接続制御装置、接続制御方法及び接続制御プログラム
【課題】ネットワーク接続のセキュリティを向上させることができる接続制御装置、接続制御方法及び接続制御プログラムを提供する。
【解決手段】ユーザ端末10の制御部は、接続指示を受け入れると、ユーザ識別子及びパスワードを取得して、ユーザ認証要求を行なう。ユーザ識別子及びパスワードを用いて認証情報管理サーバ50が認証処理を実行すると、ユーザ認証サーバ40は、この認証結果を、ユーザ端末10に送信する。ユーザ端末10の制御部は、認証に成功した認証結果を取得した場合には、DHCPサーバ30にIPアドレスの要求処理を行なう。DHCPサーバ30は、MACアドレスの照合処理を行なって、照合が完了した場合には、IPアドレスを配布する。ユーザ端末10は、配布されたIPアドレスを用いて、社内ネットワークN1に接続されているコンピュータからデータを取得する。
【解決手段】ユーザ端末10の制御部は、接続指示を受け入れると、ユーザ識別子及びパスワードを取得して、ユーザ認証要求を行なう。ユーザ識別子及びパスワードを用いて認証情報管理サーバ50が認証処理を実行すると、ユーザ認証サーバ40は、この認証結果を、ユーザ端末10に送信する。ユーザ端末10の制御部は、認証に成功した認証結果を取得した場合には、DHCPサーバ30にIPアドレスの要求処理を行なう。DHCPサーバ30は、MACアドレスの照合処理を行なって、照合が完了した場合には、IPアドレスを配布する。ユーザ端末10は、配布されたIPアドレスを用いて、社内ネットワークN1に接続されているコンピュータからデータを取得する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、ネットワークに接続するときの接続制御装置、接続制御方法及び接続制御プログラムに関する。
【背景技術】
【0002】
近年、ネットワークに接続するための技術として無線LAN技術が利用されている。無線LAN技術においては、ユーザ端末は、アクセスポイントと無線によりデータ通信を行なう。ユーザ端末からアクセスポイントに接続する場合には、接続先のネットワークを識別するための識別子であるSSID(Service Set Identifier)を用いる。通常、このSSIDコードは、アクセスポイントが定期的に送出するビーコン信号に含められており、このビーコン信号をユーザ端末で検出することによりSSIDコードを把握することができる。
【0003】
ところで、無線によりデータ通信を行なう無線LAN技術においては、不正アクセスや盗聴等が容易に行なわれやすいため、セキュリティ対策が必要である。無線LANのセキュリティ技術としては、WPA認証(例えば、特許文献1参照。)やIEEE802.1X等の認証技術が知られている。
【0004】
この文献に記載の発明においては、情報処理端末装置とアクセスポイントとは、WPA認証を用いて無線LAN通信を行なう。この場合、ユーザ端末において高速の応答が要求される4ウェイハンドシェークを失敗した場合、デバイス側にて4ウェイハンドシェークを実施する。これにより、認証中の所定のメッセージを受け取るまでに待機制限時間を超えた場合には、高速にWPA認証を成功させることが可能になる。
【特許文献1】特開2007−208816号公報(図1、図2及び図5)
【発明の開示】
【発明が解決しようとする課題】
【0005】
また、IEEE802.1Xは、認証サーバを用いた認証技術である。この技術では、ユーザ端末からの認証プロトコルをアクセスポイントで終端し、アクセスポイントから認証サーバまでは異なるプロトコルで認証に必要な情報を送受信する。これにより、未認証のユーザが送信したパケットをネットワークに流出させない。
【0006】
しかしながら、無線LAN技術においては、不正アクセスや盗聴等が容易であるため、接続するときの認証において、有線を用いた接続の場合よりもセキュリティを向上させたいというニーズがある。
【0007】
本発明は、上述の課題に鑑みてなされ、その目的は、ネットワーク接続のセキュリティを向上させることができる接続制御装置、接続制御方法及び接続制御プログラムを提供することにある。
【課題を解決するための手段】
【0008】
上記問題点を解決するために、請求項1に記載の発明は、ユーザのユーザ識別子及びパスワードを関連付けて記憶したユーザ認証サーバと、接続可能なユーザ端末のネットワーク通信手段を特定するMACアドレスが登録された端末認証サーバとが接続されているネットワークにアクセスするネットワーク通信手段の通信を制御する通信制御手段を備えた接続制御装置であって、前記通信制御手段が、前記ネットワークに対するアクセス指示をユーザ端末が取得した場合、ユーザのユーザ識別子及びパスワードを取得して、このユー
ザ識別子及びパスワードを含むユーザ認証要求を前記ユーザ認証サーバに送信して、このユーザ認証サーバにおけるユーザ認証結果を取得するユーザ認証手段と、認証成功したことを示すユーザ認証結果を取得した場合には、前記ネットワーク通信手段のMACアドレスを含む端末認証要求を前記端末認証サーバに送信して、この端末認証サーバにおける端末認証結果を取得する端末認証手段と、認証成功したことを示す端末認証結果を取得した場合には、前記ネットワーク通信手段に対して前記ネットワークへのアクセスを許可する許可手段とを備えたことを要旨とする。
【0009】
請求項2に記載の発明は、請求項1に記載の接続制御装置において、前記端末認証サーバは、配布可能なIPアドレスを記憶しており、前記端末認証手段は、前記端末認証サーバにおいて、前記MACアドレスを用いた端末認証が成功した場合には、前記端末認証結果としてIPアドレスを受信し、前記通信制御手段は、受信したIPアドレスを用いてネットワーク通信手段が前記ネットワークへのアクセスを行なうように設定する設定手段を更に備えたことを要旨とする。
【0010】
請求項3に記載の発明は、請求項1又は2に記載の接続制御装置において、前記ユーザ端末は、前記ネットワークに接続するアクセスポイントに、無線LAN接続により接続されており、前記通信制御手段は、前記ユーザ端末に搭載されており、前記ネットワーク通信手段は、前記ユーザ認証サーバとのデータ送受信において前記ユーザ認証手段が取得した鍵の基データに基づく暗号鍵を用いて、前記アクセスポイントと暗号化通信を行なう暗号通信手段を更に備えたことを要旨とする。
【0011】
請求項4に記載の発明は、請求項1又は2に記載の接続制御装置において、前記ユーザ端末は、前記ネットワークに接続するアクセスポイントに、無線LAN接続により接続されており、前記通信制御手段は、前記アクセスポイントに搭載されており、前記通信制御手段は、前記ユーザ認証手段とのデータ送受信において前記ユーザ認証手段が取得した鍵の基データに基づく暗号鍵を用いて、前記ユーザ端末と暗号化通信を行なう暗号通信手段を更に備えたことを要旨とする。
【0012】
請求項5に記載の発明は、ユーザのユーザ識別子及びパスワードを関連付けて記憶したユーザ認証サーバと、接続可能なユーザ端末のネットワーク通信手段を特定するMACアドレスが登録された端末認証サーバとが接続されているネットワークにアクセスするネットワーク通信手段の通信を制御する通信制御手段を備えた接続制御装置を用いた接続制御方法であって、前記通信制御手段が、前記ネットワークに対するアクセス指示をユーザ端末が取得した場合、ユーザのユーザ識別子及びパスワードを取得して、このユーザ識別子及びパスワードを含むユーザ認証要求を前記ユーザ認証サーバに送信して、このユーザ認証サーバにおけるユーザ認証結果を取得するユーザ認証段階、認証成功したことを示すユーザ認証結果を取得した場合には、前記ネットワーク通信手段のMACアドレスを含む端末認証要求を前記端末認証サーバに送信して、この端末認証サーバにおける端末認証結果を取得する端末認証段階、及び認証成功したことを示す端末認証結果を取得した場合には、前記ネットワーク通信手段に対して前記ネットワークへのアクセスを許可する許可段階を実行することを要旨とする。
【0013】
請求項6に記載の発明は、ユーザのユーザ識別子及びパスワードを関連付けて記憶したユーザ認証サーバと、接続可能なユーザ端末のネットワーク通信手段を特定するMACアドレスが登録された端末認証サーバとが接続されているネットワークにアクセスするネットワーク通信手段の通信を制御する通信制御手段を備えた接続制御装置を用いた接続制御プログラムであって、前記通信制御手段を、前記ネットワークに対するアクセス指示をユーザ端末が取得した場合、ユーザのユーザ識別子及びパスワードを取得して、このユーザ識別子及びパスワードを含むユーザ認証要求を前記ユーザ認証サーバに送信して、このユ
ーザ認証サーバにおけるユーザ認証結果を取得するユーザ認証手段、認証成功したことを示すユーザ認証結果を取得した場合には、前記ネットワーク通信手段のMACアドレスを含む端末認証要求を前記端末認証サーバに送信して、この端末認証サーバにおける端末認証結果を取得する端末認証手段、及び認証成功したことを示す端末認証結果を取得した場合には、前記ネットワーク通信手段に対して前記ネットワークへのアクセスを許可する許可手段として機能することを要旨とする。
【0014】
(作用)
本発明によれば、通信制御手段は、ネットワークに対するアクセス指示をユーザ端末が取得した場合、ユーザのユーザ識別子及びパスワードを取得して、このユーザ識別子及びパスワードを含むユーザ認証要求をユーザ認証サーバに送信して、このユーザ認証サーバにおけるユーザ認証結果を取得する。通信制御手段は、認証成功したことを示すユーザ認証結果を取得した場合には、ネットワーク通信手段のMACアドレスを含む端末認証要求を前記端末認証サーバに送信して、この端末認証サーバにおける端末認証結果を取得する。通信制御手段は、認証成功したことを示す端末認証結果を取得した場合には、ネットワーク通信手段に対してネットワークへのアクセスを許可する。このため、ユーザ端末を用いるユーザの認証と、ユーザ端末自体の端末認証との両方が成功した場合にのみ、ネットワークに接続されるので、セキュリティを向上させることができる。
【0015】
本発明によれば、端末認証サーバは、配布可能なIPアドレスデータを記憶している。端末認証手段は、端末認証サーバにおいてMACアドレスを用いた端末認証が成功した場合には、端末認証結果としてIPアドレスを受信する。通信制御手段は、受信したIPアドレスを用いてネットワーク通信手段がネットワークへのアクセスを行なうように設定する。このため、IPアドレスを自動で割り当てることができるので、ユーザ端末の設定が容易である。従って、多数の端末が無線LANでネットワークに接続する場合であっても、各ユーザ端末にIPアドレスを手動で設定する必要がないので、設定を容易に行なうことができる。
【0016】
本発明によれば、ユーザ端末は、ネットワークに接続するアクセスポイントに、無線LAN接続により接続されている。通信制御手段は、ユーザ端末に搭載されている。ネットワーク通信手段は、ユーザ認証サーバとのデータ送受信においてユーザ認証手段が取得した鍵の基データに基づく暗号鍵を用いて、アクセスポイントと暗号化通信を行なう。ここで、ユーザ認証手段がユーザ認証サーバとのデータ送受信において取得した鍵の基データは、認証を行なうたびに変更される。更に、認証において生成された鍵の基データを用いて暗号鍵が作成されるので、鍵自体をユーザ端末とアクセスポイントとの間で交換する必要がない。このため、ユーザ端末とアクセスポイントとの暗号化通信が解読され難く、より安全にデータの送受信を行なうことができる。
【0017】
本発明によれば、ユーザ端末は、ネットワークに接続するアクセスポイントに、無線LAN接続により接続されている。通信制御手段は、アクセスポイントに搭載されている。通信制御手段は、ユーザ認証手段とのデータ送受信においてユーザ認証手段が取得した鍵の基データに基づく暗号鍵を用いて、ユーザ端末と暗号化通信を行なう。ここで、ユーザ認証サーバがユーザ認証手段とのデータ送受信において取得した鍵の基データは、認証を行なうたびに変更される。更に、認証において生成された鍵の基データを用いて暗号鍵が作成されるので、鍵自体をユーザ端末とアクセスポイントとの間で交換する必要がない。このため、ユーザ端末とアクセスポイントとの暗号化通信が解読され難く、より安全にデータの送受信を行なうことができる。
【発明の効果】
【0018】
本発明によれば、ネットワークのセキュリティを向上させることができる。
【発明を実施するための最良の形態】
【0019】
以下、本発明を具体化した一実施形態を図1〜図4に基づいて説明する。本実施形態においては、図1に示すように、ユーザ端末10が無線LANにより社内ネットワークN1に接続する場合に用いられる接続制御装置について説明する。社内ネットワークN1は、各事業所内で構築されているサブネットが、ルータ(22,42)を介して接続されて形成される。
【0020】
各事業所内において、利用者はユーザ端末10を用いる。ユーザ端末10は、本実施形態では、接続制御装置として機能する。このユーザ端末10は、キーボードやポインティングデバイス等の入力手段及びディスプレイ等の表示手段を備えたコンピュータである。このユーザ端末10は、本実施形態では、無線LANによりアクセスポイント20に接続される。
【0021】
アクセスポイント20は、所定の認証規格に対応した無線LANアクセスポイントである。本実施形態では、認証規格としてIEEE802.1Xを用いる。アクセスポイント20は、L2スイッチ21に接続されている。L2スイッチ21は、公知の構成を有し、データの転送先を変更する。このL2スイッチ21は、ユーザ端末10からアクセスポイント20を介して取得したデータをその宛先(後述するDHCPサーバ30やユーザ認証サーバ40等)に転送する。
【0022】
事業所内で構築されているサブネットには、端末認証サーバとしてのDHCP(Dynamic Host Configuration Protocol)サーバ30が接続されている。このDHCPサーバ3
0は、ユーザ端末10が社内ネットワークN1を利用できる端末であるか否かの認証を行ない、利用可能端末の場合にはIPアドレスの配布を行なう。このため、DHCPサーバ30は、MACアドレスデータ記憶部31及びIPアドレス管理データ記憶部を備えている。
【0023】
MACアドレスデータ記憶部31には、図2(a)に示すように、社内ネットワークN1への接続を許可するユーザ端末10のMACアドレスデータ310が記憶されている。また、IPアドレス管理データ記憶部は、ユーザ端末10に割り当て可能なIPアドレスに関するデータを記憶している。このIPアドレス管理データ記憶部は、使用中のIPアドレスに対して、使用しているユーザ端末10のMACアドレスが関連付けて記憶されている。従って、MACアドレスに関連付けられていないIPアドレスは、新たに配布可能である。
【0024】
DHCPサーバ30は、MACアドレスを取得すると、MACアドレスデータ記憶部31に記録されているMACアドレスデータ310と比較する。そして、MACアドレスが一致した場合には、IPアドレス管理データ記憶部に記憶されているIPアドレスの中で使用中でないアドレスをユーザ端末10に配布する。
【0025】
一方、社内ネットワークN1には、ルータ42を介してユーザ認証サーバ40が接続されている。このユーザ認証サーバ40は、本実施形態では、RADIUS(Remote Authentication Dial In User Service)サーバである。本実施形態のユーザ認証サーバ40は、EAP−TTLS(Extensible Authentication Protocol-Tunneled Transport Layer Security)認証方式を用いて、ユーザ端末10から認証するためのデータ(ユーザ識別子及びパスワード)を取得する。ユーザ認証サーバ40は、ユーザ端末10から取得したユーザ識別子及びパスワードを、認証情報管理サーバ50に転送する。ユーザ認証サーバ40は、認証情報管理サーバ50から認証結果を取得すると、認証要求を行なったユーザ端末10に送信する。
【0026】
認証情報管理サーバ50は、社内ネットワークN1を利用できるユーザに関する情報を管理する。そして、本実施形態では、認証情報管理サーバ50が、社内ネットワークN1を利用できるユーザであるか否かの認証を行なう。
【0027】
この認証情報管理サーバ50は、ユーザ管理データ記憶部51を備えている。このユーザ管理データ記憶部51には、図2(b)に示すように、ユーザデータ510が記録されている。このユーザデータ510は、ユーザ識別子及びパスワードを含む。ユーザ識別子データ領域には、ユーザを特定するための識別子に関するデータが記録されている。パスワードデータ領域には、パスワードに関するデータが記録されている。本実施形態では、ユーザ識別子及びパスワードを用いて、ユーザ認証が行なわれる。
【0028】
認証情報管理サーバ50は、ユーザ端末10から供給されたユーザ識別子及びパスワードを取得した場合、ユーザデータ510に記録されたユーザ識別子及びパスワードと比較する。認証情報管理サーバ50は、ユーザ識別子及びパスワードが一致した場合には認証が成功したことを示す認証結果をユーザ認証サーバ40に送信する。一方、認証情報管理サーバ50は、一致しなかった場合には認証に失敗したことを示す認証結果を、ユーザ認証サーバ40に送信する。
【0029】
次に、ユーザ端末10の内部構成について、図3を用いて説明する。
ユーザ端末10は、制御部100を備える。制御部100は、図示しないCPU、RAM及びROM等を有し、後述する処理(ユーザ認証段階、端末認証段階、許可段階、設定段階及び暗号通信段階等を含む処理)を行なう。制御部100は、OS(Operating System)、ウェブブラウザ、サプリカント及びDHCP対応プログラム等のプログラムを記憶している。本実施形態では、DHCP対応プログラムの処理よりも、サプリカントによる処理が優先的に実行されるように設定されている。制御部100は、これらプログラムを実行することにより、接続指示受入手段110、通信制御手段120、ユーザ認証要求手段131、ユーザ認証結果取得手段132、IPアドレス要求手段141、IPアドレス取得手段142及び通信手段150等として機能する。ここで、通信制御手段120は、許可手段及び設定手段として機能し、ユーザ認証要求手段131及びユーザ認証結果取得手段132は、ユーザ認証手段として機能する。更に、IPアドレス要求手段141及びIPアドレス取得手段142は、端末認証手段として機能し、通信手段150は、暗号通信手段を含むネットワーク通信手段として機能する。
【0030】
接続指示受入手段110は、認証画面データを記憶している。この接続指示受入手段110は、入力手段を介して社内ネットワークN1への接続指示を取得すると、認証画面データを表示手段に表示して、認証に必要なユーザ識別子及びパスワードを取得する。
【0031】
通信制御手段120は、社内ネットワークN1への接続を制御する。通信制御手段120は、接続指示受入手段110から取得したユーザ識別子及びパスワードをユーザ認証要求手段131に提供し、ユーザ認証結果取得手段132からユーザ認証結果を取得する。通信制御手段120は、認証成功を示すユーザ認証結果を取得した場合には、IPアドレス要求手段141を介してMACアドレスデータを提供し、IPアドレス取得手段142からIPアドレスを取得する。
【0032】
ユーザ認証要求手段131は、IEEE802.1XのEAP−TTLS認証方式を用いて、認証情報管理サーバ50においてユーザ認証を要求するために、ユーザ識別子及びパスワードをアクセスポイント20に送信する。
【0033】
ユーザ認証結果取得手段132は、認証情報管理サーバ50において行なわれたユーザ
認証の結果を取得する。更に、ユーザ認証結果取得手段132は、EAP−TTLS認証方式において生成された鍵の基データを取得して通信制御手段120に供給する。
【0034】
IPアドレス要求手段141は、DHCPサーバ30に対してユーザ端末10のMACアドレスを送信することにより、IPアドレスの配布要求を実行する。
IPアドレス取得手段142は、DHCPサーバ30から配布されたIPアドレスを取得して、通信制御手段120に提供する。
【0035】
通信手段150は、取得したIPアドレスを用いて、社内ネットワークN1に接続されたコンピュータと通信を行なう。この場合、通信手段150は、鍵の基データから暗号鍵を生成し、この暗号鍵を用いてアクセスポイント20との間で暗号化通信を行なう。
【0036】
以上のように構成されたシステムを用いて、ユーザ端末10が社内ネットワークN1に接続されて、データの取得が可能になるまでに行なわれる接続制御処理について、図4を用いて説明する。
【0037】
ユーザ端末10を社内ネットワークN1に接続する場合、ユーザは、ユーザ端末10においてウェブブラウザを起動し、社内ネットワークN1に接続されたコンピュータ等のアドレスを入力して、接続を指示する。これにより、ユーザ端末10の制御部100は、接続指示の受入処理を実行する(ステップS1−1)。具体的には、制御部100の接続指示受入手段110は、接続指示を受けた場合、認証画面を取得し、ユーザ端末10のディスプレイに表示する。この認証画面には、ユーザ識別子及びパスワードを入力するための入力欄と送信ボタンとが含まれる。
【0038】
ユーザは、認証画面の入力欄に、ユーザ識別子及びパスワードを入力して、送信ボタンを選択する。これにより、ユーザ端末10の制御部100は、ユーザ認証要求処理を実行する(ステップS1−2)。具体的には、制御部100の接続指示受入手段110は、入力されたユーザ識別子及びパスワードを通信制御手段120に供給する。通信制御手段120は、ユーザ識別子及びパスワードをユーザ認証要求手段131に供給する。ユーザ認証要求手段131は、IEEE802.1XのEAP−TTLS認証方式を用いて、アクセスポイント20に対してユーザ識別子及びパスワードを送信する。
【0039】
アクセスポイント20は、ユーザ識別子及びパスワードをユーザ認証サーバ40に転送する(ステップS1−3)。この場合、アクセスポイント20は、IEEE802.1XのEAP−TTLS認証方式を用いる。具体的には、アクセスポイント20は、ユーザ端末10からMACフレームで取得したデータをRADIUSフレームに載せ代えてユーザ認証サーバ40に送信する。なお、アクセスポイント20は、ユーザ端末10とのセッション開始時には、ユーザ認証サーバ40への接続のみを受け付ける。
【0040】
アクセスポイント20からユーザ識別子及びパスワードを取得したユーザ認証サーバ40は、認証の問い合わせ処理を実行する(ステップS1−4)。具体的には、ユーザ認証サーバ40は、取得したユーザ識別子及びパスワードを認証情報管理サーバ50に送信する。
【0041】
認証情報管理サーバ50は、認証処理を実行して、認証結果をユーザ認証サーバ40に提供する。具体的には、認証情報管理サーバ50は、受信したユーザ識別子及びパスワードに一致するユーザデータ510をユーザ管理データ記憶部51において検索する。認証情報管理サーバ50は、ユーザ管理データ記憶部51において、一致するユーザデータ510を抽出できた場合には、認証に成功したことを示す認証結果をユーザ認証サーバ40に提供する。一方、認証情報管理サーバ50は、ユーザ管理データ記憶部51において、
一致するユーザデータ510が抽出できなかった場合には、認証に失敗したことを示す認証結果をユーザ認証サーバ40に提供する。
【0042】
ユーザ認証サーバ40は、認証結果の送信処理を実行する(ステップS1−5)。具体的には、ユーザ認証サーバ40は、認証情報管理サーバ50から提供された認証結果を、ユーザ認証要求を送信したアクセスポイント20に対して返信する。ここで、ユーザ認証サーバ40は、認証に成功した認証結果を送信する場合には、EAP−TTLS認証方式の手順の途中で生成される鍵の基データも送信する。
【0043】
アクセスポイント20は、認証結果をユーザ端末10に転送する(ステップS1−6)。ここで、アクセスポイント20は、認証結果とともに鍵の基データを受信した場合には、この鍵の基データを保持する。そして、アクセスポイント20は、ユーザ端末10に認証結果を送信する。
【0044】
ユーザ端末10の制御部100は、ユーザ認証結果の取得処理を実行する(ステップS1−7)。具体的には、制御部100のユーザ認証結果取得手段132が、認証結果を受信して通信制御手段120に提供する。ここで、制御部100の通信制御手段120は、認証に失敗したことを示す認証結果を取得した場合には、ユーザ識別子又はパスワードが正しくないため接続ができないことを示すメッセージを表示手段に表示する。
【0045】
一方、認証に成功した認証結果を取得した場合には、ユーザ端末10の制御部100は、EAP−TTLS認証方式の手順の途中で生成された鍵の基データを保持する。そして、このユーザ端末10の制御部100は、IPアドレスの要求処理を実行する(ステップS1−8)。具体的には、制御部100の通信制御手段120は、認証に成功したことを検出した場合、IPアドレス要求手段141にIPアドレスの要求を行なう。IPアドレス要求手段141は、鍵の基データから暗号鍵を生成し、この暗号鍵を用いてIPアドレス要求を暗号化してアクセスポイント20に送信する。このIPアドレス要求には、ユーザ端末10のMACアドレスを含める。
【0046】
アクセスポイント20は、IPアドレス要求を転送する(ステップS1−9)。具体的には、アクセスポイント20は、保持している鍵の基データから暗号鍵を生成し、この暗号鍵を用いてデータを復号し、このIPアドレス要求をDHCPサーバ30に送信する。
【0047】
DHCPサーバ30は、IPアドレス要求を受信すると、MACアドレスの照合処理を実行する(ステップS1−10)。ここでは、DHCPサーバ30は、アクセスポイント20から取得したMACアドレスがMACアドレスデータ記憶部31に登録されているか否かについて検索する。具体的には、DHCPサーバ30は、取得したMACアドレスのデータとMACアドレスデータ310とを比較し、一致するMACアドレスをMACアドレスデータ記憶部31において検索する。
【0048】
ここで、MACアドレスデータ記憶部31に、受信したMACアドレスに一致するMACアドレスデータ310がない場合には、DHCPサーバ30は、IPアドレスの配布を行なわない。この場合、DHCPサーバ30は、アクセスポイント20を介して、ユーザ端末10に社内ネットワークN1に接続できない旨のデータを送信し、ユーザ端末10のディスプレイに表示させる。
【0049】
一方、受信したMACアドレスに一致するMACアドレスデータ310が抽出できた場合には、DHCPサーバ30は、IPアドレスの配布処理を実行する(ステップS1−11)。具体的には、DHCPサーバ30は、IPアドレス管理データ記憶部から、使用されていないIPアドレスを抽出して、このIPアドレスを含む通知データをアクセスポイ
ント20に送信する。この場合、通知データには、IPアドレスのデータとともに、リース期間等のオプションに関するデータを含める。
【0050】
アクセスポイント20は、IPアドレスを含む通知データをユーザ端末10に転送する(ステップS1−12)。具体的には、アクセスポイント20は、取得したIPアドレスと、転送するユーザ端末10のMACアドレスとを関連付けて記憶する。更に、アクセスポイント20は、生成した暗号鍵を用いて通知データを暗号化して、ユーザ端末10に送信する。
【0051】
そして、ユーザ端末10が通知データを受信すると、ユーザ端末10の制御部100は、IPアドレスの設定処理を実行する(ステップS1−13)。具体的には、制御部100のIPアドレス取得手段142は、生成した暗号鍵を用いて通知データを復号して、通信制御手段120に提供する。通信制御手段120は、通信手段150にIPアドレス及び暗号鍵を提供する。以上により、認証処理が完了する。
【0052】
そして、これ以降、通信手段150は、取得したIPアドレスを用いて、社内ネットワークN1に接続されている各コンピュータとの通信を開始する。具体的には、通信手段150は、ユーザによって指示されたアドレスのコンピュータに対して指示された要求を送信する。この場合、通信手段150は、DHCPサーバ30から取得したIPアドレスを、この社内ネットワークN1とのセッションが終了するまで用いる。なお、通信手段150は、生成した暗号鍵を用いて送受信データを暗号化又は復号を行なって、アクセスポイント20と通信する。
【0053】
本実施形態によれば、以下のような効果を得ることができる。
・ 本実施形態では、ユーザ端末10の制御部100は、接続指示を受け入れると(ステップS1−1)、ユーザ識別子及びパスワードを取得して、ユーザ認証要求処理を実行する(ステップS1−2)。そして、ユーザ識別子及びパスワードを用いて認証情報管理サーバ50が認証処理を実行すると、ユーザ認証サーバ40は、その認証結果を、アクセスポイント20を介してユーザ端末10に送信する(ステップS1−5)。ユーザ端末10の制御部100は、認証に成功した認証結果を取得した場合には、ユーザ端末10の制御部100は、IPアドレスの要求処理を実行する(ステップS1−8)。DHCPサーバ30は、IPアドレス要求を受信すると、MACアドレスの照合処理を実行し(ステップS1−10)、照合が完了した場合には、IPアドレスの配布処理を実行する(ステップS1−11)。ユーザ端末10は、このIPアドレスの配布処理で取得したIPアドレスを用いて、社内ネットワークN1に接続されているコンピュータからデータを取得できる。このため、ユーザ認証と端末認証との両方が成功した場合に限り、ユーザ端末10は、社内ネットワークN1に接続することができるので、セキュリティを向上させることができる。
【0054】
・ 本実施形態では、ユーザ端末10が無線LAN接続を行なうアクセスポイント20は、IEEE802.1Xの認証規格に対応した無線LANアクセスポイントである。このため、アクセスポイント20は、ユーザ端末10とのセッション開始時には、ユーザ認証サーバ40への接続以外のものは受け付けない。従って、ユーザ認証に成功していないユーザ端末10からのアクセスを自動的にアクセスポイント20が拒否するので、ネットワークのセキュリティを、公知の技術を用いて向上することができる。
【0055】
・ 本実施形態では、DHCPサーバ30は、MACアドレスを取得すると、MACアドレスデータ310と比較し、一致するMACアドレスデータ310が抽出できた場合には、IPアドレス管理データ記憶部に記憶されているIPアドレスをユーザ端末10に配布する。このため、事業所内のサブネットにおいて、複数のアクセスポイント20が設け
られている場合であっても、DHCPサーバ30において、社内ネットワークN1に接続可能なユーザ端末10のMACアドレスを一括して管理することができる。また、多数のユーザ端末10が社内ネットワークN1に接続する場合であっても、各ユーザ端末10にIPアドレスを手動で設定する必要がないので、設定を容易に行なうことができる。
【0056】
・ 本実施形態では、ユーザ端末10の制御部100は、DHCP対応プログラムの処理よりも、サプリカントによる処理が優先的に実行されるように設定されている。このため、ユーザ端末10の制御部100は、接続指示の受入処理(ステップS1−1)を実行すると、ユーザ認証要求手段131がユーザ認証要求を実行する。これに応じて取得したユーザ認証結果が認証成功であった場合には、制御部100は、IPアドレスの要求処理を実行する(ステップS1−8)。このため、公知の技術を用いて、簡単な設定を行なうだけで、ユーザ認証を行なうとともに、端末認証も行なうことができる。
【0057】
・ 本実施形態では、ユーザ認証要求を行なう場合、制御部100は、IEEE802.1XのEAP−TTLS認証方式を用いて、アクセスポイント20に対してユーザ識別子及びパスワードを送信する。EAP−TTLS認証方式においては、ユーザ端末10とユーザ認証サーバ40との間で鍵の基データが生成される。ユーザ認証サーバ40は、認証が成功した場合には鍵の基データをアクセスポイント20に送信する。ユーザ端末10及びアクセスポイント20は、この鍵の基データを用いて暗号鍵を生成し、この暗号鍵を用いて暗号化通信を行なう。この鍵の基データは、認証の途中で生成され、認証を行なうたびに鍵の基データが決定されて変更されるので、セキュリティをより向上させた無線LAN通信を行なうことができる。更に、ユーザ端末10とアクセスポイント20は、暗号鍵を送受信しないので、セキュリティをより向上させた無線LAN通信を行なうことができる。
【0058】
また、上記実施形態は以下のように変更してもよい。
○ 上記実施形態においては、制御部100は、ユーザ認証を行なう場合、IEEE802.1Xの認証規格に対応した認証方式(認証プロトコル)としてEAP−TTLS方式を用いた。これに限らず、EAP−TLS(Extensible Authentication Protocol−Transport Layer Security)やPEAP(Protected Extensible Authentication Protocol)等を用いてもよい。この場合、認証手順にTLSの手順が含まれている認証方式を用いれば、認証を行なう毎に鍵の基データが生成される。このため、ユーザ端末10が社内ネットワークN1に接続するたびに異なる暗号鍵が作成されて使用されるので、無線LANにおいてセキュリティの向上を図ることができる。
【0059】
○ 上記実施形態においては、ユーザ端末10の制御部100が、ユーザ認証手段、端末認証手段及び許可手段として機能した。これに限らず、ユーザ認証手段、端末認証手段及び許可手段としての機能をアクセスポイント20に設けてもよい。この場合、アクセスポイント20が接続制御装置として機能する。具体的には、アクセスポイント20は、上記実施形態と同様に、ユーザ端末10からのセッション開始時においては、ユーザ認証サーバに送信されるデータ以外のアクセスは拒否する。そして、ユーザ認証サーバ40から、認証成功の認証結果とともに鍵の基データを受信した場合には、アクセスポイント20は、ユーザ端末10から取得したMACフレームに含まれるMACアドレスを、DHCPサーバ30に送信する。DHCPサーバ30は、受信したMACアドレスの照合処理を行ない(ステップS1−10)、IPアドレスの配布処理を実行する(ステップS1−11)。アクセスポイント20は、DHCPサーバ30から取得したIPアドレスをユーザ端末10に送信する。ユーザ端末10は、このIPアドレスを用いて社内ネットワークN1に接続されたコンピュータとデータの送受信を行なう。この場合においても、ユーザ認証及び端末認証の両方が成功しないと、ユーザ端末10は社内ネットワークN1に接続できない。また、アクセスポイント20は、ユーザ認証サーバ40から鍵の基データを受信し
、この鍵の基データに基づく暗号鍵を用いて、ユーザ端末10と暗号化通信を行なう。この鍵の基データは、認証を行なうたびに変更される。また、鍵自体をユーザ端末10とアクセスポイント20との間で交換する必要がない。従って、ユーザ端末10とアクセスポイント20との暗号化通信が解読され難く、より安全にデータの送受信を行なうことができる。
【0060】
○ 上記実施形態においては、ユーザ端末10の制御部100は、起動したウェブブラウザを用いて、社内ネットワークN1への接続指示を取得した。接続指示を取得するためのプログラムは、これに限らず、ネットワーク等においてデータを閲覧・検索するアプリケーションソフトであればよい。
【図面の簡単な説明】
【0061】
【図1】実施形態におけるシステムの概略図。
【図2】データの構成を説明する図であり、(a)はMACアドレスデータ記憶部、(b)はユーザ管理データ記憶部に記録されたデータの説明図。
【図3】ユーザ端末の制御部の内部構成を説明するためのブロック図。
【図4】実施形態における認証処理の処理手順を説明するための流れ図。
【符号の説明】
【0062】
N1…社内ネットワーク、10…ユーザ端末、20…アクセスポイント、21…L2スイッチ、22,42…ルータ、30…端末認証サーバとしてのDHCPサーバ、31…MACアドレスデータ記憶部、40…ユーザ認証サーバ、50…認証情報管理サーバ、51…ユーザ管理データ記憶部、100…制御部、110…接続指示受入手段、120…許可手段及び設定手段としての通信制御手段、131…ユーザ認証手段を構成するユーザ認証要求手段、132…ユーザ認証手段を構成するユーザ認証結果取得手段、141…端末認証手段として構成するIPアドレス要求手段、142…端末認証手段として構成するIPアドレス取得手段、150…暗号通信手段を含むネットワーク通信手段としての通信手段、310…MACアドレスデータ、510…ユーザデータ。
【技術分野】
【0001】
本発明は、ネットワークに接続するときの接続制御装置、接続制御方法及び接続制御プログラムに関する。
【背景技術】
【0002】
近年、ネットワークに接続するための技術として無線LAN技術が利用されている。無線LAN技術においては、ユーザ端末は、アクセスポイントと無線によりデータ通信を行なう。ユーザ端末からアクセスポイントに接続する場合には、接続先のネットワークを識別するための識別子であるSSID(Service Set Identifier)を用いる。通常、このSSIDコードは、アクセスポイントが定期的に送出するビーコン信号に含められており、このビーコン信号をユーザ端末で検出することによりSSIDコードを把握することができる。
【0003】
ところで、無線によりデータ通信を行なう無線LAN技術においては、不正アクセスや盗聴等が容易に行なわれやすいため、セキュリティ対策が必要である。無線LANのセキュリティ技術としては、WPA認証(例えば、特許文献1参照。)やIEEE802.1X等の認証技術が知られている。
【0004】
この文献に記載の発明においては、情報処理端末装置とアクセスポイントとは、WPA認証を用いて無線LAN通信を行なう。この場合、ユーザ端末において高速の応答が要求される4ウェイハンドシェークを失敗した場合、デバイス側にて4ウェイハンドシェークを実施する。これにより、認証中の所定のメッセージを受け取るまでに待機制限時間を超えた場合には、高速にWPA認証を成功させることが可能になる。
【特許文献1】特開2007−208816号公報(図1、図2及び図5)
【発明の開示】
【発明が解決しようとする課題】
【0005】
また、IEEE802.1Xは、認証サーバを用いた認証技術である。この技術では、ユーザ端末からの認証プロトコルをアクセスポイントで終端し、アクセスポイントから認証サーバまでは異なるプロトコルで認証に必要な情報を送受信する。これにより、未認証のユーザが送信したパケットをネットワークに流出させない。
【0006】
しかしながら、無線LAN技術においては、不正アクセスや盗聴等が容易であるため、接続するときの認証において、有線を用いた接続の場合よりもセキュリティを向上させたいというニーズがある。
【0007】
本発明は、上述の課題に鑑みてなされ、その目的は、ネットワーク接続のセキュリティを向上させることができる接続制御装置、接続制御方法及び接続制御プログラムを提供することにある。
【課題を解決するための手段】
【0008】
上記問題点を解決するために、請求項1に記載の発明は、ユーザのユーザ識別子及びパスワードを関連付けて記憶したユーザ認証サーバと、接続可能なユーザ端末のネットワーク通信手段を特定するMACアドレスが登録された端末認証サーバとが接続されているネットワークにアクセスするネットワーク通信手段の通信を制御する通信制御手段を備えた接続制御装置であって、前記通信制御手段が、前記ネットワークに対するアクセス指示をユーザ端末が取得した場合、ユーザのユーザ識別子及びパスワードを取得して、このユー
ザ識別子及びパスワードを含むユーザ認証要求を前記ユーザ認証サーバに送信して、このユーザ認証サーバにおけるユーザ認証結果を取得するユーザ認証手段と、認証成功したことを示すユーザ認証結果を取得した場合には、前記ネットワーク通信手段のMACアドレスを含む端末認証要求を前記端末認証サーバに送信して、この端末認証サーバにおける端末認証結果を取得する端末認証手段と、認証成功したことを示す端末認証結果を取得した場合には、前記ネットワーク通信手段に対して前記ネットワークへのアクセスを許可する許可手段とを備えたことを要旨とする。
【0009】
請求項2に記載の発明は、請求項1に記載の接続制御装置において、前記端末認証サーバは、配布可能なIPアドレスを記憶しており、前記端末認証手段は、前記端末認証サーバにおいて、前記MACアドレスを用いた端末認証が成功した場合には、前記端末認証結果としてIPアドレスを受信し、前記通信制御手段は、受信したIPアドレスを用いてネットワーク通信手段が前記ネットワークへのアクセスを行なうように設定する設定手段を更に備えたことを要旨とする。
【0010】
請求項3に記載の発明は、請求項1又は2に記載の接続制御装置において、前記ユーザ端末は、前記ネットワークに接続するアクセスポイントに、無線LAN接続により接続されており、前記通信制御手段は、前記ユーザ端末に搭載されており、前記ネットワーク通信手段は、前記ユーザ認証サーバとのデータ送受信において前記ユーザ認証手段が取得した鍵の基データに基づく暗号鍵を用いて、前記アクセスポイントと暗号化通信を行なう暗号通信手段を更に備えたことを要旨とする。
【0011】
請求項4に記載の発明は、請求項1又は2に記載の接続制御装置において、前記ユーザ端末は、前記ネットワークに接続するアクセスポイントに、無線LAN接続により接続されており、前記通信制御手段は、前記アクセスポイントに搭載されており、前記通信制御手段は、前記ユーザ認証手段とのデータ送受信において前記ユーザ認証手段が取得した鍵の基データに基づく暗号鍵を用いて、前記ユーザ端末と暗号化通信を行なう暗号通信手段を更に備えたことを要旨とする。
【0012】
請求項5に記載の発明は、ユーザのユーザ識別子及びパスワードを関連付けて記憶したユーザ認証サーバと、接続可能なユーザ端末のネットワーク通信手段を特定するMACアドレスが登録された端末認証サーバとが接続されているネットワークにアクセスするネットワーク通信手段の通信を制御する通信制御手段を備えた接続制御装置を用いた接続制御方法であって、前記通信制御手段が、前記ネットワークに対するアクセス指示をユーザ端末が取得した場合、ユーザのユーザ識別子及びパスワードを取得して、このユーザ識別子及びパスワードを含むユーザ認証要求を前記ユーザ認証サーバに送信して、このユーザ認証サーバにおけるユーザ認証結果を取得するユーザ認証段階、認証成功したことを示すユーザ認証結果を取得した場合には、前記ネットワーク通信手段のMACアドレスを含む端末認証要求を前記端末認証サーバに送信して、この端末認証サーバにおける端末認証結果を取得する端末認証段階、及び認証成功したことを示す端末認証結果を取得した場合には、前記ネットワーク通信手段に対して前記ネットワークへのアクセスを許可する許可段階を実行することを要旨とする。
【0013】
請求項6に記載の発明は、ユーザのユーザ識別子及びパスワードを関連付けて記憶したユーザ認証サーバと、接続可能なユーザ端末のネットワーク通信手段を特定するMACアドレスが登録された端末認証サーバとが接続されているネットワークにアクセスするネットワーク通信手段の通信を制御する通信制御手段を備えた接続制御装置を用いた接続制御プログラムであって、前記通信制御手段を、前記ネットワークに対するアクセス指示をユーザ端末が取得した場合、ユーザのユーザ識別子及びパスワードを取得して、このユーザ識別子及びパスワードを含むユーザ認証要求を前記ユーザ認証サーバに送信して、このユ
ーザ認証サーバにおけるユーザ認証結果を取得するユーザ認証手段、認証成功したことを示すユーザ認証結果を取得した場合には、前記ネットワーク通信手段のMACアドレスを含む端末認証要求を前記端末認証サーバに送信して、この端末認証サーバにおける端末認証結果を取得する端末認証手段、及び認証成功したことを示す端末認証結果を取得した場合には、前記ネットワーク通信手段に対して前記ネットワークへのアクセスを許可する許可手段として機能することを要旨とする。
【0014】
(作用)
本発明によれば、通信制御手段は、ネットワークに対するアクセス指示をユーザ端末が取得した場合、ユーザのユーザ識別子及びパスワードを取得して、このユーザ識別子及びパスワードを含むユーザ認証要求をユーザ認証サーバに送信して、このユーザ認証サーバにおけるユーザ認証結果を取得する。通信制御手段は、認証成功したことを示すユーザ認証結果を取得した場合には、ネットワーク通信手段のMACアドレスを含む端末認証要求を前記端末認証サーバに送信して、この端末認証サーバにおける端末認証結果を取得する。通信制御手段は、認証成功したことを示す端末認証結果を取得した場合には、ネットワーク通信手段に対してネットワークへのアクセスを許可する。このため、ユーザ端末を用いるユーザの認証と、ユーザ端末自体の端末認証との両方が成功した場合にのみ、ネットワークに接続されるので、セキュリティを向上させることができる。
【0015】
本発明によれば、端末認証サーバは、配布可能なIPアドレスデータを記憶している。端末認証手段は、端末認証サーバにおいてMACアドレスを用いた端末認証が成功した場合には、端末認証結果としてIPアドレスを受信する。通信制御手段は、受信したIPアドレスを用いてネットワーク通信手段がネットワークへのアクセスを行なうように設定する。このため、IPアドレスを自動で割り当てることができるので、ユーザ端末の設定が容易である。従って、多数の端末が無線LANでネットワークに接続する場合であっても、各ユーザ端末にIPアドレスを手動で設定する必要がないので、設定を容易に行なうことができる。
【0016】
本発明によれば、ユーザ端末は、ネットワークに接続するアクセスポイントに、無線LAN接続により接続されている。通信制御手段は、ユーザ端末に搭載されている。ネットワーク通信手段は、ユーザ認証サーバとのデータ送受信においてユーザ認証手段が取得した鍵の基データに基づく暗号鍵を用いて、アクセスポイントと暗号化通信を行なう。ここで、ユーザ認証手段がユーザ認証サーバとのデータ送受信において取得した鍵の基データは、認証を行なうたびに変更される。更に、認証において生成された鍵の基データを用いて暗号鍵が作成されるので、鍵自体をユーザ端末とアクセスポイントとの間で交換する必要がない。このため、ユーザ端末とアクセスポイントとの暗号化通信が解読され難く、より安全にデータの送受信を行なうことができる。
【0017】
本発明によれば、ユーザ端末は、ネットワークに接続するアクセスポイントに、無線LAN接続により接続されている。通信制御手段は、アクセスポイントに搭載されている。通信制御手段は、ユーザ認証手段とのデータ送受信においてユーザ認証手段が取得した鍵の基データに基づく暗号鍵を用いて、ユーザ端末と暗号化通信を行なう。ここで、ユーザ認証サーバがユーザ認証手段とのデータ送受信において取得した鍵の基データは、認証を行なうたびに変更される。更に、認証において生成された鍵の基データを用いて暗号鍵が作成されるので、鍵自体をユーザ端末とアクセスポイントとの間で交換する必要がない。このため、ユーザ端末とアクセスポイントとの暗号化通信が解読され難く、より安全にデータの送受信を行なうことができる。
【発明の効果】
【0018】
本発明によれば、ネットワークのセキュリティを向上させることができる。
【発明を実施するための最良の形態】
【0019】
以下、本発明を具体化した一実施形態を図1〜図4に基づいて説明する。本実施形態においては、図1に示すように、ユーザ端末10が無線LANにより社内ネットワークN1に接続する場合に用いられる接続制御装置について説明する。社内ネットワークN1は、各事業所内で構築されているサブネットが、ルータ(22,42)を介して接続されて形成される。
【0020】
各事業所内において、利用者はユーザ端末10を用いる。ユーザ端末10は、本実施形態では、接続制御装置として機能する。このユーザ端末10は、キーボードやポインティングデバイス等の入力手段及びディスプレイ等の表示手段を備えたコンピュータである。このユーザ端末10は、本実施形態では、無線LANによりアクセスポイント20に接続される。
【0021】
アクセスポイント20は、所定の認証規格に対応した無線LANアクセスポイントである。本実施形態では、認証規格としてIEEE802.1Xを用いる。アクセスポイント20は、L2スイッチ21に接続されている。L2スイッチ21は、公知の構成を有し、データの転送先を変更する。このL2スイッチ21は、ユーザ端末10からアクセスポイント20を介して取得したデータをその宛先(後述するDHCPサーバ30やユーザ認証サーバ40等)に転送する。
【0022】
事業所内で構築されているサブネットには、端末認証サーバとしてのDHCP(Dynamic Host Configuration Protocol)サーバ30が接続されている。このDHCPサーバ3
0は、ユーザ端末10が社内ネットワークN1を利用できる端末であるか否かの認証を行ない、利用可能端末の場合にはIPアドレスの配布を行なう。このため、DHCPサーバ30は、MACアドレスデータ記憶部31及びIPアドレス管理データ記憶部を備えている。
【0023】
MACアドレスデータ記憶部31には、図2(a)に示すように、社内ネットワークN1への接続を許可するユーザ端末10のMACアドレスデータ310が記憶されている。また、IPアドレス管理データ記憶部は、ユーザ端末10に割り当て可能なIPアドレスに関するデータを記憶している。このIPアドレス管理データ記憶部は、使用中のIPアドレスに対して、使用しているユーザ端末10のMACアドレスが関連付けて記憶されている。従って、MACアドレスに関連付けられていないIPアドレスは、新たに配布可能である。
【0024】
DHCPサーバ30は、MACアドレスを取得すると、MACアドレスデータ記憶部31に記録されているMACアドレスデータ310と比較する。そして、MACアドレスが一致した場合には、IPアドレス管理データ記憶部に記憶されているIPアドレスの中で使用中でないアドレスをユーザ端末10に配布する。
【0025】
一方、社内ネットワークN1には、ルータ42を介してユーザ認証サーバ40が接続されている。このユーザ認証サーバ40は、本実施形態では、RADIUS(Remote Authentication Dial In User Service)サーバである。本実施形態のユーザ認証サーバ40は、EAP−TTLS(Extensible Authentication Protocol-Tunneled Transport Layer Security)認証方式を用いて、ユーザ端末10から認証するためのデータ(ユーザ識別子及びパスワード)を取得する。ユーザ認証サーバ40は、ユーザ端末10から取得したユーザ識別子及びパスワードを、認証情報管理サーバ50に転送する。ユーザ認証サーバ40は、認証情報管理サーバ50から認証結果を取得すると、認証要求を行なったユーザ端末10に送信する。
【0026】
認証情報管理サーバ50は、社内ネットワークN1を利用できるユーザに関する情報を管理する。そして、本実施形態では、認証情報管理サーバ50が、社内ネットワークN1を利用できるユーザであるか否かの認証を行なう。
【0027】
この認証情報管理サーバ50は、ユーザ管理データ記憶部51を備えている。このユーザ管理データ記憶部51には、図2(b)に示すように、ユーザデータ510が記録されている。このユーザデータ510は、ユーザ識別子及びパスワードを含む。ユーザ識別子データ領域には、ユーザを特定するための識別子に関するデータが記録されている。パスワードデータ領域には、パスワードに関するデータが記録されている。本実施形態では、ユーザ識別子及びパスワードを用いて、ユーザ認証が行なわれる。
【0028】
認証情報管理サーバ50は、ユーザ端末10から供給されたユーザ識別子及びパスワードを取得した場合、ユーザデータ510に記録されたユーザ識別子及びパスワードと比較する。認証情報管理サーバ50は、ユーザ識別子及びパスワードが一致した場合には認証が成功したことを示す認証結果をユーザ認証サーバ40に送信する。一方、認証情報管理サーバ50は、一致しなかった場合には認証に失敗したことを示す認証結果を、ユーザ認証サーバ40に送信する。
【0029】
次に、ユーザ端末10の内部構成について、図3を用いて説明する。
ユーザ端末10は、制御部100を備える。制御部100は、図示しないCPU、RAM及びROM等を有し、後述する処理(ユーザ認証段階、端末認証段階、許可段階、設定段階及び暗号通信段階等を含む処理)を行なう。制御部100は、OS(Operating System)、ウェブブラウザ、サプリカント及びDHCP対応プログラム等のプログラムを記憶している。本実施形態では、DHCP対応プログラムの処理よりも、サプリカントによる処理が優先的に実行されるように設定されている。制御部100は、これらプログラムを実行することにより、接続指示受入手段110、通信制御手段120、ユーザ認証要求手段131、ユーザ認証結果取得手段132、IPアドレス要求手段141、IPアドレス取得手段142及び通信手段150等として機能する。ここで、通信制御手段120は、許可手段及び設定手段として機能し、ユーザ認証要求手段131及びユーザ認証結果取得手段132は、ユーザ認証手段として機能する。更に、IPアドレス要求手段141及びIPアドレス取得手段142は、端末認証手段として機能し、通信手段150は、暗号通信手段を含むネットワーク通信手段として機能する。
【0030】
接続指示受入手段110は、認証画面データを記憶している。この接続指示受入手段110は、入力手段を介して社内ネットワークN1への接続指示を取得すると、認証画面データを表示手段に表示して、認証に必要なユーザ識別子及びパスワードを取得する。
【0031】
通信制御手段120は、社内ネットワークN1への接続を制御する。通信制御手段120は、接続指示受入手段110から取得したユーザ識別子及びパスワードをユーザ認証要求手段131に提供し、ユーザ認証結果取得手段132からユーザ認証結果を取得する。通信制御手段120は、認証成功を示すユーザ認証結果を取得した場合には、IPアドレス要求手段141を介してMACアドレスデータを提供し、IPアドレス取得手段142からIPアドレスを取得する。
【0032】
ユーザ認証要求手段131は、IEEE802.1XのEAP−TTLS認証方式を用いて、認証情報管理サーバ50においてユーザ認証を要求するために、ユーザ識別子及びパスワードをアクセスポイント20に送信する。
【0033】
ユーザ認証結果取得手段132は、認証情報管理サーバ50において行なわれたユーザ
認証の結果を取得する。更に、ユーザ認証結果取得手段132は、EAP−TTLS認証方式において生成された鍵の基データを取得して通信制御手段120に供給する。
【0034】
IPアドレス要求手段141は、DHCPサーバ30に対してユーザ端末10のMACアドレスを送信することにより、IPアドレスの配布要求を実行する。
IPアドレス取得手段142は、DHCPサーバ30から配布されたIPアドレスを取得して、通信制御手段120に提供する。
【0035】
通信手段150は、取得したIPアドレスを用いて、社内ネットワークN1に接続されたコンピュータと通信を行なう。この場合、通信手段150は、鍵の基データから暗号鍵を生成し、この暗号鍵を用いてアクセスポイント20との間で暗号化通信を行なう。
【0036】
以上のように構成されたシステムを用いて、ユーザ端末10が社内ネットワークN1に接続されて、データの取得が可能になるまでに行なわれる接続制御処理について、図4を用いて説明する。
【0037】
ユーザ端末10を社内ネットワークN1に接続する場合、ユーザは、ユーザ端末10においてウェブブラウザを起動し、社内ネットワークN1に接続されたコンピュータ等のアドレスを入力して、接続を指示する。これにより、ユーザ端末10の制御部100は、接続指示の受入処理を実行する(ステップS1−1)。具体的には、制御部100の接続指示受入手段110は、接続指示を受けた場合、認証画面を取得し、ユーザ端末10のディスプレイに表示する。この認証画面には、ユーザ識別子及びパスワードを入力するための入力欄と送信ボタンとが含まれる。
【0038】
ユーザは、認証画面の入力欄に、ユーザ識別子及びパスワードを入力して、送信ボタンを選択する。これにより、ユーザ端末10の制御部100は、ユーザ認証要求処理を実行する(ステップS1−2)。具体的には、制御部100の接続指示受入手段110は、入力されたユーザ識別子及びパスワードを通信制御手段120に供給する。通信制御手段120は、ユーザ識別子及びパスワードをユーザ認証要求手段131に供給する。ユーザ認証要求手段131は、IEEE802.1XのEAP−TTLS認証方式を用いて、アクセスポイント20に対してユーザ識別子及びパスワードを送信する。
【0039】
アクセスポイント20は、ユーザ識別子及びパスワードをユーザ認証サーバ40に転送する(ステップS1−3)。この場合、アクセスポイント20は、IEEE802.1XのEAP−TTLS認証方式を用いる。具体的には、アクセスポイント20は、ユーザ端末10からMACフレームで取得したデータをRADIUSフレームに載せ代えてユーザ認証サーバ40に送信する。なお、アクセスポイント20は、ユーザ端末10とのセッション開始時には、ユーザ認証サーバ40への接続のみを受け付ける。
【0040】
アクセスポイント20からユーザ識別子及びパスワードを取得したユーザ認証サーバ40は、認証の問い合わせ処理を実行する(ステップS1−4)。具体的には、ユーザ認証サーバ40は、取得したユーザ識別子及びパスワードを認証情報管理サーバ50に送信する。
【0041】
認証情報管理サーバ50は、認証処理を実行して、認証結果をユーザ認証サーバ40に提供する。具体的には、認証情報管理サーバ50は、受信したユーザ識別子及びパスワードに一致するユーザデータ510をユーザ管理データ記憶部51において検索する。認証情報管理サーバ50は、ユーザ管理データ記憶部51において、一致するユーザデータ510を抽出できた場合には、認証に成功したことを示す認証結果をユーザ認証サーバ40に提供する。一方、認証情報管理サーバ50は、ユーザ管理データ記憶部51において、
一致するユーザデータ510が抽出できなかった場合には、認証に失敗したことを示す認証結果をユーザ認証サーバ40に提供する。
【0042】
ユーザ認証サーバ40は、認証結果の送信処理を実行する(ステップS1−5)。具体的には、ユーザ認証サーバ40は、認証情報管理サーバ50から提供された認証結果を、ユーザ認証要求を送信したアクセスポイント20に対して返信する。ここで、ユーザ認証サーバ40は、認証に成功した認証結果を送信する場合には、EAP−TTLS認証方式の手順の途中で生成される鍵の基データも送信する。
【0043】
アクセスポイント20は、認証結果をユーザ端末10に転送する(ステップS1−6)。ここで、アクセスポイント20は、認証結果とともに鍵の基データを受信した場合には、この鍵の基データを保持する。そして、アクセスポイント20は、ユーザ端末10に認証結果を送信する。
【0044】
ユーザ端末10の制御部100は、ユーザ認証結果の取得処理を実行する(ステップS1−7)。具体的には、制御部100のユーザ認証結果取得手段132が、認証結果を受信して通信制御手段120に提供する。ここで、制御部100の通信制御手段120は、認証に失敗したことを示す認証結果を取得した場合には、ユーザ識別子又はパスワードが正しくないため接続ができないことを示すメッセージを表示手段に表示する。
【0045】
一方、認証に成功した認証結果を取得した場合には、ユーザ端末10の制御部100は、EAP−TTLS認証方式の手順の途中で生成された鍵の基データを保持する。そして、このユーザ端末10の制御部100は、IPアドレスの要求処理を実行する(ステップS1−8)。具体的には、制御部100の通信制御手段120は、認証に成功したことを検出した場合、IPアドレス要求手段141にIPアドレスの要求を行なう。IPアドレス要求手段141は、鍵の基データから暗号鍵を生成し、この暗号鍵を用いてIPアドレス要求を暗号化してアクセスポイント20に送信する。このIPアドレス要求には、ユーザ端末10のMACアドレスを含める。
【0046】
アクセスポイント20は、IPアドレス要求を転送する(ステップS1−9)。具体的には、アクセスポイント20は、保持している鍵の基データから暗号鍵を生成し、この暗号鍵を用いてデータを復号し、このIPアドレス要求をDHCPサーバ30に送信する。
【0047】
DHCPサーバ30は、IPアドレス要求を受信すると、MACアドレスの照合処理を実行する(ステップS1−10)。ここでは、DHCPサーバ30は、アクセスポイント20から取得したMACアドレスがMACアドレスデータ記憶部31に登録されているか否かについて検索する。具体的には、DHCPサーバ30は、取得したMACアドレスのデータとMACアドレスデータ310とを比較し、一致するMACアドレスをMACアドレスデータ記憶部31において検索する。
【0048】
ここで、MACアドレスデータ記憶部31に、受信したMACアドレスに一致するMACアドレスデータ310がない場合には、DHCPサーバ30は、IPアドレスの配布を行なわない。この場合、DHCPサーバ30は、アクセスポイント20を介して、ユーザ端末10に社内ネットワークN1に接続できない旨のデータを送信し、ユーザ端末10のディスプレイに表示させる。
【0049】
一方、受信したMACアドレスに一致するMACアドレスデータ310が抽出できた場合には、DHCPサーバ30は、IPアドレスの配布処理を実行する(ステップS1−11)。具体的には、DHCPサーバ30は、IPアドレス管理データ記憶部から、使用されていないIPアドレスを抽出して、このIPアドレスを含む通知データをアクセスポイ
ント20に送信する。この場合、通知データには、IPアドレスのデータとともに、リース期間等のオプションに関するデータを含める。
【0050】
アクセスポイント20は、IPアドレスを含む通知データをユーザ端末10に転送する(ステップS1−12)。具体的には、アクセスポイント20は、取得したIPアドレスと、転送するユーザ端末10のMACアドレスとを関連付けて記憶する。更に、アクセスポイント20は、生成した暗号鍵を用いて通知データを暗号化して、ユーザ端末10に送信する。
【0051】
そして、ユーザ端末10が通知データを受信すると、ユーザ端末10の制御部100は、IPアドレスの設定処理を実行する(ステップS1−13)。具体的には、制御部100のIPアドレス取得手段142は、生成した暗号鍵を用いて通知データを復号して、通信制御手段120に提供する。通信制御手段120は、通信手段150にIPアドレス及び暗号鍵を提供する。以上により、認証処理が完了する。
【0052】
そして、これ以降、通信手段150は、取得したIPアドレスを用いて、社内ネットワークN1に接続されている各コンピュータとの通信を開始する。具体的には、通信手段150は、ユーザによって指示されたアドレスのコンピュータに対して指示された要求を送信する。この場合、通信手段150は、DHCPサーバ30から取得したIPアドレスを、この社内ネットワークN1とのセッションが終了するまで用いる。なお、通信手段150は、生成した暗号鍵を用いて送受信データを暗号化又は復号を行なって、アクセスポイント20と通信する。
【0053】
本実施形態によれば、以下のような効果を得ることができる。
・ 本実施形態では、ユーザ端末10の制御部100は、接続指示を受け入れると(ステップS1−1)、ユーザ識別子及びパスワードを取得して、ユーザ認証要求処理を実行する(ステップS1−2)。そして、ユーザ識別子及びパスワードを用いて認証情報管理サーバ50が認証処理を実行すると、ユーザ認証サーバ40は、その認証結果を、アクセスポイント20を介してユーザ端末10に送信する(ステップS1−5)。ユーザ端末10の制御部100は、認証に成功した認証結果を取得した場合には、ユーザ端末10の制御部100は、IPアドレスの要求処理を実行する(ステップS1−8)。DHCPサーバ30は、IPアドレス要求を受信すると、MACアドレスの照合処理を実行し(ステップS1−10)、照合が完了した場合には、IPアドレスの配布処理を実行する(ステップS1−11)。ユーザ端末10は、このIPアドレスの配布処理で取得したIPアドレスを用いて、社内ネットワークN1に接続されているコンピュータからデータを取得できる。このため、ユーザ認証と端末認証との両方が成功した場合に限り、ユーザ端末10は、社内ネットワークN1に接続することができるので、セキュリティを向上させることができる。
【0054】
・ 本実施形態では、ユーザ端末10が無線LAN接続を行なうアクセスポイント20は、IEEE802.1Xの認証規格に対応した無線LANアクセスポイントである。このため、アクセスポイント20は、ユーザ端末10とのセッション開始時には、ユーザ認証サーバ40への接続以外のものは受け付けない。従って、ユーザ認証に成功していないユーザ端末10からのアクセスを自動的にアクセスポイント20が拒否するので、ネットワークのセキュリティを、公知の技術を用いて向上することができる。
【0055】
・ 本実施形態では、DHCPサーバ30は、MACアドレスを取得すると、MACアドレスデータ310と比較し、一致するMACアドレスデータ310が抽出できた場合には、IPアドレス管理データ記憶部に記憶されているIPアドレスをユーザ端末10に配布する。このため、事業所内のサブネットにおいて、複数のアクセスポイント20が設け
られている場合であっても、DHCPサーバ30において、社内ネットワークN1に接続可能なユーザ端末10のMACアドレスを一括して管理することができる。また、多数のユーザ端末10が社内ネットワークN1に接続する場合であっても、各ユーザ端末10にIPアドレスを手動で設定する必要がないので、設定を容易に行なうことができる。
【0056】
・ 本実施形態では、ユーザ端末10の制御部100は、DHCP対応プログラムの処理よりも、サプリカントによる処理が優先的に実行されるように設定されている。このため、ユーザ端末10の制御部100は、接続指示の受入処理(ステップS1−1)を実行すると、ユーザ認証要求手段131がユーザ認証要求を実行する。これに応じて取得したユーザ認証結果が認証成功であった場合には、制御部100は、IPアドレスの要求処理を実行する(ステップS1−8)。このため、公知の技術を用いて、簡単な設定を行なうだけで、ユーザ認証を行なうとともに、端末認証も行なうことができる。
【0057】
・ 本実施形態では、ユーザ認証要求を行なう場合、制御部100は、IEEE802.1XのEAP−TTLS認証方式を用いて、アクセスポイント20に対してユーザ識別子及びパスワードを送信する。EAP−TTLS認証方式においては、ユーザ端末10とユーザ認証サーバ40との間で鍵の基データが生成される。ユーザ認証サーバ40は、認証が成功した場合には鍵の基データをアクセスポイント20に送信する。ユーザ端末10及びアクセスポイント20は、この鍵の基データを用いて暗号鍵を生成し、この暗号鍵を用いて暗号化通信を行なう。この鍵の基データは、認証の途中で生成され、認証を行なうたびに鍵の基データが決定されて変更されるので、セキュリティをより向上させた無線LAN通信を行なうことができる。更に、ユーザ端末10とアクセスポイント20は、暗号鍵を送受信しないので、セキュリティをより向上させた無線LAN通信を行なうことができる。
【0058】
また、上記実施形態は以下のように変更してもよい。
○ 上記実施形態においては、制御部100は、ユーザ認証を行なう場合、IEEE802.1Xの認証規格に対応した認証方式(認証プロトコル)としてEAP−TTLS方式を用いた。これに限らず、EAP−TLS(Extensible Authentication Protocol−Transport Layer Security)やPEAP(Protected Extensible Authentication Protocol)等を用いてもよい。この場合、認証手順にTLSの手順が含まれている認証方式を用いれば、認証を行なう毎に鍵の基データが生成される。このため、ユーザ端末10が社内ネットワークN1に接続するたびに異なる暗号鍵が作成されて使用されるので、無線LANにおいてセキュリティの向上を図ることができる。
【0059】
○ 上記実施形態においては、ユーザ端末10の制御部100が、ユーザ認証手段、端末認証手段及び許可手段として機能した。これに限らず、ユーザ認証手段、端末認証手段及び許可手段としての機能をアクセスポイント20に設けてもよい。この場合、アクセスポイント20が接続制御装置として機能する。具体的には、アクセスポイント20は、上記実施形態と同様に、ユーザ端末10からのセッション開始時においては、ユーザ認証サーバに送信されるデータ以外のアクセスは拒否する。そして、ユーザ認証サーバ40から、認証成功の認証結果とともに鍵の基データを受信した場合には、アクセスポイント20は、ユーザ端末10から取得したMACフレームに含まれるMACアドレスを、DHCPサーバ30に送信する。DHCPサーバ30は、受信したMACアドレスの照合処理を行ない(ステップS1−10)、IPアドレスの配布処理を実行する(ステップS1−11)。アクセスポイント20は、DHCPサーバ30から取得したIPアドレスをユーザ端末10に送信する。ユーザ端末10は、このIPアドレスを用いて社内ネットワークN1に接続されたコンピュータとデータの送受信を行なう。この場合においても、ユーザ認証及び端末認証の両方が成功しないと、ユーザ端末10は社内ネットワークN1に接続できない。また、アクセスポイント20は、ユーザ認証サーバ40から鍵の基データを受信し
、この鍵の基データに基づく暗号鍵を用いて、ユーザ端末10と暗号化通信を行なう。この鍵の基データは、認証を行なうたびに変更される。また、鍵自体をユーザ端末10とアクセスポイント20との間で交換する必要がない。従って、ユーザ端末10とアクセスポイント20との暗号化通信が解読され難く、より安全にデータの送受信を行なうことができる。
【0060】
○ 上記実施形態においては、ユーザ端末10の制御部100は、起動したウェブブラウザを用いて、社内ネットワークN1への接続指示を取得した。接続指示を取得するためのプログラムは、これに限らず、ネットワーク等においてデータを閲覧・検索するアプリケーションソフトであればよい。
【図面の簡単な説明】
【0061】
【図1】実施形態におけるシステムの概略図。
【図2】データの構成を説明する図であり、(a)はMACアドレスデータ記憶部、(b)はユーザ管理データ記憶部に記録されたデータの説明図。
【図3】ユーザ端末の制御部の内部構成を説明するためのブロック図。
【図4】実施形態における認証処理の処理手順を説明するための流れ図。
【符号の説明】
【0062】
N1…社内ネットワーク、10…ユーザ端末、20…アクセスポイント、21…L2スイッチ、22,42…ルータ、30…端末認証サーバとしてのDHCPサーバ、31…MACアドレスデータ記憶部、40…ユーザ認証サーバ、50…認証情報管理サーバ、51…ユーザ管理データ記憶部、100…制御部、110…接続指示受入手段、120…許可手段及び設定手段としての通信制御手段、131…ユーザ認証手段を構成するユーザ認証要求手段、132…ユーザ認証手段を構成するユーザ認証結果取得手段、141…端末認証手段として構成するIPアドレス要求手段、142…端末認証手段として構成するIPアドレス取得手段、150…暗号通信手段を含むネットワーク通信手段としての通信手段、310…MACアドレスデータ、510…ユーザデータ。
【特許請求の範囲】
【請求項1】
ユーザのユーザ識別子及びパスワードを関連付けて記憶したユーザ認証サーバと、接続可能なユーザ端末のネットワーク通信手段を特定するMACアドレスが登録された端末認証サーバとが接続されているネットワークにアクセスするネットワーク通信手段の通信を制御する通信制御手段を備えた接続制御装置であって、
前記通信制御手段が、
前記ネットワークに対するアクセス指示をユーザ端末が取得した場合、ユーザのユーザ識別子及びパスワードを取得して、このユーザ識別子及びパスワードを含むユーザ認証要求を前記ユーザ認証サーバに送信して、このユーザ認証サーバにおけるユーザ認証結果を取得するユーザ認証手段と、
認証成功したことを示すユーザ認証結果を取得した場合には、前記ネットワーク通信手段のMACアドレスを含む端末認証要求を前記端末認証サーバに送信して、この端末認証サーバにおける端末認証結果を取得する端末認証手段と、
認証成功したことを示す端末認証結果を取得した場合には、前記ネットワーク通信手段に対して前記ネットワークへのアクセスを許可する許可手段と
を備えたことを特徴とする接続制御装置。
【請求項2】
前記端末認証サーバは、配布可能なIPアドレスを記憶しており、
前記端末認証手段は、前記端末認証サーバにおいて、前記MACアドレスを用いた端末認証が成功した場合には、前記端末認証結果としてIPアドレスを受信し、
前記通信制御手段は、受信したIPアドレスを用いてネットワーク通信手段が前記ネットワークへのアクセスを行なうように設定する設定手段を更に備えたことを特徴とする請求項1に記載の接続制御装置。
【請求項3】
前記ユーザ端末は、前記ネットワークに接続するアクセスポイントに、無線LAN接続により接続されており、
前記通信制御手段は、前記ユーザ端末に搭載されており、
前記ネットワーク通信手段は、前記ユーザ認証サーバとのデータ送受信において前記ユーザ認証手段が取得した鍵の基データに基づく暗号鍵を用いて、前記アクセスポイントと暗号化通信を行なう暗号通信手段を更に備えたことを特徴とする請求項1又は2に記載の接続制御装置。
【請求項4】
前記ユーザ端末は、前記ネットワークに接続するアクセスポイントに、無線LAN接続により接続されており、
前記通信制御手段は、前記アクセスポイントに搭載されており、
前記通信制御手段は、前記ユーザ認証手段とのデータ送受信において前記ユーザ認証手段が取得した鍵の基データに基づく暗号鍵を用いて、前記ユーザ端末と暗号化通信を行なう暗号通信手段を更に備えたことを特徴とする請求項1又は2に記載の接続制御装置。
【請求項5】
ユーザのユーザ識別子及びパスワードを関連付けて記憶したユーザ認証サーバと、接続可能なユーザ端末のネットワーク通信手段を特定するMACアドレスが登録された端末認証サーバとが接続されているネットワークにアクセスするネットワーク通信手段の通信を制御する通信制御手段を備えた接続制御装置を用いた接続制御方法であって、
前記通信制御手段が、
前記ネットワークに対するアクセス指示をユーザ端末が取得した場合、ユーザのユーザ識別子及びパスワードを取得して、このユーザ識別子及びパスワードを含むユーザ認証要求を前記ユーザ認証サーバに送信して、このユーザ認証サーバにおけるユーザ認証結果を取得するユーザ認証段階、
認証成功したことを示すユーザ認証結果を取得した場合には、前記ネットワーク通信手
段のMACアドレスを含む端末認証要求を前記端末認証サーバに送信して、この端末認証サーバにおける端末認証結果を取得する端末認証段階、及び
認証成功したことを示す端末認証結果を取得した場合には、前記ネットワーク通信手段に対して前記ネットワークへのアクセスを許可する許可段階
を実行することを特徴とする接続制御方法。
【請求項6】
ユーザのユーザ識別子及びパスワードを関連付けて記憶したユーザ認証サーバと、接続可能なユーザ端末のネットワーク通信手段を特定するMACアドレスが登録された端末認証サーバとが接続されているネットワークにアクセスするネットワーク通信手段の通信を制御する通信制御手段を備えた接続制御装置を用いた接続制御プログラムであって、
前記通信制御手段を、
前記ネットワークに対するアクセス指示をユーザ端末が取得した場合、ユーザのユーザ識別子及びパスワードを取得して、このユーザ識別子及びパスワードを含むユーザ認証要求を前記ユーザ認証サーバに送信して、このユーザ認証サーバにおけるユーザ認証結果を取得するユーザ認証手段、
認証成功したことを示すユーザ認証結果を取得した場合には、前記ネットワーク通信手段のMACアドレスを含む端末認証要求を前記端末認証サーバに送信して、この端末認証サーバにおける端末認証結果を取得する端末認証手段、及び
認証成功したことを示す端末認証結果を取得した場合には、前記ネットワーク通信手段に対して前記ネットワークへのアクセスを許可する許可手段
として機能することを特徴とする接続制御プログラム。
【請求項1】
ユーザのユーザ識別子及びパスワードを関連付けて記憶したユーザ認証サーバと、接続可能なユーザ端末のネットワーク通信手段を特定するMACアドレスが登録された端末認証サーバとが接続されているネットワークにアクセスするネットワーク通信手段の通信を制御する通信制御手段を備えた接続制御装置であって、
前記通信制御手段が、
前記ネットワークに対するアクセス指示をユーザ端末が取得した場合、ユーザのユーザ識別子及びパスワードを取得して、このユーザ識別子及びパスワードを含むユーザ認証要求を前記ユーザ認証サーバに送信して、このユーザ認証サーバにおけるユーザ認証結果を取得するユーザ認証手段と、
認証成功したことを示すユーザ認証結果を取得した場合には、前記ネットワーク通信手段のMACアドレスを含む端末認証要求を前記端末認証サーバに送信して、この端末認証サーバにおける端末認証結果を取得する端末認証手段と、
認証成功したことを示す端末認証結果を取得した場合には、前記ネットワーク通信手段に対して前記ネットワークへのアクセスを許可する許可手段と
を備えたことを特徴とする接続制御装置。
【請求項2】
前記端末認証サーバは、配布可能なIPアドレスを記憶しており、
前記端末認証手段は、前記端末認証サーバにおいて、前記MACアドレスを用いた端末認証が成功した場合には、前記端末認証結果としてIPアドレスを受信し、
前記通信制御手段は、受信したIPアドレスを用いてネットワーク通信手段が前記ネットワークへのアクセスを行なうように設定する設定手段を更に備えたことを特徴とする請求項1に記載の接続制御装置。
【請求項3】
前記ユーザ端末は、前記ネットワークに接続するアクセスポイントに、無線LAN接続により接続されており、
前記通信制御手段は、前記ユーザ端末に搭載されており、
前記ネットワーク通信手段は、前記ユーザ認証サーバとのデータ送受信において前記ユーザ認証手段が取得した鍵の基データに基づく暗号鍵を用いて、前記アクセスポイントと暗号化通信を行なう暗号通信手段を更に備えたことを特徴とする請求項1又は2に記載の接続制御装置。
【請求項4】
前記ユーザ端末は、前記ネットワークに接続するアクセスポイントに、無線LAN接続により接続されており、
前記通信制御手段は、前記アクセスポイントに搭載されており、
前記通信制御手段は、前記ユーザ認証手段とのデータ送受信において前記ユーザ認証手段が取得した鍵の基データに基づく暗号鍵を用いて、前記ユーザ端末と暗号化通信を行なう暗号通信手段を更に備えたことを特徴とする請求項1又は2に記載の接続制御装置。
【請求項5】
ユーザのユーザ識別子及びパスワードを関連付けて記憶したユーザ認証サーバと、接続可能なユーザ端末のネットワーク通信手段を特定するMACアドレスが登録された端末認証サーバとが接続されているネットワークにアクセスするネットワーク通信手段の通信を制御する通信制御手段を備えた接続制御装置を用いた接続制御方法であって、
前記通信制御手段が、
前記ネットワークに対するアクセス指示をユーザ端末が取得した場合、ユーザのユーザ識別子及びパスワードを取得して、このユーザ識別子及びパスワードを含むユーザ認証要求を前記ユーザ認証サーバに送信して、このユーザ認証サーバにおけるユーザ認証結果を取得するユーザ認証段階、
認証成功したことを示すユーザ認証結果を取得した場合には、前記ネットワーク通信手
段のMACアドレスを含む端末認証要求を前記端末認証サーバに送信して、この端末認証サーバにおける端末認証結果を取得する端末認証段階、及び
認証成功したことを示す端末認証結果を取得した場合には、前記ネットワーク通信手段に対して前記ネットワークへのアクセスを許可する許可段階
を実行することを特徴とする接続制御方法。
【請求項6】
ユーザのユーザ識別子及びパスワードを関連付けて記憶したユーザ認証サーバと、接続可能なユーザ端末のネットワーク通信手段を特定するMACアドレスが登録された端末認証サーバとが接続されているネットワークにアクセスするネットワーク通信手段の通信を制御する通信制御手段を備えた接続制御装置を用いた接続制御プログラムであって、
前記通信制御手段を、
前記ネットワークに対するアクセス指示をユーザ端末が取得した場合、ユーザのユーザ識別子及びパスワードを取得して、このユーザ識別子及びパスワードを含むユーザ認証要求を前記ユーザ認証サーバに送信して、このユーザ認証サーバにおけるユーザ認証結果を取得するユーザ認証手段、
認証成功したことを示すユーザ認証結果を取得した場合には、前記ネットワーク通信手段のMACアドレスを含む端末認証要求を前記端末認証サーバに送信して、この端末認証サーバにおける端末認証結果を取得する端末認証手段、及び
認証成功したことを示す端末認証結果を取得した場合には、前記ネットワーク通信手段に対して前記ネットワークへのアクセスを許可する許可手段
として機能することを特徴とする接続制御プログラム。
【図1】
【図2】
【図3】
【図4】
【図2】
【図3】
【図4】
【公開番号】特開2009−223389(P2009−223389A)
【公開日】平成21年10月1日(2009.10.1)
【国際特許分類】
【出願番号】特願2008−64275(P2008−64275)
【出願日】平成20年3月13日(2008.3.13)
【出願人】(000006747)株式会社リコー (37,907)
【出願人】(596017761)リコーテクノシステムズ株式会社 (37)
【Fターム(参考)】
【公開日】平成21年10月1日(2009.10.1)
【国際特許分類】
【出願日】平成20年3月13日(2008.3.13)
【出願人】(000006747)株式会社リコー (37,907)
【出願人】(596017761)リコーテクノシステムズ株式会社 (37)
【Fターム(参考)】
[ Back to top ]