【課題】アクセス制御を実施するＬＡＮの構築するための導入・運用コストが抑制できるようにする。
【解決手段】アクセス権限情報取得部１０４は、接続部Ａ１０２または接続部Ｂ１０３が受け付けたサービス利用要求に対し、このサービス利用要求に含まれるアドレス情報とサービス利用要求を受け付けた接続部Ａ１０２または接続部Ｂ１０３を識別する接続識別情報とに対応するアクセス権限情報を設定情報記憶部１０１より取り出す。アドレス変換部１０５は、接続部Ａ１０２および接続部Ｂ１０３が受け付けたサービス利用要求に含まれるアドレス情報を変換する。アクセス権限情報設定部１０６は、アドレス変換部１０５に変換されたアドレス情報にアクセス権限情報を組み込む。

【発明の詳細な説明】
【技術分野】
【０００１】
本発明は、ネットワークを介したアクセス制御を行うための中継装置、中継方法，アクセス制御システム、およびプログラムに関するものである。
【背景技術】
【０００２】
不正アクセスなどによる情報漏洩を防止し、組織が管理する機密情報および個人情報を安全に利活用するためには、セキュリティポリシに応じてユーザ端末などを適切に認証し、許可されている権限に基づいてアクセス制御を行うことが求められる。
【０００３】
ＩＰネットワークにおけるアクセス制御方式の例として、アクセス元のＩＰアドレスによって、アクセスの許可/不許可を判断する方法がある（非特許文献１参照）。この技術では、認証後にユーザ端末に設定するＩＰアドレス（アドレス情報）の特定の領域（アクセス権限判定領域）に、このユーザ端末に関連付けてアクセス権限（ポリシ）を埋め込む（組み込む）ようにしている。アクセス権限判定領域を読み込むことができるネットワーク制御機器では、ユーザ端末のＩＰアドレスが記述されたパケットを受信すると、ＩＰアドレスのアクセス権限判定領域に埋め込まれたポリシを読み込み、読み込んだ値に従い、受信したパケットを転送する/しないなどのアクセス制御を実施する。
【先行技術文献】
【非特許文献】
【０００４】
【非特許文献１】岩井孝法，水越康博，著、「ＩＰｖ６アドレスのＩＦＩＤを活用したユーザアクセス制御の効率化」、信学技法，vol.107, no.525, IN2007-242, pp.497-502, ２００８年。
【発明の概要】
【発明が解決しようとする課題】
【０００５】
ところで、ＬＡＮ（Local Area Network）によって運用者および組織が異なっている場合、各ＬＡＮのＩＰアドレス体系が独立に設定されるため、全てのＬＡＮに対して統一的なＩＰアドレス体系を導入することができない。このため、複数の異なるＬＡＮを接続する場合、ＬＡＮ間でＩＰアドレスの衝突が起こり得る。
【０００６】
このため、ルータを用いてアドレス変換を行っている。各ＬＡＮから共通のサービスサーバにアクセスする際には、ＩＰアドレスの衝突を防ぐために、ＬＡＮの出口に配置されたルータ（ＬＡＮルータ）またはＬＡＮとサービスサーバの間にあるルータ（中継ルータ）において、ユーザ端末／ＬＡＮルータから送信されたパケットに対してアドレス変換処理を施す。
【０００７】
ここで、前述したアクセス制御方法では、ユーザ端末に対応づけられているポリシが、アドレスのアクセス制御領域に埋め込まれている。従って、ルータでアドレス変換をしている状態で共通のサービスサーバに対するアクセス制御を実施するためには、ＬＡＮルータや中継ルータによるアドレス変換処理を施す前に、各ＬＡＮにおいて、アドレスに組み込まれたポリシをネットワーク制御機器で読み込んでアクセス制御（フィルタリング処理）を実施する必要がある。このため、前述したアクセス制御方法では、アクセス制御を実施するネットワーク制御機器がＬＡＮごとに必要となり、ＬＡＮを構築するための導入・運用コストが増加するという問題がある。
【０００８】
本発明は、以上のような問題点を解消するためになされたものであり、アクセス制御を実施するＬＡＮを構築するための導入・運用コストが抑制できるようにすることを目的とする。
【課題を解決するための手段】
【０００９】
本発明に係る中継装置は、複数の接続手段と、この接続手段を識別する接続識別情報に対してアクセス権限情報が関連付けられて記憶されている設定情報記憶部と、接続手段が受け付けたサービス利用要求に含まれるアドレス情報を変換するアドレス変換手段と、接続手段が受け付けたサービス利用要求に対し、このサービス利用要求を受け付けた接続手段を識別する接続識別情報に対応するアクセス権限情報を設定情報記憶部より取り出し、アドレス変換手段が変換したアドレス情報に取り出したアクセス権限情報を組み込むアクセス権限情報設定手段と、サービス利用要求の要求先が接続しているネットワークにサービス利用要求を転送する転送手段とを備える。
【００１０】
本発明に係る中継方法は、受け付けられたサービス利用要求に対し、このサービス利用要求が受け付けられた接続手段を識別する接続識別情報に対応するアクセス権限情報を設定情報記憶部より取り出す第１ステップと、受け付けられたサービス利用要求に含まれるアドレス情報を変換する第２ステップと、変換されたアドレス情報に取り出したアクセス権限情報を組み込む第３ステップと、サービス利用要求の要求先が接続しているネットワークにサービス利用要求を転送する第４ステップとを備える。
【００１１】
本発明に係るプログラムは、上述した中継方法をコンピュータに実現させるためのものである。
【００１２】
本発明に係るアクセス制御システムは、複数の接続手段と、この接続手段を識別する接続識別情報に対してアクセス権限情報が関連付けられて記憶されている設定情報記憶部と、接続手段が受け付けたサービス利用要求に含まれるアドレス情報を変換するアドレス変換手段と、接続手段が受け付けたサービス利用要求に対し、このサービス利用要求を受け付けた接続手段を識別する接続識別情報に対応するアクセス権限情報を設定情報記憶部より取り出し、アドレス変換手段が変換したアドレス情報に取り出したアクセス権限情報を組み込むアクセス権限情報設定手段と、サービス利用要求の要求先が接続しているネットワークにサービス利用要求を転送する転送手段とを有する中継装置と、アクセス権限情報とこのアクセス権限情報に対応するアクセス制御内容とを記憶している権限情報記憶部と、ネットワークを介して接続されている中継装置より転送されて受け付けられたサービス利用要求に含まれているアドレス情報に組み込まれているアクセス権限情報を取り出すアクセス権限情報取出手段と、アクセス権限情報取出手段が取り出したアクセス権限情報に対応するアクセス制御内容を権限情報記憶部より取り出し、取り出したアクセス制御内容に基づいて、受け付けられたサービス利用要求に対するアクセス制御を行うアクセス制御手段とを有するサービスサーバとを備える。
【００１３】
また、本発明に係る中継方法は、受け付けられたサービス利用要求に対し、このサービス利用要求が受け付られた接続手段を識別する接続識別情報に対応するアクセス権限情報を設定情報記憶部より取り出す第１ステップと、受け付けられたサービス利用要求に含まれるアドレス情報を変換する第２ステップと、変換されたアドレス情報に取り出したアクセス権限情報を組み込む第３ステップと、サービス利用要求の要求先が接続しているネットワークにサービス利用要求を転送する第４ステップと、ネットワークを介して転送されて受け付けられたサービス利用要求に含まれているアドレス情報に組み込まれているアクセス権限情報を取り出す第５ステップと、取り出したアクセス権限情報に対応するアクセス制御内容を権限情報記憶部より取り出し、取り出したアクセス制御内容に基づいて、受け付けられたサービス利用要求に対するアクセス制御を行う第５ステップとを備える。
【発明の効果】
【００１４】
以上説明したように、本発明によれば、中継するときにアクセス権限情報を組み込むので、アクセス制御を実施するＬＡＮを構築するための導入・運用コストが抑制できるようになるという優れた効果が得られる。
【図面の簡単な説明】
【００１５】
【図１】本発明の実施の形態１における中継装置１００の構成を示す構成図である。
【図２】中継装置１００の動作例を説明するフローチャートである。
【図３】サービスサーバ１４０の動作例を説明するフローチャートである。
【図４】本発明の実施の形態２における中継装置４００の構成を示す構成図である。
【図５Ａ】中継装置４００の要求転送の動作例を説明するフローチャートである。
【図５Ｂ】中継装置４００の応答転送の動作例を説明するフローチャートである。
【図６】サービスサーバ４４０の動作例を説明するフローチャートである。
【図７】本発明の実施の形態３におけるアクセス制御システムの構成を示す構成図である。
【図８】本発明の実施の形態４におけるアクセス制御システムの構成を示す構成図である。
【発明を実施するための形態】
【００１６】
以下、本発明の実施の形態について図を参照して説明する。
【００１７】
［実施の形態１］
はじめに、本発明の実施の形態１について説明する。図１は、本発明の実施の形態１における中継装置１００の構成を示す構成図である。図１では、中継装置１００およびサービスサーバ（アクセス制御サーバ）１４０を用いたアクセス制御システムの構成を示している。
【００１８】
中継装置１００は、設定情報記憶部１０１，接続部（接続手段）Ａ１０２および接続部（接続手段）Ｂ１０３，アクセス権限情報取得部１０４，アドレス変換部１０５，アクセス権限情報設定部１０６，転送部１０７，および網接続部１０８を備える。中継装置１００には、接続部Ａ１０２にアクセスラインを介してルータＡ１２１が接続し、接続部Ｂ１０３にアクセスラインを介してルータＢ１２２が接続している。ルータＡ１２１およびルータＢ１２２は、各々が、ＬＡＮ（Local Area Network）に接続し、各ＬＡＮにおいて図示しない複数の端末装置を収容している。接続部Ａ１０２および接続部Ｂ１０３は、例えば、よく知られたイーサネット（登録商標）インタフェース（Ｉ／Ｆ）である。図１では、２つの接続部Ａ１０２および接続部Ｂ１０３を備える場合について説明しているが、これに限るものではなく、中継網の１つの物理的なインタフェースにルータＡ１２１およびルータＢ１２２が接続し，タグＶＬＡＮなどを利用して論理的に分離されていてもよく、また、３つ以上の接続部を備え、各々に、異なるルータおよびＬＡＮが接続していてもよいことはいうまでもない。
【００１９】
サービスサーバ１４０は、権限情報記憶部１４１，網接続部１４２，アクセス権限情報取出部１４３，およびアクセス制御部１４４を備える。サービスサーバ１４０と中継装置１００とは、網接続部１４２と網接続部１０８とにより、中継網（ネットワーク）１３０を介して接続している。なお、図１では、１つのサービスサーバ１４０が、中継網１３０に接続する例を示しているが、中継網１３０に、同様の構成とされた複数のサービスサーバ１４０が接続されていてもよい。
【００２０】
設定情報記憶部１０１は、接続部Ａ１０２および接続部Ｂ１０３を識別する接続識別情報とアドレス情報との組に対してアクセス権限情報を関連付けて記憶している。設定情報記憶部１０１に記憶されているアドレス情報は、接続部Ａ１０２および接続部Ｂ１０３に接続するＬＡＮが収容している端末装置と中継装置１００との接続を確立するときに、既に接続している他の端末装置との識別（区別）を可能にするために用いられるものである。なお、アドレス情報に関係なく、接続識別情報に対してアクセス権限情報を関連付けて、ＬＡＮ単位でアクセス権限が決定されるようにしてもよい。
【００２１】
アクセス権限情報取得部１０４は、接続部Ａ１０２または接続部Ｂ１０３が受け付けたサービス利用要求に対し、このサービス利用要求に含まれるアドレス情報とサービス利用要求を受け付けた接続部Ａ１０２または接続部Ｂ１０３を識別する接続識別情報とに対応するアクセス権限情報を設定情報記憶部１０１より取り出す。アドレス変換部１０５は、接続部Ａ１０２および接続部Ｂ１０３が受け付けたサービス利用要求に含まれるアドレス情報を変換する。アクセス権限情報設定部１０６は、アドレス変換部１０５に変換されたアドレス情報にアクセス権限情報を組み込む。
【００２２】
転送部１０７は、サービス利用要求の要求先となるサービスサーバ１４０が接続している中継網１３０に、網接続部１０８を介してサービス利用要求を送出（転送）する。このサービス利用要求に含まれる変換されたアドレス情報には、アクセス権限情報設定部１０６によりアクセス権限情報が組み込まれている。
【００２３】
権限情報記憶部１４１は、アクセス権限情報とこのアクセス権限情報に対応するアクセス制御内容とを記憶している。アクセス権限情報取出部１４３は、網接続部１４２が受け付けたサービス利用要求に含まれているアドレス情報に組み込まれているアクセス権限情報を取り出す。アクセス制御部１４４は、アクセス権限情報取出部１４３が取り出したアクセス権限情報に対応するアクセス制御内容を権限情報記憶部１４１より取り出し、取り出したアクセス制御内容に基づいて、網接続部１４２で受け付けられたサービス利用要求に対するアクセス制御を行う。
【００２４】
次に、中継装置１００の動作について、図２のフローチャートを用いて説明する。まず、接続部Ａ１０２または接続部Ｂ１０３が、例えばサービスサーバ１４０に対するサービス利用要求を受け付けると（ステップＳ２０１）、アクセス権限情報取得部１０４が、受け付けられたサービス利用要求に含まれるアドレス情報とサービス利用要求を受け付けた接続部Ａ１０２または接続部Ｂ１０３を識別する接続識別情報とに対応するアクセス権限情報を設定情報記憶部１０１より取得する（ステップＳ２０２）。
【００２５】
次に、アドレス変換部１０５が、受け付けられたサービス利用要求に含まれるアドレス情報を変換する（ステップＳ２０３）。次に、アクセス権限情報取得部１０４により取得されたアクセス権限情報を、アクセス権限情報設定部１０６が、サービス利用要求に含まれる変換されたアドレス情報に組み込む（ステップＳ２０４）。この後、アドレス変換部１０５が、アドレス情報が変換されてアクセス権限情報が組み込まれたサービス利用要求を、網接続部１０８を介して中継網１３０に送出（転送）する（ステップＳ２０５）。
【００２６】
次に、サービスサーバ１４０の動作について、図３のフローチャートを用いて説明する。まず、網接続部１４２がサービス利用要求を受け付けると（ステップＳ３０１）、アクセス権限情報取出部１４３が、受け付けたサービス利用要求に含まれているアドレス情報に組み込まれているアクセス権限情報を取り出す（ステップＳ３０２）。次に、アクセス制御部１４４が、アクセス権限情報取出部１４３により取り出されたアクセス権限情報に対応するアクセス制御内容を権限情報記憶部１４１より取得する（ステップＳ３０３）。この後、アクセス制御部１４４が、取り出したアクセス制御内容に基づいて、受け付けられたサービス利用要求に対するアクセス制御を行う（ステップＳ３０４）。
【００２７】
以上に説明したように、本実施の形態では、中継装置１００においてアクセス権限情報を組み込むようにした。従って、例えば、接続先のサービスサーバ１４０で、組み込まれたアクセス権限情報をもとにアクセス制御ができるようになる。このようにすることで、アクセス権限情報の組み込みを、要求元（例えば各ＬＡＮ）の各々で行う必要が無く、要求元の各々において組み込みのためのシステムを構築する必要がなくなる。また、例えば、アクセス権限情報に基づくアクセス制御の内容については、要求先で備えていればよく、要求元の各々において、備えている必要がなくなる。この結果、本実施の形態によれば、各ルータＡ１２１，ルータＢ１２２や、これらに接続しているＬＡＮの各々においてアクセス制御をする必要がなくなるので、アクセス制御を実施するＬＡＮを構築するための導入・運用コストが抑制できるようになる。
【００２８】
なお、中継装置１００は、ＣＰＵと主記憶装置と外部記憶装置とネットワークなどとの接続を行う接続装置などを備えたコンピュータ機器であり、主記憶装置に展開されたプログラムによりＣＰＵが動作することで、上述した各機能が実現される。また、各機能は、複数のコンピュータ機器に分散させるようにしてもよい。
【００２９】
［実施の形態２］
次に、本発明の実施の形態２について説明する。図４は、本発明の実施の形態２における中継装置４００の構成を示す構成図である。図４では、中継装置４００およびサービスサーバ（アクセス制御サーバ）４４０を用いたアクセス制御システムの構成を示している。
【００３０】
中継装置４００は、設定情報記憶部４０１，接続部（接続手段）Ａ４０２および接続部（接続手段）Ｂ４０３，アドレス設定部４０４，アクセス権限情報取得部４０５，アドレス変換部４０６，アクセス権限情報設定部４０７，転送部４０８，および網接続部４０９を備える。中継装置４００には、接続部Ａ４０２にアクセスラインを介してルータＡ４２１が接続し、接続部Ｂ４０３にアクセスラインを介してルータＢ４２４が接続している。ルータＡ４２１は、ＬＡＮ（Local Area Network）４２２に接続し、ＬＡＮ４２２において複数の端末装置４２３を収容している。同様に、ルータＢ４２４は、ＬＡＮ４２５に接続し、ＬＡＮ４２５において複数の端末装置４２６を収容している。
【００３１】
接続部Ａ４０２および接続部Ｂ４０３は、例えば、よく知られたイーサネット（登録商標）インタフェース（Ｉ／Ｆ）である。図４では、２つの接続部Ａ４０２および接続部Ｂ４０３を備える場合について説明しているが、これに限るものではなく、中継網の１つの物理的なインタフェースにルータＡ１２１およびルータＢ１２２が接続し，タグＶＬＡＮなどを利用して論理的に分離されていてもよく、また、３つ以上の接続部を備え、各々に、異なるルータおよびＬＡＮが接続していてもよいことはいうまでもない。
【００３２】
サービスサーバ４４０は、権限情報記憶部４４１，網接続部４４２，アクセス権限情報取出部４４３，アクセス制御部４４４，およびサービス提供部４４５を備える。サービスサーバ４４０と中継装置４００とは、網接続部４４２と網接続部４０９とにより、中継網（ネットワーク）４３０を介して接続している。なお、図４では、１つのサービスサーバ４４０が、中継網４３０に接続する例を示しているが、中継網４３０に、同様の構成とされた複数のサービスサーバ４４０が接続されていてもよい。
【００３３】
設定情報記憶部４０１は、以下の表１に示すように、接続部Ａ４０２および接続部Ｂ４０３を識別する接続識別情報およびユーザ情報に対し、アドレス情報およびアクセス権限情報を関連付けて記憶している。ユーザ情報は、いずれかのルータを介して中継装置４００（接続部Ａ４０２および接続部Ｂ４０３）が受け付けた、接続要求の要求元のユーザまたは端末装置を識別するものである。ユーザ情報により、端末装置からの接続要求の受け付け制御を行う。なお、ユーザ情報に加えてパスワードや、ルータが接続されているアクセスラインの識別番号などを用い、端末からの接続要求の受け付け制御を行うようにしてもよい。この場合、設定情報記憶部４０１に、ユーザ情報に加えてパスワードや、アクセスラインの識別番号も備えるようにしておけばよい。
【００３４】
また、アドレス情報は、接続部Ａ４０２に接続するルータ４２１およびルータ４２１が収容している複数の端末装置４２３を識別（区別）可能にするために用いるものである。接続部Ｂ４０３についても同様に、アドレス情報は、接続部Ｂ４０３に接続するルータ４２４およびルータ４２４が収容している複数の端末装置４２６を識別（区別）可能にするために用いるものである。なお、異なるＬＡＮに属する端末装置４２３と端末装置４２６のアドレス情報は重複してもよい。
【００３５】
また、アクセス権限情報は、例えば、サービス利用要求が受け付けられるときの認証手段、要求元の端末装置を収容しているルータが接続しているアクセス回線の種別、予め設定されているサービスレベルを含んでいる。
【００３６】
【表１】

【００３７】
ここで、アクセス権限情報（ポリシ）を６ビットで表現する場合について説明する。
【００３８】
まず、認証手段として、「ＰＡＰ／ＣＨＡＰ認証：（００）₂」、「証明書認証：（０１）₂」、「回線クロス認証：（１０）₂」があり、アクセス回線種別として、「ＩＳＤＮ：（００）₂」、「ＡＤＳＬ：（０１）₂」、「ＦＴＴＨ：（１０）₂」があり、サービスレベルとして「提供しない：（００）₂」、「低：（０１）₂」、「高：（１０）₂」があるものとする。
【００３９】
例えば、「ＰＡＰ／ＣＨＡＰ認証」で、アクセス回線種別が「ＡＤＳＬ」，サービスレベルが「低」とされている要求元から送出されたパケット（サービス利用要求）には、アドレス変換がされた後、次に示すように、送信元のＩＰアドレスにポリシが組み込まれる。
【００４０】
【数１】

【００４１】
アドレス設定部４０４は、接続部Ａ４０２または接続部Ｂ４０３が、中継装置４００に対する接続要求を受け付けると、この接続要求に含まれるユーザ情報と接続要求を受け付けた接続部Ａ４０２または接続部Ｂ４０３を識別する接続識別情報とに対応するアドレス情報を設定情報記憶部４０１より取り出し、接続要求元の端末Ａ４２３または端末Ｂ４２６に、対応するアドレス情報を払い出す（設定する）。このようにしてアドレス情報が設定されると、端末装置４２３および端末装置４２６は、中継装置４００に接続可能となり、中継網４３０を介してサービスサーバ４４０へのサービス利用要求が送出できるようになる。
【００４２】
アクセス権限情報取得部４０５は、接続部Ａ４０２または接続部Ｂ４０３が受け付けたサービスサーバ４４０へのサービス利用要求に対し、このサービス利用要求に含まれるアドレス情報とサービス利用要求を受け付けた接続部Ａ４０２または接続部Ｂ４０３を識別する接続識別情報とに対応するアクセス権限情報を設定情報記憶部４０１より取得する。なお、ＩＰアドレスなどのアドレス情報に関係なく、接続識別情報に対応するアクセス権限情報を取得するようにしてもよい。このようにすることで、端末装置単位ではなく、ＬＡＮ単位で一括してアクセス権限を決定することができる。
【００４３】
アドレス変換部４０６は、接続部Ａ４０２および接続部Ｂ４０３が受け付けたサービス利用要求に含まれるアドレス情報を変換する。アクセス権限情報設定部４０７は、アクセス権限情報取得部４０５が取得したアクセス権限情報を、アドレス変換部４０６に変換されたアドレス情報に組み込む。
【００４４】
転送部４０８は、サービス利用要求の要求先となるサービスサーバ４４０が接続している中継網４３０に、網接続部４０９を介してサービス利用要求を送出（転送）する。このサービス利用要求に含まれる変換されたアドレス情報（要求元アドレス情報）には、アクセス権限情報設定部４０７によりアクセス権限情報が組み込まれている。
【００４５】
権限情報記憶部４４１は、アクセス権限情報とこのアクセス権限情報に対応するアクセス制御内容とを記憶している。アクセス権限情報取出部４４３は、網接続部４４２が受け付けたサービス利用要求に含まれているアドレス情報に組み込まれているアクセス権限情報を取り出す。アクセス制御部４４４は、アクセス権限情報取出部４４３が取り出したアクセス権限情報に対応するアクセス制御内容を権限情報記憶部４４１より取り出し、取り出したアクセス制御内容に基づいて、網接続部４４２で受け付けられたサービス利用要求に対するアクセス制御を行う。サービス提供部４４５は、アクセス制御部４４４の制御の下で、要求されたサービスの提供を要求元の端末に対して行う。
【００４６】
次に、中継装置４００の動作について説明する。はじめに、中継装置４００の要求転送の動作について図５Ａのフローチャートを用いて説明する。まず、接続部Ａ４０２または接続部Ｂ４０３が、中継装置４００に対する接続要求を受け付けると（ステップＳ５０１）、アドレス設定部４０４が、この接続要求に含まれるユーザ情報と接続要求を受け付けた接続部Ａ４０２または接続部Ｂ４０３を識別する接続識別情報とに対応するアドレス情報を設定情報記憶部４０１より取り出す（ステップＳ５０２）。次いで、アドレス設定部４０４が、取り出したアドレス情報を、接続要求元の端末に払い出す（ステップＳ５０３）。
【００４７】
例えば、端末Ａ４２３からの中継装置４００に対する接続要求は、ルータＡ４２１を介して接続部Ａ４０２で受け付けられる。この場合、接続要求には端末Ａ４２３を識別するための情報として「ユーザＡ」が含まれており、設定情報記憶部４０１には、表１に示すように、接続部Ａ４０２を識別する「接続部Ａ」と「ユーザＡ」との組に対して「ＩＰaddressＡ」がアドレス情報として対応づけられている。このため、アドレス設定部４０４は、要求元の、端末Ａ４２３に対し、「ＩＰaddressＡ」を設定する。これにより、端末Ａ４２３は、中継装置４００への接続が可能となり、中継装置４００を介した中継網４３０への接続が行えるようになる。なお、各端末装置が全て中継装置と接続認証を行う必要はなく、ＬＡＮルータが代表して中継装置と接続認証を行い、ＬＡＮルータが中継装置からＩＰアドレスプールを取得してもよい。この場合、ＬＡＮ内の複数の端末装置は、ＬＡＮルータが取得したＩＰアドレスプールからＩＰアドレスを選択し、選択したＩＰアドレスを設定することになる．
【００４８】
次に、接続部Ａ４０２または接続部Ｂ４０３が、端末装置Ａ４２３または端末装置Ｂ４２６からの中継網４３０を介したサービスサーバ４４０に対するサービス利用要求を受け付けると（ステップＳ５０４）、アクセス権限情報取得部４０５が、受け付けられたサービス利用要求に含まれるアドレス情報とサービス利用要求を受け付けた接続部Ａ４０２または接続部Ｂ４０３を識別する接続識別情報とに対応するアクセス権限情報（ポリシＡ）を設定情報記憶部４０１より取得する（ステップＳ５０５）。なお、前述同様に、アドレス情報に関係なく、接続識別情報に対応するアクセス権限情報を取得するようにしてもよい。
【００４９】
次に、アドレス変換部４０６が、受け付けられたサービス利用要求に含まれるアドレス情報を変換する（ステップＳ５０６）。次に、アクセス権限情報設定部４０７が、アクセス権限情報取得部４０５により取得されたアクセス権限情報（ポリシＡ）を、変換されたアドレス情報に組み込む（ステップＳ５０７）。この後、転送部４０８が、アドレス情報が変換されてアクセス権限情報が組み込まれたサービス利用要求を、網接続部４０９を介して中継網４３０に転送する（ステップＳ５０８）。
【００５０】
次に、中継装置４００の応答転送の動作について図５Ｂのフローチャートを用いて説明する。まず、網接続部４０９が、端末Ａ４２３もしくは端末Ｂ４２６に対するサービス利用応答を受け付けると（ステップＳ５１１）、アドレス変換部４０６が、受け付けられたサービス利用応答に含まれるアドレス情報を逆変換する（ステップＳ５１１）。次に、転送部４０８が、逆変換されたアドレス情報で識別される要求元に、受け付けられたサービス利用応答を転送する。
【００５１】
次に、サービスサーバ４４０の動作について、図６のフローチャートを用いて説明する。まず、網接続部４４２がサービス利用要求を受け付けると（ステップＳ６０１）、アクセス権限情報取出部４４３が、受け付けたサービス利用要求に含まれているアドレス情報に組み込まれているアクセス権限情報を取り出す（ステップＳ６０２）。次に、アクセス制御部４４４が、アクセス権限情報取出部４４３により取り出されたアクセス権限情報に対応するアクセス制御内容を権限情報記憶部４４１より取得する（ステップＳ６０３）。
【００５２】
次に、アクセス制御部４４４が、取り出したアクセス制御内容に基づいて、受け付けられたサービス利用要求に対するアクセス制御を行う（ステップＳ６０４）。次に、サービス提供部４４５が、アクセス制御部４４４の制御のもとに、要求元の端末に対してサービスの提供（サービス利用応答）を行う（ステップＳ６０５）。例えば、端末Ａ４２３からのサービス利用要求を受け付けた場合、このサービス利用要求に含まれるアドレス情報には、「ポリシＡ」が組み込まれているので、アクセス制御部４４４は、「ポリシＡ」に対応するアクセス制御内容により、端末Ａ４２３との接続状態を制御（制限）する。このようにして制御された接続状態の中で、サービス提供部４４５が、許可されているサービス提供（サービス利用応答）を端末Ａ４２３に対して行う。
【００５３】
以上に説明したように、本実施の形態では、中継装置４００においてアクセス権限情報を組み込み、接続先のサービスサーバ４４０で、組み込まれたアクセス権限情報をもとにアクセス制御をしてサービスの提供を行うようにした。このため、アクセス権限情報の組み込みを、要求元（例えば各ＬＡＮ）の各々で行う必要が無く、要求元の各々において組み込みのためのシステムを構築する必要がなくなる。また、アクセス権限情報に基づくアクセス制御の内容については、サービスサーバ４４０で備えていればよく、端末Ａ４２３，端末Ｂ４２６やルータＡ４２１，ルータＢ４２４などで各々備えている必要がなくなる。この結果、本実施の形態によれば、アクセス制御を実施するＬＡＮを構築するための導入・運用コストが抑制できるようになる。
【００５４】
［実施の形態３］
次に、本発明の実施の形態３について説明する。図７は、本発明の実施の形態３におけるアクセス制御システムの構成を示す構成図である。本システムでは、前述した実施の形態２における中継装置を、認証サーバ７００とアドレス変換サーバ７１０とから構成したものであり、他の構成は、実施の形態２と同様である。
【００５５】
認証サーバ７００は、設定情報記憶部７０１、接続部Ａ７０２および接続部Ｂ７０３、アドレス設定認証部７０４を備える。認証サーバ７００には、接続部Ａ７０２にルータＡ４２１が接続し、接続部Ｂ７０３にルータＢ４２４が接続している。
【００５６】
アドレス変換サーバ７１０は、設定情報記憶部７１１，接続部Ａ７１２および接続部Ｂ７１３，アクセス権限情報取得部７１５，アドレス変換部７１６，アクセス権限情報設定部７１７，転送部７１８，および網接続部７１９を備える。
【００５７】
設定情報記憶部７０１は、接続部Ａ７０２および接続部Ｂ７０３を識別して認証するためのユーザ情報およびパスワードなどを含む認証情報と、ユーザ情報に関連付けられたアドレス情報を記憶している。認証情報は、いずれかのルータを介して認証サーバ７００（接続部Ａ７０２および接続部Ｂ７０３）が受け付けた、接続要求の要求元の端末装置を識別および認証するためのものである。認証情報により、端末装置からの接続要求の受け付け制御を行う。
【００５８】
また、アドレス情報は、接続部Ａ７０２に接続するルータ４２１およびルータ４２１が収容している複数の端末装置４２３を、認証サーバ７０１およびアドレス変換サーバ７１０が識別（区別）可能にするために用いるものである。これは、接続部Ｂ７０３についても同様に、アドレス情報は、接続部Ｂ７０３に接続するルータ４２４およびルータ４２４が収容している複数の端末装置４２６を識別（区別）可能にするために用いるものである。なお、異なるＬＡＮに属する端末装置４２３と端末装置４２６のアドレス情報は重複してもよい。
【００５９】
アドレス設定認証部７０４は、接続部Ａ７０２または接続部Ｂ７０３が、認証サーバ７００に対する接続要求を受け付けると、この接続要求に含まれるユーザ情報およびパスワードなどの受け付け認証情報と、設定情報記憶部７０１に設定されている認証情報とを比較することで、接続要求の認証を行う。
【００６０】
また、アドレス設定認証部７０４は、認証された接続要求に対し、この接続要求に含まれるユーザ情報と接続要求を受け付けた接続部Ａ７０２または接続部Ｂ７０３を識別する接続識別情報とに対応するアドレス情報を設定情報記憶部７０１より取り出し、接続要求元の端末Ａ４２３または端末Ｂ４２６に、対応するアドレス情報を払い出す（設定する）。なお、各端末装置が全て中継装置と接続認証を行う必要はなく、ＬＡＮルータが代表して中継装置と接続認証を行い、ＬＡＮルータが中継装置からＩＰアドレスプールを取得してもよい。この場合、ＬＡＮ内の複数の端末装置は、ＬＡＮルータが取得したＩＰアドレスプールからＩＰアドレスを選択し、選択したＩＰアドレスを設定することになる。
【００６１】
このようにしてアドレス情報が設定されると端末装置４２３および端末装置４２６は、認証サーバ７００に接続可能となる。また、接続部Ａ７０２または接続部Ｂ７０３は、認証された要求元よりサービス利用要求を受け付けると、接続部Ａ７１２または接続部Ｂ７１３に転送する。
【００６２】
設定情報記憶部７１１は、接続部Ａ７０２および接続部Ｂ７０３を識別する接続識別情報と認証サーバ７００に接続するためのアドレス情報とに、アクセス権限情報を関連付けて記憶している。アクセス権限情報は、例えば、サービス利用要求が受け付けられるときの認証手段、要求元の端末装置を収容しているルータが接続しているアクセス回線の種別、予め設定されているサービスレベルを含んでいる。
【００６３】
アクセス権限情報取得部７１５は、認証サーバ７００で受け付けられて接続部Ａ７１２または接続部Ｂ７１３に転送されたサービスサーバ４４０へのサービス利用要求に対し、このサービス利用要求に含まれるアドレス情報とサービス利用要求を受け付けた接続部Ａ７０２または接続部Ｂ７０３を識別する接続識別情報とに対応するアクセス権限情報を設定情報記憶部７１１より取得する。なお、前述同様に、アドレス情報に関係なく、接続識別情報に対応するアクセス権限情報を取得するようにしてもよい。
【００６４】
アドレス変換部７１６は、接続部Ａ７０２または接続部Ｂ７０３が受け付けて接続部Ａ７１２または接続部Ｂ７１３に転送されたサービス利用要求に含まれるアドレス情報を変換する。アクセス権限情報設定部７１７は、アクセス権限情報取得部７１５が取得したアクセス権限情報を、アドレス変換部７１６に変換されたアドレス情報に組み込む。
【００６５】
転送部７１８は、サービス利用要求の要求先となるサービスサーバ４４０が接続している中継網４３０に、網接続部７１９を介してサービス利用要求を送出（転送）する。このサービス利用要求に含まれる変換されたアドレス情報（要求元アドレス情報）には、アクセス権限情報設定部７１７によりアクセス権限情報が組み込まれている。
【００６６】
上述した本実施の形態においても、アドレス変換サーバ７１０においてアクセス権限情報を組み込み、接続先のサービスサーバ４４０で、組み込まれたアクセス権限情報をもとにアクセス制御をしてサービスの提供を行うようにした。このため、アクセス権限情報の組み込みを、要求元（例えば各ＬＡＮ）の各々で行う必要が無く、要求元の各々において組み込みのためのシステムを構築する必要がなくなる。また、アクセス権限情報に基づくアクセス制御の内容については、サービスサーバ４４０で備えていればよく、端末Ａ４２３，端末Ｂ４２６やルータＡ４２１，ルータＢ４２４などで各々備えている必要がなくなる。この結果、本実施の形態によれば、アクセス制御を実施するＬＡＮを構築するための導入・運用コストが抑制できるようになる。
【００６７】
［実施の形態４］
次に、本発明の実施の形態４について説明する。図８は、本発明の実施の形態４におけるアクセス制御システムの構成を示す構成図である。本システムでは、前述した実施の形態２における中継装置を、認証サーバ８００とアドレス変換サーバ８１０とから構成したものであり、他の構成は、実施の形態２，３と同様である。
【００６８】
認証サーバ８００は、設定情報記憶部８０１、接続部Ａ８０２および接続部Ｂ８０３、アドレス設定認証部８０４を備える。
【００６９】
アドレス変換サーバ８１０は、設定情報記憶部８１１，接続部Ａ８１２および接続部Ｂ８１３，アクセス権限情報取得部８１５，アドレス変換部８１６，アクセス権限情報設定部８１７，転送部８１８，および網接続部８１９を備える。本実施の形態では、アドレス変換サーバ８１０において、接続部Ａ８１２にルータＡ４２１が接続し、接続部Ｂ８１３にルータＢ４２４が接続している。
【００７０】
設定情報記憶部８０１は、接続部Ａ８０２に接続する接続部Ａ８１２および接続部Ｂ８０３に接続する接続部Ｂ８１３を識別して認証するためのユーザ情報およびパスワードなどを含む認証情報と、ユーザ情報に関連付けられたアドレス情報を記憶している。認証情報は、いずれかのルータを介して中継装置８１０（接続部Ａ８１２および接続部Ｂ８１３）が受け付けて 、認証サーバ８００（接続部Ａ８０２および接続部Ｂ８０３）に転送された、接続要求の要求元の端末装置を識別および認証するためのものである。認証情報により、端末装置からの接続要求の受け付け制御を行う。
【００７１】
また、アドレス情報は、接続部Ａ８１２に接続するルータ４２１およびルータ４２１が収容している複数の端末装置４２３を、認証サーバ８０１およびアドレス変換サーバ８１０が識別（区別）可能にするために用いるものである。これは、接続部Ｂ８１３についても同様に、アドレス情報は、接続部Ｂ８１３に接続するルータ４２４およびルータ４２４が収容している複数の端末装置４２６を識別（区別）可能にするために用いるものである。なお、異なるＬＡＮに属する端末装置４２３と端末装置４２６のアドレス情報は重複してもよい。
【００７２】
アドレス設定認証部８０４は、接続部Ａ８１２または接続部Ｂ８１３が受け付けて、接続部Ａ８０２または接続部Ｂ８０３に転送された、中継装置８１０に対する接続要求に含まれるユーザ情報およびパスワードなどの受け付け認証情報と、設定情報記憶部８０１に設定されている認証情報とを比較することで、接続要求の認証を行う。
【００７３】
また、アドレス設定認証部８０４は、認証された接続要求に対し、この接続要求に含まれるユーザ情報と接続要求を受け付けた接続部Ａ８１２または接続部Ｂ８１３を識別する接続識別情報とに対応するアドレス情報を設定情報記憶部８０１より取り出し、接続要求元の端末Ａ４２３または端末Ｂ４２６に、対応するアドレス情報を払い出す（設定する）。アドレス情報は、中継装置８１０を経由して要求元に転送される。なお、各端末装置が全て中継装置と接続認証を行う必要はなく、ＬＡＮルータが代表して中継装置と接続認証を行い、ＬＡＮルータが中継装置からＩＰアドレスプールを取得してもよい。この場合、ＬＡＮ内の複数の端末装置は、ＬＡＮルータが取得したＩＰアドレスプールからＩＰアドレスを選択し、選択したＩＰアドレスを設定することになる。
【００７４】
このようにしてアドレス情報が設定されると端末装置４２３および端末装置４２６は、アドレス変換サーバ８１０に接続可能となる。この実施の形態では、認証された要求元より送出されたサービス利用要求は、認証サーバ８００を経由することなく、接続部Ａ８１２または接続部Ｂ８１３で受け付けられることになる。また、アドレス設定認証部８０４が設定したアドレス情報などの認証に用いた各情報を、中継装置８１０に通知する。
【００７５】
設定情報記憶部８１１は、接続部Ａ８１２および接続部Ｂ８１３を識別する接続識別情報と認証サーバ８００に接続するためのアドレス情報とに、アクセス権限情報を関連付けて記憶している。アクセス権限情報は、例えば、サービス利用要求が受け付けられるときの認証手段、要求元の端末装置を収容しているルータが接続しているアクセス回線の種別、予め設定されているサービスレベルを含んでいる。
【００７６】
アクセス権限情報取得部８１５は、接続部Ａ８１２または接続部Ｂ８１３で受け付けられたサービスサーバ４４０へのサービス利用要求に対し、このサービス利用要求に含まれるアドレス情報とサービス利用要求を受け付けた接続部Ａ８１２または接続部Ｂ８１３を識別する接続識別情報とに対応するアクセス権限情報を設定情報記憶部８１１より取得する。なお、前述同様に、アドレス情報に関係なく、接続識別情報に対応するアクセス権限情報を取得するようにしてもよい。
【００７７】
アドレス変換部８１６は、接続部Ａ８１２または接続部Ｂ８１３が受け付けたサービス利用要求に含まれるアドレス情報を変換する。アクセス権限情報設定部８１７は、アクセス権限情報取得部８１５が取得したアクセス権限情報を、アドレス変換部８１６に変換されたアドレス情報に組み込む。
【００７８】
転送部８１８は、サービス利用要求の要求先となるサービスサーバ４４０が接続している中継網４３０に、網接続部８１９を介してサービス利用要求を送出（転送）する。このサービス利用要求に含まれる変換されたアドレス情報（要求元アドレス情報）には、アクセス権限情報設定部８１７によりアクセス権限情報が組み込まれている。
【００７９】
上述した本実施の形態においても、アドレス変換サーバ８１０においてアクセス権限情報を組み込み、接続先のサービスサーバ４４０で、組み込まれたアクセス権限情報をもとにアクセス制御をしてサービスの提供を行うようにした。このため、アクセス権限情報の組み込みを、要求元（例えば各ＬＡＮ）の各々で行う必要が無く、要求元の各々において組み込みのためのシステムを構築する必要がなくなる。また、アクセス権限情報に基づくアクセス制御の内容については、サービスサーバ４４０で備えていればよく、端末Ａ４２３，端末Ｂ４２６やルータＡ４２１，ルータＢ４２４などで各々備えている必要がなくなる。この結果、本実施の形態によれば、アクセス制御を実施するＬＡＮを構築するための導入・運用コストが抑制できるようになる。また、本実施の形態によれば、認証サーバ８００は、アドレスの払い出しを行えばよく、サービス利用要求の受け付けなどの処理をすることがないので、認証サーバ８００における負荷の低減が図れる。
【符号の説明】
【００８０】
１００…中継装置、１０１…設定情報記憶部、１０２…接続部（接続手段）Ａ、１０３…接続部（接続手段）Ｂ、１０４…アクセス権限情報取得部、１０５…アドレス変換部、１０６…アクセス権限情報設定部、１０７…転送部、１０８…網接続部、１３０…中継網（ネットワーク）、１４０…サービスサーバ、１４１…権限情報記憶部、１４２…網接続部、１４３…アクセス権限情報取出部、１４４…アクセス制御部。

【特許請求の範囲】
【請求項１】
複数の接続手段と、
この接続手段を識別する接続識別情報に対してアクセス権限情報が関連付けられて記憶されている設定情報記憶部と、
前記接続手段が受け付けたサービス利用要求に含まれるアドレス情報を変換するアドレス変換手段と、
前記接続手段が受け付けたサービス利用要求に対し、このサービス利用要求を受け付けた前記接続手段を識別する接続識別情報に対応するアクセス権限情報を前記設定情報記憶部より取り出し、前記アドレス変換手段が変換した前記アドレス情報に取り出した前記アクセス権限情報を組み込むアクセス権限情報設定手段と、
前記サービス利用要求の要求先が接続しているネットワークに前記サービス利用要求を転送する転送手段と
を備えることを特徴とする中継装置。
【請求項２】
受け付けられたサービス利用要求に対し、このサービス利用要求が受け付られた接続手段を識別する接続識別情報に対応するアクセス権限情報を設定情報記憶部より取り出す第１ステップと、
受け付けられた前記サービス利用要求に含まれるアドレス情報を変換する第２ステップと、
変換された前記アドレス情報に取り出した前記アクセス権限情報を組み込む第３ステップと、
前記サービス利用要求の要求先が接続しているネットワークに前記サービス利用要求を転送する第４ステップと
を備えることを特徴とする中継方法。
【請求項３】
請求項２記載の中継方法をコンピュータに実現させるためのプログラム。
【請求項４】
複数の接続手段と、
この接続手段を識別する接続識別情報に対してアクセス権限情報が関連付けられて記憶されている設定情報記憶部と、
前記接続手段が受け付けたサービス利用要求に含まれるアドレス情報を変換するアドレス変換手段と、
前記接続手段が受け付けたサービス利用要求に対し、このサービス利用要求を受け付けた前記接続手段を識別する接続識別情報に対応するアクセス権限情報を前記設定情報記憶部より取り出し、前記アドレス変換手段が変換した前記アドレス情報に取り出した前記アクセス権限情報を組み込むアクセス権限情報設定手段と、
前記サービス利用要求の要求先が接続しているネットワークに前記サービス利用要求を転送する転送手段と
を有する中継装置と、
アクセス権限情報とこのアクセス権限情報に対応するアクセス制御内容とを記憶している権限情報記憶部と、
ネットワークを介して接続されている前記中継装置より転送されて受け付けられたサービス利用要求に含まれているアドレス情報に組み込まれているアクセス権限情報を取り出すアクセス権限情報取出手段と、
アクセス権限情報取出手段が取り出したアクセス権限情報に対応するアクセス制御内容を前記権限情報記憶部より取り出し、取り出したアクセス制御内容に基づいて、受け付けられた前記サービス利用要求に対するアクセス制御を行うアクセス制御手段と
を有するサービスサーバと
を備えることを特徴とするアクセス制御システム。
【請求項５】
受け付けられたサービス利用要求に対し、このサービス利用要求が受け付られた接続手段を識別する接続識別情報に対応するアクセス権限情報を設定情報記憶部より取り出す第１ステップと、
受け付けられた前記サービス利用要求に含まれるアドレス情報を変換する第２ステップと、
変換された前記アドレス情報に取り出した前記アクセス権限情報を組み込む第３ステップと、
前記サービス利用要求の要求先が接続しているネットワークに前記サービス利用要求を転送する第４ステップと、
前記ネットワークを介して転送されて受け付けられた前記サービス利用要求に含まれているアドレス情報に組み込まれているアクセス権限情報を取り出す第５ステップと、
取り出したアクセス権限情報に対応するアクセス制御内容を権限情報記憶部より取り出し、取り出したアクセス制御内容に基づいて、受け付けられた前記サービス利用要求に対するアクセス制御を行う第５ステップと
を備えることを特徴とする中継方法。

【図１】

【図２】

【図３】

【図４】

【図５Ａ】

【図５Ｂ】

【図６】

【図７】

【図８】

【公開番号】特開２０１１−４８４５５（Ｐ２０１１−４８４５５Ａ）
【公開日】平成２３年３月１０日（２０１１．３．１０）
【国際特許分類】
【出願番号】特願２００９−１９４２１９（Ｐ２００９−１９４２１９）
【出願日】平成２１年８月２５日（２００９．８．２５）
【出願人】（０００００４２２６）日本電信電話株式会社 (13,992)
【Ｆターム（参考）】