知財求人 - 知財ポータルサイト「IP Force」
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】6345092
(24)【登録日】2018年6月1日
(45)【発行日】2018年6月20日
(54)【発明の名称】通信システム
(51)【国際特許分類】
G06F 21/44 20130101AFI20180611BHJP
G06F 21/31 20130101ALI20180611BHJP
H04L 12/44 20060101ALI20180611BHJP
【FI】
G06F21/44
G06F21/31
H04L12/44 M
【請求項の数】8
【全頁数】22
(21)【出願番号】特願2014-237664(P2014-237664)
(22)【出願日】2014年11月25日
(65)【公開番号】特開2016-99865(P2016-99865A)
(43)【公開日】2016年5月30日
【審査請求日】2017年9月25日
(73)【特許権者】
【識別番号】300059979
【氏名又は名称】エイチ・シー・ネットワークス株式会社
(74)【代理人】
【識別番号】100080001
【弁理士】
【氏名又は名称】筒井 大和
(74)【代理人】
【識別番号】100108279
【弁理士】
【氏名又は名称】青山 仁
(74)【代理人】
【識別番号】100113642
【弁理士】
【氏名又は名称】菅田 篤志
(74)【代理人】
【識別番号】100117008
【弁理士】
【氏名又は名称】筒井 章子
(74)【代理人】
【識別番号】100147430
【弁理士】
【氏名又は名称】坂次 哲也
(72)【発明者】
【氏名】益子 秀隆
(72)【発明者】
【氏名】中和田 良平
(72)【発明者】
【氏名】大森 晃
(72)【発明者】
【氏名】鐵 裕文
(72)【発明者】
【氏名】江藤 馨
(72)【発明者】
【氏名】西野宮 浩志
(72)【発明者】
【氏名】松澤 武
【審査官】
行田 悦資
(56)【参考文献】
【文献】
特開2008−005407(JP,A)
【文献】
国際公開第2014/147741(WO,A1)
【文献】
特開2013−004005(JP,A)
【文献】
特開2005−196279(JP,A)
【文献】
特開2003−242109(JP,A)
【文献】
特開2014−160942(JP,A)
【文献】
特開2010−283607(JP,A)
(58)【調査した分野】(Int.Cl.,DB名)
G06F 21/44
G06F 21/31
H04L 12/44
(57)【特許請求の範囲】
【請求項1】
ユーザの端末と、
ネットワークに接続され、前記ユーザの端末による前記ネットワークへのログインの際にアクセスされる中継装置と、
前記ネットワークに接続され、前記ログインの際にユーザ認証を行うサーバ装置と、
前記ユーザ認証のアカウント情報として前記ユーザのアカウントが設定される認証DBと、
を含み、
前記中継装置は、
前記ログインの際に、前記ユーザ認証の要求、前記ユーザにより入力されたアカウント、及び前記端末のMACアドレスを前記サーバ装置へ送信し、前記サーバ装置から応答を受信し、前記ユーザ認証の成功または失敗に応じて当該ログインを許可または不許可にする処理と、
前記ネットワークへの接続が許可される前記端末のMACアドレスについての情報をリストに設定し、前記端末からのアクセスに対し、当該端末のMACアドレス及び前記リストを確認して当該端末による接続を許可または不許可にする、接続制限を行う処理と、
前記サーバ装置からの指示に従い、前記リストの対象端末のMACアドレスについての情報を設定変更することにより、当該対象端末による接続を不許可にする処理と、
を行い、
前記サーバ装置は、
前記ユーザ認証の要求に応じて、前記ユーザにより入力されたアカウント、及び前記認証DBのアカウント情報を参照して、前記ユーザ認証を行い、当該ユーザ認証の成功または失敗を表す前記応答を前記中継装置へ送信する処理と、
前記ユーザのアカウントと、当該ユーザの端末のMACアドレスと、を含む関係付け情報を管理表に記録しておく処理と、
前記認証DBのアカウント情報の設定変更により対象ユーザによるログインを不許可にするログイン制限の実行を契機として、前記管理表の当該対象ユーザのアカウントに関係付けられる対象端末のMACアドレスを用いて、前記指示を前記中継装置へ送信する処理と、
を行う、
通信システム。
ネットワークに接続され、前記ユーザの端末による前記ネットワークへのログインの際にアクセスされる中継装置と、
前記ネットワークに接続され、前記ログインの際にユーザ認証を行うサーバ装置と、
前記ユーザ認証のアカウント情報として前記ユーザのアカウントが設定される認証DBと、
を含み、
前記中継装置は、
前記ログインの際に、前記ユーザ認証の要求、前記ユーザにより入力されたアカウント、及び前記端末のMACアドレスを前記サーバ装置へ送信し、前記サーバ装置から応答を受信し、前記ユーザ認証の成功または失敗に応じて当該ログインを許可または不許可にする処理と、
前記ネットワークへの接続が許可される前記端末のMACアドレスについての情報をリストに設定し、前記端末からのアクセスに対し、当該端末のMACアドレス及び前記リストを確認して当該端末による接続を許可または不許可にする、接続制限を行う処理と、
前記サーバ装置からの指示に従い、前記リストの対象端末のMACアドレスについての情報を設定変更することにより、当該対象端末による接続を不許可にする処理と、
を行い、
前記サーバ装置は、
前記ユーザ認証の要求に応じて、前記ユーザにより入力されたアカウント、及び前記認証DBのアカウント情報を参照して、前記ユーザ認証を行い、当該ユーザ認証の成功または失敗を表す前記応答を前記中継装置へ送信する処理と、
前記ユーザのアカウントと、当該ユーザの端末のMACアドレスと、を含む関係付け情報を管理表に記録しておく処理と、
前記認証DBのアカウント情報の設定変更により対象ユーザによるログインを不許可にするログイン制限の実行を契機として、前記管理表の当該対象ユーザのアカウントに関係付けられる対象端末のMACアドレスを用いて、前記指示を前記中継装置へ送信する処理と、
を行う、
通信システム。
【請求項2】
請求項1記載の通信システムにおいて、
前記中継装置として、複数の中継装置を有し、
前記サーバ装置は、
前記ユーザ認証が成功となったユーザのアカウントと、当該ユーザの端末のMACアドレスと、当該端末が接続される前記中継装置のIPアドレスと、を含む関係付け情報を前記管理表に記録する処理と、
前記認証DBのアカウント情報における対象ユーザのアカウントを削除または無効化する設定変更による前記ログイン制限の実行を検出する処理と、
前記ログイン制限の実行を契機として、前記管理表を参照し、前記対象ユーザのアカウントに関係付けられる対象端末のMACアドレス、及び当該対象端末が接続される前記中継装置のIPアドレスを用いて、前記指示を、当該対象端末が接続される前記中継装置へ送信する処理と、
を行う、
通信システム。
前記中継装置として、複数の中継装置を有し、
前記サーバ装置は、
前記ユーザ認証が成功となったユーザのアカウントと、当該ユーザの端末のMACアドレスと、当該端末が接続される前記中継装置のIPアドレスと、を含む関係付け情報を前記管理表に記録する処理と、
前記認証DBのアカウント情報における対象ユーザのアカウントを削除または無効化する設定変更による前記ログイン制限の実行を検出する処理と、
前記ログイン制限の実行を契機として、前記管理表を参照し、前記対象ユーザのアカウントに関係付けられる対象端末のMACアドレス、及び当該対象端末が接続される前記中継装置のIPアドレスを用いて、前記指示を、当該対象端末が接続される前記中継装置へ送信する処理と、
を行う、
通信システム。
【請求項3】
請求項1記載の通信システムにおいて、
前記サーバ装置は、
前記認証DBを保持し、
管理者を含む外部からの指示に基づいて、前記認証DBのアカウント情報を設定する処理と、
前記管理者を含む外部からの指示に基づいて、前記アカウント情報における対象ユーザのアカウントを削除または無効化する設定変更により、前記ログイン制限を実行する処理と、
を行う、
通信システム。
前記サーバ装置は、
前記認証DBを保持し、
管理者を含む外部からの指示に基づいて、前記認証DBのアカウント情報を設定する処理と、
前記管理者を含む外部からの指示に基づいて、前記アカウント情報における対象ユーザのアカウントを削除または無効化する設定変更により、前記ログイン制限を実行する処理と、
を行う、
通信システム。
【請求項4】
請求項1記載の通信システムにおいて、
前記中継装置として、複数の中継装置を有し、
前記サーバ装置は、
前記複数の中継装置における中継装置毎の種類に応じたコマンドを含む情報を保持し、
前記ログイン制限の実行に伴い、前記対象端末が接続される前記中継装置の種類に応じたコマンドを用いて、前記指示を作成し、当該対象端末が接続される前記中継装置へ送信する、
通信システム。
前記中継装置として、複数の中継装置を有し、
前記サーバ装置は、
前記複数の中継装置における中継装置毎の種類に応じたコマンドを含む情報を保持し、
前記ログイン制限の実行に伴い、前記対象端末が接続される前記中継装置の種類に応じたコマンドを用いて、前記指示を作成し、当該対象端末が接続される前記中継装置へ送信する、
通信システム。
【請求項5】
請求項1記載の通信システムにおいて、
前記認証DBのアカウント情報には、ユーザIDとパスワードとの組合せによるアカウントが登録されており、
前記中継装置は、前記ログインの際に、前記ユーザの端末にユーザ認証画面を表示させることにより、当該ユーザに前記アカウントの入力を促し、
前記サーバ装置は、
前記ユーザにより入力されたアカウントが、前記アカウント情報において登録または有効化されているアカウントと一致する場合、前記ユーザ認証の結果を成功とする処理と、
前記ユーザ認証が成功であった場合、前記ユーザのアカウントと、当該ユーザの端末のMACアドレスと、を含む関係付け情報を前記管理表に記録しておく処理と、
を行う、
通信システム。
前記認証DBのアカウント情報には、ユーザIDとパスワードとの組合せによるアカウントが登録されており、
前記中継装置は、前記ログインの際に、前記ユーザの端末にユーザ認証画面を表示させることにより、当該ユーザに前記アカウントの入力を促し、
前記サーバ装置は、
前記ユーザにより入力されたアカウントが、前記アカウント情報において登録または有効化されているアカウントと一致する場合、前記ユーザ認証の結果を成功とする処理と、
前記ユーザ認証が成功であった場合、前記ユーザのアカウントと、当該ユーザの端末のMACアドレスと、を含む関係付け情報を前記管理表に記録しておく処理と、
を行う、
通信システム。
【請求項6】
請求項1記載の通信システムにおいて、
前記中継装置は、
前記ユーザ認証が成功となったユーザの端末のMACアドレスを、前記ネットワークへの接続が許可される前記端末のMACアドレスとして、前記リストにおいて登録または有効化する処理と、
前記ネットワークからログアウトした端末、または前記ログインしてから無通信状態が一定時間続いた端末のMACアドレスを、前記ネットワークへの接続が不許可になる前記端末のMACアドレスとして、前記リストにおいて削除または無効化する処理と、
前記端末からのアクセスに対し、当該端末のMACアドレスが前記リストにおいて削除または無効化されている場合、当該端末による接続を不許可にする処理と、
前記サーバ装置からの指示に従い、前記リストにおける対象端末のMACアドレスを削除または無効化することにより、当該対象端末による接続を不許可にする処理と、
を行う、
通信システム。
前記中継装置は、
前記ユーザ認証が成功となったユーザの端末のMACアドレスを、前記ネットワークへの接続が許可される前記端末のMACアドレスとして、前記リストにおいて登録または有効化する処理と、
前記ネットワークからログアウトした端末、または前記ログインしてから無通信状態が一定時間続いた端末のMACアドレスを、前記ネットワークへの接続が不許可になる前記端末のMACアドレスとして、前記リストにおいて削除または無効化する処理と、
前記端末からのアクセスに対し、当該端末のMACアドレスが前記リストにおいて削除または無効化されている場合、当該端末による接続を不許可にする処理と、
前記サーバ装置からの指示に従い、前記リストにおける対象端末のMACアドレスを削除または無効化することにより、当該対象端末による接続を不許可にする処理と、
を行う、
通信システム。
【請求項7】
ユーザの端末と、
ネットワークに接続され、前記ユーザの端末による前記ネットワークへのログインの際にアクセスされる中継装置と、
前記ネットワークに接続され、前記ログインの際に端末認証を行うサーバ装置と、
前記端末認証のアカウント情報として前記端末のMACアドレスが設定される認証DBと、
を含み、
前記中継装置は、
前記ログインの際に、前記端末認証の要求、及び前記端末のMACアドレスを前記サーバ装置へ送信し、前記サーバ装置から応答を受信し、前記端末認証の成功または失敗に応じて当該ログインを許可または不許可にする処理と、
前記ネットワークへの接続が許可される前記端末のMACアドレスについての情報をリストに設定し、前記端末からのアクセスに対し、当該端末のMACアドレス及び前記リストを確認して前記接続を許可または不許可にする、接続制限を行う処理と、
前記サーバ装置からの指示に従い、前記リストの対象端末のMACアドレスについての情報を設定変更することにより、当該対象端末による接続を不許可にする処理と、
を行い、
前記サーバ装置は、
前記端末認証の要求に応じて、受信した前記端末のMACアドレス、及び前記認証DBのアカウント情報を参照して、前記端末認証を行い、当該端末認証の成功または失敗を表す前記応答を前記中継装置へ送信する処理と、
前記ユーザの端末のMACアドレスと、当該端末が接続される前記中継装置のIPアドレスと、を含む関係付け情報を管理表に記録しておく処理と、
前記認証DBのアカウント情報の設定変更により対象端末によるログインを不許可にするログイン制限の実行を契機として、前記管理表の当該対象端末のMACアドレス、及び前記中継装置のIPアドレスを用いて、前記指示を、当該対象端末が接続される前記中継装置へ送信する処理と、
を行う、
通信システム。
ネットワークに接続され、前記ユーザの端末による前記ネットワークへのログインの際にアクセスされる中継装置と、
前記ネットワークに接続され、前記ログインの際に端末認証を行うサーバ装置と、
前記端末認証のアカウント情報として前記端末のMACアドレスが設定される認証DBと、
を含み、
前記中継装置は、
前記ログインの際に、前記端末認証の要求、及び前記端末のMACアドレスを前記サーバ装置へ送信し、前記サーバ装置から応答を受信し、前記端末認証の成功または失敗に応じて当該ログインを許可または不許可にする処理と、
前記ネットワークへの接続が許可される前記端末のMACアドレスについての情報をリストに設定し、前記端末からのアクセスに対し、当該端末のMACアドレス及び前記リストを確認して前記接続を許可または不許可にする、接続制限を行う処理と、
前記サーバ装置からの指示に従い、前記リストの対象端末のMACアドレスについての情報を設定変更することにより、当該対象端末による接続を不許可にする処理と、
を行い、
前記サーバ装置は、
前記端末認証の要求に応じて、受信した前記端末のMACアドレス、及び前記認証DBのアカウント情報を参照して、前記端末認証を行い、当該端末認証の成功または失敗を表す前記応答を前記中継装置へ送信する処理と、
前記ユーザの端末のMACアドレスと、当該端末が接続される前記中継装置のIPアドレスと、を含む関係付け情報を管理表に記録しておく処理と、
前記認証DBのアカウント情報の設定変更により対象端末によるログインを不許可にするログイン制限の実行を契機として、前記管理表の当該対象端末のMACアドレス、及び前記中継装置のIPアドレスを用いて、前記指示を、当該対象端末が接続される前記中継装置へ送信する処理と、
を行う、
通信システム。
【請求項8】
請求項7記載の通信システムにおいて、
前記中継装置として、前記ネットワークに接続される複数の中継装置を有し、
前記サーバ装置は、
前記受信した前記端末のMACアドレスが、前記アカウント情報において登録または有効化されているMACアドレスと一致する場合、前記端末認証の結果を成功とする処理と、
前記端末認証が成功となった場合、前記端末のMACアドレスと、当該端末が接続される前記中継装置のIPアドレスと、を含む関係付け情報を前記管理表に記録する処理と、
前記認証DBのアカウント情報における対象端末のMACアドレスを削除または無効化する設定変更による前記ログイン制限の実行を検出する処理と、
前記ログイン制限の実行を契機として、前記管理表を参照し、前記対象端末のMACアドレス、及び前記中継装置のIPアドレスを用いて、前記指示を、当該対象端末が接続される前記中継装置へ送信する処理と、
を行う、
通信システム。
前記中継装置として、前記ネットワークに接続される複数の中継装置を有し、
前記サーバ装置は、
前記受信した前記端末のMACアドレスが、前記アカウント情報において登録または有効化されているMACアドレスと一致する場合、前記端末認証の結果を成功とする処理と、
前記端末認証が成功となった場合、前記端末のMACアドレスと、当該端末が接続される前記中継装置のIPアドレスと、を含む関係付け情報を前記管理表に記録する処理と、
前記認証DBのアカウント情報における対象端末のMACアドレスを削除または無効化する設定変更による前記ログイン制限の実行を検出する処理と、
前記ログイン制限の実行を契機として、前記管理表を参照し、前記対象端末のMACアドレス、及び前記中継装置のIPアドレスを用いて、前記指示を、当該対象端末が接続される前記中継装置へ送信する処理と、
を行う、
通信システム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、通信システムの技術に関し、特に、ユーザの端末によるネットワークへのログインを制限する技術に関する。
【背景技術】
【0002】
LANやインターネット等のネットワークを含む通信システムにおいて、ユーザの端末がネットワークへログインする際に、認証や接続制限を行う場合がある。
【0003】
認証の例として、ユーザ認証がある。ユーザ認証は、ユーザのアカウントとしてユーザID及びパスワードの組合せを用いた認証である。ユーザの端末は、ネットワークへログインする際、認証機器へアクセスする。認証機器は、認証サーバとの通信に基づいて、ユーザ認証を行い、その結果に応じてログインを許可または不許可にする。認証サーバは、ユーザのアカウントが設定された認証DBを参照してユーザ認証を行う。
【0004】
接続制限の例として、端末のMACアドレスを用いた接続制限がある。認証機器は、ネットワークへの接続が許可される端末のMACアドレスをリストに保持する。認証機器は、端末からのアクセスに対し、端末のMACアドレス及びリストを確認し、その結果に応じて接続を許可または不許可にする。
【0005】
ログインの際の認証や接続制限に係わる先行技術例として、特開2011−107796号公報(特許文献1)が挙げられる。特許文献1には、複数の端末、複数の認証スイッチ、及び複数の認証サーバを含むシステムにおいて、認証スイッチは、ポート毎に利用する認証サーバや認証方式を振り分ける機能を有する旨が記載されている。
【先行技術文献】
【特許文献】
【0006】
【特許文献1】特開2011−107796号公報
【発明の概要】
【発明が解決しようとする課題】
【0007】
従来の通信システムにおいて、管理者は、ユーザの端末によるログインを許可から不許可へ変更するログイン制限を行う場合、例えば認証DBにおける対象ユーザのアカウントを削除する。このアカウント削除以降、対象ユーザの端末は、認証機器にアクセスしてログインを試みる場合、ユーザ認証の結果が失敗になり、ログインが不許可になる。
【0008】
しかし、上記ログイン制限の効果は、アカウント削除以降、対象ユーザの端末が次回に認証機器へアクセスしてログインを試みる際から実質的に有効になる。アカウント削除の時点で既に対象ユーザの端末がログイン状態である場合、ログイン制限の効果はまだ無効である。すなわち、対象ユーザの端末は、ログアウトするまで、ネットワークへの接続及びサービスの利用が継続できてしまう。
【0009】
上記のように、従来のログイン制限を行う通信システムは、一時的にログイン制限の効果が無効の状態が生じる場合があるため、セキュリティの観点を含めて改善余地がある。
【0010】
本発明の目的は、ログイン制限を行う通信システムに関して、ユーザの端末がログイン状態である場合にもログイン制限を実現できる、セキュリティの観点を含めて改善された技術を提供することである。
【課題を解決するための手段】
【0011】
本発明のうち代表的な実施の形態は、通信システムであって、以下に示す構成を有することを特徴とする。
【0012】
一実施の形態の通信システムは、ユーザの端末と、ネットワークに接続され、ユーザの端末によるネットワークへのログインの際にアクセスされる中継装置と、ネットワークに接続され、ログインの際にユーザ認証を行うサーバ装置と、ユーザ認証のアカウント情報としてユーザのアカウントが設定される認証DBと、を含み、中継装置は、ログインの際に、ユーザ認証の要求、ユーザにより入力されたアカウント、及び端末のMACアドレスをサーバ装置へ送信し、サーバ装置から応答を受信し、ユーザ認証の成功または失敗に応じて当該ログインを許可または不許可にする処理と、ネットワークへの接続が許可される端末のMACアドレスについての情報をリストに設定し、端末からのアクセスに対し、当該端末のMACアドレス及びリストを確認して当該端末による接続を許可または不許可にする、接続制限を行う処理と、サーバ装置からの指示に従い、リストの対象端末のMACアドレスについての情報を設定変更することにより、当該対象端末による接続を不許可にする処理と、を行い、サーバ装置は、ユーザ認証の要求に応じて、ユーザにより入力されたアカウント、及び認証DBのアカウント情報を参照して、ユーザ認証を行い、当該ユーザ認証の成功または失敗を表す応答を中継装置へ送信する処理と、ユーザのアカウントと、当該ユーザの端末のMACアドレスと、を含む関係付け情報を管理表に記録しておく処理と、認証DBのアカウント情報の設定変更により対象ユーザによるログインを不許可にするログイン制限の実行を契機として、管理表の当該対象ユーザのアカウントに関係付けられる対象端末のMACアドレスを用いて、指示を中継装置へ送信する処理と、を行う。
【0013】
一実施の形態の通信システムは、ユーザの端末と、ネットワークに接続され、ユーザの端末によるネットワークへのログインの際にアクセスされる中継装置と、ネットワークに接続され、ログインの際に端末認証を行うサーバ装置と、端末認証のアカウント情報として端末のMACアドレスが設定される認証DBと、を含み、中継装置は、ログインの際に、端末認証の要求、及び端末のMACアドレスをサーバ装置へ送信し、サーバ装置から応答を受信し、端末認証の成功または失敗に応じて当該ログインを許可または不許可にする処理と、ネットワークへの接続が許可される端末のMACアドレスについての情報をリストに設定し、端末からのアクセスに対し、当該端末のMACアドレス及びリストを確認して接続を許可または不許可にする、接続制限を行う処理と、サーバ装置からの指示に従い、リストの対象端末のMACアドレスについての情報を設定変更することにより、対象端末による接続を不許可にする処理と、を行い、サーバ装置は、端末認証の要求に応じて、受信した端末のMACアドレス、及び認証DBのアカウント情報を参照して、端末認証を行い、端末認証の成功または失敗を表す応答を中継装置へ送信する処理と、ユーザの端末のMACアドレスと、端末が接続される中継装置のIPアドレスと、を含む関係付け情報を管理表に記録しておく処理と、認証DBのアカウント情報の設定変更により対象端末によるログインを不許可にするログイン制限の実行を契機として、管理表の対象端末のMACアドレス、及び中継装置のIPアドレスを用いて、指示を、対象端末が接続される中継装置へ送信する処理と、を行う。
【発明の効果】
【0014】
本発明のうち代表的な実施の形態によれば、認証及びログイン制限を行う通信システムに関して、ユーザの端末がログイン状態である場合にもログイン制限を実現できる、セキュリティの観点を含めて改善された技術を提供できる。
【図面の簡単な説明】
【0015】
【図1】本発明の実施の形態1の通信システムの構成を示す図である。
【図2】実施の形態1における、認証スイッチ及び認証サーバの構成を示す図である。
【図3】実施の形態1における、認証スイッチ内の制御処理の概要のフローを示す図である。
【図4】実施の形態1における、認証DB、リスト、管理表、及び認証スイッチ管理情報の構成例を示す図である。
【図5】実施の形態1における、第1の通信処理シーケンスを示す図である。
【図6】実施の形態1における、第2の通信処理シーケンスを示す図である。
【図7】本発明の実施の形態2の通信システムにおける、認証DB、及びリストの構成例を示す図である。
【図8】本発明の実施の形態3の通信システムにおける、通信処理シーケンスを示す図である。
【発明を実施するための形態】
【0016】
以下、本発明の実施の形態を図面に基づいて詳細に説明する。なお、実施の形態を説明するための全図において、同一部には原則として同一符号を付し、その繰り返しの説明は省略する。
【0018】
[通信システム]図1は、実施の形態1の通信システムの構成を示す。実施の形態1の通信システムは、複数のユーザの端末1、複数の認証スイッチ2、認証サーバ3、及びWebサーバ8等の他の装置がネットワーク4に接続される構成である。
【0019】
実施の形態1の通信システムは、ユーザのアカウントを用いたユーザ認証101と、MACアドレスを用いた接続制限102と、ログイン制限103と、を行う。ログイン制限103は、即時切断104に関する制御を含む。
【0020】
ネットワーク4は、LANやインターネット等の通信網である。実施の形態1では、ネットワーク4は、1つの社内LANである。複数のユーザは、社内LANを利用する社員等である。
【0021】
端末1は、ユーザが使用するPCやスマートフォン等の各種の端末装置である。複数の端末1として、ユーザ9aの端末1a、ユーザ9bの端末1b、等がある。端末1aのMACアドレスをMa、端末1bのMACアドレスをMb、等とする。端末1は、プロセッサ、メモリ、通信インタフェース、入力装置、表示装置、等のハードウェアを備え、OS、Webブラウザ等のソフトウェアを備える。端末1は、ネットワーク4へログインする際、認証スイッチ2へアクセスし、認証スイッチ2と通信を行う。
【0022】
ユーザには、予め、ユーザ認証101のためのアカウントが割り当てられる。アカウントは、ユーザIDとパスワードとの組合せにより構成される。例えば、ユーザ9aのアカウントをA1、ユーザ9bのアカウントをA2、等とする。
【0023】
認証DB5は、ユーザ認証101のためのアカウント情報50が登録及び管理されるデータベースである。アカウント情報50は、正規の複数のユーザのアカウントを含む。正規のユーザは、ログインが許可されるユーザ、すなわち端末1によるネットワーク4への接続が許可されるユーザである。実施の形態1では、認証DB5は、認証サーバ3に保持される。
【0024】
管理者90は、例えばネットワーク4の管理者であり、運用管理保守用の端末から認証サーバ3にアクセスし、認証サーバ3の持つ設定機能を用いて、認証DB5のアカウント情報50を設定可能である。管理者90は、予め、認証DB5のアカウント情報50に、正規の複数のユーザのアカウントを登録する。
【0025】
認証スイッチ2は、レイヤ2スイッチ機能を備える中継装置であると共に、認証サーバ3との通信に基づいて認証を行う機能を備える認証機器である。認証スイッチ2は、ネットワーク4のエッジに接続されるノードであり、端末1をネットワーク4へ接続する。ネットワーク4に接続される複数の認証スイッチ2として、m台の認証スイッチ2a〜2mがある。認証スイッチ2は、IPアドレスを持つ。認証スイッチ2aのIPアドレスをIP1、認証スイッチ2mのIPアドレスをIPm、等とする。
【0026】
端末1と認証スイッチ2とは、所定の通信インタフェース、例えばイーサネット(登録商標)で接続される。この接続は、有線接続でもよいし、無線接続でもよい。無線接続の場合、ネットワーク4は、無線LANを含み、認証スイッチ2には、無線LANアクセスポイント装置が接続される。端末1は、無線通信機能を有し、無線LANアクセスポイント装置との無線接続を通じて、認証スイッチ2に接続される。なお、認証スイッチ2に無線LANアクセスポイント機能を備えてもよい。
【0027】
実施の形態1では、認証は、アカウントを用いたユーザ認証101である。認証スイッチ2は、ユーザ認証101のクライアントであり、認証サーバ3は、ユーザ認証101のサーバである。ユーザの端末1が認証スイッチ2を通じてネットワーク4へログインする際、認証スイッチ2と認証サーバ3との間では、RADIUSプロトコルに基づいたクライアントサーバ通信により、ユーザ認証101の処理が行われる。
【0028】
また、認証スイッチ2は、MACアドレスを用いた接続制限102を行う機能を備える。接続制限102は、ユーザ認証101の結果に基づいて、端末1によるネットワーク4への接続を制限及び制御することである。認証スイッチ2は、接続制限102の管理のためのリスト7を保持する。例えば、認証スイッチ2aはリスト7aを保持し、認証スイッチ2mはリスト7mを保持する。
【0029】
認証スイッチ2と認証サーバ3とは、ネットワーク4上、TCP/IP等の所定のプロトコルで接続される。認証サーバ3は、所定のIPアドレスを持つ。各認証スイッチ2は、所定のIPアドレスを宛先として認証サーバ3にアクセスする。
【0030】
認証サーバ3は、ユーザ認証101を行う機能、アカウント管理機能を含む設定機能、及びログイン制限103を行う機能、を備えるサーバ装置である。ログイン制限103を行う機能は、即時切断104を制御する機能を含む。
【0031】
認証サーバ3は、認証スイッチ2との通信に基づいて、認証DB5のアカウント情報50を参照しながら、ユーザ認証101を行う。
【0032】
アカウント管理機能は、認証DB5のアカウント情報50を管理する機能である。設定機能は、管理者90を含む外部に対するインタフェースとして、設定画面を提供する。管理者90は、運用管理保守用の端末から、認証サーバ3にアクセスし、設定機能により提供される設定画面を表示する。設定画面は、認証DB5のアカウント情報50の設定内容を表示する。管理者90は、設定画面で、ユーザのアカウントの設定や確認ができる。
【0033】
ログイン制限103は、認証DB5のアカウント情報50の設定変更により、ユーザ認証101に基づいたユーザの端末1によるネットワーク4へのログインを制限することである。管理者90は、対象ユーザのログイン制限103を実行する場合、設定機能を用いて、認証DB5のアカウント情報50のうち、対象ユーザのアカウントを削除する。これにより、対象ユーザの端末1によるログインが不許可になる。
【0034】
即時切断104は、アカウント削除によるログイン制限103の実行に伴い、その時点で対象ユーザの端末1がログイン状態であっても、即時にネットワーク4から切断させることである。言い換えると、即時切断104は、即時にネットワーク4への接続を不許可の状態にし、ユーザをログアウトさせることである。
【0035】
認証サーバ3は、即時切断104の制御を含むログイン制限104の機能のための管理表6、及び認証スイッチ管理情報20を保持する。認証サーバ3は、ユーザ認証101が成功になりログインが許可されたユーザの端末1の情報を管理表6に記録しておく。認証サーバ3は、アカウント削除によるログイン制限103の実行に伴い、管理表6を参照して、指示110を作成し、認証スイッチ2へ送信することにより、対象ユーザの端末1の即時切断104を行う。
【0036】
認証スイッチ2は、指示110に従い、所定のログアウト処理を実行する。認証スイッチ2は、ログアウト処理では、リスト7に登録されている対象ユーザの端末1のMACアドレスを削除する。これにより、対象ユーザの端末1は、接続不許可状態になるので、即時切断104が実現される。
【0037】
Webサーバ8は、ユーザの端末1がネットワーク4へログインした後に利用するサービスを提供する装置の例である。Webサーバ8は、端末1からの認証スイッチ2を通じたアクセスに対して、Webページ等を提供する。端末1は、ログイン状態では、認証スイッチ2を通じてネットワーク4上のWebサーバ8等のサービスを利用できる。
【0038】
実施の形態1の通信システムは、ユーザ認証101、接続制限102、及びログイン制限103の機能により、ネットワーク4のセキュリティを確保する。
【0040】
認証スイッチ2は、プロセッサ、メモリ、通信インタフェース部、等の要素により構成される。認証スイッチ2は、プロセッサ等によるソフトウェア処理またはハードウェア処理により、ユーザ認証クライアント部21、及び接続制限部22を実現する。接続制限部22は、ログアウト処理部22Aを含む。認証スイッチ2は、メモリに、リスト7を含む情報を格納する。通信インタフェース部は、複数のポートを含む。複数のポートは、端末1に接続されるポート、及びネットワーク4に接続されるポートを含み、ポート毎に所定の通信インタフェースによる通信処理を行う。
【0041】
ユーザ認証クライアント部21は、ユーザ認証のクライアントとしての処理を行う。ユーザ認証クライアント部21は、ユーザの端末1がネットワーク4へログインする際、認証サーバ3のユーザ認証サーバ部31と通信する。ユーザ認証クライアント部21は、ユーザにより入力されたアカウント及びユーザ認証の要求を、ユーザ認証サーバ部31へ送信し、ユーザ認証サーバ部31からユーザ認証の結果を表す応答を受信する。ユーザ認証クライアント部21は、ユーザ認証の結果に応じてログインを許可または不許可にする。
【0042】
接続制限部22は、メモリのリスト7を読み書きしながら、端末1のMACアドレスを用いた接続制限の処理を行う。認証スイッチ2は、リスト7に、端末1毎の接続許可または接続不許可の状態を規定する情報を設定する。実施の形態1では、リスト7は、接続許可MACアドレスリスト表である。
【0043】
接続制限部22は、ユーザ認証が成功となったことを検出する。例えば、ユーザ認証クライアント部21は、ユーザ認証が成功となった場合、接続制限部22へ通知する。接続制限部22は、通知により、ユーザ認証が済み、その結果が成功となり、ログインが許可される状態となった端末1のMACアドレスを認識する。接続制限部22は、ユーザ認証が成功となった端末1のMACアドレスを、接続許可MACアドレスとして、リスト7に登録する。これにより、当該端末1は接続許可状態になる。
【0044】
また、接続制限部22は、ユーザの端末1がネットワーク4からログアウトした場合、あるいはログインしてからログアウトせずに無通信状態が一定時間続いた場合、リスト7に登録されている当該端末1の接続許可MACアドレスを削除する。これにより、当該端末1は接続不許可状態になる。
【0045】
接続制限部22は、端末1からのアクセスに対し、当該端末1のMACアドレス及びリスト7の確認に基づいて、接続を許可または不許可にする。接続制限部22は、当該端末1のMACアドレスがリスト7に接続許可MACアドレスとして登録されている場合、接続を許可し、登録されていない場合、不許可にする。
【0046】
また、接続制限部22は、認証サーバ3のログイン制限部33のログアウト指示部33Aからの指示に従い、ログアウト処理部22Aにより、所定のログアウト処理を行う。ログアウト処理部22Aは、ログアウト処理では、リスト7に登録されている対象の端末1のMACアドレスを削除する。これにより、対象の端末1は、接続不許可状態になり、即時切断が実現される。
【0047】
認証サーバ3は、プロセッサ、メモリ、通信インタフェース部、等の要素により構成される。認証サーバ3は、プロセッサ等によるソフトウェア処理またはハードウェア処理により、ユーザ認証サーバ部31、設定部32、及びログイン制限部33を実現する。設定部32は、アカウント管理部32Aを含む。ログイン制限部33は、ログアウト指示部33Aを含む。認証サーバ3は、メモリに、認証DB5、管理表6、及び認証スイッチ管理情報20を格納する。通信インタフェース部は、ネットワーク4に接続されるポートを含み、TCP/IP等の通信インタフェースによる通信処理を行う。
【0048】
ユーザ認証サーバ部31は、ユーザ認証のサーバとしての処理を行う。ユーザ認証サーバ部31は、ユーザ認証クライアント部21との通信に基づいて、メモリの認証DB5のアカウント情報50を参照しながら、ユーザ認証の処理を行う。ユーザ認証サーバ部31は、ユーザ認証の要求に応じて、ユーザにより入力されたアカウントと、アカウント情報50に登録されているアカウントとを比較し、入力されたアカウントのユーザID及びパスワードが、アカウント情報50に登録されているアカウントのユーザID及びパスワードと一致する場合、ユーザ認証の結果を成功とし、入力されたアカウントのユーザID及びパスワードが、アカウント情報50に登録されているアカウントのユーザID及びパスワードと不一致である場合、失敗とする。ユーザ認証サーバ部31は、ユーザ認証の結果を表す応答をユーザ認証クライアント部21へ送信する。
【0049】
設定部32は、設定機能に対応した処理を行う。アカウント管理部32Aは、アカウント管理機能に対応した処理を行う。設定部32は、管理者90を含む外部からの指示や通知を受け付ける。アカウント管理部32Aは、指示や通知に従い、認証DB5のアカウント情報50を設定する処理を行う。
【0050】
ログイン制限部33は、メモリの管理表6や認証スイッチ管理情報20を読み書きしながら、即時切断の制御を含むログイン制限の処理を行う。
【0051】
ログイン制限部33は、ユーザ認証が成功となったことを検出する。例えば、ユーザ認証サーバ部31は、ユーザ認証が成功となった場合、ログイン制限部33へ通知する。ログイン制限部33は、通知により、ユーザ認証が成功となったことを認識する。ログイン制限部33は、ユーザ認証が成功となったユーザのアカウントと関係付けて、当該ユーザの端末1のMACアドレス等を含む関係付け情報を管理表6に記録する処理を行う。管理表6に記録される関係付け情報は、どのユーザのアカウントに対応した端末1が、どの認証スイッチ2に接続されるか、等を判断するための情報である。
【0052】
ログイン制限部33は、設定部32のアカウント管理部32Aを用いて、アカウント情報50の設定変更によるログイン制限を実現する。アカウント管理部32Aは、外部からの指示や通知に従い、アカウント情報50のうちの対象ユーザのアカウントを削除する。これにより、対象ユーザは、ログインが許可から不許可に変更される。ログイン制限部33は、アカウント情報50の設定変更によるログイン制限の実行を検出する。例えば、アカウント管理部32Aは、アカウント削除によるログイン制限が実行された場合、ログイン制限部33へ通知する。ログイン制限部33は、通知により、アカウント削除によるログイン制限の実行を認識する。
【0053】
ログイン制限部33は、ログイン制限の実行を契機として、ログアウト指示部33Aにより、管理表6及び認証スイッチ管理情報20を参照し、即時切断の制御のための指示を作成する。ログアウト指示部33Aは、管理表6に記録された情報から、ログイン制限の対象ユーザのアカウントに関係付けられる対象端末1のMACアドレス等を認識する。ログアウト指示部33Aは、当該MACアドレスを用いて、対象端末1による接続を不許可にするための指示を作成する。そして、ログアウト指示部33Aは、当該指示を、対象端末1が接続される認証スイッチ2へ送信する。
【0054】
ログイン制限部33は、認証スイッチ管理情報20に、複数の認証スイッチ2の種類に応じたコマンドを含む情報を管理している。ログアウト指示部33Aは、認証スイッチ管理情報20に基づいて、対象端末1が接続される認証スイッチ2の種類に応じたコマンドを用いて、指示を作成する。
【0056】
(S101) 認証スイッチ2は、ユーザの端末1からのアクセスを受ける。認証スイッチ2は、当該端末1から受信したフレームの送信元MACアドレスを参照する。
【0057】
(S102) 認証スイッチ2は、まず、接続制限の処理を行う。認証スイッチ2は、アクセスしてきた端末1の送信元MACアドレスが、リスト7に接続許可MACアドレスとして登録されているかどうかを確認する。
【0058】
(S103) 登録されている場合(S102−Y)は、ユーザ認証済み及び接続許可状態を示す。よって、認証スイッチ2は、当該端末1によるネットワーク4への接続を許可し、処理を終了する。
【0059】
(S104) 登録されていない場合(S102−N)は、未ユーザ認証及び接続不許可状態を示す。認証スイッチ2は、当該端末1によるネットワーク4への接続を不許可とする。
【0060】
(S105) 接続不許可(S104)の場合、次に、認証スイッチ2は、ユーザ認証の処理を行う。認証スイッチ2は、アクセスしてきた端末1に対して、ユーザ認証ページによるユーザ認証画面を提供し、ユーザ認証用のアカウントであるユーザID及びパスワードの入力を促す。認証スイッチ2は、ユーザにより入力されたアカウント、及びユーザ認証の要求を、認証サーバ3へ送信する。認証サーバ3は、受信した要求及びアカウントに応じて、認証DB5のアカウント情報50を参照してユーザ認証を行い、その結果を表す応答を認証スイッチ2へ送信する。認証スイッチ2は、応答を受信し、ユーザ認証の結果を参照する。
【0061】
(S106,S107,S108) 認証スイッチ2は、ユーザ認証の結果が、成功の場合(S106-Y)、S107で、当該端末1のMACアドレスを、接続許可MACアドレスとしてリスト7に登録する。そして、S108で、認証スイッチ2は、当該端末1によるネットワーク4へのログインを許可し、処理を終了する。
【0062】
(S109) 認証スイッチ2は、ユーザ認証の結果が、失敗の場合(S106-N)、S109で、当該端末1によるネットワーク4へのログインを不許可とし、処理を終了する。
【0063】
[認証DB]図4の(a)は、実施の形態1における認証DB5のアカウント情報50の構成例を示す。このアカウント情報50の表は、「アカウント(ユーザID,パスワード)」列を有し、複数のユーザのアカウントであるユーザID及びパスワードを格納する。
【0064】
[リスト]図4の(b)は、実施の形態1におけるリスト7である接続許可MACアドレスリスト表の構成例を示す。このリスト7は、「接続許可MACアドレス」列を有する。「接続許可MACアドレス」列は、接続が許可される端末1のMACアドレスが登録される。
【0065】
[管理表]図4の(c)は、実施の形態1における管理表6の構成例を示す。この管理表6は、列として、「アカウント(ユーザID,パスワード)」、「端末MACアドレス」、「認証スイッチIPアドレス」がある。「アカウント」列には、認証DB5の「アカウント」列の値と同じ値が格納される。「端末MACアドレス」列には、ユーザ認証が成功となったユーザの端末1の識別情報及びアドレス情報として、MACアドレスが格納される。「認証スイッチIPアドレス」は、認証スイッチ2の識別情報及びアドレス情報として、IPアドレスが格納される。
【0066】
なお、変形例として、管理表6の「アカウント」列には、認証DB5の「アカウント」列の値を指し示すアドレス等が格納されてもよい。また、変形例として、認証DB5のアカウント情報50に管理表6が統合されてもよい。この場合、認証DB5内に統合された表において、「アカウント」、「端末MACアドレス」、及び「認証スイッチIPアドレス」を含む情報が管理される。
【0067】
[認証スイッチ管理情報]図4の(d)は、認証スイッチ管理情報20の構成例を示す。この認証スイッチ管理情報20の表は、列として、「認証スイッチIPアドレス」、「種類」、「コマンド」がある。「認証スイッチIPアドレス」列は、ネットワーク4に接続される複数の全ての認証スイッチ2a〜2mのそれぞれのIPアドレス「IP1」〜「IPm」が格納される。「種類」列は、各認証スイッチ2a〜2mの種類を表す情報である「Ka」等が格納される。この種類は、装置のメーカや型式、認証や接続制限の方式、受け付けるコマンドの形式、等の違いに応じた種類である。「コマンド」列は、認証サーバ3から認証スイッチ2へ図1の指示110を行う際に用いるコマンドが格納される。コマンドは、認証スイッチ2の種類毎に異なる。認証サーバ3は、対象の認証スイッチ2の種類に応じたコマンドを使用する。なお、認証スイッチ管理情報20は、指示110だけでなく、他の指示のためのコマンドが格納されてもよい。
【0068】
[通信処理シーケンス(1)]図5は、実施の形態1の通信システムにおける第1の通信処理シーケンスとして、ログイン時のユーザ認証等の処理例を示す。S11等はステップを表す。前提の設定状態として、認証DB5には、アカウントA1,A2等が登録済みであり、各認証スイッチ2のリスト7には、接続許可MACアドレスが未登録であるとする。以下、図5のステップS11〜S18について順に説明する。
【0069】
(S11) 例えば、ユーザ9aは、ネットワーク4へログインする際、端末1aから認証スイッチ2aへアクセスし、ログインを試みる。
【0070】
(S12) 認証スイッチ2aは、S11の端末1aからのアクセスを受ける。認証スイッチ2aのリスト7aには、端末1aのMACアドレス「Ma」が未登録である。よって、認証スイッチ2aは、ユーザ認証を行う。認証スイッチ2aは、端末1aへ、ユーザ認証ページを提供する。端末1aは、受信したユーザ認証ページにより、ユーザ認証画面を表示する。ユーザ認証画面には、ユーザ認証のためのアカウントであるユーザID及びパスワードの入力をユーザに促す情報が表示される。ユーザ9aは、ユーザ認証画面で、自分のアカウントA1であるユーザID及びパスワードを入力する。本例では、認証DB5に登録されているアカウントA1が入力されたとする。端末1aは、入力アカウントA1を認証スイッチ2aへ送信する。
【0071】
(S13) 認証スイッチ2aは、S12の入力アカウントA1を受信し、入力アカウントA1及びユーザ認証の要求を、認証サーバ3へ送信する。また、この際、認証スイッチ2aは、このユーザ認証の要求の中に、S11でアクセスしてきた端末1aのMACアドレス「Ma」の情報を含ませる。また、このユーザ認証の要求は、パケットのヘッダにおいて、送信元の認証スイッチ2aのIPアドレス「IP1」が含まれる。
【0072】
(S14) 認証サーバ3は、S13のユーザ認証の要求を受信した場合、入力アカウントA1に対し、認証DB5のアカウント情報50を参照し、ユーザ認証を行う。認証サーバ3は、入力アカウントA1のユーザID及びパスワードが、アカウント情報50に登録されているアカウントのユーザID及びパスワードと一致する場合、ユーザ認証の結果を成功とする。認証サーバ3は、入力アカウントA1が、アカウント情報50に登録されているアカウントと不一致である場合、ユーザ認証の結果を失敗とする。本例では、S12のアカウントA1が認証DB5に登録されていることにより、ユーザ認証が成功となる。
【0073】
(S15) 認証サーバ3は、S14のユーザ認証の結果である成功を表す応答を、S13の要求の送信元IPアドレス「IP1」を持つ認証スイッチ2aへ送信する。
【0074】
(S16) また、認証サーバ3は、S14のユーザ認証が成功になったことを契機として、当該ユーザ認証が成功になったユーザの端末に関する関係付け情報を管理表6に記録する処理を行う。実施の形態1では、認証サーバ3は、(1)当該ユーザ認証が成功になったユーザのアカウントと、(2)当該ユーザの端末1のMACアドレスと、(3)当該端末1が接続される認証スイッチ2のIPアドレスと、の3つの情報の関係付け情報を管理表6に記録する。
【0075】
上記(1)のアカウントは、認証DB5のアカウント情報50に登録されているアカウントと同じ値が用いられる。上記(2)のMACアドレスは、S13の要求の中に含まれているMACアドレスが用いられる。上記(3)のIPアドレスは、S13の要求のパケットのヘッダに含まれる送信元IPアドレスが用いられる。
【0076】
本例では、管理表6に、ユーザ9aのアカウントA1と、当該ユーザ9aの端末1aのMACアドレス「Ma」と、当該端末1aが接続される認証スイッチ2aのIPアドレス「IP1」と、を含む{A1,Ma,IP1}のような情報が追加される。
【0077】
(S17) 一方、認証スイッチ2aは、S15の応答を受信し、応答からユーザ認証が成功であった場合、当該ユーザの端末1によるネットワーク4へのログインを許可し、失敗の場合、不許可にする。本例では、ユーザ認証が成功であるため、ユーザ9aの端末1aによるログインが許可される。認証スイッチ2aは、当該ログインが許可されるユーザ9aの端末1aのMACアドレス「Ma」を、接続許可MACアドレスとしてリスト7aに登録する。この状態は、ユーザ認証済み及び接続許可状態に相当する。
【0078】
(S18) S17により、ユーザ9aの端末1aは、ログインが許可され、ログイン状態になる。すなわち、端末1aは、認証スイッチ2aを通じてネットワーク4との接続が確立され、認証スイッチ2aを通じてネットワーク4への通信及びサービスの利用ができる状態になる。例えば、501のように、端末1aは、Webサーバ8へアクセスしてWebページを利用することができる。
【0079】
このログイン状態では、認証スイッチ2aは、端末1aから送信されポートで受信したフレームについて、リスト7aを確認する。認証スイッチ2aは、リスト7aに端末1aのMACアドレス「Ma」が登録された接続許可状態であるため、当該フレームをポートで通過させ、宛先のWebサーバ8等へ向けて転送する。
【0080】
その後、ユーザ9aは、必要に応じて、端末1aを、ネットワーク4からログアウトさせる。なお、認証スイッチ2aは、端末1aがログアウトした場合、それに対応して、接続制限の処理として、リスト7aから当該端末1aの接続許可MACアドレスを削除することにより、端末1aを接続不許可状態にする。また、認証スイッチ2aは、端末1aがログインしてからログアウトしないまま無通信状態が一定時間続いた場合、接続制限の処理として、リスト7aから当該端末1aの接続許可MACアドレスを削除することにより、端末1aを接続不許可状態にする。
【0081】
ユーザ9aの端末1aが再度ネットワーク4にログインする場合には、S11からの処理が同様に行われる。他のユーザの端末がログインする場合も、上記と同様に通信処理が行われる。例えば、ユーザ9bの端末1bが認証スイッチ2bにアクセスしてログインする。認証スイッチ2bと認証サーバ3との間でユーザ認証が行われ、結果が成功になる。管理表6には、{A2,Mb,IP2}のような情報が記録される。認証スイッチ2bのリスト7bには、端末1bのMACアドレス「Mb」が登録される。
【0082】
[通信処理シーケンス(2)]図6は、図5に続く第2の通信処理シーケンスとして、ログイン制限の実行の例を示す。本例では、前提の状態として、認証DB5、管理表6、及び各リスト7には、図5のような情報が登録済みとする。ユーザ9aは、図5で端末1aをネットワーク4へログインさせた後、当該端末1aをログアウトさせずにログイン状態のままであり、リスト7aにはMACアドレス「Ma」が登録されたままである。以下、図6のステップS21〜S25について順に説明する。
【0083】
(S21) 管理者90は、対象ユーザの端末1によるログインを許可から不許可に変更するログイン制限を実行する。本例では、ログイン制限の対象としてユーザ9aの端末1aとする。管理者90は、端末から認証サーバ3にアクセスし、設定画面で、認証DB5のアカウント情報50の設定内容を表示する。管理者90は、設定画面で、アカウント情報のうち、対象ユーザ9aのアカウントA1を選択して削除する操作、すなわちログイン制限の実行の操作を行う。この操作に従い、認証サーバ3は、認証DB5のアカウント情報50のうちの対象ユーザ9aのアカウントA1を削除して設定内容を更新する。
【0084】
(S22) 認証サーバ3は、S21のアカウント削除によるログイン制限の実行を契機として、管理表6を参照し、削除された対象ユーザのアカウントに関係付けられた、端末1のMACアドレス及び認証スイッチ2のIPアドレスを読み出す。本例では、図5のS16の時の{A1,Ma,IP1}の情報から、対象ユーザ9aのアカウントA1に関係付けられた端末1aのMACアドレス「Ma」、及び認証スイッチ2aのIPアドレス「IP1」が得られる。認証サーバ3は、この情報から、即時切断の制御の対象端末1が、MACアドレス「Ma」を持つ端末1aであることがわかる。また、認証サーバ3は、この情報から、対象端末1aが接続される認証スイッチ2が、IPアドレス「IP1」を持つ認証スイッチ2aであることがわかる。
【0085】
(S23) 認証サーバ3は、ログイン制限の対象ユーザのアカウントに関係付けられるMACアドレスの単位で、即時切断の制御のための指示を行う。この指示は、対象の端末1aがログイン状態の場合には即時に切断させる旨の指示である。言い換えると、この指示は、対象の認証スイッチ2にログアウト処理を実行させる指示であり、リスト7から対象のMACアドレスを削除させる指示である。
【0086】
認証サーバ3は、S22で得たMACアドレス及びIPアドレスを含む情報を用いて、指示を作成する。認証サーバ3は、この指示の中に、S22で得たMACアドレス、本例では「Ma」、を含ませる。また、認証サーバ3は、S22で得たIPアドレス、本例では「IP1」を、この指示のパケットのヘッダの宛先IPアドレスに設定する。
【0087】
また、認証サーバ3は、認証スイッチ管理情報20を用いて、複数の認証スイッチ2のうち、対象端末1が接続される認証スイッチ2の種類に応じたコマンドを用いて、この指示を作成する。
【0088】
そして、認証サーバ3は、作成した指示のパケットを、対象端末1aが接続される認証スイッチ2aへ送信する。
【0089】
なお、ログイン制限の実行開始に対応するS21〜S23の時点で、認証サーバ3は、対象ユーザ9aの端末1aがログイン状態かログアウト済み状態かはわからないが、それを判断する必要は無い。認証サーバ3は、その判断には関係なく、すぐに上記の指示を対象の認証スイッチ2aへ送信する。
【0090】
(S24) S23の指示を受信した認証スイッチ2aは、当該指示に従い、所定のログアウト処理を実行する。認証スイッチ2は、このログアウト処理で、S23の指示に含まれる対象のMACアドレス「Ma」が、リスト7aに接続許可MACアドレスとして登録されている場合、その接続許可MACアドレス「Ma」を削除する。これにより、対象ユーザ9aの端末1aは、接続許可状態から接続不許可状態になる。
【0091】
上記S23の指示を受けた時点で、認証スイッチ2aに端末1aが接続されているログイン状態である場合、リスト7aにはMACアドレス「Ma」が登録されている。よって、認証スイッチ2aは、ログアウト処理では、リスト7aからそのMACアドレス「Ma」を削除する。また、上記S23の指示を受けた時点で、認証スイッチ2aに端末1aが接続されていないログアウト済み状態である場合、あるいは、認証スイッチ2aに端末1aが接続してログインしてから無通信状態で一定時間が経過後の場合、リスト7aにはMACアドレス「Ma」が登録されていない。この場合、認証スイッチ2aは、ログアウト処理では、リスト7から対象のMACアドレス「Ma」が削除済みであるため、何もしない。
【0092】
(S25) S24により、端末1aは、即時切断された状態になり、ユーザ9aはログアウトさせられる。すなわち、対象ユーザ9aの端末1aは、その時点でネットワーク4にログイン状態であったとしても、認証スイッチ2aとの接続が切断され、ネットワーク4への通信及びサービスの利用ができない状態になる。例えば、601のように、端末1aは、Webサーバ8へアクセスしてサービスを利用しようとしても、通信不可能である。認証スイッチ2aは、端末1aから送信されたフレームをポートで受信した場合、リスト7aを確認する。認証スイッチ2aは、端末1aのMACアドレス「Ma」が登録されておらず接続不許可状態であるため、当該端末1aからのフレームをポートで破棄する。
【0093】
なお、上記ログイン制限が行われたユーザ9aの端末1aが、次回以降にログインする際には、認証スイッチ2のリスト7に端末1aのMACアドレス「Ma」が登録されていないため、ユーザ認証が行われる。ユーザ認証では、認証DB5内のユーザ9aのアカウントA1が削除済みであるため、ユーザ認証が失敗になり、その結果、ログインが不許可になる。
【0094】
また、管理者90は、対象ユーザのログイン制限を解除する場合、認証DB5のアカウント情報50に対象ユーザのアカウントを登録する。
【0095】
なお、実施の形態1において、一度に複数のユーザを対象にログイン制限を行うことも可能である。例えば、二人のユーザ9a,9bを対象に同時にログイン制限を行う場合、管理者90は、認証DB5のアカウント情報50に登録されている2個のアカウントA1,A2を同時に削除する。それに伴い、認証サーバ3は、管理表6を参照し、対象ユーザ9aの端末1aが接続される認証スイッチ2aへ、図4の(d)のコマンドC1を用いた指示を送信し、同時に、対象ユーザ9bの端末1bが接続される認証スイッチ2bへ、コマンドC2を用いた指示を送信する。認証スイッチ2a,2bは、それぞれ、指示に従い、ログアウト処理を行う。これにより、ユーザ9aの端末1a及びユーザ9bの端末1bは、即時切断される。
【0096】
[効果等]以上説明したように、実施の形態1の通信システムによれば、ユーザ認証、接続制限、及びログイン制限を行う機能を備える構成であり、これにより、セキュリティの観点を含めて改善されたログイン制限等を実現できる。実施の形態1によれば、ログイン制限として、アカウント削除の時点で対象ユーザの端末1がログイン状態である場合にも、即時切断させることができる。すなわち、管理者90は、ログイン制限の実行により、対象ユーザの端末1によるネットワーク4への接続及びサービスの利用を即時に無効にすることができる。
【0097】
実施の形態1によれば、ネットワーク4に複数の認証スイッチ2が接続されている場合にも、ログイン制限の対象ユーザの端末1及び当該端末1が接続される認証スイッチ2を判断し、対象の認証スイッチ2の種類に応じた指示を送信し、即時切断を実現できる。
【0098】
実施の形態1は、即時切断を実現する仕組みとして、ユーザ認証の成功に応じて管理表6に関係付け情報を記録する手段や、アカウント削除によるログイン制限の実行を検出し、管理表6等から対象端末1及び認証スイッチ2を判断してすぐに指示を送信する手段、等を有する。これにより、実施の形態1は、即時切断として、アカウント削除の時点から対象端末1を接続不許可にする時点までの時間を十分に短くすることができる。
【0099】
実施の形態1は、即時切断の制御のために、管理表6の情報として、ユーザのアカウント、端末1のMACアドレス、及び認証スイッチ2のIPアドレスを用いる構成とし、MACアドレス単位で制御する構成とした。管理表6の情報は、これらの情報に限らずに、他の識別情報やアドレス情報も、適用可能である。
【0100】
(実施の形態2)図7を用いて、実施の形態2の通信システムについて説明する。以下、実施の形態2の構成における、実施の形態1の構成とは異なる部分について説明する。実施の形態2の通信システムの構成は、図1の構成と基本的に同様であるが、実施の形態2では、ログイン制限の方式として、アカウント削除ではなく、アカウント無効化を行う。すなわち、ログイン制限の際、認証サーバ3は、認証DB5のアカウント情報50において、初期設定の対象ユーザのアカウントを残したまま、当該アカウントに無効の状態を設定する。
【0101】
図7の(a)は、実施の形態2における認証DB5のアカウント情報50の構成例を示す。この表は、「アカウント」列、「有効無効(ログイン制限状態)」列を有する。「アカウント」列は、実施の形態1と同様であり、ログインが許可されるユーザのアカウントが格納される。「有効無効」列は、ログイン制限の有無の状態に対応する、アカウントの有効または無効の状態を表すフラグの値が設定される。フラグの値0は、アカウント無効状態、及びログイン制限有りの状態を示す。フラグの値1は、アカウント有効状態、及びログイン制限無しの状態を示す。
【0102】
認証サーバ3は、ログイン制限を行う場合、アカウント情報50における対象ユーザのアカウントについて、フラグを無効化、すなわち値1から値0に変更する。また、管理者90は、ログイン制限を解除する場合、対象ユーザのアカウントについて、フラグを有効化、すなわち値0から値1に変更する。
【0103】
また、実施の形態2では、接続制限の方式として、リスト7において、接続許可MACアドレスの登録及び削除ではなく、接続許可MACアドレスの有効化及び無効化を行う方式である。すなわち、認証スイッチ2は、対象端末1を接続不許可状態にする場合、リスト7において、初期設定の対象端末1のMACアドレスを残したまま、当該MACアドレスに無効の状態を設定する。
【0104】
図7の(b)は、実施の形態2におけるリスト7の構成例を示す。この表は、「端末MACアドレス」列、「有効無効(接続制限状態)」列を有する。この表は、初期設定で、「端末MACアドレス」列に、接続が許可される複数の端末1のMACアドレスが登録され、この情報が基本的に保持される。「有効無効」列は、接続制限の状態に対応する、MACアドレスの有効または無効の状態を表すフラグの値が設定される。フラグの値0は、MACアドレス無効状態、及び接続不許可状態を示す。フラグの値1は、MACアドレス有効状態、及び接続許可状態を示す。
【0105】
認証スイッチ2は、ユーザ認証が成功となったユーザの端末1のMACアドレスについて、リスト7のフラグを有効化、すなわち値0から値1に変更する。また、認証スイッチ2は、端末1がログアウトした場合等には、その端末1のMACアドレスについて、フラグを無効化、すなわち値1から値0に変更する。
【0106】
実施の形態2の通信システムにおける通信処理の例について、実施の形態1の図5及び図6の例を用いて、異なる部分を説明する。初期設定で、認証DB5のアカウント情報50には、各ユーザのアカウントA1,A2等が「有効」状態で設定されている。また、各認証スイッチ2のリスト7には、各端末1のMACアドレス「Ma」「Mb」等が「無効」状態で設定されている。
【0107】
例えば、ユーザ9aの端末1aは、認証スイッチ2aにアクセスし、ネットワーク4へのログインを試みる。認証スイッチ2aと認証サーバ3との通信に基づいてユーザ認証が行われ、ユーザ認証が成功になる。その場合、認証スイッチ2aは、リスト7aのMACアドレス「Ma」について有効化、すなわち「有効」状態にする。
【0108】
管理者90は、例えばユーザ9aのアカウントA1を対象にログイン制限を行う。管理者90は、設定画面で、対象ユーザ9aのアカウントA1について無効化の操作を行う。これに従い、認証サーバ3は、アカウント情報50のアカウントA1について無効化、すなわち「無効」状態にする。
【0109】
認証サーバ3は、アカウントA1の無効化を契機として、管理表6を参照し、当該アカウントA1に関係付けられた、端末1aのMACアドレス「Ma」、及び認証スイッチ2aのIPアドレス「IP1」を得る。認証サーバ3は、認証スイッチ2aへ、MACアドレス「Ma」を含む指示を送信する。
【0110】
認証スイッチ2aは、指示に従うログアウト処理において、リスト7aのMACアドレス「Ma」について、「有効」状態である場合には、無効化を行い、「無効」状態にする。これにより、端末1aは、接続不許可状態になり、即時切断が実現される。
【0111】
実施の形態2によれば、ログイン制限として、アカウント無効化の時点で対象ユーザの端末1がログイン状態である場合にも、即時切断させることができる。
【0112】
(実施の形態3)図8を用いて、実施の形態3の通信システムについて説明する。以下、実施の形態3の構成における実施の形態1の構成とは異なる部分について説明する。実施の形態3は、ユーザの端末1がネットワーク4へログインする際の認証として、ユーザ認証ではなく、MACアドレスを用いた端末認証を用いる。
【0113】
図8は、実施の形態3の通信システムの構成を示す。実施の形態3は、ユーザの端末1、認証スイッチ2、及び認証サーバ3の間において、端末1のMACアドレスを用いた端末認証105を行う。MACアドレスを用いた接続制限102は、端末認証105の結果に基づいて行われる。
【0114】
認証サーバ3は、管理者90による設定に基づいて、認証DB5に、MAC認証用のアカウント情報50Cとして、正規にログインが許可される複数の端末1のMACアドレスを登録する。
【0115】
例えば、ユーザ9aは、端末1aから認証スイッチ2aへアクセスし、ログインを試みる。認証スイッチ2aは、端末1aからのアクセスを受けると、端末認証105のため、当該端末1aのMACアドレス「Ma」、及び端末認証の要求を、認証サーバ3へ送信する。認証サーバ3は、要求に応じて、認証DB5のアカウント情報50Cを参照し、端末認証105を行う。認証サーバ3は、要求に伴い受信したMACアドレス「Ma」が、アカウント情報50Cに登録されているMACアドレスと一致する場合、端末認証の結果を成功とし、不一致の場合、失敗とする。認証サーバ3は、端末認証の結果を表す応答を、認証スイッチ2aへ送信する。
【0116】
認証サーバ3は、端末認証が成功であった場合、管理表6Cに、当該端末認証が成功であった端末1aのMACアドレス「Ma」と、当該端末1aが接続される認証スイッチ2aのIPアドレス「IP1」と、を含む関係付け情報を記録する。
【0117】
認証スイッチ2aは、応答から、端末認証が成功であった場合、当該端末1aのMACアドレス「Ma」を接続許可MACアドレスとしてリスト7aに登録する。これにより、当該端末1aは接続許可状態になる。
【0118】
管理者90は、例えばユーザ9aの端末1aを対象にログイン制限を行う。その際、管理者90は、設定画面で、対象端末1aのMACアドレス「Ma」を削除する操作を行う。それに従い、認証サーバ3は、アカウント情報50Cにおける対象端末1aのMACアドレス「Ma」を削除する。
【0119】
認証サーバ3は、ログイン制限の実行を契機として、管理表6Cを参照し、対象端末1aのMACアドレス「Ma」に関係付けられた、認証スイッチ2のIPアドレス「IP1」を得る。認証サーバ3は、得た情報を用いて、対象端末1aを即時切断させるための指示を作成する。この指示は、対象端末1aのMACアドレス「Ma」を含む。認証サーバ3は、この指示を、対象端末1aが接続される認証スイッチ2aへ送信する。
【0120】
認証スイッチ2aは、指示に従い、ログアウト処理として、リスト7aに、対象端末1aのMACアドレス「Ma」が登録されている場合、当該MACアドレス「Ma」を削除する。これにより、対象端末1aは、接続不許可状態になり、即時切断が実現される。
【0121】
実施の形態3によれば、MACアドレスを用いた端末認証を行う構成であり、ログイン制限として、アカウント削除の時点で対象ユーザの端末1がログイン状態である場合にも即時切断させることができる。
【0122】
ログインの際の認証は、実施の形態1のユーザ認証や、実施の形態3の端末認証に限らず、適用可能である。実施の形態1及び実施の形態3の変形例として、ログインの際の認証は、実施の形態1のユーザ認証と、実施の形態3の端末認証と、を組合せた認証としてもよい。この場合、認証DB5には、認証用の情報として、ユーザのユーザID及びパスワードと、端末1のMACアドレスと、の組合せによる情報が登録される。ログイン制限の際には、この情報を削除または無効化する設定変更が行われる。
【0123】
(他の実施の形態)他の実施の形態の通信システムとして、以下が挙げられる。
【0124】
(1) 他の実施の形態として、認証DB5は、ネットワーク4上、認証サーバ3以外の場所に保持されてもよい。例えば、ネットワーク4上に、アカウント管理機能を備える所定のサーバを有し、そのサーバは、認証DB5を保持及び管理する。認証サーバ3とそのサーバとは連係する。認証サーバ3は、必要に応じてそのサーバにアクセスし、認証DB5を読み書きする。
【0125】
また、そのアカウント管理機能を持つサーバは、ログイン制限を実行する機能を備えてもよい。そのサーバは、管理者90の指示等に基づいて、アカウント削除によるログイン制限を実行する。そのサーバは、ログイン制限の実行時、認証サーバ3へ通知する。認証サーバ3は、通知を受けて、管理表6を参照し、即時切断の制御のための指示を認証スイッチ2へ送信する。
【0126】
(2) 他の実施の形態として、接続制限の方式は、実施の形態1のように、認証の成功に応じてリスト7にMACアドレスを登録し、ログアウト等に応じてリスト7からMACアドレスを削除する方式以外も、適用可能である。例えば、認証スイッチ2は、管理者90や認証サーバ3等、外部からの設定の指示を任意のタイミングで受け付ける。認証スイッチ2は、その設定の指示に応じて、リスト7に、接続許可MACアドレス、あるいは接続不許可MACアドレスを登録する。
【0127】
リスト7に接続不許可MACアドレスを登録する方式の場合、認証スイッチ2は、端末1からのアクセスに対し、リスト7を確認し、当該端末1のMACアドレスが、接続不許可MACアドレスとして登録されている場合、接続を不許可にする。認証スイッチ2は、認証サーバ3から、即時切断に関する指示を受信した場合、当該指示に含まれる対象のMACアドレスを、接続不許可MACアドレスとしてリスト7に追加登録する。
【0128】
以上、本発明を実施の形態に基づき具体的に説明したが、本発明は前記実施の形態に限定されず、その要旨を逸脱しない範囲で種々変更可能である。
【符号の説明】
【0129】
1,1a,1b…端末、2,2a,2b,2m…認証スイッチ、3…認証サーバ、4…ネットワーク、5…認証DB、6…管理表、7,7a,7b,7m…リスト、8…Webサーバ、9a,9b…ユーザ、20…認証スイッチ管理情報、50…アカウント情報、90…管理者、101…ユーザ認証、102…接続制限、103…ログイン制限、104…即時切断、110…指示