアクセス可能な第1のサーバにおいて前記複数のパラメータを受信することと、
プライベートネットワーク内の第2のサーバにおいて前記認証データを受信することと
に適応する請求項1〜5のいずれかに記載の方法。
【請求項7】
コンピューティング装置において遠隔ネットワークにアクセスする方法であって、
前記装置の特徴に関連する複数のパラメータから成る所定のセットを取得することと、
収集された前記複数のパラメータを第1のサーバに送信することと、
認証データを第2のサーバに送信することと
を含む方法。
【請求項8】
前記複数のパラメータを送信することは、公衆インターネットを介してアクセス可能なサーバに前記複数のパラメータを送信することに適応し、
前記認証データを送信することは、
前記遠隔ネットワーク上のサーバに前記認証データを送信することと、
収集された前記複数のパラメータの送信に後続する所定の時間期間内に前記認証データを送信することと
に適応する
請求項7に記載の方法。
【請求項9】
請求項1〜6のいずれかに従って動作可能な認証サーバ。
【請求項10】
請求項7または8に従って動作可能なコンピューティング装置。
【請求項1】
コンピューティング装置のネットワークへのアクセスを認証する方法であって、
前記コンピューティング装置からユーザ識別子を含む認証データを受信することと、
前記認証データの確認の許可が与えられているか否かを判断することと、
前記認証データの確認の許可が与えられていると判断されるときに、前記認証データが確認されると、前記装置が前記ネットワークにアクセスするのを許可することと
を含む方法。
【請求項2】
前記認証データを受信する前に、
1つまたは複数のパラメータを受信することと、
受信された前記複数のパラメータのうちの少なくとも1つに対応するユーザ識別子をデータベースから取り出すことと、
取り出された前記ユーザ名に関連付けられる認証データの確認の許可を与えることと
をさらに含む請求項1に記載の方法。
【請求項3】
前記コンピューティング装置又は異なるコンピューティング装置のいずれかから前記複数のパラメータを受信すること
をさらに含む請求項1に記載の方法。
【請求項4】
前記許可することは、前記確認の許可が与えられる所定の期間内に、受信される前記認証データが受信されたと判断される場合にのみ実行される
請求項1〜3のいずれかに記載の方法。
【請求項5】
前記許可を与えることは、
取り出された前記ユーザ識別子に関連付けられるデータベースレコードを取り出すことと、
所定数の受信された前記複数のパラメータが、取り出された前記データベースレコード内の対応する値に一致するか否かを判断することと
をさらに含む請求項2〜4のいずれかに記載の方法。
【請求項6】
公衆インターネットを通じてアクセス可能な第1のサーバにおいて前記複数のパラメータを受信することと、
プライベートネットワーク内の第2のサーバにおいて前記認証データを受信することと
に適応する請求項1〜5のいずれかに記載の方法。
【請求項7】
コンピューティング装置において遠隔ネットワークにアクセスする方法であって、
前記装置の特徴に関連する複数のパラメータから成る所定のセットを取得することと、
収集された前記複数のパラメータを第1のサーバに送信することと、
認証データを第2のサーバに送信することと
を含む方法。
【請求項8】
前記複数のパラメータを送信することは、公衆インターネットを介してアクセス可能なサーバに前記複数のパラメータを送信することに適応し、
前記認証データを送信することは、
前記遠隔ネットワーク上のサーバに前記認証データを送信することと、
収集された前記複数のパラメータの送信に後続する所定の時間期間内に前記認証データを送信することと
に適応する
請求項7に記載の方法。
【請求項9】
請求項1〜6のいずれかに従って動作可能な認証サーバ。
【請求項10】
請求項7または8に従って動作可能なコンピューティング装置。
【図1】
【図2】
【図3】
【図4】
【図5】
【図2】
【図3】
【図4】
【図5】
【公開番号】特開2009−123207(P2009−123207A)
【公開日】平成21年6月4日(2009.6.4)
【国際特許分類】
【出願番号】特願2008−285370(P2008−285370)
【出願日】平成20年11月6日(2008.11.6)
【出願人】(503003854)ヒューレット−パッカード デベロップメント カンパニー エル.ピー. (1,145)
【Fターム(参考)】
【公開日】平成21年6月4日(2009.6.4)
【国際特許分類】
【出願日】平成20年11月6日(2008.11.6)
【出願人】(503003854)ヒューレット−パッカード デベロップメント カンパニー エル.ピー. (1,145)
【Fターム(参考)】
[ Back to top ]