ホーム > 特許ランキング > 株式会社ネットスプリング
知財求人 - 知財ポータルサイト「IP Force」
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公開特許公報(A)
(11)【公開番号】P2024165096
(43)【公開日】2024-11-28
(54)【発明の名称】MACアドレス登録方法及びMACアドレス登録装置
(51)【国際特許分類】
G06F 21/31 20130101AFI20241121BHJP
G06F 21/33 20130101ALI20241121BHJP
【FI】
G06F21/31
G06F21/33
【審査請求】未請求
【請求項の数】7
【出願形態】OL
(21)【出願番号】P 2023080962
(22)【出願日】2023-05-16
【新規性喪失の例外の表示】新規性喪失の例外適用申請有り
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.Java Script
(71)【出願人】
【識別番号】302040445
【氏名又は名称】株式会社ネットスプリング
(74)【代理人】
【識別番号】100079108
【弁理士】
【氏名又は名称】稲葉 良幸
(74)【代理人】
【識別番号】100109346
【弁理士】
【氏名又は名称】大貫 敏史
(74)【代理人】
【識別番号】100117189
【弁理士】
【氏名又は名称】江口 昭彦
(74)【代理人】
【識別番号】100134120
【弁理士】
【氏名又は名称】内藤 和彦
(72)【発明者】
【氏名】白潟 英次
(72)【発明者】
【氏名】菅 浩憲
(72)【発明者】
【氏名】上田 秋成
(72)【発明者】
【氏名】西武 進
(57)【要約】
【課題】MACアドレス登録装置から遠隔地にあるユーザ端末であっても、比較的容易に、かつ高いセキュリティ性を保ちつつ、MACアドレス登録装置に当該ユーザ端末のMACアドレスを登録可能なMACアドレス登録方法を提供する。
【解決手段】MACアドレス登録方法は、ユーザ端末と、MACアドレス取得装置と、MACアドレス登録装置と、を備えるシステムで実行される。ユーザ端末のMACアドレスとIPアドレスとを対応付けて対応テーブルを生成するステップと、ユーザIDを用いた認証を行うステップと、ユーザIDとMACアドレスとを関連付けるステップと、MACアドレス取得装置からMACアドレス登録装置に、互いに関連付けられた前記ユーザID及び前記MACアドレスを送信するステップと、ユーザIDと関連付けてMACアドレスを記憶するステップと、を備える。
【選択図】図2
【解決手段】MACアドレス登録方法は、ユーザ端末と、MACアドレス取得装置と、MACアドレス登録装置と、を備えるシステムで実行される。ユーザ端末のMACアドレスとIPアドレスとを対応付けて対応テーブルを生成するステップと、ユーザIDを用いた認証を行うステップと、ユーザIDとMACアドレスとを関連付けるステップと、MACアドレス取得装置からMACアドレス登録装置に、互いに関連付けられた前記ユーザID及び前記MACアドレスを送信するステップと、ユーザIDと関連付けてMACアドレスを記憶するステップと、を備える。
【選択図】図2
【特許請求の範囲】
【請求項1】
ユーザ端末と、
前記ユーザ端末と接続されるMACアドレス取得装置と、
前記ユーザ端末及び前記MACアドレス取得装置と接続されるMACアドレス登録装置と、を備えるシステムにおいて実行されるMACアドレス登録方法であって、
前記MACアドレス取得装置が、前記ユーザ端末のMACアドレスとIPアドレスとを対応付けて対応テーブルを生成する第1ステップと、
前記ユーザ端末から前記MACアドレス取得装置を介して前記MACアドレス登録装置に接続してユーザIDを用いた認証を行う第2ステップと、
前記MACアドレス取得装置が、前記対応テーブルを参照して前記ユーザIDと前記MACアドレスとを関連付ける第3ステップと、
前記MACアドレス取得装置から前記MACアドレス登録装置に対して、互いに関連付けられた前記ユーザID及び前記MACアドレスを送信する第4ステップと、
前記MACアドレス登録装置が、前記ユーザIDと関連付けて前記MACアドレスを記憶する第5ステップと、を備える、
MACアドレス登録方法。
前記ユーザ端末と接続されるMACアドレス取得装置と、
前記ユーザ端末及び前記MACアドレス取得装置と接続されるMACアドレス登録装置と、を備えるシステムにおいて実行されるMACアドレス登録方法であって、
前記MACアドレス取得装置が、前記ユーザ端末のMACアドレスとIPアドレスとを対応付けて対応テーブルを生成する第1ステップと、
前記ユーザ端末から前記MACアドレス取得装置を介して前記MACアドレス登録装置に接続してユーザIDを用いた認証を行う第2ステップと、
前記MACアドレス取得装置が、前記対応テーブルを参照して前記ユーザIDと前記MACアドレスとを関連付ける第3ステップと、
前記MACアドレス取得装置から前記MACアドレス登録装置に対して、互いに関連付けられた前記ユーザID及び前記MACアドレスを送信する第4ステップと、
前記MACアドレス登録装置が、前記ユーザIDと関連付けて前記MACアドレスを記憶する第5ステップと、を備える、
MACアドレス登録方法。
【請求項2】
前記ユーザ端末と前記MACアドレス取得装置とは、データリンク層で接続され、
前記ユーザ端末及び前記MACアドレス取得装置とMACアドレス登録装置とは、ネットワーク層以上の層で接続される、
請求項1に記載のMACアドレス登録方法。
前記ユーザ端末及び前記MACアドレス取得装置とMACアドレス登録装置とは、ネットワーク層以上の層で接続される、
請求項1に記載のMACアドレス登録方法。
【請求項3】
前記第4ステップは、
前記MACアドレス取得装置が、認可コードを生成し、前記ユーザID及び前記MACアドレスと関連付けるステップと、
前記MACアドレス取得装置から前記ユーザ端末に対して前記認可コードを送信するステップと、
前記ユーザ端末から前記MACアドレス登録装置に対して前記認可コードを送信するステップと、
前記MACアドレス登録装置からの要求に応じて、前記MACアドレス取得装置から前記MACアドレス登録装置に対して前記認可コードに関連付けられた前記ユーザID及び前記MACアドレスを送信するステップと、を含む、
請求項1に記載のMACアドレス登録方法。
前記MACアドレス取得装置が、認可コードを生成し、前記ユーザID及び前記MACアドレスと関連付けるステップと、
前記MACアドレス取得装置から前記ユーザ端末に対して前記認可コードを送信するステップと、
前記ユーザ端末から前記MACアドレス登録装置に対して前記認可コードを送信するステップと、
前記MACアドレス登録装置からの要求に応じて、前記MACアドレス取得装置から前記MACアドレス登録装置に対して前記認可コードに関連付けられた前記ユーザID及び前記MACアドレスを送信するステップと、を含む、
請求項1に記載のMACアドレス登録方法。
【請求項4】
前記第4ステップの後、前記ユーザ端末からの操作に応じて、前記MACアドレス登録装置に記憶された前記ユーザIDと前記MACアドレスとを関連付ける情報を含むユーザIDとMACアドレスとの認証情報の編集を可能にするステップを備える、
請求項1に記載のMACアドレス登録方法。
請求項1に記載のMACアドレス登録方法。
【請求項5】
前記認可コードが、OpenID Connect認可コードである、
請求項3に記載のMACアドレス登録方法。
請求項3に記載のMACアドレス登録方法。
【請求項6】
前記MACアドレス取得装置は、前記ユーザ端末が接続されたブリッジとして機能する通信装置である、
請求項1に記載のMACアドレス登録方法。
請求項1に記載のMACアドレス登録方法。
【請求項7】
ユーザ端末と、
前記ユーザ端末と接続されるMACアドレス取得装置と、
前記ユーザ端末及び前記MACアドレス取得装置と接続されるMACアドレス登録装置と、を備えるMACアドレス登録システムであって、
前記MACアドレス取得装置は、
前記ユーザ端末のMACアドレスとIPアドレスとを対応付けて対応テーブルを生成する対応テーブル生成部と、
前記対応テーブルを参照してユーザIDと前記MACアドレスとを関連付ける関連部と、
前記MACアドレス登録装置に対して、互いに関連付けられた前記ユーザID及び前記MACアドレスを送信する関連情報送信部と、を有し、
前記MACアドレス登録装置は、
前記ユーザ端末から前記MACアドレス取得装置を介して接続されて前記ユーザIDを用いた認証を行う認証部と、
前記ユーザIDと関連付けて前記MACアドレスを記憶する記憶部と、を有する、
MACアドレス登録システム。
前記ユーザ端末と接続されるMACアドレス取得装置と、
前記ユーザ端末及び前記MACアドレス取得装置と接続されるMACアドレス登録装置と、を備えるMACアドレス登録システムであって、
前記MACアドレス取得装置は、
前記ユーザ端末のMACアドレスとIPアドレスとを対応付けて対応テーブルを生成する対応テーブル生成部と、
前記対応テーブルを参照してユーザIDと前記MACアドレスとを関連付ける関連部と、
前記MACアドレス登録装置に対して、互いに関連付けられた前記ユーザID及び前記MACアドレスを送信する関連情報送信部と、を有し、
前記MACアドレス登録装置は、
前記ユーザ端末から前記MACアドレス取得装置を介して接続されて前記ユーザIDを用いた認証を行う認証部と、
前記ユーザIDと関連付けて前記MACアドレスを記憶する記憶部と、を有する、
MACアドレス登録システム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、MACアドレスを登録する登録方法及び登録装置に関する。
【背景技術】
【0002】
従来、個人が使用するPC(Personal Computer)などのユーザ端末を識別して認証し、所定の操作などを許可するための方法のうち、特にセキュリティ性を高めた方法として、個々のユーザ端末のネットワークカードに付与されるユニークな番号であるMACアドレスを利用する方法があった。このようなMACアドレスを利用する認証方法は、所定の認証プロトコルであるRADIUS(Remote Authentication Dial In User Service)認証を用いることで利用可能であった。
【先行技術文献】
【特許文献】
【0003】
【特許文献1】特開2001-111544号公報
【発明の概要】
【発明が解決しようとする課題】
【0004】
ただし、MACアドレスは、通常の通信では、OSI参照モデルのレイヤ2(第2層)のデータリンク層における通信では用いられるものの、レイヤ3(第3層)のネットワーク層以上の層における通信では用いられない。すなわち、上記のMACアドレスを利用する所定の認証プロトコルによる認証を行う場面以外では、レイヤ3のネットワーク層以上の層での通信を行う限り、ユーザ端末と通信を行う機器が、当該ユーザ端末のMACアドレスを取得することが原則不可能であった。
【0005】
そのため、MACアドレスを利用する認証の前提となるMACアドレスをMACアドレス登録装置に登録する場合には、以下の2つの方法があった。第1の方法は、ユーザ端末のMACアドレスをユーザまたは管理者の手入力によりMACアドレス登録装置に登録する方法である。第2の方法は、MACアドレス登録装置がユーザ端末のMACアドレスを認識できるよう、MACアドレスを用いる通信が行われるレイヤ2のデータリンク層で、ユーザ端末とMACアドレス登録装置との間の通信を行う方法である。この第2の方法では、MACアドレス登録装置が配置された場所に物理的に近い場所にユーザ端末を持ち込んで通信を行う必要がある。
【0006】
しかしながら、上記第1の方法では、MACアドレスを手入力する必要があるため煩雑であった。また、任意のMACアドレスを入力可能であるため、高いセキュリティ性を保つ観点では不十分な点があった。上記第2の方法では、遠隔地にあるユーザ端末のMACアドレスをMACアドレス登録装置に登録することができないため不便であった。
【0007】
本発明では、従来の方法では対応が難しかった、遠隔地であっても比較的容易に、かつ高いセキュリティ性を保ちつつMACアドレス登録装置にMACアドレスを登録する方法などを提供することを目的とする。
【課題を解決するための手段】
【0008】
本発明の一態様に係るMACアドレス登録方法は、
ユーザ端末と、
前記ユーザ端末と接続されるMACアドレス取得装置と、
前記ユーザ端末及び前記MACアドレス取得装置と接続されるMACアドレス登録装置と、を備えるシステムにおいて実行されるMACアドレス登録方法であって、
前記MACアドレス取得装置が、前記ユーザ端末のMACアドレスとIPアドレスとを対応付けて対応テーブルを生成する第1ステップと、
前記ユーザ端末から前記MACアドレス取得装置を介して前記MACアドレス登録装置に接続してユーザIDを用いた認証を行う第2ステップと、
前記MACアドレス取得装置が、前記対応テーブルを参照して前記ユーザIDと前記MACアドレスとを関連付ける第3ステップと、
前記MACアドレス取得装置から前記MACアドレス登録装置に対して、互いに関連付けられた前記ユーザID及び前記MACアドレスを送信する第4ステップと、
前記MACアドレス登録装置が、前記ユーザIDと関連付けて前記MACアドレスを記憶する第5ステップと、を備える。
ユーザ端末と、
前記ユーザ端末と接続されるMACアドレス取得装置と、
前記ユーザ端末及び前記MACアドレス取得装置と接続されるMACアドレス登録装置と、を備えるシステムにおいて実行されるMACアドレス登録方法であって、
前記MACアドレス取得装置が、前記ユーザ端末のMACアドレスとIPアドレスとを対応付けて対応テーブルを生成する第1ステップと、
前記ユーザ端末から前記MACアドレス取得装置を介して前記MACアドレス登録装置に接続してユーザIDを用いた認証を行う第2ステップと、
前記MACアドレス取得装置が、前記対応テーブルを参照して前記ユーザIDと前記MACアドレスとを関連付ける第3ステップと、
前記MACアドレス取得装置から前記MACアドレス登録装置に対して、互いに関連付けられた前記ユーザID及び前記MACアドレスを送信する第4ステップと、
前記MACアドレス登録装置が、前記ユーザIDと関連付けて前記MACアドレスを記憶する第5ステップと、を備える。
【0009】
上記方法によれば、MACアドレス登録装置から遠隔地にあるユーザ端末であっても、比較的容易に、かつ高いセキュリティ性を保ちつつ、MACアドレス登録装置に当該ユーザ端末のMACアドレスを登録することができる。
【0010】
上記MACアドレス登録方法において好ましくは、
前記ユーザ端末と前記MACアドレス取得装置とは、データリンク層で接続され、
前記ユーザ端末及び前記MACアドレス取得装置とMACアドレス登録装置とは、ネットワーク層以上の層で接続される。
前記ユーザ端末と前記MACアドレス取得装置とは、データリンク層で接続され、
前記ユーザ端末及び前記MACアドレス取得装置とMACアドレス登録装置とは、ネットワーク層以上の層で接続される。
【0011】
上記MACアドレス登録方法において、
前記第4ステップは、
前記MACアドレス取得装置が、認可コードを生成し、前記ユーザID及び前記MACアドレスと関連付けるステップと、
前記MACアドレス取得装置から前記ユーザ端末に対して前記認可コードを送信するステップと、
前記ユーザ端末から前記MACアドレス登録装置に対して前記認可コードを送信するステップと、
前記MACアドレス登録装置からの要求に応じて、前記MACアドレス取得装置から前記MACアドレス登録装置に対して前記認可コードに関連付けられた前記ユーザID及び前記MACアドレスを送信するステップと、を含むことが好ましい。
前記第4ステップは、
前記MACアドレス取得装置が、認可コードを生成し、前記ユーザID及び前記MACアドレスと関連付けるステップと、
前記MACアドレス取得装置から前記ユーザ端末に対して前記認可コードを送信するステップと、
前記ユーザ端末から前記MACアドレス登録装置に対して前記認可コードを送信するステップと、
前記MACアドレス登録装置からの要求に応じて、前記MACアドレス取得装置から前記MACアドレス登録装置に対して前記認可コードに関連付けられた前記ユーザID及び前記MACアドレスを送信するステップと、を含むことが好ましい。
【0012】
上記方法によれば、認可コードを用いた方法により、よりセキュアにMACアドレスの登録を行うことが可能となる。
【0013】
上記MACアドレス登録方法において、
前記第4ステップの後、前記ユーザ端末からの操作に応じて、前記MACアドレス登録装置に記憶された前記ユーザIDと前記MACアドレスとを関連付ける情報を含むユーザIDとMACアドレスとの認証情報の編集を可能にするステップを備えることが好ましい。
前記第4ステップの後、前記ユーザ端末からの操作に応じて、前記MACアドレス登録装置に記憶された前記ユーザIDと前記MACアドレスとを関連付ける情報を含むユーザIDとMACアドレスとの認証情報の編集を可能にするステップを備えることが好ましい。
【0014】
上記方法によれば、ユーザ端末のユーザが、自身のユーザ端末のMACアドレスの登録のみでなく、登録したMACアドレスの削除またはMACアドレスに関連付ける情報の修正などの編集を行うことが可能となる。
【0015】
上記MACアドレス登録方法において、好ましくは、前記認可コードが、OpenID Connect認可コードである。
【0016】
上記方法によれば、OpenID Connectを用いた既存の方法を用いて、比較的容易にMACアドレスの登録を行うことが可能となる。
【0017】
上記MACアドレス登録方法において、前記MACアドレス取得装置は、前記ユーザ端末が接続されたブリッジとして機能する通信装置としてもよい。
【0018】
本発明の一態様に係るMACアドレス登録システムは、
ユーザ端末と、
前記ユーザ端末と接続されるMACアドレス取得装置と、
前記ユーザ端末及び前記MACアドレス取得装置と接続されるMACアドレス登録装置と、を備えるMACアドレス登録システムであって、
前記MACアドレス取得装置は、
前記ユーザ端末のMACアドレスとIPアドレスとを対応付けて対応テーブルを生成する対応テーブル生成部と、
前記対応テーブルを参照してユーザIDと前記MACアドレスとを関連付ける関連部と、
前記MACアドレス登録装置に対して、互いに関連付けられた前記ユーザID及び前記MACアドレスを送信する関連情報送信部と、を有し、
前記MACアドレス登録装置は、
前記ユーザ端末から前記MACアドレス取得装置を介して接続されて前記ユーザIDを用いた認証を行う認証部と、
前記ユーザIDと関連付けて前記MACアドレスを記憶する記憶部と、を有する。
ユーザ端末と、
前記ユーザ端末と接続されるMACアドレス取得装置と、
前記ユーザ端末及び前記MACアドレス取得装置と接続されるMACアドレス登録装置と、を備えるMACアドレス登録システムであって、
前記MACアドレス取得装置は、
前記ユーザ端末のMACアドレスとIPアドレスとを対応付けて対応テーブルを生成する対応テーブル生成部と、
前記対応テーブルを参照してユーザIDと前記MACアドレスとを関連付ける関連部と、
前記MACアドレス登録装置に対して、互いに関連付けられた前記ユーザID及び前記MACアドレスを送信する関連情報送信部と、を有し、
前記MACアドレス登録装置は、
前記ユーザ端末から前記MACアドレス取得装置を介して接続されて前記ユーザIDを用いた認証を行う認証部と、
前記ユーザIDと関連付けて前記MACアドレスを記憶する記憶部と、を有する。
【発明の効果】
【0019】
本発明によれば、MACアドレス登録装置から遠隔地にあるユーザ端末であっても、比較的容易に、かつ高いセキュリティ性を保ちつつ、MACアドレス登録装置に当該ユーザ端末のMACアドレスを登録することができる。
【図面の簡単な説明】
【0020】
【発明を実施するための形態】
【0021】
本発明のMACアドレス登録方法は、個人が使用するPCなどのユーザ端末を識別して認証し、認証されたユーザ端末のユーザに所定の操作を許可するための方法であって、特にセキュリティ性を高めた方法に採用される。本発明のMACアドレス登録方法は、MACアドレス登録処理により行われる。MACアドレス登録処理は、個々のユーザ端末のネットワークカードに付与されるユニークな番号であるMACアドレスを利用した認証を行う前提として行われる処理である。
【0022】
以下、本発明の一側面に係る実施形態を、図面に基づいて具体的に説明する。
【0023】
[MACアドレス登録システムの構成]
図1に示すように、本実施形態においてMACアドレス登録処理を行うMACアドレス登録システム1は、MACアドレス登録装置10、MACアドレス取得装置20、及びユーザ端末30を含んで構成される。
図1に示すように、本実施形態においてMACアドレス登録処理を行うMACアドレス登録システム1は、MACアドレス登録装置10、MACアドレス取得装置20、及びユーザ端末30を含んで構成される。
【0024】
ユーザ端末30は、ユーザにより使用されるPC、スマートフォン、またはタブレットなどの、MACアドレスを用いて通信を行う機能を有する装置である。MACアドレス取得装置20は、ネットワーク内部のエンドポイントから行われるアクセスを制御する装置である。MACアドレス取得装置20は、例えばユーザ端末30との間でOSI参照モデルのレイヤ2(第2層)のデータリンク層における通信を行う装置であってよい。MACアドレス取得装置20は、例えば、学校、職場または家庭内に配置された、ブリッジなどの通信装置であって、本実施形態の機能を実行可能な装置であるが、これに限定されるものではない。MACアドレス登録装置10は、ネットワーク認証を行うことのできる装置であり、例えばMACアドレス取得装置20との間でレイヤ3(第3層)のネットワーク層以上の層での通信を行う装置であってよい。MACアドレス登録装置10は、例えばインターネットに接続された認証用のサーバ装置などである。なお、MACアドレス取得装置20は、ブリッジに限定されるものではなく、ルーターなどの他の通信装置であってもよい。
【0025】
ユーザ端末30は、上記のとおりPCなどの電子機器であり、液晶表示部または有機EL表示部などの表示部、ユーザによる入力を受け付けるキーボード及びマウスまたはタッチパネルなどの入力部、情報処理を行うCPUなどの処理部、及びデータの送受信を行う通信部などを含んで構成される。
【0026】
MACアドレス登録装置10は、上記のとおりサーバ装置などであり、第1記憶部11、第1通信部12、及び第1制御部13を含んで構成される。第1制御部13は、第1記憶部11に記憶されたプログラムを実行することで、認証部14、及びMACアドレス認証部15として機能する。なお、認証部14、及びMACアドレス認証部15は、それぞれハードウェアで実現されてもよい。
【0027】
第1記憶部11は、RAM、不揮発性RAM、ROM、及びフラッシュメモリなどの記憶装置により構成される。第2記憶部21は、MACアドレス取得装置20で実行されるOS(Operating System)、各種ソフトウェアのプログラム、及びユーザ認証のための認証情報などを記憶する。ユーザ認証のための認証情報には、第1認証に必要なユーザID、及びパスワード、第2認証に必要なメールアドレス、電話番号、生体情報などの情報が記憶される。また、特定のユーザに対してMACアドレスが登録された場合には、上記情報に加え、MACアドレスがさらに関連付けられて認証情報として記憶される。
【0028】
第1通信部12は、他の装置と通信してデータの送受信を行う。本実施形態においては、第1通信部12は、MACアドレス取得装置20との間で通信を行う。なお、ユーザ端末30のMACアドレスをMACアドレス登録装置10に登録する際には、MACアドレス取得装置20を介した通信が前提となる。MACアドレス登録装置10へのMACアドレスの登録が完了した状態では、ユーザ端末30がネットワーク利用時に接続するMACアドレスを用いた認証を要求するネットワーク機器が、インターネットを介してMACアドレス登録装置10にアクセスし、MACアドレス認証部15によってユーザ端末30のMACアドレスを用いた認証(MACアドレス認証)が行われることとなる。
【0029】
第1制御部13は、MACアドレス登録装置10の各種処理を実行し、第1記憶部11に記憶されたプログラムを実行することにより、少なくとも認証部14、及びMACアドレス認証部15として機能する。第1制御部13は、MACアドレス登録装置10に搭載されたCPU(Central Processing Unit、中央演算装置)などの情報処理装置(プロセッサ)で実現される。
【0030】
認証部14は、ユーザ端末30からの認証要求に対して、MACアドレス取得装置20と協働して、OpenID Connect認証、及びSAML(Security Assertion Markup Language)認証を行う。認証部14は、IdP(Identify Provider)として機能し、ユーザ端末30のSAML認証を行う。本実施形態では、SAML認証は、ユーザID及びパスワードを用いる第1認証と、ワンタイムパスワードを用いる第2認証とのMFA(Multi-Factor Authentication、多要素認証)により行われる。なお、第2認証はワンタイムパスワードに限定されず、他の認証により行われてもよい。
【0031】
また、認証部14は、OpenID Connect認証を行う際に、MACアドレス取得装置20に対して、互いに関連付けられた、OpenID Connect認可コード(以下、「認可コード」という)、ユーザID、及びMACアドレスを要求する。認証部14は、MACアドレス取得装置20から受け取った認可コード、ユーザID、及びMACアドレスに基づき、当該ユーザIDと関連付けてMACアドレスを第1記憶部11に記憶させることで、MACアドレスの登録を行う。なお、具体的な処理の流れは後述する。
【0032】
MACアドレス認証部15は、MACアドレス登録装置10に登録されたユーザ端末30のネットワーク利用時にユーザ端末30が接続しようとしているネットワーク機器から、MACアドレスによる認証要求がなされた場合に、当該ユーザ端末30の認証を行う機能を有する。すなわち、MACアドレス認証部15は、MACアドレス登録処理のための機能ではなく、MACアドレス登録処理の後の処理に用いられる機能である。
【0033】
MACアドレス認証部15は、MACアドレスを用いた認証を行うためにRADIUS認証を行う。RADIUS認証は以下のいずれかの方法で行われるのが一般的であるが、これらに限定されるものではない。
【0034】
[方法1]
1.ユーザ端末30がネットワーク機器に接続しようとすると、このネットワーク機器がユーザ端末30のMACアドレスを取得してRADIUSサーバに送信し、MACアドレス認証を行う。
2.MACアドレスがRADIUSサーバに登録されているMACアドレスであれば認証に成功する。
3.認証に成功すると、RADIUSサーバからネットワーク機器に、MACアドレス認証に成功したことを応答する。
4.ネットワーク機器は、ユーザ認証を行うため、ユーザ端末30にユーザ認証のためのユーザ名及びパスワードの入力を求める。
5.ユーザは、ユーザ端末30を操作してユーザ名及びパスワードを入力する。
6.ネットワーク機器はユーザが入力したユーザ名及びパスワードをRADIUSサーバに送信し、ユーザ認証を行う。
7.ユーザ名及びパスワードが、RADIUSサーバに登録されたMACアドレスに関連付けられたユーザ名及びパスワードと一致すると、認証に成功する。
8.認証に成功すると、RADIUSサーバからネットワーク機器に、ユーザ認証に成功したことを応答する。
9.ネットワーク機器は、ユーザ端末30の接続を許可する。
1.ユーザ端末30がネットワーク機器に接続しようとすると、このネットワーク機器がユーザ端末30のMACアドレスを取得してRADIUSサーバに送信し、MACアドレス認証を行う。
2.MACアドレスがRADIUSサーバに登録されているMACアドレスであれば認証に成功する。
3.認証に成功すると、RADIUSサーバからネットワーク機器に、MACアドレス認証に成功したことを応答する。
4.ネットワーク機器は、ユーザ認証を行うため、ユーザ端末30にユーザ認証のためのユーザ名及びパスワードの入力を求める。
5.ユーザは、ユーザ端末30を操作してユーザ名及びパスワードを入力する。
6.ネットワーク機器はユーザが入力したユーザ名及びパスワードをRADIUSサーバに送信し、ユーザ認証を行う。
7.ユーザ名及びパスワードが、RADIUSサーバに登録されたMACアドレスに関連付けられたユーザ名及びパスワードと一致すると、認証に成功する。
8.認証に成功すると、RADIUSサーバからネットワーク機器に、ユーザ認証に成功したことを応答する。
9.ネットワーク機器は、ユーザ端末30の接続を許可する。
【0035】
[方法2]
1.ユーザ端末30がネットワーク機器に接続しようとすると、ネットワーク機器はユーザ認証を行うため、ユーザ端末30にユーザ認証のためのユーザ名及びパスワードの入力を求める。
2.ユーザは、ユーザ端末30を操作してユーザ名及びパスワードを入力する。
3.ネットワーク機器はユーザが入力したユーザ名及びパスワードと、ユーザ端末30のMACアドレスとをRADIUSサーバに送信し、ユーザ認証及びMACアドレス認証を行う。
4.ユーザ名、パスワード、及びMACアドレスがRADIUSサーバに登録されたものと一致すれば、ユーザ認証及びMACアドレス認証に成功する。
5.認証に成功すると、RADIUSサーバからネットワーク機器に、ユーザ認証及びMACアドレス認証に成功したことを応答する。
6.ネットワーク機器は、ユーザ端末30の接続を許可する。
1.ユーザ端末30がネットワーク機器に接続しようとすると、ネットワーク機器はユーザ認証を行うため、ユーザ端末30にユーザ認証のためのユーザ名及びパスワードの入力を求める。
2.ユーザは、ユーザ端末30を操作してユーザ名及びパスワードを入力する。
3.ネットワーク機器はユーザが入力したユーザ名及びパスワードと、ユーザ端末30のMACアドレスとをRADIUSサーバに送信し、ユーザ認証及びMACアドレス認証を行う。
4.ユーザ名、パスワード、及びMACアドレスがRADIUSサーバに登録されたものと一致すれば、ユーザ認証及びMACアドレス認証に成功する。
5.認証に成功すると、RADIUSサーバからネットワーク機器に、ユーザ認証及びMACアドレス認証に成功したことを応答する。
6.ネットワーク機器は、ユーザ端末30の接続を許可する。
【0036】
MACアドレス取得装置20は、上記のとおりブリッジなどの通信装置であり、第2記憶部21、第2通信部22、及び第2制御部23を含んで構成される。第2制御部23は、第2記憶部21に記憶されたプログラムを実行することで、対応テーブル生成部24、認可コード生成部25、及び関連情報送信部26として機能する。なお、対応テーブル生成部24、認可コード生成部25、及び関連情報送信部26は、それぞれハードウェアで実現されてもよい。
【0037】
第2記憶部21は、RAM、不揮発性RAM、ROM、及びフラッシュメモリなどの記憶装置により構成される。第2記憶部21は、MACアドレス取得装置20で実行されるOS、各種ソフトウェアのプログラム、設定情報を含むファイル、及びARP(Address Resolution Protocol)テーブルなどを記憶する。ARPテーブルは、MACアドレス取得装置20とデータリンク層(レイヤ2)で通信を行うユーザ端末30を含む装置について、IPアドレスとMACアドレスとを対応付ける情報であり、本明細書における「対応テーブル」の一例である。
【0038】
第2通信部22は、他の装置とのデータの送受信を実行する。本実施形態においては、第2通信部22は、ユーザ端末30及びMACアドレス登録装置10との間で各種情報の送受信を行う。MACアドレス登録処理においては、ユーザ端末30とMACアドレス登録装置10とは直接通信を行うことができないため、これらの装置間の通信はMACアドレス取得装置20の第2通信部22を介して行われる。MACアドレス取得装置20におけるデータの送受信は、第2通信部22を介して行われる。
【0039】
第2制御部23は、MACアドレス取得装置20の各種処理を実行し、第2記憶部21に記憶されたプログラムを実行することにより、少なくとも対応テーブル生成部24、認可コード生成部25、及び関連情報送信部26として機能する。第2制御部23は、CPUまたはシステムLSIなどの情報処理装置(プロセッサ)により実現される。
【0040】
対応テーブル生成部24は、MACアドレス取得装置20とデータリンク層で接続されたユーザ端末30を含む機器について、当該装置のIPアドレスとMACアドレスとを対応付けてARPテーブルを生成し、第2記憶部21に記憶させる。MACアドレス取得装置20は、データリンク層で接続されたユーザ端末30などの機器と通信を行う際には、このARPテーブルを参照してデータの送受信先を決定する。
【0041】
認可コード生成部25は、第2記憶部21に記憶されたARPテーブルを参照してユーザIDとMACアドレスとを関連付け、関連付けられたユーザID及びMACアドレスに、さらに認可コードを生成して関連付ける。これにより、認可コードに、特定のユーザ端末30のユーザIDとMACアドレスとが関連付けられる。
【0042】
また、認可コード生成部25は、SAML認証に成功したユーザ端末30に対して、認可コードを送信する。この認可コードは、ユーザ端末30からMACアドレス登録装置10に対して送信される。なお、認可コード生成部25は、本発明において、ユーザIDとMACアドレスとを関連付ける「関連部」の一具体例である。
【0043】
関連情報送信部26は、MACアドレス登録装置10から特定の認可コードに対応するユーザID及びMACアドレスの要求に対応して、MACアドレス登録装置10に、当該認可コードに関連付けられたユーザID及びMACアドレスを送信する。
【0044】
[MACアドレス登録処理]
次に、本実施形態のMACアドレス登録システム1により行われるMACアドレス登録処理について、図面を参照しながら説明する。図2及び図3は、MACアドレス登録処理の流れの具体例を示したシーケンス図である。なお、当該MACアドレス登録処理はあくまで一例であって、発明の趣旨から逸脱しない範囲で改変が可能である。
次に、本実施形態のMACアドレス登録システム1により行われるMACアドレス登録処理について、図面を参照しながら説明する。図2及び図3は、MACアドレス登録処理の流れの具体例を示したシーケンス図である。なお、当該MACアドレス登録処理はあくまで一例であって、発明の趣旨から逸脱しない範囲で改変が可能である。
【0045】
まず、MACアドレス登録処理の前提として、MACアドレス取得装置20の対応テーブル生成部24は、ユーザ端末30を含むレイヤ2で接続された装置のIPアドレスとMACアドレスとを関連付けるARPテーブルを生成し第2記憶部21に記憶する。
【0046】
具体的には、ユーザ端末30とMACアドレス取得装置20との間で通信が行われると(S10)、MACアドレス取得装置20の対応テーブル生成部24は、このユーザ端末30のIPアドレスとMACアドレスとを関連付け、ARPテーブルとして第2記憶部21に記憶させる(S20)。なお、MACアドレスはユーザ端末30のネットワークカードに付与されたユニークな番号である。IPアドレスは、ルーターなどの装置によってユーザ端末30に対して付与される。
【0047】
MACアドレス登録処理において、まずユーザ端末30は、MACアドレス取得装置20を介してMACアドレス登録装置10にアクセスし、ログインを開始する(S110)。なお、以下の説明では、ユーザ端末30とMACアドレス登録装置10とが通信してデータの送受信を行う際にはMACアドレス取得装置20が介在することとなるが、この説明を省略する場合がある。
【0048】
これに対してMACアドレス登録装置10の認証部14は、ユーザ端末30に対してOpenID Connect認証をリクエストする(S120)。OpenID Connect認証におけるユーザ認証は、SAML認証によって行われる。具体的には、HTTPリダイレクトによりユーザ端末30をMACアドレス取得装置20の所定のURLにアクセスするよう誘導して認証を開始する。
【0049】
次に、ユーザ端末30は、OpenID Connectの認証を行うため、MACアドレス登録装置10からのHTTPリダイレクトにより指定された、MACアドレス取得装置20のリダイレクト先にアクセスする(S130)。
【0050】
次に、MACアドレス取得装置20の第2制御部23は、SAML認証を行うための認証開始ページのURLをユーザ端末30に送信する(S140)。認証開始ページのURLの情報を受信したユーザ端末30は、指定されたURLにアクセスし、ユーザ端末30に表示された認証開始のボタンがユーザによるクリックまたはタップなどにより選択されると、SAML認証の処理が開始される(S150)。
【0051】
次に、MACアドレス取得装置20の第2制御部23は、SAML認証の処理を開始するため、HTTPリダイレクトによりユーザ端末30をMACアドレス登録装置10の所定のURLにアクセスするよう誘導する(S160)。
【0052】
次に、ユーザ端末30は、HTTPリダイレクトにより指定された、MACアドレス登録装置10のリダイレクト先にアクセスする(S170)。
【0053】
次に、MACアドレス登録装置10の認証部14は、第1認証のためのウェブページの情報をユーザ端末30に送信する(S180)。ユーザ端末30は、受信したウェブページの情報に基づいて、表示部にウェブページの画像を表示する。このウェブページには、第1認証のためにユーザがユーザID及びパスワードを入力する要素が含まれる。
【0054】
次に、ユーザはユーザ端末30を操作してユーザID及びパスワードを入力し、ユーザ端末30は入力されたユーザID及びパスワードをログイン情報としてMACアドレス登録装置10に送信する(S190)。
【0055】
次に、MACアドレス登録装置10の認証部14は、受信したユーザID及びパスワードが、第1記憶部11に記憶された認証情報と一致するか否かを確認し、一致する場合には第1認証を成功したものとする(S200)。
【0056】
次に、MACアドレス登録装置10の認証部14は、第2認証のためのウェブページの情報をユーザ端末30に送信する(S210)。ユーザ端末30は、受信したウェブページの情報に基づいて、表示部にウェブページの画像を表示する。このウェブページには、第2認証のために、ユーザがワンタイムパスワードを入力する要素が含まれる。
【0057】
次に、ユーザはユーザ端末30を操作してワンタイムパスワードを入力し、ユーザ端末30は入力されたワンタイムパスワードをログイン情報としてMACアドレス登録装置10に送信する(S220)。
【0058】
次に、MACアドレス登録装置10の認証部14は、受信したワンタイムパスワードが正しいパスワードか否かを確認し、正しいパスワードである場合には第2認証を成功したものとする(S230)。
【0059】
第2認証に成功すると、MACアドレス登録装置10の認証部14は、HTTPリダイレクトによりユーザ端末30をMACアドレス取得装置20に誘導する(S240)。
【0060】
次に、ユーザ端末30は、HTTPリダイレクトにより指定された、MACアドレス取得装置20のリダイレクト先にアクセスする(S250)。
【0061】
ここで、MACアドレス取得装置20は、ユーザ端末30がSAML認証に成功した状態にする(S260)。
【0062】
次に、MACアドレス取得装置20の認可コード生成部25は、第2記憶部21に記憶されたARPテーブルから、SAML認証に成功したユーザ端末30のIPアドレスでARPテーブルを検索して、ユーザ端末30のMACアドレスを取得し、MACアドレスとユーザIDと関連付ける(S270)。
【0063】
次にMACアドレス取得装置20の認可コード生成部25は、認可コードを生成し、上記で互いに関連付けられたユーザID及びMACアドレスに関連付ける(S280)。これにより、認可コードに、SAML認証に成功したユーザ端末30のユーザIDとMACアドレスとが関連付けられる。
【0064】
次に、MACアドレス取得装置20の認可コード生成部25は、ユーザ端末30に対して、OpenID Connect認証のレスポンスを送信する(S290)。このレスポンスには、認可コード、及びHTTP POSTを自動的に送信するJava Scriptが含まれており、これによりユーザ端末30はMACアドレス登録装置10に対して、POSTデータとして、認可コードを含むレスポンスデータを送信する(S300)。
【0065】
次にMACアドレス登録装置10の認証部14は、MACアドレス取得装置20に対して、HTTP POSTでPOSTデータとしてOpenID Connectのトークンをリクエストするリクエストデータを送信する(S310)。このリクエストデータには認可コードが含まれる。
【0066】
次にMACアドレス取得装置20の関連情報送信部26は、受信した認可コードに関連付けられたユーザID及びMACアドレスを取得する(S320)。
【0067】
次にMACアドレス取得装置20の関連情報送信部26は、HTTP BODYとして、上記認可コードに関連付けられたユーザID及びMACアドレスを含むレスポンスデータをMACアドレス登録装置10に送信する(S330)。
【0068】
レスポンスデータを受信したMACアドレス登録装置10の認証部14は、OpenID Connectの認証に成功した状態とする(S340)。これによって、ユーザ端末30は、MACアドレス登録装置10へのログインに成功した状態となり、MACアドレス登録装置10のセッションデータにユーザID及びMACアドレスが保存される(S350)。セッションデータは、第1記憶部11に記憶される。
【0069】
次にMACアドレス登録装置10の第1制御部13は、ユーザ端末30に対して、MACアドレス操作ページの情報を送信する(S360)。これによりユーザ端末30は、MACアドレス操作ページにアクセスできるようになり、MACアドレス登録装置10へのMACアドレスの登録、または削除などの操作がMACアドレス登録装置10により受け付けられる状態となる(S370)。
【0070】
このようにして、ユーザ端末30のMACアドレスがMACアドレス登録装置10の第1記憶部11に記憶されて登録された状態になると、それ以降は、ユーザ端末30は、MACアドレス登録装置10のMACアドレス認証部15によるMACアドレス認証を行うネットワーク機器を利用することが可能になる。
【0071】
上記で説明したMACアドレス登録処理はあくまで一具体例であって、必ずしもこのような処理に限定されるものではない。
【0072】
[変形例]
上記の本実施形態のMACアドレス登録システム及び、MACアドレス登録処理により実行される登録方法は、以下のような変形例を採用してもよい。
上記の本実施形態のMACアドレス登録システム及び、MACアドレス登録処理により実行される登録方法は、以下のような変形例を採用してもよい。
【0073】
実施形態のMACアドレス登録処理では、OpenID Connect認証及びSAML認証による認証が行われたが、認証方法はこれらに限定されるものではなく、他の認証方法を採用してもよい。ただし、OpenID Connect認証を採用すると、実施形態で行ったように認可コードを利用したセキュアなMACアドレスの送信が可能となるため好ましい。
【0074】
また、実施形態のMACアドレス登録処理では、SAML認証において、第1認証及び第2認証によるMFAを行っていたが、これに限定されるものではない。例えば、第1認証のみでの認証を行ってもよい。また、第2認証はワンタイムパスワードに限定されるものではなく、生体認証、または本人確認の質問などにより行われてもよい。
【0075】
[MACアドレス登録処理の特徴]
本実施形態のMACアドレス登録処理により行われるMACアドレス登録方法は、ユーザ端末30と、ユーザ端末30とデータリンク層で接続されたMACアドレス取得装置20と、ユーザ端末30及び前記MACアドレス取得装置20と、ネットワーク層以上の層で接続されたMACアドレス登録装置10と、を備えるMACアドレス登録システムにおいて実行される。MACアドレス登録方法は、MACアドレス取得装置20が、ユーザ端末30のMACアドレスとIPアドレスとを対応付けて対応テーブルを生成する第1ステップ(S10~S20)と、ユーザ端末30からMACアドレス取得装置20を介してMACアドレス登録装置10に接続してユーザIDを用いた認証を行う第2ステップ(S110~S260)と、MACアドレス取得装置20が、対応テーブルを参照してユーザIDとMACアドレスとを関連付ける第3ステップ(S270)と、MACアドレス取得装置20からMACアドレス登録装置10に対して、互いに関連付けられたユーザID及びMACアドレスを送信する第4ステップ(S280~S330)と、MACアドレス登録装置10が、ユーザIDと関連付けてMACアドレスを記憶する第5ステップ(S370)と、を備える。
本実施形態のMACアドレス登録処理により行われるMACアドレス登録方法は、ユーザ端末30と、ユーザ端末30とデータリンク層で接続されたMACアドレス取得装置20と、ユーザ端末30及び前記MACアドレス取得装置20と、ネットワーク層以上の層で接続されたMACアドレス登録装置10と、を備えるMACアドレス登録システムにおいて実行される。MACアドレス登録方法は、MACアドレス取得装置20が、ユーザ端末30のMACアドレスとIPアドレスとを対応付けて対応テーブルを生成する第1ステップ(S10~S20)と、ユーザ端末30からMACアドレス取得装置20を介してMACアドレス登録装置10に接続してユーザIDを用いた認証を行う第2ステップ(S110~S260)と、MACアドレス取得装置20が、対応テーブルを参照してユーザIDとMACアドレスとを関連付ける第3ステップ(S270)と、MACアドレス取得装置20からMACアドレス登録装置10に対して、互いに関連付けられたユーザID及びMACアドレスを送信する第4ステップ(S280~S330)と、MACアドレス登録装置10が、ユーザIDと関連付けてMACアドレスを記憶する第5ステップ(S370)と、を備える。
【0076】
このようなMACアドレス登録方法によれば、MACアドレス登録装置10から遠隔地にあるユーザ端末30であっても、比較的容易に、かつ高いセキュリティ性を保ちつつ、MACアドレス登録装置10に当該ユーザ端末30のMACアドレスを登録することができる。
【0077】
また、本実施形態のMACアドレス登録方法では、上記第4ステップは、具体的には、MACアドレス取得装置20が、認可コードを生成し、ユーザID及びMACアドレスと関連付けるステップ(S280)と、MACアドレス取得装置20からユーザ端末30に対して認可コードを送信するステップ(S290)と、ユーザ端末30からMACアドレス登録装置10に対して認可コードを送信するステップ(S300)と、MACアドレス登録装置10からの要求に応じて、MACアドレス取得装置20からMACアドレス登録装置10に対して認可コードに関連付けられたユーザID及びMACアドレスを送信するステップ(S310~S330)と、を含む。
【0078】
上記方法によれば、認可コードを用いた方法により、よりセキュアにMACアドレスの登録を行うことが可能となる。
【0079】
また、本実施形態のMACアドレス登録方法では、上記第4ステップの後、ユーザ端末30からの操作に応じて、MACアドレス登録装置10に記憶されたユーザIDとMACアドレスとを関連付ける情報を含むユーザIDとMACアドレスとを関連付ける認証情報の編集を可能にするステップ(S370)を備えることが好ましい。
【0080】
上記方法によれば、ユーザ端末30のユーザが、自身のユーザ端末30のMACアドレスの登録のみでなく、登録したMACアドレスの削除またはMACアドレスに関連付ける情報の修正などの編集を行うことが可能となる。
【0081】
また、本実施形態のMACアドレス登録システム1は、上記のようにユーザ端末30、MACアドレス取得装置20、及びMACアドレス登録装置10を含んで構成される。MACアドレス取得装置20は、ユーザ端末30のMACアドレスとIPアドレスとを対応付けて対応テーブルを生成する対応テーブル生成部24と、対応テーブルを参照してユーザIDとMACアドレスとを関連付ける関連部として機能する認可コード生成部25と、MACアドレス登録装置10に対して、互いに関連付けられたユーザID及びMACアドレスを送信する関連情報送信部26と、を有する。MACアドレス登録装置10は、ユーザ端末30からMACアドレス取得装置20を介して接続されてユーザIDを用いた認証を行う認証部14と、ユーザIDと関連付けてMACアドレスを記憶する第1記憶部11と、を有する。
【符号の説明】
【0082】
1…MACアドレス登録システム
10…MACアドレス登録装置
11…第1記憶部
12…第1通信部
13…第1制御部
14…認証部
15…MACアドレス認証部
20…MACアドレス取得装置
21…第2記憶部
22…第2通信部
23…第2制御部
24…対応テーブル生成部
25…認可コード生成部
26…関連情報送信部
30…ユーザ端末
10…MACアドレス登録装置
11…第1記憶部
12…第1通信部
13…第1制御部
14…認証部
15…MACアドレス認証部
20…MACアドレス取得装置
21…第2記憶部
22…第2通信部
23…第2制御部
24…対応テーブル生成部
25…認可コード生成部
26…関連情報送信部
30…ユーザ端末
【図1】
【図2】
【図3】