認証ネットワークシステム
【課題】認証情報を入力するユーザの利便性とネットワークの高いセキュリティの確保との両立を可能にする技術を提供する。
【解決手段】本発明の認証ネットワークシステムは、第1の認証装置が、通信装置から第1のネットワークを介して第1の認証情報を受信し、該第1の認証情報の認証或は非認証を判定し、前記第1の認証情報を認証した場合に、第2の認証情報を通知し、第2の認証装置が、前記第2の認証情報を受信し、該第2の認証情報を予め登録されている情報と比較し、該第2の認証情報の認証或は非認証を判定し、前記第2の認証情報を認証した場合に、接続制御装置に通知し、該接続制御装置が、認証された通信装置の接続を第1のネットワークから第2のネットワークに切り替える。
【解決手段】本発明の認証ネットワークシステムは、第1の認証装置が、通信装置から第1のネットワークを介して第1の認証情報を受信し、該第1の認証情報の認証或は非認証を判定し、前記第1の認証情報を認証した場合に、第2の認証情報を通知し、第2の認証装置が、前記第2の認証情報を受信し、該第2の認証情報を予め登録されている情報と比較し、該第2の認証情報の認証或は非認証を判定し、前記第2の認証情報を認証した場合に、接続制御装置に通知し、該接続制御装置が、認証された通信装置の接続を第1のネットワークから第2のネットワークに切り替える。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、ネットワークに接続する端末の認証を行う技術に関する。
【背景技術】
【0002】
近年、LAN(Local Area Network)等のネットワークにおけるセキュリティを確保することが、益々重要になってきている。このため例えば、LANに接続するコンピュータ(PC:Personal Computer)を認証し、許可されたPCでなければ該LANに接続させ
ないようにする技術も提案されている。IEEE802.1x規格では、このようなネットワークへの接続時に認証を行う技術を定めている。
【0003】
この認証を行う場合、ユーザがIDとパスワードといった認証に必要な情報(認証情報)をPCに入力し、これをPCが認証サーバに送信するのが一般的であった。
【0004】
なお、この認証によるセキュリティを維持する為には、パスワードを定期的に変更する、該パスワードを推測しにくいものとする、パスワードを端末に記憶させない、といった運用が必要である。
【0005】
しかし、この運用を厳しくすると、セキュリティは確保できるもののユーザの利便性が損なわれてしまう。
【0006】
このため、ICカードやUSBメモリに電子証明書等の情報を格納しておき、これをPCに読み取らせる方式も提案されている。例えば、PCは、この情報をICカードやUSBメモリから読み出し、当該情報が正当なものであると認証する場合に、この情報に対応するIDやパスワードを認証サーバに送信する。
【0007】
また、PCが、ユーザの生体情報を読み取り、この生体情報が正当なユーザの情報であると認証する場合に、この情報に対応するIDやパスワードを認証サーバに送信する方式もある。
【0008】
また、本願発明に関連する先行技術として、例えば、下記の特許文献に開示される技術がある。
【特許文献1】特開2003−218873号公報
【特許文献2】特開2004−133747号公報
【発明の開示】
【発明が解決しようとする課題】
【0009】
上述のように、ICカードの情報やユーザの生体情報によって認証を行う場合、この情報を予め各PCに登録しておき、読み取った情報と比較して認証するか否かを判定する手段が必要である。
【0010】
このように各PCに情報の登録を行う構成であると、例えば情報の登録や更新の際に、それぞれのPCに対して登録や更新の作業を行うことになるので、ある程度以上の規模になると管理が困難になる。
【0011】
このため、ICカードの情報やユーザの生体情報をネットワーク上のサーバに登録しておき、集中管理する構成が望まれるが、上述のように認証が完了するまで接続できないネットワークであると、認証時には、まだネットワークを利用できないので、前記生体情報
をネットワーク上のサーバで管理する構成にすることができない。即ち、この認証時には、認証サーバに対して、IDやパスワードといった認証用のプロトコルで規定された情報の通信を行うことはできるものの、生体情報等を自由に通信することはできなかった。
【0012】
そこで本発明は、ネットワークに接続する端末を、先ず第1のネットワークに接続させ、該第1のネットワークを介して第1の認証情報の認証を行い、該第1の認証情報を正当に認証した場合に第2の認証情報を通知し、該第2の認証情報を認証した場合に当該端末を第2のネットワークに接続させる技術を提供する。
【課題を解決するための手段】
【0013】
上記課題を解決するため、本発明は、以下の構成を採用した。
【0014】
即ち、本発明の認証ネットワークシステムは、
物理的或は論理的に異なる第1のネットワークと第2のネットワークとを有するネットワークを介し、第1の認証装置、第2の認証装置及び接続制御装置を接続してなるシステムであって、
前記第1の認証装置が、
通信装置から前記第1のネットワークを介して第1の認証情報を受信する受信部と、
該第1の認証情報を予め登録されている情報と比較し、該第1の認証情報の認証或は非認証を判定する認証部と、
前記第1の認証情報を認証した場合に、第2の認証情報を通知する認証通知部と、を備え、
前記第2の認証装置が、
前記第2の認証情報を受信する受信部と、
該第2の認証情報を予め登録されている情報と比較し、該第2の認証情報の認証或は非認証を判定する認証部と、
前記第2の認証情報を認証した場合に、前記接続制御装置に通知する認証通知部と、を備え、
前記接続制御装置が、
認証前の前記通信装置を第1のネットワークに接続させる接続部と、
前記第2の認証装置から前記認証の通知を受信する受信部と、
第2の認証装置によって認証された通信装置の接続を第1のネットワークから第2のネットワークに切り替える接続切替部と、を備えた。
【0015】
前記認証ネットワークシステムにおいて、前記第1の認証情報が、前記通信装置を使用するユーザの生体情報であり、前記第2の認証情報が識別情報及びパスワードであっても良い。
【0016】
前記通信装置は、
前記第1の認証情報を読み取る読取部と、
読み取った第1の認証情報を前記第1のネットワークを介して前記第1の認証装置に送信する第1送信部と、
前記第1の認証装置から第2の認証情報を受信する受信部と、
第2の認証情報を前記第2の認証装置に送信する第2送信部と、
前記接続制御装置によって接続されたネットワークを介して他のノードと通信する通信部と、を備えても良い。
【0017】
前記接続制御装置の接続制御部は、前記通信装置が接続するポートの設定を替えることにより、前記通信装置の接続を切り替えても良い。
【0018】
また、本発明の接続制御方法は、物理的或は論理的に異なる第1のネットワークと第2のネットワークとを有するネットワークを介し、第1の認証装置、第2の認証装置及び接続制御装置を接続してなる認証ネットワークシステムが実行する方法であって、
前記第1の認証装置が、
通信装置から前記第1のネットワークを介して第1の認証情報を受信するステップと、
該第1の認証情報を予め登録されている情報と比較し、該第1の認証情報の認証或は非認証を判定するステップと、
前記第1の認証情報を認証した場合に、第2の認証情報を通知するステップと、を実行し、
前記第2の認証装置が、
前記第2の認証情報を受信するステップと、
該第2の認証情報を予め登録されている情報と比較し、該第2の認証情報の認証或は非認証を判定するステップと、
前記第2の認証情報を認証した場合に、前記接続制御装置に通知するステップと、を実行し、
前記接続制御装置が、
認証前の前記通信装置を第1のネットワークに接続させるステップと、
前記第2の認証装置から前記認証の通知を受信するステップと、
第2の認証装置によって認証された通信装置の接続を第1のネットワークから第2のネットワークに切り替えるステップと、を実行する。
【0019】
前記接続制御方法において、前記第1の認証情報が前記通信装置を使用するユーザの生体情報であり、前記第2の認証情報が識別情報及びパスワードであっても良い。
【0020】
前記接続制御方法において、通信装置が、
前記第1の認証情報を読み取るステップと、
読み取った第1の認証情報を前記第1の認証装置に送信するステップと、
前記第1の認証装置から第2の認証情報を受信するステップと、
第2の認証情報を前記第2の認証装置に送信するステップと、
前記ネットワークを介して他のノードと通信するステップと、
を実行しても良い。
【0021】
前記接続制御方法において、前記接続制御装置は、前記通信装置が接続するポートの設定を替えることにより、前記通信装置の接続を切り替えても良い。
【0022】
また、本発明の通信装置は、
物理的或は論理的に異なる第1のネットワークと第2のネットワークとを有するネットワークを介し、第1の認証装置、第2の認証装置及び接続制御装置が接続してなる認証ネットワークシステムに接続する通信装置であって、
第1の認証情報を読み取る読取部と、
読み取った第1の認証情報を前記第1のネットワークを介して前記第1の認証装置に送信する第1送信部と、
前記第1の認証装置から第2の認証情報を受信する受信部と、
第2の認証情報を前記第2の認証装置に送信する第2送信部と、
前記接続制御装置によって接続されたネットワークを介して他のノードと通信する通信部と、を備えた。
【0023】
前記通信装置において、前記第1の認証情報が前記通信装置を使用するユーザの生体情報であり、前記第2の認証情報が識別情報及びパスワードであっても良い。
【0024】
また、本発明の接続方法は、物理的或は論理的に異なる第1のネットワークと第2のネットワークとを有するネットワークを介し、第1の認証装置、第2の認証装置及び接続制御装置が接続してなる認証ネットワークシステムに接続する通信装置が実行する方法であって、
前記接続制御装置の制御に応じて第1のネットワークに接続するステップと、
第1の認証情報を読み取るステップと、
読み取った第1の認証情報を第1のネットワークを介して前記第1の認証装置に送信するステップと、
前記第1の認証装置から第2の認証情報を受信するステップと、
第2の認証情報を前記第2の認証装置に送信するステップと、
前記ネットワークを介して他のノードと通信するステップと、を備える。
【0025】
前記接続方法において、前記第1の認証情報が前記通信装置を使用するユーザの生体情報であり、前記第2の認証情報が識別情報及びパスワードであっても良い。
【0026】
また、本発明は、上記方法をコンピュータに実行させるプログラムであっても良い。更に、本発明は、このプログラムをコンピュータが読み取り可能な記録媒体に記録したものであっても良い。コンピュータに、この記録媒体のプログラムを読み込ませて実行させることにより、その機能を提供させることができる。
【0027】
ここで、コンピュータが読み取り可能な記録媒体とは、データやプログラム等の情報を電気的、磁気的、光学的、機械的、または化学的作用によって蓄積し、コンピュータから読み取ることができる記録媒体をいう。このような記録媒体の内コンピュータから取り外し可能なものとしては、例えばフレキシブルディスク、光磁気ディスク、CD-ROM、CD-R/W、DVD、DAT、8mmテープ、メモリカード等がある。
【0028】
また、コンピュータに固定された記録媒体としてハードディスクやROM(リードオンリーメモリ)等がある。
【発明の効果】
【0029】
本発明によれば、認証情報を入力するユーザの利便性とネットワークの高いセキュリティの確保との両立を可能にする技術を提供できる。
【発明を実施するための最良の形態】
【0030】
以下、図面を参照して本発明を実施するための最良の形態について説明する。以下の実施の形態の構成は例示であり、本発明は実施の形態の構成に限定されない。
【実施例1】
【0031】
図1は、本発明に係る認証ネットワークシステムの概略図である。本例の認証ネットワークシステム10は、指紋認証装置(第1の認証装置)1、RADIUSサーバ(第2の認証装置)2及びルータ(接続制御装置)3等からなっている。
【0032】
本例の認証ネットワークシステム10は、VLAN(Virtual Local Area Network)の機能により、論理的に異なるLAN1とLAN2とを有している。
【0033】
LAN1は、指紋認証装置1や、ネットワークプリンタ5等が属し、認証前の端末(通信装置)6が接続されるオープンなネットワークである。
【0034】
LAN2は、社内ファイルサーバ7等が属し、認証後の端末6のみが接続できるネットワークである。
【0035】
本実施例の認証ネットワークシステム10では、端末6が接続すると、この端末6を先ずLAN1に接続させる。このとき端末6は、LAN1内の指紋認証装置1とは通信できるが、LAN2内の装置とは通信できない状態である。このLAN1にて、端末6は、指紋情報(第1の認証情報)を指紋認証装置1に送り、認証されると第2の認証情報としてのパスワードを得る。
【0036】
そして、端末6が、このパスワードと識別情報(ユーザID等)をRADIUSサーバ2へ送り認証されると、ルータ3が該端末6の接続をLAN1からLAN2へ切り替える。これにより端末6は、社内ファイルサーバ7等を利用できるようになる。
【0037】
このように、認証が完了するまでは端末6を社内のネットワーク(LAN2)に接続させず、セキュリティを確保している。また、認証前の端末6を認証用のネットワーク(LAN1)に接続させ、ネットワークを介した認証情報の取得を可能としてユーザの利便性を向上させている。即ち、本実施例の認証ネットワークシステム10は、高いセキュリティの確保とユーザの利便性の向上を両立している。
【0038】
次に、本実施例の認証ネットワークシステム10を構成する各要素について詳細に説明する。
【0039】
指紋認証装置1は、図2に示すように、CPU(central processing unit)やメイン
メモリ等よりなる演算処理部12、演算処理の為のデータやソフトウェアを記憶した記憶部(ハードディスク)13、入出力ポート14、通信制御部(CCU:Communication Control Unit)15等を備えた一般的なコンピュータである。
【0040】
CCU15は、ネットワークを介した他のコンピュータとの通信を制御するものである。
【0041】
記憶部13には、オペレーティングシステム(OS)やアプリケーションソフトがインストールされている。また、記憶部13には、各ユーザIDと、指紋認証情報、パスワード(第2の認証情報)が対応付けて登録されている。
【0042】
演算処理部12は、前記OSやアプリケーションプログラムを記憶部13から適宜読み出して実行し、入出力ポート14やCCU15から入力された情報、及び記憶部13から読み出した情報を演算処理することにより、受信部16や、認証部17、認証通知部18としても機能する。
【0043】
この受信部16としては、各端末6からLAN1を介して第1の認証情報としての指紋情報やユーザIDを受信する。
【0044】
認証部17としては、記憶部13から該ユーザIDと対応する指紋情報を読み出し、受信した指紋情報と比較して、一致していれば認証、一致しなければ非認証と判定する。
【0045】
認証通知部18としては、前記認証部17で指紋情報を認証した場合に、記憶部13から当該ユーザIDと対応するパスワードを読み出して端末6に通知(送信)する。
【0046】
また、RADIUSサーバ2は、図3に示すように、CPU(central processing unit)やメインメモリ等よりなる演算処理部22、演算処理の為のデータやソフトウェアを
記憶した記憶部(ハードディスク)23、入出力ポート24、通信制御部(CCU:Communication Control Unit)25等を備えたコンピュータである。
【0047】
記憶部23には、オペレーティングシステムやアプリケーションソフトがインストールされていると共に、ユーザIDとパスワードとを対応付けて登録している。
【0048】
演算処理部12は、前記OSやアプリケーションプログラムを記憶部23から適宜読み出して実行し、入出力ポート24やCCU25から入力された情報、及び記憶部23から読み出した情報を演算処理することにより、受信部26や、認証部27、認証通知部28としても機能する。
【0049】
この受信部26としては、端末6から前記第2の認証情報としてのパスワードとユーザIDを受信する。
【0050】
認証部27としては、受信したパスワードと、記憶部13に登録されているパスワードとを比較し、一致していれば認証とし、一致しなければ非認証と判定する。
【0051】
認証通知部28としては、前記認証部27での認証結果、即ち認証又は非認証を示す情報を前記ルータ3に通知する。
【0052】
また、本例のルータ3は、図4に示すように、LANスイッチの機能も有しており、図4に示すように、ルーティング部31や、ポート32、接続部33、受信部34、接続切替部35を備えている。
【0053】
ルーティング部31は、端末6から送られたフレームを宛先アドレスに応じてルーティングする。
【0054】
ポート32は、各端末6のケーブルを接続するコネクタであり、設定されたLAN番号に応じたネットワーク、本例ではLAN1或いはLAN2に該端末6を接続させている。
【0055】
接続部33は、ポート32にLAN番号を設定し、端末6を接続するLANを決めている。例えば、接続部33は、ポート32に前記端末6が接続されると、先ず該ポート32にVLAN番号1を設定し、該端末6をLAN1に接続させる。
【0056】
受信部34は、RADIUSサーバ2から前記端末6を認証するか否かを示す通知即ち認証結果を受信する。
【0057】
接続切替部35は、前記受信部34で受信したRADIUSサーバ2からの通知に応じて当該端末6を接続させるネットワークのVLAN番号を接続部33に通知する。例えば、前記端末6を認証する旨の情報を受信した場合、VLAN番号2を接続部33に通知して当該端末6の接続をLAN1からLAN2へ切り替えさせる。
【0058】
なお、認証後の端末6をどのサブネットワーク(LAN1,LAN2)へ接続させるかの判断は、RADIUSサーバ(第2の認証装置)2が行っても良い。例えば、RADIUSサーバ2が、ユーザIDと、パスワードと、認証後に接続するネットワークを示す接続情報(本例ではVLAN番号)とを対応付けて記憶部23に記憶しておき、該端末6の接続を認証した場合、この認証結果として接続情報(VLAN番号)をルータ(接続制御装置)3に通知する。この場合、ルータ3の接続切替部35は、このVLAN番号を接続部33へ転送すれば良い。
【0059】
また、本実施例では、接続制御部をルータとしたが、これに限らず前記ポート32、接続部33、受信部34、接続切替部35の機能を有していれば、LANスイッチやレイヤ
3スイッチであっても良い。
【0060】
そして、端末(通信装置)6は、図5に示すように、CPU(central processing unit)やメインメモリ等よりなる演算処理部62、演算処理の為のデータやソフトウェアを
記憶した記憶部(ハードディスク)63、入出力ポート64、通信制御部(CCU:Communication Control Unit)65等を備えた一般的なコンピュータである。
【0061】
該入出力ポート64には、キーボードやマウス、指紋読取装置66、CD−ROMドライブ等の入力デバイス、そして表示装置やプリンター等の出力デバイスが適宜接続される。該指紋読取装置66は、ユーザの指から指紋情報を読み取る。なお、本実施例では、この指紋情報を第1の認証情報としたが、第1の認証情報は、これに限らず静脈パターンや虹彩パターン、声紋等の生体情報や、電子証明書等のデータであっても良い。
【0062】
CCU65は、ネットワークを介した他のコンピュータとの通信を制御するものである。
【0063】
記憶部63には、オペレーティングシステム(OS)やアプリケーションソフト(PC認証モジュール、ネットワーク認証モジュール等のプログラム)がインストールされている。
【0064】
演算処理部62は、前記OSやアプリケーションプログラムを記憶部63から適宜読み出して実行し、入出力ポート64やCCU65から入力された情報、及び記憶部13から読み出した情報を演算処理することにより、送信部67や、受信部68、通信部69としても機能する。なお、本実施例では、PC認証モジュール(プログラム或はプログラムモジュールとも称する)を実行することにより第1送信部67や、通信部69、受信部68を実現し、ネットワーク認証モジュール(プログラム或はプログラムモジュールとも称する)を実行することにより第2送信部61を実現している。
【0065】
第1送信部67としては、LAN1を介して指紋読取装置66で読み取った指紋情報(第1の認証情報)とユーザIDを指紋認証装置1に送信する。
【0066】
受信部68としては、前記指紋情報が認証された場合に、指紋認証装置1から第2の認証情報としてのユーザIDとパスワードを受信する。
【0067】
通信部69としては、ルータ3によって接続されたネットワークを介して他のノードと通信を行う。
【0068】
第2送信部61としては、指紋認証装置1から取得したユーザIDとパスワードをRADIUSサーバ1に送信する。
【0069】
これらの構成の認証ネットワーク10における接続制御方法及び端末6における接続方法について、図6を用いて説明する。
【0070】
端末6からルータ3のポート32にケーブルを接続した状態で、端末6の電源を投入すると(ステップ1、以下S1のように略記する)、OSを起動して先ずユーザのログオン画面を表示装置に表示する(S2)。
【0071】
該ログオン画面でユーザIDとパスワードが入力されると、PC認証モジュールの第1送信部67は、指紋情報の入力を促すメッセージを表示装置に表示させる。これに応じユーザが指紋の読取操作を行うと、指紋読取装置66は指紋情報を読み取り、第1送信部6
7へ送る(S3)。
【0072】
PC認証モジュールの第1送信部67は、ユーザIDや指紋情報をネットワーク認証モジュールへ渡す(S4)。ネットワーク認証モジュールの第2送信部61は、該ユーザIDや指紋情報、端末固有の情報(MACアドレスやCPUのID等)を記憶部63等に予め登録した情報と比較し、正当な端末6であるか否かを判定する(S5)。このコンピュータ認証で正当な端末6ではないと判定した場合、第2送信部61は、LAN1への接続を中止し、ステップ2のログオン画面表示に戻る。即ち端末6は、OSへログオンすることができず、PCを利用することができない。正当な端末6と判定した場合、処理をPC認証モジュールへ戻して認証処理を継続させる(S6)。
【0073】
正当な端末6であるとの判定の結果を受けると(S7)、PC認証モジュールの第1送信部67は、ルータ3に接続を要求する。例えば、端末6がIPアドレスを要求すると(S8)、ルータ3はLAN1用のIPアドレスを割り当てる(S9)。
【0074】
そして、第1送信部67は、該LAN1を介してユーザIDと指紋情報を指紋認証装置1へ送信し(S10)、ユーザ認証1を行わせる。
【0075】
このユーザIDと指紋情報を受信した指紋認証装置1は、該ユーザIDと対応する指紋情報を記憶部13から読出し、受信した指紋情報と比較する(S11)。この指紋情報が一致すれば認証し、ユーザIDや、パスワード、接続先(アドレス)を認証結果として端末6へ通知する(S12)。なお、このユーザIDは、OSにログオンするためのIDと同じでも良いし、異ならせても良い。また、前記指紋情報が一致しなければ、非認証である旨の認証結果を端末6へ通知する。
【0076】
該指紋認証装置1で認証され、該認証結果を受信した(S13)端末6は、この認証結果としてのユーザIDや、パスワード、接続先をネットワーク認証モジュールへ渡す(S14)
これらの情報を受信した第2送信部61は、該ユーザID及びパスワードを前記接続先であるRADIUSサーバ2へ送信し、ユーザ認証2を行なわせる(S15,S16)。
【0077】
受信部26が該ユーザID及びパスワードを受信すると、RADIUSサーバ2は、認証部27が該ユーザIDと対応するパスワードを記憶部23から読出し、受信したパスワードと比較する(S17)。このパスワードが一致すれば認証通知部28が認証した旨の情報(認証結果)と当該端末の識別情報(例えばアドレス)をルータ3へ送信する(S18)。また、認証通知部28は、前記パスワードが一致しなければ、非認証である旨の認証結果を端末6へ通知する。
【0078】
ルータ3は、受信部34がこの認証結果を受信すると、該認証結果に応じて接続切替部35が、VLAN番号を接続部33に通知する(S19)。接続部33は、該識別情報によって特定される端末6が接続しているポートに該VLAN番号を設定する。例えば、前記端末6を認証する旨の情報を受信した場合、VLAN番号2を接続部33に通知して当該端末6の接続をLAN1からLAN2へ切り替えさせる。なお、非認証の場合、接続部33への通知を行わず、端末6の接続をLAN1のままとする。
【0079】
また、ルータ3は、端末6の接続をLAN2に切り替えた場合、当該端末6にLAN2におけるIPアドレスを割り当てる(S20)。
【0080】
これにより端末6は、LAN2に接続し、社内ファイルサーバ7等を利用できるようになる。なお、ユーザ認証1及びユーザ認証2で非認証となった場合、ステップ2のログオ
ン画面に戻る(S21,S22)。
【0081】
このように本実施例では、指紋情報によってユーザ認証を行い、認証された場合のみ端末を業務用のネットワーク(LAN2)に接続させ、認証されなければ業務用ネットワークに接続させない。これにより認証情報(指紋情報)を入力するユーザの利便性とネットワークの高いセキュリティの確保とを両立させている。
【0082】
また、本実施例では、認証用のネットワーク(LAN1)上に設けた認証装置で指紋情報の認証を行っており、指紋情報の集中管理を可能とし、メンテナンス性を向上させている。特に、ネットワーク(LAN1)の利用を可能にした状態で認証情報を認証装置に送るため、EAP(extensible authentication protocol)等の認証用プロトコルに限定されず、任意の情報を送ることができるので、自由度が向上する。
【0083】
なお、本実施例では、ユーザ認証で非認証となった端末は、ログオン画面に戻り、利用できなくしたが、これに限らず、非認証となった端末は、LAN1に接続したままOSにログオンし、プリンタ5の利用やインタネットへのアクセスなどを可能としても良い。
【0084】
同様に、本発明のPC認証モジュールやネットワーク認証モジュールを有していないゲストのPC(端末)を接続した場合、LAN1用のIPアドレスを割り当て、認証をおこなわずに、LAN1のみの利用を可能としても良い。
【実施例2】
【0085】
図7は、本発明に係る実施例2の認証ネットワークシステムの概略図である。本実施例では、前述の実施例1と比べ、接続制御装置として複数のLANスイッチを用いた点が異なっている。その他の構成は略同じであるので、同一の要素に同符号を付すなどして再度の説明を省略している。
【0086】
各LANスイッチ3A,3Bは、それぞれ前述のポート32、接続部33、受信部34、接続切替部35を備えている。
【0087】
これにより前述の実施例1と同様に各LANスイッチ3A,3Bのポート32に接続した端末6がログオンすると、ユーザ認証1及びユーザ認証2を行う。そして、RADIUSサーバ2から認証した旨の情報を受信すると、接続切替部35が接続部33に当該端末のポート32をLAN番号2に設定させ、該端末6をLAN2へ切替させる。
【0088】
なお、このLANスイッチ3A,3B間では、MACフレームのヘッダ部分にIEEE802.1Qで規定されている4バイトのVLANタグを挿入することで各ネットワーク(LAN1,LAN2)を区別しても良い。
【0089】
このように、複数のLANスイッチを構成した場合にも、前述の実施例と同様にユーザ認証を行い、端末が接続するネットワークを切り替えることができる。
【0090】
〈その他〉
本発明は、上述の図示例にのみ限定されるものではなく、本発明の要旨を逸脱しない範囲内において種々変更を加え得ることは勿論である。
【0091】
例えば、以下に付記した構成であっても上述の実施形態と同様の効果が得られる。また、これらの構成要素は可能な限り組み合わせることができる。
【0092】
(付記1)
物理的或は論理的に異なる第1のネットワークと第2のネットワークとを有するネットワークを介し、第1の認証装置、第2の認証装置及び接続制御装置を接続してなる認証ネットワークシステムであって、
前記第1の認証装置が、
通信装置から前記第1のネットワークを介して第1の認証情報を受信する受信部と、
該第1の認証情報を予め登録されている情報と比較し、該第1の認証情報の認証或は非認証を判定する認証部と、
前記第1の認証情報を認証した場合に、第2の認証情報を通知する認証通知部と、を備え、
前記第2の認証装置が、
前記第2の認証情報を受信する受信部と、
該第2の認証情報を予め登録されている情報と比較し、該第2の認証情報の認証或は非認証を判定する認証部と、
前記第2の認証情報を認証した場合に、前記接続制御装置に通知する認証通知部と、を備え、
前記接続制御装置が、
認証前の前記通信装置を第1のネットワークに接続させる接続部と、
前記第2の認証装置から前記認証の通知を受信する受信部と、
第2の認証装置によって認証された通信装置の接続を第1のネットワークから第2のネットワークに切り替える接続切替部と、を備えた認証ネットワークシステム。(2)
(付記2)
前記第1の認証情報が前記通信装置を使用するユーザの生体情報であり、
前記第2の認証情報が識別情報及びパスワードである付記1に記載の認証ネットワークシステム。(2)
(付記3)
前記通信装置が、
前記第1の認証情報を読み取る読取部と、
読み取った第1の認証情報を前記第1のネットワークを介して前記第1の認証装置に送信する第1送信部と、
前記第1の認証装置から第2の認証情報を受信する受信部と、
第2の認証情報を前記第2の認証装置に送信する第2送信部と、
前記接続制御装置によって接続されたネットワークを介して他のノードと通信する通信部と、
を備えた付記1又は2に記載の認証ネットワークシステム。(3)
(付記4)
前記接続制御装置の接続制御部は、前記通信装置が接続するポートの設定を替えることにより、前記通信装置の接続を切り替える付記1から3の何れかに記載の認証ネットワークシステム。
【0093】
(付記5)
物理的或は論理的に異なる第1のネットワークと第2のネットワークとを有するネットワークを介し、第1の認証装置、第2の認証装置、及び通信装置と接続する接続制御装置であって、
認証前の前記通信装置を第1のネットワークに接続させる接続部と、
前記第2の認証装置から前記認証の通知を受信する受信部と、
第2の認証装置によって認証された通信装置の接続を第1のネットワークから第2のネットワークに切り替える接続切替部と、を備えた接続制御装置。(4)
(付記6)
前記接続制御部は、前記通信装置が接続するポートの設定を替えることにより、前記通信装置の接続を切り替える付記5に記載の接続制御装置。
【0094】
(付記7)
物理的或は論理的に異なる第1のネットワークと第2のネットワークとを有するネットワークを介し、第1の認証装置、第2の認証装置及び接続制御装置を接続してなる認証ネットワークシステムが実行する方法であって、
前記第1の認証装置が、
通信装置から前記第1のネットワークを介して第1の認証情報を受信するステップと、
該第1の認証情報を予め登録されている情報と比較し、該第1の認証情報の認証或は非認証を判定するステップと、
前記第1の認証情報を認証した場合に、第2の認証情報を通知するステップと、を実行し、
前記第2の認証装置が、
前記第2の認証情報を受信するステップと、
該第2の認証情報を予め登録されている情報と比較し、該第2の認証情報の認証或は非認証を判定するステップと、
前記第2の認証情報を認証した場合に、前記接続制御装置に通知するステップと、を実行し、
前記接続制御装置が、
認証前の前記通信装置を第1のネットワークに接続させるステップと、
前記第2の認証装置から前記認証の通知を受信するステップと、
第2の認証装置によって認証された通信装置の接続を第1のネットワークから第2のネットワークに切り替えるステップと、を実行する接続制御方法。(5)
(付記8)
前記第1の認証情報が前記通信装置を使用するユーザの生体情報であり、
前記第2の認証情報が識別情報及びパスワードである付記7に記載の接続制御方法。
【0095】
(付記9)
前記通信装置が、
前記第1の認証情報を読み取るステップと、
読み取った第1の認証情報を前記第1の認証装置に送信するステップと、
前記第1の認証装置から第2の認証情報を受信するステップと、
第2の認証情報を前記第2の認証装置に送信するステップと、
前記ネットワークを介して他のノードと通信するステップと、
を実行する付記7又は8に記載の接続制御方法。
【0096】
(付記10)
前記接続制御装置は、前記通信装置が接続するポートの設定を替えることにより、前記通信装置の接続を切り替える付記7から9の何れかに記載の接続制御方法。
【0097】
(付記11)
物理的或は論理的に異なる第1のネットワークと第2のネットワークとを有するネットワークを介し、第1の認証装置、第2の認証装置、及び通信装置と接続する接続制御装置が実行する方法であって、
認証前の前記通信装置を第1のネットワークに接続させるステップと、
前記第2の認証装置から前記認証の通知を受信するステップと、
第2の認証装置によって認証された通信装置の接続を第1のネットワークから第2のネットワークに切り替えるステップと、を備えた接続制御方法。(6)
(付記12)
前記接続制御装置の前記通信装置が接続するポートの設定を替えることにより、前記通信装置の接続を切り替える付記11に記載の接続制御方法。
【0098】
(付記13)
物理的或は論理的に異なる第1のネットワークと第2のネットワークとを有するネットワークを介し、第1の認証装置、第2の認証装置、及び通信装置と接続する接続制御装置が実行するプログラムであって、
認証前の前記通信装置を第1のネットワークに接続させるステップと、
前記第2の認証装置から前記認証の通知を受信するステップと、
第2の認証装置によって認証された通信装置の接続を第1のネットワークから第2のネットワークに切り替えるステップと、を備えた接続制御プログラム。
【0099】
(付記14)
物理的或は論理的に異なる第1のネットワークと第2のネットワークとを有するネットワークを介し、第1の認証装置、第2の認証装置及び接続制御装置が接続してなる認証ネットワークシステムに接続する通信装置であって、
第1の認証情報を読み取る読取部と、
読み取った第1の認証情報を前記第1のネットワークを介して前記第1の認証装置に送信する第1送信部と、
前記第1の認証装置から第2の認証情報を受信する受信部と、
第2の認証情報を前記第2の認証装置に送信する第2送信部と、
前記接続制御装置によって接続されたネットワークを介して他のノードと通信する通信部と、を備えた通信装置。(7)
(付記15)
前記第1の認証情報が前記通信装置を使用するユーザの生体情報であり、
前記第2の認証情報が識別情報及びパスワードである付記14に記載の通信装置。
【0100】
(付記16)
物理的或は論理的に異なる第1のネットワークと第2のネットワークとを有するネットワークを介し、第1の認証装置、第2の認証装置及び接続制御装置が接続してなる認証ネットワークシステムに接続する通信装置が実行する方法であって、
前記接続制御装置の制御に応じて第1のネットワークに接続するステップと、
第1の認証情報を読み取るステップと、
読み取った第1の認証情報を第1のネットワークを介して前記第1の認証装置に送信するステップと、
前記第1の認証装置から第2の認証情報を受信するステップと、
第2の認証情報を前記第2の認証装置に送信するステップと、
前記ネットワークを介して他のノードと通信するステップと、を備える接続方法。(8)
(付記17)
前記第1の認証情報が前記通信装置を使用するユーザの生体情報であり、
前記第2の認証情報が識別情報及びパスワードである付記16に記載の接続方法。
【0101】
(付記18)
物理的或は論理的に異なる第1のネットワークと第2のネットワークとを有するネットワークを介し、第1の認証装置、第2の認証装置及び接続制御装置が接続してなる認証ネットワークシステムに接続する通信装置が実行するプログラムであって、
前記接続制御装置の制御に応じて第1のネットワークに接続するステップと、
前記第1の認証情報を読み取るステップと、
読み取った第1の認証情報を第1のネットワークを介して前記第1の認証装置に送信するステップと、
前記第1の認証装置から第2の認証情報を受信するステップと、
第2の認証情報を前記第2の認証装置に送信するステップと、
前記ネットワークを介して他のノードと通信するステップと、を備えるプログラム。(9)
(付記19)
物理的或は論理的に異なる第1のネットワークと第2のネットワークとを有するネットワークを介し、第1の認証装置、第2の認証装置及び接続制御装置が接続してなる認証ネットワークシステムに接続する通信装置が実行するプログラムであって、
前記接続制御装置の制御に応じて第1のネットワークに接続するステップと、
第1の認証情報を読み取るステップと、
読み取った第1の認証情報を第1のネットワークを介して前記第1の認証装置に送信するプログラムモジュールに渡すステップと、
前記第1の認証装置から第2の認証情報を受信するステップと、
受信した第2の認証情報を前記第2の認証装置に送信するプログラムモジュールに渡すステップと、
前記ネットワークを介して他のノードと通信するステップと、を備えるプログラム。(10)
【図面の簡単な説明】
【0102】
【図1】本発明に係る認証ネットワークシステムの概略図
【図2】指紋認証装置(第1の認証装置)の概略図
【図3】RADIUSサーバ(第2の認証装置)の概略図
【図4】ルータ(接続制御装置)の概略図
【図5】端末(通信装置)の概略図
【図6】本発明に係る接続制御方法及び接続方法の説明図
【図7】本発明に係る実施例2の認証ネットワークシステムの概略図
【符号の説明】
【0103】
10 認証ネットワークシステム
1 指紋認証装置(第1の認証装置)
2 RADIUSサーバ(第2の認証装置)
3 ルータ(接続制御装置)
6 端末(通信装置)
【技術分野】
【0001】
本発明は、ネットワークに接続する端末の認証を行う技術に関する。
【背景技術】
【0002】
近年、LAN(Local Area Network)等のネットワークにおけるセキュリティを確保することが、益々重要になってきている。このため例えば、LANに接続するコンピュータ(PC:Personal Computer)を認証し、許可されたPCでなければ該LANに接続させ
ないようにする技術も提案されている。IEEE802.1x規格では、このようなネットワークへの接続時に認証を行う技術を定めている。
【0003】
この認証を行う場合、ユーザがIDとパスワードといった認証に必要な情報(認証情報)をPCに入力し、これをPCが認証サーバに送信するのが一般的であった。
【0004】
なお、この認証によるセキュリティを維持する為には、パスワードを定期的に変更する、該パスワードを推測しにくいものとする、パスワードを端末に記憶させない、といった運用が必要である。
【0005】
しかし、この運用を厳しくすると、セキュリティは確保できるもののユーザの利便性が損なわれてしまう。
【0006】
このため、ICカードやUSBメモリに電子証明書等の情報を格納しておき、これをPCに読み取らせる方式も提案されている。例えば、PCは、この情報をICカードやUSBメモリから読み出し、当該情報が正当なものであると認証する場合に、この情報に対応するIDやパスワードを認証サーバに送信する。
【0007】
また、PCが、ユーザの生体情報を読み取り、この生体情報が正当なユーザの情報であると認証する場合に、この情報に対応するIDやパスワードを認証サーバに送信する方式もある。
【0008】
また、本願発明に関連する先行技術として、例えば、下記の特許文献に開示される技術がある。
【特許文献1】特開2003−218873号公報
【特許文献2】特開2004−133747号公報
【発明の開示】
【発明が解決しようとする課題】
【0009】
上述のように、ICカードの情報やユーザの生体情報によって認証を行う場合、この情報を予め各PCに登録しておき、読み取った情報と比較して認証するか否かを判定する手段が必要である。
【0010】
このように各PCに情報の登録を行う構成であると、例えば情報の登録や更新の際に、それぞれのPCに対して登録や更新の作業を行うことになるので、ある程度以上の規模になると管理が困難になる。
【0011】
このため、ICカードの情報やユーザの生体情報をネットワーク上のサーバに登録しておき、集中管理する構成が望まれるが、上述のように認証が完了するまで接続できないネットワークであると、認証時には、まだネットワークを利用できないので、前記生体情報
をネットワーク上のサーバで管理する構成にすることができない。即ち、この認証時には、認証サーバに対して、IDやパスワードといった認証用のプロトコルで規定された情報の通信を行うことはできるものの、生体情報等を自由に通信することはできなかった。
【0012】
そこで本発明は、ネットワークに接続する端末を、先ず第1のネットワークに接続させ、該第1のネットワークを介して第1の認証情報の認証を行い、該第1の認証情報を正当に認証した場合に第2の認証情報を通知し、該第2の認証情報を認証した場合に当該端末を第2のネットワークに接続させる技術を提供する。
【課題を解決するための手段】
【0013】
上記課題を解決するため、本発明は、以下の構成を採用した。
【0014】
即ち、本発明の認証ネットワークシステムは、
物理的或は論理的に異なる第1のネットワークと第2のネットワークとを有するネットワークを介し、第1の認証装置、第2の認証装置及び接続制御装置を接続してなるシステムであって、
前記第1の認証装置が、
通信装置から前記第1のネットワークを介して第1の認証情報を受信する受信部と、
該第1の認証情報を予め登録されている情報と比較し、該第1の認証情報の認証或は非認証を判定する認証部と、
前記第1の認証情報を認証した場合に、第2の認証情報を通知する認証通知部と、を備え、
前記第2の認証装置が、
前記第2の認証情報を受信する受信部と、
該第2の認証情報を予め登録されている情報と比較し、該第2の認証情報の認証或は非認証を判定する認証部と、
前記第2の認証情報を認証した場合に、前記接続制御装置に通知する認証通知部と、を備え、
前記接続制御装置が、
認証前の前記通信装置を第1のネットワークに接続させる接続部と、
前記第2の認証装置から前記認証の通知を受信する受信部と、
第2の認証装置によって認証された通信装置の接続を第1のネットワークから第2のネットワークに切り替える接続切替部と、を備えた。
【0015】
前記認証ネットワークシステムにおいて、前記第1の認証情報が、前記通信装置を使用するユーザの生体情報であり、前記第2の認証情報が識別情報及びパスワードであっても良い。
【0016】
前記通信装置は、
前記第1の認証情報を読み取る読取部と、
読み取った第1の認証情報を前記第1のネットワークを介して前記第1の認証装置に送信する第1送信部と、
前記第1の認証装置から第2の認証情報を受信する受信部と、
第2の認証情報を前記第2の認証装置に送信する第2送信部と、
前記接続制御装置によって接続されたネットワークを介して他のノードと通信する通信部と、を備えても良い。
【0017】
前記接続制御装置の接続制御部は、前記通信装置が接続するポートの設定を替えることにより、前記通信装置の接続を切り替えても良い。
【0018】
また、本発明の接続制御方法は、物理的或は論理的に異なる第1のネットワークと第2のネットワークとを有するネットワークを介し、第1の認証装置、第2の認証装置及び接続制御装置を接続してなる認証ネットワークシステムが実行する方法であって、
前記第1の認証装置が、
通信装置から前記第1のネットワークを介して第1の認証情報を受信するステップと、
該第1の認証情報を予め登録されている情報と比較し、該第1の認証情報の認証或は非認証を判定するステップと、
前記第1の認証情報を認証した場合に、第2の認証情報を通知するステップと、を実行し、
前記第2の認証装置が、
前記第2の認証情報を受信するステップと、
該第2の認証情報を予め登録されている情報と比較し、該第2の認証情報の認証或は非認証を判定するステップと、
前記第2の認証情報を認証した場合に、前記接続制御装置に通知するステップと、を実行し、
前記接続制御装置が、
認証前の前記通信装置を第1のネットワークに接続させるステップと、
前記第2の認証装置から前記認証の通知を受信するステップと、
第2の認証装置によって認証された通信装置の接続を第1のネットワークから第2のネットワークに切り替えるステップと、を実行する。
【0019】
前記接続制御方法において、前記第1の認証情報が前記通信装置を使用するユーザの生体情報であり、前記第2の認証情報が識別情報及びパスワードであっても良い。
【0020】
前記接続制御方法において、通信装置が、
前記第1の認証情報を読み取るステップと、
読み取った第1の認証情報を前記第1の認証装置に送信するステップと、
前記第1の認証装置から第2の認証情報を受信するステップと、
第2の認証情報を前記第2の認証装置に送信するステップと、
前記ネットワークを介して他のノードと通信するステップと、
を実行しても良い。
【0021】
前記接続制御方法において、前記接続制御装置は、前記通信装置が接続するポートの設定を替えることにより、前記通信装置の接続を切り替えても良い。
【0022】
また、本発明の通信装置は、
物理的或は論理的に異なる第1のネットワークと第2のネットワークとを有するネットワークを介し、第1の認証装置、第2の認証装置及び接続制御装置が接続してなる認証ネットワークシステムに接続する通信装置であって、
第1の認証情報を読み取る読取部と、
読み取った第1の認証情報を前記第1のネットワークを介して前記第1の認証装置に送信する第1送信部と、
前記第1の認証装置から第2の認証情報を受信する受信部と、
第2の認証情報を前記第2の認証装置に送信する第2送信部と、
前記接続制御装置によって接続されたネットワークを介して他のノードと通信する通信部と、を備えた。
【0023】
前記通信装置において、前記第1の認証情報が前記通信装置を使用するユーザの生体情報であり、前記第2の認証情報が識別情報及びパスワードであっても良い。
【0024】
また、本発明の接続方法は、物理的或は論理的に異なる第1のネットワークと第2のネットワークとを有するネットワークを介し、第1の認証装置、第2の認証装置及び接続制御装置が接続してなる認証ネットワークシステムに接続する通信装置が実行する方法であって、
前記接続制御装置の制御に応じて第1のネットワークに接続するステップと、
第1の認証情報を読み取るステップと、
読み取った第1の認証情報を第1のネットワークを介して前記第1の認証装置に送信するステップと、
前記第1の認証装置から第2の認証情報を受信するステップと、
第2の認証情報を前記第2の認証装置に送信するステップと、
前記ネットワークを介して他のノードと通信するステップと、を備える。
【0025】
前記接続方法において、前記第1の認証情報が前記通信装置を使用するユーザの生体情報であり、前記第2の認証情報が識別情報及びパスワードであっても良い。
【0026】
また、本発明は、上記方法をコンピュータに実行させるプログラムであっても良い。更に、本発明は、このプログラムをコンピュータが読み取り可能な記録媒体に記録したものであっても良い。コンピュータに、この記録媒体のプログラムを読み込ませて実行させることにより、その機能を提供させることができる。
【0027】
ここで、コンピュータが読み取り可能な記録媒体とは、データやプログラム等の情報を電気的、磁気的、光学的、機械的、または化学的作用によって蓄積し、コンピュータから読み取ることができる記録媒体をいう。このような記録媒体の内コンピュータから取り外し可能なものとしては、例えばフレキシブルディスク、光磁気ディスク、CD-ROM、CD-R/W、DVD、DAT、8mmテープ、メモリカード等がある。
【0028】
また、コンピュータに固定された記録媒体としてハードディスクやROM(リードオンリーメモリ)等がある。
【発明の効果】
【0029】
本発明によれば、認証情報を入力するユーザの利便性とネットワークの高いセキュリティの確保との両立を可能にする技術を提供できる。
【発明を実施するための最良の形態】
【0030】
以下、図面を参照して本発明を実施するための最良の形態について説明する。以下の実施の形態の構成は例示であり、本発明は実施の形態の構成に限定されない。
【実施例1】
【0031】
図1は、本発明に係る認証ネットワークシステムの概略図である。本例の認証ネットワークシステム10は、指紋認証装置(第1の認証装置)1、RADIUSサーバ(第2の認証装置)2及びルータ(接続制御装置)3等からなっている。
【0032】
本例の認証ネットワークシステム10は、VLAN(Virtual Local Area Network)の機能により、論理的に異なるLAN1とLAN2とを有している。
【0033】
LAN1は、指紋認証装置1や、ネットワークプリンタ5等が属し、認証前の端末(通信装置)6が接続されるオープンなネットワークである。
【0034】
LAN2は、社内ファイルサーバ7等が属し、認証後の端末6のみが接続できるネットワークである。
【0035】
本実施例の認証ネットワークシステム10では、端末6が接続すると、この端末6を先ずLAN1に接続させる。このとき端末6は、LAN1内の指紋認証装置1とは通信できるが、LAN2内の装置とは通信できない状態である。このLAN1にて、端末6は、指紋情報(第1の認証情報)を指紋認証装置1に送り、認証されると第2の認証情報としてのパスワードを得る。
【0036】
そして、端末6が、このパスワードと識別情報(ユーザID等)をRADIUSサーバ2へ送り認証されると、ルータ3が該端末6の接続をLAN1からLAN2へ切り替える。これにより端末6は、社内ファイルサーバ7等を利用できるようになる。
【0037】
このように、認証が完了するまでは端末6を社内のネットワーク(LAN2)に接続させず、セキュリティを確保している。また、認証前の端末6を認証用のネットワーク(LAN1)に接続させ、ネットワークを介した認証情報の取得を可能としてユーザの利便性を向上させている。即ち、本実施例の認証ネットワークシステム10は、高いセキュリティの確保とユーザの利便性の向上を両立している。
【0038】
次に、本実施例の認証ネットワークシステム10を構成する各要素について詳細に説明する。
【0039】
指紋認証装置1は、図2に示すように、CPU(central processing unit)やメイン
メモリ等よりなる演算処理部12、演算処理の為のデータやソフトウェアを記憶した記憶部(ハードディスク)13、入出力ポート14、通信制御部(CCU:Communication Control Unit)15等を備えた一般的なコンピュータである。
【0040】
CCU15は、ネットワークを介した他のコンピュータとの通信を制御するものである。
【0041】
記憶部13には、オペレーティングシステム(OS)やアプリケーションソフトがインストールされている。また、記憶部13には、各ユーザIDと、指紋認証情報、パスワード(第2の認証情報)が対応付けて登録されている。
【0042】
演算処理部12は、前記OSやアプリケーションプログラムを記憶部13から適宜読み出して実行し、入出力ポート14やCCU15から入力された情報、及び記憶部13から読み出した情報を演算処理することにより、受信部16や、認証部17、認証通知部18としても機能する。
【0043】
この受信部16としては、各端末6からLAN1を介して第1の認証情報としての指紋情報やユーザIDを受信する。
【0044】
認証部17としては、記憶部13から該ユーザIDと対応する指紋情報を読み出し、受信した指紋情報と比較して、一致していれば認証、一致しなければ非認証と判定する。
【0045】
認証通知部18としては、前記認証部17で指紋情報を認証した場合に、記憶部13から当該ユーザIDと対応するパスワードを読み出して端末6に通知(送信)する。
【0046】
また、RADIUSサーバ2は、図3に示すように、CPU(central processing unit)やメインメモリ等よりなる演算処理部22、演算処理の為のデータやソフトウェアを
記憶した記憶部(ハードディスク)23、入出力ポート24、通信制御部(CCU:Communication Control Unit)25等を備えたコンピュータである。
【0047】
記憶部23には、オペレーティングシステムやアプリケーションソフトがインストールされていると共に、ユーザIDとパスワードとを対応付けて登録している。
【0048】
演算処理部12は、前記OSやアプリケーションプログラムを記憶部23から適宜読み出して実行し、入出力ポート24やCCU25から入力された情報、及び記憶部23から読み出した情報を演算処理することにより、受信部26や、認証部27、認証通知部28としても機能する。
【0049】
この受信部26としては、端末6から前記第2の認証情報としてのパスワードとユーザIDを受信する。
【0050】
認証部27としては、受信したパスワードと、記憶部13に登録されているパスワードとを比較し、一致していれば認証とし、一致しなければ非認証と判定する。
【0051】
認証通知部28としては、前記認証部27での認証結果、即ち認証又は非認証を示す情報を前記ルータ3に通知する。
【0052】
また、本例のルータ3は、図4に示すように、LANスイッチの機能も有しており、図4に示すように、ルーティング部31や、ポート32、接続部33、受信部34、接続切替部35を備えている。
【0053】
ルーティング部31は、端末6から送られたフレームを宛先アドレスに応じてルーティングする。
【0054】
ポート32は、各端末6のケーブルを接続するコネクタであり、設定されたLAN番号に応じたネットワーク、本例ではLAN1或いはLAN2に該端末6を接続させている。
【0055】
接続部33は、ポート32にLAN番号を設定し、端末6を接続するLANを決めている。例えば、接続部33は、ポート32に前記端末6が接続されると、先ず該ポート32にVLAN番号1を設定し、該端末6をLAN1に接続させる。
【0056】
受信部34は、RADIUSサーバ2から前記端末6を認証するか否かを示す通知即ち認証結果を受信する。
【0057】
接続切替部35は、前記受信部34で受信したRADIUSサーバ2からの通知に応じて当該端末6を接続させるネットワークのVLAN番号を接続部33に通知する。例えば、前記端末6を認証する旨の情報を受信した場合、VLAN番号2を接続部33に通知して当該端末6の接続をLAN1からLAN2へ切り替えさせる。
【0058】
なお、認証後の端末6をどのサブネットワーク(LAN1,LAN2)へ接続させるかの判断は、RADIUSサーバ(第2の認証装置)2が行っても良い。例えば、RADIUSサーバ2が、ユーザIDと、パスワードと、認証後に接続するネットワークを示す接続情報(本例ではVLAN番号)とを対応付けて記憶部23に記憶しておき、該端末6の接続を認証した場合、この認証結果として接続情報(VLAN番号)をルータ(接続制御装置)3に通知する。この場合、ルータ3の接続切替部35は、このVLAN番号を接続部33へ転送すれば良い。
【0059】
また、本実施例では、接続制御部をルータとしたが、これに限らず前記ポート32、接続部33、受信部34、接続切替部35の機能を有していれば、LANスイッチやレイヤ
3スイッチであっても良い。
【0060】
そして、端末(通信装置)6は、図5に示すように、CPU(central processing unit)やメインメモリ等よりなる演算処理部62、演算処理の為のデータやソフトウェアを
記憶した記憶部(ハードディスク)63、入出力ポート64、通信制御部(CCU:Communication Control Unit)65等を備えた一般的なコンピュータである。
【0061】
該入出力ポート64には、キーボードやマウス、指紋読取装置66、CD−ROMドライブ等の入力デバイス、そして表示装置やプリンター等の出力デバイスが適宜接続される。該指紋読取装置66は、ユーザの指から指紋情報を読み取る。なお、本実施例では、この指紋情報を第1の認証情報としたが、第1の認証情報は、これに限らず静脈パターンや虹彩パターン、声紋等の生体情報や、電子証明書等のデータであっても良い。
【0062】
CCU65は、ネットワークを介した他のコンピュータとの通信を制御するものである。
【0063】
記憶部63には、オペレーティングシステム(OS)やアプリケーションソフト(PC認証モジュール、ネットワーク認証モジュール等のプログラム)がインストールされている。
【0064】
演算処理部62は、前記OSやアプリケーションプログラムを記憶部63から適宜読み出して実行し、入出力ポート64やCCU65から入力された情報、及び記憶部13から読み出した情報を演算処理することにより、送信部67や、受信部68、通信部69としても機能する。なお、本実施例では、PC認証モジュール(プログラム或はプログラムモジュールとも称する)を実行することにより第1送信部67や、通信部69、受信部68を実現し、ネットワーク認証モジュール(プログラム或はプログラムモジュールとも称する)を実行することにより第2送信部61を実現している。
【0065】
第1送信部67としては、LAN1を介して指紋読取装置66で読み取った指紋情報(第1の認証情報)とユーザIDを指紋認証装置1に送信する。
【0066】
受信部68としては、前記指紋情報が認証された場合に、指紋認証装置1から第2の認証情報としてのユーザIDとパスワードを受信する。
【0067】
通信部69としては、ルータ3によって接続されたネットワークを介して他のノードと通信を行う。
【0068】
第2送信部61としては、指紋認証装置1から取得したユーザIDとパスワードをRADIUSサーバ1に送信する。
【0069】
これらの構成の認証ネットワーク10における接続制御方法及び端末6における接続方法について、図6を用いて説明する。
【0070】
端末6からルータ3のポート32にケーブルを接続した状態で、端末6の電源を投入すると(ステップ1、以下S1のように略記する)、OSを起動して先ずユーザのログオン画面を表示装置に表示する(S2)。
【0071】
該ログオン画面でユーザIDとパスワードが入力されると、PC認証モジュールの第1送信部67は、指紋情報の入力を促すメッセージを表示装置に表示させる。これに応じユーザが指紋の読取操作を行うと、指紋読取装置66は指紋情報を読み取り、第1送信部6
7へ送る(S3)。
【0072】
PC認証モジュールの第1送信部67は、ユーザIDや指紋情報をネットワーク認証モジュールへ渡す(S4)。ネットワーク認証モジュールの第2送信部61は、該ユーザIDや指紋情報、端末固有の情報(MACアドレスやCPUのID等)を記憶部63等に予め登録した情報と比較し、正当な端末6であるか否かを判定する(S5)。このコンピュータ認証で正当な端末6ではないと判定した場合、第2送信部61は、LAN1への接続を中止し、ステップ2のログオン画面表示に戻る。即ち端末6は、OSへログオンすることができず、PCを利用することができない。正当な端末6と判定した場合、処理をPC認証モジュールへ戻して認証処理を継続させる(S6)。
【0073】
正当な端末6であるとの判定の結果を受けると(S7)、PC認証モジュールの第1送信部67は、ルータ3に接続を要求する。例えば、端末6がIPアドレスを要求すると(S8)、ルータ3はLAN1用のIPアドレスを割り当てる(S9)。
【0074】
そして、第1送信部67は、該LAN1を介してユーザIDと指紋情報を指紋認証装置1へ送信し(S10)、ユーザ認証1を行わせる。
【0075】
このユーザIDと指紋情報を受信した指紋認証装置1は、該ユーザIDと対応する指紋情報を記憶部13から読出し、受信した指紋情報と比較する(S11)。この指紋情報が一致すれば認証し、ユーザIDや、パスワード、接続先(アドレス)を認証結果として端末6へ通知する(S12)。なお、このユーザIDは、OSにログオンするためのIDと同じでも良いし、異ならせても良い。また、前記指紋情報が一致しなければ、非認証である旨の認証結果を端末6へ通知する。
【0076】
該指紋認証装置1で認証され、該認証結果を受信した(S13)端末6は、この認証結果としてのユーザIDや、パスワード、接続先をネットワーク認証モジュールへ渡す(S14)
これらの情報を受信した第2送信部61は、該ユーザID及びパスワードを前記接続先であるRADIUSサーバ2へ送信し、ユーザ認証2を行なわせる(S15,S16)。
【0077】
受信部26が該ユーザID及びパスワードを受信すると、RADIUSサーバ2は、認証部27が該ユーザIDと対応するパスワードを記憶部23から読出し、受信したパスワードと比較する(S17)。このパスワードが一致すれば認証通知部28が認証した旨の情報(認証結果)と当該端末の識別情報(例えばアドレス)をルータ3へ送信する(S18)。また、認証通知部28は、前記パスワードが一致しなければ、非認証である旨の認証結果を端末6へ通知する。
【0078】
ルータ3は、受信部34がこの認証結果を受信すると、該認証結果に応じて接続切替部35が、VLAN番号を接続部33に通知する(S19)。接続部33は、該識別情報によって特定される端末6が接続しているポートに該VLAN番号を設定する。例えば、前記端末6を認証する旨の情報を受信した場合、VLAN番号2を接続部33に通知して当該端末6の接続をLAN1からLAN2へ切り替えさせる。なお、非認証の場合、接続部33への通知を行わず、端末6の接続をLAN1のままとする。
【0079】
また、ルータ3は、端末6の接続をLAN2に切り替えた場合、当該端末6にLAN2におけるIPアドレスを割り当てる(S20)。
【0080】
これにより端末6は、LAN2に接続し、社内ファイルサーバ7等を利用できるようになる。なお、ユーザ認証1及びユーザ認証2で非認証となった場合、ステップ2のログオ
ン画面に戻る(S21,S22)。
【0081】
このように本実施例では、指紋情報によってユーザ認証を行い、認証された場合のみ端末を業務用のネットワーク(LAN2)に接続させ、認証されなければ業務用ネットワークに接続させない。これにより認証情報(指紋情報)を入力するユーザの利便性とネットワークの高いセキュリティの確保とを両立させている。
【0082】
また、本実施例では、認証用のネットワーク(LAN1)上に設けた認証装置で指紋情報の認証を行っており、指紋情報の集中管理を可能とし、メンテナンス性を向上させている。特に、ネットワーク(LAN1)の利用を可能にした状態で認証情報を認証装置に送るため、EAP(extensible authentication protocol)等の認証用プロトコルに限定されず、任意の情報を送ることができるので、自由度が向上する。
【0083】
なお、本実施例では、ユーザ認証で非認証となった端末は、ログオン画面に戻り、利用できなくしたが、これに限らず、非認証となった端末は、LAN1に接続したままOSにログオンし、プリンタ5の利用やインタネットへのアクセスなどを可能としても良い。
【0084】
同様に、本発明のPC認証モジュールやネットワーク認証モジュールを有していないゲストのPC(端末)を接続した場合、LAN1用のIPアドレスを割り当て、認証をおこなわずに、LAN1のみの利用を可能としても良い。
【実施例2】
【0085】
図7は、本発明に係る実施例2の認証ネットワークシステムの概略図である。本実施例では、前述の実施例1と比べ、接続制御装置として複数のLANスイッチを用いた点が異なっている。その他の構成は略同じであるので、同一の要素に同符号を付すなどして再度の説明を省略している。
【0086】
各LANスイッチ3A,3Bは、それぞれ前述のポート32、接続部33、受信部34、接続切替部35を備えている。
【0087】
これにより前述の実施例1と同様に各LANスイッチ3A,3Bのポート32に接続した端末6がログオンすると、ユーザ認証1及びユーザ認証2を行う。そして、RADIUSサーバ2から認証した旨の情報を受信すると、接続切替部35が接続部33に当該端末のポート32をLAN番号2に設定させ、該端末6をLAN2へ切替させる。
【0088】
なお、このLANスイッチ3A,3B間では、MACフレームのヘッダ部分にIEEE802.1Qで規定されている4バイトのVLANタグを挿入することで各ネットワーク(LAN1,LAN2)を区別しても良い。
【0089】
このように、複数のLANスイッチを構成した場合にも、前述の実施例と同様にユーザ認証を行い、端末が接続するネットワークを切り替えることができる。
【0090】
〈その他〉
本発明は、上述の図示例にのみ限定されるものではなく、本発明の要旨を逸脱しない範囲内において種々変更を加え得ることは勿論である。
【0091】
例えば、以下に付記した構成であっても上述の実施形態と同様の効果が得られる。また、これらの構成要素は可能な限り組み合わせることができる。
【0092】
(付記1)
物理的或は論理的に異なる第1のネットワークと第2のネットワークとを有するネットワークを介し、第1の認証装置、第2の認証装置及び接続制御装置を接続してなる認証ネットワークシステムであって、
前記第1の認証装置が、
通信装置から前記第1のネットワークを介して第1の認証情報を受信する受信部と、
該第1の認証情報を予め登録されている情報と比較し、該第1の認証情報の認証或は非認証を判定する認証部と、
前記第1の認証情報を認証した場合に、第2の認証情報を通知する認証通知部と、を備え、
前記第2の認証装置が、
前記第2の認証情報を受信する受信部と、
該第2の認証情報を予め登録されている情報と比較し、該第2の認証情報の認証或は非認証を判定する認証部と、
前記第2の認証情報を認証した場合に、前記接続制御装置に通知する認証通知部と、を備え、
前記接続制御装置が、
認証前の前記通信装置を第1のネットワークに接続させる接続部と、
前記第2の認証装置から前記認証の通知を受信する受信部と、
第2の認証装置によって認証された通信装置の接続を第1のネットワークから第2のネットワークに切り替える接続切替部と、を備えた認証ネットワークシステム。(2)
(付記2)
前記第1の認証情報が前記通信装置を使用するユーザの生体情報であり、
前記第2の認証情報が識別情報及びパスワードである付記1に記載の認証ネットワークシステム。(2)
(付記3)
前記通信装置が、
前記第1の認証情報を読み取る読取部と、
読み取った第1の認証情報を前記第1のネットワークを介して前記第1の認証装置に送信する第1送信部と、
前記第1の認証装置から第2の認証情報を受信する受信部と、
第2の認証情報を前記第2の認証装置に送信する第2送信部と、
前記接続制御装置によって接続されたネットワークを介して他のノードと通信する通信部と、
を備えた付記1又は2に記載の認証ネットワークシステム。(3)
(付記4)
前記接続制御装置の接続制御部は、前記通信装置が接続するポートの設定を替えることにより、前記通信装置の接続を切り替える付記1から3の何れかに記載の認証ネットワークシステム。
【0093】
(付記5)
物理的或は論理的に異なる第1のネットワークと第2のネットワークとを有するネットワークを介し、第1の認証装置、第2の認証装置、及び通信装置と接続する接続制御装置であって、
認証前の前記通信装置を第1のネットワークに接続させる接続部と、
前記第2の認証装置から前記認証の通知を受信する受信部と、
第2の認証装置によって認証された通信装置の接続を第1のネットワークから第2のネットワークに切り替える接続切替部と、を備えた接続制御装置。(4)
(付記6)
前記接続制御部は、前記通信装置が接続するポートの設定を替えることにより、前記通信装置の接続を切り替える付記5に記載の接続制御装置。
【0094】
(付記7)
物理的或は論理的に異なる第1のネットワークと第2のネットワークとを有するネットワークを介し、第1の認証装置、第2の認証装置及び接続制御装置を接続してなる認証ネットワークシステムが実行する方法であって、
前記第1の認証装置が、
通信装置から前記第1のネットワークを介して第1の認証情報を受信するステップと、
該第1の認証情報を予め登録されている情報と比較し、該第1の認証情報の認証或は非認証を判定するステップと、
前記第1の認証情報を認証した場合に、第2の認証情報を通知するステップと、を実行し、
前記第2の認証装置が、
前記第2の認証情報を受信するステップと、
該第2の認証情報を予め登録されている情報と比較し、該第2の認証情報の認証或は非認証を判定するステップと、
前記第2の認証情報を認証した場合に、前記接続制御装置に通知するステップと、を実行し、
前記接続制御装置が、
認証前の前記通信装置を第1のネットワークに接続させるステップと、
前記第2の認証装置から前記認証の通知を受信するステップと、
第2の認証装置によって認証された通信装置の接続を第1のネットワークから第2のネットワークに切り替えるステップと、を実行する接続制御方法。(5)
(付記8)
前記第1の認証情報が前記通信装置を使用するユーザの生体情報であり、
前記第2の認証情報が識別情報及びパスワードである付記7に記載の接続制御方法。
【0095】
(付記9)
前記通信装置が、
前記第1の認証情報を読み取るステップと、
読み取った第1の認証情報を前記第1の認証装置に送信するステップと、
前記第1の認証装置から第2の認証情報を受信するステップと、
第2の認証情報を前記第2の認証装置に送信するステップと、
前記ネットワークを介して他のノードと通信するステップと、
を実行する付記7又は8に記載の接続制御方法。
【0096】
(付記10)
前記接続制御装置は、前記通信装置が接続するポートの設定を替えることにより、前記通信装置の接続を切り替える付記7から9の何れかに記載の接続制御方法。
【0097】
(付記11)
物理的或は論理的に異なる第1のネットワークと第2のネットワークとを有するネットワークを介し、第1の認証装置、第2の認証装置、及び通信装置と接続する接続制御装置が実行する方法であって、
認証前の前記通信装置を第1のネットワークに接続させるステップと、
前記第2の認証装置から前記認証の通知を受信するステップと、
第2の認証装置によって認証された通信装置の接続を第1のネットワークから第2のネットワークに切り替えるステップと、を備えた接続制御方法。(6)
(付記12)
前記接続制御装置の前記通信装置が接続するポートの設定を替えることにより、前記通信装置の接続を切り替える付記11に記載の接続制御方法。
【0098】
(付記13)
物理的或は論理的に異なる第1のネットワークと第2のネットワークとを有するネットワークを介し、第1の認証装置、第2の認証装置、及び通信装置と接続する接続制御装置が実行するプログラムであって、
認証前の前記通信装置を第1のネットワークに接続させるステップと、
前記第2の認証装置から前記認証の通知を受信するステップと、
第2の認証装置によって認証された通信装置の接続を第1のネットワークから第2のネットワークに切り替えるステップと、を備えた接続制御プログラム。
【0099】
(付記14)
物理的或は論理的に異なる第1のネットワークと第2のネットワークとを有するネットワークを介し、第1の認証装置、第2の認証装置及び接続制御装置が接続してなる認証ネットワークシステムに接続する通信装置であって、
第1の認証情報を読み取る読取部と、
読み取った第1の認証情報を前記第1のネットワークを介して前記第1の認証装置に送信する第1送信部と、
前記第1の認証装置から第2の認証情報を受信する受信部と、
第2の認証情報を前記第2の認証装置に送信する第2送信部と、
前記接続制御装置によって接続されたネットワークを介して他のノードと通信する通信部と、を備えた通信装置。(7)
(付記15)
前記第1の認証情報が前記通信装置を使用するユーザの生体情報であり、
前記第2の認証情報が識別情報及びパスワードである付記14に記載の通信装置。
【0100】
(付記16)
物理的或は論理的に異なる第1のネットワークと第2のネットワークとを有するネットワークを介し、第1の認証装置、第2の認証装置及び接続制御装置が接続してなる認証ネットワークシステムに接続する通信装置が実行する方法であって、
前記接続制御装置の制御に応じて第1のネットワークに接続するステップと、
第1の認証情報を読み取るステップと、
読み取った第1の認証情報を第1のネットワークを介して前記第1の認証装置に送信するステップと、
前記第1の認証装置から第2の認証情報を受信するステップと、
第2の認証情報を前記第2の認証装置に送信するステップと、
前記ネットワークを介して他のノードと通信するステップと、を備える接続方法。(8)
(付記17)
前記第1の認証情報が前記通信装置を使用するユーザの生体情報であり、
前記第2の認証情報が識別情報及びパスワードである付記16に記載の接続方法。
【0101】
(付記18)
物理的或は論理的に異なる第1のネットワークと第2のネットワークとを有するネットワークを介し、第1の認証装置、第2の認証装置及び接続制御装置が接続してなる認証ネットワークシステムに接続する通信装置が実行するプログラムであって、
前記接続制御装置の制御に応じて第1のネットワークに接続するステップと、
前記第1の認証情報を読み取るステップと、
読み取った第1の認証情報を第1のネットワークを介して前記第1の認証装置に送信するステップと、
前記第1の認証装置から第2の認証情報を受信するステップと、
第2の認証情報を前記第2の認証装置に送信するステップと、
前記ネットワークを介して他のノードと通信するステップと、を備えるプログラム。(9)
(付記19)
物理的或は論理的に異なる第1のネットワークと第2のネットワークとを有するネットワークを介し、第1の認証装置、第2の認証装置及び接続制御装置が接続してなる認証ネットワークシステムに接続する通信装置が実行するプログラムであって、
前記接続制御装置の制御に応じて第1のネットワークに接続するステップと、
第1の認証情報を読み取るステップと、
読み取った第1の認証情報を第1のネットワークを介して前記第1の認証装置に送信するプログラムモジュールに渡すステップと、
前記第1の認証装置から第2の認証情報を受信するステップと、
受信した第2の認証情報を前記第2の認証装置に送信するプログラムモジュールに渡すステップと、
前記ネットワークを介して他のノードと通信するステップと、を備えるプログラム。(10)
【図面の簡単な説明】
【0102】
【図1】本発明に係る認証ネットワークシステムの概略図
【図2】指紋認証装置(第1の認証装置)の概略図
【図3】RADIUSサーバ(第2の認証装置)の概略図
【図4】ルータ(接続制御装置)の概略図
【図5】端末(通信装置)の概略図
【図6】本発明に係る接続制御方法及び接続方法の説明図
【図7】本発明に係る実施例2の認証ネットワークシステムの概略図
【符号の説明】
【0103】
10 認証ネットワークシステム
1 指紋認証装置(第1の認証装置)
2 RADIUSサーバ(第2の認証装置)
3 ルータ(接続制御装置)
6 端末(通信装置)
【特許請求の範囲】
【請求項1】
物理的或は論理的に異なる第1のネットワークと第2のネットワークとを有するネットワークを介し、第1の認証装置、第2の認証装置及び接続制御装置を接続してなる認証ネットワークシステムであって、
前記第1の認証装置が、
通信装置から前記第1のネットワークを介して第1の認証情報を受信する受信部と、
該第1の認証情報を予め登録されている情報と比較し、該第1の認証情報の認証或は非認証を判定する認証部と、
前記第1の認証情報を認証した場合に、第2の認証情報を通知する認証通知部と、を備え、
前記第2の認証装置が、
前記第2の認証情報を受信する受信部と、
該第2の認証情報を予め登録されている情報と比較し、該第2の認証情報の認証或は非認証を判定する認証部と、
前記第2の認証情報を認証した場合に、前記接続制御装置に通知する認証通知部と、を備え、
前記接続制御装置が、
認証前の前記通信装置を第1のネットワークに接続させる接続部と、
前記第2の認証装置から前記認証の通知を受信する受信部と、
第2の認証装置によって認証された通信装置の接続を第1のネットワークから第2のネットワークに切り替える接続切替部と、を備えた認証ネットワークシステム。
【請求項2】
前記第1の認証情報が前記通信装置を使用するユーザの生体情報であり、
前記第2の認証情報が識別情報及びパスワードである請求項1に記載の認証ネットワークシステム。
【請求項3】
前記通信装置が、
前記第1の認証情報を読み取る読取部と、
読み取った第1の認証情報を前記第1のネットワークを介して前記第1の認証装置に送信する第1送信部と、
前記第1の認証装置から第2の認証情報を受信する受信部と、
第2の認証情報を前記第2の認証装置に送信する第2送信部と、
前記接続制御装置によって接続されたネットワークを介して他のノードと通信する通信部と、
を備えた請求項1又は2に記載の認証ネットワークシステム。
【請求項4】
物理的或は論理的に異なる第1のネットワークと第2のネットワークとを有するネットワークを介し、第1の認証装置、第2の認証装置、及び通信装置と接続する接続制御装置であって、
認証前の前記通信装置を第1のネットワークに接続させる接続部と、
前記第2の認証装置から前記認証の通知を受信する受信部と、
第2の認証装置によって認証された通信装置の接続を第1のネットワークから第2のネットワークに切り替える接続切替部と、を備えた接続制御装置。
【請求項5】
物理的或は論理的に異なる第1のネットワークと第2のネットワークとを有するネットワークを介し、第1の認証装置、第2の認証装置及び接続制御装置を接続してなる認証ネットワークシステムが実行する方法であって、
前記第1の認証装置が、
通信装置から前記第1のネットワークを介して第1の認証情報を受信するステップと、
該第1の認証情報を予め登録されている情報と比較し、該第1の認証情報の認証或は非認証を判定するステップと、
前記第1の認証情報を認証した場合に、第2の認証情報を通知するステップと、を実行し、
前記第2の認証装置が、
前記第2の認証情報を受信するステップと、
該第2の認証情報を予め登録されている情報と比較し、該第2の認証情報の認証或は非認証を判定するステップと、
前記第2の認証情報を認証した場合に、前記接続制御装置に通知するステップと、を実行し、
前記接続制御装置が、
認証前の前記通信装置を第1のネットワークに接続させるステップと、
前記第2の認証装置から前記認証の通知を受信するステップと、
第2の認証装置によって認証された通信装置の接続を第1のネットワークから第2のネットワークに切り替えるステップと、を実行する接続制御方法。
【請求項6】
物理的或は論理的に異なる第1のネットワークと第2のネットワークとを有するネットワークを介し、第1の認証装置、第2の認証装置、及び通信装置と接続する接続制御装置が実行する方法であって、
認証前の前記通信装置を第1のネットワークに接続させるステップと、
前記第2の認証装置から前記認証の通知を受信するステップと、
第2の認証装置によって認証された通信装置の接続を第1のネットワークから第2のネットワークに切り替えるステップと、を備えた接続制御方法。
【請求項7】
物理的或は論理的に異なる第1のネットワークと第2のネットワークとを有するネットワークを介し、第1の認証装置、第2の認証装置及び接続制御装置が接続してなる認証ネットワークシステムに接続する通信装置であって、
第1の認証情報を読み取る読取部と、
読み取った第1の認証情報を前記第1のネットワークを介して前記第1の認証装置に送信する第1送信部と、
前記第1の認証装置から第2の認証情報を受信する受信部と、
第2の認証情報を前記第2の認証装置に送信する第2送信部と、
前記接続制御装置によって接続されたネットワークを介して他のノードと通信する通信部と、を備えた通信装置。
【請求項8】
物理的或は論理的に異なる第1のネットワークと第2のネットワークとを有するネットワークを介し、第1の認証装置、第2の認証装置及び接続制御装置が接続してなる認証ネットワークシステムに接続する通信装置が実行する方法であって、
前記接続制御装置の制御に応じて第1のネットワークに接続するステップと、
第1の認証情報を読み取るステップと、
読み取った第1の認証情報を第1のネットワークを介して前記第1の認証装置に送信するステップと、
前記第1の認証装置から第2の認証情報を受信するステップと、
第2の認証情報を前記第2の認証装置に送信するステップと、
前記ネットワークを介して他のノードと通信するステップと、を備える接続方法。
【請求項9】
物理的或は論理的に異なる第1のネットワークと第2のネットワークとを有するネットワークを介し、第1の認証装置、第2の認証装置及び接続制御装置が接続してなる認証ネットワークシステムに接続する通信装置が実行するプログラムであって、
前記接続制御装置の制御に応じて第1のネットワークに接続するステップと、
前記第1の認証情報を読み取るステップと、
読み取った第1の認証情報を第1のネットワークを介して前記第1の認証装置に送信するステップと、
前記第1の認証装置から第2の認証情報を受信するステップと、
第2の認証情報を前記第2の認証装置に送信するステップと、
前記ネットワークを介して他のノードと通信するステップと、を備えるプログラム。
【請求項10】
物理的或は論理的に異なる第1のネットワークと第2のネットワークとを有するネットワークを介し、第1の認証装置、第2の認証装置及び接続制御装置が接続してなる認証ネットワークシステムに接続する通信装置が実行するプログラムであって、
前記接続制御装置の制御に応じて第1のネットワークに接続するステップと、
第1の認証情報を読み取るステップと、
読み取った第1の認証情報を第1のネットワークを介して前記第1の認証装置に送信するプログラムモジュールに渡すステップと、
前記第1の認証装置から第2の認証情報を受信するステップと、
受信した第2の認証情報を前記第2の認証装置に送信するプログラムモジュールに渡すステップと、
前記ネットワークを介して他のノードと通信するステップと、を備えるプログラム。
【請求項1】
物理的或は論理的に異なる第1のネットワークと第2のネットワークとを有するネットワークを介し、第1の認証装置、第2の認証装置及び接続制御装置を接続してなる認証ネットワークシステムであって、
前記第1の認証装置が、
通信装置から前記第1のネットワークを介して第1の認証情報を受信する受信部と、
該第1の認証情報を予め登録されている情報と比較し、該第1の認証情報の認証或は非認証を判定する認証部と、
前記第1の認証情報を認証した場合に、第2の認証情報を通知する認証通知部と、を備え、
前記第2の認証装置が、
前記第2の認証情報を受信する受信部と、
該第2の認証情報を予め登録されている情報と比較し、該第2の認証情報の認証或は非認証を判定する認証部と、
前記第2の認証情報を認証した場合に、前記接続制御装置に通知する認証通知部と、を備え、
前記接続制御装置が、
認証前の前記通信装置を第1のネットワークに接続させる接続部と、
前記第2の認証装置から前記認証の通知を受信する受信部と、
第2の認証装置によって認証された通信装置の接続を第1のネットワークから第2のネットワークに切り替える接続切替部と、を備えた認証ネットワークシステム。
【請求項2】
前記第1の認証情報が前記通信装置を使用するユーザの生体情報であり、
前記第2の認証情報が識別情報及びパスワードである請求項1に記載の認証ネットワークシステム。
【請求項3】
前記通信装置が、
前記第1の認証情報を読み取る読取部と、
読み取った第1の認証情報を前記第1のネットワークを介して前記第1の認証装置に送信する第1送信部と、
前記第1の認証装置から第2の認証情報を受信する受信部と、
第2の認証情報を前記第2の認証装置に送信する第2送信部と、
前記接続制御装置によって接続されたネットワークを介して他のノードと通信する通信部と、
を備えた請求項1又は2に記載の認証ネットワークシステム。
【請求項4】
物理的或は論理的に異なる第1のネットワークと第2のネットワークとを有するネットワークを介し、第1の認証装置、第2の認証装置、及び通信装置と接続する接続制御装置であって、
認証前の前記通信装置を第1のネットワークに接続させる接続部と、
前記第2の認証装置から前記認証の通知を受信する受信部と、
第2の認証装置によって認証された通信装置の接続を第1のネットワークから第2のネットワークに切り替える接続切替部と、を備えた接続制御装置。
【請求項5】
物理的或は論理的に異なる第1のネットワークと第2のネットワークとを有するネットワークを介し、第1の認証装置、第2の認証装置及び接続制御装置を接続してなる認証ネットワークシステムが実行する方法であって、
前記第1の認証装置が、
通信装置から前記第1のネットワークを介して第1の認証情報を受信するステップと、
該第1の認証情報を予め登録されている情報と比較し、該第1の認証情報の認証或は非認証を判定するステップと、
前記第1の認証情報を認証した場合に、第2の認証情報を通知するステップと、を実行し、
前記第2の認証装置が、
前記第2の認証情報を受信するステップと、
該第2の認証情報を予め登録されている情報と比較し、該第2の認証情報の認証或は非認証を判定するステップと、
前記第2の認証情報を認証した場合に、前記接続制御装置に通知するステップと、を実行し、
前記接続制御装置が、
認証前の前記通信装置を第1のネットワークに接続させるステップと、
前記第2の認証装置から前記認証の通知を受信するステップと、
第2の認証装置によって認証された通信装置の接続を第1のネットワークから第2のネットワークに切り替えるステップと、を実行する接続制御方法。
【請求項6】
物理的或は論理的に異なる第1のネットワークと第2のネットワークとを有するネットワークを介し、第1の認証装置、第2の認証装置、及び通信装置と接続する接続制御装置が実行する方法であって、
認証前の前記通信装置を第1のネットワークに接続させるステップと、
前記第2の認証装置から前記認証の通知を受信するステップと、
第2の認証装置によって認証された通信装置の接続を第1のネットワークから第2のネットワークに切り替えるステップと、を備えた接続制御方法。
【請求項7】
物理的或は論理的に異なる第1のネットワークと第2のネットワークとを有するネットワークを介し、第1の認証装置、第2の認証装置及び接続制御装置が接続してなる認証ネットワークシステムに接続する通信装置であって、
第1の認証情報を読み取る読取部と、
読み取った第1の認証情報を前記第1のネットワークを介して前記第1の認証装置に送信する第1送信部と、
前記第1の認証装置から第2の認証情報を受信する受信部と、
第2の認証情報を前記第2の認証装置に送信する第2送信部と、
前記接続制御装置によって接続されたネットワークを介して他のノードと通信する通信部と、を備えた通信装置。
【請求項8】
物理的或は論理的に異なる第1のネットワークと第2のネットワークとを有するネットワークを介し、第1の認証装置、第2の認証装置及び接続制御装置が接続してなる認証ネットワークシステムに接続する通信装置が実行する方法であって、
前記接続制御装置の制御に応じて第1のネットワークに接続するステップと、
第1の認証情報を読み取るステップと、
読み取った第1の認証情報を第1のネットワークを介して前記第1の認証装置に送信するステップと、
前記第1の認証装置から第2の認証情報を受信するステップと、
第2の認証情報を前記第2の認証装置に送信するステップと、
前記ネットワークを介して他のノードと通信するステップと、を備える接続方法。
【請求項9】
物理的或は論理的に異なる第1のネットワークと第2のネットワークとを有するネットワークを介し、第1の認証装置、第2の認証装置及び接続制御装置が接続してなる認証ネットワークシステムに接続する通信装置が実行するプログラムであって、
前記接続制御装置の制御に応じて第1のネットワークに接続するステップと、
前記第1の認証情報を読み取るステップと、
読み取った第1の認証情報を第1のネットワークを介して前記第1の認証装置に送信するステップと、
前記第1の認証装置から第2の認証情報を受信するステップと、
第2の認証情報を前記第2の認証装置に送信するステップと、
前記ネットワークを介して他のノードと通信するステップと、を備えるプログラム。
【請求項10】
物理的或は論理的に異なる第1のネットワークと第2のネットワークとを有するネットワークを介し、第1の認証装置、第2の認証装置及び接続制御装置が接続してなる認証ネットワークシステムに接続する通信装置が実行するプログラムであって、
前記接続制御装置の制御に応じて第1のネットワークに接続するステップと、
第1の認証情報を読み取るステップと、
読み取った第1の認証情報を第1のネットワークを介して前記第1の認証装置に送信するプログラムモジュールに渡すステップと、
前記第1の認証装置から第2の認証情報を受信するステップと、
受信した第2の認証情報を前記第2の認証装置に送信するプログラムモジュールに渡すステップと、
前記ネットワークを介して他のノードと通信するステップと、を備えるプログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【公開番号】特開2007−280221(P2007−280221A)
【公開日】平成19年10月25日(2007.10.25)
【国際特許分類】
【出願番号】特願2006−107942(P2006−107942)
【出願日】平成18年4月10日(2006.4.10)
【出願人】(000005223)富士通株式会社 (25,993)
【Fターム(参考)】
【公開日】平成19年10月25日(2007.10.25)
【国際特許分類】
【出願日】平成18年4月10日(2006.4.10)
【出願人】(000005223)富士通株式会社 (25,993)
【Fターム(参考)】
[ Back to top ]