通信システム、通信装置及び認証装置
【課題】 低コストで、接続先ネットワークに接続しようとする通信装置の使用場所を制限する。
【解決手段】
本発明は、通信装置と、通信装置を接続先ネットワークに接続させるか否かに係る認証を行う認証装置とを備える通信システムに関する。そして、通信装置は、周辺通信装置識別情報に基づいて設置されている位置に係る位置固有情報を生成する手段と、認証装置に認証を依頼する際に、少なくとも位置固有情報を与える手段とを有する。また、認証装置は、通信装置に対して接続先ネットワークへの接続を許可する認証を行う位置に係る位置固有情報を格納している手段と、通信装置から認証を依頼された際に、少なくとも位置固有情報の照合結果に基づいて認証結果の判定を行う手段とを有することを特徴とする。
【解決手段】
本発明は、通信装置と、通信装置を接続先ネットワークに接続させるか否かに係る認証を行う認証装置とを備える通信システムに関する。そして、通信装置は、周辺通信装置識別情報に基づいて設置されている位置に係る位置固有情報を生成する手段と、認証装置に認証を依頼する際に、少なくとも位置固有情報を与える手段とを有する。また、認証装置は、通信装置に対して接続先ネットワークへの接続を許可する認証を行う位置に係る位置固有情報を格納している手段と、通信装置から認証を依頼された際に、少なくとも位置固有情報の照合結果に基づいて認証結果の判定を行う手段とを有することを特徴とする。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、通信システム、通信装置及び認証装置に関し、例えば、通信端末を収容して接続先のネットワークに接続させるリモートアクセスポイントに適用し得る。
【背景技術】
【0002】
例えば、外出先等からクライアント端末を接続先のネットワーク(例えば、社内ネットワーク)にリモートアクセスさせるための通信装置(例えば、リモートアクセスポイント装置)は、社外の不特定の場所で使用される可能性があり、セキュリティの面から使用場所を限定(例.在宅勤務用途につき使用する場所を社員の自宅に制限)し使用の制限をさせる企業がある。
【0003】
従来のリモートアクセスの使用場所を制限する方式としては、例えば、特許文献1に記載されている認証方法が挙げられる。特許文献1においては、クライアント端末(個人認証装置)の使用場所を特定し使用場所の制限をするために、GPS(Global Positioning System)受信機を内蔵、もしくはGPS接続インタフェースを具備しGPS受信機を接続して、クライアント端末の位置情報をGPS受信機より取得し、クライアント端末は、接続先のネットワークに接続する際に、認証装置に認証情報としてその位置情報を送信する。そして、認証装置側では、クライアント端末から送信された位置情報に応じて接続先ネットワークに接続させるか否かの認証を行う。
【先行技術文献】
【特許文献】
【0004】
【特許文献1】特開2007−220075号公報
【発明の概要】
【発明が解決しようとする課題】
【0005】
しかしながら、特許文献1に記載の方式では、GPS衛星からの電波が微弱であるため,屋内での電波の減衰により測位ができず位置情報取得が困難な場合が多く、結果リモートアクセスポイントの使用場所を屋内にしようとする場合には問題になる。
【0006】
また、リモートアクセスポイントにGPS受信機を内蔵、もしくは外部に接続しなければならず機器のコストも高価になる。
【0007】
そのため、低コストで、接続先ネットワークに接続しようとする通信装置の使用場所を制限することができる通信システム、通信装置及び認証装置が望まれている。
【課題を解決するための手段】
【0008】
第1の本発明の通信システムは、(1)通信装置と、上記通信装置を接続先ネットワークに接続させるか否かに係る認証を行う認証装置とを備える通信システムにおいて、(2)上記通信装置は、(2−1)上記通信装置の周辺に配置されている周辺通信装置のそれぞれから、周辺通信装置識別情報を保持する識別情報保持手段と、(2−2)上記識別情報保持手段が保持した周辺通信装置識別情報に基づいて、上記通信装置が設置されている位置に係る位置固有情報を生成する位置固有情報生成手段と、(2−3)上記認証装置に認証を依頼する際に、上記認証装置に、少なくとも上記位置固有情報生成手段が生成した位置固有情報を与える認証依頼手段とを有し、(3)上記認証装置は、(3−1)上記通信装置に対して上記接続先ネットワークへの接続を許可する認証を行う接続許可位置に係る位置固有情報が格納されている位置固有情報格納手段と、(3−2)上記通信装置から認証を依頼された際に、上記通信装置から与えられた位置固有情報と、上記位置固有情報格納手段に格納されている位置固有情報とを照合し、少なくともその照合結果に基づいて、認証結果の判定を行う認証判定手段とを有することを特徴とする。
【0009】
第2の本発明の通信装置は、(1)通信装置と、上記通信装置を接続先ネットワークに接続させるか否かに係る認証を行う認証装置とを備える通信システムを構成する上記通信装置において、(2)上記通信装置の周辺に配置されている周辺通信装置のそれぞれから、周辺通信装置識別情報を保持する識別情報保持手段と、(3)上記識別情報保持手段が保持した周辺通信装置識別情報に基づいて、上記通信装置が設置されている位置に係る位置固有情報を生成する位置固有情報生成手段と、(4)上記認証装置に認証を依頼する際に、上記認証装置に、少なくとも上記位置固有情報生成手段が生成した位置固有情報を与える認証依頼手段とを有することを特徴とする。
【0010】
第3の本発明の認証装置は、(1)通信装置と、上記通信装置を接続先ネットワークに接続させるか否かに係る認証を行う認証装置とを備える通信システムを構成する上記認証装置において、(2)上記通信装置に対して上記接続先ネットワークへの接続を許可する認証を行う接続許可位置に係る位置固有情報として、上記接続許可位置の周辺に配置されている周辺通信装置の周辺通信装置識別情報が格納されている位置固有情報格納手段と、(3)上記通信装置から認証を依頼された際に、上記通信装置から与えられた位置固有情報と、上記位置固有情報格納手段に格納されている位置固有情報とを照合し、少なくともその照合結果に基づいて、認証結果の判定を行う認証判定手段とを有することを特徴とする。
【発明の効果】
【0011】
低コストで、接続先ネットワークに接続しようとする通信装置の使用場所を制限する。
【図面の簡単な説明】
【0012】
【図1】第1の実施形態に係る通信システムの全体構成について示したブロック図である。
【図2】第1の実施形態に係るリモートアクセスポイント(通信装置)内部の機能的構成について示したブロック図である。
【図3】第1の実施形態に係る位置固有情報の構成例について示した説明図である。
【図4】第1の実施形態の通信システムにおける認証動作について説明したフローチャートである。
【図5】第2の実施形態に係るリモートアクセスポイント(通信装置)内部の機能的構成について示したブロック図である。
【図6】第2の実施形態に係る位置固有情報の構成例について示した説明図である。
【発明を実施するための形態】
【0013】
(A)第1の実施形態
以下、本発明による通信システム、通信装置及び認証装置の第1の実施形態を、図面を参照しながら詳述する。なお、第1の実施形態の収容装置は、リモートアクセスポイントである。なお、第1の実施形態においては、本発明の通信装置をリモートアクセスポイントに適用した場合の例について説明している。
【0014】
(A−1)第1の実施形態の構成
図1は、この実施形態の通信システムの全体構成を示すブロック図である。
【0015】
図1に示す通信システムでは、所定の位置(ユーザの自宅等)に設置されたリモートアクセスポイント2に収容されたクライアント端末3を、VPN接続によりインターネット9を経由して、接続先の社内ネットワーク10(例えば、クライアント端末3のユーザが所属する社内のネットワーク)に接続させる。
【0016】
クライアント端末3としては、例えば、既存のパソコン(ノートパソコン等)等の端末を適用することができる。
【0017】
第1の実施形態においては、例として、図1に示すように、リモートアクセスポイント2、クライアント端末3、自宅用端末7、ブロードバンドルータ4が、クライアント端末3のユーザの自宅に配置されているものとする。
【0018】
自宅用端末7は、例えば、既存のパソコン(デスクトップパソコン等)等の端末を適用することができる。
【0019】
また、図1に示すように、リモートアクセスポイント2、ブロードバンドルータ4、自宅用端末7は、自宅内有線LAN11に接続されているものとする。図1において図示は省略しているが、自宅内有線LAN11は、ハブ等の装置により構成するようにしても良いし、ブロードバンドルータ4の配下に直接配線されたものであってもよく、その形式は限定されないものである。
【0020】
ブロードバンドルータ4は、配下の通信装置や通信端末を、インターネット9にアクセスさせるものであり、例えば、既存のブロードバンドルータを適用することができる。自宅用端末7は、ブロードバンドルータ4の配下の通信端末であり、例えば、既存のパソコン等の端末を適用することができる。
【0021】
リモートアクセスポイント2は、ブロードバンドルータ4に配下に配置されており、クライアント端末3を収容して、クライアント端末3を、社内ネットワーク10に接続させる通信装置である。リモートアクセスポイント2は、社内ネットワーク10との間でVPNトンネルを構成し、クライアント端末3を、そのVPNトンネルを介して社内ネットワーク10に接続させるものである。
【0022】
図1では、社内ネットワーク10に、VPNゲートウェイ5、認証装置6、社内サーバ群8が配置されている。
【0023】
VPNゲートウェイ5は、インターネット9上の通信装置を、社内ネットワーク10にVPN接続させるためのゲートウェイである。VPNゲートウェイ5としては、例えば、既存のVPNゲートウェイ装置や、VPNゲートウェイ機能を備えるサーバ等を適用することができる。
【0024】
図1において、VPNゲートウェイ5は、リモートアクセスポイント2からの認証要求を受付け、その認証要求に際して、リモートアクセスポイント2から認証情報が与えられると、その認証情報に基づいて認証依頼を認証装置6に行い、認証装置6から認証OKの応答があった場合にのみ、リモートアクセスポイント2の接続要求に応じてVPN接続を行い、リモートアクセスポイント2(クライアント端末3)を社内ネットワーク10に接続させる。なお、リモートアクセスポイント2からの認証要求における認証情報には、少なくとも、リモートアクセスポイント2の位置に係る情報(以下、「位置固有情報」という)が含まれている。なお、位置固有情報の詳細については、後述する。
【0025】
認証装置6は、上述の通り、VPNゲートウェイ5の依頼に応じて、VPNゲートウェイ5に認証OK又は認証NG等の応答を行うものである。
【0026】
認証装置6は、認証依頼に係る通信装置(例えば、リモートアクセスポイント2)ごとの認証情報を格納する認証情報格納部61を備えている。
【0027】
認証装置6では、少なくともVPNゲートウェイ5からの認証依頼と共に与えられた認証情報と、認証情報格納部61に格納している認証情報との照合結果を用いて、認証OK又は認証NGの判断を行う。上述の通り、リモートアクセスポイント2からの認証要求における認証情報には、少なくとも位置固有情報が含まれており、認証情報格納部61に格納される認証情報にも少なくとも位置固有情報が含まれている。すなわち、認証装置6は、少なくとも、リモートアクセスポイント2から与えられた位置固有情報と、認証情報格納部61に格納されているリモートアクセスポイント2に係る位置固有情報とを照合した結果を、認証OK又は認証NGの判断に用いる(その他の方式と組み合わせて認証の判断をするようにしても良い)。なお、認証装置6における位置固有情報の照合方法については後述する。
【0028】
社内サーバ群8は、クライアント端末3がアクセスしようとするアプリケーションサーバやファイルサーバ等のサーバ群である。社内サーバ群8におけるサーバの機能や台数は、限定されないものである。
【0029】
次に、リモートアクセスポイント2の構成の詳細及び、「位置固有情報」の詳細について説明する。
【0030】
図2は、リモートアクセスポイント2内部の機能的構成について示した説明図である。
【0031】
リモートアクセスポイント2は、既存のVPNトンネリング制御可能なルータやアクセスポイント等のネットワーク装置に、位置固有情報を生成する機能と、VPNトンネリングを作成する際にVPNゲートウェイ5へ認証を要求する際の認証情報に、少なくとも生成した位置固有情報を含ませる機能を付加することにより構築することができる。
【0032】
リモートアクセスポイント2は、主制御部21、位置固有情報保持部22(MACアドレス保持部221、位置固有情報出力部222)、WAN側I/F制御部25、WAN側I/F23、LAN側I/F制御部26、LAN側I/F34を有している。
【0033】
図2において、リモートアクセスポイント2は、例えば、ハードウェア的な通信部の他は、通信処理やデータ処理等(主制御部21の機能にかかるプログラム)を実行するためのCPU、ROM、RAM等を有しており、CPUが実行するプログラム(位置固有情報保持部22の機能に係るプログラムを含む)がインストールされている。上述したプログラムを含め、リモートアクセスポイント2の機能的構成を示すと図2に示すようになる。なお、主制御部21、位置固有情報保持部22は全てソフトウェアにより構築しても良いし、一部又は全部をハードウェアにより構築しても良い。
【0034】
WAN側I/F23、LAN側I/F34は、リモートアクセスポイント2における有線LANインタフェースである。WAN側I/F23は、インターネット9側(ブロードバンドルータ4)と接続するためのインタフェースであり、LAN側I/F34は、LAN側(クライアント端末3)と接続するためのインタフェースである。
【0035】
WAN側I/F制御部25、LAN側I/F制御部26は、それぞれWAN側I/F23、LAN側I/F34の物理層などに係る制御を行うものであり、例えば、既存のルータやアクセスポイント等のネットワーク装置において、LANインタフェースの物理層などに係る制御を行うチップ等が該当する。
【0036】
主制御部21は、リモートアクセスポイント2の動作全体を制御する機能を担っている。主制御部21としては、例えば、既存のVPNトンネリング制御可能なルータやアクセスポイント等のネットワーク装置において全体動作の制御を行う制御部に、認証装置6(VPNゲートウェイ5)へ認証を要求する際の認証情報に、少なくとも後述する位置固有情報保持部22が生成した位置固有情報を含ませる機能(プログラム)を付加することにより構築しても良い。
【0037】
位置固有情報保持部22は、位置固有情報を生成する機能を担っている。
【0038】
位置固有情報保持部22が生成する位置固有情報には、リモートアクセスポイント2の周辺に設置されている通信装置(以下、「周辺通信装置」という)の固有の識別情報(以下、「周辺装置識別情報」という)が含まれている。第1の実施形態においては、周辺通信装置識別情報としては、周辺通信装置のMACアドレスを適用するものとして説明するが、周辺装置識別情報は、これに限定されず、周辺通信装置固有の他の情報(例えば、シリアルナンバーや電子証明書等)を適用するようにしても良いし、複数種類の情報を組み合わせて適用するようにしても良い。例えば、図1においては、リモートアクセスポイント2の周辺通信装置としては、リモートアクセスポイントが接続されている自宅ネットワークN3内の他の通信装置であるブロードバンドルータ4、自宅用端末7が該当する。位置固有情報保持部22は、全ての周辺通信装置の周辺通信装置識別情報に基づいて位置固有情報を生成する。
【0039】
図3は、リモートアクセスポイント2に係る位置固有情報の構成例について示した説明図である。
【0040】
図3では、位置固有情報に含まれている「アドレスA1」は、ブロードバンドルータ4のMACアドレス(LAN側)を示しており、「アドレスA2」は、自宅用端末7のMACアドレスを示しているものとする。
【0041】
位置固有情報としては、例えば、図3に示すように、単に全ての周辺通信装置識別情報を並べたデータでも良いし、全ての周辺装置識別情報をまとめて暗号化や圧縮などの加工を施したデータであってもよく、全ての周辺通信装置の周辺通信装置識別情報に基づいた情報であれば、その形式は問われないものである。
【0042】
そして、MACアドレス保持部221は、位置固有情報保持部22において、周辺通信装置の周辺通信装置識別情報(MACアドレス)を保持する機能を担っている。
【0043】
MACアドレス保持部221が、周辺通信装置のMACアドレスを保持する方法としては、例えば、WAN側I/F部23を監視して、WAN側I/F部23に到達したパケット(イーサネット(登録商標)フレーム)の内容から、周辺通信装置のMACアドレスを抽出するようにしても良い。例えば、自宅内有線LAN11が既存のリピータハブで構成されている場合には、自宅内有線LAN11上で発生したパケットは、全てWAN側I/F部23にも到達するので、MACアドレス保持部221では、それらのパケットの内容から周辺通信装置のMACアドレスを抽出することができる。また、例えば、自宅内有線LAN11が既存のスイッチングハブ(いわゆるレイヤ2スイッチ等)で構成されている場合でも、リモートアクセスポイント2を送信先とするパケットや、自宅内有線LAN11上で発生したブロードキャストパケットは、WAN側I/F部23に到達するので、MACアドレス保持部221では、それらのパケットの内容から周辺通信装置のMACアドレスを抽出することができる。
【0044】
また、リモートアクセスポイント2においては、受動的にWAN側I/F部23に到達したパケットを監視するだけでなく、能動的に自宅内有線LAN11上の通信装置を検索して、周辺通信装置のMACアドレスを取得するようにしても良い。リモートアクセスポイント2が能動的に自宅内有線LAN11上の通信装置を検索する方法としては、例えば、自宅内有線LAN11のブロードキャストアドレスを宛先として、Ping(ICMP ECHO)を送信して、周辺通信装置からの応答パケットを取得するようすることなどが挙げられる。このように、MACアドレス保持部221において、周辺通信装置のMACアドレスを保持する手段は、上述のような受動的や能動的な方法であっても良く、限定されないものである。
【0045】
MACアドレス保持部221により、保持された全てのMACアドレスは位置固有情報出力部222へ入力される。そして、位置固有情報出力部222は、MACアドレス保持部221から入力された全てのMACアドレスをまとめて位置固有情報を生成し、主制御部21に引き渡す。
【0046】
次に、認証装置6における、認証方法の詳細について説明する。
【0047】
上述の通り、認証装置6では、少なくとも、リモートアクセスポイント2から与えられた位置固有情報と、認証情報格納部61に格納されているリモートアクセスポイント2に係る位置固有情報とを照合した結果を、認証OK又は認証NGの判断に用いる。
【0048】
例えば、認証装置6では、リモートアクセスポイント2から与えられた位置固有情報が図3に示すような「アドレスA1+アドレスA2」という情報であり、認証情報格納部61に格納されているリモートアクセスポイント2に係る位置固有情報も「アドレスA1+アドレスA2」と全く同じ場合には、認証OKと判断しても良い。
【0049】
また、認証装置6では、リモートアクセスポイント2から与えられた位置固有情報に、少なくとも認証情報格納部61に格納されている位置固有情報のMACアドレスが含まれている場合にも認証OKと判断するようにしても良い。例えば、認証装置6では、認証情報格納部61に格納されている位置固有情報が「アドレスA1」のみで、リモートアクセスポイント2から与えられた位置固有情報が「アドレスA1+アドレスA2」であった場合には、少なくとも認証情報格納部61に格納されている位置固有情報のMACアドレスが含まれていると判断でき、認証OKと判断するようにしても良い。また、位置固有情報においてMACアドレスが記載される順番も限定せずに照合するようにしても良い。
【0050】
また、認証情報格納部61には、認証要求をするクライアント側の通信装置(例えば、リモートアクセスポイント2)ごとに、位置固有情報を格納するようにしても良い。例えば、リモートアクセスポイント2の識別情報(例えば、製造番号、ID、MACアドレス等)と、リモートアクセスポイント2の位置固有情報を対応付けて格納するようにしても良い。そして、認証装置6では、リモートアクセスポイント2からの認証依頼と共に、リモートアクセスポイント2の識別情報が与えられると、その識別情報をキーとして、リモートアクセスポイント2に係る位置固有情報を検索するようにしても良い。
【0051】
また、認証装置6では、認証情報格納部61に、リモートアクセスポイント2に係る位置固有情報を複数格納し、複数の位置固有情報のうちいずれか1つと、リモートアクセスポイント2から与えられた位置固有情報とが一致した場合に認証OKと判定するようにしても良い。
【0052】
なお、認証装置6では上述の位置固有情報の照合結果の他、既存のパスワード認証等の他の認証方式と組み合わせて認証を行うようにしても良い。また、リモートアクセスポイント2に対する認証が認証OKの結果であった場合でも、さらに、その配下のクライアント端末3に対する認証(例えば、パスワード認証等)を行うようにしても良い。
【0053】
(A−2)第1の実施形態の動作
次に、以上のような構成を有する第1の実施形態の通信システム1における認証の動作を説明する。
【0054】
図4は、通信システム1における、リモートアクセスポイント2と認証装置6との間の認証に係る動作について示したフローチャートである。
【0055】
なお、図4のフローチャートにおいては、認証情報格納部61には、リモートアクセスポイント2に係る位置固有情報として、予め上述の図3に示すものが登録されているものとして説明する。また、図4においては、説明を簡易にするため図示を省略しているがリモートアクセスポイント2と認証装置6との間の認証に係る通信は、実際には、VPNゲートウェイ5が間に介在している。
【0056】
まず、リモートアクセスポイント2から、VPNゲートウェイ5を介して、認証装置6に認証依頼があり(S101)、認証装置6からリモートアクセスポイント2に、その認証要求に対して確認応答があったものとする(S102)。
【0057】
次に、リモートアクセスポイント2では、位置固有情報保持部22により保持された周辺通信装置の周辺通信装置識別情報(MACアドレス)に基づいて位置固有情報が生成され(図3と同様の内容が生成される)、その位置固有情報が、認証装置6に与えられる(S103)。なお、位置固有情報保持部22は、予め位置固有情報を保持しておいても良いし、認証の都度生成するようにしても良く、位置固有情報を生成するタイミングは限定されないものである。また、位置固有情報保持部22が予め位置固有情報を生成する場合には、その位置固有情報に有効期限を設けて、有効期限を経過した位置固有情報を廃棄するようにしても良い。
【0058】
次に、認証装置6では、認証情報格納部61に格納されているリモートアクセスポイント2に係る位置固有情報と、上述のステップS103においてリモートアクセスポイント2から与えられた位置固有情報とを照合し、一致する場合には認証OKと判定し、一致しない場合には認証NGと判定し(S104)認証結果をリモートアクセスポイント2に通知する(S105)。
【0059】
上述のステップS105において、認証OKの場合には、その後リモートアクセスポイント2とVPNゲートウェイ5との間でVPN接続が開始され、リモートアクセスポイント2の配下のクライアント端末3は、社内ネットワーク10にアクセスし、社内サーバ群8等を利用することができるが、認証NGの場合には、リモートアクセスポイント2とVPNゲートウェイ5との間でVPN接続されることはない。
【0060】
ここでは、リモートアクセスポイント2から認証装置6に与えられた位置固有情報と、認証装置6において、リモートアクセスポイント2に係るものとして登録されている位置固有情報とは、いずれも上述の図3に示す内容であるので、認証OKという結果となる。
【0061】
(A−3)第1の実施形態の効果
第1の実施形態によれば、以下のような効果を奏することができる。
【0062】
認証装置6では、登録を許可しても良い位置の位置固有情報、すなわち格納している位置固有情報と、リモートアクセスポイント2から与えられた位置固有情報が一致しない場合には、認証NGの判断をするので、例えば、リモートアクセスポイント2が盗難され、パスワード等も流出してしまった場合でも、設置場所や接続箇所が異なれば生成される位置固有情報も異なるため、第三者による不正アクセスの防止をすることができる。
【0063】
通信システム1では、リモートアクセスポイント2(クライアント端末3)の位置固有情報として、リモートアクセスポイント2の周辺の通信装置のMACアドレスを用いているので、リモートアクセスポイント2にGPS受信機を内蔵、もしくは外部接続することなく、リモートアクセスポイント2の使用場所の制限をすることが可能であり、認証に係るコストを低減することができる。
【0064】
また、通信システム1では、GPSを利用せずに、リモートアクセスポイント2(クライアント端末3)の位置固有情報を生成することができるので、GPSを利用しないのでGPSの位置情報が受信できない様な電波状況の屋内環境下において、リモートアクセスポイント2(クライアント端末3)の使用を許可する場合でも、リモートアクセスポイント2の使用場所を管理することが可能になる。
【0065】
また、通信システム1では、位置固有情報とし周辺通信装置のMACアドレスを用いているが、MACアドレスは、通常は、その装置やインタフェース固有の情報であるため同じMACアドレスの装置が存在することはなく、また、IPアドレスのように変更することは非常に困難であることから、位置固有情報の捏造を防止することができる。
【0066】
(B)第2の実施形態
以下、本発明による通信システム、通信装置及び認証装置の第2の実施形態を、図面を参照しながら詳述する。なお、第1の実施形態の収容装置は、リモートアクセスポイントである。なお、第1の実施形態においては、本発明の通信装置をリモートアクセスポイントに適用した場合の例について説明している。
【0067】
(B−1)第2の実施形態の構成
図5は、この実施形態の通信システム1Aの全体構成を示すブロック図であり、上述した図1との同一、対応部分には同一、対応符号を付して示している。
【0068】
第2の実施形態の通信システム1Aでは、リモートアクセスポイント2Aがクライアント端末3Aと無線通信LANで接続され、さらに、リモートアクセスポイント2Aはインターネット9へ携帯電話網(携帯電話端末4A)を経由して接続される点であり、有線LANを使用せずにリモートアクセスを実施する点で第1の実施形態と異なっている。
【0069】
また、リモートアクセスポイント2Aの周辺には、無線LANアクセスポイント9と、無線LANアクセスポイント9に収容されている自宅用端末7Aが配置されているものとする。なお、無線LANアクセスポイント9は既存の無線LANに対応したアクセスポイント装置であり、自宅用端末7Aも、既存の無線LANに対応したパソコン等の端末であるものとする。
【0070】
また、携帯電話端末4Aは、配下の通信装置を携帯電話網を介してインターネットに接続させてデータ通信させることができる既存の携帯電話端末を適用することができる。
【0071】
なお、図5において、リモートアクセスポイント2A、クライアント端末3A、自宅用端末7A、無線LANアクセスポイント9は、同じ無線LAN方式に対応しているものとする。採用される無線LAN方方式は限定されないが、例えば、IEEE 802.11シリーズ等の方式を適用したものであっても良い。
【0072】
また、図5において、社内ネットワーク10側の構成(VPNゲートウェイ5、認証装置6、社内サーバ群8)については、第1の実施形態と同様のものを適用することができるので、詳しい説明を省略する。
【0073】
図6は、リモートアクセスポイント2A内部の機能的構成について示した説明図であり、上述した図2との同一、対応部分には同一、対応符号を付して示している。
【0074】
リモートアクセスポイント2Aは、主制御部21A、位置固有情報保持部22A、WAN側I/F部23A、LAN側I/F部24Aを有している。
【0075】
WAN側I/F部23Aは、携帯電話端末4Aに接続するためのコネクタ235と、I/F回路234と、携帯電話データ通信制御部233を有している。WAN側I/F部23Aは、既存のアクセスポイントやパソコン等の通信装置において、携帯電話端末経由でインターネット等に接続するためのインタフェースを適用することができる。
【0076】
LAN側I/F部24Aは、無線LAN用の接続アンテナ及び回路を有するRF回路244、無線LAN通信制御部243有している。LAN側I/F部24Aは、既存のアクセスポイントやパソコン等の通信装置における、無線LAN接続するためのインタフェースを適用することができる。
【0077】
主制御部21Aは、リモートアクセスポイント2Aが有するインタフェース(WAN側I/F部23A、LAN側I/F部24A)の種類の差異から発生する制御内容が異なる点で、第1の実施形態のものと異なっている。
【0078】
第1の実施形態の位置固有情報保持部22は、WAN側I/F部23に到達したパケットをモニタして、周辺通信装置のMACアドレスを取得していたが、第2の実施形態では、リモートアクセスポイント2AはLAN側のインタフェースが、有線LANではなく無線LANを採用しているので、周辺通信装置のMACアドレスを取得が第1の実施形態と異なっている。
【0079】
位置固有情報保持部22Aは、MACアドレス保持部221A及び位置固有情報出力部222を有しているが、位置固有情報出力部222については第1の実施形態と同様のものであるので詳しい説明は省略する。
【0080】
MACアドレス保持部221Aは、LAN側I/F部24Aをモニタし、リモートアクセスポイント2A等の周辺の無線LANに対応した通信装置によるビーコンパケットの内容から、MACアドレスを抽出保持する点で第1の実施形態のものと異なっている。そして、MACアドレス保持部221Aは、第1の実施形態のMACアドレス保持部221と同様に、保持したMACアドレスをまとめて位置固有情報出力部222に与え、位置固有情報出力部222において第1の実施形態と同様に位置固有情報が生成される。
【0081】
(B−2)第2の実施形態の動作
次に、以上のような構成を有する第2の実施形態の通信システム1Aにおける認証の動作を説明する。
【0082】
通信システム1Aにおける、リモートアクセスポイント2Aと認証装置6との間の認証に係る動作についても上述の図4のフローチャートにより示すことができるため詳しい説明を省略する。第1の実施形態との差異としては、上述のステップS103において、位置固有情報保持部22A(MACアドレス保持部221A)が、周辺通信装置のMACアドレスを無線LANのビーコンパケットに基づいて保持する点である。
【0083】
(B−3)第2の実施形態の効果
第2の実施形態によれば、第1の実施形態の効果に加えて以下のような効果を奏することができる。
【0084】
リモートアクセスポイント2Aは、無線LAN上の周辺通信装置からMACアドレスを取得し、位置固有情報を作成できるので、有線LANに対応していなくても、リモートアクセスポイント2Aの使用場所を管理することができる。
【0085】
(C)他の実施形態
本発明は、上記の各実施形態に限定されるものではなく、以下に例示するような変形実施形態も挙げることができる。
【0086】
(C−1)第1の実施形態ではリモートアクセスポイントが接続されている周辺機器の固有情報としてMACアドレスを利用する例を示したが、IPアドレス(例えば、グローバルIPアドレス)を用いるようにしても良い。
【0087】
(C−2)上記の各実施形態においては、本発明の通信装置をリモートアクセスポイントに適用した例について説明したが、例えば、他の通信装置(例えば、図1におけるクライアント端末3)に適用するようにしても良い。
【0088】
例えば、上述の図1で言えば、クライアント端末3が直接社内ネットワーク10にVPN接続する場合に、リクライアント端末3にモートアクセスポイント2の位置固有情報保持部22を備え、位置固有情報保持部22が保持した位置固有情報を用いて認証を受けるようにしても良い。
【0089】
(C−3)上記の各実施形態においては、リモートアクセスポイントはVPNゲートウェイとの間でVPNトンネルを確立し、VPN接続を介して社内ネットワークに接続しているが、VPNを用いずにアクセスするようにしても良い。その場合、社内ネットワークでは、VPNゲートウェイではなく、ゲートウェイ(ファイやウォール等)を備えて、リモートアクセスポイント2との間の通信を確立するようにしても良い。
【0090】
(C−4)第1の実施形態においては、リモートアクセスポイントは、位置固有情報として有線LAN上を流れるパケットに基づいて周辺通信装置のMACアドレスを保持し、第2の実施形態においては、リモートアクセスポイントは、位置固有情報として無線LAN上のビーコンパケット等に基づいて周辺通信装置のMACアドレスを保持しているが、リモートアクセスポイントが有線LAN及び無線LANの両方に対応する場合には、無線及び有線の両方のLANのパケットを用いた位置固有情報を適用するようにしても良い。
【符号の説明】
【0091】
1…通信システム、2…リモートアクセスポイント、3…クライアント端末、4…ブロードバンドルータ、5…VPNゲートウェイ、6…認証装置、61…認証情報格納部、7…自宅用端末、8…社内サーバ群、9…インターネット、10…社内ネットワーク(接続先ネットワーク)、11…自宅内有線LAN。
【技術分野】
【0001】
本発明は、通信システム、通信装置及び認証装置に関し、例えば、通信端末を収容して接続先のネットワークに接続させるリモートアクセスポイントに適用し得る。
【背景技術】
【0002】
例えば、外出先等からクライアント端末を接続先のネットワーク(例えば、社内ネットワーク)にリモートアクセスさせるための通信装置(例えば、リモートアクセスポイント装置)は、社外の不特定の場所で使用される可能性があり、セキュリティの面から使用場所を限定(例.在宅勤務用途につき使用する場所を社員の自宅に制限)し使用の制限をさせる企業がある。
【0003】
従来のリモートアクセスの使用場所を制限する方式としては、例えば、特許文献1に記載されている認証方法が挙げられる。特許文献1においては、クライアント端末(個人認証装置)の使用場所を特定し使用場所の制限をするために、GPS(Global Positioning System)受信機を内蔵、もしくはGPS接続インタフェースを具備しGPS受信機を接続して、クライアント端末の位置情報をGPS受信機より取得し、クライアント端末は、接続先のネットワークに接続する際に、認証装置に認証情報としてその位置情報を送信する。そして、認証装置側では、クライアント端末から送信された位置情報に応じて接続先ネットワークに接続させるか否かの認証を行う。
【先行技術文献】
【特許文献】
【0004】
【特許文献1】特開2007−220075号公報
【発明の概要】
【発明が解決しようとする課題】
【0005】
しかしながら、特許文献1に記載の方式では、GPS衛星からの電波が微弱であるため,屋内での電波の減衰により測位ができず位置情報取得が困難な場合が多く、結果リモートアクセスポイントの使用場所を屋内にしようとする場合には問題になる。
【0006】
また、リモートアクセスポイントにGPS受信機を内蔵、もしくは外部に接続しなければならず機器のコストも高価になる。
【0007】
そのため、低コストで、接続先ネットワークに接続しようとする通信装置の使用場所を制限することができる通信システム、通信装置及び認証装置が望まれている。
【課題を解決するための手段】
【0008】
第1の本発明の通信システムは、(1)通信装置と、上記通信装置を接続先ネットワークに接続させるか否かに係る認証を行う認証装置とを備える通信システムにおいて、(2)上記通信装置は、(2−1)上記通信装置の周辺に配置されている周辺通信装置のそれぞれから、周辺通信装置識別情報を保持する識別情報保持手段と、(2−2)上記識別情報保持手段が保持した周辺通信装置識別情報に基づいて、上記通信装置が設置されている位置に係る位置固有情報を生成する位置固有情報生成手段と、(2−3)上記認証装置に認証を依頼する際に、上記認証装置に、少なくとも上記位置固有情報生成手段が生成した位置固有情報を与える認証依頼手段とを有し、(3)上記認証装置は、(3−1)上記通信装置に対して上記接続先ネットワークへの接続を許可する認証を行う接続許可位置に係る位置固有情報が格納されている位置固有情報格納手段と、(3−2)上記通信装置から認証を依頼された際に、上記通信装置から与えられた位置固有情報と、上記位置固有情報格納手段に格納されている位置固有情報とを照合し、少なくともその照合結果に基づいて、認証結果の判定を行う認証判定手段とを有することを特徴とする。
【0009】
第2の本発明の通信装置は、(1)通信装置と、上記通信装置を接続先ネットワークに接続させるか否かに係る認証を行う認証装置とを備える通信システムを構成する上記通信装置において、(2)上記通信装置の周辺に配置されている周辺通信装置のそれぞれから、周辺通信装置識別情報を保持する識別情報保持手段と、(3)上記識別情報保持手段が保持した周辺通信装置識別情報に基づいて、上記通信装置が設置されている位置に係る位置固有情報を生成する位置固有情報生成手段と、(4)上記認証装置に認証を依頼する際に、上記認証装置に、少なくとも上記位置固有情報生成手段が生成した位置固有情報を与える認証依頼手段とを有することを特徴とする。
【0010】
第3の本発明の認証装置は、(1)通信装置と、上記通信装置を接続先ネットワークに接続させるか否かに係る認証を行う認証装置とを備える通信システムを構成する上記認証装置において、(2)上記通信装置に対して上記接続先ネットワークへの接続を許可する認証を行う接続許可位置に係る位置固有情報として、上記接続許可位置の周辺に配置されている周辺通信装置の周辺通信装置識別情報が格納されている位置固有情報格納手段と、(3)上記通信装置から認証を依頼された際に、上記通信装置から与えられた位置固有情報と、上記位置固有情報格納手段に格納されている位置固有情報とを照合し、少なくともその照合結果に基づいて、認証結果の判定を行う認証判定手段とを有することを特徴とする。
【発明の効果】
【0011】
低コストで、接続先ネットワークに接続しようとする通信装置の使用場所を制限する。
【図面の簡単な説明】
【0012】
【図1】第1の実施形態に係る通信システムの全体構成について示したブロック図である。
【図2】第1の実施形態に係るリモートアクセスポイント(通信装置)内部の機能的構成について示したブロック図である。
【図3】第1の実施形態に係る位置固有情報の構成例について示した説明図である。
【図4】第1の実施形態の通信システムにおける認証動作について説明したフローチャートである。
【図5】第2の実施形態に係るリモートアクセスポイント(通信装置)内部の機能的構成について示したブロック図である。
【図6】第2の実施形態に係る位置固有情報の構成例について示した説明図である。
【発明を実施するための形態】
【0013】
(A)第1の実施形態
以下、本発明による通信システム、通信装置及び認証装置の第1の実施形態を、図面を参照しながら詳述する。なお、第1の実施形態の収容装置は、リモートアクセスポイントである。なお、第1の実施形態においては、本発明の通信装置をリモートアクセスポイントに適用した場合の例について説明している。
【0014】
(A−1)第1の実施形態の構成
図1は、この実施形態の通信システムの全体構成を示すブロック図である。
【0015】
図1に示す通信システムでは、所定の位置(ユーザの自宅等)に設置されたリモートアクセスポイント2に収容されたクライアント端末3を、VPN接続によりインターネット9を経由して、接続先の社内ネットワーク10(例えば、クライアント端末3のユーザが所属する社内のネットワーク)に接続させる。
【0016】
クライアント端末3としては、例えば、既存のパソコン(ノートパソコン等)等の端末を適用することができる。
【0017】
第1の実施形態においては、例として、図1に示すように、リモートアクセスポイント2、クライアント端末3、自宅用端末7、ブロードバンドルータ4が、クライアント端末3のユーザの自宅に配置されているものとする。
【0018】
自宅用端末7は、例えば、既存のパソコン(デスクトップパソコン等)等の端末を適用することができる。
【0019】
また、図1に示すように、リモートアクセスポイント2、ブロードバンドルータ4、自宅用端末7は、自宅内有線LAN11に接続されているものとする。図1において図示は省略しているが、自宅内有線LAN11は、ハブ等の装置により構成するようにしても良いし、ブロードバンドルータ4の配下に直接配線されたものであってもよく、その形式は限定されないものである。
【0020】
ブロードバンドルータ4は、配下の通信装置や通信端末を、インターネット9にアクセスさせるものであり、例えば、既存のブロードバンドルータを適用することができる。自宅用端末7は、ブロードバンドルータ4の配下の通信端末であり、例えば、既存のパソコン等の端末を適用することができる。
【0021】
リモートアクセスポイント2は、ブロードバンドルータ4に配下に配置されており、クライアント端末3を収容して、クライアント端末3を、社内ネットワーク10に接続させる通信装置である。リモートアクセスポイント2は、社内ネットワーク10との間でVPNトンネルを構成し、クライアント端末3を、そのVPNトンネルを介して社内ネットワーク10に接続させるものである。
【0022】
図1では、社内ネットワーク10に、VPNゲートウェイ5、認証装置6、社内サーバ群8が配置されている。
【0023】
VPNゲートウェイ5は、インターネット9上の通信装置を、社内ネットワーク10にVPN接続させるためのゲートウェイである。VPNゲートウェイ5としては、例えば、既存のVPNゲートウェイ装置や、VPNゲートウェイ機能を備えるサーバ等を適用することができる。
【0024】
図1において、VPNゲートウェイ5は、リモートアクセスポイント2からの認証要求を受付け、その認証要求に際して、リモートアクセスポイント2から認証情報が与えられると、その認証情報に基づいて認証依頼を認証装置6に行い、認証装置6から認証OKの応答があった場合にのみ、リモートアクセスポイント2の接続要求に応じてVPN接続を行い、リモートアクセスポイント2(クライアント端末3)を社内ネットワーク10に接続させる。なお、リモートアクセスポイント2からの認証要求における認証情報には、少なくとも、リモートアクセスポイント2の位置に係る情報(以下、「位置固有情報」という)が含まれている。なお、位置固有情報の詳細については、後述する。
【0025】
認証装置6は、上述の通り、VPNゲートウェイ5の依頼に応じて、VPNゲートウェイ5に認証OK又は認証NG等の応答を行うものである。
【0026】
認証装置6は、認証依頼に係る通信装置(例えば、リモートアクセスポイント2)ごとの認証情報を格納する認証情報格納部61を備えている。
【0027】
認証装置6では、少なくともVPNゲートウェイ5からの認証依頼と共に与えられた認証情報と、認証情報格納部61に格納している認証情報との照合結果を用いて、認証OK又は認証NGの判断を行う。上述の通り、リモートアクセスポイント2からの認証要求における認証情報には、少なくとも位置固有情報が含まれており、認証情報格納部61に格納される認証情報にも少なくとも位置固有情報が含まれている。すなわち、認証装置6は、少なくとも、リモートアクセスポイント2から与えられた位置固有情報と、認証情報格納部61に格納されているリモートアクセスポイント2に係る位置固有情報とを照合した結果を、認証OK又は認証NGの判断に用いる(その他の方式と組み合わせて認証の判断をするようにしても良い)。なお、認証装置6における位置固有情報の照合方法については後述する。
【0028】
社内サーバ群8は、クライアント端末3がアクセスしようとするアプリケーションサーバやファイルサーバ等のサーバ群である。社内サーバ群8におけるサーバの機能や台数は、限定されないものである。
【0029】
次に、リモートアクセスポイント2の構成の詳細及び、「位置固有情報」の詳細について説明する。
【0030】
図2は、リモートアクセスポイント2内部の機能的構成について示した説明図である。
【0031】
リモートアクセスポイント2は、既存のVPNトンネリング制御可能なルータやアクセスポイント等のネットワーク装置に、位置固有情報を生成する機能と、VPNトンネリングを作成する際にVPNゲートウェイ5へ認証を要求する際の認証情報に、少なくとも生成した位置固有情報を含ませる機能を付加することにより構築することができる。
【0032】
リモートアクセスポイント2は、主制御部21、位置固有情報保持部22(MACアドレス保持部221、位置固有情報出力部222)、WAN側I/F制御部25、WAN側I/F23、LAN側I/F制御部26、LAN側I/F34を有している。
【0033】
図2において、リモートアクセスポイント2は、例えば、ハードウェア的な通信部の他は、通信処理やデータ処理等(主制御部21の機能にかかるプログラム)を実行するためのCPU、ROM、RAM等を有しており、CPUが実行するプログラム(位置固有情報保持部22の機能に係るプログラムを含む)がインストールされている。上述したプログラムを含め、リモートアクセスポイント2の機能的構成を示すと図2に示すようになる。なお、主制御部21、位置固有情報保持部22は全てソフトウェアにより構築しても良いし、一部又は全部をハードウェアにより構築しても良い。
【0034】
WAN側I/F23、LAN側I/F34は、リモートアクセスポイント2における有線LANインタフェースである。WAN側I/F23は、インターネット9側(ブロードバンドルータ4)と接続するためのインタフェースであり、LAN側I/F34は、LAN側(クライアント端末3)と接続するためのインタフェースである。
【0035】
WAN側I/F制御部25、LAN側I/F制御部26は、それぞれWAN側I/F23、LAN側I/F34の物理層などに係る制御を行うものであり、例えば、既存のルータやアクセスポイント等のネットワーク装置において、LANインタフェースの物理層などに係る制御を行うチップ等が該当する。
【0036】
主制御部21は、リモートアクセスポイント2の動作全体を制御する機能を担っている。主制御部21としては、例えば、既存のVPNトンネリング制御可能なルータやアクセスポイント等のネットワーク装置において全体動作の制御を行う制御部に、認証装置6(VPNゲートウェイ5)へ認証を要求する際の認証情報に、少なくとも後述する位置固有情報保持部22が生成した位置固有情報を含ませる機能(プログラム)を付加することにより構築しても良い。
【0037】
位置固有情報保持部22は、位置固有情報を生成する機能を担っている。
【0038】
位置固有情報保持部22が生成する位置固有情報には、リモートアクセスポイント2の周辺に設置されている通信装置(以下、「周辺通信装置」という)の固有の識別情報(以下、「周辺装置識別情報」という)が含まれている。第1の実施形態においては、周辺通信装置識別情報としては、周辺通信装置のMACアドレスを適用するものとして説明するが、周辺装置識別情報は、これに限定されず、周辺通信装置固有の他の情報(例えば、シリアルナンバーや電子証明書等)を適用するようにしても良いし、複数種類の情報を組み合わせて適用するようにしても良い。例えば、図1においては、リモートアクセスポイント2の周辺通信装置としては、リモートアクセスポイントが接続されている自宅ネットワークN3内の他の通信装置であるブロードバンドルータ4、自宅用端末7が該当する。位置固有情報保持部22は、全ての周辺通信装置の周辺通信装置識別情報に基づいて位置固有情報を生成する。
【0039】
図3は、リモートアクセスポイント2に係る位置固有情報の構成例について示した説明図である。
【0040】
図3では、位置固有情報に含まれている「アドレスA1」は、ブロードバンドルータ4のMACアドレス(LAN側)を示しており、「アドレスA2」は、自宅用端末7のMACアドレスを示しているものとする。
【0041】
位置固有情報としては、例えば、図3に示すように、単に全ての周辺通信装置識別情報を並べたデータでも良いし、全ての周辺装置識別情報をまとめて暗号化や圧縮などの加工を施したデータであってもよく、全ての周辺通信装置の周辺通信装置識別情報に基づいた情報であれば、その形式は問われないものである。
【0042】
そして、MACアドレス保持部221は、位置固有情報保持部22において、周辺通信装置の周辺通信装置識別情報(MACアドレス)を保持する機能を担っている。
【0043】
MACアドレス保持部221が、周辺通信装置のMACアドレスを保持する方法としては、例えば、WAN側I/F部23を監視して、WAN側I/F部23に到達したパケット(イーサネット(登録商標)フレーム)の内容から、周辺通信装置のMACアドレスを抽出するようにしても良い。例えば、自宅内有線LAN11が既存のリピータハブで構成されている場合には、自宅内有線LAN11上で発生したパケットは、全てWAN側I/F部23にも到達するので、MACアドレス保持部221では、それらのパケットの内容から周辺通信装置のMACアドレスを抽出することができる。また、例えば、自宅内有線LAN11が既存のスイッチングハブ(いわゆるレイヤ2スイッチ等)で構成されている場合でも、リモートアクセスポイント2を送信先とするパケットや、自宅内有線LAN11上で発生したブロードキャストパケットは、WAN側I/F部23に到達するので、MACアドレス保持部221では、それらのパケットの内容から周辺通信装置のMACアドレスを抽出することができる。
【0044】
また、リモートアクセスポイント2においては、受動的にWAN側I/F部23に到達したパケットを監視するだけでなく、能動的に自宅内有線LAN11上の通信装置を検索して、周辺通信装置のMACアドレスを取得するようにしても良い。リモートアクセスポイント2が能動的に自宅内有線LAN11上の通信装置を検索する方法としては、例えば、自宅内有線LAN11のブロードキャストアドレスを宛先として、Ping(ICMP ECHO)を送信して、周辺通信装置からの応答パケットを取得するようすることなどが挙げられる。このように、MACアドレス保持部221において、周辺通信装置のMACアドレスを保持する手段は、上述のような受動的や能動的な方法であっても良く、限定されないものである。
【0045】
MACアドレス保持部221により、保持された全てのMACアドレスは位置固有情報出力部222へ入力される。そして、位置固有情報出力部222は、MACアドレス保持部221から入力された全てのMACアドレスをまとめて位置固有情報を生成し、主制御部21に引き渡す。
【0046】
次に、認証装置6における、認証方法の詳細について説明する。
【0047】
上述の通り、認証装置6では、少なくとも、リモートアクセスポイント2から与えられた位置固有情報と、認証情報格納部61に格納されているリモートアクセスポイント2に係る位置固有情報とを照合した結果を、認証OK又は認証NGの判断に用いる。
【0048】
例えば、認証装置6では、リモートアクセスポイント2から与えられた位置固有情報が図3に示すような「アドレスA1+アドレスA2」という情報であり、認証情報格納部61に格納されているリモートアクセスポイント2に係る位置固有情報も「アドレスA1+アドレスA2」と全く同じ場合には、認証OKと判断しても良い。
【0049】
また、認証装置6では、リモートアクセスポイント2から与えられた位置固有情報に、少なくとも認証情報格納部61に格納されている位置固有情報のMACアドレスが含まれている場合にも認証OKと判断するようにしても良い。例えば、認証装置6では、認証情報格納部61に格納されている位置固有情報が「アドレスA1」のみで、リモートアクセスポイント2から与えられた位置固有情報が「アドレスA1+アドレスA2」であった場合には、少なくとも認証情報格納部61に格納されている位置固有情報のMACアドレスが含まれていると判断でき、認証OKと判断するようにしても良い。また、位置固有情報においてMACアドレスが記載される順番も限定せずに照合するようにしても良い。
【0050】
また、認証情報格納部61には、認証要求をするクライアント側の通信装置(例えば、リモートアクセスポイント2)ごとに、位置固有情報を格納するようにしても良い。例えば、リモートアクセスポイント2の識別情報(例えば、製造番号、ID、MACアドレス等)と、リモートアクセスポイント2の位置固有情報を対応付けて格納するようにしても良い。そして、認証装置6では、リモートアクセスポイント2からの認証依頼と共に、リモートアクセスポイント2の識別情報が与えられると、その識別情報をキーとして、リモートアクセスポイント2に係る位置固有情報を検索するようにしても良い。
【0051】
また、認証装置6では、認証情報格納部61に、リモートアクセスポイント2に係る位置固有情報を複数格納し、複数の位置固有情報のうちいずれか1つと、リモートアクセスポイント2から与えられた位置固有情報とが一致した場合に認証OKと判定するようにしても良い。
【0052】
なお、認証装置6では上述の位置固有情報の照合結果の他、既存のパスワード認証等の他の認証方式と組み合わせて認証を行うようにしても良い。また、リモートアクセスポイント2に対する認証が認証OKの結果であった場合でも、さらに、その配下のクライアント端末3に対する認証(例えば、パスワード認証等)を行うようにしても良い。
【0053】
(A−2)第1の実施形態の動作
次に、以上のような構成を有する第1の実施形態の通信システム1における認証の動作を説明する。
【0054】
図4は、通信システム1における、リモートアクセスポイント2と認証装置6との間の認証に係る動作について示したフローチャートである。
【0055】
なお、図4のフローチャートにおいては、認証情報格納部61には、リモートアクセスポイント2に係る位置固有情報として、予め上述の図3に示すものが登録されているものとして説明する。また、図4においては、説明を簡易にするため図示を省略しているがリモートアクセスポイント2と認証装置6との間の認証に係る通信は、実際には、VPNゲートウェイ5が間に介在している。
【0056】
まず、リモートアクセスポイント2から、VPNゲートウェイ5を介して、認証装置6に認証依頼があり(S101)、認証装置6からリモートアクセスポイント2に、その認証要求に対して確認応答があったものとする(S102)。
【0057】
次に、リモートアクセスポイント2では、位置固有情報保持部22により保持された周辺通信装置の周辺通信装置識別情報(MACアドレス)に基づいて位置固有情報が生成され(図3と同様の内容が生成される)、その位置固有情報が、認証装置6に与えられる(S103)。なお、位置固有情報保持部22は、予め位置固有情報を保持しておいても良いし、認証の都度生成するようにしても良く、位置固有情報を生成するタイミングは限定されないものである。また、位置固有情報保持部22が予め位置固有情報を生成する場合には、その位置固有情報に有効期限を設けて、有効期限を経過した位置固有情報を廃棄するようにしても良い。
【0058】
次に、認証装置6では、認証情報格納部61に格納されているリモートアクセスポイント2に係る位置固有情報と、上述のステップS103においてリモートアクセスポイント2から与えられた位置固有情報とを照合し、一致する場合には認証OKと判定し、一致しない場合には認証NGと判定し(S104)認証結果をリモートアクセスポイント2に通知する(S105)。
【0059】
上述のステップS105において、認証OKの場合には、その後リモートアクセスポイント2とVPNゲートウェイ5との間でVPN接続が開始され、リモートアクセスポイント2の配下のクライアント端末3は、社内ネットワーク10にアクセスし、社内サーバ群8等を利用することができるが、認証NGの場合には、リモートアクセスポイント2とVPNゲートウェイ5との間でVPN接続されることはない。
【0060】
ここでは、リモートアクセスポイント2から認証装置6に与えられた位置固有情報と、認証装置6において、リモートアクセスポイント2に係るものとして登録されている位置固有情報とは、いずれも上述の図3に示す内容であるので、認証OKという結果となる。
【0061】
(A−3)第1の実施形態の効果
第1の実施形態によれば、以下のような効果を奏することができる。
【0062】
認証装置6では、登録を許可しても良い位置の位置固有情報、すなわち格納している位置固有情報と、リモートアクセスポイント2から与えられた位置固有情報が一致しない場合には、認証NGの判断をするので、例えば、リモートアクセスポイント2が盗難され、パスワード等も流出してしまった場合でも、設置場所や接続箇所が異なれば生成される位置固有情報も異なるため、第三者による不正アクセスの防止をすることができる。
【0063】
通信システム1では、リモートアクセスポイント2(クライアント端末3)の位置固有情報として、リモートアクセスポイント2の周辺の通信装置のMACアドレスを用いているので、リモートアクセスポイント2にGPS受信機を内蔵、もしくは外部接続することなく、リモートアクセスポイント2の使用場所の制限をすることが可能であり、認証に係るコストを低減することができる。
【0064】
また、通信システム1では、GPSを利用せずに、リモートアクセスポイント2(クライアント端末3)の位置固有情報を生成することができるので、GPSを利用しないのでGPSの位置情報が受信できない様な電波状況の屋内環境下において、リモートアクセスポイント2(クライアント端末3)の使用を許可する場合でも、リモートアクセスポイント2の使用場所を管理することが可能になる。
【0065】
また、通信システム1では、位置固有情報とし周辺通信装置のMACアドレスを用いているが、MACアドレスは、通常は、その装置やインタフェース固有の情報であるため同じMACアドレスの装置が存在することはなく、また、IPアドレスのように変更することは非常に困難であることから、位置固有情報の捏造を防止することができる。
【0066】
(B)第2の実施形態
以下、本発明による通信システム、通信装置及び認証装置の第2の実施形態を、図面を参照しながら詳述する。なお、第1の実施形態の収容装置は、リモートアクセスポイントである。なお、第1の実施形態においては、本発明の通信装置をリモートアクセスポイントに適用した場合の例について説明している。
【0067】
(B−1)第2の実施形態の構成
図5は、この実施形態の通信システム1Aの全体構成を示すブロック図であり、上述した図1との同一、対応部分には同一、対応符号を付して示している。
【0068】
第2の実施形態の通信システム1Aでは、リモートアクセスポイント2Aがクライアント端末3Aと無線通信LANで接続され、さらに、リモートアクセスポイント2Aはインターネット9へ携帯電話網(携帯電話端末4A)を経由して接続される点であり、有線LANを使用せずにリモートアクセスを実施する点で第1の実施形態と異なっている。
【0069】
また、リモートアクセスポイント2Aの周辺には、無線LANアクセスポイント9と、無線LANアクセスポイント9に収容されている自宅用端末7Aが配置されているものとする。なお、無線LANアクセスポイント9は既存の無線LANに対応したアクセスポイント装置であり、自宅用端末7Aも、既存の無線LANに対応したパソコン等の端末であるものとする。
【0070】
また、携帯電話端末4Aは、配下の通信装置を携帯電話網を介してインターネットに接続させてデータ通信させることができる既存の携帯電話端末を適用することができる。
【0071】
なお、図5において、リモートアクセスポイント2A、クライアント端末3A、自宅用端末7A、無線LANアクセスポイント9は、同じ無線LAN方式に対応しているものとする。採用される無線LAN方方式は限定されないが、例えば、IEEE 802.11シリーズ等の方式を適用したものであっても良い。
【0072】
また、図5において、社内ネットワーク10側の構成(VPNゲートウェイ5、認証装置6、社内サーバ群8)については、第1の実施形態と同様のものを適用することができるので、詳しい説明を省略する。
【0073】
図6は、リモートアクセスポイント2A内部の機能的構成について示した説明図であり、上述した図2との同一、対応部分には同一、対応符号を付して示している。
【0074】
リモートアクセスポイント2Aは、主制御部21A、位置固有情報保持部22A、WAN側I/F部23A、LAN側I/F部24Aを有している。
【0075】
WAN側I/F部23Aは、携帯電話端末4Aに接続するためのコネクタ235と、I/F回路234と、携帯電話データ通信制御部233を有している。WAN側I/F部23Aは、既存のアクセスポイントやパソコン等の通信装置において、携帯電話端末経由でインターネット等に接続するためのインタフェースを適用することができる。
【0076】
LAN側I/F部24Aは、無線LAN用の接続アンテナ及び回路を有するRF回路244、無線LAN通信制御部243有している。LAN側I/F部24Aは、既存のアクセスポイントやパソコン等の通信装置における、無線LAN接続するためのインタフェースを適用することができる。
【0077】
主制御部21Aは、リモートアクセスポイント2Aが有するインタフェース(WAN側I/F部23A、LAN側I/F部24A)の種類の差異から発生する制御内容が異なる点で、第1の実施形態のものと異なっている。
【0078】
第1の実施形態の位置固有情報保持部22は、WAN側I/F部23に到達したパケットをモニタして、周辺通信装置のMACアドレスを取得していたが、第2の実施形態では、リモートアクセスポイント2AはLAN側のインタフェースが、有線LANではなく無線LANを採用しているので、周辺通信装置のMACアドレスを取得が第1の実施形態と異なっている。
【0079】
位置固有情報保持部22Aは、MACアドレス保持部221A及び位置固有情報出力部222を有しているが、位置固有情報出力部222については第1の実施形態と同様のものであるので詳しい説明は省略する。
【0080】
MACアドレス保持部221Aは、LAN側I/F部24Aをモニタし、リモートアクセスポイント2A等の周辺の無線LANに対応した通信装置によるビーコンパケットの内容から、MACアドレスを抽出保持する点で第1の実施形態のものと異なっている。そして、MACアドレス保持部221Aは、第1の実施形態のMACアドレス保持部221と同様に、保持したMACアドレスをまとめて位置固有情報出力部222に与え、位置固有情報出力部222において第1の実施形態と同様に位置固有情報が生成される。
【0081】
(B−2)第2の実施形態の動作
次に、以上のような構成を有する第2の実施形態の通信システム1Aにおける認証の動作を説明する。
【0082】
通信システム1Aにおける、リモートアクセスポイント2Aと認証装置6との間の認証に係る動作についても上述の図4のフローチャートにより示すことができるため詳しい説明を省略する。第1の実施形態との差異としては、上述のステップS103において、位置固有情報保持部22A(MACアドレス保持部221A)が、周辺通信装置のMACアドレスを無線LANのビーコンパケットに基づいて保持する点である。
【0083】
(B−3)第2の実施形態の効果
第2の実施形態によれば、第1の実施形態の効果に加えて以下のような効果を奏することができる。
【0084】
リモートアクセスポイント2Aは、無線LAN上の周辺通信装置からMACアドレスを取得し、位置固有情報を作成できるので、有線LANに対応していなくても、リモートアクセスポイント2Aの使用場所を管理することができる。
【0085】
(C)他の実施形態
本発明は、上記の各実施形態に限定されるものではなく、以下に例示するような変形実施形態も挙げることができる。
【0086】
(C−1)第1の実施形態ではリモートアクセスポイントが接続されている周辺機器の固有情報としてMACアドレスを利用する例を示したが、IPアドレス(例えば、グローバルIPアドレス)を用いるようにしても良い。
【0087】
(C−2)上記の各実施形態においては、本発明の通信装置をリモートアクセスポイントに適用した例について説明したが、例えば、他の通信装置(例えば、図1におけるクライアント端末3)に適用するようにしても良い。
【0088】
例えば、上述の図1で言えば、クライアント端末3が直接社内ネットワーク10にVPN接続する場合に、リクライアント端末3にモートアクセスポイント2の位置固有情報保持部22を備え、位置固有情報保持部22が保持した位置固有情報を用いて認証を受けるようにしても良い。
【0089】
(C−3)上記の各実施形態においては、リモートアクセスポイントはVPNゲートウェイとの間でVPNトンネルを確立し、VPN接続を介して社内ネットワークに接続しているが、VPNを用いずにアクセスするようにしても良い。その場合、社内ネットワークでは、VPNゲートウェイではなく、ゲートウェイ(ファイやウォール等)を備えて、リモートアクセスポイント2との間の通信を確立するようにしても良い。
【0090】
(C−4)第1の実施形態においては、リモートアクセスポイントは、位置固有情報として有線LAN上を流れるパケットに基づいて周辺通信装置のMACアドレスを保持し、第2の実施形態においては、リモートアクセスポイントは、位置固有情報として無線LAN上のビーコンパケット等に基づいて周辺通信装置のMACアドレスを保持しているが、リモートアクセスポイントが有線LAN及び無線LANの両方に対応する場合には、無線及び有線の両方のLANのパケットを用いた位置固有情報を適用するようにしても良い。
【符号の説明】
【0091】
1…通信システム、2…リモートアクセスポイント、3…クライアント端末、4…ブロードバンドルータ、5…VPNゲートウェイ、6…認証装置、61…認証情報格納部、7…自宅用端末、8…社内サーバ群、9…インターネット、10…社内ネットワーク(接続先ネットワーク)、11…自宅内有線LAN。
【特許請求の範囲】
【請求項1】
通信装置と、上記通信装置を接続先ネットワークに接続させるか否かに係る認証を行う認証装置とを備える通信システムにおいて、
上記通信装置は、
上記通信装置の周辺に配置されている周辺通信装置のそれぞれから、周辺通信装置識別情報を保持する識別情報保持手段と、
上記識別情報保持手段が保持した周辺通信装置識別情報に基づいて、上記通信装置が設置されている位置に係る位置固有情報を生成する位置固有情報生成手段と、
上記認証装置に認証を依頼する際に、上記認証装置に、少なくとも上記位置固有情報生成手段が生成した位置固有情報を与える認証依頼手段とを有し、
上記認証装置は、
上記通信装置に対して上記接続先ネットワークへの接続を許可する認証を行う接続許可位置に係る位置固有情報が格納されている位置固有情報格納手段と、
上記通信装置から認証を依頼された際に、上記通信装置から与えられた位置固有情報と、上記位置固有情報格納手段に格納されている位置固有情報とを照合し、少なくともその照合結果に基づいて、認証結果の判定を行う認証判定手段とを有する
ことを特徴とする通信システム。
【請求項2】
上記識別情報保持手段が保持する、周辺通信装置識別情報は、周辺通信装置のMACアドレスであることを特徴とする請求項1に記載の通信システム。
【請求項3】
上記通信装置が少なくとも有線LANに対応した通信装置である場合に、
上記識別情報保持手段において、上記通信装置と同一の有線LAN上に接続されている通信装置の識別情報を、周辺通信装置の周辺通信装置識別情報として保持する
ことを特徴とする請求項2に記載の通信システム。
【請求項4】
上記通信装置が、少なくとも無線LANに対応した通信装置である場合に、
上記識別情報保持手段では、当該通信装置が直接受信したビーコンパケットの送信元の通信装置の識別情報を、周辺通信装置の周辺通信装置識別情報として保持する
ことを特徴とする請求項2に記載の通信システム。
【請求項5】
上記通信装置は、配下に通信端末を収容し、上記通信端末を上記接続先ネットワークに接続させるものであることを特徴とする請求項1〜4のいずれかに記載の通信システム。
【請求項6】
通信装置と、上記通信装置を接続先ネットワークに接続させるか否かに係る認証を行う認証装置とを備える通信システムを構成する上記通信装置において、
上記通信装置の周辺に配置されている周辺通信装置のそれぞれから、周辺通信装置識別情報を保持する識別情報保持手段と、
上記識別情報保持手段が保持した周辺通信装置識別情報に基づいて、上記通信装置が設置されている位置に係る位置固有情報を生成する位置固有情報生成手段と、
上記認証装置に認証を依頼する際に、上記認証装置に、少なくとも上記位置固有情報生成手段が生成した位置固有情報を与える認証依頼手段と
を有することを特徴とする通信装置。
【請求項7】
通信装置と、上記通信装置を接続先ネットワークに接続させるか否かに係る認証を行う認証装置とを備える通信システムを構成する上記認証装置において、
上記通信装置に対して上記接続先ネットワークへの接続を許可する認証を行う接続許可位置に係る位置固有情報として、上記接続許可位置の周辺に配置されている周辺通信装置の周辺通信装置識別情報が格納されている位置固有情報格納手段と、
上記通信装置から認証を依頼された際に、上記通信装置から与えられた位置固有情報と、上記位置固有情報格納手段に格納されている位置固有情報とを照合し、少なくともその照合結果に基づいて、認証結果の判定を行う認証判定手段と
を有することを特徴とする認証装置。
【請求項1】
通信装置と、上記通信装置を接続先ネットワークに接続させるか否かに係る認証を行う認証装置とを備える通信システムにおいて、
上記通信装置は、
上記通信装置の周辺に配置されている周辺通信装置のそれぞれから、周辺通信装置識別情報を保持する識別情報保持手段と、
上記識別情報保持手段が保持した周辺通信装置識別情報に基づいて、上記通信装置が設置されている位置に係る位置固有情報を生成する位置固有情報生成手段と、
上記認証装置に認証を依頼する際に、上記認証装置に、少なくとも上記位置固有情報生成手段が生成した位置固有情報を与える認証依頼手段とを有し、
上記認証装置は、
上記通信装置に対して上記接続先ネットワークへの接続を許可する認証を行う接続許可位置に係る位置固有情報が格納されている位置固有情報格納手段と、
上記通信装置から認証を依頼された際に、上記通信装置から与えられた位置固有情報と、上記位置固有情報格納手段に格納されている位置固有情報とを照合し、少なくともその照合結果に基づいて、認証結果の判定を行う認証判定手段とを有する
ことを特徴とする通信システム。
【請求項2】
上記識別情報保持手段が保持する、周辺通信装置識別情報は、周辺通信装置のMACアドレスであることを特徴とする請求項1に記載の通信システム。
【請求項3】
上記通信装置が少なくとも有線LANに対応した通信装置である場合に、
上記識別情報保持手段において、上記通信装置と同一の有線LAN上に接続されている通信装置の識別情報を、周辺通信装置の周辺通信装置識別情報として保持する
ことを特徴とする請求項2に記載の通信システム。
【請求項4】
上記通信装置が、少なくとも無線LANに対応した通信装置である場合に、
上記識別情報保持手段では、当該通信装置が直接受信したビーコンパケットの送信元の通信装置の識別情報を、周辺通信装置の周辺通信装置識別情報として保持する
ことを特徴とする請求項2に記載の通信システム。
【請求項5】
上記通信装置は、配下に通信端末を収容し、上記通信端末を上記接続先ネットワークに接続させるものであることを特徴とする請求項1〜4のいずれかに記載の通信システム。
【請求項6】
通信装置と、上記通信装置を接続先ネットワークに接続させるか否かに係る認証を行う認証装置とを備える通信システムを構成する上記通信装置において、
上記通信装置の周辺に配置されている周辺通信装置のそれぞれから、周辺通信装置識別情報を保持する識別情報保持手段と、
上記識別情報保持手段が保持した周辺通信装置識別情報に基づいて、上記通信装置が設置されている位置に係る位置固有情報を生成する位置固有情報生成手段と、
上記認証装置に認証を依頼する際に、上記認証装置に、少なくとも上記位置固有情報生成手段が生成した位置固有情報を与える認証依頼手段と
を有することを特徴とする通信装置。
【請求項7】
通信装置と、上記通信装置を接続先ネットワークに接続させるか否かに係る認証を行う認証装置とを備える通信システムを構成する上記認証装置において、
上記通信装置に対して上記接続先ネットワークへの接続を許可する認証を行う接続許可位置に係る位置固有情報として、上記接続許可位置の周辺に配置されている周辺通信装置の周辺通信装置識別情報が格納されている位置固有情報格納手段と、
上記通信装置から認証を依頼された際に、上記通信装置から与えられた位置固有情報と、上記位置固有情報格納手段に格納されている位置固有情報とを照合し、少なくともその照合結果に基づいて、認証結果の判定を行う認証判定手段と
を有することを特徴とする認証装置。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図2】
【図3】
【図4】
【図5】
【図6】
【公開番号】特開2010−231396(P2010−231396A)
【公開日】平成22年10月14日(2010.10.14)
【国際特許分類】
【出願番号】特願2009−76870(P2009−76870)
【出願日】平成21年3月26日(2009.3.26)
【出願人】(308033722)株式会社OKIネットワークス (165)
【Fターム(参考)】
【公開日】平成22年10月14日(2010.10.14)
【国際特許分類】
【出願日】平成21年3月26日(2009.3.26)
【出願人】(308033722)株式会社OKIネットワークス (165)
【Fターム(参考)】
[ Back to top ]