認証装置、認証方法およびプログラム
【課題】施設外におけるネットワーク上リソースへのアクセスや不特定多数者によるネットワーク接続を実効的に制限し、情報の漏洩を防止すること。
【解決手段】アクセス認証サーバ10は、ユーザに操作されるクライアント端末またはユーザを一意に識別するための識別情報が登録された認証管理データファイル16と、クライアントB30によるアクセス動作を監視し、アクセス動作があった場合に、識別情報を取得する監視部12と、取得した識別情報が認証管理データファイル16に登録されたユーザ情報と一致するか否かを照合する照合部13と、照合により一致した識別情報に対応するユーザについての施設への入退室状況を、ネットワークに接続され、施設へのユーザの入退室を管理する入退室管理システム200に対して照会する照会部14と、照会結果に基づいて、アクセス動作の許可又は拒否を決定する決定部15とを備えた。
【解決手段】アクセス認証サーバ10は、ユーザに操作されるクライアント端末またはユーザを一意に識別するための識別情報が登録された認証管理データファイル16と、クライアントB30によるアクセス動作を監視し、アクセス動作があった場合に、識別情報を取得する監視部12と、取得した識別情報が認証管理データファイル16に登録されたユーザ情報と一致するか否かを照合する照合部13と、照合により一致した識別情報に対応するユーザについての施設への入退室状況を、ネットワークに接続され、施設へのユーザの入退室を管理する入退室管理システム200に対して照会する照会部14と、照会結果に基づいて、アクセス動作の許可又は拒否を決定する決定部15とを備えた。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、ネットワーク上に存在するリソースへのアクセスやネットワークへの接続の認証を行う認証装置、認証方法およびプログラムに関する。
【背景技術】
【0002】
現在、パーソナルコンピュータ(PC)やワークステーション(WS)、サーバ等のコンピュータシステムは幅広く利用されており、企業、研究機関、学校、公的機関、官公庁等においても業務の大部分は複数のコンピュータシステムによって実現されている。上記のようなコンピュータシステムでは、社員、顧客等の個人情報のほか、新製品情報、技術情報、経営情報等のデータを管理保存しているため、これらのデータが漏洩することを防止する必要がある。
【0003】
他方で、近年、ブロードバンドの通信環境が普及し、外出先でもオフィスにいるときと同じように仕事ができるようになった。便利な反面、特に空港や電車内、コーヒーショップといった公共性の高い場所では情報が漏洩する危険性も高い。例えば通信の暗号化等の技術を用いて盗聴を防止しても、新製品のデザイン図といった一目でそれと判るものは、単にPC画面を覗き見られただけで漏れてしまうことも考えられる。現状では確実に漏洩を防ぐ手段がなく、データ扱い者に注意喚起するに留まっている。
【0004】
また近年、無線LAN等の無線通信によるネットワークが普及し、高い利便性がもたらされているが、反面、電波が届く範囲であればどこでも不特定多数の人が接続できてしまう脅威にさらされている。強度の高い暗号方式や認証手段もあるが、普及が追いついていないのが現状である。
【0005】
ところで、例えば特許文献1には、クライアント上のコンテンツデータに対してユーザがアクセスする際の認証方法として、以下のようなアクセス認証方法が開示されている。すなわち、該アクセス認証方法では、ダウンロードした環境に特有のクライアント固有情報を取得してそれを暗号化してパスワードファイルに書き込み、ダウンロードしたコンテンツデータからパスワード情報を抽出して暗号化しそれをパスワードファイルに書き込み、取得したクライアント固有情報と抽出したパスワード情報とがパスワードファイルに存在するかを調べることでアクセス認証を行う。
【0006】
【特許文献1】特開2003−242042号公報
【発明の開示】
【発明が解決しようとする課題】
【0007】
この特許文献1のアクセス認証方法は、ユーザの環境(クライアント)に関する情報を利用することにより、ユーザに一切の手間をかけることなく、クライアント上のコンテンツデータに対してユーザがアクセスする際の認証を可能とするものである。しかしながら、この従来技術では、先述したような、会社施設外でのリソースアクセスや不特定多数者による無線ネットワークへの接続に起因する情報漏洩に対応することは困難である。
【0008】
本発明は、上記に鑑みてなされたものであって、ブロードバンド通信や無線通信ネットワークが普及した通信環境において、施設外におけるネットワーク上リソースへのアクセスや不特定多数者によるネットワーク接続を実効的に制限し、情報の漏洩を防止することができる認証装置、認証方法およびプログラムを提供することを目的とする。
【課題を解決するための手段】
【0009】
上述した課題を解決し、目的を達成するために、本発明にかかる認証装置は、認証装置であって、ユーザに操作されるクライアント端末または前記ユーザを一意に識別するための識別情報が登録された認証管理データファイルを記憶する記憶部と、前記クライアント端末による所定のアクセス動作を監視し、前記クライアント端末からの前記アクセス動作があった場合に、前記識別情報を取得する監視部と、前記監視部によって取得した識別情報が前記認証管理データファイルに登録された識別情報と一致するか否かを照合する照合部と、前記取得した識別情報が前記登録された識別情報と一致する場合に、一致する前記識別情報のユーザについての施設への入退室状況を、前記ネットワークに接続され、前記施設へのユーザの入退室を管理する入退室管理システムに対して照会する照会部と、照会結果に基づいて、前記アクセス動作の許可又は拒否を決定する決定部と、を備えたことを特徴とする。
【0010】
本発明にかかる認証装置は、ユーザに操作されるクライアント端末を一意に識別するためのアドレス情報と、前記ユーザを一意に識別するためのユーザ情報と、ネットワークへの接続要求の可否を決定するための距離の範囲である許可範囲とが対応付けて登録された認証管理データファイルを記憶する記憶部と、前記クライアント端末による前記ネットワークへの接続要求を監視し、前記クライアント端末から前記ネットワークへの接続要求があった場合に、前記接続要求から、前記識別情報として前記クライアント端末の前記アドレス情報を抽出する監視部と、前記監視部によって取得したアドレス情報が前記認証管理データファイルに登録されたアドレス情報と一致するか否かを照合する照合部と、前記クライアント端末との間の距離を測定する測定部と、前記測定部により測定された距離が、照合により一致したアドレス情報に対応する前記許可範囲内であるか否かを判断し、前記測定された距離が前記許可範囲内であると判断した場合に、前記ネットワークへの接続の許可を決定し、前記測定された距離が前記許可範囲外であると判断した場合に、前記ネットワークへの接続の拒否を決定する決定部と、を備えたことを特徴とする。
また、本発明は、上記認証装置で実行される認証方法、プログラムである。
【発明の効果】
【0011】
本発明によれば、ブロードバンド通信や無線通信ネットワークが普及した通信環境において、施設外におけるネットワーク上リソースへのアクセスや不特定多数者によるネットワーク接続を実効的に制限し、情報の漏洩を防止することができるという効果を奏する。
【発明を実施するための最良の形態】
【0012】
以下に添付図面を参照して、この発明にかかる認証装置、認証方法およびプログラムの最良な実施の形態を詳細に説明する。
【0013】
(実施の形態1)
実施の形態1は、クライアントがネットワーク上のリソースにアクセスする際の認証を行うネットワーク認証システムである。図1は、実施の形態1のネットワーク認証システムを含むネットワーク構成の説明図である。本実施の形態のネットワーク認証システム100は、認証装置としてのアクセス認証サーバ10と、クライアントA20と、クライアントB30とから構成され、それぞれがネットワーク500に接続されている。また、ネットワーク認証システム100は、ネットワーク500を介して、ネットワーク500上のリソースである、入退室管理システム200、研究開発データベース300および品質管理データベース400と接続されている。
【0014】
研究開発データベース300及び品質管理データベース400は、ネットワーク上のリソースとして例示したものであり、これらに限定されるものではない。例えば、販売実績データベース、人事データベースといった他の分野のデータベースをリソースとして用いることもできる。また、本実施の形態では、研究開発データベース300のURLやファイル名等が、アクセス制限の対象のリソースであるアクセス制限対象リソースに関する情報としてアクセス認証サーバ10の認証管理データファイルに登録されている。また、品質管理データベース400は、アクセス制限対象リソースとしてサーバ400に登録されていない。認証管理データファイルの詳細については後述する。
【0015】
入退室管理システム200は、ユーザの施設への入退室を管理して、その入退室履歴データを保存するシステムである。入退室管理システム200は、例えば、ユーザとしての社員の社員証等のICカードをICカードリーダへ読み取らせ、社員に入退室を許可する場合に限り出入口のドアを開錠する管理を行い、社員の入退室履歴データを保存する等の処理を行う。入退室管理システム200は、ネットワーク500を介してネットワーク認証システム100と接続されており、アクセス認証サーバ10は、入退室管理システムにおける入退室状況としての入退室履歴データを取得することができる。
【0016】
図2は、実施の形態1におけるアクセス認証サーバ10の機能的構成を示したブロック図である。また、図2は、ネットワーク認証システム100における認証処理の際のデータの流れを矢印で示している。アクセス認証サーバ10は、図2に示すように、登録部11と、監視部12と、照合部13と、照会部14と、決定部15と、認証管理データファイル16とを主に備えている。
【0017】
認証管理データファイル16は、アクセス制限対象リソースに関する情報とアクセス権限を有するユーザのユーザ情報とを登録したデータファイルである。アクセス制限対象リソースに関する情報としては、例えば、アクセス制限対象リソースに関するURLやファイル名等の情報である。また、ユーザ情報は、ユーザを一意に識別するためのデータであり、たとえば、ID、パスワード等が該当する。また、ユーザ情報として、この他、指紋、声紋、網膜などの生体認証情報を用いてもよい。
【0018】
登録部11は、まず、空データからなる認証管理データファイル16をハードディスクドライブ装置(HDD)等の記憶媒体に生成し、ネットワーク管理者が操作するクライアントA20から入力されたアクセス制限対象リソースに関するURLやファイル名等の情報及びユーザ情報を認証管理データファイル16に登録する。ここで、ユーザ情報が認証管理データファイル16に登録されているユーザが、アクセス制限対象リソースへのアクセス権限を有するユーザとなる。
【0019】
また、本実施の形態では、上述したとおり、認証管理データファイル16に、アクセス制限対象リソースに関する情報として、研究開発データベース300のURLやファイル名等が登録されている。
【0020】
監視部12は、ネットワーク利用者が操作するクライアントB30によるネットワーク上リソースへのアクセス動作を監視する。アクセス制限対象のリソースへのアクセス動作を検出したとき、そのクライアントB30に対してユーザ情報の入力を促し、クライアントB30からのユーザ情報の入力を受け付ける。
【0021】
一方、監視部12は、アクセス制限対象リソース以外のリソースへのアクセス動作についてはユーザ情報の入力を要求しない。図2の例では、監視部12は、研究開発データベース300へのアクセス動作に対してユーザ情報の入力を要求し、品質管理データベース400へのアクセス動作に対しては入力の要求を行わない。
【0022】
照合部13は、監視部12での督促でクライアントB30から入力されたユーザ情報と一致するユーザ情報が認証管理データファイル16に登録されているか否かを照合することにより、入力されたユーザ情報のユーザが、認証管理データファイル16に登録されたユーザ情報のユーザかどうか、すなわちアクセス権限を有するユーザか否かを判定する。
【0023】
照会部14は、照合部13により、入力されたユーザ情報(アクセス制限対象リソースへのアクセスを行ったユーザのユーザ情報)が認証管理データファイル16に登録されたユーザ情報であると判定されたユーザの入退室履歴(入退室状況)について入退室管理システム200へ照会し、アクセス制限対象リソースへのアクセスを行ったユーザが、アクセスしたアクセス制限対象リソースが配置された施設内にいるかどうかを判定する。なお、照会部14は、ユーザが、アクセスしたアクセス制限対象リソースが配置された施設以外の他の特定の施設内に在室しているか否かを判定するように構成してもよい。
【0024】
決定部15は、照会部14による照会結果を受けて、アクセス制限対象リソースへのアクセスを行ったユーザが、アクセスを行ったアクセス制限対象リソースが配置されている施設内に存在している場合に、該アクセス動作に対する許可の決定を行い、そのユーザが操作するクライアント30Bに対してアクセス許可通知を発信する。
【0025】
次に、以上のように構成された実施の形態1のアクセス認証サーバ10による認証処理について説明する。図3は、実施の形態1の認証処理の手順を示したフローチャートである。
【0026】
まず、ネットワーク管理者は、アクセス制限対象リソースを特定し、特定されたアクセス制限対象リソース(特定リソース)とユーザ情報をネットワーク認証サーバ10の登録部11により登録しておく(ステップS11)。なお、ここでのアクセス制限とは、施設内に在室する者にしかリソースへのアクセス権限を与えないというものであり、本実施の形態では、全てのリソースが施設内でしかアクセスできないようになっている。
【0027】
そして、アクセス認証サーバ10の監視部12は、登録したアクセス制限対象リソース(特定リソース)へのクライアントB30からのアクセス動作を監視する(ステップS12)。アクセス動作の監視は、例えば、クライアントB30からアクセス制限対象リソースのデータベースへのアクセス要求コマンドの送信を監視すること等によって行うが、これに限定されるものではない。
【0028】
そして、クライアントB30からアクセス制限対象リソース(特定リソース)に対するアクセスがあった場合(ステップS13:Yes)、監視部12は、アクセスを行ったクライアントB30に対してユーザ情報の入力を要求する(ステップS14)。当該入力要求は、ユーザ情報の入力が実際にされるまで行う(ステップS15:No)。
【0029】
続いて、ネットワーク認証サーバ10の監視部12は、クライアントB30からのユーザ情報の入力を受け付けて(ステップS15:Yes)、照合部13は、入力されたユーザ情報と一致するユーザ情報が認証管理データファイル16に登録されているか否か、すなわちアクセス権限を与えられたユーザかどうかの照合を行う(ステップS16)。
【0030】
そして、アクセス権限のあるユーザと判定された場合には(ステップS16:Yes)照会部14は、そのユーザに関する施設への入退室履歴を入退室管理システム200に照会する(ステップS17)。一方、ステップS16で、入力されたユーザ情報と一致するユーザ情報が認証管理データファイル16に登録されていない場合、すなわちアクセス権限のあるユーザではないと判定された場合には(ステップS16:No)、決定部15は、アクセス制限対象リソース(特定リソース)へのアクセスを拒否する決定を行い、該拒否決定をクライアントB30へ通知する(ステップS20)。
【0031】
そして、ステップS17で入退室管理システムへ照会した結果、アクセスを行ったユーザが、アクセス制限対象リソースが配置されている施設内にいることが確認された場合(ステップS18:Yes)、決定部15は、アクセス制限対象リソース(特定リソース)へのアクセスを許可する決定を行い、該ユーザに許可決定を通知する(ステップS19)。一方、ステップS18において、アクセスを行ったユーザが、アクセス制限対象リソースが配置された施設外にいることが確認された場合(ステップS18:No)、決定部15は、アクセス制限対象リソース(特定リソース)へのアクセスを拒否する決定を行い、該拒否決定をクライアントへ通知する(ステップS20)。
【0032】
このように実施の形態1のネットワーク認証システム100では、クライアントB30からアクセス制限対象リソースへのアクセス動作があった場合に、クライアントB30からユーザ情報の入力を受け付け、認証管理データファイル16に登録されたユーザ情報と、クライアントB30から入力を受け付けたユーザ情報とが一致するか否かを照合し、照合により一致したユーザ情報のユーザについての入退室履歴を、入退室管理システム200に対して照会する。そして、アクセス制限対象リソースへのアクセスを行ったユーザが当該施設に在室している場合に、アクセス制限対象リソースへのアクセスの許可を決定し、当該施設に在室していない場合に、アクセス制限対象リソースへのアクセスの拒否を決定しているので、ブロードバンド通信や無線通信ネットワークが普及した通信環境において、施設外におけるネットワーク上リソースへのアクセスや不特定多数者によるネットワーク接続を実効的に制限し、情報の漏洩を防止することができる。
【0033】
なお、実施の形態1では、アクセス制限の内容として、全てのリソースが施設内でしかアクセスできないようにしていたが、ある特定のリソースに限定して施設内でのアクセスを許可したり、リソースごとに施設の特定の場所でのアクセスを許可して認証処理を行うように構成してもよい。
【0034】
(実施の形態2)
実施の形態2では、ある特定のリソースについて施設外でのアクセスを禁止したり、リソースごとに施設の特定の場所でのアクセスを拒否するものである。
【0035】
本実施の形態のネットワーク認証システムのネットワーク構成については実施の形態1と同様である。図4は、実施の形態2のアクセス認証サーバの機能的構成を示すブロック図である。アクセス認証サーバ410は、図4に示すように、登録部11と、監視部12と、照合部13と、照会部14と、決定部405と、認証管理データファイル406とを主に備えている。ここで、登録部11、監視部12、照合部13、照会部14の機能および構成については実施の形態1と同様である。
【0036】
認証管理データファイル406は、ユーザ情報と、アクセス制限対象リソースと、許可エリアと、不許可エリアとを対応付けて登録したデータファイルである。ここで、許可エリア、不許可エリアは、所定の施設内のエリアであるが、これに限定されるものではない。図5は、実施の形態2の認証管理データファイル406の一例を示す説明図である。図5に示す例では、例えば、ユーザ情報「ID0001」のユーザは、許可エリア「エリアA」に在室している場合にリソース「研究開発データベース」に対してアクセスが許可され、不許可エリア「エリアC」に在室している場合にリソース「研究開発データベース」に対してアクセスが拒否されることを示している。
【0037】
決定部405は、この認証管理データベース406を参照して、照会部14によりユーザが、アクセスしたアクセス制限対象リソースに対応する許可エリアに在室することが判明した場合あるいは不許可エリア外にいることが判明した場合に、アクセス制限対象リソースへのアクセスの許可を決定する。また、決定部405は、認証管理データベース406を参照して、照会部14によりユーザが、アクセスしたアクセス制限対象リソースに対応する不許可エリアに在室することが判明した場合あるいは許可エリア外にいることが判明した場合に、アクセス制限対象リソースへのアクセスの拒否を決定する。
【0038】
次に、以上のように構成された実施の形態2のアクセス認証サーバ410による認証処理にについて説明する。図6は、実施の形態2において、ユーザが所定の許可エリアに在室している場合にアクセスを許可する認証処理の手順を示したフローチャートである。
【0039】
まず、ネットワーク管理者は、登録部11により、アクセス制限対象リソース(特定リソース)、ユーザ情報、許可エリアを対応付けて認証管理データベース406に登録しておく(ステップS31)。許可エリアを登録することで、ユーザがアクセス制限対象リソース(特定リソース)へのアクセスを行う場所について、同一会社内の施設というだけではなく、例えば研究所や開発事業所等の特定の建屋、フロアに限定することが可能となる。
【0040】
ステップS32のアクセス動作の監視から、ステップS37の入退室管理システム200への照会までの処理については、実施の形態1の認証処理におけるステップS12からS17までの処理と同様に行われる。
【0041】
そして、ステップS37で入退室管理システムへ照会した結果、アクセスを行ったユーザが、アクセスしたアクセス制限対象リソースに対応する許可エリアに在室していることが確認された場合(ステップS38:Yes)、決定部405は、アクセス制限対象リソース(特定リソース)へのアクセスを許可する決定を行い、該ユーザに許可決定を通知する(ステップS49)。一方、ステップS38において、アクセスを行ったユーザが、アクセス制限対象リソースに対応する許可エリア外にいることが確認された場合(ステップS38:No)、決定部405は、アクセス制限対象リソース(特定リソース)へのアクセスを拒否する決定を行い、該拒否決定をクライアントへ通知する(ステップS40)。
【0042】
図7は、実施の形態2において、ユーザが所定の不許可エリアに在室している場合にアクセスを拒否する認証処理の手順を示したフローチャートである。
【0043】
まず、ネットワーク管理者は、登録部11により、アクセス制限対象リソース(特定リソース)、ユーザ情報、不許可エリアを対応付けて認証管理データベース406に登録しておく(ステップS51)。不許可エリアを登録することで、ユーザが特定リソースへのアクセスを行う場所について、重点的に禁止したいエリアを指定してアクセス制限を行うことが可能となる。
【0044】
ステップS52のアクセス動作の監視から、ステップS57の入退室管理システム200への照会までの処理については、実施の形態1の認証処理におけるステップS12からS17までの処理と同様に行われる。
【0045】
そして、ステップS57で入退室管理システムへ照会した結果、アクセスを行ったユーザが、アクセスしたアクセス制限対象リソースに対応する不許可エリア外にいることが確認された場合(ステップS58:No)、決定部405は、アクセス制限対象リソース(特定リソース)へのアクセスを許可する決定を行い、該ユーザに許可決定を通知する(ステップS59)。一方、ステップS58において、アクセスを行ったユーザが、アクセス制限対象リソースに対応する不許可エリアに在室していることが確認された場合(ステップS58:Yes)、決定部405は、アクセス制限対象リソース(特定リソース)へのアクセスを拒否する決定を行い、該拒否決定をクライアントへ通知する(ステップS60)。
【0046】
このように実施の形態2のネットワーク認証システムでは、認証管理データファイル406に、ユーザ情報毎にアクセス制限対象リソースに対応付けて、アクセス制限対象リソースへのアクセスを許可する許可エリアを登録しておき、決定部405によって、アクセス権限のあるユーザが、アクセスしたアクセス制限対象リソースに対応する許可エリアに在室することが判明した場合に、アクセス制限対象リソースへのアクセスの許可を決定しているので、ユーザがアクセス制限対象リソース(特定リソース)へのアクセスを行う場所について、同一会社内の施設というだけではなく、例えば研究所や開発事業所等の特定の建屋、フロアに限定することが可能となる。
【0047】
また、実施の形態2のネットワーク認証システムでは、認証管理データファイル406に、ユーザ情報毎にアクセス制限対象リソースに対応付けて、アクセス制限対象リソースへのアクセスを拒否する不許可エリアを登録しておき、決定部405によって、アクセス権限のあるユーザが、アクセスしたアクセス制限対象リソースに対応する不許可エリアに在室することが判明した場合に、アクセス制限対象リソースへのアクセスの拒否を決定しているので、ユーザがアクセス制限対象リソース(特定リソース)へのアクセスを行う場所について、重点的に禁止したいエリアを指定してアクセス制限を行うことが可能となる。
【0048】
従って、実施の形態2のネットワーク認証システムによれば、会社以外の場所での不用意な操作で、機密性の高い情報が漏れてしまうことを防ぐことが可能となる。また、部外者のなりすましによる情報漏洩を防止することができる。
【0049】
(実施の形態3)
実施の形態3のネットワーク認証システムは、無線LANにおいてクライアント端末としての第1無線通信端末(PC)が第2無線通信端末(アクセスポイント)を介してネットワーク接続する際の認証を行うものである。
【0050】
図8は、実施の形態3のネットワーク認証システムを含むネットワーク構成を示す説明図である。本実施の形態のネットワーク認証システム110は、第2無線通信端末50と、第1無線通信端末60とから構成され、第2無線通信端末50が無線LANのネットワーク600を介して、クライアントA20と入退室管理システム200とに接続されている。
【0051】
入退室管理システム200は、実施形態1と同様のシステムで、ネットワーク600を介して第2無線通信端末50と接続されており、第2無線通信端末50は、入退室管理システムにおける入退室履歴データを取得することができる。
【0052】
図9は、実施の形態2の第2無線通信端末50の機能的構成を示すブロック図である。また、図9では、認証処理におけるデータの流れを矢印で示している。第2無線通信端末50は、図9に示すように、登録部51と、監視部52と、照合部53と、照会部54と、決定部55と、認証管理データファイル56とを主に備えている。なお、第2無線通信端末50は、無線LANを利用して基幹ネットワークへ接続する例においてアクセスポイントに相当し、第1無線通信端末60は、PC(Personal Computer)に相当する。
【0053】
認証管理データファイル56は、第1無線通信端末60を一意に識別するための物理アドレスと第1無線通信端末60を操作するユーザのユーザ情報とを対応付けて登録したデータファイルである。
【0054】
登録部51は、まず、空データからなる認証管理データファイル56をHDD等の記憶媒体に生成し、ネットワーク管理者が操作する第1無線通信端末60からの入力により、接続を許可する第1無線通信端末60の物理アドレス及び第1無線通信端末60のユーザのユーザ情報とを対応付けて、認証管理データファイル56に登録する。ここで、ユーザ情報については実施の形態1と同様である。
【0055】
監視部52は、第1無線通信端末60によるネットワーク接続動作を監視する。また、監視部52は、第1無線通信端末60からの接続要求を検出したとき、その要求信号から物理アドレスを抽出する。
【0056】
照合部53は、監視部52で抽出された物理アドレスと一致する物理アドレスが認証管理データファイル56に登録されているか否かを照合し、第1無線通信端末60が認証管理データファイル56に登録されている第1無線通信端末60かどうかを判定する。
【0057】
照会部54は、照合部53で認証管理データファイル56に登録されていると判定された第1無線通信端末60に対応するユーザ情報を、認証管理データファイル56を参照して特定する。そして、照会部54は、特定されたユーザ情報のユーザの入退室履歴について入退室管理システム200へ照会し、ネットワーク接続要求を行った第1無線通信端末60のユーザが所定の施設内にいるかどうかを判定する。ここで、所定の施設は、任意に定めることができる。
【0058】
決定部55は、照会部54による照会結果を受けて、ネットワーク接続要求を行った無線通信端末60のユーザが所定の施設内にいる場合に、この接続要求動作に対する許可の決定を行い、そのユーザが操作する第1無線通信端末60に対して接続許可通知を発信する。
【0059】
次に、以上のように構成された実施の形態3の第2無線通信端末50による認証処理について説明する。図10は、実施の形態3の認証処理の手順を示したフローチャートである。
【0060】
まず、ネットワーク管理者は、第2無線通信端末50の登録部51により、第1無線通信端末60の物理アドレスと第1無線通信端末60のユーザのユーザ情報とを対応付けて認証管理データファイル56に登録しておく(ステップS71)。そして、第2無線通信端末50の監視部52は、第1無線通信端末60のネットワーク接続要求動作を監視し(ステップS72)、ネットワーク接続要求があった場合(ステップS73:Yes)、接続要求元である第1無線通信端末60の物理アドレスをネットワーク接続要求の信号から抽出する(ステップS74)。
【0061】
続いて、第2無線通信端末50の照合部53は、監視部52が抽出した物理アドレスと一致する物理アドレスが認証管理データファイル56に登録済みか否かを照合する(ステップS75)。そして、抽出した物理アドレスが認証管理データファイル56に登録済みのアドレスと判定された場合には(ステップS75:Yes)、照会部54は、その第1無線通信端末60のユーザに関する施設への入退室履歴を入退室管理システムに照会する(ステップS76)。
【0062】
一方、ステップS75において、抽出した物理アドレスが認証管理データファイル56に登録済みでないと判定された場合には(ステップS75:No)、決定部55は、ネットワーク接続要求を拒否する決定を行い、該拒否決定を第1無線通信端末60へ通知する(ステップS79)。
【0063】
そして、ステップS76で入退室管理システム200へ照会した結果、接続要求を行った第1無線通信端末60のユーザが施設内に在室していることが確認された場合には(ステップS77:Yes)、決定部55は、ネットワーク接続要求を許可する決定を行い、第1無線通信端末60に許可決定を通知する(ステップS78)。
【0064】
一方、ステップS77において、ネットワーク接続要求を行った第1無線通信端末60のユーザが施設外にいることが確認された場合には(ステップS77:No)、決定部55は、ネットワーク接続要求を拒否する決定を行い、第1無線通信端末60に拒否決定を通知する(ステップS79)。
【0065】
このように実施の形態3のネットワーク認証システムでは、第1無線通信端末60からネットワーク600への接続要求があった場合に、接続要求から、第1無線通信端末60の物理アドレスを抽出し、照合部53が、認証管理データファイル56に登録された物理アドレスと抽出した物理アドレスとが一致するか否かを照合し、照合により一致した物理アドレスに対応するユーザ情報のユーザが所定の施設に在室していると判定された場合に、第1無線通信端末60によるネットワークへの接続の許可を決定し、ユーザが所定の施設に在室していないと判定された場合に、第1無線通信端末60によるネットワークへの接続の拒否を決定している。このため、本実施の形態によれば、会社以外の場所での不用意な操作で、機密性の高い情報が漏れてしまうことを防ぐことが可能となる。また、部外者のなりすましによる情報漏洩を防止することができる。
【0066】
また、本実施の形態によれば、管理範囲外へ電波が届いてしまう環境でも、部外者によるネットワーク接続を防止することが可能となる。その際に強度の高い暗号方式や認証手段を導入する必要がない。
【0067】
また、本実施の形態によれば、同一会社内であってもアクセスや無線接続を許可するエリアを実用に応じて詳細に設定でき、利便性を損なわずに安全性を高めることが可能となる。
【0068】
また、本実施の形態によれば、会社内であってもアクセスや無線接続を許可しないエリアが設定でき、実用に応じた運用が可能となる。
【0069】
なお、ネットワークへの接続制限の内容として、第1無線通信端末ごとに異なる接続制限を設けても良く、また施設における所定エリアごとに異なる接続制限を行うように構成してもよい。
【0070】
(実施の形態4)
実施の形態4は、施設や特定エリアへの在室あるいは不在に基づいて接続を許可したり拒否するものである。
【0071】
本実施の形態のネットワーク認証システムのネットワーク構成については実施の形態3と同様である。図11は、実施の形態4の第2無線通信端末の機能的構成を示すブロック図である。第2無線通信端末1150は、図11に示すように、登録部51と、監視部52と、照合部53と、照会部54と、決定部1155と、認証管理データファイル1156とを主に備えている。ここで、登録部51、監視部52、照合部53、照会部54の機能および構成については実施の形態3と同様である。
【0072】
認証管理データファイル1156は、ユーザ情報と、当該ユーザ情報のユーザが操作する第1無線通信端末60の物理アドレスと、許可エリアと、不許可エリアとを対応付けて登録したデータファイルである。登録部51がネットワーク管理者からの入力により、ユーザ情報、物理アドレス、許可エリア、不許可エリアを登録する。ここで、許可エリア、不許可エリアは、所定の施設内の任意のエリアであるが、これに限定されるものではない。また、物理アドレスは本実施の形態ではMACアドレスを用いているが、これに限定されるものではない。図12は、実施の形態4の認証管理データファイル1156の一例を示す説明図である。図12に示す例では、例えば、ユーザ情報「ID0001」のユーザは、物理アドレス「00007naabbcc」の第1無線通信端末60を操作し、許可エリア「エリアA」に在室している場合に、第1無線通信端末60でネットワーク接続が許可され、不許可エリア「エリアB」に在室している場合に第1無線通信端末60でのネットワーク接続が拒否されることを示している。
【0073】
決定部1155は、この認証管理データベース1156を参照して、照会部14によりユーザがユーザ情報に対応する許可エリアに在室することが判明した場合あるいは不許可エリア外にいることが判明した場合に、ネットワーク接続の許可を決定する。また、決定部1155は、認証管理データベース1156を参照して、照会部14によりユーザがユーザ情報に対応する不許可エリアに在室することが判明した場合あるいは許可エリア外にいることが判明した場合に、ネットワーク接続の拒否を決定する。
【0074】
次に、以上のように構成された実施の形態4の第2無線通信端末1150による認証処理にについて説明する。図13は、実施の形態4において、ユーザが所定の許可エリアに在室している場合にネットワーク接続を許可する認証処理の手順を示したフローチャートである。
【0075】
まず、ネットワーク管理者は、登録部51により、ユーザ情報、物理アドレス、許可エリアを対応付けて認証管理データベース1156に登録しておく(ステップS91)。許可エリアを登録することで、ユーザがネットワークへの接続を行う場所について、同一会社内の施設というだけではなく、例えば研究所や開発事業所等の特定の建屋、フロアに限定することが可能となる。
【0076】
ステップS92のアクセス動作の監視から、ステップS96の入退室管理システム200への照会までの処理については、実施の形態3の認証処理におけるステップS72からS76までの処理と同様に行われる。
【0077】
そして、ステップS96で入退室管理システム200へ照会した結果、接続要求を行った第1無線通信端末60のユーザがユーザ情報に対応する許可エリアに在室していることが確認された場合には(ステップS97:Yes)、決定部1155は、ネットワーク接続要求を許可する決定を行い、第1無線通信端末60に許可決定を通知する(ステップS98)。
【0078】
一方、ステップS97において、ネットワーク接続要求を行った第1無線通信端末60のユーザがユーザ情報に対応する許可エリア外にいることが確認された場合には(ステップS97:No)、決定部1155は、ネットワーク接続要求を拒否する決定を行い、第1無線通信端末60に拒否決定を通知する(ステップS99)。
【0079】
図14は、実施の形態4において、ユーザが所定の不許可エリアに在室している場合にネットワーク接続を拒否する認証処理の手順を示したフローチャートである。
【0080】
まず、ネットワーク管理者は、登録部51により、ユーザ情報、物理アドレス、不許可エリアを対応付けて認証管理データベース1156に登録しておく(ステップS111)。不許可エリアを登録することで、ユーザがネットワークへの接続を行う場所について、重点的に禁止したいエリアを指定して接続制限を行うことが可能となる。
【0081】
ステップS112のアクセス動作の監視から、ステップS116の入退室管理システム200への照会までの処理については、実施の形態3の認証処理におけるステップS72からS76までの処理と同様に行われる。
【0082】
そして、ステップS116で入退室管理システム200へ照会した結果、接続要求を行った第1無線通信端末60のユーザがユーザ情報に対応する不許可エリア外にいることが確認された場合には(ステップS117:No)、決定部1155は、ネットワーク接続要求を許可する決定を行い、第1無線通信端末60に許可決定を通知する(ステップS118)。
【0083】
一方、ステップS117において、ネットワーク接続要求を行った第1無線通信端末60のユーザがユーザ情報に対応する不許可エリアに在室していることが確認された場合には(ステップS117:Yes)、決定部1155は、ネットワーク接続要求を拒否する決定を行い、第1無線通信端末60に拒否決定を通知する(ステップS119)。
【0084】
このように実施の形態4のネットワーク認証システムでは、認証管理データファイル1156に、ユーザ情報毎にネットワーク接続を許可する許可エリアを登録しておき、決定部1155によって、アクセス権限のあるユーザが、ユーザ情報に対応する許可エリアに在室することが判明した場合に、当該ユーザの第1無線通信端末60によるネットワーク接続の許可を決定しているので、ユーザがネットワーク接続を行う場所について、同一会社内の施設というだけではなく、例えば研究所や開発事業所等の特定の建屋、フロアに限定することが可能となる。
【0085】
また、実施の形態4のネットワーク認証システムでは、認証管理データファイル1156に、ユーザ情報毎にネットワーク接続を拒否する不許可エリアを登録しておき、決定部1155によって、アクセス権限のあるユーザが、ユーザ情報に対応する不許可エリアに在室することが判明した場合に、当該ユーザの第1無線通信端末60によるネットワーク接続の拒否を決定しているので、ユーザがネットワーク接続を行う場所について、重点的に禁止したいエリアを指定してアクセス制限を行うことが可能となる。
【0086】
従って、実施の形態4のネットワーク認証システムによれば、会社以外の場所での不用意な操作で、機密性の高い情報が漏れてしまうことを防ぐことが可能となる。また、部外者のなりすましによる情報漏洩を防止することができる。
【0087】
(実施の形態5)
実施の形態5のネットワーク認証システムは、実施の形態3のネットワーク認証システムの機能の他に、さらに、第1無線通信端末60と第2無線通信端末との距離が所定の許可範囲内で有る場合に、ネットワーク接続の可否を決定するものである。
【0088】
本実施の形態のネットワーク認証システムのネットワーク構成については実施の形態3と同様である。図15は、実施の形態5の第2無線通信端末の機能的構成を示すブロック図である。第2無線通信端末1550は、図15に示すように、登録部51と、監視部52と、測定部1557と、照合部53と、照会部54と、決定部1555と、認証管理データファイル1556とを主に備えている。ここで、登録部51、照合部53、照会部54の機能および構成については実施の形態3と同様である。
【0089】
認証管理データファイル1556は、ユーザ情報と、ユーザが操作する第1無線通信端末60の物理アドレスと、許可範囲とが対応付けられて登録されたデータファイルである。登録部51がネットワーク管理者からの入力により、ユーザ情報、物理アドレス、許可範囲を登録する。ここで、許可範囲は、ネットワークへの接続要求の可否判断処理を行うか否かを判断するための距離の範囲である。本実施の形態では、物理アドレスとしてMACアドレスを用いているが、これに限定されるものではない。
【0090】
図16は、実施の形態5の認証管理データファイル1556のデータの一例を示す説明図である。認証管理データファイル1556は、図16の例では、ユーザ情報「ID0001」のユーザが操作する第1無線通信端末60の物理アドレスは「00007naabbcc」であり、この第1無線通信端末60と第2無線通信端末1550との距離が、許可範囲である「10m以下」である場合に、第1無線通信端末60によるネットワーク接続の可否が判断される。言い換えれば、第1無線通信端末60と第2無線通信端末1550との距離が10mより大きい場合には、第1無線通信端末60によるネットワーク接続は拒否されることになる。
【0091】
測定部1557は、第1無線通信端末60からネットワークへの接続要求があった場合に、第1無線通信端末60と第2無線通信端末1550の間の距離を測定する。ここで、第1無線通信端末60と第2無線通信端末1550の間の距離の測定は、RSSI(Received Signal Strength Indication)方式などの公知の技術を用いて行う。
【0092】
決定部1555は、第1無線通信端末60からネットワークへの接続要求があった場合に、認証管理データファイル1556を参照して、測定部1557により測定された距離が、当該第1無線通信端末60に対応する許可範囲内であるか否かを判断する。そして、決定部1555は、測定部1557により測定された距離が、当該第1無線通信端末60に対応する許可範囲外である場合には、第1無線通信端末60のネットワーク接続の拒否を決定する。
【0093】
監視部52は、第1無線通信端末60からのネットワーク接続要求を監視し、第1無線通信端末60からネットワークへの接続要求があった場合に、決定部1555により、測定した距離が許可範囲内である場合に、前記接続要求から、前記識別情報として前記クライアント端末の前記アドレス情報を抽出する。
【0094】
次に、以上のように構成された実施の形態5の第2無線通信端末1550による認証処理について説明する。図17は、実施の形態5の認証処理の手順を示したフローチャートである。
【0095】
まず、ネットワーク管理者は、第2無線通信端末1550の登録部51により、第1無線通信端末60の物理アドレスと、第1無線通信端末60のユーザのユーザ情報と、許可範囲とを対応付けて認証管理データファイル1556に登録しておく(ステップS131)。そして、第2無線通信端末1550の監視部52は、第1無線通信端末60のネットワーク接続要求動作を監視し(ステップS132)、ネットワーク接続要求があった場合(ステップS133:Yes)、測定部1557が、自己(第2無線通信端末1550)と接続要求を行った第1無線通信端末60との距離を測定する(ステップS134)。
【0096】
次に、決定部1555は、認証管理データファイル1556を参照して、測定された距離が、第1無線通信端末60に対応する許可範囲内か否かを判断し(ステップS135)、許可範囲外である場合には(ステップS135:No)、第1無線通信端末60のネットワーク接続要求を拒否する決定を行い、該拒否決定を第1無線通信端末60へ通知する(ステップS141)。
【0097】
一方、ステップS135において、測定された距離が許可範囲内である場合には(ステップS135:Yes)、接続要求元である第1無線通信端末60の物理アドレスをネットワーク接続要求の信号から抽出する(ステップS136)。
【0098】
これ以降のステップS136からS141までの処理については、実施の形態3の認証処理におけるステップS75からS79までの処理と同様に行われる。
【0099】
このように実施の形態5のネットワーク認証システムでは、第1無線通信端末60からネットワークへの接続要求があった場合に、測定された距離が当該第1無線通信端末60に対応する許可範囲内であるか否かを判断し、許可範囲外である場合には、第1無線通信端末60のネットワーク接続の拒否を決定している。このため、本実施の形態によれば、第1無線通信端末60が第2無線通信端末50との距離に基づいて、より効果的に、施設外におけるネットワーク上リソースへのアクセスや不特定多数者によるネットワーク接続を実効的に制限し、情報の漏洩を防止することができる。
【0100】
(実施の形態6)
実施の形態6は、第1無線通信端末60からネットワーク接続要求があった場合に、入退室管理システムへの照会を行わずに、第1無線通信端末60と第2無線通信端末との距離のみで、ネットワーク接続の許可または拒否を決定するものである。
【0101】
本実施の形態のネットワーク認証システムのネットワーク構成については実施の形態3から入退室管理システム200を除いた構成と同様である。図18は、実施の形態6の第2無線通信端末の機能的構成を示すブロック図である。第2無線通信端末1850は、図18に示すように、登録部51と、監視部52と、測定部1857と、照合部53と、決定部1855と、認証管理データファイル1856とを主に備えている。ここで、登録部51、監視部52、照合部53の機能および構成については実施の形態3と同様である。なお、本実施の形態の第2無線通信端末1850には、実施の形態3〜5と異なり、照会部は設けられていない。
【0102】
認証管理データファイル1856は、ユーザ情報と、ユーザが操作する第1無線通信端末60の物理アドレスと、許可範囲とが対応付けられて登録されたデータファイルである。登録部51が、ネットワーク管理者からの入力により、ユーザ情報、物理アドレス、許可範囲を登録する。ここで、許可範囲は、ネットワークへの接続要求の許可または拒否を決定するための距離の範囲である。本実施の形態では、物理アドレスとしてMACアドレスを用いているが、これに限定されるものではない。
【0103】
本実施の形態の認証管理データファイル1856のデータの例は、実施の形態5で説明した図16の例と同様である。認証管理データファイル1856は、図16の例では、ユーザ情報「ID0001」のユーザが操作する第1無線通信端末60の物理アドレスは「00007naabbcc」であり、この第1無線通信端末60と第2無線通信端末1850との距離が、許可範囲である「10m以下」である場合に、第1無線通信端末60によるネットワーク接続が許可され、第1無線通信端末60と第2無線通信端末1850との距離が10mより大きい場合には、第1無線通信端末60によるネットワーク接続は拒否される。
【0104】
測定部1857は、第1無線通信端末60と第2無線通信端末1850の間の距離を測定する。
【0105】
決定部1855は、ネットワーク接続要求を行った第1無線通信端末60の物理アドレスが認証管理データファイル1856に登録されたものであった場合、認証管理データファイル1856を参照して、測定部1857により測定された距離が、当該第1無線通信端末60に対応する許可範囲内であるか否かを判断する。そして、決定部1855は、測定部1857により測定された距離が、当該第1無線通信端末60に対応する許可範囲内である場合には、第1無線通信端末60のネットワーク接続の許可を決定する。一方、決定部1855は、測定部1857により測定された距離が、当該第1無線通信端末60に対応する許可範囲外である場合には、第1無線通信端末60のネットワーク接続の拒否を決定する。
【0106】
次に、以上のように構成された実施の形態6の第2無線通信端末1850による認証処理について説明する。図19は、実施の形態6の認証処理の手順を示したフローチャートである。
【0107】
まず、ネットワーク管理者は、第2無線通信端末1850の登録部51により、第1無線通信端末60の物理アドレスと第1無線通信端末60のユーザのユーザ情報と、許可範囲とを対応付けて認証管理データファイル1856に登録しておく(ステップS151)。そして、第2無線通信端末1850の監視部52は、第1無線通信端末60のネットワーク接続要求動作を監視し(ステップS152)、ネットワーク接続要求があった場合(ステップS153:Yes)、接続要求元である第1無線通信端末60の物理アドレスをネットワーク接続要求の信号から抽出する(ステップS154)。
【0108】
続いて、第2無線通信端末1850の照合部53は、監視部52が抽出した物理アドレスと一致する物理アドレスが認証管理データファイル56に登録済みか否かを照合する(ステップS155)。そして、抽出した物理アドレスが認証管理データファイル1856に登録済みでないと判定された場合には(ステップS155:No)、決定部1855は、ネットワーク接続要求を拒否する決定を行い、該拒否決定を第1無線通信端末60へ通知する(ステップS159)。
【0109】
一方、抽出した物理アドレスが認証管理データファイル1856に登録済みのアドレスと判定された場合には(ステップS155:Yes)、測定部1857により、ネットワーク接続要求を行った第1無線通信端末60と自己(第2無線通信端末1850)との距離を測定する(ステップ156)。
【0110】
次に、決定部1855は、認証管理データファイル1856を参照して、測定された距離が、第1無線通信端末60に対応する許可範囲内か否かを判断し(ステップS157)、許可範囲外である場合には(ステップS157:No)、第1無線通信端末60のネットワーク接続要求を拒否する決定を行い、該拒否決定を第1無線通信端末60へ通知する(ステップS159)。
【0111】
一方、測定された距離が、第1無線通信端末60に対応する許可範囲内である場合には(ステップS157:Yes)、第1無線通信端末60のネットワーク接続要求を拒否する決定を行い、該拒否決定を第1無線通信端末60へ通知する(ステップS158)。
【0112】
このように実施の形態6のネットワーク認証システムでは、決定部1855が、ネットワーク接続要求を行った第1無線通信端末60の物理アドレスが認証管理データファイル1856に登録されたものであった場合であって、測定部1857により測定された距離が、当該第1無線通信端末60に対応する許可範囲内である場合には、第1無線通信端末60のネットワーク接続の許可を決定する。また、決定部1855は、測定部1857により測定された距離が、当該第1無線通信端末60に対応する許可範囲外である場合には、第1無線通信端末60のネットワーク接続の拒否を決定する。このため、本実施の形態によれば、第1無線通信端末60が第2無線通信端末50との距離のみに基づいて、施設外におけるネットワーク上リソースへのアクセスや不特定多数者によるネットワーク接続を実効的に制限し、情報の漏洩を防止することができる。
【0113】
なお、上述する実施形態は、本発明の好適な実施形態であり、上記実施形態のみに本発明の範囲を限定するものではなく、本発明の要旨を逸脱しない範囲において種々の変更を施した形態での実施が可能である。
【0114】
例えば、実施の形態5および6では、第2無線通信端末1550と第1無線通信端末60の距離に基づいてネットワーク接続の可否を判定しているが、この他、第3無線通信端末と第4無線通信端末とを設け、第3無線通信端末と第4無線通信端末とを連携させることにより、第1無線通信端末60が特定のエリア内に存在するか否かを判定することにより、ネットワーク接続の可否を決定するように構成してもよい。この場合、第3無線通信端末と第4無線通信端末の連携とは、各々で第1無線通信端末60との距離を測定し、その測定結果を合成すること等が考えられる。この場合、第3無線通信端末と第4無線通信端末の設置位置は予め定められていることが前提となる。
【0115】
すなわち、上記した実施形態におけるネットワーク認証サーバや第2無線通信端末は、プログラムの命令によりコンピュータで実行される処理、手段、機能によって動作する。当該プログラムは、コンピュータの各構成要素に指令を送り、先に述べたような所定の処理や機能、例えば、ネットワーク認証サーバにおいて、監視部により、特定リソースへのアクセス動作を監視しアクセス動作があったときにユーザ情報の入力を要求し、照合部により、入力されたユーザ情報と登録されたユーザ情報との照合を行ってアクセス権限のあるユーザか否かを判定し、照会部により、アクセス権限のあるユーザの入退室状況を入退室管理システムに照会し、決定部により、アクセス権限を有し在室が認められたユーザに対して特定リソースのアクセスを許可する処理を行う。このように、上記実施形態における各処理や各部は、プログラムとコンピュータとが協働した具体的手段によって実現されるものである。
【0116】
そして、上記実施の形態の機能を実現するソフトウェアのプログラムコードを記録したコンピュータ読み取り可能な記録媒体、すなわち記憶メディアを介して、例えばネットワーク認証サーバや第2無線通信端末のコンピュータ(CPU)が記憶メディアに格納されたプログラムコードを読み出し実行することによっても、本発明の目的は達成される。また、プログラムは、記録メディアを介さず、通信回線を通じて直接にコンピュータにロードし実行することもでき、これによっても同様に本発明の目的は達成される。
【0117】
この場合、記憶メディアから読み出された又は通信回線を通じてロードし実行されたプログラムコード自体が前述の実施形態の機能を実現することになる。そして、そのプログラムコードを記憶した記憶メディアは本発明を構成する。
【0118】
また、プログラムコードを供給するための記憶メディアとしては、例えば、フロッピー(登録商標)ディスク、ハードディスク、光ディスク、光磁気ディスク、CD−ROM、CD−R、不揮発性のメモリカード、ROM、磁気テープ等を用いることができる。
【図面の簡単な説明】
【0119】
【図1】実施の形態1のネットワーク認証システムを含むネットワーク構成の説明図である。
【図2】実施の形態1におけるアクセス認証サーバ10の機能的構成を示したブロック図である。
【図3】実施の形態1の認証処理の手順を示したフローチャートである。
【図4】実施の形態2のアクセス認証サーバの機能的構成を示すブロック図である。
【図5】実施の形態2の認証管理データファイル406の一例を示す説明図である。
【図6】実施の形態2において、ユーザが所定の許可エリアに在室している場合にアクセスを許可する認証処理の手順を示したフローチャートである。
【図7】実施の形態2において、ユーザが所定の不許可エリアに在室している場合にアクセスを拒否する認証処理の手順を示したフローチャートである。
【図8】実施の形態3のネットワーク認証システムを含むネットワーク構成を示す説明図である。
【図9】実施の形態2の第2無線通信端末50の機能的構成を示すブロック図である。
【図10】実施の形態3の認証処理の手順を示したフローチャートである。
【図11】実施の形態4の第2無線通信端末の機能的構成を示すブロック図である。
【図12】実施の形態4の認証管理データファイル1156の一例を示す説明図である。
【図13】実施の形態4において、ユーザが所定の許可エリアに在室している場合にネットワーク接続を許可する認証処理の手順を示したフローチャートである。
【図14】実施の形態4において、ユーザが所定の不許可エリアに在室している場合にネットワーク接続を拒否する認証処理の手順を示したフローチャートである。
【図15】実施の形態5の第2無線通信端末の機能的構成を示すブロック図である。
【図16】実施の形態5の認証管理データファイル1556のデータの一例を示す説明図である。
【図17】実施の形態5の認証処理の手順を示したフローチャートである。
【図18】実施の形態6の第2無線通信端末の機能的構成を示すブロック図である。
【図19】実施の形態6の認証処理の手順を示したフローチャートである。
【符号の説明】
【0120】
10,410 アクセス認証サーバ
11,51 登録部
12,52 監視部
13,53 照合部
14,54 照会部
15,55,405,1155,1555,1855 決定部
16,56,406,1156,1556,1856 認証管理データファイル
20 クライアントA(管理者)
30 クライアントB(利用者)
50,1150,1550,1850 第2無線通信端末(アクセスポイント)
60 第1無線通信端末(PC)
100,110 ネットワーク認証システム
200 入退室管理システム
300 研究開発データベース
400 品質管理データベース
500,600 ネットワーク
1557,1857 測定部
【技術分野】
【0001】
本発明は、ネットワーク上に存在するリソースへのアクセスやネットワークへの接続の認証を行う認証装置、認証方法およびプログラムに関する。
【背景技術】
【0002】
現在、パーソナルコンピュータ(PC)やワークステーション(WS)、サーバ等のコンピュータシステムは幅広く利用されており、企業、研究機関、学校、公的機関、官公庁等においても業務の大部分は複数のコンピュータシステムによって実現されている。上記のようなコンピュータシステムでは、社員、顧客等の個人情報のほか、新製品情報、技術情報、経営情報等のデータを管理保存しているため、これらのデータが漏洩することを防止する必要がある。
【0003】
他方で、近年、ブロードバンドの通信環境が普及し、外出先でもオフィスにいるときと同じように仕事ができるようになった。便利な反面、特に空港や電車内、コーヒーショップといった公共性の高い場所では情報が漏洩する危険性も高い。例えば通信の暗号化等の技術を用いて盗聴を防止しても、新製品のデザイン図といった一目でそれと判るものは、単にPC画面を覗き見られただけで漏れてしまうことも考えられる。現状では確実に漏洩を防ぐ手段がなく、データ扱い者に注意喚起するに留まっている。
【0004】
また近年、無線LAN等の無線通信によるネットワークが普及し、高い利便性がもたらされているが、反面、電波が届く範囲であればどこでも不特定多数の人が接続できてしまう脅威にさらされている。強度の高い暗号方式や認証手段もあるが、普及が追いついていないのが現状である。
【0005】
ところで、例えば特許文献1には、クライアント上のコンテンツデータに対してユーザがアクセスする際の認証方法として、以下のようなアクセス認証方法が開示されている。すなわち、該アクセス認証方法では、ダウンロードした環境に特有のクライアント固有情報を取得してそれを暗号化してパスワードファイルに書き込み、ダウンロードしたコンテンツデータからパスワード情報を抽出して暗号化しそれをパスワードファイルに書き込み、取得したクライアント固有情報と抽出したパスワード情報とがパスワードファイルに存在するかを調べることでアクセス認証を行う。
【0006】
【特許文献1】特開2003−242042号公報
【発明の開示】
【発明が解決しようとする課題】
【0007】
この特許文献1のアクセス認証方法は、ユーザの環境(クライアント)に関する情報を利用することにより、ユーザに一切の手間をかけることなく、クライアント上のコンテンツデータに対してユーザがアクセスする際の認証を可能とするものである。しかしながら、この従来技術では、先述したような、会社施設外でのリソースアクセスや不特定多数者による無線ネットワークへの接続に起因する情報漏洩に対応することは困難である。
【0008】
本発明は、上記に鑑みてなされたものであって、ブロードバンド通信や無線通信ネットワークが普及した通信環境において、施設外におけるネットワーク上リソースへのアクセスや不特定多数者によるネットワーク接続を実効的に制限し、情報の漏洩を防止することができる認証装置、認証方法およびプログラムを提供することを目的とする。
【課題を解決するための手段】
【0009】
上述した課題を解決し、目的を達成するために、本発明にかかる認証装置は、認証装置であって、ユーザに操作されるクライアント端末または前記ユーザを一意に識別するための識別情報が登録された認証管理データファイルを記憶する記憶部と、前記クライアント端末による所定のアクセス動作を監視し、前記クライアント端末からの前記アクセス動作があった場合に、前記識別情報を取得する監視部と、前記監視部によって取得した識別情報が前記認証管理データファイルに登録された識別情報と一致するか否かを照合する照合部と、前記取得した識別情報が前記登録された識別情報と一致する場合に、一致する前記識別情報のユーザについての施設への入退室状況を、前記ネットワークに接続され、前記施設へのユーザの入退室を管理する入退室管理システムに対して照会する照会部と、照会結果に基づいて、前記アクセス動作の許可又は拒否を決定する決定部と、を備えたことを特徴とする。
【0010】
本発明にかかる認証装置は、ユーザに操作されるクライアント端末を一意に識別するためのアドレス情報と、前記ユーザを一意に識別するためのユーザ情報と、ネットワークへの接続要求の可否を決定するための距離の範囲である許可範囲とが対応付けて登録された認証管理データファイルを記憶する記憶部と、前記クライアント端末による前記ネットワークへの接続要求を監視し、前記クライアント端末から前記ネットワークへの接続要求があった場合に、前記接続要求から、前記識別情報として前記クライアント端末の前記アドレス情報を抽出する監視部と、前記監視部によって取得したアドレス情報が前記認証管理データファイルに登録されたアドレス情報と一致するか否かを照合する照合部と、前記クライアント端末との間の距離を測定する測定部と、前記測定部により測定された距離が、照合により一致したアドレス情報に対応する前記許可範囲内であるか否かを判断し、前記測定された距離が前記許可範囲内であると判断した場合に、前記ネットワークへの接続の許可を決定し、前記測定された距離が前記許可範囲外であると判断した場合に、前記ネットワークへの接続の拒否を決定する決定部と、を備えたことを特徴とする。
また、本発明は、上記認証装置で実行される認証方法、プログラムである。
【発明の効果】
【0011】
本発明によれば、ブロードバンド通信や無線通信ネットワークが普及した通信環境において、施設外におけるネットワーク上リソースへのアクセスや不特定多数者によるネットワーク接続を実効的に制限し、情報の漏洩を防止することができるという効果を奏する。
【発明を実施するための最良の形態】
【0012】
以下に添付図面を参照して、この発明にかかる認証装置、認証方法およびプログラムの最良な実施の形態を詳細に説明する。
【0013】
(実施の形態1)
実施の形態1は、クライアントがネットワーク上のリソースにアクセスする際の認証を行うネットワーク認証システムである。図1は、実施の形態1のネットワーク認証システムを含むネットワーク構成の説明図である。本実施の形態のネットワーク認証システム100は、認証装置としてのアクセス認証サーバ10と、クライアントA20と、クライアントB30とから構成され、それぞれがネットワーク500に接続されている。また、ネットワーク認証システム100は、ネットワーク500を介して、ネットワーク500上のリソースである、入退室管理システム200、研究開発データベース300および品質管理データベース400と接続されている。
【0014】
研究開発データベース300及び品質管理データベース400は、ネットワーク上のリソースとして例示したものであり、これらに限定されるものではない。例えば、販売実績データベース、人事データベースといった他の分野のデータベースをリソースとして用いることもできる。また、本実施の形態では、研究開発データベース300のURLやファイル名等が、アクセス制限の対象のリソースであるアクセス制限対象リソースに関する情報としてアクセス認証サーバ10の認証管理データファイルに登録されている。また、品質管理データベース400は、アクセス制限対象リソースとしてサーバ400に登録されていない。認証管理データファイルの詳細については後述する。
【0015】
入退室管理システム200は、ユーザの施設への入退室を管理して、その入退室履歴データを保存するシステムである。入退室管理システム200は、例えば、ユーザとしての社員の社員証等のICカードをICカードリーダへ読み取らせ、社員に入退室を許可する場合に限り出入口のドアを開錠する管理を行い、社員の入退室履歴データを保存する等の処理を行う。入退室管理システム200は、ネットワーク500を介してネットワーク認証システム100と接続されており、アクセス認証サーバ10は、入退室管理システムにおける入退室状況としての入退室履歴データを取得することができる。
【0016】
図2は、実施の形態1におけるアクセス認証サーバ10の機能的構成を示したブロック図である。また、図2は、ネットワーク認証システム100における認証処理の際のデータの流れを矢印で示している。アクセス認証サーバ10は、図2に示すように、登録部11と、監視部12と、照合部13と、照会部14と、決定部15と、認証管理データファイル16とを主に備えている。
【0017】
認証管理データファイル16は、アクセス制限対象リソースに関する情報とアクセス権限を有するユーザのユーザ情報とを登録したデータファイルである。アクセス制限対象リソースに関する情報としては、例えば、アクセス制限対象リソースに関するURLやファイル名等の情報である。また、ユーザ情報は、ユーザを一意に識別するためのデータであり、たとえば、ID、パスワード等が該当する。また、ユーザ情報として、この他、指紋、声紋、網膜などの生体認証情報を用いてもよい。
【0018】
登録部11は、まず、空データからなる認証管理データファイル16をハードディスクドライブ装置(HDD)等の記憶媒体に生成し、ネットワーク管理者が操作するクライアントA20から入力されたアクセス制限対象リソースに関するURLやファイル名等の情報及びユーザ情報を認証管理データファイル16に登録する。ここで、ユーザ情報が認証管理データファイル16に登録されているユーザが、アクセス制限対象リソースへのアクセス権限を有するユーザとなる。
【0019】
また、本実施の形態では、上述したとおり、認証管理データファイル16に、アクセス制限対象リソースに関する情報として、研究開発データベース300のURLやファイル名等が登録されている。
【0020】
監視部12は、ネットワーク利用者が操作するクライアントB30によるネットワーク上リソースへのアクセス動作を監視する。アクセス制限対象のリソースへのアクセス動作を検出したとき、そのクライアントB30に対してユーザ情報の入力を促し、クライアントB30からのユーザ情報の入力を受け付ける。
【0021】
一方、監視部12は、アクセス制限対象リソース以外のリソースへのアクセス動作についてはユーザ情報の入力を要求しない。図2の例では、監視部12は、研究開発データベース300へのアクセス動作に対してユーザ情報の入力を要求し、品質管理データベース400へのアクセス動作に対しては入力の要求を行わない。
【0022】
照合部13は、監視部12での督促でクライアントB30から入力されたユーザ情報と一致するユーザ情報が認証管理データファイル16に登録されているか否かを照合することにより、入力されたユーザ情報のユーザが、認証管理データファイル16に登録されたユーザ情報のユーザかどうか、すなわちアクセス権限を有するユーザか否かを判定する。
【0023】
照会部14は、照合部13により、入力されたユーザ情報(アクセス制限対象リソースへのアクセスを行ったユーザのユーザ情報)が認証管理データファイル16に登録されたユーザ情報であると判定されたユーザの入退室履歴(入退室状況)について入退室管理システム200へ照会し、アクセス制限対象リソースへのアクセスを行ったユーザが、アクセスしたアクセス制限対象リソースが配置された施設内にいるかどうかを判定する。なお、照会部14は、ユーザが、アクセスしたアクセス制限対象リソースが配置された施設以外の他の特定の施設内に在室しているか否かを判定するように構成してもよい。
【0024】
決定部15は、照会部14による照会結果を受けて、アクセス制限対象リソースへのアクセスを行ったユーザが、アクセスを行ったアクセス制限対象リソースが配置されている施設内に存在している場合に、該アクセス動作に対する許可の決定を行い、そのユーザが操作するクライアント30Bに対してアクセス許可通知を発信する。
【0025】
次に、以上のように構成された実施の形態1のアクセス認証サーバ10による認証処理について説明する。図3は、実施の形態1の認証処理の手順を示したフローチャートである。
【0026】
まず、ネットワーク管理者は、アクセス制限対象リソースを特定し、特定されたアクセス制限対象リソース(特定リソース)とユーザ情報をネットワーク認証サーバ10の登録部11により登録しておく(ステップS11)。なお、ここでのアクセス制限とは、施設内に在室する者にしかリソースへのアクセス権限を与えないというものであり、本実施の形態では、全てのリソースが施設内でしかアクセスできないようになっている。
【0027】
そして、アクセス認証サーバ10の監視部12は、登録したアクセス制限対象リソース(特定リソース)へのクライアントB30からのアクセス動作を監視する(ステップS12)。アクセス動作の監視は、例えば、クライアントB30からアクセス制限対象リソースのデータベースへのアクセス要求コマンドの送信を監視すること等によって行うが、これに限定されるものではない。
【0028】
そして、クライアントB30からアクセス制限対象リソース(特定リソース)に対するアクセスがあった場合(ステップS13:Yes)、監視部12は、アクセスを行ったクライアントB30に対してユーザ情報の入力を要求する(ステップS14)。当該入力要求は、ユーザ情報の入力が実際にされるまで行う(ステップS15:No)。
【0029】
続いて、ネットワーク認証サーバ10の監視部12は、クライアントB30からのユーザ情報の入力を受け付けて(ステップS15:Yes)、照合部13は、入力されたユーザ情報と一致するユーザ情報が認証管理データファイル16に登録されているか否か、すなわちアクセス権限を与えられたユーザかどうかの照合を行う(ステップS16)。
【0030】
そして、アクセス権限のあるユーザと判定された場合には(ステップS16:Yes)照会部14は、そのユーザに関する施設への入退室履歴を入退室管理システム200に照会する(ステップS17)。一方、ステップS16で、入力されたユーザ情報と一致するユーザ情報が認証管理データファイル16に登録されていない場合、すなわちアクセス権限のあるユーザではないと判定された場合には(ステップS16:No)、決定部15は、アクセス制限対象リソース(特定リソース)へのアクセスを拒否する決定を行い、該拒否決定をクライアントB30へ通知する(ステップS20)。
【0031】
そして、ステップS17で入退室管理システムへ照会した結果、アクセスを行ったユーザが、アクセス制限対象リソースが配置されている施設内にいることが確認された場合(ステップS18:Yes)、決定部15は、アクセス制限対象リソース(特定リソース)へのアクセスを許可する決定を行い、該ユーザに許可決定を通知する(ステップS19)。一方、ステップS18において、アクセスを行ったユーザが、アクセス制限対象リソースが配置された施設外にいることが確認された場合(ステップS18:No)、決定部15は、アクセス制限対象リソース(特定リソース)へのアクセスを拒否する決定を行い、該拒否決定をクライアントへ通知する(ステップS20)。
【0032】
このように実施の形態1のネットワーク認証システム100では、クライアントB30からアクセス制限対象リソースへのアクセス動作があった場合に、クライアントB30からユーザ情報の入力を受け付け、認証管理データファイル16に登録されたユーザ情報と、クライアントB30から入力を受け付けたユーザ情報とが一致するか否かを照合し、照合により一致したユーザ情報のユーザについての入退室履歴を、入退室管理システム200に対して照会する。そして、アクセス制限対象リソースへのアクセスを行ったユーザが当該施設に在室している場合に、アクセス制限対象リソースへのアクセスの許可を決定し、当該施設に在室していない場合に、アクセス制限対象リソースへのアクセスの拒否を決定しているので、ブロードバンド通信や無線通信ネットワークが普及した通信環境において、施設外におけるネットワーク上リソースへのアクセスや不特定多数者によるネットワーク接続を実効的に制限し、情報の漏洩を防止することができる。
【0033】
なお、実施の形態1では、アクセス制限の内容として、全てのリソースが施設内でしかアクセスできないようにしていたが、ある特定のリソースに限定して施設内でのアクセスを許可したり、リソースごとに施設の特定の場所でのアクセスを許可して認証処理を行うように構成してもよい。
【0034】
(実施の形態2)
実施の形態2では、ある特定のリソースについて施設外でのアクセスを禁止したり、リソースごとに施設の特定の場所でのアクセスを拒否するものである。
【0035】
本実施の形態のネットワーク認証システムのネットワーク構成については実施の形態1と同様である。図4は、実施の形態2のアクセス認証サーバの機能的構成を示すブロック図である。アクセス認証サーバ410は、図4に示すように、登録部11と、監視部12と、照合部13と、照会部14と、決定部405と、認証管理データファイル406とを主に備えている。ここで、登録部11、監視部12、照合部13、照会部14の機能および構成については実施の形態1と同様である。
【0036】
認証管理データファイル406は、ユーザ情報と、アクセス制限対象リソースと、許可エリアと、不許可エリアとを対応付けて登録したデータファイルである。ここで、許可エリア、不許可エリアは、所定の施設内のエリアであるが、これに限定されるものではない。図5は、実施の形態2の認証管理データファイル406の一例を示す説明図である。図5に示す例では、例えば、ユーザ情報「ID0001」のユーザは、許可エリア「エリアA」に在室している場合にリソース「研究開発データベース」に対してアクセスが許可され、不許可エリア「エリアC」に在室している場合にリソース「研究開発データベース」に対してアクセスが拒否されることを示している。
【0037】
決定部405は、この認証管理データベース406を参照して、照会部14によりユーザが、アクセスしたアクセス制限対象リソースに対応する許可エリアに在室することが判明した場合あるいは不許可エリア外にいることが判明した場合に、アクセス制限対象リソースへのアクセスの許可を決定する。また、決定部405は、認証管理データベース406を参照して、照会部14によりユーザが、アクセスしたアクセス制限対象リソースに対応する不許可エリアに在室することが判明した場合あるいは許可エリア外にいることが判明した場合に、アクセス制限対象リソースへのアクセスの拒否を決定する。
【0038】
次に、以上のように構成された実施の形態2のアクセス認証サーバ410による認証処理にについて説明する。図6は、実施の形態2において、ユーザが所定の許可エリアに在室している場合にアクセスを許可する認証処理の手順を示したフローチャートである。
【0039】
まず、ネットワーク管理者は、登録部11により、アクセス制限対象リソース(特定リソース)、ユーザ情報、許可エリアを対応付けて認証管理データベース406に登録しておく(ステップS31)。許可エリアを登録することで、ユーザがアクセス制限対象リソース(特定リソース)へのアクセスを行う場所について、同一会社内の施設というだけではなく、例えば研究所や開発事業所等の特定の建屋、フロアに限定することが可能となる。
【0040】
ステップS32のアクセス動作の監視から、ステップS37の入退室管理システム200への照会までの処理については、実施の形態1の認証処理におけるステップS12からS17までの処理と同様に行われる。
【0041】
そして、ステップS37で入退室管理システムへ照会した結果、アクセスを行ったユーザが、アクセスしたアクセス制限対象リソースに対応する許可エリアに在室していることが確認された場合(ステップS38:Yes)、決定部405は、アクセス制限対象リソース(特定リソース)へのアクセスを許可する決定を行い、該ユーザに許可決定を通知する(ステップS49)。一方、ステップS38において、アクセスを行ったユーザが、アクセス制限対象リソースに対応する許可エリア外にいることが確認された場合(ステップS38:No)、決定部405は、アクセス制限対象リソース(特定リソース)へのアクセスを拒否する決定を行い、該拒否決定をクライアントへ通知する(ステップS40)。
【0042】
図7は、実施の形態2において、ユーザが所定の不許可エリアに在室している場合にアクセスを拒否する認証処理の手順を示したフローチャートである。
【0043】
まず、ネットワーク管理者は、登録部11により、アクセス制限対象リソース(特定リソース)、ユーザ情報、不許可エリアを対応付けて認証管理データベース406に登録しておく(ステップS51)。不許可エリアを登録することで、ユーザが特定リソースへのアクセスを行う場所について、重点的に禁止したいエリアを指定してアクセス制限を行うことが可能となる。
【0044】
ステップS52のアクセス動作の監視から、ステップS57の入退室管理システム200への照会までの処理については、実施の形態1の認証処理におけるステップS12からS17までの処理と同様に行われる。
【0045】
そして、ステップS57で入退室管理システムへ照会した結果、アクセスを行ったユーザが、アクセスしたアクセス制限対象リソースに対応する不許可エリア外にいることが確認された場合(ステップS58:No)、決定部405は、アクセス制限対象リソース(特定リソース)へのアクセスを許可する決定を行い、該ユーザに許可決定を通知する(ステップS59)。一方、ステップS58において、アクセスを行ったユーザが、アクセス制限対象リソースに対応する不許可エリアに在室していることが確認された場合(ステップS58:Yes)、決定部405は、アクセス制限対象リソース(特定リソース)へのアクセスを拒否する決定を行い、該拒否決定をクライアントへ通知する(ステップS60)。
【0046】
このように実施の形態2のネットワーク認証システムでは、認証管理データファイル406に、ユーザ情報毎にアクセス制限対象リソースに対応付けて、アクセス制限対象リソースへのアクセスを許可する許可エリアを登録しておき、決定部405によって、アクセス権限のあるユーザが、アクセスしたアクセス制限対象リソースに対応する許可エリアに在室することが判明した場合に、アクセス制限対象リソースへのアクセスの許可を決定しているので、ユーザがアクセス制限対象リソース(特定リソース)へのアクセスを行う場所について、同一会社内の施設というだけではなく、例えば研究所や開発事業所等の特定の建屋、フロアに限定することが可能となる。
【0047】
また、実施の形態2のネットワーク認証システムでは、認証管理データファイル406に、ユーザ情報毎にアクセス制限対象リソースに対応付けて、アクセス制限対象リソースへのアクセスを拒否する不許可エリアを登録しておき、決定部405によって、アクセス権限のあるユーザが、アクセスしたアクセス制限対象リソースに対応する不許可エリアに在室することが判明した場合に、アクセス制限対象リソースへのアクセスの拒否を決定しているので、ユーザがアクセス制限対象リソース(特定リソース)へのアクセスを行う場所について、重点的に禁止したいエリアを指定してアクセス制限を行うことが可能となる。
【0048】
従って、実施の形態2のネットワーク認証システムによれば、会社以外の場所での不用意な操作で、機密性の高い情報が漏れてしまうことを防ぐことが可能となる。また、部外者のなりすましによる情報漏洩を防止することができる。
【0049】
(実施の形態3)
実施の形態3のネットワーク認証システムは、無線LANにおいてクライアント端末としての第1無線通信端末(PC)が第2無線通信端末(アクセスポイント)を介してネットワーク接続する際の認証を行うものである。
【0050】
図8は、実施の形態3のネットワーク認証システムを含むネットワーク構成を示す説明図である。本実施の形態のネットワーク認証システム110は、第2無線通信端末50と、第1無線通信端末60とから構成され、第2無線通信端末50が無線LANのネットワーク600を介して、クライアントA20と入退室管理システム200とに接続されている。
【0051】
入退室管理システム200は、実施形態1と同様のシステムで、ネットワーク600を介して第2無線通信端末50と接続されており、第2無線通信端末50は、入退室管理システムにおける入退室履歴データを取得することができる。
【0052】
図9は、実施の形態2の第2無線通信端末50の機能的構成を示すブロック図である。また、図9では、認証処理におけるデータの流れを矢印で示している。第2無線通信端末50は、図9に示すように、登録部51と、監視部52と、照合部53と、照会部54と、決定部55と、認証管理データファイル56とを主に備えている。なお、第2無線通信端末50は、無線LANを利用して基幹ネットワークへ接続する例においてアクセスポイントに相当し、第1無線通信端末60は、PC(Personal Computer)に相当する。
【0053】
認証管理データファイル56は、第1無線通信端末60を一意に識別するための物理アドレスと第1無線通信端末60を操作するユーザのユーザ情報とを対応付けて登録したデータファイルである。
【0054】
登録部51は、まず、空データからなる認証管理データファイル56をHDD等の記憶媒体に生成し、ネットワーク管理者が操作する第1無線通信端末60からの入力により、接続を許可する第1無線通信端末60の物理アドレス及び第1無線通信端末60のユーザのユーザ情報とを対応付けて、認証管理データファイル56に登録する。ここで、ユーザ情報については実施の形態1と同様である。
【0055】
監視部52は、第1無線通信端末60によるネットワーク接続動作を監視する。また、監視部52は、第1無線通信端末60からの接続要求を検出したとき、その要求信号から物理アドレスを抽出する。
【0056】
照合部53は、監視部52で抽出された物理アドレスと一致する物理アドレスが認証管理データファイル56に登録されているか否かを照合し、第1無線通信端末60が認証管理データファイル56に登録されている第1無線通信端末60かどうかを判定する。
【0057】
照会部54は、照合部53で認証管理データファイル56に登録されていると判定された第1無線通信端末60に対応するユーザ情報を、認証管理データファイル56を参照して特定する。そして、照会部54は、特定されたユーザ情報のユーザの入退室履歴について入退室管理システム200へ照会し、ネットワーク接続要求を行った第1無線通信端末60のユーザが所定の施設内にいるかどうかを判定する。ここで、所定の施設は、任意に定めることができる。
【0058】
決定部55は、照会部54による照会結果を受けて、ネットワーク接続要求を行った無線通信端末60のユーザが所定の施設内にいる場合に、この接続要求動作に対する許可の決定を行い、そのユーザが操作する第1無線通信端末60に対して接続許可通知を発信する。
【0059】
次に、以上のように構成された実施の形態3の第2無線通信端末50による認証処理について説明する。図10は、実施の形態3の認証処理の手順を示したフローチャートである。
【0060】
まず、ネットワーク管理者は、第2無線通信端末50の登録部51により、第1無線通信端末60の物理アドレスと第1無線通信端末60のユーザのユーザ情報とを対応付けて認証管理データファイル56に登録しておく(ステップS71)。そして、第2無線通信端末50の監視部52は、第1無線通信端末60のネットワーク接続要求動作を監視し(ステップS72)、ネットワーク接続要求があった場合(ステップS73:Yes)、接続要求元である第1無線通信端末60の物理アドレスをネットワーク接続要求の信号から抽出する(ステップS74)。
【0061】
続いて、第2無線通信端末50の照合部53は、監視部52が抽出した物理アドレスと一致する物理アドレスが認証管理データファイル56に登録済みか否かを照合する(ステップS75)。そして、抽出した物理アドレスが認証管理データファイル56に登録済みのアドレスと判定された場合には(ステップS75:Yes)、照会部54は、その第1無線通信端末60のユーザに関する施設への入退室履歴を入退室管理システムに照会する(ステップS76)。
【0062】
一方、ステップS75において、抽出した物理アドレスが認証管理データファイル56に登録済みでないと判定された場合には(ステップS75:No)、決定部55は、ネットワーク接続要求を拒否する決定を行い、該拒否決定を第1無線通信端末60へ通知する(ステップS79)。
【0063】
そして、ステップS76で入退室管理システム200へ照会した結果、接続要求を行った第1無線通信端末60のユーザが施設内に在室していることが確認された場合には(ステップS77:Yes)、決定部55は、ネットワーク接続要求を許可する決定を行い、第1無線通信端末60に許可決定を通知する(ステップS78)。
【0064】
一方、ステップS77において、ネットワーク接続要求を行った第1無線通信端末60のユーザが施設外にいることが確認された場合には(ステップS77:No)、決定部55は、ネットワーク接続要求を拒否する決定を行い、第1無線通信端末60に拒否決定を通知する(ステップS79)。
【0065】
このように実施の形態3のネットワーク認証システムでは、第1無線通信端末60からネットワーク600への接続要求があった場合に、接続要求から、第1無線通信端末60の物理アドレスを抽出し、照合部53が、認証管理データファイル56に登録された物理アドレスと抽出した物理アドレスとが一致するか否かを照合し、照合により一致した物理アドレスに対応するユーザ情報のユーザが所定の施設に在室していると判定された場合に、第1無線通信端末60によるネットワークへの接続の許可を決定し、ユーザが所定の施設に在室していないと判定された場合に、第1無線通信端末60によるネットワークへの接続の拒否を決定している。このため、本実施の形態によれば、会社以外の場所での不用意な操作で、機密性の高い情報が漏れてしまうことを防ぐことが可能となる。また、部外者のなりすましによる情報漏洩を防止することができる。
【0066】
また、本実施の形態によれば、管理範囲外へ電波が届いてしまう環境でも、部外者によるネットワーク接続を防止することが可能となる。その際に強度の高い暗号方式や認証手段を導入する必要がない。
【0067】
また、本実施の形態によれば、同一会社内であってもアクセスや無線接続を許可するエリアを実用に応じて詳細に設定でき、利便性を損なわずに安全性を高めることが可能となる。
【0068】
また、本実施の形態によれば、会社内であってもアクセスや無線接続を許可しないエリアが設定でき、実用に応じた運用が可能となる。
【0069】
なお、ネットワークへの接続制限の内容として、第1無線通信端末ごとに異なる接続制限を設けても良く、また施設における所定エリアごとに異なる接続制限を行うように構成してもよい。
【0070】
(実施の形態4)
実施の形態4は、施設や特定エリアへの在室あるいは不在に基づいて接続を許可したり拒否するものである。
【0071】
本実施の形態のネットワーク認証システムのネットワーク構成については実施の形態3と同様である。図11は、実施の形態4の第2無線通信端末の機能的構成を示すブロック図である。第2無線通信端末1150は、図11に示すように、登録部51と、監視部52と、照合部53と、照会部54と、決定部1155と、認証管理データファイル1156とを主に備えている。ここで、登録部51、監視部52、照合部53、照会部54の機能および構成については実施の形態3と同様である。
【0072】
認証管理データファイル1156は、ユーザ情報と、当該ユーザ情報のユーザが操作する第1無線通信端末60の物理アドレスと、許可エリアと、不許可エリアとを対応付けて登録したデータファイルである。登録部51がネットワーク管理者からの入力により、ユーザ情報、物理アドレス、許可エリア、不許可エリアを登録する。ここで、許可エリア、不許可エリアは、所定の施設内の任意のエリアであるが、これに限定されるものではない。また、物理アドレスは本実施の形態ではMACアドレスを用いているが、これに限定されるものではない。図12は、実施の形態4の認証管理データファイル1156の一例を示す説明図である。図12に示す例では、例えば、ユーザ情報「ID0001」のユーザは、物理アドレス「00007naabbcc」の第1無線通信端末60を操作し、許可エリア「エリアA」に在室している場合に、第1無線通信端末60でネットワーク接続が許可され、不許可エリア「エリアB」に在室している場合に第1無線通信端末60でのネットワーク接続が拒否されることを示している。
【0073】
決定部1155は、この認証管理データベース1156を参照して、照会部14によりユーザがユーザ情報に対応する許可エリアに在室することが判明した場合あるいは不許可エリア外にいることが判明した場合に、ネットワーク接続の許可を決定する。また、決定部1155は、認証管理データベース1156を参照して、照会部14によりユーザがユーザ情報に対応する不許可エリアに在室することが判明した場合あるいは許可エリア外にいることが判明した場合に、ネットワーク接続の拒否を決定する。
【0074】
次に、以上のように構成された実施の形態4の第2無線通信端末1150による認証処理にについて説明する。図13は、実施の形態4において、ユーザが所定の許可エリアに在室している場合にネットワーク接続を許可する認証処理の手順を示したフローチャートである。
【0075】
まず、ネットワーク管理者は、登録部51により、ユーザ情報、物理アドレス、許可エリアを対応付けて認証管理データベース1156に登録しておく(ステップS91)。許可エリアを登録することで、ユーザがネットワークへの接続を行う場所について、同一会社内の施設というだけではなく、例えば研究所や開発事業所等の特定の建屋、フロアに限定することが可能となる。
【0076】
ステップS92のアクセス動作の監視から、ステップS96の入退室管理システム200への照会までの処理については、実施の形態3の認証処理におけるステップS72からS76までの処理と同様に行われる。
【0077】
そして、ステップS96で入退室管理システム200へ照会した結果、接続要求を行った第1無線通信端末60のユーザがユーザ情報に対応する許可エリアに在室していることが確認された場合には(ステップS97:Yes)、決定部1155は、ネットワーク接続要求を許可する決定を行い、第1無線通信端末60に許可決定を通知する(ステップS98)。
【0078】
一方、ステップS97において、ネットワーク接続要求を行った第1無線通信端末60のユーザがユーザ情報に対応する許可エリア外にいることが確認された場合には(ステップS97:No)、決定部1155は、ネットワーク接続要求を拒否する決定を行い、第1無線通信端末60に拒否決定を通知する(ステップS99)。
【0079】
図14は、実施の形態4において、ユーザが所定の不許可エリアに在室している場合にネットワーク接続を拒否する認証処理の手順を示したフローチャートである。
【0080】
まず、ネットワーク管理者は、登録部51により、ユーザ情報、物理アドレス、不許可エリアを対応付けて認証管理データベース1156に登録しておく(ステップS111)。不許可エリアを登録することで、ユーザがネットワークへの接続を行う場所について、重点的に禁止したいエリアを指定して接続制限を行うことが可能となる。
【0081】
ステップS112のアクセス動作の監視から、ステップS116の入退室管理システム200への照会までの処理については、実施の形態3の認証処理におけるステップS72からS76までの処理と同様に行われる。
【0082】
そして、ステップS116で入退室管理システム200へ照会した結果、接続要求を行った第1無線通信端末60のユーザがユーザ情報に対応する不許可エリア外にいることが確認された場合には(ステップS117:No)、決定部1155は、ネットワーク接続要求を許可する決定を行い、第1無線通信端末60に許可決定を通知する(ステップS118)。
【0083】
一方、ステップS117において、ネットワーク接続要求を行った第1無線通信端末60のユーザがユーザ情報に対応する不許可エリアに在室していることが確認された場合には(ステップS117:Yes)、決定部1155は、ネットワーク接続要求を拒否する決定を行い、第1無線通信端末60に拒否決定を通知する(ステップS119)。
【0084】
このように実施の形態4のネットワーク認証システムでは、認証管理データファイル1156に、ユーザ情報毎にネットワーク接続を許可する許可エリアを登録しておき、決定部1155によって、アクセス権限のあるユーザが、ユーザ情報に対応する許可エリアに在室することが判明した場合に、当該ユーザの第1無線通信端末60によるネットワーク接続の許可を決定しているので、ユーザがネットワーク接続を行う場所について、同一会社内の施設というだけではなく、例えば研究所や開発事業所等の特定の建屋、フロアに限定することが可能となる。
【0085】
また、実施の形態4のネットワーク認証システムでは、認証管理データファイル1156に、ユーザ情報毎にネットワーク接続を拒否する不許可エリアを登録しておき、決定部1155によって、アクセス権限のあるユーザが、ユーザ情報に対応する不許可エリアに在室することが判明した場合に、当該ユーザの第1無線通信端末60によるネットワーク接続の拒否を決定しているので、ユーザがネットワーク接続を行う場所について、重点的に禁止したいエリアを指定してアクセス制限を行うことが可能となる。
【0086】
従って、実施の形態4のネットワーク認証システムによれば、会社以外の場所での不用意な操作で、機密性の高い情報が漏れてしまうことを防ぐことが可能となる。また、部外者のなりすましによる情報漏洩を防止することができる。
【0087】
(実施の形態5)
実施の形態5のネットワーク認証システムは、実施の形態3のネットワーク認証システムの機能の他に、さらに、第1無線通信端末60と第2無線通信端末との距離が所定の許可範囲内で有る場合に、ネットワーク接続の可否を決定するものである。
【0088】
本実施の形態のネットワーク認証システムのネットワーク構成については実施の形態3と同様である。図15は、実施の形態5の第2無線通信端末の機能的構成を示すブロック図である。第2無線通信端末1550は、図15に示すように、登録部51と、監視部52と、測定部1557と、照合部53と、照会部54と、決定部1555と、認証管理データファイル1556とを主に備えている。ここで、登録部51、照合部53、照会部54の機能および構成については実施の形態3と同様である。
【0089】
認証管理データファイル1556は、ユーザ情報と、ユーザが操作する第1無線通信端末60の物理アドレスと、許可範囲とが対応付けられて登録されたデータファイルである。登録部51がネットワーク管理者からの入力により、ユーザ情報、物理アドレス、許可範囲を登録する。ここで、許可範囲は、ネットワークへの接続要求の可否判断処理を行うか否かを判断するための距離の範囲である。本実施の形態では、物理アドレスとしてMACアドレスを用いているが、これに限定されるものではない。
【0090】
図16は、実施の形態5の認証管理データファイル1556のデータの一例を示す説明図である。認証管理データファイル1556は、図16の例では、ユーザ情報「ID0001」のユーザが操作する第1無線通信端末60の物理アドレスは「00007naabbcc」であり、この第1無線通信端末60と第2無線通信端末1550との距離が、許可範囲である「10m以下」である場合に、第1無線通信端末60によるネットワーク接続の可否が判断される。言い換えれば、第1無線通信端末60と第2無線通信端末1550との距離が10mより大きい場合には、第1無線通信端末60によるネットワーク接続は拒否されることになる。
【0091】
測定部1557は、第1無線通信端末60からネットワークへの接続要求があった場合に、第1無線通信端末60と第2無線通信端末1550の間の距離を測定する。ここで、第1無線通信端末60と第2無線通信端末1550の間の距離の測定は、RSSI(Received Signal Strength Indication)方式などの公知の技術を用いて行う。
【0092】
決定部1555は、第1無線通信端末60からネットワークへの接続要求があった場合に、認証管理データファイル1556を参照して、測定部1557により測定された距離が、当該第1無線通信端末60に対応する許可範囲内であるか否かを判断する。そして、決定部1555は、測定部1557により測定された距離が、当該第1無線通信端末60に対応する許可範囲外である場合には、第1無線通信端末60のネットワーク接続の拒否を決定する。
【0093】
監視部52は、第1無線通信端末60からのネットワーク接続要求を監視し、第1無線通信端末60からネットワークへの接続要求があった場合に、決定部1555により、測定した距離が許可範囲内である場合に、前記接続要求から、前記識別情報として前記クライアント端末の前記アドレス情報を抽出する。
【0094】
次に、以上のように構成された実施の形態5の第2無線通信端末1550による認証処理について説明する。図17は、実施の形態5の認証処理の手順を示したフローチャートである。
【0095】
まず、ネットワーク管理者は、第2無線通信端末1550の登録部51により、第1無線通信端末60の物理アドレスと、第1無線通信端末60のユーザのユーザ情報と、許可範囲とを対応付けて認証管理データファイル1556に登録しておく(ステップS131)。そして、第2無線通信端末1550の監視部52は、第1無線通信端末60のネットワーク接続要求動作を監視し(ステップS132)、ネットワーク接続要求があった場合(ステップS133:Yes)、測定部1557が、自己(第2無線通信端末1550)と接続要求を行った第1無線通信端末60との距離を測定する(ステップS134)。
【0096】
次に、決定部1555は、認証管理データファイル1556を参照して、測定された距離が、第1無線通信端末60に対応する許可範囲内か否かを判断し(ステップS135)、許可範囲外である場合には(ステップS135:No)、第1無線通信端末60のネットワーク接続要求を拒否する決定を行い、該拒否決定を第1無線通信端末60へ通知する(ステップS141)。
【0097】
一方、ステップS135において、測定された距離が許可範囲内である場合には(ステップS135:Yes)、接続要求元である第1無線通信端末60の物理アドレスをネットワーク接続要求の信号から抽出する(ステップS136)。
【0098】
これ以降のステップS136からS141までの処理については、実施の形態3の認証処理におけるステップS75からS79までの処理と同様に行われる。
【0099】
このように実施の形態5のネットワーク認証システムでは、第1無線通信端末60からネットワークへの接続要求があった場合に、測定された距離が当該第1無線通信端末60に対応する許可範囲内であるか否かを判断し、許可範囲外である場合には、第1無線通信端末60のネットワーク接続の拒否を決定している。このため、本実施の形態によれば、第1無線通信端末60が第2無線通信端末50との距離に基づいて、より効果的に、施設外におけるネットワーク上リソースへのアクセスや不特定多数者によるネットワーク接続を実効的に制限し、情報の漏洩を防止することができる。
【0100】
(実施の形態6)
実施の形態6は、第1無線通信端末60からネットワーク接続要求があった場合に、入退室管理システムへの照会を行わずに、第1無線通信端末60と第2無線通信端末との距離のみで、ネットワーク接続の許可または拒否を決定するものである。
【0101】
本実施の形態のネットワーク認証システムのネットワーク構成については実施の形態3から入退室管理システム200を除いた構成と同様である。図18は、実施の形態6の第2無線通信端末の機能的構成を示すブロック図である。第2無線通信端末1850は、図18に示すように、登録部51と、監視部52と、測定部1857と、照合部53と、決定部1855と、認証管理データファイル1856とを主に備えている。ここで、登録部51、監視部52、照合部53の機能および構成については実施の形態3と同様である。なお、本実施の形態の第2無線通信端末1850には、実施の形態3〜5と異なり、照会部は設けられていない。
【0102】
認証管理データファイル1856は、ユーザ情報と、ユーザが操作する第1無線通信端末60の物理アドレスと、許可範囲とが対応付けられて登録されたデータファイルである。登録部51が、ネットワーク管理者からの入力により、ユーザ情報、物理アドレス、許可範囲を登録する。ここで、許可範囲は、ネットワークへの接続要求の許可または拒否を決定するための距離の範囲である。本実施の形態では、物理アドレスとしてMACアドレスを用いているが、これに限定されるものではない。
【0103】
本実施の形態の認証管理データファイル1856のデータの例は、実施の形態5で説明した図16の例と同様である。認証管理データファイル1856は、図16の例では、ユーザ情報「ID0001」のユーザが操作する第1無線通信端末60の物理アドレスは「00007naabbcc」であり、この第1無線通信端末60と第2無線通信端末1850との距離が、許可範囲である「10m以下」である場合に、第1無線通信端末60によるネットワーク接続が許可され、第1無線通信端末60と第2無線通信端末1850との距離が10mより大きい場合には、第1無線通信端末60によるネットワーク接続は拒否される。
【0104】
測定部1857は、第1無線通信端末60と第2無線通信端末1850の間の距離を測定する。
【0105】
決定部1855は、ネットワーク接続要求を行った第1無線通信端末60の物理アドレスが認証管理データファイル1856に登録されたものであった場合、認証管理データファイル1856を参照して、測定部1857により測定された距離が、当該第1無線通信端末60に対応する許可範囲内であるか否かを判断する。そして、決定部1855は、測定部1857により測定された距離が、当該第1無線通信端末60に対応する許可範囲内である場合には、第1無線通信端末60のネットワーク接続の許可を決定する。一方、決定部1855は、測定部1857により測定された距離が、当該第1無線通信端末60に対応する許可範囲外である場合には、第1無線通信端末60のネットワーク接続の拒否を決定する。
【0106】
次に、以上のように構成された実施の形態6の第2無線通信端末1850による認証処理について説明する。図19は、実施の形態6の認証処理の手順を示したフローチャートである。
【0107】
まず、ネットワーク管理者は、第2無線通信端末1850の登録部51により、第1無線通信端末60の物理アドレスと第1無線通信端末60のユーザのユーザ情報と、許可範囲とを対応付けて認証管理データファイル1856に登録しておく(ステップS151)。そして、第2無線通信端末1850の監視部52は、第1無線通信端末60のネットワーク接続要求動作を監視し(ステップS152)、ネットワーク接続要求があった場合(ステップS153:Yes)、接続要求元である第1無線通信端末60の物理アドレスをネットワーク接続要求の信号から抽出する(ステップS154)。
【0108】
続いて、第2無線通信端末1850の照合部53は、監視部52が抽出した物理アドレスと一致する物理アドレスが認証管理データファイル56に登録済みか否かを照合する(ステップS155)。そして、抽出した物理アドレスが認証管理データファイル1856に登録済みでないと判定された場合には(ステップS155:No)、決定部1855は、ネットワーク接続要求を拒否する決定を行い、該拒否決定を第1無線通信端末60へ通知する(ステップS159)。
【0109】
一方、抽出した物理アドレスが認証管理データファイル1856に登録済みのアドレスと判定された場合には(ステップS155:Yes)、測定部1857により、ネットワーク接続要求を行った第1無線通信端末60と自己(第2無線通信端末1850)との距離を測定する(ステップ156)。
【0110】
次に、決定部1855は、認証管理データファイル1856を参照して、測定された距離が、第1無線通信端末60に対応する許可範囲内か否かを判断し(ステップS157)、許可範囲外である場合には(ステップS157:No)、第1無線通信端末60のネットワーク接続要求を拒否する決定を行い、該拒否決定を第1無線通信端末60へ通知する(ステップS159)。
【0111】
一方、測定された距離が、第1無線通信端末60に対応する許可範囲内である場合には(ステップS157:Yes)、第1無線通信端末60のネットワーク接続要求を拒否する決定を行い、該拒否決定を第1無線通信端末60へ通知する(ステップS158)。
【0112】
このように実施の形態6のネットワーク認証システムでは、決定部1855が、ネットワーク接続要求を行った第1無線通信端末60の物理アドレスが認証管理データファイル1856に登録されたものであった場合であって、測定部1857により測定された距離が、当該第1無線通信端末60に対応する許可範囲内である場合には、第1無線通信端末60のネットワーク接続の許可を決定する。また、決定部1855は、測定部1857により測定された距離が、当該第1無線通信端末60に対応する許可範囲外である場合には、第1無線通信端末60のネットワーク接続の拒否を決定する。このため、本実施の形態によれば、第1無線通信端末60が第2無線通信端末50との距離のみに基づいて、施設外におけるネットワーク上リソースへのアクセスや不特定多数者によるネットワーク接続を実効的に制限し、情報の漏洩を防止することができる。
【0113】
なお、上述する実施形態は、本発明の好適な実施形態であり、上記実施形態のみに本発明の範囲を限定するものではなく、本発明の要旨を逸脱しない範囲において種々の変更を施した形態での実施が可能である。
【0114】
例えば、実施の形態5および6では、第2無線通信端末1550と第1無線通信端末60の距離に基づいてネットワーク接続の可否を判定しているが、この他、第3無線通信端末と第4無線通信端末とを設け、第3無線通信端末と第4無線通信端末とを連携させることにより、第1無線通信端末60が特定のエリア内に存在するか否かを判定することにより、ネットワーク接続の可否を決定するように構成してもよい。この場合、第3無線通信端末と第4無線通信端末の連携とは、各々で第1無線通信端末60との距離を測定し、その測定結果を合成すること等が考えられる。この場合、第3無線通信端末と第4無線通信端末の設置位置は予め定められていることが前提となる。
【0115】
すなわち、上記した実施形態におけるネットワーク認証サーバや第2無線通信端末は、プログラムの命令によりコンピュータで実行される処理、手段、機能によって動作する。当該プログラムは、コンピュータの各構成要素に指令を送り、先に述べたような所定の処理や機能、例えば、ネットワーク認証サーバにおいて、監視部により、特定リソースへのアクセス動作を監視しアクセス動作があったときにユーザ情報の入力を要求し、照合部により、入力されたユーザ情報と登録されたユーザ情報との照合を行ってアクセス権限のあるユーザか否かを判定し、照会部により、アクセス権限のあるユーザの入退室状況を入退室管理システムに照会し、決定部により、アクセス権限を有し在室が認められたユーザに対して特定リソースのアクセスを許可する処理を行う。このように、上記実施形態における各処理や各部は、プログラムとコンピュータとが協働した具体的手段によって実現されるものである。
【0116】
そして、上記実施の形態の機能を実現するソフトウェアのプログラムコードを記録したコンピュータ読み取り可能な記録媒体、すなわち記憶メディアを介して、例えばネットワーク認証サーバや第2無線通信端末のコンピュータ(CPU)が記憶メディアに格納されたプログラムコードを読み出し実行することによっても、本発明の目的は達成される。また、プログラムは、記録メディアを介さず、通信回線を通じて直接にコンピュータにロードし実行することもでき、これによっても同様に本発明の目的は達成される。
【0117】
この場合、記憶メディアから読み出された又は通信回線を通じてロードし実行されたプログラムコード自体が前述の実施形態の機能を実現することになる。そして、そのプログラムコードを記憶した記憶メディアは本発明を構成する。
【0118】
また、プログラムコードを供給するための記憶メディアとしては、例えば、フロッピー(登録商標)ディスク、ハードディスク、光ディスク、光磁気ディスク、CD−ROM、CD−R、不揮発性のメモリカード、ROM、磁気テープ等を用いることができる。
【図面の簡単な説明】
【0119】
【図1】実施の形態1のネットワーク認証システムを含むネットワーク構成の説明図である。
【図2】実施の形態1におけるアクセス認証サーバ10の機能的構成を示したブロック図である。
【図3】実施の形態1の認証処理の手順を示したフローチャートである。
【図4】実施の形態2のアクセス認証サーバの機能的構成を示すブロック図である。
【図5】実施の形態2の認証管理データファイル406の一例を示す説明図である。
【図6】実施の形態2において、ユーザが所定の許可エリアに在室している場合にアクセスを許可する認証処理の手順を示したフローチャートである。
【図7】実施の形態2において、ユーザが所定の不許可エリアに在室している場合にアクセスを拒否する認証処理の手順を示したフローチャートである。
【図8】実施の形態3のネットワーク認証システムを含むネットワーク構成を示す説明図である。
【図9】実施の形態2の第2無線通信端末50の機能的構成を示すブロック図である。
【図10】実施の形態3の認証処理の手順を示したフローチャートである。
【図11】実施の形態4の第2無線通信端末の機能的構成を示すブロック図である。
【図12】実施の形態4の認証管理データファイル1156の一例を示す説明図である。
【図13】実施の形態4において、ユーザが所定の許可エリアに在室している場合にネットワーク接続を許可する認証処理の手順を示したフローチャートである。
【図14】実施の形態4において、ユーザが所定の不許可エリアに在室している場合にネットワーク接続を拒否する認証処理の手順を示したフローチャートである。
【図15】実施の形態5の第2無線通信端末の機能的構成を示すブロック図である。
【図16】実施の形態5の認証管理データファイル1556のデータの一例を示す説明図である。
【図17】実施の形態5の認証処理の手順を示したフローチャートである。
【図18】実施の形態6の第2無線通信端末の機能的構成を示すブロック図である。
【図19】実施の形態6の認証処理の手順を示したフローチャートである。
【符号の説明】
【0120】
10,410 アクセス認証サーバ
11,51 登録部
12,52 監視部
13,53 照合部
14,54 照会部
15,55,405,1155,1555,1855 決定部
16,56,406,1156,1556,1856 認証管理データファイル
20 クライアントA(管理者)
30 クライアントB(利用者)
50,1150,1550,1850 第2無線通信端末(アクセスポイント)
60 第1無線通信端末(PC)
100,110 ネットワーク認証システム
200 入退室管理システム
300 研究開発データベース
400 品質管理データベース
500,600 ネットワーク
1557,1857 測定部
【特許請求の範囲】
【請求項1】
認証装置であって、
ユーザに操作されるクライアント端末または前記ユーザを一意に識別するための識別情報が登録された認証管理データファイルを記憶する記憶部と、
前記クライアント端末による所定のアクセス動作を監視し、前記クライアント端末からの前記アクセス動作があった場合に、前記識別情報を取得する監視部と、
前記監視部によって取得した識別情報が前記認証管理データファイルに登録された識別情報と一致するか否かを照合する照合部と、
前記取得した識別情報が前記登録された識別情報と一致する場合に、一致する前記識別情報のユーザについての施設への入退室状況を、前記ネットワークに接続され、前記施設へのユーザの入退室を管理する入退室管理システムに対して照会する照会部と、
照会結果に基づいて、前記アクセス動作の許可又は拒否を決定する決定部と、
を備えたことを特徴とする認証装置。
【請求項2】
前記クライアント端末は、前記ネットワーク上のリソースへのアクセスに際してユーザに操作され、
前記認証管理データファイルは、前記リソースのうち、アクセス制限の対象となる前記リソースであるアクセス制限対象リソースに関する情報と、前記識別情報としてユーザを一意に識別するためのユーザ情報とが登録され、
前記監視部は、前記クライアント端末による前記リソースへのアクセス動作を監視し、前記クライアント端末から前記アクセス制限対象リソースへのアクセス動作があった場合に、前記クライアント端末にユーザ情報の入力を促して、前記クライアント端末から前記識別情報として前記ユーザ情報の入力を受け付け、
前記照合部は、前記クライアント端末から入力を受け付けたユーザ情報が前記認証管理データファイルに登録されたユーザ情報と一致するか否かを照合し、
前記決定部は、前記照会結果に基づいて、前記アクセス制限対象リソースへのアクセスの許可又は拒否を決定することを特徴とする請求項1に記載の認証装置。
【請求項3】
前記決定部は、前記ユーザが、アクセスした前記アクセス制限対象リソースが配置されている施設に在室することが判明した場合に、前記アクセス制限対象リソースへのアクセスの許可を決定することを特徴とする請求項2に記載の認証装置。
【請求項4】
前記認証管理データファイルは、前記アクセス制限対象リソースに関する情報として、前記アクセス制限対象リソースへのアクセスを許可するエリアである許可エリアが登録され、
前記決定部は、前記照会部によりユーザが、アクセスした前記アクセス制限対象リソースに対応する前記許可エリアに在室することが判明した場合に、前記アクセス制限対象リソースへのアクセスの許可を決定することを特徴とする請求項2に記載の認証装置。
【請求項5】
前記認証管理データファイルは、前記アクセス制限対象リソースに関する情報として、前記アクセス制限対象リソースへのアクセスを許可しないエリアである不許可エリアが登録され、
前記決定部は、前記照会部によりユーザが、アクセスした前記アクセス制限対象リソースに対応する前記不許可エリアに在室することが判明した場合に、前記アクセス制限対象リソースへのアクセスの拒否を決定することを特徴とする請求項2に記載の認証装置。
【請求項6】
前記認証管理データファイルに、前記アクセス制限対象リソースに関する情報と前記ユーザ情報とを登録する登録部をさらに備えたことを特徴とする請求項2に記載の認証装置。
【請求項7】
前記クライアント端末は、前記ユーザに操作されることによって前記ネットワークに無線通信により接続可能であり、
前記認証管理データファイルは、前記クライアント端末を一意に識別するためのアドレス情報と、前記ユーザを一意に識別するためのユーザ情報とが対応付けて登録され、
前記監視部は、前記クライアント端末による前記ネットワークへの接続要求を監視し、前記クライアント端末から前記ネットワークへの接続要求があった場合に、前記接続要求から、前記識別情報として前記クライアント端末の前記アドレス情報を抽出し、
前記照合部は、前記認証管理データファイルに登録されたアドレス情報と、抽出したアドレス情報とが一致するか否かを照合し、
前記決定部は、前記照会結果に基づいて、前記クライアント端末の前記ネットワークへの接続の許可または拒否を決定することを特徴とする請求項1に記載の認証装置。
【請求項8】
前記認証管理データファイルは、さらに、前記ネットワークへの接続要求を許可するエリアである許可エリアが登録され、
前記決定部は、前記照会部によりユーザが前記許可エリアに在室することが判明した場合に、前記クライアント端末の前記ネットワークへの接続の許可を決定することを特徴とする請求項7に記載の認証装置。
【請求項9】
前記認証管理データファイルは、さらに、前記ネットワークへの接続を許可しないエリアである不許可エリアが登録され、
前記決定部は、前記照会部によりユーザが前記不許可エリアに在室することが判明した場合に、前記クライアント端末の前記ネットワークへの接続の拒否を決定することを特徴とする請求項7に記載の認証装置。
【請求項10】
前記クライアント端末から前記ネットワークへの接続要求があった場合に、前記クライアント端末との間の距離を測定する測定部をさらに備え、
前記認証管理データファイルは、さらに、前記ユーザ情報に、前記ネットワークへの接続要求の可否判断処理を実行するか否かを判断するための距離の範囲である許可範囲が対応付けて登録され、
前記決定部は、さらに、前記測定部により測定された距離が前記許可範囲内であるか否かを判断し、前記測定された距離が前記許可範囲外であると判断した場合に、前記ネットワークへの接続の拒否を決定し、
前記監視部は、さらに、前記クライアント端末から前記ネットワークへの接続要求があった場合であって、前記測定された距離が前記許可範囲内である場合に、前記接続要求から、前記識別情報として前記クライアント端末の前記アドレス情報を抽出することを特徴とする請求項7に記載の認証装置。
【請求項11】
前記認証管理データファイルに、前記アドレス情報と前記ユーザ情報とを対応付けて登録する登録部をさらに備えたことを特徴とする請求項7に記載の認証装置。
【請求項12】
認証装置であって、
ユーザに操作されるクライアント端末を一意に識別するためのアドレス情報と、前記ユーザを一意に識別するためのユーザ情報と、ネットワークへの接続要求の可否を決定するための距離の範囲である許可範囲とが対応付けて登録された認証管理データファイルを記憶する記憶部と、
前記クライアント端末による前記ネットワークへの接続要求を監視し、前記クライアント端末から前記ネットワークへの接続要求があった場合に、前記接続要求から、前記識別情報として前記クライアント端末の前記アドレス情報を抽出する監視部と、
前記監視部によって取得したアドレス情報が前記認証管理データファイルに登録されたアドレス情報と一致するか否かを照合する照合部と、
前記クライアント端末との間の距離を測定する測定部と、
前記測定部により測定された距離が、照合により一致したアドレス情報に対応する前記許可範囲内であるか否かを判断し、前記測定された距離が前記許可範囲内であると判断した場合に、前記ネットワークへの接続の許可を決定し、前記測定された距離が前記許可範囲外であると判断した場合に、前記ネットワークへの接続の拒否を決定する決定部と、
を備えたことを特徴とする認証装置。
【請求項13】
認証装置で実行される認証方法であって、
前記認証装置は、ユーザに操作されるクライアント端末または前記ユーザを一意に識別するための識別情報が登録された認証管理データファイルを記憶する記憶部を備え、
前記クライアント端末による所定のアクセス動作を監視し、前記クライアント端末からの前記アクセス動作があった場合に、前記識別情報を取得する監視ステップと、
前記監視部によって取得した識別情報が前記認証管理データファイルに登録されたユーザ情報と一致するか否かを照合する照合ステップと、
前記取得した識別情報が前記登録された識別情報と一致する場合に、一致する前記識別情報のユーザについての施設への入退室状況を、前記ネットワークに接続され、前記施設へのユーザの入退室を管理する入退室管理システムに対して照会する照会ステップと、
照会結果に基づいて、前記アクセス動作の許可又は拒否を決定する決定ステップと、
を含むことを特徴とする認証方法。
【請求項14】
コンピュータを、
ユーザに操作されるクライアント端末または前記ユーザを一意に識別するための識別情報が登録された認証管理データファイルを記憶する記憶部と、
前記クライアント端末による所定のアクセス動作を監視し、前記クライアント端末からの前記アクセス動作があった場合に、前記識別情報を取得する監視部と、
前記監視部によって取得した識別情報が前記認証管理データファイルに登録されたユーザ情報と一致するか否かを照合する照合部と、
前記取得した識別情報が前記登録された識別情報と一致する場合に、一致する前記識別情報のユーザについての施設への入退室状況を、前記ネットワークに接続され、前記施設へのユーザの入退室を管理する入退室管理システムに対して照会する照会手段と、
照会結果に基づいて、前記アクセス動作の許可又は拒否を決定する決定部と、
して機能させるプログラム。
【請求項1】
認証装置であって、
ユーザに操作されるクライアント端末または前記ユーザを一意に識別するための識別情報が登録された認証管理データファイルを記憶する記憶部と、
前記クライアント端末による所定のアクセス動作を監視し、前記クライアント端末からの前記アクセス動作があった場合に、前記識別情報を取得する監視部と、
前記監視部によって取得した識別情報が前記認証管理データファイルに登録された識別情報と一致するか否かを照合する照合部と、
前記取得した識別情報が前記登録された識別情報と一致する場合に、一致する前記識別情報のユーザについての施設への入退室状況を、前記ネットワークに接続され、前記施設へのユーザの入退室を管理する入退室管理システムに対して照会する照会部と、
照会結果に基づいて、前記アクセス動作の許可又は拒否を決定する決定部と、
を備えたことを特徴とする認証装置。
【請求項2】
前記クライアント端末は、前記ネットワーク上のリソースへのアクセスに際してユーザに操作され、
前記認証管理データファイルは、前記リソースのうち、アクセス制限の対象となる前記リソースであるアクセス制限対象リソースに関する情報と、前記識別情報としてユーザを一意に識別するためのユーザ情報とが登録され、
前記監視部は、前記クライアント端末による前記リソースへのアクセス動作を監視し、前記クライアント端末から前記アクセス制限対象リソースへのアクセス動作があった場合に、前記クライアント端末にユーザ情報の入力を促して、前記クライアント端末から前記識別情報として前記ユーザ情報の入力を受け付け、
前記照合部は、前記クライアント端末から入力を受け付けたユーザ情報が前記認証管理データファイルに登録されたユーザ情報と一致するか否かを照合し、
前記決定部は、前記照会結果に基づいて、前記アクセス制限対象リソースへのアクセスの許可又は拒否を決定することを特徴とする請求項1に記載の認証装置。
【請求項3】
前記決定部は、前記ユーザが、アクセスした前記アクセス制限対象リソースが配置されている施設に在室することが判明した場合に、前記アクセス制限対象リソースへのアクセスの許可を決定することを特徴とする請求項2に記載の認証装置。
【請求項4】
前記認証管理データファイルは、前記アクセス制限対象リソースに関する情報として、前記アクセス制限対象リソースへのアクセスを許可するエリアである許可エリアが登録され、
前記決定部は、前記照会部によりユーザが、アクセスした前記アクセス制限対象リソースに対応する前記許可エリアに在室することが判明した場合に、前記アクセス制限対象リソースへのアクセスの許可を決定することを特徴とする請求項2に記載の認証装置。
【請求項5】
前記認証管理データファイルは、前記アクセス制限対象リソースに関する情報として、前記アクセス制限対象リソースへのアクセスを許可しないエリアである不許可エリアが登録され、
前記決定部は、前記照会部によりユーザが、アクセスした前記アクセス制限対象リソースに対応する前記不許可エリアに在室することが判明した場合に、前記アクセス制限対象リソースへのアクセスの拒否を決定することを特徴とする請求項2に記載の認証装置。
【請求項6】
前記認証管理データファイルに、前記アクセス制限対象リソースに関する情報と前記ユーザ情報とを登録する登録部をさらに備えたことを特徴とする請求項2に記載の認証装置。
【請求項7】
前記クライアント端末は、前記ユーザに操作されることによって前記ネットワークに無線通信により接続可能であり、
前記認証管理データファイルは、前記クライアント端末を一意に識別するためのアドレス情報と、前記ユーザを一意に識別するためのユーザ情報とが対応付けて登録され、
前記監視部は、前記クライアント端末による前記ネットワークへの接続要求を監視し、前記クライアント端末から前記ネットワークへの接続要求があった場合に、前記接続要求から、前記識別情報として前記クライアント端末の前記アドレス情報を抽出し、
前記照合部は、前記認証管理データファイルに登録されたアドレス情報と、抽出したアドレス情報とが一致するか否かを照合し、
前記決定部は、前記照会結果に基づいて、前記クライアント端末の前記ネットワークへの接続の許可または拒否を決定することを特徴とする請求項1に記載の認証装置。
【請求項8】
前記認証管理データファイルは、さらに、前記ネットワークへの接続要求を許可するエリアである許可エリアが登録され、
前記決定部は、前記照会部によりユーザが前記許可エリアに在室することが判明した場合に、前記クライアント端末の前記ネットワークへの接続の許可を決定することを特徴とする請求項7に記載の認証装置。
【請求項9】
前記認証管理データファイルは、さらに、前記ネットワークへの接続を許可しないエリアである不許可エリアが登録され、
前記決定部は、前記照会部によりユーザが前記不許可エリアに在室することが判明した場合に、前記クライアント端末の前記ネットワークへの接続の拒否を決定することを特徴とする請求項7に記載の認証装置。
【請求項10】
前記クライアント端末から前記ネットワークへの接続要求があった場合に、前記クライアント端末との間の距離を測定する測定部をさらに備え、
前記認証管理データファイルは、さらに、前記ユーザ情報に、前記ネットワークへの接続要求の可否判断処理を実行するか否かを判断するための距離の範囲である許可範囲が対応付けて登録され、
前記決定部は、さらに、前記測定部により測定された距離が前記許可範囲内であるか否かを判断し、前記測定された距離が前記許可範囲外であると判断した場合に、前記ネットワークへの接続の拒否を決定し、
前記監視部は、さらに、前記クライアント端末から前記ネットワークへの接続要求があった場合であって、前記測定された距離が前記許可範囲内である場合に、前記接続要求から、前記識別情報として前記クライアント端末の前記アドレス情報を抽出することを特徴とする請求項7に記載の認証装置。
【請求項11】
前記認証管理データファイルに、前記アドレス情報と前記ユーザ情報とを対応付けて登録する登録部をさらに備えたことを特徴とする請求項7に記載の認証装置。
【請求項12】
認証装置であって、
ユーザに操作されるクライアント端末を一意に識別するためのアドレス情報と、前記ユーザを一意に識別するためのユーザ情報と、ネットワークへの接続要求の可否を決定するための距離の範囲である許可範囲とが対応付けて登録された認証管理データファイルを記憶する記憶部と、
前記クライアント端末による前記ネットワークへの接続要求を監視し、前記クライアント端末から前記ネットワークへの接続要求があった場合に、前記接続要求から、前記識別情報として前記クライアント端末の前記アドレス情報を抽出する監視部と、
前記監視部によって取得したアドレス情報が前記認証管理データファイルに登録されたアドレス情報と一致するか否かを照合する照合部と、
前記クライアント端末との間の距離を測定する測定部と、
前記測定部により測定された距離が、照合により一致したアドレス情報に対応する前記許可範囲内であるか否かを判断し、前記測定された距離が前記許可範囲内であると判断した場合に、前記ネットワークへの接続の許可を決定し、前記測定された距離が前記許可範囲外であると判断した場合に、前記ネットワークへの接続の拒否を決定する決定部と、
を備えたことを特徴とする認証装置。
【請求項13】
認証装置で実行される認証方法であって、
前記認証装置は、ユーザに操作されるクライアント端末または前記ユーザを一意に識別するための識別情報が登録された認証管理データファイルを記憶する記憶部を備え、
前記クライアント端末による所定のアクセス動作を監視し、前記クライアント端末からの前記アクセス動作があった場合に、前記識別情報を取得する監視ステップと、
前記監視部によって取得した識別情報が前記認証管理データファイルに登録されたユーザ情報と一致するか否かを照合する照合ステップと、
前記取得した識別情報が前記登録された識別情報と一致する場合に、一致する前記識別情報のユーザについての施設への入退室状況を、前記ネットワークに接続され、前記施設へのユーザの入退室を管理する入退室管理システムに対して照会する照会ステップと、
照会結果に基づいて、前記アクセス動作の許可又は拒否を決定する決定ステップと、
を含むことを特徴とする認証方法。
【請求項14】
コンピュータを、
ユーザに操作されるクライアント端末または前記ユーザを一意に識別するための識別情報が登録された認証管理データファイルを記憶する記憶部と、
前記クライアント端末による所定のアクセス動作を監視し、前記クライアント端末からの前記アクセス動作があった場合に、前記識別情報を取得する監視部と、
前記監視部によって取得した識別情報が前記認証管理データファイルに登録されたユーザ情報と一致するか否かを照合する照合部と、
前記取得した識別情報が前記登録された識別情報と一致する場合に、一致する前記識別情報のユーザについての施設への入退室状況を、前記ネットワークに接続され、前記施設へのユーザの入退室を管理する入退室管理システムに対して照会する照会手段と、
照会結果に基づいて、前記アクセス動作の許可又は拒否を決定する決定部と、
して機能させるプログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】
【公開番号】特開2009−20868(P2009−20868A)
【公開日】平成21年1月29日(2009.1.29)
【国際特許分類】
【出願番号】特願2008−132879(P2008−132879)
【出願日】平成20年5月21日(2008.5.21)
【出願人】(000006747)株式会社リコー (37,907)
【Fターム(参考)】
【公開日】平成21年1月29日(2009.1.29)
【国際特許分類】
【出願日】平成20年5月21日(2008.5.21)
【出願人】(000006747)株式会社リコー (37,907)
【Fターム(参考)】
[ Back to top ]