ネットワーク接続制御プログラム及び方法、ネットワーク接続プログラム及び方法、認証装置
【課題】認証処理のための処理負荷を軽減しつつ且つセキュリティを劣化させることなく、ユーザ端末のネットワーク接続をスムーズに行わせる。
【解決手段】本ネットワーク接続方法は、第1のネットワークとの接続について切断要求を送信した後又はそれ以前に、ユーザ端末が現在使用しているアドレスとは別で且つ認証装置により生成されるアドレスと同一のアドレスを所定時間有効な再接続用のアドレスとして生成し、再接続用アドレス格納部に格納する工程と、第1のネットワークとの接続が切断された後所定時間内であれば、認証装置による認証を受けることなく、再接続用アドレス格納部に格納されている再接続用のアドレスで第1のネットワークへ再接続をする工程とを含む。
【解決手段】本ネットワーク接続方法は、第1のネットワークとの接続について切断要求を送信した後又はそれ以前に、ユーザ端末が現在使用しているアドレスとは別で且つ認証装置により生成されるアドレスと同一のアドレスを所定時間有効な再接続用のアドレスとして生成し、再接続用アドレス格納部に格納する工程と、第1のネットワークとの接続が切断された後所定時間内であれば、認証装置による認証を受けることなく、再接続用アドレス格納部に格納されている再接続用のアドレスで第1のネットワークへ再接続をする工程とを含む。
【発明の詳細な説明】
【技術分野】
【0001】
本技術は、ネットワークへの接続制御技術に関する。
【背景技術】
【0002】
利用開始時に認証が必要なアクセス回線を介してネットワークに接続し、当該ネットワークを介してユーザ所望のサービスなどを利用した後、何らかの理由で一旦回線を切断したが、すぐに再度同じ回線に接続しなければならないような場合がある。このような場合には、通常、アクセス回線の認証を再度行ってから再接続を行う。具体的には、(1)認証情報(ユーザIDとパスワード)をユーザが再度手動で入力して接続する、(2)認証情報を端末に覚えさせておいて、再接続時に通信プログラムがこれを読み取り、ユーザの介在なしに接続する、といった方法により再接続を行う。
【特許文献1】特開平11−187146号公報
【特許文献2】特開平11−298552号公報
【特許文献3】特開2002−215015号公報
【発明の開示】
【発明が解決しようとする課題】
【0003】
しかし、上記のような技術では、再接続の度に認証装置等において認証のための処理を行う必要があるため、認証装置等にオーバーヘッドがかかる。そして、認証のための処理に時間がかかるため、ネットワークのユーザは、すぐにはネットワークに再接続することができないという問題がある。但し、本来認証を行う必要があるアクセス回線であるから、単純に認証を省略できるわけではない。
【0004】
従って、本技術の目的は、認証処理のための処理負荷を軽減しつつ且つセキュリティを劣化させることなく、ユーザ端末のネットワーク接続をスムーズに行わせることができるようにすることである。
【課題を解決するための手段】
【0005】
本技術の第1の態様に係るネットワーク接続制御方法は、第1のネットワークとの接続が許可されているアドレスが登録されているアドレスフィルタテーブルを有するゲートウェイに接続されている認証装置による認証が完了してゲートウェイを介して第1のネットワークへの接続が行われており且つゲートウェイと第2のネットワークを介して接続されているユーザ端末のネットワーク接続を制御するネットワーク接続制御方法である。そして、本方法は、ユーザ端末から第1のネットワークとの接続について切断要求を受信した場合又はそれより前に、認証装置が、アドレスと当該アドレスの割付可否の情報とが対応付けられて登録されている割付アドレス格納部から、ユーザ端末が現在使用しているアドレスとは別の割付可能なアドレスを抽出するステップと、認証装置が、抽出されたアドレスを、所定時間有効な再接続用のアドレスとしてユーザ端末に送信するステップと、認証装置が、ユーザ端末の、第1のネットワークからの切断時に、ゲートウェイに、現在使用しているアドレスから再接続用のアドレスへ、ゲートウェイのアドレスフィルタテーブルを更新させるステップとを含む。さらに、所定時間内に再接続用のアドレスでユーザ端末から第1のネットワークへの再接続が要求された場合、認証装置による認証を経ずに、ゲートウェイにおいて第1のネットワークへの再接続を許可するものである。
【0006】
本技術の第2の態様に係るネットワーク接続制御方法は、ユーザ端末から第1のネットワークとの接続について切断要求を受信した場合又はそれより前に、認証装置が、ユーザ端末が現在使用しているアドレスとは別の割付可能なアドレスを再接続用のアドレスとして生成する生成ステップと、認証装置が、ユーザ端末の、第1のネットワークからの切断時に、ゲートウェイに、現在使用しているアドレスから所定時間有効な再接続用のアドレスへ、ゲートウェイのアドレスフィルタテーブルを更新させるステップとを含む。そして、所定時間内に再接続用のアドレスと同一のアドレスでユーザ端末から第1のネットワークへの再接続が要求された場合、認証装置による認証を経ずに、ゲートウェイにおいて第1のネットワークへの再接続を許可するものである。
【0007】
本技術の第3の態様に係るネットワーク接続方法は、第1のネットワークとの接続が許可されているアドレスが登録されているアドレスフィルタテーブルを有するゲートウェイに接続されている認証装置による認証が完了してゲートウェイを介して第1のネットワークへの接続が行われており且つゲートウェイと第2のネットワークを介して接続されているユーザ端末により実行される。そして、本方法は、第1のネットワークとの接続について切断要求を送信した後又はそれ以前に、ユーザ端末が現在使用しているアドレスとは別のアドレスを所定時間有効な再接続用のアドレスとして受信し、再接続用アドレス格納部に格納するステップと、第1のネットワークとの接続が切断された後所定時間内であれば、認証装置による認証を受けることなく、再接続用アドレス格納部に格納されている再接続用のアドレスで第1のネットワークへ再接続をするステップとを含む。
【0008】
本技術の第4の態様に係るネットワーク接続方法は、第1のネットワークとの接続について切断要求を送信した後又はそれ以前に、ユーザ端末が現在使用しているアドレスとは別で且つ認証装置により生成されるアドレスと同一のアドレスを所定時間有効な再接続用のアドレスとして生成し、再接続用アドレス格納部に格納するステップと、第1のネットワークとの接続が切断された後所定時間内であれば、認証装置による認証を受けることなく、再接続用アドレス格納部に格納されている再接続用のアドレスで第1のネットワークへ再接続をするステップとを含む。
【発明の効果】
【0009】
認証処理のための処理負荷を軽減しつつ且つセキュリティを劣化させることなく、ユーザ端末のネットワーク接続をスムーズに行わせることができるようになる。
【発明を実施するための最良の形態】
【0010】
図1に本技術の実施の形態1及び2に係るシステム概要図を示す。実施の形態3及び4に係るシステム概要図については、後で図19を用いて説明する。図1では、ネットワーク1に、ゲートウェイ7と、例えばアプリケーションサーバであるサーバ9とが接続されている。ゲートウェイ7には、例えばRADIUS(Remote Authentication Dial In User Service)サーバである認証装置3が接続されている。また、ゲートウェイ7には、アクセス回線を通じて例えばパーソナルコンピュータやPDA(Personal Digital Assistant)であるユーザ端末5が接続されている。ここでは、ユーザ端末5とサーバ9はそれぞれ1つしか図示していないが、数に限定はない。
【0011】
認証装置3は、認証テーブル格納部31と、認証処理やSrcMACアドレスの送信を行う認証処理部32と、割付SrcMACアドレステーブル格納部33と、ゲートウェイ7におけるパケットの通過/遮断の制御を行うMACフィルタ設定管理部34と、MACタイマ35とを有する。Srcは、端末固有のMACアドレスとは異なることを示すために付されている。
【0012】
ユーザ端末5は、認証装置3に対して認証要求や切断要求を行いSrcMACアドレスを受信する認証要求部51と、再接続用SrcMACアドレス格納部52と、ユーザ端末5のMACアドレスを管理して通信を行う通信管理部53とを有する。
【0013】
ゲートウェイ7は、MACフィルタテーブル格納部72と、当該MACフィルタテーブル格納部72に格納されているデータを管理するMACフィルタテーブル管理部71と、MACフィルタテーブル格納部72に格納されているMACアドレスに従ってフィルタリングを行うMACフィルタリング部73と、MAC学習テーブル格納部74とを有する。
【0014】
図2に、認証テーブル格納部31に格納されているデータの一例を示す。図2の例では、ユーザIDの列201と、パスワードの列202と、端末のMACアドレスの列203とが含まれる。端末のMACアドレスの列203には、一時的にユーザ端末5に割付けられるMACアドレスではない、ユーザ端末5に固有のMACアドレスが格納されている。
【0015】
図3に、割付SrcMACアドレステーブル格納部33に格納されているデータの一例を示す。但し、ここでは実施の形態1で用いられる割付SrcMACアドレステーブル格納部33について示す。実施の形態2乃至4で用いられる割付SrcMACアドレステーブル格納部33については、後で図14を用いて説明する。図3の例では、割付SrcMACアドレスの列301と、割付可否フラグの列302とが含まれる。割付SrcMACアドレスの列301には、ユーザ端末5に割付けることができるMACアドレスが格納されている。割付可否フラグの列302には、割付SrcMACアドレスが割付可能か否かを示すフラグが格納されており、ここでは0が割付可を、1が割付不可を示す。なお、割付SrcMACアドレスの列301に格納されている割付SrcMACアドレスは、認証テーブル格納部31に格納されている端末のMACアドレスとは重複しないように選択されている。
【0016】
図4に、MACタイマ35に格納されているデータの一例を示す。図4の例では、再接続用SrcMACアドレスの列401と、有効期限の列402とが含まれる。再接続用SrcMACアドレスの列401には、ユーザ端末5に割付けることができるMACアドレスが格納されている。また、有効期限の列402には、それぞれの再接続用SrcMACアドレスに対応して、再接続用SrcMACアドレスの有効期限の情報が格納される。ユーザ端末5に割付けられていない再接続用SrcMACアドレスに対しては、有効期限の情報は格納されていない。
【0017】
図5に、再接続用SrcMACアドレス格納部52に格納されているデータの一例を示す。図5の例では、再接続用SrcMACアドレスの欄501と、有効期限の欄502とが含まれる。再接続用SrcMACアドレスの欄501には、再接続用SrcMACアドレスとして認証装置3から受信したMACアドレス又はユーザ端末5が生成したMACアドレスが格納される。有効期限の欄502には、再接続用SrcMACアドレスに対応する有効期限の情報が格納される。
【0018】
図6に、MACフィルタテーブル格納部72に格納されているデータの一例を示す。図6の例では、エントリ番号の列601と、接続を許可するMACアドレスの列602とが含まれる。接続を許可するMACアドレスの列602に格納されているMACアドレスのいずれかで通信を行うユーザ端末5からのパケットは、ゲートウェイ7を通過することができる。なお、本テーブルにおけるエントリの登録・削除は、認証装置3から外部インタフェースを通してMACフィルタ設定管理部34に指示されることにより行われる。
【0019】
図7に、MAC学習テーブル格納部74に格納されているデータの一例を示す。図7の例では、エントリ番号の列701と、ポート番号の列702と、MACアドレスの列703とが含まれる。ゲートウェイ7は、例えば一般的なレイヤ2スイッチであり、当該レイヤ2スイッチは、MAC学習テーブル格納部74のようなデータを管理している。図示していないが、ゲートウェイ7は、受信パケットを監視することで、どのポートにどのようなMACアドレスの端末などが接続しているかを検知し、MAC学習テーブル格納部74のようなデータを生成・管理する機能を有している。MAC学習テーブル格納部74は、通常、受信パケットをどのポートに出力するかを判断するために用いられる。但し、以下で述べるように、本実施の形態では、MACフィルタテーブルのエントリ削除に用いられる。すなわち、有効期限の切れた再接続用SrcMACアドレスであって、且つMAC学習テーブル格納部74に格納されていない再接続用SrcMACアドレスが、現在接続に用いられていないMACアドレスであるとして、MACフィルタテーブル格納部72から削除される。
【0020】
以下、実施の形態1乃至4について順に説明する。
【0021】
まず、実施の形態1について説明する。実施の形態1に係る処理は、(1)ユーザ端末5から認証装置3への認証要求時、接続用SrcMACアドレスが認証装置3からユーザ端末5へ送信される点、(2)ユーザ端末5から認証装置3への切断要求時、所定時間有効な再接続用SrcMACアドレスが認証装置3からユーザ端末5へ送信される点を特徴とする。(1)に対応するユーザ端末5及び認証装置3の処理として、接続要求処理及び認証処理について以下で説明する。また、(2)に対応するユーザ端末5及び認証装置3の処理として、切断要求処理及び切断処理について以下で説明する。また、実施の形態1乃至4に共通する処理であるタイムアウト処理についても説明する。
【0022】
まず、図8及び9を用いて、ユーザ端末5における接続要求処理の内容を説明する。接続要求処理は、ユーザ端末5がネットワーク1への接続を行う際の処理である。
【0023】
ユーザ端末5の通信管理部53は、ユーザからの指示に応じて表示装置に接続指示を促す画面を表示し、ユーザから接続先の指定を含む接続指示が入力されると、当該接続指示を受け付ける(図8:ステップS1)。そして、通信管理部53は、指定された接続先が認証装置であるか判断する(ステップS3)。指定された接続先が認証装置である場合(ステップS3:Yesルート)、ユーザ端末5の認証要求部51は、表示装置にユーザIDとパスワードとの入力を促す画面を表示し、ユーザからユーザIDとパスワードとが入力され且つ送信が指示されると、当該指示を認証の要求として受け付ける(ステップS13)。
【0024】
そして、認証要求部51は、ユーザIDとパスワードとを含む認証要求を認証装置3に送信する(ステップS15)。ゲートウェイ7は認証要求を受信すると、当該認証要求を認証装置3へ中継し、認証装置3は当該認証要求を受信して認証処理等を実施する。詳細は後に述べる。
【0025】
そして、ユーザ端末5の認証要求部51は、応答待ちタイマをスタートさせ、認証装置3からの応答メッセージの受信を待つ(ステップS17)。処理は、端子Aを介して図9のステップS19へ移行する。
【0026】
一方、指定された接続先が認証装置でない場合(ステップS3:Noルート)、短時間での再接続の可能性があるので、通信管理部53は、再接続用SrcMACアドレスが再接続用SrcMACアドレス格納部52に格納されているか確認する(ステップS5)。再接続用SrcMACアドレスが再接続用SrcMACアドレス格納部52に格納されていない場合(ステップS5:Noルート)、認証装置3による認証を受ける必要があるので、処理はステップS13へ移行する。
【0027】
一方、再接続用SrcMACアドレスが再接続用SrcMACアドレス格納部52に格納されている場合(ステップS5:Yesルート)、認証なしでネットワーク1に接続可能か判断するため、通信管理部53は、再接続用SrcMACアドレス格納部52に格納されている有効期限の情報を確認する(ステップS7)。以下で説明するように、正常に切断処理を行っていれば、再接続用SrcMACアドレス格納部52に再接続用SrcMACアドレスと有効期限の情報とが格納されているはずである。そして、現在日時が有効期限内でない場合(ステップS7:Noルート)、再接続用SrcMACアドレスと有効期限の情報とを削除し、処理はステップS13へ移行する。再接続用SrcMACアドレスは、所定の時間を経過したら無効になるので、認証装置3による認証を再度受ける必要がある。
【0028】
一方、現在日時が有効期限内である場合(ステップS7:Yesルート)、通信管理部53は、再接続用SrcMACアドレスを含むパケットを指定された接続先(例えばサーバ9)へ送信する(ステップS9)。そして、通信管理部53は、通信が成功したか判断する(ステップS11)。通信が成功しない場合(ステップS11:Noルート)、処理はステップS13へ移行する。何らかのエラーにより、通信が失敗した場合にも、認証装置3による認証を受けるようにするものである。一方、通信が成功した場合(ステップS11:Yesルート)、すなわち、ゲートウェイ7は、ユーザ端末5から再接続用SrcMACアドレスを含むパケットを受信して同一のMACアドレスがMACフィルタテーブル格納部72に格納されている場合には当該パケットを通過させることができ、ユーザ端末5はネットワーク1のサーバ9に正常に接続できるので、処理は端子Bを介して図9の処理へ移行して、終了する。このように、再接続用SrcMACアドレスの有効期限内であれば、ユーザは認証情報(例えばユーザIDとパスワード)を手動で入力する必要がなく、簡易にユーザ端末5をネットワーク1に接続させることができる。
【0029】
なお、ユーザ端末5が再接続を行う場合には、それ以前に用いていたSrcMACアドレス(古いMACアドレス)とは異なる再接続用SrcMACアドレス(新しいMACアドレス)で通信を行うことになる。この場合、ユーザ端末5と通信を行うコンピュータ(例えばサーバ9)は、ユーザ端末5の新しいMACアドレスを知らないが、当該コンピュータが保持するARPテーブル(IPアドレスとMACアドレスの対応付けを記したテーブル)に登録された古いMACアドレスのエントリは通常60秒程度で削除されるため、問題は生じない。すなわち、当該コンピュータは再度ARP処理を行い、ユーザ端末5のIPアドレスに対する新しいMACアドレスを取得してARPテーブルに登録することにより、ユーザ端末5と正常に通信を行うことができる。
【0030】
次に、図9について説明する。認証要求部51は、応答待ちタイマがタイムアウトしたか判断する(図9:ステップS19)。応答待ちタイマがタイムアウトした場合(ステップS19:Yesルート)、認証要求部51は、応答待ちタイマをクリアして、表示装置に「認証不能」を示すメッセージを表示し(ステップS21)、処理は終了する。これにより、ユーザは、認証装置3による認証処理が正常に行われなかったことを認識できる。
【0031】
一方、応答待ちタイマがタイムアウトしていない場合(ステップS19:Noルート)、認証要求部51は、接続用SrcMACアドレスを含む応答メッセージを認証装置3から受信したか判断する(ステップS23)。認証装置3から応答メッセージを受信していない場合(ステップS23:Noルート)、処理はステップS19へ戻る。一方、認証装置3から応答メッセージを受信した場合(ステップS23:Yesルート)、認証要求部51は、応答待ちタイマをクリアする(ステップS25)。接続用SrcMACアドレスは、認証に成功した場合に認証装置3からユーザ端末5へ付与されるMACアドレスであり、ユーザ端末5は、送信パケットに当該MACアドレスを付加することにより、ネットワーク1側の装置と通信を行うことができるようになる。
【0032】
そして、認証要求部51は、応答メッセージの内容を確認する(ステップS27)。応答メッセージの内容が「認証成功」を示すものではない場合(ステップS27:Noルート)、認証要求部51は、表示装置に「認証失敗」を示すメッセージを表示し(ステップS29)、処理は終了する。これにより、ユーザは、認証が失敗したことを認識できる。一方、応答メッセージの内容が「認証成功」を示すものである場合(ステップS27:Yesルート)、認証要求部51は、応答メッセージに含まれる接続用SrcMACアドレスを、例えばメインメモリ等の記憶装置に格納する(ステップS31)。
【0033】
そして、通信管理部53は、接続先の入力を促す画面を表示し、ユーザから接続先が指定され且つ接続が指示されると、当該指示を指定接続先への接続の要求として受け付け、メインメモリ等の記憶装置に格納された接続用SrcMACアドレスを含むパケットをユーザ指定の接続先へ送信する(ステップS33)。
【0034】
そして、通信管理部53は、通信が成功したか判断する(ステップS35)。通信が成功した場合(ステップS35:Yesルート)、すなわち、ゲートウェイ7は、ユーザ端末5から接続用SrcMACアドレスを含むパケットを受信して同一のMACアドレスがMACフィルタテーブル格納部72に格納されている場合には当該パケットを通過させることができ、ユーザ端末5はネットワーク1のサーバ9に正常に接続できるので、処理は終了する。一方、通信が成功しない場合(ステップS35:Noルート)、通信管理部53は、「通信失敗」を示すメッセージを表示装置に表示し(ステップS37)、処理は終了する。これにより、ユーザは、何らかのエラーにより通信が失敗したことを認識できる。以上が、ユーザ端末5における接続要求処理の内容である。
【0035】
次に、図10を用いて、ユーザ端末5における切断要求処理の内容を説明する。切断要求処理は、ユーザ端末5がネットワーク1との接続を終了する際に行う処理である。
【0036】
ユーザ端末5の認証要求部51は、ネットワーク1との接続中にユーザから切断の指示を受け付けると、切断要求を認証装置3に送信する(図10:ステップS41)。認証装置3は、以下で述べるように、再接続用SrcMACアドレスを用意して返信する処理を実施する。そして、認証要求部51は、応答待ちタイマをスタートさせ、認証装置3からの応答を待つ(ステップS43)。
【0037】
そして、認証要求部51は、応答待ちタイマがタイムアウトしたか判断する(ステップS45)。応答待ちタイマがタイムアウトした場合(ステップS45:Yesルート)、認証要求部51は、応答待ちタイマをクリアする(ステップS47)。さらに、認証要求部51は、再接続用SrcMACアドレス格納部52に格納されている再接続用SrcMACアドレスと有効期限の情報とを削除し(ステップS49)、処理は終了する。切断が正常に行われなかった場合、次に接続を行う際には、再び認証を受けるようにするためである。但し、認証時に付与された接続用SrcMACアドレスで接続していた場合には、再接続用SrcMACアドレス格納部52には再接続用SrcMACアドレスと有効期限の情報とは格納されていないため、ステップS49の処理をスキップする。
【0038】
一方、応答待ちタイマがタイムアウトしていない場合(ステップS45:Noルート)、認証要求部51は、認証装置3から再接続用SrcMACアドレスと有効期限の情報とを受信したか判断する(ステップS51)。受信していない場合(ステップS51:Noルート)、ステップS45に戻る。一方、受信した場合(ステップS51:Yesルート)、認証要求部51は、応答待ちタイマをクリアする(ステップS53)。そして、再接続用SrcMACアドレスと有効期限の情報とを再接続用SrcMACアドレス格納部52に格納し(ステップS55)、処理は終了する。なお、有効期限内であれば、再接続用SrcMACアドレスと同一のMACアドレスがゲートウェイ7のMACフィルタテーブル格納部72に格納されている。したがって、当該MACアドレスを含むパケットは、MACフィルタリング部73によるフィルタリングを受けずにゲートウェイ7を通過することができ、ユーザ端末5はネットワーク1のサーバ9に正常に接続することができる。また、再接続用SrcMACアドレスとしてユーザ端末5に割付けられるSrcMACアドレスは、割付SrcMACアドレステーブル格納部33で管理され、他のユーザ端末に割付けられるSrcMACアドレスや、認証テーブル格納部31に格納されている端末に固有のMACアドレスとは重複しないように選択される。詳細は後に述べる。以上で、ユーザ端末5における切断要求処理は終了する。
【0039】
次に、図11を用いて、認証装置3における認証処理の内容を説明する。認証処理は、認証装置3がユーザ端末5から認証要求を受信した場合に行う処理である。
【0040】
認証装置3の認証処理部32は、ユーザ端末5からユーザIDとパスワードとを含む認証要求を受信し、メインメモリ等の記憶装置に格納する(図11:ステップS61)。そして、認証処理部32は、受信したユーザIDに対応付けられて登録されているパスワードを認証テーブル格納部31から特定し、受信したパスワードと一致するか判断する(ステップS63)。パスワードが一致しないと判断した場合(ステップS63:Noルート)、認証処理部32は、「認証失敗」を示す応答メッセージをユーザ端末5に送信し(ステップS65)、処理は終了する。
【0041】
一方、パスワードが一致すると判断した場合(ステップS63:Yesルート)、認証処理部32は、割付SrcMACアドレステーブル格納部33に格納されている割付可能なSrcMACアドレスを1つ特定し、メインメモリ等の記憶装置に格納する(ステップS67)。ここでは、割付可否フラグを参照し、フラグが0(割付可)であるSrcMACアドレスの1つを接続用SrcMACアドレスとして特定している。また、特定したSrcMACアドレスに対応する割付可否フラグを1(割付不可)に変更する(ステップS69)。そして、認証処理部32は、特定した接続用SrcMACアドレスを含む「認証成功」の応答メッセージを、ユーザ端末5に送信する(ステップS71)。
【0042】
なお、ステップS63においては、パスワードが一致するかを確認するとともに、認証要求に含まれるユーザ端末5の固有のMACアドレスと、受信したユーザIDに対応付けられて認証テーブル格納部31に格納されている端末のMACアドレスとが一致するかの確認も行うようにしてもよい。予め登録されているユーザ端末についてのみ接続用SrcMACアドレス等を付与するものである。また、認証装置3が認証テーブル格納部31を用いてユーザ端末5に固有のMACアドレスを管理し、当該MACアドレスと重複するようなMACアドレスをSrcMACアドレスとして割付けないようにしている。
【0043】
そして、認証装置3のMACフィルタ設定管理部34は、ゲートウェイ7のMACフィルタテーブル管理部71に対し、メインメモリ等の記憶装置に格納された接続用SrcMACアドレスをMACフィルタテーブル格納部72へ登録するように指示し、MACフィルタテーブル管理部71により、MACフィルタテーブルに接続用SrcMACアドレスが登録される(ステップS73)。これにより、ゲートウェイ7のMACフィルタリング部73は、当該接続用SrcMACアドレスを含むパケットを、ネットワーク1側に通過させるようになる。以上で、認証装置3における認証処理が終了する。
【0044】
次に、図12を用いて、認証装置3における切断処理の内容を説明する。切断処理は、認証装置3がユーザ端末5から切断要求を受信した場合に行う処理である。
【0045】
認証装置3の認証処理部32は、ユーザ端末5から切断要求を受信し、メインメモリ等の記憶装置に格納する(図12:ステップS81)。そして、認証処理部32は、割付SrcMACアドレステーブル格納部33に格納されている割付可能なSrcMACアドレスを1つ特定し、メインメモリ等の記憶装置に格納する(ステップS83)。ここでは、割付可否フラグを参照し、フラグが0であるSrcMACアドレスを再接続用SrcMACアドレスとして特定している。また、特定したMACアドレスに対応する割付可否フラグを1に変更するとともに、切断要求に含まれるMACアドレス(ユーザ端末5が現在使用しているSrcMACアドレス)に対応する割付可否フラグを0に変更する(ステップS85)。
【0046】
そして、認証処理部32は、有効期限の情報を生成してメインメモリ等の記憶装置に格納するとともに、特定した再接続用SrcMACアドレスと有効期限の情報とをユーザ端末5にセキュアなパス(例えばSSL(Secure Sockets Layer))で送信する(ステップS87)。有効期限の情報は任意に設定されるものであり、例えば、現時点から1時間程度後の時刻とすることができる。ユーザ端末5は、図10のステップS55で述べたように、再接続用SrcMACアドレスと有効期限の情報とを再接続用SrcMACアドレス格納部52に格納する。
【0047】
そして、認証装置3のMACフィルタ設定管理部34は、ゲートウェイ7のMACフィルタテーブル管理部71に対し、メインメモリ等の記憶装置に格納された切断要求に含まれ且つMACフィルタテーブル格納部72に登録されているMACアドレスを、メインメモリ等の記憶装置に格納された再接続用SrcMACアドレスへ変更するように指示し、MACフィルタテーブル管理部71により、MACフィルタテーブルが変更される(ステップS89)。これにより、ゲートウェイ7のMACフィルタリング部73は、当該再接続用SrcMACアドレスを含むパケットを、ネットワーク1側に通過させるようになる。
【0048】
そして、認証装置3のMACフィルタ設定管理部34は、メインメモリ等の記憶装置に格納された切断要求に含まれるMACアドレスに対応する有効期限の情報を、MACタイマ35から削除する(ステップS91)。但し、切断要求に含まれるユーザ端末5のMACアドレスに対応する有効期限の情報がMACタイマ35に格納されていない場合、すなわち当該MACアドレスが認証時に付与された接続用SrcMACアドレスである場合には、ステップS91の処理をスキップする。
【0049】
そして、MACフィルタ設定管理部34は、メインメモリ等の記憶装置に格納された有効期限の情報を再接続用SrcMACアドレスに対応付けてMACタイマ35に格納する(ステップS93)。MACタイマ35に格納されている有効期限の情報は、MACフィルタ設定管理部34に監視され、有効期限になるとタイムアウト処理が行われる。詳細は後に述べる。以上で、切断処理が終了する。
【0050】
次に、図13を用いて、認証装置3におけるタイムアウト処理の内容を説明する。タイムアウト処理は、再接続用SrcMACアドレスの有効期限が切れた場合に行われる処理である。
【0051】
MACフィルタ設定管理部34は、有効期限が切れた再接続用SrcMACアドレスを特定すると、当該再接続用SrcMACアドレスのエントリがゲートウェイ7のMAC学習テーブル格納部74に存在するか、ゲートウェイ7のMACフィルタテーブル管理部71に確認させる(ステップS101)。存在する場合は(ステップS101:Yesルート)、再接続用SrcMACアドレスで現在接続が行われているので、処理は終了する。一方、存在しない場合(ステップS101:Noルート)、MACフィルタ設定管理部34は、MACフィルタテーブル管理部71に、MACフィルタテーブル格納部72に格納されている当該再接続用SrcMACアドレスのエントリを削除させる(ステップS103)。これにより、ゲートウェイ7のMACフィルタリング部73は、当該再接続用SrcMACアドレスを含むパケットを、ネットワーク1側に通過させないようになる。
【0052】
そして、MACフィルタ設定管理部34は、割付SrcMACアドレステーブル格納部33から当該再接続用SrcMACアドレスに対応する割付可否フラグを特定し、当該割付可否フラグを変更する(ステップS105)。ここでは、1(割付不可)から0(割付可)へ変更する。また、MACフィルタ設定管理部34は、MACタイマ35から当該再接続用SrcMACアドレスに対応する有効期限の情報を特定し、削除する(ステップS107)。以上で、タイムアウト処理が終了する。
【0053】
以上述べたような実施の形態1の処理を行うことによって、ユーザが有効期限内にネットワーク1へ再接続する場合、認証装置3による認証を受ける必要がないので、スムーズにネットワーク1へ接続することができる。また、上記の場合には認証装置3は認証のための処理を行う必要がないので、認証装置3の負荷を減らすことができる。
【0054】
次に、実施の形態2について説明する。実施の形態2に係る処理は、(1)ユーザ端末5から認証装置3への認証要求時、認証装置3からユーザ端末5へ接続用SrcMACアドレスが送信され、さらに認証後切断要求に対する処理前に、認証装置3からユーザ端末5へ再接続用SrcMACアドレスが送信される点、(2)ユーザ端末5から認証装置3への切断要求時、認証装置3が、再接続用SrcMACアドレスでの接続を所定時間有効にする点を特徴とする。(1)に対応するユーザ端末5及び認証装置3の処理として、接続要求処理及び認証処理について以下で説明する。また、(2)に対応するユーザ端末5及び認証装置3の処理として、切断要求処理及び切断処理について以下で説明する。
【0055】
なお、実施の形態2では、図3に示す割付SrcMACアドレステーブル格納部33ではなく、図14に示す割付SrcMACアドレステーブル格納部33を用いている。図14の例では、端末のMACアドレスの列1401と、割付SrcMACアドレスの列1402と、割付可否フラグの列1403とが含まれる。端末のMACアドレスの列1401には、接続用又は再接続用として割付SrcMACアドレスがユーザ端末5に割付けられている間、当該ユーザ端末5に固有のMACアドレスが格納される。割付SrcMACアドレスの列1402には、ユーザ端末5に割付けることができるMACアドレスが格納されている。割付可否フラグの列1403には、割付SrcMACアドレスが割付可能か否かを示すフラグが格納されており、ここでは0が割付可を、1が割付不可(接続用SrcMACアドレスとして割付けられている)を、2が割付不可(再接続用SrcMACアドレスとして割付けられている)を示す。なお、割付SrcMACアドレスの列1402に格納されている割付SrcMACアドレスは、認証テーブル格納部31に格納されている端末のMACアドレス(及び端末のMACアドレスの列1401に格納されているMACアドレス)とは重複しないように選択されている。
【0056】
まず、ユーザ端末5における接続要求処理の内容を説明する。但し、接続要求処理の初めから端子Aまでの処理は、図8の処理と同じであるため説明を省略し、図15を用いて端子A以降の処理を説明する。
【0057】
認証要求部51は、応答待ちタイマがタイムアウトしたか判断する(図15:ステップS111)。応答待ちタイマがタイムアウトした場合(ステップS111:Yesルート)、認証要求部51は、応答待ちタイマをクリアして、表示装置に「認証不能」を示すメッセージを表示し(ステップS113)、処理は終了する。これにより、ユーザは、認証装置3による認証処理が正常に行われなかったことを認識できる。
【0058】
一方、応答待ちタイマがタイムアウトしていない場合(ステップS111:Noルート)、認証要求部51は、接続用SrcMACアドレスを含む応答メッセージを認証装置3から受信したか判断する(ステップS115)。認証装置3から応答メッセージを受信していない場合(ステップS115:Noルート)、処理はステップS111へ戻る。一方、認証装置3から応答メッセージを受信した場合(ステップS115:Yesルート)、認証要求部51は、応答待ちタイマをクリアする(ステップS117)。接続用SrcMACアドレスは、認証に成功した場合に認証装置3からユーザ端末5へ付与されるMACアドレスであり、ユーザ端末5は、送信パケットに当該MACアドレスを付加することにより、ネットワーク1側の装置と通信を行うことができるようになる。
【0059】
そして、認証要求部51は、応答メッセージの内容を確認する(ステップS119)。応答メッセージの内容が「認証成功」を示すものではない場合(ステップS119:Noルート)、認証要求部51は、表示装置に「認証失敗」を示すメッセージを表示し(ステップS121)、処理は終了する。これにより、ユーザは、認証が失敗したことを認識できる。一方、応答メッセージの内容が「認証成功」を示すものである場合(ステップS119:Yesルート)、認証要求部51は、応答メッセージに含まれる接続用SrcMACアドレスを、例えばメインメモリ等の記憶装置に格納する(ステップS123)。
【0060】
そして、通信管理部53は、接続先の入力を促す画面を表示し、ユーザから接続先が指定され且つ接続が指示されると、当該指示を指定接続先への接続の要求として受け付け、メインメモリ等の記憶装置に格納された接続用SrcMACアドレスを含むパケットをユーザ指定の接続先へ送信する(ステップS125)。
【0061】
そして、通信管理部53は、通信が成功したか判断する(ステップS127)。通信が成功しない場合(ステップS127:Noルート)、通信管理部53は、「通信失敗」を示すメッセージを表示装置に表示し(ステップS129)、処理は終了する。これにより、ユーザは、何らかのエラーにより通信が失敗したことを認識できる。一方、通信が成功した場合(ステップS127:Yesルート)、すなわち、ゲートウェイ7は、ユーザ端末5から接続用SrcMACアドレスを含むパケットを受信して同一のMACアドレスがMACフィルタテーブル格納部72に格納されている場合には当該パケットを通過させることができ、ユーザ端末5はネットワーク1のサーバ9に正常に接続できる。
【0062】
そして、認証要求部51は、再接続用SrcMACアドレスを認証装置3からセキュアなパス(例えばSSL)で受信し、再接続用SrcMACアドレス格納部52に格納し(ステップS131)、処理は終了する。なお、この段階では、再接続用SrcMACアドレスに対して有効期限は設定されておらず、現在の接続が切断されるときに有効期限が設定される。この処理の詳細については後で述べる。以上が、ユーザ端末5における接続要求処理の内容である。
【0063】
次に、図16を用いて、ユーザ端末5における切断要求処理の内容を説明する。まず、ユーザ端末5の認証要求部51は、ネットワーク1との接続中にユーザから切断の指示を受け付けると、切断要求を認証装置3に送信する(図16:ステップS141)。認証装置3は、以下で述べるように、切断の完了をユーザ端末5に通知する処理を実施する。そして、認証要求部51は、応答待ちタイマをスタートさせ、認証装置3からの応答を待つ(ステップS143)。
【0064】
そして、認証要求部51は、応答待ちタイマがタイムアウトしたか判断する(ステップS145)。応答待ちタイマがタイムアウトした場合(ステップS145:Yesルート)、認証要求部51は、応答待ちタイマをクリアする(ステップS147)。さらに、認証要求部51は、再接続用SrcMACアドレス格納部52に格納されている再接続用SrcMACアドレスと有効期限の情報とを削除し(ステップS149)、処理は終了する。切断が正常に行われなかった場合、次に接続を行う際には、再び認証を受けるようにするためである。但し、認証時に付与された接続用SrcMACアドレスで接続していた場合には、再接続用SrcMACアドレス格納部52には再接続用SrcMACアドレスと有効期限の情報とは格納されていないため、ステップS149の処理をスキップする。
【0065】
一方、応答待ちタイマがタイムアウトしていない場合(ステップS145:Noルート)、認証要求部51は、認証装置3から切断完了の通知を受信したか判断する(ステップS151)。受信していない場合(ステップS151:Noルート)、ステップS145に戻る。一方、受信した場合(ステップS151:Yesルート)、認証要求部51は、切断完了の通知をメインメモリ等の記憶装置に格納し、応答待ちタイマをクリアする(ステップS153)。
【0066】
そして、認証要求部51は、切断完了の通知に有効期限の情報が含まれているか判断する(ステップS155)。含まれている場合(ステップS155:Yesルート)、ユーザ端末5は認証時に付与された接続用SrcMACアドレスで接続中であり、再接続用SrcMACアドレスには有効期限が設定されていないので、認証要求部51は、有効期限の情報を再接続用SrcMACアドレス格納部52に格納し(ステップS161)、処理は終了する。
【0067】
一方、有効期限の情報が含まれていない場合(ステップS155:Noルート)、ユーザ端末5は再接続用SrcMACアドレスで接続中である。したがって、認証要求部51は、再接続用SrcMACアドレス格納部52に格納されている有効期限の情報を参照し、現在時刻が有効期限内であるか判断する(ステップS157)。有効期限内である場合(ステップS157:Yesルート)、再接続用SrcMACアドレスはまだ有効であるので、処理は終了する。
【0068】
なお、有効期限内であれば、再接続用SrcMACアドレスと同一のMACアドレスがゲートウェイ7のMACフィルタテーブル格納部72に格納されている。したがって、当該MACアドレスを含むパケットは、MACフィルタリング部73によるフィルタリングを受けずにゲートウェイ7を通過することができ、ユーザ端末5はネットワーク1のサーバ9に正常に接続することができる。また、再接続用SrcMACアドレスとしてユーザ端末5に割付けられるSrcMACアドレスは、割付SrcMACアドレステーブル格納部33で管理され、他のユーザ端末に割付けられるSrcMACアドレスや、認証テーブル格納部31に格納されている端末に固有のMACアドレスとは重複しないように選択される。詳細は後に述べる。
【0069】
一方、有効期限内でない場合(ステップS157:Noルート)、認証要求部51は、再接続用SrcMACアドレスは無効であるので、再接続用SrcMACアドレス格納部52に格納されている再接続用SrcMACアドレスと有効期限の情報とを削除し(ステップS159)、処理は終了する。以上で、ユーザ端末5における切断要求処理は終了する。
【0070】
次に、図17を用いて、認証装置3における認証処理の内容を説明する。まず、認証装置3の認証処理部32は、ユーザ端末5からユーザIDとパスワードとを含む認証要求を受信し、メインメモリ等の記憶装置に格納する(図17:ステップS171)。そして、認証処理部32は、受信したユーザIDに対応付けられて登録されているパスワードを認証テーブル格納部31から特定し、受信したパスワードと一致するか判断する(ステップS173)。パスワードが一致しないと判断した場合(ステップS173:Noルート)、認証処理部32は、「認証失敗」を示す応答メッセージをユーザ端末5に送信し(ステップS175)、処理は終了する。
【0071】
一方、パスワードが一致すると判断した場合(ステップS173:Yesルート)、認証処理部32は、割付SrcMACアドレステーブル格納部33に格納されている割付可能なSrcMACアドレスを1つ特定し、メインメモリ等の記憶装置に格納する(ステップS177)。ここでは、割付可否フラグを参照し、フラグが0(割付可)であるSrcMACアドレスの1つを接続用SrcMACアドレスとして特定している。また、特定したSrcMACアドレスに対応する割付可否フラグを1(接続用SrcMACアドレスとして割付けられているため割付不可)に変更するとともに、認証要求に含まれるユーザ端末5のMACアドレスを、特定したSrcMACアドレスに対応付けて格納する(ステップS179)。そして、認証処理部32は、特定した接続用SrcMACアドレスを含む「認証成功」の応答メッセージを、ユーザ端末5に送信する(ステップS181)。
【0072】
なお、ステップS173においては、パスワードが一致するかを確認するとともに、認証要求に含まれるユーザ端末5の固有のMACアドレスと、受信したユーザIDに対応付けられて認証テーブル格納部31に格納されている端末のMACアドレスとが一致するかの確認も行うようにしてもよい。予め登録されているユーザ端末についてのみ接続用SrcMACアドレス等を付与するものである。また、認証装置3が認証テーブル格納部31を用いてユーザ端末5に固有のMACアドレスを管理し、当該MACアドレスと重複するようなMACアドレスをSrcMACアドレスとして割付けないようにしている。
【0073】
そして、認証装置3のMACフィルタ設定管理部34は、ゲートウェイ7のMACフィルタテーブル管理部71に対し、メインメモリ等の記憶装置に格納された接続用SrcMACアドレスを、MACフィルタテーブル格納部72へ登録するように指示し、MACフィルタテーブル管理部71により、MACフィルタテーブルに接続用SrcMACアドレスが登録される(ステップS183)。これにより、ゲートウェイ7のMACフィルタリング部73は、当該接続用SrcMACアドレスを含むパケットを、ネットワーク1側に通過させるようになる。
【0074】
その後、ステップS183以降切断要求受信までの任意のタイミングで、認証装置3の認証処理部32は、割付SrcMACアドレステーブル格納部33に格納されている割付可能なSrcMACアドレスを1つ特定し、メインメモリ等の記憶装置に格納する(ステップS185)。ここでは、割付可否フラグを参照し、フラグが0(割付可)であるSrcMACアドレスの1つを再接続用SrcMACアドレスとして特定している。また、特定したSrcMACアドレスに対応する割付可否フラグを2(再接続用SrcMACアドレスとして割付けられているため割付不可)に変更するとともに、当該再接続用SrcMACアドレスに対応付けて、認証要求に含まれるユーザ端末5のMACアドレスを格納する(ステップS187)。
【0075】
そして、認証処理部32は、特定した再接続用SrcMACアドレスをユーザ端末5へセキュアなパス(例えばSSL)で送信し(ステップS189)、処理は終了する。以上で、認証装置3における認証処理が終了する。
【0076】
次に、図18を用いて、認証装置3における切断処理の内容を説明する。まず、認証装置3の認証処理部32は、ユーザ端末5から切断要求を受信し、メインメモリ等の記憶装置に格納する(図18:ステップS191)。そして、認証処理部32は、割付SrcMACアドレステーブル格納部33を参照し、切断要求に含まれるユーザ端末5のSrcMACアドレスに対応する割付フラグが2であるか(再接続用SrcMACアドレスであるか)判断する(ステップS193)。再接続用SrcMACアドレスである場合(ステップS193:Yesルート)、認証処理部32は、切断完了の通知をユーザ端末5へ送信し(ステップS195)、処理は終了する。当該再接続用SrcMACアドレスが有効期限内でない場合には、図13で説明したタイムアウト処理が行われ、当該再接続用SrcMACアドレスが有効期限内である場合には、当該再接続SrcMACアドレスは依然有効なままである。
【0077】
一方、再接続用SrcMACアドレスではない場合(ステップS193:Noルート)、ユーザ端末5は、認証時に付与された接続用SrcMACアドレスで現在接続中である。したがって、認証処理部32は、割付SrcMACアドレステーブル格納部33において、当該SrcMACアドレスに対応する割付可否フラグを1(接続用SrcMACアドレスとして割付けられているため割付不可)から0(割付可)へ変更し、当該SrcMACアドレスに対応付けて格納されているユーザ端末5のMACアドレスを削除するとともに、当該ユーザ端末5のMACアドレスに対応付けて格納されている再接続用SrcMACアドレスを特定し、メインメモリ等の記憶装置に格納する(ステップS197)。
【0078】
そして、認証装置3のMACフィルタ設定管理部34は、ゲートウェイ7のMACフィルタテーブル管理部71に対し、メインメモリ等の記憶装置に格納された切断要求に含まれ且つMACフィルタテーブル格納部72に登録されている接続用SrcMACアドレスを、メインメモリ等の記憶装置に格納された再接続用SrcMACアドレスへ変更するように指示し、MACフィルタテーブル管理部71により、MACフィルタテーブルが変更される(ステップS199)。これにより、ゲートウェイ7のMACフィルタリング部73は、当該再接続用SrcMACアドレスを含むパケットを、ネットワーク1側に通過させるようになる。
【0079】
さらに、認証装置3の認証処理部32は、有効期限の情報を生成してメインメモリ等の記憶装置に格納するとともに、当該有効期限の情報を含む切断完了の通知をユーザ端末5へ送信する(ステップS201)。
【0080】
そして、認証装置3のMACフィルタ設定管理部34は、メインメモリ等の記憶装置に格納された有効期限の情報を、メインメモリ等の記憶装置に格納された再接続用SrcMACアドレスに対応付けてMACタイマ35に格納し(ステップS203)、処理は終了する。以上で、切断処理が終了する。
【0081】
以上述べたような実施の形態2の処理を行うことによって、実施の形態1の処理と同様の効果を得ることができ、さらに、切断要求時に認証装置3が行う再接続用SrcMACアドレスの付与のための処理を、認証完了後切断要求に対する処理前に行うので、切断要求時の認証装置3の負荷が低減される。なお、認証完了後切断要求に対する処理前の任意のタイミングで再接続用SrcMACアドレスを付与することができるが、切断要求が送信されるタイミングは認証装置3では不明であるため、処理を確実に実施するためには認証完了後すぐに行う方が好ましい。但し、切断要求を受信した後であっても切断要求のための処理を実施する直前に再接続用SrcMACアドレス付与を挿入する形であってもよい。
【0082】
次に、実施の形態3について説明する。実施の形態3に係る処理は、(1)ユーザ端末5から認証装置3への認証要求時、接続用SrcMACアドレスが認証装置3からユーザ端末5へ送信される点、(2)ユーザ端末5から認証装置3への切断要求時、ユーザ端末5と認証装置3とがそれぞれ所定時間有効な再接続用SrcMACアドレス生成する点を特徴とする。(1)については、実施の形態1と同じ処理であるので、説明を省略する。ここでは、(2)に対応するユーザ端末5及び認証装置3の処理として、切断要求処理及び切断処理について以下で説明する。
【0083】
まず、実施の形態3及び4に係るシステム概要図を図19に示す。実施の形態3及び4に係るシステムは、実施の形態1及び2に係るシステムと同様、ネットワーク1と、認証装置3と、ユーザ端末5と、ゲートウェイ7と、サーバ9とから構成される。但し、認証装置3は再接続用割付SrcMACアドレス生成部36をさらに有し、ユーザ端末5は再接続用SrcMACアドレス生成部54をさらに有する。
【0084】
認証装置3の再接続用割付SrcMACアドレス生成部36は、セッションの共有情報(例えば、認証要求時におけるユーザ端末5からのパケットのIPヘッダ中の識別子情報)を、ユーザ端末5と共通のキー(例えば秘密鍵)で演算することにより、再接続用SrcMACアドレスを生成する。当該キーは、認証装置3からユーザ端末5に鍵交換プロトコル(例えばIKE(Internet Key Exchange))でセキュアに配布することにより、両者で共有する。又は、オフラインで交換しておいてもよい。ユーザ端末5の再接続用SrcMACアドレス生成部54は、再接続用割付SrcMACアドレス生成部36と実質的に同じ機能を有する。
【0085】
次に、図20を用いて、ユーザ端末5における切断要求処理の内容を説明する。まず、ユーザ端末5の認証要求部51は、ネットワーク1との接続中にユーザから切断の指示を受け付けると、切断要求を認証装置3に送信する(図20:ステップS211)。認証装置3は、以下で述べるように、有効期限の情報をユーザ端末5に送信する処理を実施する。そして、認証要求部51は、切断要求に含まれる特定の情報を抽出し、メインメモリ等の記憶装置に格納する(ステップS213)。特定の情報は、例えば、切断要求に係るパケットのIPヘッダ中の識別子情報である。以下で説明するように、特定の情報は、再接続用SrcMACアドレスを生成する際のシードとして用いられる。
【0086】
そして、認証要求部51は、応答待ちタイマをスタートさせ、認証装置3からの応答を待つ(ステップS215)。そして、認証要求部51は、応答待ちタイマがタイムアウトしたか判断する(ステップS217)。応答待ちタイマがタイムアウトした場合(ステップS217:Yesルート)、認証要求部51は、応答待ちタイマをクリアする(ステップS219)。さらに、認証要求部51は、再接続用SrcMACアドレス格納部52に格納されている再接続用SrcMACアドレスと有効期限の情報とを削除し(ステップS221)、処理は終了する。切断が正常に行われなかった場合、次に接続を行う際には、再び認証を受けるようにするためである。但し、認証時に付与された接続用SrcMACアドレスで接続していた場合には、再接続用SrcMACアドレス格納部52には再接続用SrcMACアドレスと有効期限の情報とは格納されていないため、ステップS221の処理をスキップする。
【0087】
一方、応答待ちタイマがタイムアウトしていない場合(ステップS217:Noルート)、認証要求部51は、認証装置3から有効期限の情報を受信したか判断する(ステップS223)。受信していない場合(ステップS223:Noルート)、ステップS217に戻る。一方、受信した場合(ステップS223:Yesルート)、認証要求部51は、応答待ちタイマをクリアする(ステップS225)。そして、有効期限の情報を再接続用SrcMACアドレス格納部52に格納する(ステップS227)。
【0088】
そして、ユーザ端末5の再接続用SrcMACアドレス生成部54は、メインメモリ等の記憶装置に格納された特定の情報をシードとして、所定のキーで演算することにより、再接続用SrcMACアドレスを生成して再接続用SrcMACアドレス格納部52に格納し(ステップS229)、処理は終了する。本実施の形態では、演算のアルゴリズムは、再接続用SrcMACアドレスがユーザ端末に固有のMACアドレス(認証テーブル格納部31に格納されている端末のMACアドレス)及び割付SrcMACアドレステーブル格納部33に格納されている割付SrcMACアドレスとは重複しないように設計されている。また、ユーザ端末5が再接続用SrcMACアドレスを生成する際に用いるシードと所定のキーと演算のアルゴリズムとが、認証装置3が用いるものと共通しているため、ユーザ端末5と認証装置3とが同一の再接続用SrcMACアドレスを生成する。以上で、ユーザ端末5における切断要求処理は終了する。
【0089】
なお、有効期限内であれば、生成された再接続用SrcMACアドレスと同一のMACアドレスがゲートウェイ7のMACフィルタテーブル格納部72に格納されている。したがって、当該MACアドレスを含むパケットは、MACフィルタリング部73によるフィルタリングを受けずにゲートウェイ7を通過することができ、ユーザ端末5はネットワーク1のサーバ9に正常に接続することができる。
【0090】
次に、図21を用いて、認証装置3における切断処理の内容を説明する。なお、本実施の形態では、割付SrcMACアドレステーブル格納部33の割付SrcMACアドレスの列1402には、認証時に接続用SrcMACアドレスとして割付けることのできるSrcMACアドレスが格納されているが、生成される再接続用SrcMACアドレスについても、ユーザ端末に割付けられている間一時的に格納される。また、先に説明したとおり、端末のMACアドレスの列1401には、ユーザ端末にSrcMACアドレスが割付けられている間、当該ユーザ端末の固有のMACアドレスが格納される。そして、割付可否フラグが0の場合には割付可能であることを示し、1の場合には割付不可(接続用SrcMACアドレスとして割付けられている)であることを示し、2の場合には割付不可(再接続用SrcMACアドレスとして割付けられている)であることを示す。
【0091】
まず、認証装置3の認証処理部32は、ユーザ端末5から切断要求を受信し、メインメモリ等の記憶装置に格納する(図21:ステップS231)。そして、認証処理部32は、切断要求に含まれるMACアドレス(ユーザ端末5が現在使用しているSrcMACアドレス)が割付SrcMACアドレステーブル格納部33に格納されているか判断する(ステップS233)。格納されていない場合(ステップS233:Noルート)、処理は終了する。ここでは、切断要求に含まれるMACアドレスが割付SrcMACアドレステーブル格納部33に格納されていない場合、当該MACアドレスは、認証時に付与された接続用SrcMACアドレスではなく、また、認証を経た後の切断要求時に生成した再接続用SrcMACアドレスでもないので、認証を経ていないユーザ端末からの切断要求であるとして、再接続用SrcMACアドレスを付与しないようにしている。
【0092】
一方、格納されている場合(ステップS233:Yesルート)、認証処理部32は、切断要求に含まれる特定の情報を抽出し、メインメモリ等の記憶装置に格納する(ステップS235)。特定の情報は、ユーザ端末5が図20のステップS213で抽出する情報と同一である。
【0093】
そして、認証装置3の再接続用割付SrcMACアドレス生成部36は、メインメモリ等の記憶装置に格納された特定の情報をシードとして、所定のキーで演算することにより、再接続用SrcMACアドレスを生成し、メインメモリ等の記憶装置に格納する(ステップS237)。図20のステップS229と同様、演算のアルゴリズムは、再接続用SrcMACアドレスがユーザ端末に固有のMACアドレス(認証テーブル格納部31に格納されている端末のMACアドレス)及び割付SrcMACアドレステーブル格納部33に格納されている割付SrcMACアドレスとは重複しないように設計されている。また、認証装置3が再接続用SrcMACアドレスを生成する際に用いるシードと所定のキーと演算のアルゴリズムとが、ユーザ端末5が用いるものと共通しているため、ユーザ端末5と認証装置3とが同一の再接続用SrcMACアドレスを生成する。
【0094】
そして、認証処理部32は、切断要求に含まれるMACアドレス(ユーザ端末5が現在使用しているSrcMACアドレス)を含むレコードを割付SrcMACアドレステーブル格納部33から特定し、当該レコードを更新するとともに、メインメモリ等の記憶装置に格納された再接続用SrcMACアドレスとユーザ端末5固有のMACアドレスとを含むレコードを格納する(ステップS239)。ステップS239においては、切断要求に含まれるMACアドレス(ユーザ端末5が現在使用しているSrcMACアドレス)に対応する割付可否フラグが2である場合には、当該MACアドレスは再接続用SrcMACアドレスであるので、当該MACアドレスを含むレコードを割付SrcMACアドレステーブル格納部33から削除し、割付可否フラグが1である場合には、当該MACアドレスは接続用SrcMACアドレスであるので、フラグを1から0(割付可)に変更している。また、新たに格納されるレコードについての割付可否フラグは2(再接続用SrcMACアドレスとして割付けられているため割付不可)とする。
【0095】
そして、認証装置3のMACフィルタ設定管理部34は、ゲートウェイ7のMACフィルタテーブル管理部71に対し、メインメモリ等の記憶装置に格納された切断要求に含まれ且つMACフィルタテーブル格納部72に登録されているMACアドレスを、メインメモリ等の記憶装置に格納された再接続用SrcMACアドレスへ変更するように指示し、MACフィルタテーブル管理部71により、MACフィルタテーブルが変更される(ステップS241)。これにより、ゲートウェイ7のMACフィルタリング部73は、当該再接続用SrcMACアドレスを含むパケットを、ネットワーク1側に通過させるようになる。
【0096】
さらに、認証装置3のMACフィルタ設定管理部34は、メインメモリ等の記憶装置に格納された切断要求に含まれるMACアドレスに対応する有効期限の情報を、MACタイマ35から削除する(ステップS243)。但し、切断要求に含まれるユーザ端末5のMACアドレスに対応する有効期限の情報がMACタイマ35に格納されていない場合、すなわち当該MACアドレスが認証時に付与された接続用SrcMACアドレスである場合には、ステップS243の処理をスキップする。
【0097】
そして、認証処理部32は、再接続用SrcMACアドレスに対応する有効期限の情報を生成してメインメモリ等の記憶装置に格納するとともに、ユーザ端末5へ送信する(ステップS245)。
【0098】
そして、MACフィルタ設定管理部34は、メインメモリ等の記憶装置に格納された有効期限の情報を再接続用SrcMACアドレスに対応付けてMACタイマ35に格納する(ステップS247)。MACタイマ35に格納されている有効期限の情報は、MACフィルタ設定管理部34に監視され、有効期限になるとタイムアウト処理が行われる。以上で、切断処理が終了する。
【0099】
以上述べたような実施の形態3の処理を行うことによって、実施の形態1の処理と同様の効果を得ることができる。さらに、認証装置3からユーザ端末5へ再接続用SrcMACアドレスを送信するのではなく、ユーザ端末5が独自に再接続用SrcMACアドレスを生成するので、セキュリティが向上している。なお、本実施の形態における上の例では、認証時に予め用意されている接続用SrcMACアドレスを1つ選択して付与し、切断時には再接続用SrcMACアドレスを生成するようにしているが、認証時に再接続用SrcMACアドレスを生成してもよい。すなわち、接続用SrcMACアドレスと再接続用SrcMACアドレスとを区別しないようにしてもよい。
【0100】
次に、実施の形態4について説明する。実施の形態4に係る処理は、(1)ユーザ端末5から認証装置3への認証要求時、認証装置3からユーザ端末5へ接続用SrcMACアドレスが送信され、さらに認証後切断要求に対する処理前に、ユーザ端末5と認証装置3とがそれぞれ再接続用SrcMACアドレス生成する点、(2)ユーザ端末5から認証装置3への切断要求時、認証装置3が、再接続用SrcMACアドレスでの接続を所定時間有効にする点を特徴とする。(2)については、実施の形態2と同じ処理であるので、説明を省略する。ここでは、(1)に対応するユーザ端末5及び認証装置3の処理として、接続要求処理及び認証処理について以下で説明する。
【0101】
まず、図22及び図23を用いて、ユーザ端末5における接続要求処理の内容を説明する。ユーザ端末5の通信管理部53は、ユーザからの指示に応じて表示装置に接続指示を促す画面を表示し、ユーザから接続先の指定を含む接続指示が入力されると、当該接続指示を受け付ける(図22:ステップS251)。そして、通信管理部53は、指定された接続先が認証装置であるか判断する(ステップS253)。指定された接続先が認証装置である場合(ステップS253:Yesルート)、ユーザ端末5の認証要求部51は、表示装置にユーザIDとパスワードとの入力を促す画面を表示し、ユーザからユーザIDとパスワードとが入力され且つ送信が指示されると、当該指示を認証の要求として受け付ける(ステップS263)。
【0102】
そして、認証要求部51は、ユーザIDとパスワードとを含む認証要求を認証装置3に送信する(ステップS265)。ゲートウェイ7は認証要求を受信すると、当該認証要求を認証装置3へ中継し、認証装置3は当該認証要求を受信して認証処理等を実施する。詳細は後に述べる。
【0103】
そして、認証要求部51は、認証要求に含まれる特定の情報を抽出し、メインメモリ等の記憶装置に格納する(ステップS267)。特定の情報は、例えば、認証要求に係るパケットのIPヘッダ中の識別子情報である。以下で説明するように、特定の情報は、再接続用SrcMACアドレスを生成する際のシードとして用いられる。
【0104】
そして、認証要求部51は、応答待ちタイマをスタートさせ、認証装置3からの応答メッセージの受信を待つ(ステップS269)。処理は、端子Cを介して図23のステップS271へ移行する。
【0105】
一方、指定された接続先が認証装置でない場合(ステップS253:Noルート)、短時間での再接続の可能性があるので、通信管理部53は、再接続用SrcMACアドレスが再接続用SrcMACアドレス格納部52に格納されているか確認する(ステップS255)。再接続用SrcMACアドレスが再接続用SrcMACアドレス格納部52に格納されていない場合(ステップS255:Noルート)、認証装置3による認証を受ける必要があるので、処理はステップS263へ移行する。
【0106】
一方、再接続用SrcMACアドレスが再接続用SrcMACアドレス格納部52に格納されている場合(ステップS255:Yesルート)、認証なしでネットワーク1に接続可能か判断するため、通信管理部53は、再接続用SrcMACアドレス格納部52に格納されている有効期限の情報を確認する(ステップS257)。以下で説明するように、正常に切断処理を行っていれば、再接続用SrcMACアドレス格納部52に再接続用SrcMACアドレスと有効期限の情報とが格納されているはずである。そして、現在日時が有効期限内でない場合(ステップS257:Noルート)、再接続用SrcMACアドレスと有効期限の情報とを削除し、処理はステップS263へ移行する。再接続用SrcMACアドレスは、所定の時間を経過したら無効になるので、認証装置3による認証を再度受ける必要がある。
【0107】
一方、現在日時が有効期限内である場合(ステップS257:Yesルート)、通信管理部53は、再接続用SrcMACアドレスを含むパケットを指定された接続先(例えばサーバ9)へ送信する(ステップS259)。そして、通信管理部53は、通信が成功したか判断する(ステップS261)。通信が成功しない場合(ステップS261:Noルート)、処理はステップS263へ移行する。何らかのエラーにより、通信が失敗した場合にも、認証装置3による認証を受けるようにするものである。一方、通信が成功した場合(ステップS261:Yesルート)、すなわち、ゲートウェイ7は、ユーザ端末5から再接続用SrcMACアドレスを含むパケットを受信して同一のMACアドレスがMACフィルタテーブル格納部72に格納されている場合には当該パケットを通過させることができ、ユーザ端末5はネットワーク1のサーバ9に正常に接続できるので、処理は端子Dを介して図23の処理へ移行して、終了する。このように、再接続用SrcMACアドレスの有効期限内であれば、ユーザは認証情報(例えばユーザIDとパスワード)を手動で入力する必要がなく、簡易にユーザ端末5をネットワーク1に接続させることができる。
【0108】
なお、ユーザ端末5が再接続を行う場合には、それ以前に用いていたSrcMACアドレス(古いMACアドレス)とは異なる再接続用SrcMACアドレス(新しいMACアドレス)で通信を行うことになる。この場合、ユーザ端末5と通信を行うコンピュータ(例えばサーバ9)は、ユーザ端末5の新しいMACアドレスを知らないが、当該コンピュータが保持するARPテーブル(IPアドレスとMACアドレスの対応付けを記したテーブル)に登録された古いMACアドレスのエントリは通常60秒程度で削除されるため、問題は生じない。すなわち、当該コンピュータは再度ARP処理を行い、ユーザ端末5のIPアドレスに対する新しいMACアドレスを取得してARPテーブルに登録することにより、ユーザ端末5と正常に通信を行うことができる。
【0109】
次に、図23について説明する。認証要求部51は、応答待ちタイマがタイムアウトしたか判断する(図23:ステップS271)。応答待ちタイマがタイムアウトした場合(ステップS271:Yesルート)、認証要求部51は、応答待ちタイマをクリアして、表示装置に「認証不能」を示すメッセージを表示し(ステップS273)、処理は終了する。これにより、ユーザは、認証装置3による認証処理が正常に行われなかったことを認識できる。
【0110】
一方、応答待ちタイマがタイムアウトしていない場合(ステップS271:Noルート)、認証要求部51は、接続用SrcMACアドレスを含む応答メッセージを認証装置3から受信したか判断する(ステップS275)。認証装置3から応答メッセージを受信していない場合(ステップS275:Noルート)、処理はステップS271へ戻る。一方、認証装置3から応答メッセージを受信した場合(ステップS275:Yesルート)、認証要求部51は、応答待ちタイマをクリアする(ステップS277)。接続用SrcMACアドレスは、認証に成功した場合に認証装置3からユーザ端末5へ付与されるMACアドレスであり、ユーザ端末5は、送信パケットに当該MACアドレスを付加することにより、ネットワーク1側の装置と通信を行うことができるようになる。
【0111】
そして、認証要求部51は、応答メッセージの内容を確認する(ステップS279)。応答メッセージの内容が「認証成功」を示すものではない場合(ステップS279:Noルート)、認証要求部51は、表示装置に「認証失敗」を示すメッセージを表示し(ステップS281)、処理は終了する。これにより、ユーザは、認証が失敗したことを認識できる。一方、応答メッセージの内容が「認証成功」を示すものである場合(ステップS279:Yesルート)、認証要求部51は、応答メッセージに含まれる接続用SrcMACアドレスを、例えばメインメモリ等の記憶装置に格納する(ステップS283)。
【0112】
そして、通信管理部53は、接続先の入力を促す画面を表示し、ユーザから接続先が指定され且つ接続が指示されると、当該指示を指定接続先への接続の要求として受け付け、メインメモリ等の記憶装置に格納された接続用SrcMACアドレスを含むパケットをユーザ指定の接続先へ送信する(ステップS285)。
【0113】
そして、通信管理部53は、通信が成功したか判断する(ステップS287)。通信が成功しない場合(ステップS287:Noルート)、通信管理部53は、「通信失敗」を示すメッセージを表示装置に表示し(ステップS289)、処理は終了する。これにより、ユーザは、何らかのエラーにより通信が失敗したことを認識できる。
【0114】
一方、通信が成功した場合(ステップS287:Yesルート)、すなわち、ゲートウェイ7は、ユーザ端末5から接続用SrcMACアドレスを含むパケットを受信して同一のMACアドレスがMACフィルタテーブル格納部72に格納されている場合には当該パケットを通過させることができ、ユーザ端末5はネットワーク1のサーバ9に正常に接続できる。
【0115】
その後、ステップS287で通信が成功して以降切断要求送信までの任意のタイミングで、ユーザ端末5の再接続用SrcMACアドレス生成部54は、メインメモリ等の記憶装置に格納された特定の情報をシードとして、所定のキーで演算することにより、再接続用SrcMACアドレスを生成して再接続用SrcMACアドレス格納部52に格納し(ステップS291)、処理は終了する。本実施の形態では、演算のアルゴリズムは、再接続用SrcMACアドレスがユーザ端末に固有のMACアドレス(認証テーブル格納部31に格納されている端末のMACアドレス)及び割付SrcMACアドレステーブル格納部33に格納されている割付SrcMACアドレスとは重複しないように設計されている。また、ユーザ端末5が再接続用SrcMACアドレスを生成する際に用いるシードと所定のキーと演算のアルゴリズムとが、認証装置3が用いるものと共通しているため、ユーザ端末5と認証装置3とが同一の再接続用SrcMACアドレスを生成する。以上で、ユーザ端末5における切断要求処理は終了する。
【0116】
次に、図24を用いて、認証装置3における認証処理の内容を説明する。まず、認証装置3の認証処理部32は、ユーザ端末5からユーザIDとパスワードとを含む認証要求を受信し、メインメモリ等の記憶装置に格納する(図24:ステップS301)。そして、認証処理部32は、受信したユーザIDに対応付けられて登録されているパスワードを認証テーブル格納部31から特定し、受信したパスワードと一致するか判断する(ステップS303)。パスワードが一致しないと判断した場合(ステップS303:Noルート)、認証処理部32は、「認証失敗」を示す応答メッセージをユーザ端末5に送信し(ステップS305)、処理は終了する。
【0117】
一方、パスワードが一致すると判断した場合(ステップS303:Yesルート)、認証処理部32は、割付SrcMACアドレステーブル格納部33に格納されている割付可能なSrcMACアドレスを1つ特定し、メインメモリ等の記憶装置に格納する(ステップS307)。なお、本実施の形態においては、図14に示す割付SrcMACアドレステーブル格納部33を用いている。ステップS307においては、割付可否フラグを参照し、フラグが0(割付可)であるSrcMACアドレスの1つを接続用SrcMACアドレスとして特定している。また、特定したSrcMACアドレスに対応する割付可否フラグを1(接続用SrcMACアドレスとして割付けられているため割付不可)に変更するとともに、認証要求に含まれるユーザ端末5のMACアドレスを、特定したSrcMACアドレスに対応付けて格納する(ステップS309)。そして、認証処理部32は、特定した接続用SrcMACアドレスを含む「認証成功」の応答メッセージを、ユーザ端末5に送信する(ステップS311)。
【0118】
なお、ステップS303においては、パスワードが一致するかを確認するとともに、認証要求に含まれるユーザ端末5の固有のMACアドレスと、受信したユーザIDに対応付けられて認証テーブル格納部31に格納されている端末のMACアドレスとが一致するかの確認も行うようにしてもよい。予め登録されているユーザ端末についてのみ接続用SrcMACアドレス等を付与するものである。また、認証装置3が認証テーブル格納部31を用いてユーザ端末5に固有のMACアドレスを管理し、当該MACアドレスと重複するようなMACアドレスをSrcMACアドレスとして割付けないようにしている。
【0119】
そして、認証装置3のMACフィルタ設定管理部34は、ゲートウェイ7のMACフィルタテーブル管理部71に対し、メインメモリ等の記憶装置に格納された接続用SrcMACアドレスを、MACフィルタテーブル格納部72へ登録するように指示し、MACフィルタテーブル管理部71により、MACフィルタテーブルに接続用SrcMACアドレスが登録される(ステップS313)。これにより、ゲートウェイ7のMACフィルタリング部73は、当該接続用SrcMACアドレスを含むパケットを、ネットワーク1側に通過させるようになる。
【0120】
その後、ステップS313以降切断要求受信までの任意のタイミングで、認証装置3の認証処理部32は、認証要求に含まれる特定の情報を抽出し、メインメモリ等の記憶装置に格納する(ステップS315)。特定の情報は、ユーザ端末5が図22のステップS267で抽出する情報と同一である。
【0121】
そして、認証装置3の再接続用割付SrcMACアドレス生成部36は、メインメモリ等の記憶装置に格納された特定の情報をシードとして、所定のキーで演算することにより、再接続用SrcMACアドレスを生成し、メインメモリ等の記憶装置に格納する(ステップS317)。図23のステップS291と同様、演算のアルゴリズムは、再接続用SrcMACアドレスがユーザ端末に固有のMACアドレス(認証テーブル格納部31に格納されている端末のMACアドレス)及び割付SrcMACアドレステーブル格納部33に格納されている割付SrcMACアドレスとは重複しないように設計されている。また、認証装置3が再接続用SrcMACアドレスを生成する際に用いるシードと所定のキーと演算のアルゴリズムとが、ユーザ端末5が用いるものと共通しているため、ユーザ端末5と認証装置3とが同一の再接続用SrcMACアドレスを生成する。
【0122】
そして、認証処理部32は、メインメモリ等の記憶装置に格納された再接続用SrcMACアドレスと認証要求に含まれるユーザ端末5のMACアドレスとを含むレコードを、割付SrcMACアドレステーブル格納部33に格納し(ステップS319)、処理は終了する。ここでは、当該レコードに係る割付可否フラグを2(再接続用SrcMACアドレスとして割付けられているため割付不可)としている。なお、本実施の形態では、再接続用SrcMACアドレスについてのレコードは、割付SrcMACアドレステーブル格納部33に一時的に格納され、認証装置3による切断処理において有効期限が設定された後、当該有効期限の経過後、図13のタイムアウト処理のステップS105において削除される。以上で、認証装置3における認証処理が終了する。
【0123】
以上述べたような実施の形態4の処理を行うことによって、実施の形態2の処理と同様の効果を得ることができる。さらに、認証装置3からユーザ端末5へ再接続用SrcMACアドレスを送信するのではなく、ユーザ端末5が独自に再接続用SrcMACアドレスを生成するので、セキュリティが向上している。
【0124】
以上本技術の実施の形態を説明したが、本技術はこれに限定されるものではない。例えば、図1及び図19に示した機能ブロック図は一例であって、必ずしも実際のプログラムモジュールと対応するわけではない。
【0125】
また、同じような効果が得られる限りにおいて処理ステップの順番を入れ替えたり、並列に実行させることができる。
【0126】
なお、実施の形態1乃至4においては、ユーザ端末5が、再接続用SrcMACアドレスが有効期限内である場合に、当該MACアドレスを含むパケットを指定された接続先へ送信しているが、有効期限を確認する処理を行わないようにすることもできる。ゲートウェイ7におけるMACフィルタテーブルの更新が正常に行われていれば、ゲートウェイ7において再接続用SrcMACアドレスを含むパケットの通過/遮断が制御されるからである。ユーザ端末5側で有効期限のデータを認証装置3から受信できずに切断してしまった場合でも有効期限内であれば、ネットワーク1側に接続できるという利点もある。
【0127】
また、実施の形態3及び4については、ユーザ端末5と認証装置3とがそれぞれ再接続用SrcMACアドレスを生成するようにしているが、認証装置3だけが再接続用SrcMACアドレスを生成し、ユーザ端末5へセキュアなパス(例えばSSL)で送信するようにしてもよい。
【0128】
また、実施の形態1乃至4においては、MACアドレスの代わりにIPアドレスを使用することもできる。その場合には、接続を許可するIPアドレスを格納するテーブルを有する装置(例えばレイヤ3スイッチ)をゲートウェイ7として使用し、当該テーブルに対する登録・削除を外部インタフェースを通して認証装置3から制御するようにすればよい。
【0129】
以上説明した実施の形態をまとめると以下のようになる。
【0130】
本技術の第1の態様に係るネットワーク接続制御方法は、第1のネットワークとの接続が許可されているアドレスが登録されているアドレスフィルタテーブルを有するゲートウェイに接続されている認証装置による認証が完了してゲートウェイを介して第1のネットワークへの接続が行われており且つゲートウェイと第2のネットワークを介して接続されているユーザ端末のネットワーク接続を制御するネットワーク接続制御方法である。そして、本方法は、ユーザ端末から第1のネットワークとの接続について切断要求を受信した場合又はそれより前に、認証装置が、アドレスと当該アドレスの割付可否の情報とが対応付けられて登録されている割付アドレス格納部から、ユーザ端末が現在使用しているアドレスとは別の割付可能なアドレスを抽出するステップと、認証装置が、抽出されたアドレスを、所定時間有効な再接続用のアドレスとしてユーザ端末に送信するステップと、認証装置が、ユーザ端末の、第1のネットワークからの切断時に、ゲートウェイに、現在使用しているアドレスから再接続用のアドレスへ、ゲートウェイのアドレスフィルタテーブルを更新させるステップとを含む。さらに、所定時間内に再接続用のアドレスでユーザ端末から第1のネットワークへの再接続が要求された場合、認証装置による認証を経ずに、ゲートウェイにおいて第1のネットワークへの再接続を許可するものである。
【0131】
このようにすれば、所定時間内に再接続用のアドレスで第1のネットワークへ接続しようとするユーザに対しては、認証のための処理を行う必要がないので、認証装置における処理負荷が低減される。
【0132】
本技術の第2の態様に係るネットワーク接続制御方法は、ユーザ端末から第1のネットワークとの接続について切断要求を受信した場合又はそれより前に、認証装置が、ユーザ端末が現在使用しているアドレスとは別の割付可能なアドレスを再接続用のアドレスとして生成する生成ステップと、認証装置が、ユーザ端末の、第1のネットワークからの切断時に、ゲートウェイに、現在使用しているアドレスから所定時間有効な再接続用のアドレスへ、ゲートウェイのアドレスフィルタテーブルを更新させるステップとを含む。そして、所定時間内に再接続用のアドレスと同一のアドレスでユーザ端末から第1のネットワークへの再接続が要求された場合、認証装置による認証を経ずに、ゲートウェイにおいて第1のネットワークへの再接続を許可するものである。
【0133】
このようにすれば、認証装置により生成される再接続用のアドレスと同一のアドレスで所定時間内に第1のネットワークへ接続しようとするユーザに対しては、認証のための処理を行う必要がないので、認証装置における処理負荷が低減される。また、認証装置は再接続用のアドレスを送信しないので、セキュリティが向上する。
【0134】
本技術の第3の態様に係るネットワーク接続方法は、第1のネットワークとの接続が許可されているアドレスが登録されているアドレスフィルタテーブルを有するゲートウェイに接続されている認証装置による認証が完了してゲートウェイを介して第1のネットワークへの接続が行われており且つゲートウェイと第2のネットワークを介して接続されているユーザ端末により実行される。そして、本方法は、第1のネットワークとの接続について切断要求を送信した後又はそれ以前に、ユーザ端末が現在使用しているアドレスとは別のアドレスを所定時間有効な再接続用のアドレスとして受信し、再接続用アドレス格納部に格納するステップと、第1のネットワークとの接続が切断された後所定時間内であれば、認証装置による認証を受けることなく、再接続用アドレス格納部に格納されている再接続用のアドレスで第1のネットワークへ再接続をするステップとを含む。
【0135】
このようにすれば、所定時間内に再接続用のアドレスで第1のネットワークへ接続しようとするユーザは、認証装置による認証を受ける必要がないので、第1のネットワークへスムーズに接続することができる。
【0136】
本技術の第4の態様に係るネットワーク接続方法は、第1のネットワークとの接続について切断要求を送信した後又はそれ以前に、ユーザ端末が現在使用しているアドレスとは別で且つ認証装置により生成されるアドレスと同一のアドレスを所定時間有効な再接続用のアドレスとして生成し、再接続用アドレス格納部に格納するステップと、第1のネットワークとの接続が切断された後所定時間内であれば、認証装置による認証を受けることなく、再接続用アドレス格納部に格納されている再接続用のアドレスで第1のネットワークへ再接続をするステップとを含む。
【0137】
このようにすれば、認証装置により生成される再接続用のアドレスと同一のアドレスで所定時間内に第1のネットワークへ接続しようとするユーザは、認証装置による認証を受ける必要がないので、第1のネットワークへスムーズに接続することができる。
【0138】
また、第1及び第2の態様に係るネットワーク接続制御方法が、所定時間後に、ゲートウェイに、ゲートウェイに現在接続中のユーザ端末のアドレスを管理する管理テーブル(例えば実施の形態におけるMACフィルタテーブル)に再接続用のアドレスが登録されていない場合にはアドレスフィルタテーブルに登録されている再接続用のアドレスを削除させるステップをさらに含むようにしてもよい。このようにすれば、所定時間経過後にネットワークに接続していないユーザ端末は、再接続用のアドレスで第1のネットワークに接続できなくなる。
【0139】
さらに、上で述べたユーザ端末が現在使用しているアドレスが、認証の完了時に、割付アドレス格納部において割付可能なアドレスで認証装置からユーザ端末に送付されたもの(例えば実施の形態における接続用SrcMACアドレス)である場合もある。これにより、認証を完了してアドレスを送付されたユーザ端末と、認証を経ていないユーザ端末と、認証を経ずに再接続を行ったユーザ端末とを識別できるようになる。
【0140】
さらに、上で述べた生成ステップにおいて、ユーザ端末と共通のキーと、ユーザ端末から受信したメッセージの所定位置に含まれる情報(例えば実施の形態における、認証要求や切断要求に係るパケットのIPヘッダ中の識別子情報)とを、ユーザ端末と共通の所定のアルゴリズムで処理することによって、ユーザ端末と共通する再接続用のアドレスを生成するようにしてもよい。メッセージの所定位置に含まれる情報を利用することによって、生成される再接続用のアドレスが常に同じになることを避けることができる。
【0141】
さらに、上で述べたアドレスが、MACアドレス又はIPアドレスであってもよい。
【0142】
なお、上記方法は、コンピュータと当該コンピュータによって実行されるプログラムとの組み合わせにて実行される場合があり、当該プログラムは、例えばフレキシブルディスク、CD−ROM、光磁気ディスク、半導体メモリ、ハードディスク等のコンピュータ読み取り可能な記憶媒体又は記憶装置に格納される。また、ネットワークなどを介してデジタル信号として配信される場合もある。尚、中間的な処理結果はメインメモリ等の記憶装置に一時保管される。
【0143】
また、認証装置3やユーザ端末5は、コンピュータ装置であって、図25に示すように、メモリ2501とCPU2503とハードディスク・ドライブ(HDD)2505と表示装置2509に接続される表示制御部2507とリムーバブル・ディスク2511用のドライブ装置2513と入力装置2515とネットワークに接続するための通信制御部2517とがバス2519で接続されている。オペレーティング・システム(OS:Operating System)及び本実施例における処理を実施するためのアプリケーション・プログラムは、HDD2505に格納されており、CPU2503により実行される際にはHDD2505からメモリ2501に読み出される。必要に応じてCPU2503は、表示制御部2507、通信制御部2517、ドライブ装置2513を制御して、必要な動作を行わせる。また、処理途中のデータについては、メモリ2501に格納され、必要があればHDD2505に格納される。本技術の実施例では、上で述べた処理を実施するためのアプリケーション・プログラムはコンピュータ読み取り可能なリムーバブル・ディスク2511に格納されて頒布され、ドライブ装置2513からHDD2505にインストールされる。インターネットなどのネットワーク及び通信制御部2517を経由して、HDD2505にインストールされる場合もある。このようなコンピュータ装置は、上で述べたCPU2503、メモリ2501などのハードウエアとOS及び必要なアプリケーション・プログラムとが有機的に協働することにより、上で述べたような各種機能を実現する。
【0144】
(付記1)
第1のネットワークとの接続が許可されているアドレスが登録されているアドレスフィルタテーブルを有するゲートウェイに接続されている認証装置による認証が完了して前記ゲートウェイを介して前記第1のネットワークへの接続が行われており且つ前記ゲートウェイと第2のネットワークを介して接続されているユーザ端末のネットワーク接続を制御するプログラムであって、
前記認証装置に、
前記ユーザ端末から前記第1のネットワークとの接続について切断要求を受信した場合又はそれより前に、アドレスと当該アドレスの割付可否の情報とが対応付けられて登録されている割付アドレス格納部から、前記ユーザ端末が現在使用しているアドレスとは別の割付可能なアドレスを抽出するステップと、
抽出されたアドレスを、所定時間有効な再接続用のアドレスとして前記ユーザ端末に送信するステップと、
前記ユーザ端末の、前記第1のネットワークからの切断時に、前記ゲートウェイに、前記現在使用しているアドレスから前記再接続用のアドレスへ、前記ゲートウェイの前記アドレスフィルタテーブルを更新させるステップと、
を実行させ、
前記所定時間内に前記再接続用のアドレスで前記ユーザ端末から前記第1のネットワークへの再接続が要求された場合、前記認証装置による認証を経ずに、前記ゲートウェイにおいて前記第1のネットワークへの再接続を許可させる
ことを特徴とするネットワーク接続制御プログラム。
【0145】
(付記2)
第1のネットワークとの接続が許可されているアドレスが登録されているアドレスフィルタテーブルを有するゲートウェイに接続されている認証装置による認証が完了して前記ゲートウェイを介して前記第1のネットワークへの接続が行われており且つ前記ゲートウェイと第2のネットワークを介して接続されているユーザ端末のネットワーク接続を制御するプログラムであって、
前記認証装置に、
前記ユーザ端末から前記第1のネットワークとの接続について切断要求を受信した場合又はそれより前に、前記ユーザ端末が現在使用しているアドレスとは別の割付可能なアドレスを再接続用のアドレスとして生成する生成ステップと、
前記ユーザ端末の、前記第1のネットワークからの切断時に、前記ゲートウェイに、前記現在使用しているアドレスから所定時間有効な前記再接続用のアドレスへ、前記ゲートウェイの前記アドレスフィルタテーブルを更新させるステップと、
を実行させ、
前記所定時間内に前記再接続用のアドレスと同一のアドレスで前記ユーザ端末から前記第1のネットワークへの再接続が要求された場合、前記認証装置による認証を経ずに、前記ゲートウェイにおいて前記第1のネットワークへの再接続を許可させる
ことを特徴とするネットワーク接続制御プログラム。
【0146】
(付記3)
前記所定時間後に、前記ゲートウェイに、前記ゲートウェイに現在接続中のユーザ端末のアドレスを管理する管理テーブルに前記再接続用のアドレスが登録されていない場合には前記アドレスフィルタテーブルに登録されている前記再接続用のアドレスを削除させるステップ
を前記認証装置にさらに実行させる付記1又は2記載のネットワーク接続制御プログラム。
【0147】
(付記4)
前記ユーザ端末が現在使用しているアドレスが、前記認証の完了時に、前記割付アドレス格納部において割付可能なアドレスで前記認証装置から前記ユーザ端末に送付されたものである
付記1乃至3いずれか1つ記載のネットワーク接続制御プログラム。
【0148】
(付記5)
前記生成ステップにおいて、
前記ユーザ端末と共通のキーと、前記ユーザ端末から受信したメッセージの所定位置に含まれる情報とを、前記ユーザ端末と共通の所定のアルゴリズムで処理することによって、前記ユーザ端末と共通する前記再接続用のアドレスを生成する
付記2記載のネットワーク接続制御プログラム。
【0149】
(付記6)
付記1乃至5いずれか1つに記載のアドレスが、MACアドレス又はIPアドレスであるネットワーク接続制御プログラム。
【0150】
(付記7)
第1のネットワークとの接続が許可されているアドレスが登録されているアドレスフィルタテーブルを有するゲートウェイに接続されている認証装置による認証が完了して前記ゲートウェイを介して前記第1のネットワークへの接続が行われており且つ前記ゲートウェイと第2のネットワークを介して接続されているユーザ端末に、
前記第1のネットワークとの接続について切断要求を送信した後又はそれ以前に、前記ユーザ端末が現在使用しているアドレスとは別のアドレスを所定時間有効な再接続用のアドレスとして受信し、再接続用アドレス格納部に格納するステップと、
前記第1のネットワークとの接続が切断された後前記所定時間内であれば、前記認証装置による認証を受けることなく、前記再接続用アドレス格納部に格納されている前記再接続用のアドレスで前記第1のネットワークへ再接続をするステップと、
を実行させるためのネットワーク接続プログラム。
【0151】
(付記8)
第1のネットワークとの接続が許可されているアドレスが登録されているアドレスフィルタテーブルを有するゲートウェイに接続されている認証装置による認証が完了して前記ゲートウェイを介して前記第1のネットワークへの接続が行われており且つ前記ゲートウェイと第2のネットワークを介して接続されているユーザ端末に、
前記第1のネットワークとの接続について切断要求を送信した後又はそれ以前に、前記ユーザ端末が現在使用しているアドレスとは別で且つ前記認証装置により生成されるアドレスと同一のアドレスを所定時間有効な再接続用のアドレスとして生成し、再接続用アドレス格納部に格納する生成ステップと、
前記第1のネットワークとの接続が切断された後前記所定時間内であれば、前記認証装置による認証を受けることなく、前記再接続用アドレス格納部に格納されている前記再接続用のアドレスで前記第1のネットワークへ再接続をするステップと、
を実行させるためのネットワーク接続プログラム。
【0152】
(付記9)
前記生成ステップにおいて、
前記認証装置と共通のキーと、前記認証装置へ送信したメッセージの所定位置に含まれる情報とを、前記認証装置と共通の所定のアルゴリズムで処理することによって、前記認証装置と共通する前記再接続用のアドレスを生成する
付記8記載のネットワーク接続プログラム。
【0153】
(付記10)
第1のネットワークとの接続が許可されているアドレスが登録されているアドレスフィルタテーブルを有するゲートウェイに接続されている認証装置による認証が完了して前記ゲートウェイを介して前記第1のネットワークへの接続が行われており且つ前記ゲートウェイと第2のネットワークを介して接続されているユーザ端末のネットワーク接続を制御するネットワーク接続制御方法であって、
前記ユーザ端末から前記第1のネットワークとの接続について切断要求を受信した場合又はそれより前に、前記認証装置が、アドレスと当該アドレスの割付可否の情報とが対応付けられて登録されている割付アドレス格納部から、前記ユーザ端末が現在使用しているアドレスとは別の割付可能なアドレスを抽出するステップと、
前記認証装置が、抽出されたアドレスを、所定時間有効な再接続用のアドレスとして前記ユーザ端末に送信するステップと、
前記認証装置が、前記ユーザ端末の、前記第1のネットワークからの切断時に、前記ゲートウェイに、前記現在使用しているアドレスから前記再接続用のアドレスへ、前記ゲートウェイの前記アドレスフィルタテーブルを更新させるステップと、
を含み、
前記所定時間内に前記再接続用のアドレスで前記ユーザ端末から前記第1のネットワークへの再接続が要求された場合、前記認証装置による認証を経ずに、前記ゲートウェイにおいて前記第1のネットワークへの再接続を許可する
ことを特徴とするネットワーク接続制御方法。
【0154】
(付記11)
第1のネットワークとの接続が許可されているアドレスが登録されているアドレスフィルタテーブルを有するゲートウェイに接続されている認証装置による認証が完了して前記ゲートウェイを介して前記第1のネットワークへの接続が行われており且つ前記ゲートウェイと第2のネットワークを介して接続されているユーザ端末のネットワーク接続を制御するネットワーク接続制御方法であって、
前記ユーザ端末から前記第1のネットワークとの接続について切断要求を受信した場合又はそれより前に、前記認証装置が、前記ユーザ端末が現在使用しているアドレスとは別の割付可能なアドレスを再接続用のアドレスとして生成する生成ステップと、
前記認証装置が、前記ユーザ端末の、前記第1のネットワークからの切断時に、前記ゲートウェイに、前記現在使用しているアドレスから所定時間有効な前記再接続用のアドレスへ、前記ゲートウェイの前記アドレスフィルタテーブルを更新させるステップと、
を含み、
前記所定時間内に前記再接続用のアドレスと同一のアドレスで前記ユーザ端末から前記第1のネットワークへの再接続が要求された場合、前記認証装置による認証を経ずに、前記ゲートウェイにおいて前記第1のネットワークへの再接続を許可する
ことを特徴とするネットワーク接続制御方法。
【0155】
(付記12)
第1のネットワークとの接続が許可されているアドレスが登録されているアドレスフィルタテーブルを有するゲートウェイに接続されている認証装置による認証が完了して前記ゲートウェイを介して前記第1のネットワークへの接続が行われており且つ前記ゲートウェイと第2のネットワークを介して接続されているユーザ端末により実行されるネットワーク接続方法であって、
前記第1のネットワークとの接続について切断要求を送信した後又はそれ以前に、前記ユーザ端末が現在使用しているアドレスとは別のアドレスを所定時間有効な再接続用のアドレスとして受信し、再接続用アドレス格納部に格納するステップと、
前記第1のネットワークとの接続が切断された後前記所定時間内であれば、前記認証装置による認証を受けることなく、前記再接続用アドレス格納部に格納されている前記再接続用のアドレスで前記第1のネットワークへ再接続をするステップと、
を含むネットワーク接続方法。
【0156】
(付記13)
第1のネットワークとの接続が許可されているアドレスが登録されているアドレスフィルタテーブルを有するゲートウェイに接続されている認証装置による認証が完了して前記ゲートウェイを介して前記第1のネットワークへの接続が行われており且つ前記ゲートウェイと第2のネットワークを介して接続されているユーザ端末により実行されるネットワーク接続方法であって、
前記第1のネットワークとの接続について切断要求を送信した後又はそれ以前に、前記ユーザ端末が現在使用しているアドレスとは別で且つ前記認証装置により生成されるアドレスと同一のアドレスを所定時間有効な再接続用のアドレスとして生成し、再接続用アドレス格納部に格納するステップと、
前記第1のネットワークとの接続が切断された後前記所定時間内であれば、前記認証装置による認証を受けることなく、前記再接続用アドレス格納部に格納されている前記再接続用のアドレスで前記第1のネットワークへ再接続をするステップと、
を含むネットワーク接続方法。
【0157】
(付記14)
第1のネットワークとの接続が許可されているアドレスが登録されているアドレスフィルタテーブルを有するゲートウェイに第2のネットワークを介して接続し且つ認証済みで前記第1のネットワークに接続しているユーザ端末のネットワーク接続を制御する認証装置であって、
前記ユーザ端末から前記第1のネットワークとの接続について切断要求を受信した場合又はそれより前に、アドレスと当該アドレスの割付可否の情報とが対応付けられて登録されている割付アドレス格納部から、前記ユーザ端末が現在使用しているアドレスとは別の割付可能なアドレスを抽出し、抽出されたアドレスを、所定時間有効な再接続用のアドレスとして前記ユーザ端末に送信する認証処理手段と、
前記ユーザ端末の、前記第1のネットワークからの切断時に、前記ゲートウェイに、前記現在使用しているアドレスから前記再接続用のアドレスへ、前記ゲートウェイの前記アドレスフィルタテーブルを更新させるフィルタ設定管理手段と、
を有し、
前記所定時間内に前記再接続用のアドレスで前記ユーザ端末から前記第1のネットワークへの再接続が要求された場合、認証を行わずに、前記ゲートウェイにおいて前記第1のネットワークへの再接続を許可する
ことを特徴とする認証装置。
【0158】
(付記15)
第1のネットワークとの接続が許可されているアドレスが登録されているアドレスフィルタテーブルを有するゲートウェイに第2のネットワークを介して接続し且つ認証済みで前記第1のネットワークに接続しているユーザ端末のネットワーク接続を制御する認証装置であって、
前記ユーザ端末から前記第1のネットワークとの接続について切断要求を受信した場合又はそれより前に、前記ユーザ端末が現在使用しているアドレスとは別の割付可能なアドレスを再接続用のアドレスとして生成する再接続用割付アドレス生成手段と、
前記ユーザ端末の、前記第1のネットワークからの切断時に、前記ゲートウェイに、前記現在使用しているアドレスから所定時間有効な前記再接続用のアドレスへ、前記ゲートウェイの前記アドレスフィルタテーブルを更新させるフィルタ設定管理手段と、
を有し、
前記所定時間内に前記再接続用のアドレスと同一のアドレスで前記ユーザ端末から前記第1のネットワークへの再接続が要求された場合、認証を行わずに、前記ゲートウェイにおいて前記第1のネットワークへの再接続を許可する
ことを特徴とする認証装置。
【図面の簡単な説明】
【0159】
【図1】実施の形態1及び2におけるシステムの機能ブロック図である。
【図2】認証テーブル格納部に格納されるデータの一例を示す図である。
【図3】割付SrcMACアドレステーブル格納部に格納されるデータの一例を示す図である。
【図4】MACタイマに格納されるデータの一例を示す図である。
【図5】再接続用SrcMACアドレス格納部に格納されるデータの一例を示す図である。
【図6】MACフィルタテーブル格納部に格納されるデータの一例を示す図である。
【図7】MAC学習テーブル格納部に格納されるデータの一例を示す図である。
【図8】実施の形態1の接続要求処理の処理フローを示す図である。
【図9】実施の形態1の接続要求処理の処理フローを示す図である。
【図10】実施の形態1の切断要求処理の処理フローを示す図である。
【図11】実施の形態1の認証処理の処理フローを示す図である。
【図12】実施の形態1の切断処理の処理フローを示す図である。
【図13】実施の形態1のタイムアウト処理の処理フローを示す図である。
【図14】割付SrcMACアドレステーブル格納部に格納されるデータの一例を示す図である。
【図15】実施の形態2の接続要求処理の処理フローを示す図である。
【図16】実施の形態2の切断要求処理の処理フローを示す図である。
【図17】実施の形態2の認証処理の処理フローを示す図である。
【図18】実施の形態2の切断処理の処理フローを示す図である。
【図19】実施の形態3及び4におけるシステムの機能ブロック図である。
【図20】実施の形態3の切断要求処理の処理フローを示す図である。
【図21】実施の形態3の切断処理の処理フローを示す図である。
【図22】実施の形態4の接続要求処理の処理フローを示す図である。
【図23】実施の形態4の接続要求処理の処理フローを示す図である。
【図24】実施の形態4の認証処理の処理フローを示す図である。
【図25】コンピュータの機能ブロック図である。
【符号の説明】
【0160】
1 ネットワーク 3 認証装置 5 ユーザ端末
7 ゲートウェイ 9 サーバ
31 認証テーブル格納部 32 認証処理部
33 割付SrcMACアドレステーブル格納部
34 MACフィルタ設定管理部 35 MACタイマ
36 再接続用割付SrcMACアドレス生成部
51 認証要求部 52 再接続用SrcMACアドレス格納部
53 通信管理部
54 再接続用SrcMACアドレス生成部
71 MACフィルタテーブル管理部
72 MACフィルタテーブル格納部
73 MACフィルタリング部
74 MAC学習テーブル格納部
【技術分野】
【0001】
本技術は、ネットワークへの接続制御技術に関する。
【背景技術】
【0002】
利用開始時に認証が必要なアクセス回線を介してネットワークに接続し、当該ネットワークを介してユーザ所望のサービスなどを利用した後、何らかの理由で一旦回線を切断したが、すぐに再度同じ回線に接続しなければならないような場合がある。このような場合には、通常、アクセス回線の認証を再度行ってから再接続を行う。具体的には、(1)認証情報(ユーザIDとパスワード)をユーザが再度手動で入力して接続する、(2)認証情報を端末に覚えさせておいて、再接続時に通信プログラムがこれを読み取り、ユーザの介在なしに接続する、といった方法により再接続を行う。
【特許文献1】特開平11−187146号公報
【特許文献2】特開平11−298552号公報
【特許文献3】特開2002−215015号公報
【発明の開示】
【発明が解決しようとする課題】
【0003】
しかし、上記のような技術では、再接続の度に認証装置等において認証のための処理を行う必要があるため、認証装置等にオーバーヘッドがかかる。そして、認証のための処理に時間がかかるため、ネットワークのユーザは、すぐにはネットワークに再接続することができないという問題がある。但し、本来認証を行う必要があるアクセス回線であるから、単純に認証を省略できるわけではない。
【0004】
従って、本技術の目的は、認証処理のための処理負荷を軽減しつつ且つセキュリティを劣化させることなく、ユーザ端末のネットワーク接続をスムーズに行わせることができるようにすることである。
【課題を解決するための手段】
【0005】
本技術の第1の態様に係るネットワーク接続制御方法は、第1のネットワークとの接続が許可されているアドレスが登録されているアドレスフィルタテーブルを有するゲートウェイに接続されている認証装置による認証が完了してゲートウェイを介して第1のネットワークへの接続が行われており且つゲートウェイと第2のネットワークを介して接続されているユーザ端末のネットワーク接続を制御するネットワーク接続制御方法である。そして、本方法は、ユーザ端末から第1のネットワークとの接続について切断要求を受信した場合又はそれより前に、認証装置が、アドレスと当該アドレスの割付可否の情報とが対応付けられて登録されている割付アドレス格納部から、ユーザ端末が現在使用しているアドレスとは別の割付可能なアドレスを抽出するステップと、認証装置が、抽出されたアドレスを、所定時間有効な再接続用のアドレスとしてユーザ端末に送信するステップと、認証装置が、ユーザ端末の、第1のネットワークからの切断時に、ゲートウェイに、現在使用しているアドレスから再接続用のアドレスへ、ゲートウェイのアドレスフィルタテーブルを更新させるステップとを含む。さらに、所定時間内に再接続用のアドレスでユーザ端末から第1のネットワークへの再接続が要求された場合、認証装置による認証を経ずに、ゲートウェイにおいて第1のネットワークへの再接続を許可するものである。
【0006】
本技術の第2の態様に係るネットワーク接続制御方法は、ユーザ端末から第1のネットワークとの接続について切断要求を受信した場合又はそれより前に、認証装置が、ユーザ端末が現在使用しているアドレスとは別の割付可能なアドレスを再接続用のアドレスとして生成する生成ステップと、認証装置が、ユーザ端末の、第1のネットワークからの切断時に、ゲートウェイに、現在使用しているアドレスから所定時間有効な再接続用のアドレスへ、ゲートウェイのアドレスフィルタテーブルを更新させるステップとを含む。そして、所定時間内に再接続用のアドレスと同一のアドレスでユーザ端末から第1のネットワークへの再接続が要求された場合、認証装置による認証を経ずに、ゲートウェイにおいて第1のネットワークへの再接続を許可するものである。
【0007】
本技術の第3の態様に係るネットワーク接続方法は、第1のネットワークとの接続が許可されているアドレスが登録されているアドレスフィルタテーブルを有するゲートウェイに接続されている認証装置による認証が完了してゲートウェイを介して第1のネットワークへの接続が行われており且つゲートウェイと第2のネットワークを介して接続されているユーザ端末により実行される。そして、本方法は、第1のネットワークとの接続について切断要求を送信した後又はそれ以前に、ユーザ端末が現在使用しているアドレスとは別のアドレスを所定時間有効な再接続用のアドレスとして受信し、再接続用アドレス格納部に格納するステップと、第1のネットワークとの接続が切断された後所定時間内であれば、認証装置による認証を受けることなく、再接続用アドレス格納部に格納されている再接続用のアドレスで第1のネットワークへ再接続をするステップとを含む。
【0008】
本技術の第4の態様に係るネットワーク接続方法は、第1のネットワークとの接続について切断要求を送信した後又はそれ以前に、ユーザ端末が現在使用しているアドレスとは別で且つ認証装置により生成されるアドレスと同一のアドレスを所定時間有効な再接続用のアドレスとして生成し、再接続用アドレス格納部に格納するステップと、第1のネットワークとの接続が切断された後所定時間内であれば、認証装置による認証を受けることなく、再接続用アドレス格納部に格納されている再接続用のアドレスで第1のネットワークへ再接続をするステップとを含む。
【発明の効果】
【0009】
認証処理のための処理負荷を軽減しつつ且つセキュリティを劣化させることなく、ユーザ端末のネットワーク接続をスムーズに行わせることができるようになる。
【発明を実施するための最良の形態】
【0010】
図1に本技術の実施の形態1及び2に係るシステム概要図を示す。実施の形態3及び4に係るシステム概要図については、後で図19を用いて説明する。図1では、ネットワーク1に、ゲートウェイ7と、例えばアプリケーションサーバであるサーバ9とが接続されている。ゲートウェイ7には、例えばRADIUS(Remote Authentication Dial In User Service)サーバである認証装置3が接続されている。また、ゲートウェイ7には、アクセス回線を通じて例えばパーソナルコンピュータやPDA(Personal Digital Assistant)であるユーザ端末5が接続されている。ここでは、ユーザ端末5とサーバ9はそれぞれ1つしか図示していないが、数に限定はない。
【0011】
認証装置3は、認証テーブル格納部31と、認証処理やSrcMACアドレスの送信を行う認証処理部32と、割付SrcMACアドレステーブル格納部33と、ゲートウェイ7におけるパケットの通過/遮断の制御を行うMACフィルタ設定管理部34と、MACタイマ35とを有する。Srcは、端末固有のMACアドレスとは異なることを示すために付されている。
【0012】
ユーザ端末5は、認証装置3に対して認証要求や切断要求を行いSrcMACアドレスを受信する認証要求部51と、再接続用SrcMACアドレス格納部52と、ユーザ端末5のMACアドレスを管理して通信を行う通信管理部53とを有する。
【0013】
ゲートウェイ7は、MACフィルタテーブル格納部72と、当該MACフィルタテーブル格納部72に格納されているデータを管理するMACフィルタテーブル管理部71と、MACフィルタテーブル格納部72に格納されているMACアドレスに従ってフィルタリングを行うMACフィルタリング部73と、MAC学習テーブル格納部74とを有する。
【0014】
図2に、認証テーブル格納部31に格納されているデータの一例を示す。図2の例では、ユーザIDの列201と、パスワードの列202と、端末のMACアドレスの列203とが含まれる。端末のMACアドレスの列203には、一時的にユーザ端末5に割付けられるMACアドレスではない、ユーザ端末5に固有のMACアドレスが格納されている。
【0015】
図3に、割付SrcMACアドレステーブル格納部33に格納されているデータの一例を示す。但し、ここでは実施の形態1で用いられる割付SrcMACアドレステーブル格納部33について示す。実施の形態2乃至4で用いられる割付SrcMACアドレステーブル格納部33については、後で図14を用いて説明する。図3の例では、割付SrcMACアドレスの列301と、割付可否フラグの列302とが含まれる。割付SrcMACアドレスの列301には、ユーザ端末5に割付けることができるMACアドレスが格納されている。割付可否フラグの列302には、割付SrcMACアドレスが割付可能か否かを示すフラグが格納されており、ここでは0が割付可を、1が割付不可を示す。なお、割付SrcMACアドレスの列301に格納されている割付SrcMACアドレスは、認証テーブル格納部31に格納されている端末のMACアドレスとは重複しないように選択されている。
【0016】
図4に、MACタイマ35に格納されているデータの一例を示す。図4の例では、再接続用SrcMACアドレスの列401と、有効期限の列402とが含まれる。再接続用SrcMACアドレスの列401には、ユーザ端末5に割付けることができるMACアドレスが格納されている。また、有効期限の列402には、それぞれの再接続用SrcMACアドレスに対応して、再接続用SrcMACアドレスの有効期限の情報が格納される。ユーザ端末5に割付けられていない再接続用SrcMACアドレスに対しては、有効期限の情報は格納されていない。
【0017】
図5に、再接続用SrcMACアドレス格納部52に格納されているデータの一例を示す。図5の例では、再接続用SrcMACアドレスの欄501と、有効期限の欄502とが含まれる。再接続用SrcMACアドレスの欄501には、再接続用SrcMACアドレスとして認証装置3から受信したMACアドレス又はユーザ端末5が生成したMACアドレスが格納される。有効期限の欄502には、再接続用SrcMACアドレスに対応する有効期限の情報が格納される。
【0018】
図6に、MACフィルタテーブル格納部72に格納されているデータの一例を示す。図6の例では、エントリ番号の列601と、接続を許可するMACアドレスの列602とが含まれる。接続を許可するMACアドレスの列602に格納されているMACアドレスのいずれかで通信を行うユーザ端末5からのパケットは、ゲートウェイ7を通過することができる。なお、本テーブルにおけるエントリの登録・削除は、認証装置3から外部インタフェースを通してMACフィルタ設定管理部34に指示されることにより行われる。
【0019】
図7に、MAC学習テーブル格納部74に格納されているデータの一例を示す。図7の例では、エントリ番号の列701と、ポート番号の列702と、MACアドレスの列703とが含まれる。ゲートウェイ7は、例えば一般的なレイヤ2スイッチであり、当該レイヤ2スイッチは、MAC学習テーブル格納部74のようなデータを管理している。図示していないが、ゲートウェイ7は、受信パケットを監視することで、どのポートにどのようなMACアドレスの端末などが接続しているかを検知し、MAC学習テーブル格納部74のようなデータを生成・管理する機能を有している。MAC学習テーブル格納部74は、通常、受信パケットをどのポートに出力するかを判断するために用いられる。但し、以下で述べるように、本実施の形態では、MACフィルタテーブルのエントリ削除に用いられる。すなわち、有効期限の切れた再接続用SrcMACアドレスであって、且つMAC学習テーブル格納部74に格納されていない再接続用SrcMACアドレスが、現在接続に用いられていないMACアドレスであるとして、MACフィルタテーブル格納部72から削除される。
【0020】
以下、実施の形態1乃至4について順に説明する。
【0021】
まず、実施の形態1について説明する。実施の形態1に係る処理は、(1)ユーザ端末5から認証装置3への認証要求時、接続用SrcMACアドレスが認証装置3からユーザ端末5へ送信される点、(2)ユーザ端末5から認証装置3への切断要求時、所定時間有効な再接続用SrcMACアドレスが認証装置3からユーザ端末5へ送信される点を特徴とする。(1)に対応するユーザ端末5及び認証装置3の処理として、接続要求処理及び認証処理について以下で説明する。また、(2)に対応するユーザ端末5及び認証装置3の処理として、切断要求処理及び切断処理について以下で説明する。また、実施の形態1乃至4に共通する処理であるタイムアウト処理についても説明する。
【0022】
まず、図8及び9を用いて、ユーザ端末5における接続要求処理の内容を説明する。接続要求処理は、ユーザ端末5がネットワーク1への接続を行う際の処理である。
【0023】
ユーザ端末5の通信管理部53は、ユーザからの指示に応じて表示装置に接続指示を促す画面を表示し、ユーザから接続先の指定を含む接続指示が入力されると、当該接続指示を受け付ける(図8:ステップS1)。そして、通信管理部53は、指定された接続先が認証装置であるか判断する(ステップS3)。指定された接続先が認証装置である場合(ステップS3:Yesルート)、ユーザ端末5の認証要求部51は、表示装置にユーザIDとパスワードとの入力を促す画面を表示し、ユーザからユーザIDとパスワードとが入力され且つ送信が指示されると、当該指示を認証の要求として受け付ける(ステップS13)。
【0024】
そして、認証要求部51は、ユーザIDとパスワードとを含む認証要求を認証装置3に送信する(ステップS15)。ゲートウェイ7は認証要求を受信すると、当該認証要求を認証装置3へ中継し、認証装置3は当該認証要求を受信して認証処理等を実施する。詳細は後に述べる。
【0025】
そして、ユーザ端末5の認証要求部51は、応答待ちタイマをスタートさせ、認証装置3からの応答メッセージの受信を待つ(ステップS17)。処理は、端子Aを介して図9のステップS19へ移行する。
【0026】
一方、指定された接続先が認証装置でない場合(ステップS3:Noルート)、短時間での再接続の可能性があるので、通信管理部53は、再接続用SrcMACアドレスが再接続用SrcMACアドレス格納部52に格納されているか確認する(ステップS5)。再接続用SrcMACアドレスが再接続用SrcMACアドレス格納部52に格納されていない場合(ステップS5:Noルート)、認証装置3による認証を受ける必要があるので、処理はステップS13へ移行する。
【0027】
一方、再接続用SrcMACアドレスが再接続用SrcMACアドレス格納部52に格納されている場合(ステップS5:Yesルート)、認証なしでネットワーク1に接続可能か判断するため、通信管理部53は、再接続用SrcMACアドレス格納部52に格納されている有効期限の情報を確認する(ステップS7)。以下で説明するように、正常に切断処理を行っていれば、再接続用SrcMACアドレス格納部52に再接続用SrcMACアドレスと有効期限の情報とが格納されているはずである。そして、現在日時が有効期限内でない場合(ステップS7:Noルート)、再接続用SrcMACアドレスと有効期限の情報とを削除し、処理はステップS13へ移行する。再接続用SrcMACアドレスは、所定の時間を経過したら無効になるので、認証装置3による認証を再度受ける必要がある。
【0028】
一方、現在日時が有効期限内である場合(ステップS7:Yesルート)、通信管理部53は、再接続用SrcMACアドレスを含むパケットを指定された接続先(例えばサーバ9)へ送信する(ステップS9)。そして、通信管理部53は、通信が成功したか判断する(ステップS11)。通信が成功しない場合(ステップS11:Noルート)、処理はステップS13へ移行する。何らかのエラーにより、通信が失敗した場合にも、認証装置3による認証を受けるようにするものである。一方、通信が成功した場合(ステップS11:Yesルート)、すなわち、ゲートウェイ7は、ユーザ端末5から再接続用SrcMACアドレスを含むパケットを受信して同一のMACアドレスがMACフィルタテーブル格納部72に格納されている場合には当該パケットを通過させることができ、ユーザ端末5はネットワーク1のサーバ9に正常に接続できるので、処理は端子Bを介して図9の処理へ移行して、終了する。このように、再接続用SrcMACアドレスの有効期限内であれば、ユーザは認証情報(例えばユーザIDとパスワード)を手動で入力する必要がなく、簡易にユーザ端末5をネットワーク1に接続させることができる。
【0029】
なお、ユーザ端末5が再接続を行う場合には、それ以前に用いていたSrcMACアドレス(古いMACアドレス)とは異なる再接続用SrcMACアドレス(新しいMACアドレス)で通信を行うことになる。この場合、ユーザ端末5と通信を行うコンピュータ(例えばサーバ9)は、ユーザ端末5の新しいMACアドレスを知らないが、当該コンピュータが保持するARPテーブル(IPアドレスとMACアドレスの対応付けを記したテーブル)に登録された古いMACアドレスのエントリは通常60秒程度で削除されるため、問題は生じない。すなわち、当該コンピュータは再度ARP処理を行い、ユーザ端末5のIPアドレスに対する新しいMACアドレスを取得してARPテーブルに登録することにより、ユーザ端末5と正常に通信を行うことができる。
【0030】
次に、図9について説明する。認証要求部51は、応答待ちタイマがタイムアウトしたか判断する(図9:ステップS19)。応答待ちタイマがタイムアウトした場合(ステップS19:Yesルート)、認証要求部51は、応答待ちタイマをクリアして、表示装置に「認証不能」を示すメッセージを表示し(ステップS21)、処理は終了する。これにより、ユーザは、認証装置3による認証処理が正常に行われなかったことを認識できる。
【0031】
一方、応答待ちタイマがタイムアウトしていない場合(ステップS19:Noルート)、認証要求部51は、接続用SrcMACアドレスを含む応答メッセージを認証装置3から受信したか判断する(ステップS23)。認証装置3から応答メッセージを受信していない場合(ステップS23:Noルート)、処理はステップS19へ戻る。一方、認証装置3から応答メッセージを受信した場合(ステップS23:Yesルート)、認証要求部51は、応答待ちタイマをクリアする(ステップS25)。接続用SrcMACアドレスは、認証に成功した場合に認証装置3からユーザ端末5へ付与されるMACアドレスであり、ユーザ端末5は、送信パケットに当該MACアドレスを付加することにより、ネットワーク1側の装置と通信を行うことができるようになる。
【0032】
そして、認証要求部51は、応答メッセージの内容を確認する(ステップS27)。応答メッセージの内容が「認証成功」を示すものではない場合(ステップS27:Noルート)、認証要求部51は、表示装置に「認証失敗」を示すメッセージを表示し(ステップS29)、処理は終了する。これにより、ユーザは、認証が失敗したことを認識できる。一方、応答メッセージの内容が「認証成功」を示すものである場合(ステップS27:Yesルート)、認証要求部51は、応答メッセージに含まれる接続用SrcMACアドレスを、例えばメインメモリ等の記憶装置に格納する(ステップS31)。
【0033】
そして、通信管理部53は、接続先の入力を促す画面を表示し、ユーザから接続先が指定され且つ接続が指示されると、当該指示を指定接続先への接続の要求として受け付け、メインメモリ等の記憶装置に格納された接続用SrcMACアドレスを含むパケットをユーザ指定の接続先へ送信する(ステップS33)。
【0034】
そして、通信管理部53は、通信が成功したか判断する(ステップS35)。通信が成功した場合(ステップS35:Yesルート)、すなわち、ゲートウェイ7は、ユーザ端末5から接続用SrcMACアドレスを含むパケットを受信して同一のMACアドレスがMACフィルタテーブル格納部72に格納されている場合には当該パケットを通過させることができ、ユーザ端末5はネットワーク1のサーバ9に正常に接続できるので、処理は終了する。一方、通信が成功しない場合(ステップS35:Noルート)、通信管理部53は、「通信失敗」を示すメッセージを表示装置に表示し(ステップS37)、処理は終了する。これにより、ユーザは、何らかのエラーにより通信が失敗したことを認識できる。以上が、ユーザ端末5における接続要求処理の内容である。
【0035】
次に、図10を用いて、ユーザ端末5における切断要求処理の内容を説明する。切断要求処理は、ユーザ端末5がネットワーク1との接続を終了する際に行う処理である。
【0036】
ユーザ端末5の認証要求部51は、ネットワーク1との接続中にユーザから切断の指示を受け付けると、切断要求を認証装置3に送信する(図10:ステップS41)。認証装置3は、以下で述べるように、再接続用SrcMACアドレスを用意して返信する処理を実施する。そして、認証要求部51は、応答待ちタイマをスタートさせ、認証装置3からの応答を待つ(ステップS43)。
【0037】
そして、認証要求部51は、応答待ちタイマがタイムアウトしたか判断する(ステップS45)。応答待ちタイマがタイムアウトした場合(ステップS45:Yesルート)、認証要求部51は、応答待ちタイマをクリアする(ステップS47)。さらに、認証要求部51は、再接続用SrcMACアドレス格納部52に格納されている再接続用SrcMACアドレスと有効期限の情報とを削除し(ステップS49)、処理は終了する。切断が正常に行われなかった場合、次に接続を行う際には、再び認証を受けるようにするためである。但し、認証時に付与された接続用SrcMACアドレスで接続していた場合には、再接続用SrcMACアドレス格納部52には再接続用SrcMACアドレスと有効期限の情報とは格納されていないため、ステップS49の処理をスキップする。
【0038】
一方、応答待ちタイマがタイムアウトしていない場合(ステップS45:Noルート)、認証要求部51は、認証装置3から再接続用SrcMACアドレスと有効期限の情報とを受信したか判断する(ステップS51)。受信していない場合(ステップS51:Noルート)、ステップS45に戻る。一方、受信した場合(ステップS51:Yesルート)、認証要求部51は、応答待ちタイマをクリアする(ステップS53)。そして、再接続用SrcMACアドレスと有効期限の情報とを再接続用SrcMACアドレス格納部52に格納し(ステップS55)、処理は終了する。なお、有効期限内であれば、再接続用SrcMACアドレスと同一のMACアドレスがゲートウェイ7のMACフィルタテーブル格納部72に格納されている。したがって、当該MACアドレスを含むパケットは、MACフィルタリング部73によるフィルタリングを受けずにゲートウェイ7を通過することができ、ユーザ端末5はネットワーク1のサーバ9に正常に接続することができる。また、再接続用SrcMACアドレスとしてユーザ端末5に割付けられるSrcMACアドレスは、割付SrcMACアドレステーブル格納部33で管理され、他のユーザ端末に割付けられるSrcMACアドレスや、認証テーブル格納部31に格納されている端末に固有のMACアドレスとは重複しないように選択される。詳細は後に述べる。以上で、ユーザ端末5における切断要求処理は終了する。
【0039】
次に、図11を用いて、認証装置3における認証処理の内容を説明する。認証処理は、認証装置3がユーザ端末5から認証要求を受信した場合に行う処理である。
【0040】
認証装置3の認証処理部32は、ユーザ端末5からユーザIDとパスワードとを含む認証要求を受信し、メインメモリ等の記憶装置に格納する(図11:ステップS61)。そして、認証処理部32は、受信したユーザIDに対応付けられて登録されているパスワードを認証テーブル格納部31から特定し、受信したパスワードと一致するか判断する(ステップS63)。パスワードが一致しないと判断した場合(ステップS63:Noルート)、認証処理部32は、「認証失敗」を示す応答メッセージをユーザ端末5に送信し(ステップS65)、処理は終了する。
【0041】
一方、パスワードが一致すると判断した場合(ステップS63:Yesルート)、認証処理部32は、割付SrcMACアドレステーブル格納部33に格納されている割付可能なSrcMACアドレスを1つ特定し、メインメモリ等の記憶装置に格納する(ステップS67)。ここでは、割付可否フラグを参照し、フラグが0(割付可)であるSrcMACアドレスの1つを接続用SrcMACアドレスとして特定している。また、特定したSrcMACアドレスに対応する割付可否フラグを1(割付不可)に変更する(ステップS69)。そして、認証処理部32は、特定した接続用SrcMACアドレスを含む「認証成功」の応答メッセージを、ユーザ端末5に送信する(ステップS71)。
【0042】
なお、ステップS63においては、パスワードが一致するかを確認するとともに、認証要求に含まれるユーザ端末5の固有のMACアドレスと、受信したユーザIDに対応付けられて認証テーブル格納部31に格納されている端末のMACアドレスとが一致するかの確認も行うようにしてもよい。予め登録されているユーザ端末についてのみ接続用SrcMACアドレス等を付与するものである。また、認証装置3が認証テーブル格納部31を用いてユーザ端末5に固有のMACアドレスを管理し、当該MACアドレスと重複するようなMACアドレスをSrcMACアドレスとして割付けないようにしている。
【0043】
そして、認証装置3のMACフィルタ設定管理部34は、ゲートウェイ7のMACフィルタテーブル管理部71に対し、メインメモリ等の記憶装置に格納された接続用SrcMACアドレスをMACフィルタテーブル格納部72へ登録するように指示し、MACフィルタテーブル管理部71により、MACフィルタテーブルに接続用SrcMACアドレスが登録される(ステップS73)。これにより、ゲートウェイ7のMACフィルタリング部73は、当該接続用SrcMACアドレスを含むパケットを、ネットワーク1側に通過させるようになる。以上で、認証装置3における認証処理が終了する。
【0044】
次に、図12を用いて、認証装置3における切断処理の内容を説明する。切断処理は、認証装置3がユーザ端末5から切断要求を受信した場合に行う処理である。
【0045】
認証装置3の認証処理部32は、ユーザ端末5から切断要求を受信し、メインメモリ等の記憶装置に格納する(図12:ステップS81)。そして、認証処理部32は、割付SrcMACアドレステーブル格納部33に格納されている割付可能なSrcMACアドレスを1つ特定し、メインメモリ等の記憶装置に格納する(ステップS83)。ここでは、割付可否フラグを参照し、フラグが0であるSrcMACアドレスを再接続用SrcMACアドレスとして特定している。また、特定したMACアドレスに対応する割付可否フラグを1に変更するとともに、切断要求に含まれるMACアドレス(ユーザ端末5が現在使用しているSrcMACアドレス)に対応する割付可否フラグを0に変更する(ステップS85)。
【0046】
そして、認証処理部32は、有効期限の情報を生成してメインメモリ等の記憶装置に格納するとともに、特定した再接続用SrcMACアドレスと有効期限の情報とをユーザ端末5にセキュアなパス(例えばSSL(Secure Sockets Layer))で送信する(ステップS87)。有効期限の情報は任意に設定されるものであり、例えば、現時点から1時間程度後の時刻とすることができる。ユーザ端末5は、図10のステップS55で述べたように、再接続用SrcMACアドレスと有効期限の情報とを再接続用SrcMACアドレス格納部52に格納する。
【0047】
そして、認証装置3のMACフィルタ設定管理部34は、ゲートウェイ7のMACフィルタテーブル管理部71に対し、メインメモリ等の記憶装置に格納された切断要求に含まれ且つMACフィルタテーブル格納部72に登録されているMACアドレスを、メインメモリ等の記憶装置に格納された再接続用SrcMACアドレスへ変更するように指示し、MACフィルタテーブル管理部71により、MACフィルタテーブルが変更される(ステップS89)。これにより、ゲートウェイ7のMACフィルタリング部73は、当該再接続用SrcMACアドレスを含むパケットを、ネットワーク1側に通過させるようになる。
【0048】
そして、認証装置3のMACフィルタ設定管理部34は、メインメモリ等の記憶装置に格納された切断要求に含まれるMACアドレスに対応する有効期限の情報を、MACタイマ35から削除する(ステップS91)。但し、切断要求に含まれるユーザ端末5のMACアドレスに対応する有効期限の情報がMACタイマ35に格納されていない場合、すなわち当該MACアドレスが認証時に付与された接続用SrcMACアドレスである場合には、ステップS91の処理をスキップする。
【0049】
そして、MACフィルタ設定管理部34は、メインメモリ等の記憶装置に格納された有効期限の情報を再接続用SrcMACアドレスに対応付けてMACタイマ35に格納する(ステップS93)。MACタイマ35に格納されている有効期限の情報は、MACフィルタ設定管理部34に監視され、有効期限になるとタイムアウト処理が行われる。詳細は後に述べる。以上で、切断処理が終了する。
【0050】
次に、図13を用いて、認証装置3におけるタイムアウト処理の内容を説明する。タイムアウト処理は、再接続用SrcMACアドレスの有効期限が切れた場合に行われる処理である。
【0051】
MACフィルタ設定管理部34は、有効期限が切れた再接続用SrcMACアドレスを特定すると、当該再接続用SrcMACアドレスのエントリがゲートウェイ7のMAC学習テーブル格納部74に存在するか、ゲートウェイ7のMACフィルタテーブル管理部71に確認させる(ステップS101)。存在する場合は(ステップS101:Yesルート)、再接続用SrcMACアドレスで現在接続が行われているので、処理は終了する。一方、存在しない場合(ステップS101:Noルート)、MACフィルタ設定管理部34は、MACフィルタテーブル管理部71に、MACフィルタテーブル格納部72に格納されている当該再接続用SrcMACアドレスのエントリを削除させる(ステップS103)。これにより、ゲートウェイ7のMACフィルタリング部73は、当該再接続用SrcMACアドレスを含むパケットを、ネットワーク1側に通過させないようになる。
【0052】
そして、MACフィルタ設定管理部34は、割付SrcMACアドレステーブル格納部33から当該再接続用SrcMACアドレスに対応する割付可否フラグを特定し、当該割付可否フラグを変更する(ステップS105)。ここでは、1(割付不可)から0(割付可)へ変更する。また、MACフィルタ設定管理部34は、MACタイマ35から当該再接続用SrcMACアドレスに対応する有効期限の情報を特定し、削除する(ステップS107)。以上で、タイムアウト処理が終了する。
【0053】
以上述べたような実施の形態1の処理を行うことによって、ユーザが有効期限内にネットワーク1へ再接続する場合、認証装置3による認証を受ける必要がないので、スムーズにネットワーク1へ接続することができる。また、上記の場合には認証装置3は認証のための処理を行う必要がないので、認証装置3の負荷を減らすことができる。
【0054】
次に、実施の形態2について説明する。実施の形態2に係る処理は、(1)ユーザ端末5から認証装置3への認証要求時、認証装置3からユーザ端末5へ接続用SrcMACアドレスが送信され、さらに認証後切断要求に対する処理前に、認証装置3からユーザ端末5へ再接続用SrcMACアドレスが送信される点、(2)ユーザ端末5から認証装置3への切断要求時、認証装置3が、再接続用SrcMACアドレスでの接続を所定時間有効にする点を特徴とする。(1)に対応するユーザ端末5及び認証装置3の処理として、接続要求処理及び認証処理について以下で説明する。また、(2)に対応するユーザ端末5及び認証装置3の処理として、切断要求処理及び切断処理について以下で説明する。
【0055】
なお、実施の形態2では、図3に示す割付SrcMACアドレステーブル格納部33ではなく、図14に示す割付SrcMACアドレステーブル格納部33を用いている。図14の例では、端末のMACアドレスの列1401と、割付SrcMACアドレスの列1402と、割付可否フラグの列1403とが含まれる。端末のMACアドレスの列1401には、接続用又は再接続用として割付SrcMACアドレスがユーザ端末5に割付けられている間、当該ユーザ端末5に固有のMACアドレスが格納される。割付SrcMACアドレスの列1402には、ユーザ端末5に割付けることができるMACアドレスが格納されている。割付可否フラグの列1403には、割付SrcMACアドレスが割付可能か否かを示すフラグが格納されており、ここでは0が割付可を、1が割付不可(接続用SrcMACアドレスとして割付けられている)を、2が割付不可(再接続用SrcMACアドレスとして割付けられている)を示す。なお、割付SrcMACアドレスの列1402に格納されている割付SrcMACアドレスは、認証テーブル格納部31に格納されている端末のMACアドレス(及び端末のMACアドレスの列1401に格納されているMACアドレス)とは重複しないように選択されている。
【0056】
まず、ユーザ端末5における接続要求処理の内容を説明する。但し、接続要求処理の初めから端子Aまでの処理は、図8の処理と同じであるため説明を省略し、図15を用いて端子A以降の処理を説明する。
【0057】
認証要求部51は、応答待ちタイマがタイムアウトしたか判断する(図15:ステップS111)。応答待ちタイマがタイムアウトした場合(ステップS111:Yesルート)、認証要求部51は、応答待ちタイマをクリアして、表示装置に「認証不能」を示すメッセージを表示し(ステップS113)、処理は終了する。これにより、ユーザは、認証装置3による認証処理が正常に行われなかったことを認識できる。
【0058】
一方、応答待ちタイマがタイムアウトしていない場合(ステップS111:Noルート)、認証要求部51は、接続用SrcMACアドレスを含む応答メッセージを認証装置3から受信したか判断する(ステップS115)。認証装置3から応答メッセージを受信していない場合(ステップS115:Noルート)、処理はステップS111へ戻る。一方、認証装置3から応答メッセージを受信した場合(ステップS115:Yesルート)、認証要求部51は、応答待ちタイマをクリアする(ステップS117)。接続用SrcMACアドレスは、認証に成功した場合に認証装置3からユーザ端末5へ付与されるMACアドレスであり、ユーザ端末5は、送信パケットに当該MACアドレスを付加することにより、ネットワーク1側の装置と通信を行うことができるようになる。
【0059】
そして、認証要求部51は、応答メッセージの内容を確認する(ステップS119)。応答メッセージの内容が「認証成功」を示すものではない場合(ステップS119:Noルート)、認証要求部51は、表示装置に「認証失敗」を示すメッセージを表示し(ステップS121)、処理は終了する。これにより、ユーザは、認証が失敗したことを認識できる。一方、応答メッセージの内容が「認証成功」を示すものである場合(ステップS119:Yesルート)、認証要求部51は、応答メッセージに含まれる接続用SrcMACアドレスを、例えばメインメモリ等の記憶装置に格納する(ステップS123)。
【0060】
そして、通信管理部53は、接続先の入力を促す画面を表示し、ユーザから接続先が指定され且つ接続が指示されると、当該指示を指定接続先への接続の要求として受け付け、メインメモリ等の記憶装置に格納された接続用SrcMACアドレスを含むパケットをユーザ指定の接続先へ送信する(ステップS125)。
【0061】
そして、通信管理部53は、通信が成功したか判断する(ステップS127)。通信が成功しない場合(ステップS127:Noルート)、通信管理部53は、「通信失敗」を示すメッセージを表示装置に表示し(ステップS129)、処理は終了する。これにより、ユーザは、何らかのエラーにより通信が失敗したことを認識できる。一方、通信が成功した場合(ステップS127:Yesルート)、すなわち、ゲートウェイ7は、ユーザ端末5から接続用SrcMACアドレスを含むパケットを受信して同一のMACアドレスがMACフィルタテーブル格納部72に格納されている場合には当該パケットを通過させることができ、ユーザ端末5はネットワーク1のサーバ9に正常に接続できる。
【0062】
そして、認証要求部51は、再接続用SrcMACアドレスを認証装置3からセキュアなパス(例えばSSL)で受信し、再接続用SrcMACアドレス格納部52に格納し(ステップS131)、処理は終了する。なお、この段階では、再接続用SrcMACアドレスに対して有効期限は設定されておらず、現在の接続が切断されるときに有効期限が設定される。この処理の詳細については後で述べる。以上が、ユーザ端末5における接続要求処理の内容である。
【0063】
次に、図16を用いて、ユーザ端末5における切断要求処理の内容を説明する。まず、ユーザ端末5の認証要求部51は、ネットワーク1との接続中にユーザから切断の指示を受け付けると、切断要求を認証装置3に送信する(図16:ステップS141)。認証装置3は、以下で述べるように、切断の完了をユーザ端末5に通知する処理を実施する。そして、認証要求部51は、応答待ちタイマをスタートさせ、認証装置3からの応答を待つ(ステップS143)。
【0064】
そして、認証要求部51は、応答待ちタイマがタイムアウトしたか判断する(ステップS145)。応答待ちタイマがタイムアウトした場合(ステップS145:Yesルート)、認証要求部51は、応答待ちタイマをクリアする(ステップS147)。さらに、認証要求部51は、再接続用SrcMACアドレス格納部52に格納されている再接続用SrcMACアドレスと有効期限の情報とを削除し(ステップS149)、処理は終了する。切断が正常に行われなかった場合、次に接続を行う際には、再び認証を受けるようにするためである。但し、認証時に付与された接続用SrcMACアドレスで接続していた場合には、再接続用SrcMACアドレス格納部52には再接続用SrcMACアドレスと有効期限の情報とは格納されていないため、ステップS149の処理をスキップする。
【0065】
一方、応答待ちタイマがタイムアウトしていない場合(ステップS145:Noルート)、認証要求部51は、認証装置3から切断完了の通知を受信したか判断する(ステップS151)。受信していない場合(ステップS151:Noルート)、ステップS145に戻る。一方、受信した場合(ステップS151:Yesルート)、認証要求部51は、切断完了の通知をメインメモリ等の記憶装置に格納し、応答待ちタイマをクリアする(ステップS153)。
【0066】
そして、認証要求部51は、切断完了の通知に有効期限の情報が含まれているか判断する(ステップS155)。含まれている場合(ステップS155:Yesルート)、ユーザ端末5は認証時に付与された接続用SrcMACアドレスで接続中であり、再接続用SrcMACアドレスには有効期限が設定されていないので、認証要求部51は、有効期限の情報を再接続用SrcMACアドレス格納部52に格納し(ステップS161)、処理は終了する。
【0067】
一方、有効期限の情報が含まれていない場合(ステップS155:Noルート)、ユーザ端末5は再接続用SrcMACアドレスで接続中である。したがって、認証要求部51は、再接続用SrcMACアドレス格納部52に格納されている有効期限の情報を参照し、現在時刻が有効期限内であるか判断する(ステップS157)。有効期限内である場合(ステップS157:Yesルート)、再接続用SrcMACアドレスはまだ有効であるので、処理は終了する。
【0068】
なお、有効期限内であれば、再接続用SrcMACアドレスと同一のMACアドレスがゲートウェイ7のMACフィルタテーブル格納部72に格納されている。したがって、当該MACアドレスを含むパケットは、MACフィルタリング部73によるフィルタリングを受けずにゲートウェイ7を通過することができ、ユーザ端末5はネットワーク1のサーバ9に正常に接続することができる。また、再接続用SrcMACアドレスとしてユーザ端末5に割付けられるSrcMACアドレスは、割付SrcMACアドレステーブル格納部33で管理され、他のユーザ端末に割付けられるSrcMACアドレスや、認証テーブル格納部31に格納されている端末に固有のMACアドレスとは重複しないように選択される。詳細は後に述べる。
【0069】
一方、有効期限内でない場合(ステップS157:Noルート)、認証要求部51は、再接続用SrcMACアドレスは無効であるので、再接続用SrcMACアドレス格納部52に格納されている再接続用SrcMACアドレスと有効期限の情報とを削除し(ステップS159)、処理は終了する。以上で、ユーザ端末5における切断要求処理は終了する。
【0070】
次に、図17を用いて、認証装置3における認証処理の内容を説明する。まず、認証装置3の認証処理部32は、ユーザ端末5からユーザIDとパスワードとを含む認証要求を受信し、メインメモリ等の記憶装置に格納する(図17:ステップS171)。そして、認証処理部32は、受信したユーザIDに対応付けられて登録されているパスワードを認証テーブル格納部31から特定し、受信したパスワードと一致するか判断する(ステップS173)。パスワードが一致しないと判断した場合(ステップS173:Noルート)、認証処理部32は、「認証失敗」を示す応答メッセージをユーザ端末5に送信し(ステップS175)、処理は終了する。
【0071】
一方、パスワードが一致すると判断した場合(ステップS173:Yesルート)、認証処理部32は、割付SrcMACアドレステーブル格納部33に格納されている割付可能なSrcMACアドレスを1つ特定し、メインメモリ等の記憶装置に格納する(ステップS177)。ここでは、割付可否フラグを参照し、フラグが0(割付可)であるSrcMACアドレスの1つを接続用SrcMACアドレスとして特定している。また、特定したSrcMACアドレスに対応する割付可否フラグを1(接続用SrcMACアドレスとして割付けられているため割付不可)に変更するとともに、認証要求に含まれるユーザ端末5のMACアドレスを、特定したSrcMACアドレスに対応付けて格納する(ステップS179)。そして、認証処理部32は、特定した接続用SrcMACアドレスを含む「認証成功」の応答メッセージを、ユーザ端末5に送信する(ステップS181)。
【0072】
なお、ステップS173においては、パスワードが一致するかを確認するとともに、認証要求に含まれるユーザ端末5の固有のMACアドレスと、受信したユーザIDに対応付けられて認証テーブル格納部31に格納されている端末のMACアドレスとが一致するかの確認も行うようにしてもよい。予め登録されているユーザ端末についてのみ接続用SrcMACアドレス等を付与するものである。また、認証装置3が認証テーブル格納部31を用いてユーザ端末5に固有のMACアドレスを管理し、当該MACアドレスと重複するようなMACアドレスをSrcMACアドレスとして割付けないようにしている。
【0073】
そして、認証装置3のMACフィルタ設定管理部34は、ゲートウェイ7のMACフィルタテーブル管理部71に対し、メインメモリ等の記憶装置に格納された接続用SrcMACアドレスを、MACフィルタテーブル格納部72へ登録するように指示し、MACフィルタテーブル管理部71により、MACフィルタテーブルに接続用SrcMACアドレスが登録される(ステップS183)。これにより、ゲートウェイ7のMACフィルタリング部73は、当該接続用SrcMACアドレスを含むパケットを、ネットワーク1側に通過させるようになる。
【0074】
その後、ステップS183以降切断要求受信までの任意のタイミングで、認証装置3の認証処理部32は、割付SrcMACアドレステーブル格納部33に格納されている割付可能なSrcMACアドレスを1つ特定し、メインメモリ等の記憶装置に格納する(ステップS185)。ここでは、割付可否フラグを参照し、フラグが0(割付可)であるSrcMACアドレスの1つを再接続用SrcMACアドレスとして特定している。また、特定したSrcMACアドレスに対応する割付可否フラグを2(再接続用SrcMACアドレスとして割付けられているため割付不可)に変更するとともに、当該再接続用SrcMACアドレスに対応付けて、認証要求に含まれるユーザ端末5のMACアドレスを格納する(ステップS187)。
【0075】
そして、認証処理部32は、特定した再接続用SrcMACアドレスをユーザ端末5へセキュアなパス(例えばSSL)で送信し(ステップS189)、処理は終了する。以上で、認証装置3における認証処理が終了する。
【0076】
次に、図18を用いて、認証装置3における切断処理の内容を説明する。まず、認証装置3の認証処理部32は、ユーザ端末5から切断要求を受信し、メインメモリ等の記憶装置に格納する(図18:ステップS191)。そして、認証処理部32は、割付SrcMACアドレステーブル格納部33を参照し、切断要求に含まれるユーザ端末5のSrcMACアドレスに対応する割付フラグが2であるか(再接続用SrcMACアドレスであるか)判断する(ステップS193)。再接続用SrcMACアドレスである場合(ステップS193:Yesルート)、認証処理部32は、切断完了の通知をユーザ端末5へ送信し(ステップS195)、処理は終了する。当該再接続用SrcMACアドレスが有効期限内でない場合には、図13で説明したタイムアウト処理が行われ、当該再接続用SrcMACアドレスが有効期限内である場合には、当該再接続SrcMACアドレスは依然有効なままである。
【0077】
一方、再接続用SrcMACアドレスではない場合(ステップS193:Noルート)、ユーザ端末5は、認証時に付与された接続用SrcMACアドレスで現在接続中である。したがって、認証処理部32は、割付SrcMACアドレステーブル格納部33において、当該SrcMACアドレスに対応する割付可否フラグを1(接続用SrcMACアドレスとして割付けられているため割付不可)から0(割付可)へ変更し、当該SrcMACアドレスに対応付けて格納されているユーザ端末5のMACアドレスを削除するとともに、当該ユーザ端末5のMACアドレスに対応付けて格納されている再接続用SrcMACアドレスを特定し、メインメモリ等の記憶装置に格納する(ステップS197)。
【0078】
そして、認証装置3のMACフィルタ設定管理部34は、ゲートウェイ7のMACフィルタテーブル管理部71に対し、メインメモリ等の記憶装置に格納された切断要求に含まれ且つMACフィルタテーブル格納部72に登録されている接続用SrcMACアドレスを、メインメモリ等の記憶装置に格納された再接続用SrcMACアドレスへ変更するように指示し、MACフィルタテーブル管理部71により、MACフィルタテーブルが変更される(ステップS199)。これにより、ゲートウェイ7のMACフィルタリング部73は、当該再接続用SrcMACアドレスを含むパケットを、ネットワーク1側に通過させるようになる。
【0079】
さらに、認証装置3の認証処理部32は、有効期限の情報を生成してメインメモリ等の記憶装置に格納するとともに、当該有効期限の情報を含む切断完了の通知をユーザ端末5へ送信する(ステップS201)。
【0080】
そして、認証装置3のMACフィルタ設定管理部34は、メインメモリ等の記憶装置に格納された有効期限の情報を、メインメモリ等の記憶装置に格納された再接続用SrcMACアドレスに対応付けてMACタイマ35に格納し(ステップS203)、処理は終了する。以上で、切断処理が終了する。
【0081】
以上述べたような実施の形態2の処理を行うことによって、実施の形態1の処理と同様の効果を得ることができ、さらに、切断要求時に認証装置3が行う再接続用SrcMACアドレスの付与のための処理を、認証完了後切断要求に対する処理前に行うので、切断要求時の認証装置3の負荷が低減される。なお、認証完了後切断要求に対する処理前の任意のタイミングで再接続用SrcMACアドレスを付与することができるが、切断要求が送信されるタイミングは認証装置3では不明であるため、処理を確実に実施するためには認証完了後すぐに行う方が好ましい。但し、切断要求を受信した後であっても切断要求のための処理を実施する直前に再接続用SrcMACアドレス付与を挿入する形であってもよい。
【0082】
次に、実施の形態3について説明する。実施の形態3に係る処理は、(1)ユーザ端末5から認証装置3への認証要求時、接続用SrcMACアドレスが認証装置3からユーザ端末5へ送信される点、(2)ユーザ端末5から認証装置3への切断要求時、ユーザ端末5と認証装置3とがそれぞれ所定時間有効な再接続用SrcMACアドレス生成する点を特徴とする。(1)については、実施の形態1と同じ処理であるので、説明を省略する。ここでは、(2)に対応するユーザ端末5及び認証装置3の処理として、切断要求処理及び切断処理について以下で説明する。
【0083】
まず、実施の形態3及び4に係るシステム概要図を図19に示す。実施の形態3及び4に係るシステムは、実施の形態1及び2に係るシステムと同様、ネットワーク1と、認証装置3と、ユーザ端末5と、ゲートウェイ7と、サーバ9とから構成される。但し、認証装置3は再接続用割付SrcMACアドレス生成部36をさらに有し、ユーザ端末5は再接続用SrcMACアドレス生成部54をさらに有する。
【0084】
認証装置3の再接続用割付SrcMACアドレス生成部36は、セッションの共有情報(例えば、認証要求時におけるユーザ端末5からのパケットのIPヘッダ中の識別子情報)を、ユーザ端末5と共通のキー(例えば秘密鍵)で演算することにより、再接続用SrcMACアドレスを生成する。当該キーは、認証装置3からユーザ端末5に鍵交換プロトコル(例えばIKE(Internet Key Exchange))でセキュアに配布することにより、両者で共有する。又は、オフラインで交換しておいてもよい。ユーザ端末5の再接続用SrcMACアドレス生成部54は、再接続用割付SrcMACアドレス生成部36と実質的に同じ機能を有する。
【0085】
次に、図20を用いて、ユーザ端末5における切断要求処理の内容を説明する。まず、ユーザ端末5の認証要求部51は、ネットワーク1との接続中にユーザから切断の指示を受け付けると、切断要求を認証装置3に送信する(図20:ステップS211)。認証装置3は、以下で述べるように、有効期限の情報をユーザ端末5に送信する処理を実施する。そして、認証要求部51は、切断要求に含まれる特定の情報を抽出し、メインメモリ等の記憶装置に格納する(ステップS213)。特定の情報は、例えば、切断要求に係るパケットのIPヘッダ中の識別子情報である。以下で説明するように、特定の情報は、再接続用SrcMACアドレスを生成する際のシードとして用いられる。
【0086】
そして、認証要求部51は、応答待ちタイマをスタートさせ、認証装置3からの応答を待つ(ステップS215)。そして、認証要求部51は、応答待ちタイマがタイムアウトしたか判断する(ステップS217)。応答待ちタイマがタイムアウトした場合(ステップS217:Yesルート)、認証要求部51は、応答待ちタイマをクリアする(ステップS219)。さらに、認証要求部51は、再接続用SrcMACアドレス格納部52に格納されている再接続用SrcMACアドレスと有効期限の情報とを削除し(ステップS221)、処理は終了する。切断が正常に行われなかった場合、次に接続を行う際には、再び認証を受けるようにするためである。但し、認証時に付与された接続用SrcMACアドレスで接続していた場合には、再接続用SrcMACアドレス格納部52には再接続用SrcMACアドレスと有効期限の情報とは格納されていないため、ステップS221の処理をスキップする。
【0087】
一方、応答待ちタイマがタイムアウトしていない場合(ステップS217:Noルート)、認証要求部51は、認証装置3から有効期限の情報を受信したか判断する(ステップS223)。受信していない場合(ステップS223:Noルート)、ステップS217に戻る。一方、受信した場合(ステップS223:Yesルート)、認証要求部51は、応答待ちタイマをクリアする(ステップS225)。そして、有効期限の情報を再接続用SrcMACアドレス格納部52に格納する(ステップS227)。
【0088】
そして、ユーザ端末5の再接続用SrcMACアドレス生成部54は、メインメモリ等の記憶装置に格納された特定の情報をシードとして、所定のキーで演算することにより、再接続用SrcMACアドレスを生成して再接続用SrcMACアドレス格納部52に格納し(ステップS229)、処理は終了する。本実施の形態では、演算のアルゴリズムは、再接続用SrcMACアドレスがユーザ端末に固有のMACアドレス(認証テーブル格納部31に格納されている端末のMACアドレス)及び割付SrcMACアドレステーブル格納部33に格納されている割付SrcMACアドレスとは重複しないように設計されている。また、ユーザ端末5が再接続用SrcMACアドレスを生成する際に用いるシードと所定のキーと演算のアルゴリズムとが、認証装置3が用いるものと共通しているため、ユーザ端末5と認証装置3とが同一の再接続用SrcMACアドレスを生成する。以上で、ユーザ端末5における切断要求処理は終了する。
【0089】
なお、有効期限内であれば、生成された再接続用SrcMACアドレスと同一のMACアドレスがゲートウェイ7のMACフィルタテーブル格納部72に格納されている。したがって、当該MACアドレスを含むパケットは、MACフィルタリング部73によるフィルタリングを受けずにゲートウェイ7を通過することができ、ユーザ端末5はネットワーク1のサーバ9に正常に接続することができる。
【0090】
次に、図21を用いて、認証装置3における切断処理の内容を説明する。なお、本実施の形態では、割付SrcMACアドレステーブル格納部33の割付SrcMACアドレスの列1402には、認証時に接続用SrcMACアドレスとして割付けることのできるSrcMACアドレスが格納されているが、生成される再接続用SrcMACアドレスについても、ユーザ端末に割付けられている間一時的に格納される。また、先に説明したとおり、端末のMACアドレスの列1401には、ユーザ端末にSrcMACアドレスが割付けられている間、当該ユーザ端末の固有のMACアドレスが格納される。そして、割付可否フラグが0の場合には割付可能であることを示し、1の場合には割付不可(接続用SrcMACアドレスとして割付けられている)であることを示し、2の場合には割付不可(再接続用SrcMACアドレスとして割付けられている)であることを示す。
【0091】
まず、認証装置3の認証処理部32は、ユーザ端末5から切断要求を受信し、メインメモリ等の記憶装置に格納する(図21:ステップS231)。そして、認証処理部32は、切断要求に含まれるMACアドレス(ユーザ端末5が現在使用しているSrcMACアドレス)が割付SrcMACアドレステーブル格納部33に格納されているか判断する(ステップS233)。格納されていない場合(ステップS233:Noルート)、処理は終了する。ここでは、切断要求に含まれるMACアドレスが割付SrcMACアドレステーブル格納部33に格納されていない場合、当該MACアドレスは、認証時に付与された接続用SrcMACアドレスではなく、また、認証を経た後の切断要求時に生成した再接続用SrcMACアドレスでもないので、認証を経ていないユーザ端末からの切断要求であるとして、再接続用SrcMACアドレスを付与しないようにしている。
【0092】
一方、格納されている場合(ステップS233:Yesルート)、認証処理部32は、切断要求に含まれる特定の情報を抽出し、メインメモリ等の記憶装置に格納する(ステップS235)。特定の情報は、ユーザ端末5が図20のステップS213で抽出する情報と同一である。
【0093】
そして、認証装置3の再接続用割付SrcMACアドレス生成部36は、メインメモリ等の記憶装置に格納された特定の情報をシードとして、所定のキーで演算することにより、再接続用SrcMACアドレスを生成し、メインメモリ等の記憶装置に格納する(ステップS237)。図20のステップS229と同様、演算のアルゴリズムは、再接続用SrcMACアドレスがユーザ端末に固有のMACアドレス(認証テーブル格納部31に格納されている端末のMACアドレス)及び割付SrcMACアドレステーブル格納部33に格納されている割付SrcMACアドレスとは重複しないように設計されている。また、認証装置3が再接続用SrcMACアドレスを生成する際に用いるシードと所定のキーと演算のアルゴリズムとが、ユーザ端末5が用いるものと共通しているため、ユーザ端末5と認証装置3とが同一の再接続用SrcMACアドレスを生成する。
【0094】
そして、認証処理部32は、切断要求に含まれるMACアドレス(ユーザ端末5が現在使用しているSrcMACアドレス)を含むレコードを割付SrcMACアドレステーブル格納部33から特定し、当該レコードを更新するとともに、メインメモリ等の記憶装置に格納された再接続用SrcMACアドレスとユーザ端末5固有のMACアドレスとを含むレコードを格納する(ステップS239)。ステップS239においては、切断要求に含まれるMACアドレス(ユーザ端末5が現在使用しているSrcMACアドレス)に対応する割付可否フラグが2である場合には、当該MACアドレスは再接続用SrcMACアドレスであるので、当該MACアドレスを含むレコードを割付SrcMACアドレステーブル格納部33から削除し、割付可否フラグが1である場合には、当該MACアドレスは接続用SrcMACアドレスであるので、フラグを1から0(割付可)に変更している。また、新たに格納されるレコードについての割付可否フラグは2(再接続用SrcMACアドレスとして割付けられているため割付不可)とする。
【0095】
そして、認証装置3のMACフィルタ設定管理部34は、ゲートウェイ7のMACフィルタテーブル管理部71に対し、メインメモリ等の記憶装置に格納された切断要求に含まれ且つMACフィルタテーブル格納部72に登録されているMACアドレスを、メインメモリ等の記憶装置に格納された再接続用SrcMACアドレスへ変更するように指示し、MACフィルタテーブル管理部71により、MACフィルタテーブルが変更される(ステップS241)。これにより、ゲートウェイ7のMACフィルタリング部73は、当該再接続用SrcMACアドレスを含むパケットを、ネットワーク1側に通過させるようになる。
【0096】
さらに、認証装置3のMACフィルタ設定管理部34は、メインメモリ等の記憶装置に格納された切断要求に含まれるMACアドレスに対応する有効期限の情報を、MACタイマ35から削除する(ステップS243)。但し、切断要求に含まれるユーザ端末5のMACアドレスに対応する有効期限の情報がMACタイマ35に格納されていない場合、すなわち当該MACアドレスが認証時に付与された接続用SrcMACアドレスである場合には、ステップS243の処理をスキップする。
【0097】
そして、認証処理部32は、再接続用SrcMACアドレスに対応する有効期限の情報を生成してメインメモリ等の記憶装置に格納するとともに、ユーザ端末5へ送信する(ステップS245)。
【0098】
そして、MACフィルタ設定管理部34は、メインメモリ等の記憶装置に格納された有効期限の情報を再接続用SrcMACアドレスに対応付けてMACタイマ35に格納する(ステップS247)。MACタイマ35に格納されている有効期限の情報は、MACフィルタ設定管理部34に監視され、有効期限になるとタイムアウト処理が行われる。以上で、切断処理が終了する。
【0099】
以上述べたような実施の形態3の処理を行うことによって、実施の形態1の処理と同様の効果を得ることができる。さらに、認証装置3からユーザ端末5へ再接続用SrcMACアドレスを送信するのではなく、ユーザ端末5が独自に再接続用SrcMACアドレスを生成するので、セキュリティが向上している。なお、本実施の形態における上の例では、認証時に予め用意されている接続用SrcMACアドレスを1つ選択して付与し、切断時には再接続用SrcMACアドレスを生成するようにしているが、認証時に再接続用SrcMACアドレスを生成してもよい。すなわち、接続用SrcMACアドレスと再接続用SrcMACアドレスとを区別しないようにしてもよい。
【0100】
次に、実施の形態4について説明する。実施の形態4に係る処理は、(1)ユーザ端末5から認証装置3への認証要求時、認証装置3からユーザ端末5へ接続用SrcMACアドレスが送信され、さらに認証後切断要求に対する処理前に、ユーザ端末5と認証装置3とがそれぞれ再接続用SrcMACアドレス生成する点、(2)ユーザ端末5から認証装置3への切断要求時、認証装置3が、再接続用SrcMACアドレスでの接続を所定時間有効にする点を特徴とする。(2)については、実施の形態2と同じ処理であるので、説明を省略する。ここでは、(1)に対応するユーザ端末5及び認証装置3の処理として、接続要求処理及び認証処理について以下で説明する。
【0101】
まず、図22及び図23を用いて、ユーザ端末5における接続要求処理の内容を説明する。ユーザ端末5の通信管理部53は、ユーザからの指示に応じて表示装置に接続指示を促す画面を表示し、ユーザから接続先の指定を含む接続指示が入力されると、当該接続指示を受け付ける(図22:ステップS251)。そして、通信管理部53は、指定された接続先が認証装置であるか判断する(ステップS253)。指定された接続先が認証装置である場合(ステップS253:Yesルート)、ユーザ端末5の認証要求部51は、表示装置にユーザIDとパスワードとの入力を促す画面を表示し、ユーザからユーザIDとパスワードとが入力され且つ送信が指示されると、当該指示を認証の要求として受け付ける(ステップS263)。
【0102】
そして、認証要求部51は、ユーザIDとパスワードとを含む認証要求を認証装置3に送信する(ステップS265)。ゲートウェイ7は認証要求を受信すると、当該認証要求を認証装置3へ中継し、認証装置3は当該認証要求を受信して認証処理等を実施する。詳細は後に述べる。
【0103】
そして、認証要求部51は、認証要求に含まれる特定の情報を抽出し、メインメモリ等の記憶装置に格納する(ステップS267)。特定の情報は、例えば、認証要求に係るパケットのIPヘッダ中の識別子情報である。以下で説明するように、特定の情報は、再接続用SrcMACアドレスを生成する際のシードとして用いられる。
【0104】
そして、認証要求部51は、応答待ちタイマをスタートさせ、認証装置3からの応答メッセージの受信を待つ(ステップS269)。処理は、端子Cを介して図23のステップS271へ移行する。
【0105】
一方、指定された接続先が認証装置でない場合(ステップS253:Noルート)、短時間での再接続の可能性があるので、通信管理部53は、再接続用SrcMACアドレスが再接続用SrcMACアドレス格納部52に格納されているか確認する(ステップS255)。再接続用SrcMACアドレスが再接続用SrcMACアドレス格納部52に格納されていない場合(ステップS255:Noルート)、認証装置3による認証を受ける必要があるので、処理はステップS263へ移行する。
【0106】
一方、再接続用SrcMACアドレスが再接続用SrcMACアドレス格納部52に格納されている場合(ステップS255:Yesルート)、認証なしでネットワーク1に接続可能か判断するため、通信管理部53は、再接続用SrcMACアドレス格納部52に格納されている有効期限の情報を確認する(ステップS257)。以下で説明するように、正常に切断処理を行っていれば、再接続用SrcMACアドレス格納部52に再接続用SrcMACアドレスと有効期限の情報とが格納されているはずである。そして、現在日時が有効期限内でない場合(ステップS257:Noルート)、再接続用SrcMACアドレスと有効期限の情報とを削除し、処理はステップS263へ移行する。再接続用SrcMACアドレスは、所定の時間を経過したら無効になるので、認証装置3による認証を再度受ける必要がある。
【0107】
一方、現在日時が有効期限内である場合(ステップS257:Yesルート)、通信管理部53は、再接続用SrcMACアドレスを含むパケットを指定された接続先(例えばサーバ9)へ送信する(ステップS259)。そして、通信管理部53は、通信が成功したか判断する(ステップS261)。通信が成功しない場合(ステップS261:Noルート)、処理はステップS263へ移行する。何らかのエラーにより、通信が失敗した場合にも、認証装置3による認証を受けるようにするものである。一方、通信が成功した場合(ステップS261:Yesルート)、すなわち、ゲートウェイ7は、ユーザ端末5から再接続用SrcMACアドレスを含むパケットを受信して同一のMACアドレスがMACフィルタテーブル格納部72に格納されている場合には当該パケットを通過させることができ、ユーザ端末5はネットワーク1のサーバ9に正常に接続できるので、処理は端子Dを介して図23の処理へ移行して、終了する。このように、再接続用SrcMACアドレスの有効期限内であれば、ユーザは認証情報(例えばユーザIDとパスワード)を手動で入力する必要がなく、簡易にユーザ端末5をネットワーク1に接続させることができる。
【0108】
なお、ユーザ端末5が再接続を行う場合には、それ以前に用いていたSrcMACアドレス(古いMACアドレス)とは異なる再接続用SrcMACアドレス(新しいMACアドレス)で通信を行うことになる。この場合、ユーザ端末5と通信を行うコンピュータ(例えばサーバ9)は、ユーザ端末5の新しいMACアドレスを知らないが、当該コンピュータが保持するARPテーブル(IPアドレスとMACアドレスの対応付けを記したテーブル)に登録された古いMACアドレスのエントリは通常60秒程度で削除されるため、問題は生じない。すなわち、当該コンピュータは再度ARP処理を行い、ユーザ端末5のIPアドレスに対する新しいMACアドレスを取得してARPテーブルに登録することにより、ユーザ端末5と正常に通信を行うことができる。
【0109】
次に、図23について説明する。認証要求部51は、応答待ちタイマがタイムアウトしたか判断する(図23:ステップS271)。応答待ちタイマがタイムアウトした場合(ステップS271:Yesルート)、認証要求部51は、応答待ちタイマをクリアして、表示装置に「認証不能」を示すメッセージを表示し(ステップS273)、処理は終了する。これにより、ユーザは、認証装置3による認証処理が正常に行われなかったことを認識できる。
【0110】
一方、応答待ちタイマがタイムアウトしていない場合(ステップS271:Noルート)、認証要求部51は、接続用SrcMACアドレスを含む応答メッセージを認証装置3から受信したか判断する(ステップS275)。認証装置3から応答メッセージを受信していない場合(ステップS275:Noルート)、処理はステップS271へ戻る。一方、認証装置3から応答メッセージを受信した場合(ステップS275:Yesルート)、認証要求部51は、応答待ちタイマをクリアする(ステップS277)。接続用SrcMACアドレスは、認証に成功した場合に認証装置3からユーザ端末5へ付与されるMACアドレスであり、ユーザ端末5は、送信パケットに当該MACアドレスを付加することにより、ネットワーク1側の装置と通信を行うことができるようになる。
【0111】
そして、認証要求部51は、応答メッセージの内容を確認する(ステップS279)。応答メッセージの内容が「認証成功」を示すものではない場合(ステップS279:Noルート)、認証要求部51は、表示装置に「認証失敗」を示すメッセージを表示し(ステップS281)、処理は終了する。これにより、ユーザは、認証が失敗したことを認識できる。一方、応答メッセージの内容が「認証成功」を示すものである場合(ステップS279:Yesルート)、認証要求部51は、応答メッセージに含まれる接続用SrcMACアドレスを、例えばメインメモリ等の記憶装置に格納する(ステップS283)。
【0112】
そして、通信管理部53は、接続先の入力を促す画面を表示し、ユーザから接続先が指定され且つ接続が指示されると、当該指示を指定接続先への接続の要求として受け付け、メインメモリ等の記憶装置に格納された接続用SrcMACアドレスを含むパケットをユーザ指定の接続先へ送信する(ステップS285)。
【0113】
そして、通信管理部53は、通信が成功したか判断する(ステップS287)。通信が成功しない場合(ステップS287:Noルート)、通信管理部53は、「通信失敗」を示すメッセージを表示装置に表示し(ステップS289)、処理は終了する。これにより、ユーザは、何らかのエラーにより通信が失敗したことを認識できる。
【0114】
一方、通信が成功した場合(ステップS287:Yesルート)、すなわち、ゲートウェイ7は、ユーザ端末5から接続用SrcMACアドレスを含むパケットを受信して同一のMACアドレスがMACフィルタテーブル格納部72に格納されている場合には当該パケットを通過させることができ、ユーザ端末5はネットワーク1のサーバ9に正常に接続できる。
【0115】
その後、ステップS287で通信が成功して以降切断要求送信までの任意のタイミングで、ユーザ端末5の再接続用SrcMACアドレス生成部54は、メインメモリ等の記憶装置に格納された特定の情報をシードとして、所定のキーで演算することにより、再接続用SrcMACアドレスを生成して再接続用SrcMACアドレス格納部52に格納し(ステップS291)、処理は終了する。本実施の形態では、演算のアルゴリズムは、再接続用SrcMACアドレスがユーザ端末に固有のMACアドレス(認証テーブル格納部31に格納されている端末のMACアドレス)及び割付SrcMACアドレステーブル格納部33に格納されている割付SrcMACアドレスとは重複しないように設計されている。また、ユーザ端末5が再接続用SrcMACアドレスを生成する際に用いるシードと所定のキーと演算のアルゴリズムとが、認証装置3が用いるものと共通しているため、ユーザ端末5と認証装置3とが同一の再接続用SrcMACアドレスを生成する。以上で、ユーザ端末5における切断要求処理は終了する。
【0116】
次に、図24を用いて、認証装置3における認証処理の内容を説明する。まず、認証装置3の認証処理部32は、ユーザ端末5からユーザIDとパスワードとを含む認証要求を受信し、メインメモリ等の記憶装置に格納する(図24:ステップS301)。そして、認証処理部32は、受信したユーザIDに対応付けられて登録されているパスワードを認証テーブル格納部31から特定し、受信したパスワードと一致するか判断する(ステップS303)。パスワードが一致しないと判断した場合(ステップS303:Noルート)、認証処理部32は、「認証失敗」を示す応答メッセージをユーザ端末5に送信し(ステップS305)、処理は終了する。
【0117】
一方、パスワードが一致すると判断した場合(ステップS303:Yesルート)、認証処理部32は、割付SrcMACアドレステーブル格納部33に格納されている割付可能なSrcMACアドレスを1つ特定し、メインメモリ等の記憶装置に格納する(ステップS307)。なお、本実施の形態においては、図14に示す割付SrcMACアドレステーブル格納部33を用いている。ステップS307においては、割付可否フラグを参照し、フラグが0(割付可)であるSrcMACアドレスの1つを接続用SrcMACアドレスとして特定している。また、特定したSrcMACアドレスに対応する割付可否フラグを1(接続用SrcMACアドレスとして割付けられているため割付不可)に変更するとともに、認証要求に含まれるユーザ端末5のMACアドレスを、特定したSrcMACアドレスに対応付けて格納する(ステップS309)。そして、認証処理部32は、特定した接続用SrcMACアドレスを含む「認証成功」の応答メッセージを、ユーザ端末5に送信する(ステップS311)。
【0118】
なお、ステップS303においては、パスワードが一致するかを確認するとともに、認証要求に含まれるユーザ端末5の固有のMACアドレスと、受信したユーザIDに対応付けられて認証テーブル格納部31に格納されている端末のMACアドレスとが一致するかの確認も行うようにしてもよい。予め登録されているユーザ端末についてのみ接続用SrcMACアドレス等を付与するものである。また、認証装置3が認証テーブル格納部31を用いてユーザ端末5に固有のMACアドレスを管理し、当該MACアドレスと重複するようなMACアドレスをSrcMACアドレスとして割付けないようにしている。
【0119】
そして、認証装置3のMACフィルタ設定管理部34は、ゲートウェイ7のMACフィルタテーブル管理部71に対し、メインメモリ等の記憶装置に格納された接続用SrcMACアドレスを、MACフィルタテーブル格納部72へ登録するように指示し、MACフィルタテーブル管理部71により、MACフィルタテーブルに接続用SrcMACアドレスが登録される(ステップS313)。これにより、ゲートウェイ7のMACフィルタリング部73は、当該接続用SrcMACアドレスを含むパケットを、ネットワーク1側に通過させるようになる。
【0120】
その後、ステップS313以降切断要求受信までの任意のタイミングで、認証装置3の認証処理部32は、認証要求に含まれる特定の情報を抽出し、メインメモリ等の記憶装置に格納する(ステップS315)。特定の情報は、ユーザ端末5が図22のステップS267で抽出する情報と同一である。
【0121】
そして、認証装置3の再接続用割付SrcMACアドレス生成部36は、メインメモリ等の記憶装置に格納された特定の情報をシードとして、所定のキーで演算することにより、再接続用SrcMACアドレスを生成し、メインメモリ等の記憶装置に格納する(ステップS317)。図23のステップS291と同様、演算のアルゴリズムは、再接続用SrcMACアドレスがユーザ端末に固有のMACアドレス(認証テーブル格納部31に格納されている端末のMACアドレス)及び割付SrcMACアドレステーブル格納部33に格納されている割付SrcMACアドレスとは重複しないように設計されている。また、認証装置3が再接続用SrcMACアドレスを生成する際に用いるシードと所定のキーと演算のアルゴリズムとが、ユーザ端末5が用いるものと共通しているため、ユーザ端末5と認証装置3とが同一の再接続用SrcMACアドレスを生成する。
【0122】
そして、認証処理部32は、メインメモリ等の記憶装置に格納された再接続用SrcMACアドレスと認証要求に含まれるユーザ端末5のMACアドレスとを含むレコードを、割付SrcMACアドレステーブル格納部33に格納し(ステップS319)、処理は終了する。ここでは、当該レコードに係る割付可否フラグを2(再接続用SrcMACアドレスとして割付けられているため割付不可)としている。なお、本実施の形態では、再接続用SrcMACアドレスについてのレコードは、割付SrcMACアドレステーブル格納部33に一時的に格納され、認証装置3による切断処理において有効期限が設定された後、当該有効期限の経過後、図13のタイムアウト処理のステップS105において削除される。以上で、認証装置3における認証処理が終了する。
【0123】
以上述べたような実施の形態4の処理を行うことによって、実施の形態2の処理と同様の効果を得ることができる。さらに、認証装置3からユーザ端末5へ再接続用SrcMACアドレスを送信するのではなく、ユーザ端末5が独自に再接続用SrcMACアドレスを生成するので、セキュリティが向上している。
【0124】
以上本技術の実施の形態を説明したが、本技術はこれに限定されるものではない。例えば、図1及び図19に示した機能ブロック図は一例であって、必ずしも実際のプログラムモジュールと対応するわけではない。
【0125】
また、同じような効果が得られる限りにおいて処理ステップの順番を入れ替えたり、並列に実行させることができる。
【0126】
なお、実施の形態1乃至4においては、ユーザ端末5が、再接続用SrcMACアドレスが有効期限内である場合に、当該MACアドレスを含むパケットを指定された接続先へ送信しているが、有効期限を確認する処理を行わないようにすることもできる。ゲートウェイ7におけるMACフィルタテーブルの更新が正常に行われていれば、ゲートウェイ7において再接続用SrcMACアドレスを含むパケットの通過/遮断が制御されるからである。ユーザ端末5側で有効期限のデータを認証装置3から受信できずに切断してしまった場合でも有効期限内であれば、ネットワーク1側に接続できるという利点もある。
【0127】
また、実施の形態3及び4については、ユーザ端末5と認証装置3とがそれぞれ再接続用SrcMACアドレスを生成するようにしているが、認証装置3だけが再接続用SrcMACアドレスを生成し、ユーザ端末5へセキュアなパス(例えばSSL)で送信するようにしてもよい。
【0128】
また、実施の形態1乃至4においては、MACアドレスの代わりにIPアドレスを使用することもできる。その場合には、接続を許可するIPアドレスを格納するテーブルを有する装置(例えばレイヤ3スイッチ)をゲートウェイ7として使用し、当該テーブルに対する登録・削除を外部インタフェースを通して認証装置3から制御するようにすればよい。
【0129】
以上説明した実施の形態をまとめると以下のようになる。
【0130】
本技術の第1の態様に係るネットワーク接続制御方法は、第1のネットワークとの接続が許可されているアドレスが登録されているアドレスフィルタテーブルを有するゲートウェイに接続されている認証装置による認証が完了してゲートウェイを介して第1のネットワークへの接続が行われており且つゲートウェイと第2のネットワークを介して接続されているユーザ端末のネットワーク接続を制御するネットワーク接続制御方法である。そして、本方法は、ユーザ端末から第1のネットワークとの接続について切断要求を受信した場合又はそれより前に、認証装置が、アドレスと当該アドレスの割付可否の情報とが対応付けられて登録されている割付アドレス格納部から、ユーザ端末が現在使用しているアドレスとは別の割付可能なアドレスを抽出するステップと、認証装置が、抽出されたアドレスを、所定時間有効な再接続用のアドレスとしてユーザ端末に送信するステップと、認証装置が、ユーザ端末の、第1のネットワークからの切断時に、ゲートウェイに、現在使用しているアドレスから再接続用のアドレスへ、ゲートウェイのアドレスフィルタテーブルを更新させるステップとを含む。さらに、所定時間内に再接続用のアドレスでユーザ端末から第1のネットワークへの再接続が要求された場合、認証装置による認証を経ずに、ゲートウェイにおいて第1のネットワークへの再接続を許可するものである。
【0131】
このようにすれば、所定時間内に再接続用のアドレスで第1のネットワークへ接続しようとするユーザに対しては、認証のための処理を行う必要がないので、認証装置における処理負荷が低減される。
【0132】
本技術の第2の態様に係るネットワーク接続制御方法は、ユーザ端末から第1のネットワークとの接続について切断要求を受信した場合又はそれより前に、認証装置が、ユーザ端末が現在使用しているアドレスとは別の割付可能なアドレスを再接続用のアドレスとして生成する生成ステップと、認証装置が、ユーザ端末の、第1のネットワークからの切断時に、ゲートウェイに、現在使用しているアドレスから所定時間有効な再接続用のアドレスへ、ゲートウェイのアドレスフィルタテーブルを更新させるステップとを含む。そして、所定時間内に再接続用のアドレスと同一のアドレスでユーザ端末から第1のネットワークへの再接続が要求された場合、認証装置による認証を経ずに、ゲートウェイにおいて第1のネットワークへの再接続を許可するものである。
【0133】
このようにすれば、認証装置により生成される再接続用のアドレスと同一のアドレスで所定時間内に第1のネットワークへ接続しようとするユーザに対しては、認証のための処理を行う必要がないので、認証装置における処理負荷が低減される。また、認証装置は再接続用のアドレスを送信しないので、セキュリティが向上する。
【0134】
本技術の第3の態様に係るネットワーク接続方法は、第1のネットワークとの接続が許可されているアドレスが登録されているアドレスフィルタテーブルを有するゲートウェイに接続されている認証装置による認証が完了してゲートウェイを介して第1のネットワークへの接続が行われており且つゲートウェイと第2のネットワークを介して接続されているユーザ端末により実行される。そして、本方法は、第1のネットワークとの接続について切断要求を送信した後又はそれ以前に、ユーザ端末が現在使用しているアドレスとは別のアドレスを所定時間有効な再接続用のアドレスとして受信し、再接続用アドレス格納部に格納するステップと、第1のネットワークとの接続が切断された後所定時間内であれば、認証装置による認証を受けることなく、再接続用アドレス格納部に格納されている再接続用のアドレスで第1のネットワークへ再接続をするステップとを含む。
【0135】
このようにすれば、所定時間内に再接続用のアドレスで第1のネットワークへ接続しようとするユーザは、認証装置による認証を受ける必要がないので、第1のネットワークへスムーズに接続することができる。
【0136】
本技術の第4の態様に係るネットワーク接続方法は、第1のネットワークとの接続について切断要求を送信した後又はそれ以前に、ユーザ端末が現在使用しているアドレスとは別で且つ認証装置により生成されるアドレスと同一のアドレスを所定時間有効な再接続用のアドレスとして生成し、再接続用アドレス格納部に格納するステップと、第1のネットワークとの接続が切断された後所定時間内であれば、認証装置による認証を受けることなく、再接続用アドレス格納部に格納されている再接続用のアドレスで第1のネットワークへ再接続をするステップとを含む。
【0137】
このようにすれば、認証装置により生成される再接続用のアドレスと同一のアドレスで所定時間内に第1のネットワークへ接続しようとするユーザは、認証装置による認証を受ける必要がないので、第1のネットワークへスムーズに接続することができる。
【0138】
また、第1及び第2の態様に係るネットワーク接続制御方法が、所定時間後に、ゲートウェイに、ゲートウェイに現在接続中のユーザ端末のアドレスを管理する管理テーブル(例えば実施の形態におけるMACフィルタテーブル)に再接続用のアドレスが登録されていない場合にはアドレスフィルタテーブルに登録されている再接続用のアドレスを削除させるステップをさらに含むようにしてもよい。このようにすれば、所定時間経過後にネットワークに接続していないユーザ端末は、再接続用のアドレスで第1のネットワークに接続できなくなる。
【0139】
さらに、上で述べたユーザ端末が現在使用しているアドレスが、認証の完了時に、割付アドレス格納部において割付可能なアドレスで認証装置からユーザ端末に送付されたもの(例えば実施の形態における接続用SrcMACアドレス)である場合もある。これにより、認証を完了してアドレスを送付されたユーザ端末と、認証を経ていないユーザ端末と、認証を経ずに再接続を行ったユーザ端末とを識別できるようになる。
【0140】
さらに、上で述べた生成ステップにおいて、ユーザ端末と共通のキーと、ユーザ端末から受信したメッセージの所定位置に含まれる情報(例えば実施の形態における、認証要求や切断要求に係るパケットのIPヘッダ中の識別子情報)とを、ユーザ端末と共通の所定のアルゴリズムで処理することによって、ユーザ端末と共通する再接続用のアドレスを生成するようにしてもよい。メッセージの所定位置に含まれる情報を利用することによって、生成される再接続用のアドレスが常に同じになることを避けることができる。
【0141】
さらに、上で述べたアドレスが、MACアドレス又はIPアドレスであってもよい。
【0142】
なお、上記方法は、コンピュータと当該コンピュータによって実行されるプログラムとの組み合わせにて実行される場合があり、当該プログラムは、例えばフレキシブルディスク、CD−ROM、光磁気ディスク、半導体メモリ、ハードディスク等のコンピュータ読み取り可能な記憶媒体又は記憶装置に格納される。また、ネットワークなどを介してデジタル信号として配信される場合もある。尚、中間的な処理結果はメインメモリ等の記憶装置に一時保管される。
【0143】
また、認証装置3やユーザ端末5は、コンピュータ装置であって、図25に示すように、メモリ2501とCPU2503とハードディスク・ドライブ(HDD)2505と表示装置2509に接続される表示制御部2507とリムーバブル・ディスク2511用のドライブ装置2513と入力装置2515とネットワークに接続するための通信制御部2517とがバス2519で接続されている。オペレーティング・システム(OS:Operating System)及び本実施例における処理を実施するためのアプリケーション・プログラムは、HDD2505に格納されており、CPU2503により実行される際にはHDD2505からメモリ2501に読み出される。必要に応じてCPU2503は、表示制御部2507、通信制御部2517、ドライブ装置2513を制御して、必要な動作を行わせる。また、処理途中のデータについては、メモリ2501に格納され、必要があればHDD2505に格納される。本技術の実施例では、上で述べた処理を実施するためのアプリケーション・プログラムはコンピュータ読み取り可能なリムーバブル・ディスク2511に格納されて頒布され、ドライブ装置2513からHDD2505にインストールされる。インターネットなどのネットワーク及び通信制御部2517を経由して、HDD2505にインストールされる場合もある。このようなコンピュータ装置は、上で述べたCPU2503、メモリ2501などのハードウエアとOS及び必要なアプリケーション・プログラムとが有機的に協働することにより、上で述べたような各種機能を実現する。
【0144】
(付記1)
第1のネットワークとの接続が許可されているアドレスが登録されているアドレスフィルタテーブルを有するゲートウェイに接続されている認証装置による認証が完了して前記ゲートウェイを介して前記第1のネットワークへの接続が行われており且つ前記ゲートウェイと第2のネットワークを介して接続されているユーザ端末のネットワーク接続を制御するプログラムであって、
前記認証装置に、
前記ユーザ端末から前記第1のネットワークとの接続について切断要求を受信した場合又はそれより前に、アドレスと当該アドレスの割付可否の情報とが対応付けられて登録されている割付アドレス格納部から、前記ユーザ端末が現在使用しているアドレスとは別の割付可能なアドレスを抽出するステップと、
抽出されたアドレスを、所定時間有効な再接続用のアドレスとして前記ユーザ端末に送信するステップと、
前記ユーザ端末の、前記第1のネットワークからの切断時に、前記ゲートウェイに、前記現在使用しているアドレスから前記再接続用のアドレスへ、前記ゲートウェイの前記アドレスフィルタテーブルを更新させるステップと、
を実行させ、
前記所定時間内に前記再接続用のアドレスで前記ユーザ端末から前記第1のネットワークへの再接続が要求された場合、前記認証装置による認証を経ずに、前記ゲートウェイにおいて前記第1のネットワークへの再接続を許可させる
ことを特徴とするネットワーク接続制御プログラム。
【0145】
(付記2)
第1のネットワークとの接続が許可されているアドレスが登録されているアドレスフィルタテーブルを有するゲートウェイに接続されている認証装置による認証が完了して前記ゲートウェイを介して前記第1のネットワークへの接続が行われており且つ前記ゲートウェイと第2のネットワークを介して接続されているユーザ端末のネットワーク接続を制御するプログラムであって、
前記認証装置に、
前記ユーザ端末から前記第1のネットワークとの接続について切断要求を受信した場合又はそれより前に、前記ユーザ端末が現在使用しているアドレスとは別の割付可能なアドレスを再接続用のアドレスとして生成する生成ステップと、
前記ユーザ端末の、前記第1のネットワークからの切断時に、前記ゲートウェイに、前記現在使用しているアドレスから所定時間有効な前記再接続用のアドレスへ、前記ゲートウェイの前記アドレスフィルタテーブルを更新させるステップと、
を実行させ、
前記所定時間内に前記再接続用のアドレスと同一のアドレスで前記ユーザ端末から前記第1のネットワークへの再接続が要求された場合、前記認証装置による認証を経ずに、前記ゲートウェイにおいて前記第1のネットワークへの再接続を許可させる
ことを特徴とするネットワーク接続制御プログラム。
【0146】
(付記3)
前記所定時間後に、前記ゲートウェイに、前記ゲートウェイに現在接続中のユーザ端末のアドレスを管理する管理テーブルに前記再接続用のアドレスが登録されていない場合には前記アドレスフィルタテーブルに登録されている前記再接続用のアドレスを削除させるステップ
を前記認証装置にさらに実行させる付記1又は2記載のネットワーク接続制御プログラム。
【0147】
(付記4)
前記ユーザ端末が現在使用しているアドレスが、前記認証の完了時に、前記割付アドレス格納部において割付可能なアドレスで前記認証装置から前記ユーザ端末に送付されたものである
付記1乃至3いずれか1つ記載のネットワーク接続制御プログラム。
【0148】
(付記5)
前記生成ステップにおいて、
前記ユーザ端末と共通のキーと、前記ユーザ端末から受信したメッセージの所定位置に含まれる情報とを、前記ユーザ端末と共通の所定のアルゴリズムで処理することによって、前記ユーザ端末と共通する前記再接続用のアドレスを生成する
付記2記載のネットワーク接続制御プログラム。
【0149】
(付記6)
付記1乃至5いずれか1つに記載のアドレスが、MACアドレス又はIPアドレスであるネットワーク接続制御プログラム。
【0150】
(付記7)
第1のネットワークとの接続が許可されているアドレスが登録されているアドレスフィルタテーブルを有するゲートウェイに接続されている認証装置による認証が完了して前記ゲートウェイを介して前記第1のネットワークへの接続が行われており且つ前記ゲートウェイと第2のネットワークを介して接続されているユーザ端末に、
前記第1のネットワークとの接続について切断要求を送信した後又はそれ以前に、前記ユーザ端末が現在使用しているアドレスとは別のアドレスを所定時間有効な再接続用のアドレスとして受信し、再接続用アドレス格納部に格納するステップと、
前記第1のネットワークとの接続が切断された後前記所定時間内であれば、前記認証装置による認証を受けることなく、前記再接続用アドレス格納部に格納されている前記再接続用のアドレスで前記第1のネットワークへ再接続をするステップと、
を実行させるためのネットワーク接続プログラム。
【0151】
(付記8)
第1のネットワークとの接続が許可されているアドレスが登録されているアドレスフィルタテーブルを有するゲートウェイに接続されている認証装置による認証が完了して前記ゲートウェイを介して前記第1のネットワークへの接続が行われており且つ前記ゲートウェイと第2のネットワークを介して接続されているユーザ端末に、
前記第1のネットワークとの接続について切断要求を送信した後又はそれ以前に、前記ユーザ端末が現在使用しているアドレスとは別で且つ前記認証装置により生成されるアドレスと同一のアドレスを所定時間有効な再接続用のアドレスとして生成し、再接続用アドレス格納部に格納する生成ステップと、
前記第1のネットワークとの接続が切断された後前記所定時間内であれば、前記認証装置による認証を受けることなく、前記再接続用アドレス格納部に格納されている前記再接続用のアドレスで前記第1のネットワークへ再接続をするステップと、
を実行させるためのネットワーク接続プログラム。
【0152】
(付記9)
前記生成ステップにおいて、
前記認証装置と共通のキーと、前記認証装置へ送信したメッセージの所定位置に含まれる情報とを、前記認証装置と共通の所定のアルゴリズムで処理することによって、前記認証装置と共通する前記再接続用のアドレスを生成する
付記8記載のネットワーク接続プログラム。
【0153】
(付記10)
第1のネットワークとの接続が許可されているアドレスが登録されているアドレスフィルタテーブルを有するゲートウェイに接続されている認証装置による認証が完了して前記ゲートウェイを介して前記第1のネットワークへの接続が行われており且つ前記ゲートウェイと第2のネットワークを介して接続されているユーザ端末のネットワーク接続を制御するネットワーク接続制御方法であって、
前記ユーザ端末から前記第1のネットワークとの接続について切断要求を受信した場合又はそれより前に、前記認証装置が、アドレスと当該アドレスの割付可否の情報とが対応付けられて登録されている割付アドレス格納部から、前記ユーザ端末が現在使用しているアドレスとは別の割付可能なアドレスを抽出するステップと、
前記認証装置が、抽出されたアドレスを、所定時間有効な再接続用のアドレスとして前記ユーザ端末に送信するステップと、
前記認証装置が、前記ユーザ端末の、前記第1のネットワークからの切断時に、前記ゲートウェイに、前記現在使用しているアドレスから前記再接続用のアドレスへ、前記ゲートウェイの前記アドレスフィルタテーブルを更新させるステップと、
を含み、
前記所定時間内に前記再接続用のアドレスで前記ユーザ端末から前記第1のネットワークへの再接続が要求された場合、前記認証装置による認証を経ずに、前記ゲートウェイにおいて前記第1のネットワークへの再接続を許可する
ことを特徴とするネットワーク接続制御方法。
【0154】
(付記11)
第1のネットワークとの接続が許可されているアドレスが登録されているアドレスフィルタテーブルを有するゲートウェイに接続されている認証装置による認証が完了して前記ゲートウェイを介して前記第1のネットワークへの接続が行われており且つ前記ゲートウェイと第2のネットワークを介して接続されているユーザ端末のネットワーク接続を制御するネットワーク接続制御方法であって、
前記ユーザ端末から前記第1のネットワークとの接続について切断要求を受信した場合又はそれより前に、前記認証装置が、前記ユーザ端末が現在使用しているアドレスとは別の割付可能なアドレスを再接続用のアドレスとして生成する生成ステップと、
前記認証装置が、前記ユーザ端末の、前記第1のネットワークからの切断時に、前記ゲートウェイに、前記現在使用しているアドレスから所定時間有効な前記再接続用のアドレスへ、前記ゲートウェイの前記アドレスフィルタテーブルを更新させるステップと、
を含み、
前記所定時間内に前記再接続用のアドレスと同一のアドレスで前記ユーザ端末から前記第1のネットワークへの再接続が要求された場合、前記認証装置による認証を経ずに、前記ゲートウェイにおいて前記第1のネットワークへの再接続を許可する
ことを特徴とするネットワーク接続制御方法。
【0155】
(付記12)
第1のネットワークとの接続が許可されているアドレスが登録されているアドレスフィルタテーブルを有するゲートウェイに接続されている認証装置による認証が完了して前記ゲートウェイを介して前記第1のネットワークへの接続が行われており且つ前記ゲートウェイと第2のネットワークを介して接続されているユーザ端末により実行されるネットワーク接続方法であって、
前記第1のネットワークとの接続について切断要求を送信した後又はそれ以前に、前記ユーザ端末が現在使用しているアドレスとは別のアドレスを所定時間有効な再接続用のアドレスとして受信し、再接続用アドレス格納部に格納するステップと、
前記第1のネットワークとの接続が切断された後前記所定時間内であれば、前記認証装置による認証を受けることなく、前記再接続用アドレス格納部に格納されている前記再接続用のアドレスで前記第1のネットワークへ再接続をするステップと、
を含むネットワーク接続方法。
【0156】
(付記13)
第1のネットワークとの接続が許可されているアドレスが登録されているアドレスフィルタテーブルを有するゲートウェイに接続されている認証装置による認証が完了して前記ゲートウェイを介して前記第1のネットワークへの接続が行われており且つ前記ゲートウェイと第2のネットワークを介して接続されているユーザ端末により実行されるネットワーク接続方法であって、
前記第1のネットワークとの接続について切断要求を送信した後又はそれ以前に、前記ユーザ端末が現在使用しているアドレスとは別で且つ前記認証装置により生成されるアドレスと同一のアドレスを所定時間有効な再接続用のアドレスとして生成し、再接続用アドレス格納部に格納するステップと、
前記第1のネットワークとの接続が切断された後前記所定時間内であれば、前記認証装置による認証を受けることなく、前記再接続用アドレス格納部に格納されている前記再接続用のアドレスで前記第1のネットワークへ再接続をするステップと、
を含むネットワーク接続方法。
【0157】
(付記14)
第1のネットワークとの接続が許可されているアドレスが登録されているアドレスフィルタテーブルを有するゲートウェイに第2のネットワークを介して接続し且つ認証済みで前記第1のネットワークに接続しているユーザ端末のネットワーク接続を制御する認証装置であって、
前記ユーザ端末から前記第1のネットワークとの接続について切断要求を受信した場合又はそれより前に、アドレスと当該アドレスの割付可否の情報とが対応付けられて登録されている割付アドレス格納部から、前記ユーザ端末が現在使用しているアドレスとは別の割付可能なアドレスを抽出し、抽出されたアドレスを、所定時間有効な再接続用のアドレスとして前記ユーザ端末に送信する認証処理手段と、
前記ユーザ端末の、前記第1のネットワークからの切断時に、前記ゲートウェイに、前記現在使用しているアドレスから前記再接続用のアドレスへ、前記ゲートウェイの前記アドレスフィルタテーブルを更新させるフィルタ設定管理手段と、
を有し、
前記所定時間内に前記再接続用のアドレスで前記ユーザ端末から前記第1のネットワークへの再接続が要求された場合、認証を行わずに、前記ゲートウェイにおいて前記第1のネットワークへの再接続を許可する
ことを特徴とする認証装置。
【0158】
(付記15)
第1のネットワークとの接続が許可されているアドレスが登録されているアドレスフィルタテーブルを有するゲートウェイに第2のネットワークを介して接続し且つ認証済みで前記第1のネットワークに接続しているユーザ端末のネットワーク接続を制御する認証装置であって、
前記ユーザ端末から前記第1のネットワークとの接続について切断要求を受信した場合又はそれより前に、前記ユーザ端末が現在使用しているアドレスとは別の割付可能なアドレスを再接続用のアドレスとして生成する再接続用割付アドレス生成手段と、
前記ユーザ端末の、前記第1のネットワークからの切断時に、前記ゲートウェイに、前記現在使用しているアドレスから所定時間有効な前記再接続用のアドレスへ、前記ゲートウェイの前記アドレスフィルタテーブルを更新させるフィルタ設定管理手段と、
を有し、
前記所定時間内に前記再接続用のアドレスと同一のアドレスで前記ユーザ端末から前記第1のネットワークへの再接続が要求された場合、認証を行わずに、前記ゲートウェイにおいて前記第1のネットワークへの再接続を許可する
ことを特徴とする認証装置。
【図面の簡単な説明】
【0159】
【図1】実施の形態1及び2におけるシステムの機能ブロック図である。
【図2】認証テーブル格納部に格納されるデータの一例を示す図である。
【図3】割付SrcMACアドレステーブル格納部に格納されるデータの一例を示す図である。
【図4】MACタイマに格納されるデータの一例を示す図である。
【図5】再接続用SrcMACアドレス格納部に格納されるデータの一例を示す図である。
【図6】MACフィルタテーブル格納部に格納されるデータの一例を示す図である。
【図7】MAC学習テーブル格納部に格納されるデータの一例を示す図である。
【図8】実施の形態1の接続要求処理の処理フローを示す図である。
【図9】実施の形態1の接続要求処理の処理フローを示す図である。
【図10】実施の形態1の切断要求処理の処理フローを示す図である。
【図11】実施の形態1の認証処理の処理フローを示す図である。
【図12】実施の形態1の切断処理の処理フローを示す図である。
【図13】実施の形態1のタイムアウト処理の処理フローを示す図である。
【図14】割付SrcMACアドレステーブル格納部に格納されるデータの一例を示す図である。
【図15】実施の形態2の接続要求処理の処理フローを示す図である。
【図16】実施の形態2の切断要求処理の処理フローを示す図である。
【図17】実施の形態2の認証処理の処理フローを示す図である。
【図18】実施の形態2の切断処理の処理フローを示す図である。
【図19】実施の形態3及び4におけるシステムの機能ブロック図である。
【図20】実施の形態3の切断要求処理の処理フローを示す図である。
【図21】実施の形態3の切断処理の処理フローを示す図である。
【図22】実施の形態4の接続要求処理の処理フローを示す図である。
【図23】実施の形態4の接続要求処理の処理フローを示す図である。
【図24】実施の形態4の認証処理の処理フローを示す図である。
【図25】コンピュータの機能ブロック図である。
【符号の説明】
【0160】
1 ネットワーク 3 認証装置 5 ユーザ端末
7 ゲートウェイ 9 サーバ
31 認証テーブル格納部 32 認証処理部
33 割付SrcMACアドレステーブル格納部
34 MACフィルタ設定管理部 35 MACタイマ
36 再接続用割付SrcMACアドレス生成部
51 認証要求部 52 再接続用SrcMACアドレス格納部
53 通信管理部
54 再接続用SrcMACアドレス生成部
71 MACフィルタテーブル管理部
72 MACフィルタテーブル格納部
73 MACフィルタリング部
74 MAC学習テーブル格納部
【特許請求の範囲】
【請求項1】
第1のネットワークとの接続が許可されているアドレスが登録されているアドレスフィルタテーブルを有するゲートウェイに接続されている認証装置による認証が完了して前記ゲートウェイを介して前記第1のネットワークへの接続が行われており且つ前記ゲートウェイと第2のネットワークを介して接続されているユーザ端末のネットワーク接続を制御するプログラムであって、
前記認証装置に、
前記ユーザ端末から前記第1のネットワークとの接続について切断要求を受信した場合又はそれより前に、アドレスと当該アドレスの割付可否の情報とが対応付けられて登録されている割付アドレス格納部から、前記ユーザ端末が現在使用しているアドレスとは別の割付可能なアドレスを抽出するステップと、
抽出されたアドレスを、所定時間有効な再接続用のアドレスとして前記ユーザ端末に送信するステップと、
前記ユーザ端末の、前記第1のネットワークからの切断時に、前記ゲートウェイに、前記現在使用しているアドレスから前記再接続用のアドレスへ、前記ゲートウェイの前記アドレスフィルタテーブルを更新させるステップと、
を実行させ、
前記所定時間内に前記再接続用のアドレスで前記ユーザ端末から前記第1のネットワークへの再接続が要求された場合、前記認証装置による認証を経ずに、前記ゲートウェイにおいて前記第1のネットワークへの再接続を許可させる
ことを特徴とするネットワーク接続制御プログラム。
【請求項2】
第1のネットワークとの接続が許可されているアドレスが登録されているアドレスフィルタテーブルを有するゲートウェイに接続されている認証装置による認証が完了して前記ゲートウェイを介して前記第1のネットワークへの接続が行われており且つ前記ゲートウェイと第2のネットワークを介して接続されているユーザ端末のネットワーク接続を制御するプログラムであって、
前記認証装置に、
前記ユーザ端末から前記第1のネットワークとの接続について切断要求を受信した場合又はそれより前に、前記ユーザ端末が現在使用しているアドレスとは別の割付可能なアドレスを再接続用のアドレスとして生成する生成ステップと、
前記ユーザ端末の、前記第1のネットワークからの切断時に、前記ゲートウェイに、前記現在使用しているアドレスから所定時間有効な前記再接続用のアドレスへ、前記ゲートウェイの前記アドレスフィルタテーブルを更新させるステップと、
を実行させ、
前記所定時間内に前記再接続用のアドレスと同一のアドレスで前記ユーザ端末から前記第1のネットワークへの再接続が要求された場合、前記認証装置による認証を経ずに、前記ゲートウェイにおいて前記第1のネットワークへの再接続を許可させる
ことを特徴とするネットワーク接続制御プログラム。
【請求項3】
第1のネットワークとの接続が許可されているアドレスが登録されているアドレスフィルタテーブルを有するゲートウェイに接続されている認証装置による認証が完了して前記ゲートウェイを介して前記第1のネットワークへの接続が行われており且つ前記ゲートウェイと第2のネットワークを介して接続されているユーザ端末に、
前記第1のネットワークとの接続について切断要求を送信した後又はそれ以前に、前記ユーザ端末が現在使用しているアドレスとは別のアドレスを所定時間有効な再接続用のアドレスとして受信し、再接続用アドレス格納部に格納するステップと、
前記第1のネットワークとの接続が切断された後前記所定時間内であれば、前記認証装置による認証を受けることなく、前記再接続用アドレス格納部に格納されている前記再接続用のアドレスで前記第1のネットワークへ再接続をするステップと、
を実行させるためのネットワーク接続プログラム。
【請求項4】
第1のネットワークとの接続が許可されているアドレスが登録されているアドレスフィルタテーブルを有するゲートウェイに接続されている認証装置による認証が完了して前記ゲートウェイを介して前記第1のネットワークへの接続が行われており且つ前記ゲートウェイと第2のネットワークを介して接続されているユーザ端末に、
前記第1のネットワークとの接続について切断要求を送信した後又はそれ以前に、前記ユーザ端末が現在使用しているアドレスとは別で且つ前記認証装置により生成されるアドレスと同一のアドレスを所定時間有効な再接続用のアドレスとして生成し、再接続用アドレス格納部に格納する生成ステップと、
前記第1のネットワークとの接続が切断された後前記所定時間内であれば、前記認証装置による認証を受けることなく、前記再接続用アドレス格納部に格納されている前記再接続用のアドレスで前記第1のネットワークへ再接続をするステップと、
を実行させるためのネットワーク接続プログラム。
【請求項5】
第1のネットワークとの接続が許可されているアドレスが登録されているアドレスフィルタテーブルを有するゲートウェイに接続されている認証装置による認証が完了して前記ゲートウェイを介して前記第1のネットワークへの接続が行われており且つ前記ゲートウェイと第2のネットワークを介して接続されているユーザ端末のネットワーク接続を制御するネットワーク接続制御方法であって、
前記ユーザ端末から前記第1のネットワークとの接続について切断要求を受信した場合又はそれより前に、前記認証装置が、アドレスと当該アドレスの割付可否の情報とが対応付けられて登録されている割付アドレス格納部から、前記ユーザ端末が現在使用しているアドレスとは別の割付可能なアドレスを抽出するステップと、
前記認証装置が、抽出されたアドレスを、所定時間有効な再接続用のアドレスとして前記ユーザ端末に送信するステップと、
前記認証装置が、前記ユーザ端末の、前記第1のネットワークからの切断時に、前記ゲートウェイに、前記現在使用しているアドレスから前記再接続用のアドレスへ、前記ゲートウェイの前記アドレスフィルタテーブルを更新させるステップと、
を含み、
前記所定時間内に前記再接続用のアドレスで前記ユーザ端末から前記第1のネットワークへの再接続が要求された場合、前記認証装置による認証を経ずに、前記ゲートウェイにおいて前記第1のネットワークへの再接続を許可する
ことを特徴とするネットワーク接続制御方法。
【請求項6】
第1のネットワークとの接続が許可されているアドレスが登録されているアドレスフィルタテーブルを有するゲートウェイに接続されている認証装置による認証が完了して前記ゲートウェイを介して前記第1のネットワークへの接続が行われており且つ前記ゲートウェイと第2のネットワークを介して接続されているユーザ端末のネットワーク接続を制御するネットワーク接続制御方法であって、
前記ユーザ端末から前記第1のネットワークとの接続について切断要求を受信した場合又はそれより前に、前記認証装置が、前記ユーザ端末が現在使用しているアドレスとは別の割付可能なアドレスを再接続用のアドレスとして生成する生成ステップと、
前記認証装置が、前記ユーザ端末の、前記第1のネットワークからの切断時に、前記ゲートウェイに、前記現在使用しているアドレスから所定時間有効な前記再接続用のアドレスへ、前記ゲートウェイの前記アドレスフィルタテーブルを更新させるステップと、
を含み、
前記所定時間内に前記再接続用のアドレスと同一のアドレスで前記ユーザ端末から前記第1のネットワークへの再接続が要求された場合、前記認証装置による認証を経ずに、前記ゲートウェイにおいて前記第1のネットワークへの再接続を許可する
ことを特徴とするネットワーク接続制御方法。
【請求項7】
第1のネットワークとの接続が許可されているアドレスが登録されているアドレスフィルタテーブルを有するゲートウェイに接続されている認証装置による認証が完了して前記ゲートウェイを介して前記第1のネットワークへの接続が行われており且つ前記ゲートウェイと第2のネットワークを介して接続されているユーザ端末により実行されるネットワーク接続方法であって、
前記第1のネットワークとの接続について切断要求を送信した後又はそれ以前に、前記ユーザ端末が現在使用しているアドレスとは別のアドレスを所定時間有効な再接続用のアドレスとして受信し、再接続用アドレス格納部に格納するステップと、
前記第1のネットワークとの接続が切断された後前記所定時間内であれば、前記認証装置による認証を受けることなく、前記再接続用アドレス格納部に格納されている前記再接続用のアドレスで前記第1のネットワークへ再接続をするステップと、
を含むネットワーク接続方法。
【請求項8】
第1のネットワークとの接続が許可されているアドレスが登録されているアドレスフィルタテーブルを有するゲートウェイに接続されている認証装置による認証が完了して前記ゲートウェイを介して前記第1のネットワークへの接続が行われており且つ前記ゲートウェイと第2のネットワークを介して接続されているユーザ端末により実行されるネットワーク接続方法であって、
前記第1のネットワークとの接続について切断要求を送信した後又はそれ以前に、前記ユーザ端末が現在使用しているアドレスとは別で且つ前記認証装置により生成されるアドレスと同一のアドレスを所定時間有効な再接続用のアドレスとして生成し、再接続用アドレス格納部に格納するステップと、
前記第1のネットワークとの接続が切断された後前記所定時間内であれば、前記認証装置による認証を受けることなく、前記再接続用アドレス格納部に格納されている前記再接続用のアドレスで前記第1のネットワークへ再接続をするステップと、
を含むネットワーク接続方法。
【請求項9】
第1のネットワークとの接続が許可されているアドレスが登録されているアドレスフィルタテーブルを有するゲートウェイに第2のネットワークを介して接続し且つ認証済みで前記第1のネットワークに接続しているユーザ端末のネットワーク接続を制御する認証装置であって、
前記ユーザ端末から前記第1のネットワークとの接続について切断要求を受信した場合又はそれより前に、アドレスと当該アドレスの割付可否の情報とが対応付けられて登録されている割付アドレス格納部から、前記ユーザ端末が現在使用しているアドレスとは別の割付可能なアドレスを抽出し、抽出されたアドレスを、所定時間有効な再接続用のアドレスとして前記ユーザ端末に送信する認証処理手段と、
前記ユーザ端末の、前記第1のネットワークからの切断時に、前記ゲートウェイに、前記現在使用しているアドレスから前記再接続用のアドレスへ、前記ゲートウェイの前記アドレスフィルタテーブルを更新させるフィルタ設定管理手段と、
を有し、
前記所定時間内に前記再接続用のアドレスで前記ユーザ端末から前記第1のネットワークへの再接続が要求された場合、認証を行わずに、前記ゲートウェイにおいて前記第1のネットワークへの再接続を許可する
ことを特徴とする認証装置。
【請求項10】
第1のネットワークとの接続が許可されているアドレスが登録されているアドレスフィルタテーブルを有するゲートウェイに第2のネットワークを介して接続し且つ認証済みで前記第1のネットワークに接続しているユーザ端末のネットワーク接続を制御する認証装置であって、
前記ユーザ端末から前記第1のネットワークとの接続について切断要求を受信した場合又はそれより前に、前記ユーザ端末が現在使用しているアドレスとは別の割付可能なアドレスを再接続用のアドレスとして生成する再接続用割付アドレス生成手段と、
前記ユーザ端末の、前記第1のネットワークからの切断時に、前記ゲートウェイに、前記現在使用しているアドレスから所定時間有効な前記再接続用のアドレスへ、前記ゲートウェイの前記アドレスフィルタテーブルを更新させるフィルタ設定管理手段と、
を有し、
前記所定時間内に前記再接続用のアドレスと同一のアドレスで前記ユーザ端末から前記第1のネットワークへの再接続が要求された場合、認証を行わずに、前記ゲートウェイにおいて前記第1のネットワークへの再接続を許可する
ことを特徴とする認証装置。
【請求項1】
第1のネットワークとの接続が許可されているアドレスが登録されているアドレスフィルタテーブルを有するゲートウェイに接続されている認証装置による認証が完了して前記ゲートウェイを介して前記第1のネットワークへの接続が行われており且つ前記ゲートウェイと第2のネットワークを介して接続されているユーザ端末のネットワーク接続を制御するプログラムであって、
前記認証装置に、
前記ユーザ端末から前記第1のネットワークとの接続について切断要求を受信した場合又はそれより前に、アドレスと当該アドレスの割付可否の情報とが対応付けられて登録されている割付アドレス格納部から、前記ユーザ端末が現在使用しているアドレスとは別の割付可能なアドレスを抽出するステップと、
抽出されたアドレスを、所定時間有効な再接続用のアドレスとして前記ユーザ端末に送信するステップと、
前記ユーザ端末の、前記第1のネットワークからの切断時に、前記ゲートウェイに、前記現在使用しているアドレスから前記再接続用のアドレスへ、前記ゲートウェイの前記アドレスフィルタテーブルを更新させるステップと、
を実行させ、
前記所定時間内に前記再接続用のアドレスで前記ユーザ端末から前記第1のネットワークへの再接続が要求された場合、前記認証装置による認証を経ずに、前記ゲートウェイにおいて前記第1のネットワークへの再接続を許可させる
ことを特徴とするネットワーク接続制御プログラム。
【請求項2】
第1のネットワークとの接続が許可されているアドレスが登録されているアドレスフィルタテーブルを有するゲートウェイに接続されている認証装置による認証が完了して前記ゲートウェイを介して前記第1のネットワークへの接続が行われており且つ前記ゲートウェイと第2のネットワークを介して接続されているユーザ端末のネットワーク接続を制御するプログラムであって、
前記認証装置に、
前記ユーザ端末から前記第1のネットワークとの接続について切断要求を受信した場合又はそれより前に、前記ユーザ端末が現在使用しているアドレスとは別の割付可能なアドレスを再接続用のアドレスとして生成する生成ステップと、
前記ユーザ端末の、前記第1のネットワークからの切断時に、前記ゲートウェイに、前記現在使用しているアドレスから所定時間有効な前記再接続用のアドレスへ、前記ゲートウェイの前記アドレスフィルタテーブルを更新させるステップと、
を実行させ、
前記所定時間内に前記再接続用のアドレスと同一のアドレスで前記ユーザ端末から前記第1のネットワークへの再接続が要求された場合、前記認証装置による認証を経ずに、前記ゲートウェイにおいて前記第1のネットワークへの再接続を許可させる
ことを特徴とするネットワーク接続制御プログラム。
【請求項3】
第1のネットワークとの接続が許可されているアドレスが登録されているアドレスフィルタテーブルを有するゲートウェイに接続されている認証装置による認証が完了して前記ゲートウェイを介して前記第1のネットワークへの接続が行われており且つ前記ゲートウェイと第2のネットワークを介して接続されているユーザ端末に、
前記第1のネットワークとの接続について切断要求を送信した後又はそれ以前に、前記ユーザ端末が現在使用しているアドレスとは別のアドレスを所定時間有効な再接続用のアドレスとして受信し、再接続用アドレス格納部に格納するステップと、
前記第1のネットワークとの接続が切断された後前記所定時間内であれば、前記認証装置による認証を受けることなく、前記再接続用アドレス格納部に格納されている前記再接続用のアドレスで前記第1のネットワークへ再接続をするステップと、
を実行させるためのネットワーク接続プログラム。
【請求項4】
第1のネットワークとの接続が許可されているアドレスが登録されているアドレスフィルタテーブルを有するゲートウェイに接続されている認証装置による認証が完了して前記ゲートウェイを介して前記第1のネットワークへの接続が行われており且つ前記ゲートウェイと第2のネットワークを介して接続されているユーザ端末に、
前記第1のネットワークとの接続について切断要求を送信した後又はそれ以前に、前記ユーザ端末が現在使用しているアドレスとは別で且つ前記認証装置により生成されるアドレスと同一のアドレスを所定時間有効な再接続用のアドレスとして生成し、再接続用アドレス格納部に格納する生成ステップと、
前記第1のネットワークとの接続が切断された後前記所定時間内であれば、前記認証装置による認証を受けることなく、前記再接続用アドレス格納部に格納されている前記再接続用のアドレスで前記第1のネットワークへ再接続をするステップと、
を実行させるためのネットワーク接続プログラム。
【請求項5】
第1のネットワークとの接続が許可されているアドレスが登録されているアドレスフィルタテーブルを有するゲートウェイに接続されている認証装置による認証が完了して前記ゲートウェイを介して前記第1のネットワークへの接続が行われており且つ前記ゲートウェイと第2のネットワークを介して接続されているユーザ端末のネットワーク接続を制御するネットワーク接続制御方法であって、
前記ユーザ端末から前記第1のネットワークとの接続について切断要求を受信した場合又はそれより前に、前記認証装置が、アドレスと当該アドレスの割付可否の情報とが対応付けられて登録されている割付アドレス格納部から、前記ユーザ端末が現在使用しているアドレスとは別の割付可能なアドレスを抽出するステップと、
前記認証装置が、抽出されたアドレスを、所定時間有効な再接続用のアドレスとして前記ユーザ端末に送信するステップと、
前記認証装置が、前記ユーザ端末の、前記第1のネットワークからの切断時に、前記ゲートウェイに、前記現在使用しているアドレスから前記再接続用のアドレスへ、前記ゲートウェイの前記アドレスフィルタテーブルを更新させるステップと、
を含み、
前記所定時間内に前記再接続用のアドレスで前記ユーザ端末から前記第1のネットワークへの再接続が要求された場合、前記認証装置による認証を経ずに、前記ゲートウェイにおいて前記第1のネットワークへの再接続を許可する
ことを特徴とするネットワーク接続制御方法。
【請求項6】
第1のネットワークとの接続が許可されているアドレスが登録されているアドレスフィルタテーブルを有するゲートウェイに接続されている認証装置による認証が完了して前記ゲートウェイを介して前記第1のネットワークへの接続が行われており且つ前記ゲートウェイと第2のネットワークを介して接続されているユーザ端末のネットワーク接続を制御するネットワーク接続制御方法であって、
前記ユーザ端末から前記第1のネットワークとの接続について切断要求を受信した場合又はそれより前に、前記認証装置が、前記ユーザ端末が現在使用しているアドレスとは別の割付可能なアドレスを再接続用のアドレスとして生成する生成ステップと、
前記認証装置が、前記ユーザ端末の、前記第1のネットワークからの切断時に、前記ゲートウェイに、前記現在使用しているアドレスから所定時間有効な前記再接続用のアドレスへ、前記ゲートウェイの前記アドレスフィルタテーブルを更新させるステップと、
を含み、
前記所定時間内に前記再接続用のアドレスと同一のアドレスで前記ユーザ端末から前記第1のネットワークへの再接続が要求された場合、前記認証装置による認証を経ずに、前記ゲートウェイにおいて前記第1のネットワークへの再接続を許可する
ことを特徴とするネットワーク接続制御方法。
【請求項7】
第1のネットワークとの接続が許可されているアドレスが登録されているアドレスフィルタテーブルを有するゲートウェイに接続されている認証装置による認証が完了して前記ゲートウェイを介して前記第1のネットワークへの接続が行われており且つ前記ゲートウェイと第2のネットワークを介して接続されているユーザ端末により実行されるネットワーク接続方法であって、
前記第1のネットワークとの接続について切断要求を送信した後又はそれ以前に、前記ユーザ端末が現在使用しているアドレスとは別のアドレスを所定時間有効な再接続用のアドレスとして受信し、再接続用アドレス格納部に格納するステップと、
前記第1のネットワークとの接続が切断された後前記所定時間内であれば、前記認証装置による認証を受けることなく、前記再接続用アドレス格納部に格納されている前記再接続用のアドレスで前記第1のネットワークへ再接続をするステップと、
を含むネットワーク接続方法。
【請求項8】
第1のネットワークとの接続が許可されているアドレスが登録されているアドレスフィルタテーブルを有するゲートウェイに接続されている認証装置による認証が完了して前記ゲートウェイを介して前記第1のネットワークへの接続が行われており且つ前記ゲートウェイと第2のネットワークを介して接続されているユーザ端末により実行されるネットワーク接続方法であって、
前記第1のネットワークとの接続について切断要求を送信した後又はそれ以前に、前記ユーザ端末が現在使用しているアドレスとは別で且つ前記認証装置により生成されるアドレスと同一のアドレスを所定時間有効な再接続用のアドレスとして生成し、再接続用アドレス格納部に格納するステップと、
前記第1のネットワークとの接続が切断された後前記所定時間内であれば、前記認証装置による認証を受けることなく、前記再接続用アドレス格納部に格納されている前記再接続用のアドレスで前記第1のネットワークへ再接続をするステップと、
を含むネットワーク接続方法。
【請求項9】
第1のネットワークとの接続が許可されているアドレスが登録されているアドレスフィルタテーブルを有するゲートウェイに第2のネットワークを介して接続し且つ認証済みで前記第1のネットワークに接続しているユーザ端末のネットワーク接続を制御する認証装置であって、
前記ユーザ端末から前記第1のネットワークとの接続について切断要求を受信した場合又はそれより前に、アドレスと当該アドレスの割付可否の情報とが対応付けられて登録されている割付アドレス格納部から、前記ユーザ端末が現在使用しているアドレスとは別の割付可能なアドレスを抽出し、抽出されたアドレスを、所定時間有効な再接続用のアドレスとして前記ユーザ端末に送信する認証処理手段と、
前記ユーザ端末の、前記第1のネットワークからの切断時に、前記ゲートウェイに、前記現在使用しているアドレスから前記再接続用のアドレスへ、前記ゲートウェイの前記アドレスフィルタテーブルを更新させるフィルタ設定管理手段と、
を有し、
前記所定時間内に前記再接続用のアドレスで前記ユーザ端末から前記第1のネットワークへの再接続が要求された場合、認証を行わずに、前記ゲートウェイにおいて前記第1のネットワークへの再接続を許可する
ことを特徴とする認証装置。
【請求項10】
第1のネットワークとの接続が許可されているアドレスが登録されているアドレスフィルタテーブルを有するゲートウェイに第2のネットワークを介して接続し且つ認証済みで前記第1のネットワークに接続しているユーザ端末のネットワーク接続を制御する認証装置であって、
前記ユーザ端末から前記第1のネットワークとの接続について切断要求を受信した場合又はそれより前に、前記ユーザ端末が現在使用しているアドレスとは別の割付可能なアドレスを再接続用のアドレスとして生成する再接続用割付アドレス生成手段と、
前記ユーザ端末の、前記第1のネットワークからの切断時に、前記ゲートウェイに、前記現在使用しているアドレスから所定時間有効な前記再接続用のアドレスへ、前記ゲートウェイの前記アドレスフィルタテーブルを更新させるフィルタ設定管理手段と、
を有し、
前記所定時間内に前記再接続用のアドレスと同一のアドレスで前記ユーザ端末から前記第1のネットワークへの再接続が要求された場合、認証を行わずに、前記ゲートウェイにおいて前記第1のネットワークへの再接続を許可する
ことを特徴とする認証装置。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】
【図20】
【図21】
【図22】
【図23】
【図24】
【図25】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】
【図20】
【図21】
【図22】
【図23】
【図24】
【図25】
【公開番号】特開2010−93585(P2010−93585A)
【公開日】平成22年4月22日(2010.4.22)
【国際特許分類】
【出願番号】特願2008−262143(P2008−262143)
【出願日】平成20年10月8日(2008.10.8)
【出願人】(000005223)富士通株式会社 (25,993)
【Fターム(参考)】
【公開日】平成22年4月22日(2010.4.22)
【国際特許分類】
【出願日】平成20年10月8日(2008.10.8)
【出願人】(000005223)富士通株式会社 (25,993)
【Fターム(参考)】
[ Back to top ]