【課題】シンクライアントのネットワーク接続時に端末認証を行うとともに、ローカルストレージが使用できないことを確認した上で機密情報へのアクセスを許可する。
【解決手段】ＤＨＣＰサーバ４は、ＳＣＣ端末１の起動時に受信したＤＨＣＰ要求の示すＭＡＣアドレス及び端末の種別により正当性を確認し、ＩＰアドレスを割り当てるとともにＶＬＡＮ制御サーバ３へＳＣＣ端末１の属するＶＬＡＮを接続認証用からＯＳ認証用へ変更するよう指示する。ＳＣＣ端末１は、ＮＷストレージ６からＯＳイメージをダウンロードして起動すると、ローカルストレージのチェック状況を通知する。ＳＣＣサーバ５は、ＳＣＣ端末１のローカルストレージが使用制限され、かつ、ＳＣＣ端末１で起動されたＯＳがＮＷストレージ６からダウンロードしたものであると認証した場合、ＶＬＡＮ制御サーバ３へＳＣＣ端末１の属するＶＬＡＮを業務用へ変更するよう指示する。

【発明の詳細な説明】
【技術分野】
【０００１】
本発明は、ネットワークアクセス制御システム、端末、アドレス付与装置、端末システム認証装置、ネットワークアクセス制御方法、及び、コンピュータプログラムに関する。
【背景技術】
【０００２】
近年、ノートＰＣ（パーソナルコンピュータ）や可搬の情報記録媒体の紛失による個人情報の漏えい事件の発生、個人情報保護法の法律策定などに伴い、シンクライアントが注目されている。シンクライアントとは、表示や入力など最低限の機能のみを搭載したコンピュータであり、アプリケーションソフトウェアなどの資源はサーバで一元管理する。
【０００３】
シンクライアント技術の一つに、ＳＣＣ（Storage Centric Computing）がある。図１５は、ＳＣＣ技術を説明するための図である。同図に示すように、ＳＣＣ技術では、ＳＣＣ端末側にストレージを持たず、ネットワーク（ＮＷ）ストレージに接続してＯＳ（Operation System）のイメージファイル（以下、「ＯＳイメージ」）をメモリにダウンロードし、ＯＳを起動する。ＳＣＣでは、データ（ストレージ）をサーバや管理者側で管理し、アプリケーションの利用などによる処理はＳＣＣ端末側のＣＰＵ（central processing unit）が用いられる。なお、このＳＣＣ端末とは、ＰＸＥ（Preboot eXecution Envitoment）にて、ネットワークストレージ上のＯＳイメージをマウントし、ＯＳを起動する端末であり、ローカルストレージ（ハードディスク、ＣＤ−ＲＯＭ，ＵＳＢメモリなど）より起動する端末は含まない。
【０００４】
図１６は、図１５に示す従来のＳＣＣ端末のＯＳ起動手順を示す図である。
まず、ネットワークに接続されるＳＣＣ端末の電源が投入されると（ステップＳ８００）、ＳＣＣ端末は、ネットワークブートに必要なパラメータ、例えば、ＩＰアドレスを要求するためにＤＨＣＰ（Dynamic Host Configuration Protocol）サーバへＤＨＣＰ要求を送信する（ステップＳ８１０）。ＤＨＣＰサーバは、受信したＤＨＣＰ要求からＤＨＣＰ要求元のＳＣＣ端末のＭＡＣ（Media Access Control）アドレスを取得し、このＭＡＣアドレスが予め登録されているＭＡＣアドレスであるかにより認証を行う（ステップＳ８２０）。ＤＨＣＰサーバは、未登録のＭＡＣアドレスである場合はＤＨＣＰ応答を返送せず、ここで処理を終了する。
【０００５】
ステップＳ８２０においてＳＣＣ端末を認証した場合、ＤＨＣＰサーバは、ＩＰアドレスやネットワークブートに必要なパラメータをＤＨＣＰ応答によりＳＣＣ端末に通知する（ステップＳ８３０）。ＳＣＣ端末は、ＤＨＣＰ応答に記述されているパラメータを基に、ＳＣＣサーバへネットワークブートの要求を行うためのＰＸＥ要求を送信する（ステップＳ８４０）。ＳＣＣサーバは、ネットワークブートに必要なプログラムファイルの場所、例えば、ＵＲＬ（Universal Resource Locator）などをＰＸＥ応答によりＳＣＣ端末へ通知する（ステップＳ８５０）。
【０００６】
ＳＣＣ端末は、受信したＰＸＥ応答に記述されている情報を基に、ＴＦＴＰ（Trivial File Transfer Protocol）接続をＳＣＣサーバへ送信する（ステップＳ８６０）。ＳＣＣ端末は、ＴＦＴＰにて、ＮＢＰ（Network Bootstrap Program）というネットワークブートに必要なプログラムファイルをダウンロードする（ステップＳ８７０）。ＳＣＣ端末は、ＮＢＰを実行して、ＮＷストレージへ接続し（ステップＳ８８０）、ＮＷストレージからＯＳイメージをメインメモリにダウンロードする（ステップＳ８９０）。その後、ＳＣＣ端末は、メインメモリ上にダウンロードしたＯＳを起動する（ステップＳ９００）。
【０００７】
上述したＳＣＣ技術を用いた場合、以下に示すような問題がある。
現状の問題として、まず、リッチクライアントの接続による情報漏えいがある。図１６に示すように、ＳＣＣ端末は、ネットワーク接続して、すなわち、電源起動後にネットワークストレージへ接続してＯＳを起動する。そのため、ネットワーク接続時に認証を行おうとしてもＯＳが起動していないため認証に必要なアプリケーションを実行することができない。よって、ネットワーク接続時に認証を行うことが困難である。また、現在のＳＣＣ環境では、ネットワークブートに必要なパラメータをＤＨＣＰ要求にて取得する際に、ＭＡＣアドレス認証を実施しているが、ネットワークへの接続自体を制限しているものではないため、リッチクライアントであっても接続することができ、ローカルストレージに情報を保存されてしまう危険性がある。
また、もう一つの現状の問題として、ローカルストレージへの書き出しによる情報漏えいがある。つまり、ネットワークへ接続する端末の認証を行い、ＳＣＣ端末のみが接続できたとしても、ユーザがＯＳの起動後にＵＳＢ（Universal Serial Bus）メモリなどのローカルストレージを追加し、この追加したローカルストレージに機密情報を持ち出す可能性が考えられる。
【０００８】
そこで、上記問題を解決するために以下の既存の対策技術がある。
リッチクライアントの接続による情報漏えいの対策として、リッチクライアントからの接続を排除することが考えられる。そのためには、ネットワーク接続時にリッチクライアントであるか、ＳＣＣ端末かを認証する必要がある。しかし、ＳＣＣ端末はディスクレス化されているため、ネットワークストレージに接続し、ＯＳを起動するまでは、認証に必要となるアプリケーションを利用することができない。また、ネットワークストレージに接続するためには、ネットワークに接続できることが前提となる。そのため、ＩＥＥＥ８０２．１Ｘなどのネットワーク接続時に行う認証を実施することはできない。この解決策の主な方法として（１）マイクロＯＳにて端末を起動し、ネットワーク接続時の認証を実施する、（２）通信（ＡＲＰ：Address Resolution Protocol）監視サーバにて、登録されていない端末の通信を制限する、の２つが挙げられる。
【０００９】
（１）の場合、端末を完全にディスクレス化せず、ＵＳＢメモリやＣＤ−ＲＯＭなどのローカルストレージ内のマイクロＯＳを利用する方法がある。これには、端末の認証に必要となるアプリケーションを実行できる必要最低限の機能を持つＯＳ（マイクロＯＳ）とネットワーク接続認証用のアプリケーションを、予めローカルストレージにインストールしておく。端末はＢＩＯＳ（Basic Input Output System）起動後にマイクロＯＳを起動し、端末の認証が行われたあとにネットワークストレージと接続し、ＯＳのダウンロードを行う。
【００１０】
（２）の場合、ネットワーク接続時に認証を行うのではなく、ネットワーク上に端末の通信を監視するサーバを配置し、登録されていない端末の通信を妨害することにより、登録されている端末のみが通信できるようにする。通信を妨害する方法は、同一セグメント内で通信する際に必ず行われるＡＲＰ解決を監視し、ＡＲＰに記述されているＭＡＣアドレスが登録されていない端末であった場合に、監視サーバがＡＲＰ応答に代理で応答する。登録されていない端末からの通信は、全て監視サーバ宛となり、正規の宛先との通信を確立させない。
【００１１】
また、ローカルストレージへの書き出しによる情報漏えいの対策として、セキュリティソフトの導入が挙げられる。この場合、端末で起動されるＯＳにローカルストレージへの書込みを制限するセキュリティソフトを導入する。また、もう一つの対策としては、ＯＳポリシーやデバイスドライバでの制御が上げられる。この場合、端末で起動されるＯＳのポリシーやデバイスドライバにて、ローカルストレージへの書込みを制限する。
【００１２】
一方、特許文献１には、ネットワーク接続時に端末で起動されているＯＳのセキュリティパッチ適用状況に応じてアクセス制御を行うことが記載されている。
【特許文献１】特開２００５−２５０７６１号公報
【発明の開示】
【発明が解決しようとする課題】
【００１３】
情報漏えいの防止を監視する観点から検討すると、従来の対策技術には、以下の問題点がある。
リッチクライアントの接続による情報漏えいの対策として、（１）に示すようにマイクロＯＳにて端末を起動し、ネットワーク接続時の認証を実施する場合、利用を許可しないリッチクライアントなどの接続を排除することがきでる。しかし、ＵＳＢメモリなどのローカルストレージを配布する手間とコストがかかる、ローカルストレージを利用するため情報漏えい対策につながらない、認証を回避するようマイクロＯＳが改ざんされる、などの問題を抱えている。
また、（２）に示すように通信（ＡＲＰ）監視サーバにて登録されていない端末の通信を制限する場合、ＭＡＣアドレスが登録されていない端末からの通信をブロックすることができるが、端末のネットワークへの接続を制御しているわけではない。従って、どんな端末でもネットワークへ接続することはできてしまう。そのため、ＭＡＣアドレスが登録されていない端末でも、パケットキャプチャを行い通信可能な登録されているＭＡＣアドレスを取得し、ＭＡＣアドレスを詐称することで通信ができてしまう。
【００１４】
一方、ローカルストレージへの書き出しによる情報漏えいの対策として、セキュリティソフトを導入する、ＯＳポリシーやデバイスドライバで制御する、のいずれの対策を用いた場合でも、端末でのローカルストレージの追加及びローカルストレージへの情報保存を防ぐことができる。また、これらの対策を用いることで、上述する（１）に示すようなマイクロＯＳにて端末を起動し、ネットワーク接続時の認証を実施する場合の問題点を解決することができる。しかしながら、現在のＳＣＣ技術では、端末で起動されているＯＳにこれらの対策が実施されているか認証するしくみがない。そのため、ＳＣＣ端末が、ネットワーク接続時の端末認証を実施後、ネットワークストレージからＯＳを起動せずにローカルストレージを追加し、ローカルストレージよりＯＳが起動される可能性がある。
また、特許文献１の技術は、上述する問題を解決するために適用することはできない。
【００１５】
本発明は、このような事情に鑑みてなされたものであり、シンクライアントのネットワーク接続時に端末認証を行うとともに、ローカルストレージの利用制限がなされているＯＳで端末が起動さていることを認証した上で機密情報へのアクセスを許可することのできるネットワークアクセス制御システム、端末、アドレス付与装置、端末システム認証装置、ネットワークアクセス制御方法、及び、コンピュータプログラムを提供することをその目的とする。
【課題を解決するための手段】
【００１６】
上記課題を解決するために、本発明は、ネットワークの末端に接続され、物理構成と異なる論理的なネットワークである接続グループを構成することができ、同一の接続グループ内に属するノード間でデータ転送が行えるよう制御する接続制御装置と、前記ネットワークの第１の接続グループに属するアドレス付与装置と、前記ネットワークの第２の接続グループに属する端末システム認証装置及びネットワークストレージとからなるネットワークアクセス制御システムにおいて、前記ネットワークへ接続する端末は、自身の物理アドレス及び端末種別を設定したアドレス要求を前記アドレス付与装置へ送信するとともに、当該アドレス要求に対応して、前記ネットワークにおいて自身に割り当てられたアドレスの情報を受信するアドレス要求手段と、前記端末システム認証装置にアクセスし、ネットワークブートに必要なプログラムを取得するネットワークブートプログラム取得手段と、前記ネットワークブートプログラム取得手段により取得したプログラムを実行して、前記アドレス要求手段により受信したアドレスの情報を用いた前記ネットワークとの接続を確立する接続確立手段と、前記接続確立手段により確立した接続を用いて前記ネットワークストレージとのセッションを確立し、ローカルストレージのチェック機能を含むオペレーションシステムのイメージファイルを取得するオペレーションシステムイメージ取得手段と、前記オペレーションシステムイメージ取得手段により取得したイメージファイルによりオペレーションシステムを起動し、ローカルストレージが使用制限されているかをチェックしてそのチェック結果の情報を前記端末システム認証装置へ通知する通知手段とを備え、前記アドレス付与装置は、第１の接続グループに属する前記端末からアドレス要求を受信し、受信したアドレス要求に設定されている物理アドレスが予め許可された物理アドレスであり、かつ、当該アドレス要求に設定されている端末種別がローカルストレージを持たないシンクライアントであることを示しているかにより認証を行う端末認証手段と、前記端末認証手段による認証が成功した場合に、前記ネットワークにおけるアドレスを割り当てて前記端末へ通知するとともに、前記端末の属する接続グループを第２の接続グループへ変更させるための接続グループ設定変更メッセージを前記接続制御装置へ送信するアドレス割当手段とを備え、前記端末システム認証装置は、第２の接続グループに変更された前記端末からのアクセスを受け、ネットワークブートに必要なプログラムを送信するネットワークブートプログラム送信手段と、前記端末からローカルストレージが使用制限されているかのチェック結果の情報を受信し、ローカルストレージが使用制限されていることを示しているかにより認証を行うシステム認証手段と、前記システム認証手段による認証が成功した場合に、前記端末の属する接続グループを前記ネットワークにおける第３の接続グループへ変更させるための接続グループ設定変更メッセージを前記接続制御装置へ送信する接続グループ変更手段とを備え、前記接続制御装置は、前記アドレス付与装置または端末システム認証装置から接続グループ設定変更メッセージを受信し、前記端末が属する接続グループを接続グループ設定変更メッセージにより示される変更先の接続グループへ変更するよう制御する接続制御手段を備える、ことを特徴とするネットワークアクセス制御システムである。
【００１７】
また、本発明は、上述するネットワークアクセス制御システムであって、前記システム認証手段は、さらに、前記チェック結果の情報の送信元である前記端末と前記ネットワークストレージとの間のセッションが確立されているかにより認証を行う、ことを特徴とする。
【００１８】
また、本発明は、ネットワークの末端に接続され、物理構成と異なる論理的なネットワークである接続グループを構成することができ、同一の接続グループ内に属するノード間でデータ転送が行えるよう制御する接続制御装置と、前記ネットワークの第１の接続グループに属するアドレス付与装置と、前記ネットワークの第２の接続グループに属する端末システム認証装置及びネットワークストレージとからなるネットワークアクセス制御システムの前記ネットワークに接続する端末であって、自身の物理アドレス及び端末種別を設定したアドレス要求を前記アドレス付与装置へ送信するとともに、当該アドレス要求に対応して、前記ネットワークにおいて自身に割り当てられたアドレスの情報を受信するアドレス要求手段と、前記端末システム認証装置にアクセスし、ネットワークブートに必要なプログラムを取得するネットワークブートプログラム取得手段と、前記ネットワークブートプログラム取得手段により取得したプログラムを実行して、前記アドレス要求手段により受信したアドレスの情報を用いた前記ネットワークとの接続を確立する接続確立手段と、前記接続確立手段により確立した接続を用いて前記ネットワークストレージとのセッションを確立し、ローカルストレージのチェック機能を含むオペレーションシステムのイメージファイルを取得するオペレーションシステムイメージ取得手段と、前記オペレーションシステムイメージ取得手段により取得したイメージファイルによりオペレーションシステムを起動し、ローカルストレージが使用制限されているかをチェックしてそのチェック結果の情報を前記端末システム認証装置へ通知する通知手段と、を備えることを特徴とする端末である。
【００１９】
また、本発明は、ネットワークの末端に接続され、物理構成と異なる論理的なネットワークである接続グループを構成することができ、同一の接続グループ内に属するノード間でデータ転送が行えるよう制御する接続制御装置と、前記ネットワークの第１の接続グループに属するアドレス付与装置と、前記ネットワークの第２の接続グループに属する端末システム認証装置及びネットワークストレージとからなるネットワークアクセス制御システムにおける前記アドレス付与装置であって、第１の接続グループに属し、前記ネットワークへ接続する端末からアドレス要求を受信し、受信したアドレス要求に設定されている当該端末の物理アドレスが予め許可された物理アドレスであり、かつ、当該アドレス要求に設定されている端末種別がローカルストレージを持たないシンクライアントであることを示しているかにより認証を行う端末認証手段と、前記端末認証手段による認証が成功した場合に、前記ネットワークにおけるアドレスを割り当てて前記端末へ通知するとともに、前記端末の属する接続グループを第２の接続グループへ変更させるための接続グループ設定変更メッセージを前記接続制御装置へ送信するアドレス割当手段と、を備えることを特徴とするアドレス付与装置である。
【００２０】
また、本発明は、ネットワークの末端に接続され、物理構成と異なる論理的なネットワークである接続グループを構成することができ、同一の接続グループ内に属するノード間でデータ転送が行えるよう制御する接続制御装置と、前記ネットワークの第１の接続グループに属するアドレス付与装置と、前記ネットワークの第２の接続グループに属する端末システム認証装置及びネットワークストレージとからなるネットワークアクセス制御システムにおける前記端末システム認証装置であって、第１の接続グループから第２の接続グループに変更された、前記ネットワークへ接続する端末からのアクセスを受け、ネットワークブートに必要なプログラムを送信するネットワークブートプログラム送信手段と、前記端末からローカルストレージが使用制限されているかのチェック結果の情報を受信し、ローカルストレージが使用制限されていることを示しているかにより認証を行うとともに、当該端末と前記ネットワークストレージとの間のセッションが確立されているかにより認証を行うシステム認証手段と、前記システム認証手段による認証が成功した場合に、前記端末の属する接続グループを前記ネットワークにおける第３の接続グループへ変更させるための接続グループ設定変更メッセージを前記接続制御装置へ送信する接続グループ変更手段と、を備えることを特徴とする端末システム認証装置である。
【００２１】
また、本発明は、ネットワークの末端に接続され、物理構成と異なる論理的なネットワークである接続グループを構成することができ、同一の接続グループ内に属するノード間でデータ転送が行えるよう制御する接続制御装置と、前記ネットワークの第１の接続グループに属するアドレス付与装置と、前記ネットワークの第２の接続グループに属する端末システム認証装置及びネットワークストレージとからなるネットワークアクセス制御システムにおけるネットワークアクセス制御方法であって、第１の接続グループに属し、前記ネットワークへ接続する端末が、自身の物理アドレス及び端末種別を設定したアドレス要求を前記アドレス付与装置へ送信するステップと、前記アドレス付与装置が、前記端末からアドレス要求を受信し、受信したアドレス要求に設定されている物理アドレスが予め許可された物理アドレスであり、かつ、当該アドレス要求に設定されている端末種別がローカルストレージを持たないシンクライアントであることを示しているかにより認証を行うステップと、認証が成功した場合に、前記ネットワークにおけるアドレスを割り当てて前記端末へ通知するとともに、前記端末の属する接続グループを第２の接続グループへ変更させるための接続グループ設定変更メッセージを前記接続制御装置へ送信するステップと、前記接続制御装置が、前記アドレス付与装置から接続グループ設定変更メッセージを受信し、前記端末が属する接続グループを第２の接続グループへ変更するステップと、前記端末が、前記ネットワークにおいて自身に割り当てられたアドレスの情報を受信するステップと、前記端末システム認証装置が、前記端末からのアクセスを受け、ネットワークブートに必要なプログラムを送信するステップと、前記端末が、前記端末システム認証装置から受信したプログラムを実行して、前記アドレス付与装置から受信したアドレスの情報を用いた前記ネットワークとの接続を確立するステップと、確立した接続を用いて前記ネットワークストレージとのセッションを確立し、ローカルストレージのチェック機能を含むオペレーションシステムのイメージファイルを取得するステップと、取得したイメージファイルによりオペレーションシステムを起動し、ローカルストレージが使用制限されているかをチェックしてそのチェック結果の情報を前記端末システム認証装置へ通知するステップと、前記端末システム認証装置が、前記端末からローカルストレージが使用制限されているかのチェック結果の情報を受信し、ローカルストレージが使用制限されていることを示しているかにより認証を行うとともに、当該端末と前記ネットワークストレージとの間のセッションが確立されているかにより認証を行うステップと、認証が成功した場合に、前記端末の属する接続グループを前記ネットワークにおける第３の接続グループへ変更させるための接続グループ設定変更メッセージを前記接続制御装置へ送信するステップと、前記接続制御装置が、前記端末システム認証装置から接続グループ設定変更メッセージを受信し、前記端末が属する接続グループを第３の接続グループへ変更するよう制御するステップと、を有することを特徴とするネットワークアクセス制御方法である。
【００２２】
また、本発明は、ネットワークの末端に接続され、物理構成と異なる論理的なネットワークである接続グループを構成することができ、同一の接続グループ内に属するノード間でデータ転送が行えるよう制御する接続制御装置と、前記ネットワークの第１の接続グループに属するアドレス付与装置と、前記ネットワークの第２の接続グループに属する端末システム認証装置及びネットワークストレージとからなるネットワークアクセス制御システムにおける前記アドレス付与装置に用いられるコンピュータを、第１の接続グループに属し、前記ネットワークへ接続する端末からアドレス要求を受信し、受信したアドレス要求に設定されている当該端末の物理アドレスが予め許可された物理アドレスであり、かつ、当該アドレス要求に設定されている端末種別がローカルストレージを持たないシンクライアントであることを示しているかにより認証を行う端末認証手段、前記端末認証手段による認証が成功した場合に、前記ネットワークにおけるアドレスを割り当てて前記端末へ通知するとともに、前記端末の属する接続グループを第２の接続グループへ変更させるための接続グループ設定変更メッセージを前記接続制御装置へ送信するアドレス割当手段、として機能させることを特徴とするコンピュータプログラムである。
【００２３】
また、本発明は、ネットワークの末端に接続され、物理構成と異なる論理的なネットワークである接続グループを構成することができ、同一の接続グループ内に属するノード間でデータ転送が行えるよう制御する接続制御装置と、前記ネットワークの第１の接続グループに属するアドレス付与装置と、前記ネットワークの第２の接続グループに属する端末システム認証装置及びネットワークストレージとからなるネットワークアクセス制御システムにおける前記端末システム認証装置として用いられるコンピュータを、第１の接続グループから第２の接続グループに変更された、前記ネットワークへ接続する端末からのアクセスを受け、ネットワークブートに必要なプログラムを送信するネットワークブートプログラム送信手段、前記端末からローカルストレージが使用制限されているかのチェック結果の情報を受信し、ローカルストレージが使用制限されていることを示しているかにより認証を行うとともに、当該端末と前記ネットワークストレージとの間のセッションが確立されているかにより認証を行うシステム認証手段、前記システム認証手段による認証が成功した場合に、前記端末の属する接続グループを前記ネットワークにおける第３の接続グループへ変更させるための接続グループ設定変更メッセージを前記接続制御装置へ送信する接続グループ変更手段、として機能させることを特徴とするコンピュータプログラムである。
【発明の効果】
【００２４】
本発明によれば、シンクライアントからネットワークへ接続した際、シンクライアントにおけるＯＳ起動前であっても、アドレス要求メッセージにより端末がＳＣＣ端末であることを判別し、端末の種別に応じたネットワークのアクセス制御を実現することができる。
また、ＯＳ起動後に、ＵＳＢメモリなどのローカルストレージの利用制限がされているかにより認証を行うとともに、ネットワークストレージとのセッションを確認し、再度ネットワークのアクセス制御を行うことで、ローカルストレージの利用が制限された正規のＳＣＣ端末のみをイントラネットに接続させることができる。
また、サーバＣＰＵにて演算が行われる画面転送型シンクライアントとは異なり、ネットワークブート型のシンクライアント環境におけるＳＣＣ端末では、ＯＳ認証処理はクライアントＰＣのＣＰＵ内で演算されるため、ＯＳ認証を行うだけでは、メモリ盗聴やアプリケーション解析などにより、ＯＳ認証に用いる鍵が盗聴されたり、サービスを複製されたりする脅威が存在する。しかし、本発明では、ネットワーク接続性の検証も併せて行うことで、この脅威も回避することができる。
【発明を実施するための最良の形態】
【００２５】
以下、本発明の一実施の形態を図面を参照して詳細に説明する。
図１は、本発明の一実施の形態によるネットワーク（ＮＷ）アクセス制御システムが想定する典型的なシステム構成を示す図である。本実施の形態によるＮＷアクセス制御システムは、ネットワーク接続時に端末の認証及び端末が起動したＯＳ（Operation System）の認証を行い、情報漏えいの危険性があるＵＳＢ（Universal Serial Bus）メモリなどのローカルストレージを利用することのできる端末を排除する。端末の排除は、ネットワークへのアクセス制御により実現する。
【００２６】
同図に示すＮＷアクセス制御システムでは、ＳＣＣ（Storage Centric Computing）端末１からネットワークＮへのアクセス制御を行う。これは、ＳＣＣ端末１が接続されるＶＬＡＮ対応スイッチ２のＶＬＡＮを制御することにより実現する。ＶＬＡＮとは、ＬＡＮにおいて、物理的なノードの接続形態とは独立に、ＬＡＮ（Local Area Network）上の特定のノードにより仮想的な接続グループを作る技術である。各ノードは、自身の属するＶＬＡＮ以外には接続することができない。本ＮＷアクセス制御システムでは、ネットワークＮへのアクセス制御に、特許文献１に記載のＶＬＡＮ（Virtual LAN）制御機能を用いる。
【００２７】
ネットワークＮは、ＶＬＡＮ制御サーバ３と、ＶＬＡＮ制御サーバ３と接続されるＤＨＣＰ（Dynamic Host Configuration Protocol）サーバ４（アドレス付与装置）、ＳＣＣサーバ５（端末システム認証装置）、ＮＷストレージ６、及び、ファイル共有サーバ７をＬＡＮなどにより接続して構成される。ネットワークＮは、ＶＬＡＮにより接続認証用ＶＬＡＮ（第１の接続グループ）、ＯＳ認証用ＶＬＡＮ（第２の接続グループ）、及び、業務用ＶＬＡＮ（第３の接続グループ）の３つにより構成される。このように、ネットワークＮをＶＬＡＮで分割することにより、ネットワークＮ内でアクセス可能な範囲を制限する。
【００２８】
接続認証用ＶＬＡＮは、端末がネットワークＮに接続された際に、最初に接続されるＶＬＡＮである。ネットワークに接続してきた端末が、登録されていない端末や、リッチクライアント端末であった場合、この接続認証用ＶＬＡＮ内に接続範囲を閉じ込める。つまり、上述したようにネットワークＮはＶＬＡＮで分割されているため、端末が接続された際には、接続認証用ＶＬＡＮという隔離されたＶＬＡＮに接続されるが、他のＶＬＡＮにはアクセスすることができず、その結果、認証されていない端末は接続認証用ＶＬＡＮに閉じ込められる。
ＯＳ認証用ＶＬＡＮは、接続認証用ＶＬＡＮにて、登録されているＳＣＣ端末であると判別された端末のみが接続されるＶＬＡＮである。このＶＬＡＮでは、ＳＣＣ端末１において起動されたＯＳがＵＳＢメモリなどのローカルストレージの利用制限がなされているかにより認証を行う。ローカルストレージの利用制限がなされていなかった場合、このＯＳ認証用ＶＬＡＮ内に接続範囲を閉じ込める。
業務用ＶＬＡＮは、実際の業務処理が行われるイントラネットであり、本ＮＷアクセス制御システムによる保護対象の情報を取り扱うネットワークである。ＯＳ認証用ＶＬＡＮにて、ローカルストレージの利用制限がなされていると認証された端末のみが業務用ＶＬＡＮに接続されうる。
【００２９】
図１４は、ＶＬＡＮの遷移条件を示す図である。
同図において、接続認証用ＶＬＡＮに属するＳＣＣ端末１は、端末判別（後述する図２：ステップＳ１２０）にて認証された場合に、ＯＳ認証用ＶＬＡＮに遷移する。ＯＳ認証用ＶＬＡＮに接続されたＳＣＣ端末１は、ＯＳ認証（後述する図２：ステップＳ２３０）、及び、ネットワーク接続性検証（後述する図２：ステップＳ２４０）において認証された場合に、業務用ＶＬＡＮに遷移する。そして、ＳＣＣ端末１の電源断、または、ネットワーク切断が発生した場合に、再び接続認証用ＶＬＡＮに遷移する。
【００３０】
ＳＣＣ端末１は、シンクライアントであり、ストレージを持たず、既存のＳＣＣ技術のＰＸＥ（Preboot eXecution Envitoment）を用いてＮＷストレージ６上のＯＳイメージをマウントし、ＯＳ（Operation System）を起動する端末である。ＳＣＣ端末１は、アプリケーションの利用などによる処理を、自身の備えるＣＰＵ（central processing unit）により行う。
ＶＬＡＮ対応スイッチ２は、ＩＥＥＥ（the Institute of Electrical and Electronic Engineers：米国電気電子学会）８０２．１Ｑ準拠のＶＬＡＮ機能を持つレイヤ２相当のスイッチであり、ネットワークの末端に配置され、同一のＶＬＡＮ内のノード間でデータ転送を行う。なお、ネットワークの末端とは、端末が接続され、その端末より下流には、ネットワーク（ノード）が存在しない状況を示す。ＶＬＡＮ対応スイッチ２は、ＳＮＭＰ（Simple Network Management Protocol）によってリモートからＶＬＡＮ設定を変更する機能を有する。ＳＮＭＰとは、ＩＥＴＦ（Internet Engineering Task Force） ＲＦＣ（Request For Comments）１１５７で規定され、ネットワーク経由でＴＣＰ／ＩＰのネットワークに接続された機器を監視するためのプロトコルである。
ＶＬＡＮ制御サーバ３は、ＶＬＡＮ設定を変更するための依頼メッセージであるＶＬＡＮ設定変更メッセージを外部のサーバから受信し、端末が接続されるＶＬＡＮ対応スイッチ２のＶＬＡＮ設定を変更するためのＳＮＭＰを発行する機能を有する。
【００３１】
ＤＨＣＰサーバ４は、従来技術における既存のＳＣＣサーバからＤＨＣＰサーバプロセスのみを括り出したものであり、一般的なＤＨＣＰサーバプロセスを実行する。加えて、ＤＨＣＰサーバ４は、ＤＨＣＰ要求を行ってきた端末が、予め登録されている端末であるか、ＳＣＣ端末であるかの判別を行う機能と、この判別を行った結果を基に、ＶＬＡＮ制御サーバ３へＶＬＡＮ設定変更メッセージを送信する機能とを有する。
ＳＣＣサーバ５は、従来技術における既存のＳＣＣサーバと同様の機能を有する。加えて、ＳＣＣサーバ５は、端末がＯＳ認証を要求してきた際、ＳＣＣ端末１で起動されているＯＳが、ＵＳＢメモリなどのローカルストレージの利用制限がなされているＯＳであるかにより認証を行う機能と、ＮＷストレージ６にＳＣＣ端末１とのセッションの問合せを行い、ＳＣＣ端末１で起動されているＯＳがＮＷストレージ６によりロードされているものかを判別する機能とを有する。また、これらの認証の結果を基に、ＶＬＡＮ制御サーバ３へＶＬＡＮ設定変更メッセージを送信する機能を有する。
ＮＷストレージ６は、ＳＣＣ端末１が利用するＯＳ（Operation System）のイメージファイル（以下、「ＯＳイメージ」）を格納する。
ファイル共有サーバ７は、一般的なファイル共有に用いられるサーバであり、情報漏えいから保護する対象の情報が保存されているものとする。
【００３２】
次に、本実施の形態によるＮＷアクセス制御システムの処理手順を説明する。
図２は、本実施の形態によるＮＷアクセス制御システムの基本的な処理手順を示す図であり、図３〜図１３は、その詳細な処理手順を示す図である。
ＶＬＡＮ対応スイッチ２におけるＳＣＣ端末１の接続先スイッチポートには、予め接続認証用ＶＬＡＮを割り当てておく。これにより、ネットワークＮに接続される端末としてＳＣＣ端末１の電源が投入されると、ネットワークＮへ接続した状態となる（図２：ステップＳ１００）。続いて、ＳＣＣ端末１は、ＩＰアドレスやネットワーク設定等、ネットワークブート、つまり、ネットワークへの接続の起動及び確立に必要なパラメータを要求するためのＤＨＣＰ要求（アドレス要求）をＤＨＣＰサーバ４へ送信する（図２：ステップＳ１１０）。ＤＨＣＰサーバ４は、ＳＣＣ端末１から受信したＤＨＣＰ要求を基に、要求元の端末のＭＡＣアドレスが予め登録されているものであるかを確認するとともに、ＳＣＣ端末であるかを判別する（図２：ステップＳ１２０）。ＳＣＣ端末であるかの判別には、ＤＨＣＰ要求に含まれるＰＸＥ端末の記述を確認する。
【００３３】
図３は、ステップＳ１１０及びＳ１２０の詳細な処理手順を示す図である。
同図に示すように、ステップＳ１１０において、ＳＣＣ端末１は、ＰＸＥ起動を行う際のＤＨＣＰ要求として、DHCPREQUEST（またはBOOTPREQUEST）メッセージをＶＬＡＮ制御サーバ３へ送信する。このDHCP（BOOTP）REQUESTメッセージのOptions（Vendor specific info）フィールドには、「オプションコード番号 ６０ Class-identifier」にて「PXE Client」と記述される。このDHCP（BOOTP） Options（Vendor specific info）は、ＩＥＴＦ ＲＦＣ２９３９などで規定されている。
【００３４】
ステップＳ１２０においてＤＨＣＰサーバ４は、ＩＰアドレスをＤＨＣＰ要求元端末へ配布してよいかを判断するために、DHCP（BOOTP）REQUESTメッセージに設定されている送信元ＭＡＣアドレスが予め内部に登録されている正当なＭＡＣアドレスであるかを確認する。正当なＭＡＣアドレスであると確認された場合、さらに、ＤＨＣＰ要求元端末の端末種別がＰＸＥ起動のＳＣＣ端末であるかを、DHCP（BOOTP）REQUESTメッセージのOptions（Vendor specific info）フィールドに「PXE Client」の記述があるかないかにより判断する。なお、ＤＨＣＰサーバ４は、ＭＡＣアドレスが登録されていない、または、ＳＣＣ端末ではない場合、ここで処理を終了する。
【００３５】
ＤＨＣＰサーバ４は、ステップＳ１２０において、ＤＨＣＰ要求送信元の端末が予め登録された端末であり、かつ、ＰＸＥ起動のＳＣＣ端末であるであると判断した場合、ＳＣＣ端末１に割り当てるＩＰアドレスや、ネットワークブートに必要なパラメータをＤＨＣＰ応答によりＳＣＣ端末１へ通知する（図２：ステップＳ１３０）。さらに、ＤＨＣＰサーバ４は、ステップＳ１２０における端末判別の結果を基に、ＶＬＡＮ設定変更メッセージを作成し、ＶＬＡＮ制御サーバ３へ送信する（図２：ステップＳ１４０）。
【００３６】
図４は、ステップＳ１４０の詳細な処理手順を示す。ＤＨＣＰサーバ４は、ステップＳ１２０において、ＤＨＣＰ要求端末のＭＡＣアドレスが予め内部に登録されている許可されたＳＣＣ端末のものであり、かつ、ＰＸＥ起動のＳＣＣ端末であると判断した際に、ＤＨＣＰのＩＰアドレスのリース情報を基に、ＤＨＣＰ要求元のＳＣＣ端末１のＭＡＣアドレス及びＩＰアドレスの情報を取得してＶＬＡＮ設定変更メッセージを生成し（図４：ステップＳ１４１）、ＶＬＡＮ制御サーバ３に送信する（図４：ステップＳ１４２）。具体的には、このＶＬＡＮ設定変更メッセージは、ＳＣＣ端末１のＩＰアドレス、及び、ＭＡＣアドレスの情報を含む端末情報と、次に接続されるべきＶＬＡＮの名称を設定したＶＬＡＮ ＮＡＭＥの情報を含むＶＬＡＮ情報とを有する。ＳＣＣ端末１のＩＰアドレスには、ＤＨＣＰサーバ４が割り当てたＩＰアドレスが、ＳＣＣ端末１のＭＡＣアドレスには、ＤＨＣＰ要求により通知されたＭＡＣアドレスが設定される。ＶＬＡＮ ＮＡＭＥには、ＶＬＡＮ制御サーバ３で定義されているＶＬＡＮの名称、すなわち、接続端末認証用／ＯＳ認証用／業務用の名称が設定されうるが、ここでは、次の接続先として「ＯＳ認証用」が設定される。
【００３７】
ＶＬＡＮ制御サーバ３は、ＤＨＣＰサーバ４から受信したＶＬＡＮ設定変更メッセージに従って、ＳＣＣ端末１が接続しているスイッチポートのＶＬＡＮ設定をＯＳ認証用ＶＬＡＮに変更するためのＳＮＭＰメッセージを作成し、ＳＣＣ端末１が接続されているＶＬＡＮ対応スイッチ２に送信する（図２：ステップＳ１５０）。ＳＮＭＰを受信したＶＬＡＮ対応スイッチ２は、ＳＣＣ端末１の接続ポートのＶＬＡＮ設定をＯＳ認証ＶＬＡＮに変更する。なお、ＶＬＡＮ対応スイッチ２及びスイッチポートは、ＶＬＡＮ設定変更メッセージに記述されているＳＣＣ端末１のＭＡＣアドレスを基に、ＶＬＡＮ対応スイッチ２に対してＳＮＭＰを送信し、その結果応答により特定する。なお、この手順の詳細は、後述する。
【００３８】
ＳＣＣ端末１は、ステップＳ１３０において受信したＤＨＣＰ応答に記述されているパラメータを基に、ＳＣＣサーバ５にネットワークブートの要求を行うためのＰＸＥ要求を送信する（図２：ステップＳ１６０）。ＳＣＣサーバ５は、ネットワークブートに必要なプログラムファイルの場所、例えば、ＵＲＬ（Universal Resource Locator）などを設定したＰＸＥ応答をＳＣＣ端末１へ送信する（図２：ステップＳ１７０）。ＳＣＣ端末１は、受信したＰＸＥ応答に記述されている情報を基に、ＳＣＣサーバ５とＴＦＴＰ（Trivial File Transfer Protocol）接続を行う（図２：ステップＳ１８０）。ＴＦＴＰとは、ユーザ名やパスワードによる検証を行わずにファイル転送を行うためのプロトコルである。ＳＣＣ端末１は、ＴＦＴＰにて、ＮＢＰ（Network Bootstrap Program）というネットワークブートに必要なプログラムファイルをＳＣＣサーバ５からダウンロードする（図２：ステップＳ１９０）。
【００３９】
ＳＣＣ端末１は、ＳＣＣサーバ５からダウンロードしたＮＢＰを実行して、ＤＨＣＰサーバ４により割り当てられたＩＰアドレスやネットワーク設定等を用いたＴＣＰ／ＩＰ通信を起動してネットワークＮに接続し、ＮＷストレージ６へアクセスしてセッションを確立する（図２：ステップＳ２００）。ＳＣＣ端末１は、ＮＷストレージ６から、認証用のサービスであるＯＳ認証サービスを設定したＯＳイメージをメインメモリにダウンロードし（図２：ステップＳ２１０）、このメインメモリ上にダウンロードしたＯＳを起動する（図２：ステップＳ２２０）。これにより、ＳＣＣ端末１でＯＳの認証サービスが起動し、ＵＳＢメモリなどのローカルストレージの利用制限がなされているかの認証を行うため、ＳＣＣサーバ５と通信する（図２：ステップＳ２３０）。
【００４０】
図９は、ステップＳ２３０における詳細な処理手順を示す。同図において、ＳＣＣ端末１において起動されたＯＳ認証サービスは、当該ＳＣＣ端末１にロードされるドライバ等が制限されており、ローカルストレージの利用が制限されているかをチェックする。あるいは、ローカルストレージを抑制するアプリケーションなどを用いている場合、アプリケーションの動作状況をチェックする（図９：ステップＳ２３１）。なお、ローカルストレージの制限方法は任意であり、ここでは特定しない。ＳＣＣ端末１で起動されたＯＳ認証サービスは、ＳＣＣサーバ５へ接続し、ステップＳ２３１におけるチェック結果を暗号化して送信する（図９：ステップＳ２３２）。ＳＣＣサーバ５は、ＳＣＣ端末１のＯＳ認証サービスから受信したチェック結果を復号し、復号したチェック結果の内容によりローカルストレージの利用制限がなされているかを確認する（図９：ステップＳ２３３）。
【００４１】
ＳＣＣサーバ５は、ＳＣＣ端末１においてローカルストレージの利用制限がなされていると判断した場合、ＯＳ認証を要求してきたＳＣＣ端末１が、ＮＷストレージ６からダウンロードしたＯＳイメージを起動しているかを確認する（図２：ステップＳ２４０）。そのため、ＳＣＣサーバ５は、ＮＷストレージ６へセッション情報の問合せを行い、当該ＳＣＣ端末１がＮＷストレージ６とセッションを確立しているかを確認する。
【００４２】
図１０は、ステップＳ２４０における詳細な処理手順を示す。同図において、ＳＣＣサーバ５は、ステップＳ２３０において受信したＳＣＣ端末１のＯＳ認証サービスからの通知に基づく認証結果に問題がなければ、すなわち、ＳＣＣ端末１においてローカルストレージが利用制限されていると認証した場合、さらに、ＳＣＣ端末１で起動されているＯＳが偽装されていないかを、正規のＮＷストレージ６の供給したＯＳイメージによりＳＣＣ端末１のＯＳが起動されているかにより認証する。具体的には、ＳＣＣサーバ５は、ＮＷストレージ６にTelnet等で接続し（図１０：ステップＳ２４１）、ＮＷストレージ６とＳＣＣ端末１との間の接続情報であるセッション情報をコマンド「Volume select <ボリューム名> show connections」を用いて参照する（図１０：ステップＳ２４２）。ＳＣＣサーバ５は、コマンドを実行した結果としてＮＷストレージ６から取得したセッション情報に、ＯＳ認証サービス接続元ＩＰアドレスとしてＳＣＣ端末１のＩＰアドレスが含まれているかを確認する（図１０：ステップＳ２４３）。
なお、セッション情報の確認手段は、Telnet以外にも、専用ＡＰＩ及び管理ツールを用いる方法などもある。
【００４３】
ＳＣＣサーバ５は、ステップＳ２３０におけるＯＳ認証及びステップＳ２４０にけるネットワーク接続性検証の結果を基に、ＶＬＡＮ設定変更メッセージを作成し、ＶＬＡＮ制御サーバ３へ送信する（図２：ステップＳ２５０）。
図１１は、ステップＳ２５０の詳細な処理手順を示す。ＳＣＣサーバ５は、端末情報にステップＳ２３０においてＳＣＣ端末１のＯＳ認証サービスから受信したチェック結果の通知元であり、かつ、ステップＳ２４０においてセッションの確立が確認されたＳＣＣ端末１のＩＰアドレスが設定され、ＶＬＡＮ情報には、設定変更先である「業務用」が設定されたＶＬＡＮ ＮＡＭＥが設定されＶＬＡＮ変更メッセージを生成し（図１１：ステップＳ２５１）、ＶＬＡＮ制御サーバ３に送信する（図１１：ステップＳ２５２）。
【００４４】
ＶＬＡＮ制御サーバ３は、ＳＣＣサーバ５から受信したＶＬＡＮ設定変更メッセージに従って、ＳＣＣ端末１が接続しているスイッチポートのＶＬＡＮ設定を変更する（図２：ステップＳ２６０）。なお、この手順の詳細は、後述する。これにより、ＳＣＣ端末１は、業務用ＶＬＡＮに接続され、イントラネット内のリソースが利用可能となる。ＳＣＣ端末１は、ファイル共有サーバ７内のファイルへアクセスが可能となり、業務処理を行う。
上記の手順により、情報漏えいの危険性を排除し、正規のＳＣＣ端末１のみをイントラネットに参加させることが可能となる。
【００４５】
次に、図２のステップＳ１５０、及び、ステップＳ２６０における詳細な処理手順について説明する。
図５〜８は、ステップＳ１５０において、ＶＬＡＮ制御サーバ３が、ＶＬＡＮ設定変更メッセージの記述を基に、ＳＮＭＰを用いて、ＳＣＣ端末１の接続先であるＶＬＡＮ対応スイッチ２、及び、スイッチポートを特定し、当該スイッチポートのＶＬＡＮ設定をＯＳ認証用ＶＬＡＮに設定するための詳細な手順を示す。
【００４６】
図５において、ＶＬＡＮ制御サーバ３は、複数のサブネットドメインにまたがってシステムを構築することができるよう、制御対象のサブネットドメインを識別するために、ネットワーク構成情報として、ネットワーク内のセグメントを一意に識別するセグメントＩＤと、当該セグメントに含まれるネットワークアドレス（サブネット含む）とを対応付けたセグメント情報を保持している。ＶＬＡＮ制御サーバ３は、ステップＳ１４０において受信したＶＬＡＮ設定変更メッセージ内の端末情報に記述されているＩＰアドレスの情報をキーにしてセグメント情報を検索し、セグメントＩＤを特定する（図５：ステップＳ１５１）。
【００４７】
続いて、図６において、ＶＬＡＮ制御サーバ３は、ＳＣＣ端末１が接続しているサブネットドメインに存在するＶＬＡＮ対応スイッチ２全てに対してdot1dTpFdbPortというＳＮＭＰを送信して、ＶＬＡＮ対応スイッチ２に接続されている端末のＭＡＣアドレスと当該ＶＬＡＮ対応スイッチ２におけるスイッチポートの対応情報を取得する。ＶＬＡＮ制御サーバ３は、取得した対応情報の中から、ＳＣＣ端末１のＶＬＡＮ対応スイッチ２及びスイッチポートを特定する。なお、dot1dTpFdbPortは、ＩＥＴＦ ＲＦＣ１２１３等で規定されている。具体的には、以下のように動作する。
【００４８】
ＶＬＡＮ制御サーバ３は、ネットワーク構成情報として、セグメントＩＤ、セグメント内でスイッチを特定するためのスイッチＩＤ、及び、当該スイッチのＩＰアドレスを対応付けたスイッチ情報を保持している。ＶＬＡＮ制御サーバ３は、ステップＳ１５１において取得したセグメントＩＤをキーにしてスイッチ情報を検索し、ＳＣＣ端末１が接続している当該セグメント内に存在するＶＬＡＮ対応スイッチ２のスイッチＩＤ及びアドレスを全て取得する。そして、この取得した情報を用い、ＳＣＣ端末１が接続しているセグメント内のＶＬＡＮ対応スイッチ２全てに対して、dot1dTpFdbPortを設定したＳＮＭＰメッセージであるSNMP getを送信する（図６：ステップＳ１５２、Ｓ１５３）。各ＶＬＡＮ対応スイッチ２に送信されるdot1dTpFdbPortには、検索のキーとして、dot1dTpFdbPortのＯＩＤ（Object Identifier）と、スイッチ情報から取得した当該ＶＬＡＮ対応スイッチ２のスイッチＩＰアドレスが設定される。
【００４９】
ＶＬＡＮ対応スイッチ２は、ＶＬＡＮ制御サーバ３からdot1dTpFdbPortのＳＮＭＰメッセージを受信すると、自身に接続されている端末のＭＡＣアドレス及びスイッチポートの番号の組を通知するSNMP ResponseをＶＬＡＮ制御サーバ３へ返送する（図６：ステップＳ１５４）。ＶＬＡＮ制御サーバ３は、ＶＬＡＮ対応スイッチ２からSNMP Responseによりdot1dTpFdbPortに対する応答結果を受信すると、この応答結果で示されるＭＡＣアドレス及びスイッチポートの組の情報と、ステップＳ１４０において受信したＶＬＡＮ設定変更メッセージに設定されているＳＣＣ端末１のＭＡＣアドレスとを比較し、ＳＣＣ端末１のＭＡＣアドレスに対応するスイッチポートを特定する（図６：ステップＳ１５５）。
【００５０】
ＳＣＣ端末１が接続しているスイッチポートが特定できたら、図７において、ＶＬＡＮ制御サーバ３は、ネットワーク構成情報として保持している端末情報にＳＣＣ端末１のＩＰアドレス及びＭＡＣアドレスと、当該ＳＣＣ端末１の接続先のＶＬＡＮ対応スイッチ２のスイッチＩＤ及びスイッチポートの情報を登録する（図６：ステップＳ１５６）。ＳＣＣ端末１のＭＡＣアドレス及びＩＰアドレスは、ステップＳ１４０（図２）においてＤＨＣＰサーバ４から受信したＶＬＡＮ設定変更メッセージから取得したのもである。また、スイッチＩＤは、ステップＳ１５５においてＳＣＣ端末１のＭＡＣアドレスに対応するスイッチポート番号を取得することができたSNMP Responceの送信元であるＶＬＡＮ対応スイッチ２のスイッチＩＤである。また、スイッチポートは、ステップＳ１５５においてSNMP Responceから取得したスイッチポート番号である。
【００５１】
図８において、ＶＬＡＮ制御サーバ３は、ＳＣＣ端末１が接続しているＶＬＡＮ対応スイッチ２に対して、ＳＣＣ端末１の接続スイッチポートのＶＬＡＮを、ステップＳ１４０（図２）において受信したＶＬＡＮ設定変更メッセージに記述されているＶＬＡＮへ変更するためのＳＮＭＰメッセージを送信する。
ＶＬＡＮ制御サーバ３は、ネットワーク構成情報として、ＶＬＡＮ ＮＡＭＥと、ＶＬＡＮ ＩＤとを対応付けたＶＬＡＮ情報を保持している。ＶＬＡＮ制御サーバ３は、ＶＬＡＮ情報から、ＶＬＡＮ設定変更メッセージ内のＶＬＡＮ情報に設定されているＶＬＡＮ ＮＡＭＥ「ＯＳ認証用」に対応したＶＬＡＮ ＩＤを取得する。そして、スイッチポートのＶＬＡＮ設定を「ＯＳ認証用」に変更するためのＳＮＭＰメッセージであるSNMP setを生成し（図８：ステップＳ１５７）、ＳＣＣ端末１が接続しているＶＬＡＮ対応スイッチ２へ送信する（図８：ステップＳ１５８）。SNMP setには、ＶＬＡＮ対応スイッチ２のＩＰアドレス（スイッチＩＰアドレス）、ＶＬＡＮ設定の変更対象のＯＩＤ、ステップＳ１５５（図６）において特定したスイッチポート、及び、「ＯＳ認証用」ＶＬＡＮに対応したＶＬＡＮ ＩＤが設定される。SNMP set を受信したＶＬＡＮ対応スイッチ２は、ＳＣＣ端末１のスイッチポートのＶＬＡＮ設定を「ＯＳ認証用」ＶＬＡＮに変更し、SNMP Responseを返送する（ステップＳ１５９）。
【００５２】
次にステップＳ２６０における詳細手順について説明する。
図１２及び図１３は、ステップＳ２６０において、ＶＬＡＮ制御サーバ３が、ＶＬＡＮ設定変更メッセージの記述を基に、ＳＮＭＰを用いて、ＳＣＣ端末１の接続先スイッチ、及び、スイッチポートを特定し、当該スイッチポートのＶＬＡＮ設定を業務用ＶＬＡＮに設定するための詳細な手順を示す。
【００５３】
図１２において、ＶＬＡＮ制御サーバ３は、ステップＳ２５０（図２）において受信したＶＬＡＮ設定変更メッセージ内の端末情報に記述されているＩＰアドレスの情報と、自身が内部に記憶しているネットワーク構成情報とを基に、ＳＣＣ端末１が接続しているネットワークを特定する。すなわち、ＶＬＡＮ制御サーバ３は、ＶＬＡＮ設定変更メッセージ内の端末情報に設定されているＩＰアドレスをキーに、自身の保持するネットワーク構成情報の端末情報を検索して、ＳＣＣ端末１が接続しているＶＬＡＮ対応スイッチ２の接続先スイッチＩＤ及びスイッチポートを特定する（図１２：ステップＳ２６１）。
【００５４】
続いて、図１３において、ＶＬＡＮ制御サーバ３は、自身が内部に保持するネットワーク構成情報のＶＬＡＮ情報から、ステップＳ２５０（図２）において受信したＶＬＡＮ設定変更メッセージ内のＶＬＡＮ情報に設定されているＶＬＡＮ ＮＡＭＥ「業務用」に対応したＶＬＡＮ ＩＤを取得する。ＶＬＡＮ制御サーバ３は、当該ＳＣＣ端末１の接続先スイッチポートのＶＬＡＮを業務用ＶＬＡＮに変更するためのＳＮＭＰメッセージであるSNMP setを生成し（図１３：ステップＳ２６２）、ＳＣＣ端末１が接続しているＶＬＡＮ対応スイッチ２へ送信する（図１３：ステップＳ２６３）。SNMP setには、ＶＬＡＮ対応スイッチ２のＩＰアドレス（スイッチＩＰアドレス）、ＶＬＡＮ設定の変更対象のＯＩＤ、ＳＣＣ端末１が接続されているスイッチポート、及び、「業務用」ＶＬＡＮに対応したＶＬＮＡ ＩＤが設定される。SNMP set を受信したＶＬＡＮ対応スイッチ２は、ＳＣＣ端末１のスイッチポートのＶＬＡＮ設定を「業務用」ＶＬＡＮに変更すると、SNMP Responseを返送する（図１３：ステップＳ２６４）。
【００５５】
上述した実施の形態によれば、シンクライアントである端末からネットワークへ接続した際、端末におけるＯＳ起動前であっても、ＤＨＣＰ要求メッセージにより接続元の端末がＳＣＣ端末であることを判別し、端末の種別に応じたネットワークのアクセス制御を実現することができる。
また、ＯＳ起動後に、ＵＳＢメモリなどのローカルストレージの利用制限がされているかにより認証を行うとともに、ネットワークストレージとのセッションを確認し、再度ネットワークのアクセス制御を行うことで、ローカルストレージの利用が制限された正規のＳＣＣ端末のみをイントラネットに接続させることができる。
また、サーバＣＰＵにて演算が行われる画面転送型シンクライアントとは異なり、ネットワークブート型のシンクライアント環境におけるＳＣＣ端末では、ＯＳ認証処理はクライアントＰＣのＣＰＵ内で演算されるため、ＯＳ認証を行うだけでは、メモリ盗聴やアプリケーション解析などにより、ＯＳ認証に用いる鍵が盗聴されたり、サービスを複製されたりする脅威が存在する。しかし、本実施の形態では、ネットワーク接続性の検証も併せて行うことで、この脅威も回避することができる。
【００５６】
なお、上述のＶＬＡＮ対応スイッチ２、ＶＬＡＮ制御サーバ３、ＤＨＣＰサーバ４、ＳＣＣサーバ５、ＮＷストレージ６、及び、ファイル共有サーバ７は、内部にコンピュータシステムを有している。そして、上述したＶＬＡＮ対応スイッチ２、ＶＬＡＮ制御サーバ３、ＤＨＣＰサーバ４、ＳＣＣサーバ５、ＮＷストレージ６、及び、ファイル共有サーバ７の動作の過程は、プログラムの形式でコンピュータ読み取り可能な記録媒体に記憶されており、このプログラムをコンピュータシステムが読み出して実行することによって、上記処理が行われる。ここでいうコンピュータシステムとは、ＣＰＵ及び各種メモリやＯＳ、周辺機器等のハードウェアを含むものである。
【００５７】
また、「コンピュータシステム」は、ＷＷＷシステムを利用している場合であれば、ホームページ提供環境（あるいは表示環境）も含むものとする。
また、「コンピュータ読み取り可能な記録媒体」とは、フレキシブルディスク、光磁気ディスク、ＲＯＭ、ＣＤ−ＲＯＭ等の可搬媒体、コンピュータシステムに内蔵されるハードディスク等の記憶装置のことをいう。さらに「コンピュータ読み取り可能な記録媒体」とは、インターネット等のネットワークや電話回線等の通信回線を介してプログラムを送信する場合の通信線のように、短時間の間、動的にプログラムを保持するもの、その場合のサーバやクライアントとなるコンピュータシステム内部の揮発性メモリのように、一定時間プログラムを保持しているものも含むものとする。また上記プログラムは、前述した機能の一部を実現するためのものであっても良く、さらに前述した機能をコンピュータシステムにすでに記録されているプログラムとの組み合わせで実現できるものであっても良い。
【図面の簡単な説明】
【００５８】
【図１】本発明の一実施の形態によるネットワークアクセス制御システムのシステム構成図である。
【図２】図１に示すネットワークアクセス制御システムの動作手順を示す図である。
【図３】図２の詳細な動作手順を示す図である。
【図４】図２の詳細な動作手順を示す図である。
【図５】図２の詳細な動作手順を示す図である。
【図６】図２の詳細な動作手順を示す図である。
【図７】図２の詳細な動作手順を示す図である。
【図８】図２の詳細な動作手順を示す図である。
【図９】図２の詳細な動作手順を示す図である。
【図１０】図２の詳細な動作手順を示す図である。
【図１１】図２の詳細な動作手順を示す図である。
【図１２】図２の詳細な動作手順を示す図である。
【図１３】図２の詳細な動作手順を示す図である。
【図１４】ＶＬＡＮの遷移条件を示す図である。
【図１５】従来のＳＣＣ技術を説明するための図である。
【図１６】従来のＳＣＣ端末のＯＳ起動手順を示す図である。
【符号の説明】
【００５９】
１…ＳＣＣ端末（端末）
２…ＶＬＡＮ対応スイッチ
３…ＶＬＡＮ制御サーバ（接続制御装置）
４…ＤＨＣＰサーバ（アドレス付与装置）
５…ＳＣＣサーバ（端末システム認証装置）
６…ＮＷ（ネットワーク）ストレージ
７…ファイル共有サーバ

【特許請求の範囲】
【請求項１】
ネットワークの末端に接続され、物理構成と異なる論理的なネットワークである接続グループを構成することができ、同一の接続グループ内に属するノード間でデータ転送が行えるよう制御する接続制御装置と、前記ネットワークの第１の接続グループに属するアドレス付与装置と、前記ネットワークの第２の接続グループに属する端末システム認証装置及びネットワークストレージとからなるネットワークアクセス制御システムにおいて、
前記ネットワークへ接続する端末は、
自身の物理アドレス及び端末種別を設定したアドレス要求を前記アドレス付与装置へ送信するとともに、当該アドレス要求に対応して、前記ネットワークにおいて自身に割り当てられたアドレスの情報を受信するアドレス要求手段と、
前記端末システム認証装置にアクセスし、ネットワークブートに必要なプログラムを取得するネットワークブートプログラム取得手段と、
前記ネットワークブートプログラム取得手段により取得したプログラムを実行して、前記アドレス要求手段により受信したアドレスの情報を用いた前記ネットワークとの接続を確立する接続確立手段と、
前記接続確立手段により確立した接続を用いて前記ネットワークストレージとのセッションを確立し、ローカルストレージのチェック機能を含むオペレーションシステムのイメージファイルを取得するオペレーションシステムイメージ取得手段と、
前記オペレーションシステムイメージ取得手段により取得したイメージファイルによりオペレーションシステムを起動し、ローカルストレージが使用制限されているかをチェックしてそのチェック結果の情報を前記端末システム認証装置へ通知する通知手段とを備え、
前記アドレス付与装置は、
第１の接続グループに属する前記端末からアドレス要求を受信し、受信したアドレス要求に設定されている物理アドレスが予め許可された物理アドレスであり、かつ、当該アドレス要求に設定されている端末種別がローカルストレージを持たないシンクライアントであることを示しているかにより認証を行う端末認証手段と、
前記端末認証手段による認証が成功した場合に、前記ネットワークにおけるアドレスを割り当てて前記端末へ通知するとともに、前記端末の属する接続グループを第２の接続グループへ変更させるための接続グループ設定変更メッセージを前記接続制御装置へ送信するアドレス割当手段とを備え、
前記端末システム認証装置は、
第２の接続グループに変更された前記端末からのアクセスを受け、ネットワークブートに必要なプログラムを送信するネットワークブートプログラム送信手段と、
前記端末からローカルストレージが使用制限されているかのチェック結果の情報を受信し、ローカルストレージが使用制限されていることを示しているかにより認証を行うシステム認証手段と、
前記システム認証手段による認証が成功した場合に、前記端末の属する接続グループを前記ネットワークにおける第３の接続グループへ変更させるための接続グループ設定変更メッセージを前記接続制御装置へ送信する接続グループ変更手段とを備え、
前記接続制御装置は、
前記アドレス付与装置または端末システム認証装置から接続グループ設定変更メッセージを受信し、前記端末が属する接続グループを接続グループ設定変更メッセージにより示される変更先の接続グループへ変更するよう制御する接続制御手段を備える、
ことを特徴とするネットワークアクセス制御システム。
【請求項２】
前記システム認証手段は、さらに、前記チェック結果の情報の送信元である前記端末と前記ネットワークストレージとの間のセッションが確立されているかにより認証を行う、
ことを特徴とする請求項１に記載のネットワークアクセス制御システム。
【請求項３】
ネットワークの末端に接続され、物理構成と異なる論理的なネットワークである接続グループを構成することができ、同一の接続グループ内に属するノード間でデータ転送が行えるよう制御する接続制御装置と、前記ネットワークの第１の接続グループに属するアドレス付与装置と、前記ネットワークの第２の接続グループに属する端末システム認証装置及びネットワークストレージとからなるネットワークアクセス制御システムの前記ネットワークに接続する端末であって、
自身の物理アドレス及び端末種別を設定したアドレス要求を前記アドレス付与装置へ送信するとともに、当該アドレス要求に対応して、前記ネットワークにおいて自身に割り当てられたアドレスの情報を受信するアドレス要求手段と、
前記端末システム認証装置にアクセスし、ネットワークブートに必要なプログラムを取得するネットワークブートプログラム取得手段と、
前記ネットワークブートプログラム取得手段により取得したプログラムを実行して、前記アドレス要求手段により受信したアドレスの情報を用いた前記ネットワークとの接続を確立する接続確立手段と、
前記接続確立手段により確立した接続を用いて前記ネットワークストレージとのセッションを確立し、ローカルストレージのチェック機能を含むオペレーションシステムのイメージファイルを取得するオペレーションシステムイメージ取得手段と、
前記オペレーションシステムイメージ取得手段により取得したイメージファイルによりオペレーションシステムを起動し、ローカルストレージが使用制限されているかをチェックしてそのチェック結果の情報を前記端末システム認証装置へ通知する通知手段と、
を備えることを特徴とする端末。
【請求項４】
ネットワークの末端に接続され、物理構成と異なる論理的なネットワークである接続グループを構成することができ、同一の接続グループ内に属するノード間でデータ転送が行えるよう制御する接続制御装置と、前記ネットワークの第１の接続グループに属するアドレス付与装置と、前記ネットワークの第２の接続グループに属する端末システム認証装置及びネットワークストレージとからなるネットワークアクセス制御システムにおける前記アドレス付与装置であって、
第１の接続グループに属し、前記ネットワークへ接続する端末からアドレス要求を受信し、受信したアドレス要求に設定されている当該端末の物理アドレスが予め許可された物理アドレスであり、かつ、当該アドレス要求に設定されている端末種別がローカルストレージを持たないシンクライアントであることを示しているかにより認証を行う端末認証手段と、
前記端末認証手段による認証が成功した場合に、前記ネットワークにおけるアドレスを割り当てて前記端末へ通知するとともに、前記端末の属する接続グループを第２の接続グループへ変更させるための接続グループ設定変更メッセージを前記接続制御装置へ送信するアドレス割当手段と、
を備えることを特徴とするアドレス付与装置。
【請求項５】
ネットワークの末端に接続され、物理構成と異なる論理的なネットワークである接続グループを構成することができ、同一の接続グループ内に属するノード間でデータ転送が行えるよう制御する接続制御装置と、前記ネットワークの第１の接続グループに属するアドレス付与装置と、前記ネットワークの第２の接続グループに属する端末システム認証装置及びネットワークストレージとからなるネットワークアクセス制御システムにおける前記端末システム認証装置であって、
第１の接続グループから第２の接続グループに変更された、前記ネットワークへ接続する端末からのアクセスを受け、ネットワークブートに必要なプログラムを送信するネットワークブートプログラム送信手段と、
前記端末からローカルストレージが使用制限されているかのチェック結果の情報を受信し、ローカルストレージが使用制限されていることを示しているかにより認証を行うとともに、当該端末と前記ネットワークストレージとの間のセッションが確立されているかにより認証を行うシステム認証手段と、
前記システム認証手段による認証が成功した場合に、前記端末の属する接続グループを前記ネットワークにおける第３の接続グループへ変更させるための接続グループ設定変更メッセージを前記接続制御装置へ送信する接続グループ変更手段と、
を備えることを特徴とする端末システム認証装置。
【請求項６】
ネットワークの末端に接続され、物理構成と異なる論理的なネットワークである接続グループを構成することができ、同一の接続グループ内に属するノード間でデータ転送が行えるよう制御する接続制御装置と、前記ネットワークの第１の接続グループに属するアドレス付与装置と、前記ネットワークの第２の接続グループに属する端末システム認証装置及びネットワークストレージとからなるネットワークアクセス制御システムにおけるネットワークアクセス制御方法であって、
第１の接続グループに属し、前記ネットワークへ接続する端末が、
自身の物理アドレス及び端末種別を設定したアドレス要求を前記アドレス付与装置へ送信するステップと、
前記アドレス付与装置が、
前記端末からアドレス要求を受信し、受信したアドレス要求に設定されている物理アドレスが予め許可された物理アドレスであり、かつ、当該アドレス要求に設定されている端末種別がローカルストレージを持たないシンクライアントであることを示しているかにより認証を行うステップと、
認証が成功した場合に、前記ネットワークにおけるアドレスを割り当てて前記端末へ通知するとともに、前記端末の属する接続グループを第２の接続グループへ変更させるための接続グループ設定変更メッセージを前記接続制御装置へ送信するステップと、
前記接続制御装置が、
前記アドレス付与装置から接続グループ設定変更メッセージを受信し、前記端末が属する接続グループを第２の接続グループへ変更するステップと、
前記端末が、
前記ネットワークにおいて自身に割り当てられたアドレスの情報を受信するステップと、
前記端末システム認証装置が、
前記端末からのアクセスを受け、ネットワークブートに必要なプログラムを送信するステップと、
前記端末が、
前記端末システム認証装置から受信したプログラムを実行して、前記アドレス付与装置から受信したアドレスの情報を用いた前記ネットワークとの接続を確立するステップと、
確立した接続を用いて前記ネットワークストレージとのセッションを確立し、ローカルストレージのチェック機能を含むオペレーションシステムのイメージファイルを取得するステップと、
取得したイメージファイルによりオペレーションシステムを起動し、ローカルストレージが使用制限されているかをチェックしてそのチェック結果の情報を前記端末システム認証装置へ通知するステップと、
前記端末システム認証装置が、
前記端末からローカルストレージが使用制限されているかのチェック結果の情報を受信し、ローカルストレージが使用制限されていることを示しているかにより認証を行うとともに、当該端末と前記ネットワークストレージとの間のセッションが確立されているかにより認証を行うステップと、
認証が成功した場合に、前記端末の属する接続グループを前記ネットワークにおける第３の接続グループへ変更させるための接続グループ設定変更メッセージを前記接続制御装置へ送信するステップと、
前記接続制御装置が、
前記端末システム認証装置から接続グループ設定変更メッセージを受信し、前記端末が属する接続グループを第３の接続グループへ変更するよう制御するステップと、
を有することを特徴とするネットワークアクセス制御方法。
【請求項７】
ネットワークの末端に接続され、物理構成と異なる論理的なネットワークである接続グループを構成することができ、同一の接続グループ内に属するノード間でデータ転送が行えるよう制御する接続制御装置と、前記ネットワークの第１の接続グループに属するアドレス付与装置と、前記ネットワークの第２の接続グループに属する端末システム認証装置及びネットワークストレージとからなるネットワークアクセス制御システムにおける前記アドレス付与装置に用いられるコンピュータを、
第１の接続グループに属し、前記ネットワークへ接続する端末からアドレス要求を受信し、受信したアドレス要求に設定されている当該端末の物理アドレスが予め許可された物理アドレスであり、かつ、当該アドレス要求に設定されている端末種別がローカルストレージを持たないシンクライアントであることを示しているかにより認証を行う端末認証手段、
前記端末認証手段による認証が成功した場合に、前記ネットワークにおけるアドレスを割り当てて前記端末へ通知するとともに、前記端末の属する接続グループを第２の接続グループへ変更させるための接続グループ設定変更メッセージを前記接続制御装置へ送信するアドレス割当手段、
として機能させることを特徴とするコンピュータプログラム。
【請求項８】
ネットワークの末端に接続され、物理構成と異なる論理的なネットワークである接続グループを構成することができ、同一の接続グループ内に属するノード間でデータ転送が行えるよう制御する接続制御装置と、前記ネットワークの第１の接続グループに属するアドレス付与装置と、前記ネットワークの第２の接続グループに属する端末システム認証装置及びネットワークストレージとからなるネットワークアクセス制御システムにおける前記端末システム認証装置として用いられるコンピュータを、
第１の接続グループから第２の接続グループに変更された、前記ネットワークへ接続する端末からのアクセスを受け、ネットワークブートに必要なプログラムを送信するネットワークブートプログラム送信手段、
前記端末からローカルストレージが使用制限されているかのチェック結果の情報を受信し、ローカルストレージが使用制限されていることを示しているかにより認証を行うとともに、当該端末と前記ネットワークストレージとの間のセッションが確立されているかにより認証を行うシステム認証手段、
前記システム認証手段による認証が成功した場合に、前記端末の属する接続グループを前記ネットワークにおける第３の接続グループへ変更させるための接続グループ設定変更メッセージを前記接続制御装置へ送信する接続グループ変更手段、
として機能させることを特徴とするコンピュータプログラム。

【図１】

【図２】

【図３】

【図４】

【図５】

【図６】

【図７】

【図８】

【図９】

【図１０】

【図１１】

【図１２】

【図１３】

【図１４】

【図１５】

【図１６】

【公開番号】特開２００７−２９９１３６（Ｐ２００７−２９９１３６Ａ）
【公開日】平成１９年１１月１５日（２００７．１１．１５）
【国際特許分類】
【出願番号】特願２００６−１２５３８８（Ｐ２００６−１２５３８８）
【出願日】平成１８年４月２８日（２００６．４．２８）
【出願人】（０００１０２７２８）株式会社エヌ・ティ・ティ・データ (438)
【Ｆターム（参考）】