知財求人 - 知財ポータルサイト「IP Force」
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2024-08-19
(45)【発行日】2024-08-27
(54)【発明の名称】ネットワークシステムおよびネットワーク認証方法
(51)【国際特許分類】
G06F 21/45 20130101AFI20240820BHJP
G06F 21/31 20130101ALI20240820BHJP
H04W 12/06 20210101ALI20240820BHJP
H04W 12/72 20210101ALI20240820BHJP
【FI】
G06F21/45
G06F21/31
H04W12/06
H04W12/72
【請求項の数】
5
(21)【出願番号】P 2021211079
(22)【出願日】2021-12-24
(65)【公開番号】P2023095282
(43)【公開日】2023-07-06
【審査請求日】2023-07-21
(73)【特許権者】
【識別番号】300059979
【氏名又は名称】エイチ・シー・ネットワークス株式会社
(74)【代理人】
【識別番号】110002066
【氏名又は名称】弁理士法人筒井国際特許事務所
(72)【発明者】
【氏名】古橋 涼
(72)【発明者】
【氏名】益子 秀隆
(72)【発明者】
【氏名】江藤 馨
【審査官】吉田 歩
(56)【参考文献】
【文献】特開2006-092018(JP,A)
【文献】特開2012-216130(JP,A)
【文献】特開2014-026383(JP,A)
【文献】特開2007-102520(JP,A)
【文献】特開2010-062662(JP,A)
【文献】特開2015-050496(JP,A)
【文献】特開2016-110300(JP,A)
【文献】特開2003-324457(JP,A)
(58)【調査した分野】(Int.Cl.,DB名)
G06F 21/45
G06F 21/31
H04W 12/06
H04W 12/72
(57)【特許請求の範囲】
【請求項1】
第1の認証用装置と、ユーザ端末と前記第1の認証用装置との間に介在する第2の認証用装置と、を備え、
前記第2の認証用装置は、
第2の記憶装置を有し、
前記ユーザ端末から、ID、パスワード、およびMACアドレスを含むユーザ情報を受信する処理と、
前記第1の認証用装置と通信することにより前記受信したユーザ情報に含まれるIDおよびパスワードに基づく認証成否の結果を得る処理と、
認証成功済みのユーザ情報としてのIDおよびMACアドレスを前記第2の記憶装置に記録する記録処理と、
前記第1の認証用装置との通信の異常を検知する検知処理と、
前記通信の異常を検知している場合に、前記ユーザ端末から受信したユーザ情報としてのIDおよびMACアドレスを、前記第2の記憶装置に記憶されている認証成功済みのユーザ情報と照合することにより、前記ユーザ端末の認証成否を判定する判定処理と、を実行し、
前記判定処理において、前記ユーザ端末からのIDおよびMACアドレスが前記第2の記憶装置に記憶されている場合に、認証成功と判定し、
前記第1の認証用装置は、
認証を成功させるユーザ情報としてのIDおよびパスワードが記憶されている第1の記憶装置を有し、
前記第2の認証用装置から受信されたユーザ情報としてのIDおよびパスワードを前記第1の記憶装置に記憶されているユーザ情報と照合する照合処理を実行する、
ネットワークシステム。
【請求項2】
請求項1に記載のネットワークシステムにおいて、前記第1の認証用装置は、
前記照合処理による照合結果に基づいて、前記認証成否を判定する処理と、
前記認証成否の結果を前記第2の認証用装置に送信する処理と、を実行する、
ネットワークシステム。
【請求項3】
請求項1に記載のネットワークシステムにおいて、前記第1の認証用装置は、
前記照合処理による照合結果を前記第2の認証用装置に送信する処理を実行し、
前記第2の認証用装置は、
前記第1の認証用装置から受信した照合結果に基づいて前記認証成否を判定する処理、を実行する、
ネットワークシステム。
【請求項4】
請求項1から請求項3のいずれか一項に記載のネットワークシステムにおいて、前記第2の認証用装置は、中継装置を介して前記ユーザ端末と接続される、
ネットワークシステム。
【請求項5】
ユーザ端末と第1の認証用装置との間に介在する第2の認証用装置に、前記ユーザ端末から、ID、パスワード、およびMACアドレスを含むユーザ情報を受信する処理と、
前記第1の認証用装置と通信することにより前記受信したユーザ情報に含まれるIDおよびパスワードに基づく認証成否の結果を得る処理と、
認証成功済みのユーザ情報としてのIDおよびMACアドレスを、前記第2の認証用装置が有する第2の記憶装置に記録する記録処理と、
前記第1の認証用装置との通信の異常を検知する処理と、
前記通信の異常を検知している場合に、前記ユーザ端末から受信したユーザ情報としてのIDおよびMACアドレスを、前記第2の記憶装置に記憶されている認証成功済みのユーザ情報と照合することにより、前記ユーザ端末の認証成否を判定する判定処理と、を実行させ、
前記判定処理において、前記ユーザ端末からのIDおよびMACアドレスが前記第2の記憶装置に記憶されている場合に、認証成功と判定し、
前記第1の認証用装置に、
前記第2の認証用装置から受信されたユーザ情報としてのIDおよびパスワードを、前記第1の認証用装置が有する第1の記憶装置に記憶されている、認証を成功させるユーザ情報としてのIDおよびパスワードと照合する照合処理を実行させる、
ネットワーク認証方法。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、ネットワークシステムおよびネットワーク認証方法に関する。
【背景技術】
【0002】
ユーザの認証が行われるネットワークシステムの一例として、ユーザ端末と、認証スイッチ等の中継装置と、認証用装置とを含むネットワークシステムが知られている。当該ネットワークシステムでは、正規ユーザのユーザ情報(認証情報)が記録されている登録リストを認証用装置に記憶させておく。ユーザ端末は、認証を得るためにユーザ情報を中継装置経由で認証用装置に送信する。認証用装置は、受信したユーザ情報を、記憶しているリスト内のユーザ情報と照合し、合致すれば認証成功を表す情報を中継装置に送信する。
【0003】
ところで、このようなネットワークシステムにおいて、認証用装置との通信に異常が発生すると、ユーザ端末の認証ができなくなる。このような背景の下、認証用装置との通信に異常が発生した場合であっても認証を可能にする技術が検討されている。
【0004】
例えば、特許文献1は、複合機が認証サーバと接続できないときに、複合機に設けた代替認証機能によって認証を行う複合機制御システムを開示している。
【先行技術文献】
【特許文献】
【0005】
【文献】特開2011-095793号公報
【発明の概要】
【発明が解決しようとする課題】
【0006】
しかしながら、特許文献1により開示された技術によれば、代替認証機能を有する機器に、認証に必要なユーザ情報を予め記憶させる作業が必要になる。また、認証に必要なユーザ情報に変更が生じた場合には、認証サーバが記憶するユーザ情報だけでなく、代替認証機能を有する機器が記憶するユーザ情報も更新する作業が必要になる。このように、代替認証機能を有する機器にユーザ情報を記憶させたり、記憶するユーザ情報を更新したりする作業は非常に煩雑であり、管理コストも増大する。
【0007】
上記事情により、煩雑な作業を不要としつつ、認証用装置との通信に異常が発生した場合であっても、ネットワークに接続するユーザ端末の認証処理を行うことができる技術が望まれている。
【課題を解決するための手段】
【0008】
一実施形態によるネットワークシステムは、
第1の認証用装置と、ユーザ端末と前記第1の認証用装置との間に介在する第2の認証用装置と、を備え、前記第2の認証用装置は、第2の記憶装置を有し、前記ユーザ端末からユーザ情報を受信する処理と、前記第1の認証用装置と通信することにより前記ユーザ情報に基づく認証成否の結果を得る処理と、認証成功済みのユーザ情報を前記第2の記憶装置に記録する記録処理と、前記第1の認証用装置との通信の異常を検知する検知処理と、前記通信の異常を検知している場合に、前記ユーザ端末からのユーザ情報を前記第2の記憶装置に記憶されているユーザ情報と照合することにより、前記ユーザ端末の認証成否を判定する判定処理と、を実行する、ネットワークシステムである。
第1の認証用装置と、ユーザ端末と前記第1の認証用装置との間に介在する第2の認証用装置と、を備え、前記第2の認証用装置は、第2の記憶装置を有し、前記ユーザ端末からユーザ情報を受信する処理と、前記第1の認証用装置と通信することにより前記ユーザ情報に基づく認証成否の結果を得る処理と、認証成功済みのユーザ情報を前記第2の記憶装置に記録する記録処理と、前記第1の認証用装置との通信の異常を検知する検知処理と、前記通信の異常を検知している場合に、前記ユーザ端末からのユーザ情報を前記第2の記憶装置に記憶されているユーザ情報と照合することにより、前記ユーザ端末の認証成否を判定する判定処理と、を実行する、ネットワークシステムである。
【発明の効果】
【0009】
一実施形態によれば、煩雑な作業を不要としつつ、認証用装置との通信に異常が発生した場合であっても、ネットワークに接続するユーザ端末の認証処理を行うことができる。
【図面の簡単な説明】
【0010】
【図1】実施形態1に係るネットワークシステムの構成を模式的に示す図である。
【図2】実施形態1における通信異常なしの場合の処理フローを示す図である。
【図3】実施形態1における通信異常ありの場合の処理フローを示す図である。
【図4】実施形態2に係るネットワークシステムの構成を模式的に示す図である。
【図5】実施形態2における通信異常なしの場合の処理フローを示す図である。
【図6】実施形態2における通信異常ありの場合の処理フローを示す図である。
【発明を実施するための形態】
【0011】
これより、実施形態について説明する。なお、以下で説明する各実施形態は、本願発明を実現するための一例であり、本願発明の技術範囲を限定するものではない。また、以下の各実施形態において、同一の機能を有する構成要素には同一の符号を付し、その繰り返しの説明は、特に必要な場合を除き省略する。
【0012】
以下に説明する各実施形態に係るネットワークシステムの特徴は、第1の認証用装置とユーザ端末との間に接続される第2の認証用装置を有しており、第2の認証用装置が次に掲げる処理を実行する点にある。第2の認証用装置は、ユーザ端末からユーザ情報を受信する処理と、第1の認証用装置と通信することによりユーザ情報に基づく認証成否の結果を得る処理と、を実行する。また、第2の認証用装置は、第2の記憶装置を有し、認証成功済みのユーザ情報を第2の記憶装置に記録する記録処理と、第1の認証用装置との通信の異常を検知する検知処理と、通信の異常を検知している場合に、ユーザ端末からのユーザ情報を第2の記憶装置に記憶されているユーザ情報と照合することにより、ユーザ端末の認証成否を判定する判定処理と、を実行する。
【0013】
なお、上記した、第1の認証用装置と通信することにより前記ユーザ情報に基づく認証成否の結果を得る処理は、例えば次の2つの実施形態を考えることができる。
【0014】
実施形態1では、第1の認証用装置が、認証を成功させるべきユーザ情報を記憶している。第1の認証用装置は、第2の認証用装置から受信したユーザ端末からのユーザ情報を、自身が記憶しているユーザ情報と照合し、その照合結果に基づいて認証成否を判定し、認証成否の結果を第2の認証用装置に送信する。第2の認証用装置は、第1の認証用装置から認証成否の結果を受信して得る。
【0015】
実施形態2では、第1の認証用装置が、認証を成功させるべきユーザ情報を記憶している。第1の認証用装置は、第2の認証用装置から受信したユーザ端末からのユーザ情報を、自身が記憶しているユーザ情報と照合し、その照合結果を第2の認証用装置に送信する。第2の認証用装置は、第1の認証用装置から受信した照合結果に基づいて認証成否を判定し、認証成否の結果を得る。
【0016】
(実施形態1)
〈実施形態1に係るネットワークシステムの概要〉
実施形態1に係るネットワークシステムの概要について説明する。実施形態1に係るネットワークシステムは、ユーザ端末と第1の認証用装置との間に第2の認証用装置を介在させた構成を有している。第1の認証用装置は、認証を成功させるべき正規ユーザのユーザ情報が記録された登録リストを記憶している。通常時、第2の認証用装置は、ユーザ端末からのユーザ情報を第1の認証用装置に送信する。第1の認証用装置は、受信されたユーザ情報を登録リスト内のユーザ情報と照合し認証成否の判定を行う。一方、第2の認証用装置は、認証成否に係る履歴情報を記録する機能と、第1の認証用装置との通信の異常を検知する機能とを有している。第2の認証用装置は、通信の異常を検知すると、第1の認証用装置に代わって、履歴情報に基づく認証成否の判定を行う。
〈実施形態1に係るネットワークシステムの概要〉
実施形態1に係るネットワークシステムの概要について説明する。実施形態1に係るネットワークシステムは、ユーザ端末と第1の認証用装置との間に第2の認証用装置を介在させた構成を有している。第1の認証用装置は、認証を成功させるべき正規ユーザのユーザ情報が記録された登録リストを記憶している。通常時、第2の認証用装置は、ユーザ端末からのユーザ情報を第1の認証用装置に送信する。第1の認証用装置は、受信されたユーザ情報を登録リスト内のユーザ情報と照合し認証成否の判定を行う。一方、第2の認証用装置は、認証成否に係る履歴情報を記録する機能と、第1の認証用装置との通信の異常を検知する機能とを有している。第2の認証用装置は、通信の異常を検知すると、第1の認証用装置に代わって、履歴情報に基づく認証成否の判定を行う。
【0017】
〈実施形態1に係るネットワークシステムの構成〉
図1は、実施形態1に係るネットワークシステムの構成を模式的に示す図である。図1に示すように、実施形態1に係るネットワークシステム1は、第1の認証用装置10と、第2の認証用装置20と、中継装置30と、ユーザ端末40と、管理者端末50とを備えている。なお、ネットワークは、例えば、企業内または組織内のLAN(Local Area Network)である。
図1は、実施形態1に係るネットワークシステムの構成を模式的に示す図である。図1に示すように、実施形態1に係るネットワークシステム1は、第1の認証用装置10と、第2の認証用装置20と、中継装置30と、ユーザ端末40と、管理者端末50とを備えている。なお、ネットワークは、例えば、企業内または組織内のLAN(Local Area Network)である。
【0018】
第1の認証用装置10と第2の認証用装置20とは、相互に通信が可能となるように接続されている。また、第2の認証用装置20と中継装置30とは、相互に通信が可能となるように接続されている。また、中継装置30とユーザ端末40とは、相互に通信が可能となるように接続されている。同様に、中継装置30と管理者端末50とは、相互に通信が可能となるように接続されている。通信が可能となる接続は、有線接続であってもよいし、無線接続であってもよい。
【0019】
ユーザ端末40は、ユーザがネットワークへの接続に用いる端末である。ユーザ端末40は、ネットワークへの接続(アクセス)要求を表す情報(以下、単に「接続要求」と記載する場合がある)と認証に必要なユーザ情報とを、中継装置30に送信する。また、ユーザ端末40は、第2の認証用装置20から、中継装置30を介して、第1の認証用装置10によって判定された認証成否の結果を表す情報(以下、単に「認証成否の結果」と記載する場合がある)を受信する。
【0020】
ユーザ情報は、例えば、アイディー(以下、「ID」と記載する場合がある)、パスワード(以下、「PW」と記載する場合がある)、およびMAC(Media Access Control)アドレス(以下、「MAC」と記載する場合がある)などを含む。ユーザ端末40は、例えば、パソコン、スマートフォン、タブレット端末などである。なお、ユーザ端末40は、クライアント端末、認証クライアント、サプリカントなどと呼ばれることがある。
【0021】
管理者端末50は、第1および第2の認証用装置10,20の設定を管理する管理者がネットワークへの接続に用いる端末である。管理者端末50は、特別な認証を経て第1および第2の認証用装置10,20にアクセスし、必要に応じて、データを記憶させたり、データを変更したり、プログラムをインストールしたり、プログラムを変更したりする。管理者端末50は、例えば、パソコン、スマートフォン、タブレット端末などである。
【0022】
中継装置30は、ユーザ端末40と第2の認証用装置20との間で情報の送受信を中継する装置である。中継装置30は、ユーザ端末40から接続要求を受信すると、認証に必要なユーザ情報の送信要求を表す情報(以下、単に「ユーザ情報送信要求」と記載する場合がある)をユーザ端末40に送信する。中継装置30は、ユーザ端末40からユーザ情報を受信すると、受信されたユーザ情報を第2の認証用装置20に送信する。また、中継装置30は、第2の認証用装置20から認証成功を表す情報(以下、単に「認証成功」と記載する場合がある)を受信すると、ユーザ端末40のポートを開いて、ネットワークへのアクセスを許可するとともに、ユーザ端末40に認証成功を送信する。
【0023】
なお、本実施形態において、ネットワーク上の他の各種サーバ等は、本願が提案する技術との関連が薄いため、図示していない。中継装置30は、例えば、認証スイッチ、ルータ、アクセスポイント、仮想プライベートネットワークサーバ、ダイアルアップサーバ、またはRADIUSプロキシサーバなどである。中継装置30は、RADIUSクライアント、オーセンティケータ(authenticator)などと呼ばれることがある。
【0024】
第1の認証用装置10は、ユーザ端末40から認証に必要なユーザ情報を受信し、認証成否を判定して応答する。
【0025】
より具体的には、第1の認証用装置10は、第1の記憶装置11を有している。第1の認証用装置10は、認証を成功させるべき1つまたは複数の正規ユーザのユーザ情報が予め登録されている登録リストL1を自身の第1の記憶装置11に記憶している。第1の認証用装置10は、ユーザ端末40から中継装置30、第2の認証用装置20を介して、ユーザ情報を受信する。第1の認証用装置10は、受信したユーザ情報を登録リストL1内のユーザ情報と照合することにより、認証成否を判定する。第1の認証用装置10は、その認証成否の結果を、第2の認証用装置20に送信する。
【0026】
第1の認証用装置10は、例えば、サーバである。第1の認証用装置10が有する第1の記憶装置11は、例えば、半導体メモリ、磁気ディスク、光ディスクなどで構成される。なお、第1の認証用装置10は、認証サーバ、RADIUSサーバなどと呼ばれることがある。
【0027】
第2の認証用装置20は、ユーザ端末40と第1の認証用装置10との間に介在し、ユーザ端末40と第1の認証用装置10との間でやり取りされるユーザ情報、認証成否の結果などの送受信を行う。より具体的には、第2の認証用装置20は、ユーザ端末40から中継装置30を介して、ユーザ情報を受信し、第1の認証用装置10に受信したユーザ情報を送信する。また、第2の認証用装置20は、第1の認証用装置10から認証成否の結果を受信し、中継装置30に送信する。第2の認証用装置20は、例えば、サーバである。
【0028】
第2の認証用装置20は、第2の記憶装置21を有している。第2の認証用装置20は、この第2の記憶装置21に、特定IDリスト(本願における履歴リストの一例)L2を記憶している。第2の認証用装置20は、第1の認証用装置10から認証成功を受信した場合に、その都度、認証が成功したユーザ情報をこの特定IDリストL2に記録する処理を実行する。具体的には、第2の認証用装置20は、認証が成功したユーザ情報のうち少なくともIDおよびMACアドレスの組合せを、特定IDリストL2に記録する。なお、第2の認証用装置20が有する第2の記憶装置21は、例えば、半導体メモリ、磁気ディスク、光ディスクなどで構成される。
【0029】
また、第2の認証用装置20は、第1の認証用装置10との通信の異常を検知する処理を実行する。第2の認証用装置20は、例えば、認証のためにユーザ情報を第1の認証用装置10に送信してから予め定められた一定時間内に、第1の認証用装置10から認証成否の結果の応答がなかった場合に、第1の認証用装置10との通信に異常が発生したと判定し、通信の異常を検知する。
【0030】
第2の認証用装置20は、第1の認証用装置10との通信の異常を検知すると、第1の認証用装置10の代わりに、認証成否を判定する処理を実行する。具体的には、第2の認証用装置20は、ユーザ端末40からユーザ情報を受信した場合に、ユーザ情報に含まれるIDおよびMACアドレスを、特定IDリストL2の中のIDおよびMACアドレスの組合せと照合する。そして、第2の認証用装置20は、その照合の結果、合致する組合せがある場合には、認証成功を中継装置30に送信する。
【0031】
第2の認証用装置20は、第1の認証用装置10との通信の異常が解消されたことを検知すると、認証成否を判定する処理を止めて通常の処理を再開する。すなわち、第2の認証用装置20は、第1の認証用装置10との通信の異常を検知していない場合には、上述したようなユーザ端末40と第1の認証用装置10との仲介役としての処理を行う。
【0032】
〈実施形態1に係るネットワークシステムにおける処理フロー〉
実施形態1に係るネットワークシステムにおける処理フローについて説明する。初めに、第1の認証用装置10との通信に異常が発生していない場合、すなわち、第2の認証用装置20が通信の異常を検知していない場合における処理フローについて説明する。続いて、第1の認証用装置10との通信に異常が発生している場合、すなわち、第2の認証用装置20が通信の異常を検知している場合における処理フローについて説明する。なお、実際の処理フローは、適用する認証プロトコルに従って複雑な情報の送受信が行われることが想定されるが、ここでは、本願が提案する技術の理解を容易にするため、簡略化して記載していることに留意されたい。
実施形態1に係るネットワークシステムにおける処理フローについて説明する。初めに、第1の認証用装置10との通信に異常が発生していない場合、すなわち、第2の認証用装置20が通信の異常を検知していない場合における処理フローについて説明する。続いて、第1の認証用装置10との通信に異常が発生している場合、すなわち、第2の認証用装置20が通信の異常を検知している場合における処理フローについて説明する。なお、実際の処理フローは、適用する認証プロトコルに従って複雑な情報の送受信が行われることが想定されるが、ここでは、本願が提案する技術の理解を容易にするため、簡略化して記載していることに留意されたい。
【0033】
《第1の認証用装置との通信異常なしの場合の処理フロー》
第1の認証用装置10との通信に異常が発生していない場合の処理フローについて説明する。
第1の認証用装置10との通信に異常が発生していない場合の処理フローについて説明する。
【0034】
図2は、実施形態1における通信異常なしの場合の処理フローを示す図である。図2に示すように、まず、ユーザ端末40が、中継装置30に接続要求ARを送信する(S1)中継装置30は、ユーザ端末40から接続要求ARを受信すると、ユーザ端末40にユーザ情報送信要求SRを返信する(S2)。ユーザ端末40は、中継装置30からユーザ情報送信要求SRを受信すると、ユーザの入力操作を受けて、IDおよびPWを含むユーザ情報を中継装置30に送信する(S3)。
【0035】
なお、接続要求AR、ユーザ情報など、ユーザ端末40から送信されるデータには、送信元であるユーザ端末40のMACアドレスが含まれている。
【0036】
中継装置30は、ユーザ端末40から受信したIDおよびPWをユーザ端末40のMACアドレスとともに第2の認証用装置20に送信する(S4)。第2の認証用装置20は、中継装置30からIDおよびPWとMACアドレスとを受信すると、受信されたIDおよびPWを第1の認証用装置10に送信する(S5)。
【0037】
第1の認証用装置10は、第2の認証用装置20からIDおよびPWを受信すると、受信されたIDおよびPWを登録リストL1内のIDおよびPWと照合する(S6)。すなわち、第1の認証用装置10は、受信されたIDおよびPWが登録リストL1内にあるか否かを判定し、接続を要求しているユーザが正規ユーザであるか否かを識別する。
【0038】
第1の認証用装置10は、受信されたIDおよびPWが登録リストL1内にあると判定した場合には、認証成功(許可)を表す情報(以下、単に「認証成功」と記載する場合がある)A1を第2の認証用装置20に送信する(S7)。
【0039】
第2の認証用装置20は、第1の認証用装置10から認証成功A1を受信すると、ユーザ端末40からのIDおよびMACアドレスを、特定IDリストL2に記録する(S8)。また、第2の認証用装置20は、認証成功A1を受信すると、受信された認証成功A1を中継装置30に送信する(S9)。
【0040】
中継装置30は、第2の認証用装置20から認証成功A1を受信すると、受信された認証成功A1をユーザ端末40に送信する(S10)。また、中継装置30は、ユーザ端末40のネットワークへのアクセスを許可する。すなわち、ユーザ端末40のポートを解放する。
【0041】
一方、第1の認証用装置10は、受信されたIDおよびPWが登録リストL1内にないと判定した場合には、認証失敗(拒絶)を表す情報(以下、単に「認証失敗」と記載する場合がある)A2を第2の認証用装置20に送信する(S11)。
【0042】
第2の認証用装置20は、第1の認証用装置10から認証失敗A2を受信すると、受信された認証失敗A2を中継装置30に送信する(S12)。
【0043】
中継装置30は、第2の認証用装置20から認証失敗A2を受信すると、受信された認証失敗A2をユーザ端末40に送信する(S13)。また、中継装置30は、ユーザ端末40のポートを閉じたままの状態にし、ユーザ端末40のネットワークへのアクセスを拒絶する。
【0044】
以上が、通信異常のない通常時の認証処理フローである。このような認証処理フローが多数のユーザに対して繰り返し行われることにより、認証成功済みのユーザ情報であるIDとMACアドレスとの組合せが、特定IDリストL2に記録され蓄積されていくことになる。
【0045】
《第1の認証用装置との通信異常ありの場合の処理フロー》
第1の認証用装置10との通信に異常が発生している場合の処理フローについて説明する。
第1の認証用装置10との通信に異常が発生している場合の処理フローについて説明する。
【0046】
図3は、実施形態1における通信異常ありの場合の処理フローを示す図である。図3に示すように、まず、ユーザ端末40が、中継装置30に接続要求ARを送信する(S21)。中継装置30は、ユーザ端末40から接続要求を受信すると、ユーザ端末40にユーザ情報送信要求SRを返信する(S22)。ユーザ端末40は、中継装置30からユーザ情報送信要求SRを受信すると、ユーザの入力操作を受けて、IDおよびPWを含むユーザ情報を中継装置30に送信する(S23)。なお、上述したように、接続要求AR、ユーザ情報など、ユーザ端末40から送信される情報には、送信元であるユーザ端末40のMACアドレスが含まれている。
【0047】
中継装置30は、ユーザ端末40から受信されたIDおよびPWをユーザ端末40のMACアドレスとともに第2の認証用装置20に送信する(S24)。第2の認証用装置20は、中継装置30からIDおよびPWとMACアドレスとを受信すると、受信されたIDおよびPWを第1の認証用装置10に送信する(S25)。
【0048】
ここで、本来であれば、第1の認証用装置10は、第2の認証用装置20からIDおよびPWを受信し、受信されたIDおよびPWに基づいて認証成否の判定を行う。しかしながら、第1の認証用装置10との通信に異常が発生している場合には、第1の認証用装置10は、第2の認証用装置20からIDおよびPWを受信できないか、または、認証成否の結果を第2の認証用装置20に送信することができない。
【0049】
第2の認証用装置20は、第1の認証用装置10にIDおよびPWを送信してから予め定められた一定時間内に、第1の認証用装置10から応答があるか否かを検出している。第2の認証用装置20は、第1の認証用装置10から一定時間内に応答がないことを検出して、第1の認証用装置10との通信に異常が発生したことを検知する(S26)。
【0050】
第2の認証用装置20は、第1の認証用装置10との通信に異常が発生したことを検知すると、第1の認証用装置10に代わって、認証履歴に基づき認証成否を判定する。具体的には、第2の認証用装置20は、ユーザ端末40から受信されたIDおよびMACアドレスの組合せを、特定IDリストL2に記録されているIDおよびMACアドレスの組合せと照合する(S27)。第2の認証用装置20は、照合した結果、合致する組合せがある場合、すなわち照合に成功した場合には、認証成功と判定する。一方、第2の認証用装置20は、合致する組合せがない場合、すなわち照合に失敗した場合には、認証失敗と判定する。
【0051】
第2の認証用装置20は、認証成功と判定した場合、認証成功A1を中継装置30に送信する(S28)。
【0052】
中継装置30は、第2の認証用装置20から認証成功A1を受信すると、受信された認証成功A1をユーザ端末40に送信する(S29)。また、中継装置30は、ユーザ端末40のネットワークへのアクセスを許可する。すなわち、ユーザ端末40のポートを解放する。
【0053】
一方、第2の認証用装置20は、認証失敗と判定した場合、認証失敗A2を中継装置30に送信する(S30)。
【0054】
中継装置30は、第2の認証用装置20から認証失敗A2を受信すると、受信された認証失敗A2をユーザ端末40に送信する(S31)。また、中継装置30は、ユーザ端末40のネットワークへのアクセスを拒絶する。すなわち、ユーザ端末40のポートを閉じたままの状態にする。
【0055】
以上、実施形態1に係るネットワークシステム1によれば、第2の認証用装置20が、第1の認証用装置10との通信の異常が発生していない場合において、認証成功済みのユーザ情報を記録蓄積する。第1の認証用装置10との通信の異常が発生した場合に、第2の認証用装置20が、第1の認証用装置10に代わり、その蓄積されたユーザ情報に基づき認証成否を判定する。そのため、第1の認証用装置10との通信の異常が発生して第1の認証用装置10による認証成否の判定ができない状況であっても、既に認証成功の履歴があるユーザ端末からの接続要求には応答することができる。すなわち、ユーザ情報を記憶させたり更新したりする煩雑な作業を不要としつつ、認証用装置との通信の異常が発生した場合であっても、ネットワークに接続するユーザ端末の認証処理を行うことができる。
【0056】
(実施形態2)
〈実施形態2に係るネットワークシステムの概要〉
実施形態2に係るネットワークシステムの概要について説明する。実施形態2に係るネットワークシステムは、実施形態1と同様に、ユーザ端末と第1の認証用装置との間に第2の認証用装置を介在させた構成を有している。第1の認証用装置は、認証を成功させるべき正規ユーザのユーザ情報が記録された登録リストを記憶している。通常時、第2の認証用装置は、第1の認証用装置に接続要求元からのユーザ情報が登録リスト内にあるかを問い合わせる。第1の認証用装置は、受信されたユーザ情報を登録リストと照合しその問合せに応答する。第2の認証用装置は、その応答結果すなわち照合結果を基に認証成否を判定する。一方、第2の認証用装置は、第1の認証用装置との通信に異常が発生したことを検知すると、認証成否の判定方法を切り換え、過去の認証処理の履歴情報を利用して認証成否を判定する。
〈実施形態2に係るネットワークシステムの概要〉
実施形態2に係るネットワークシステムの概要について説明する。実施形態2に係るネットワークシステムは、実施形態1と同様に、ユーザ端末と第1の認証用装置との間に第2の認証用装置を介在させた構成を有している。第1の認証用装置は、認証を成功させるべき正規ユーザのユーザ情報が記録された登録リストを記憶している。通常時、第2の認証用装置は、第1の認証用装置に接続要求元からのユーザ情報が登録リスト内にあるかを問い合わせる。第1の認証用装置は、受信されたユーザ情報を登録リストと照合しその問合せに応答する。第2の認証用装置は、その応答結果すなわち照合結果を基に認証成否を判定する。一方、第2の認証用装置は、第1の認証用装置との通信に異常が発生したことを検知すると、認証成否の判定方法を切り換え、過去の認証処理の履歴情報を利用して認証成否を判定する。
【0057】
〈実施形態2に係るネットワークシステムの構成〉
図4は、実施形態2に係るネットワークシステムの構成を模式的に示す図である。図4に示すように、実施形態2に係るネットワークシステム2は、基本的に実施形態1と同様の構成を有する。ただし、第1の認証用装置10および第2の認証用装置20の機能(役割)が、実施形態1とは一部異なる。実施形態1では、第1の認証用装置10は登録リストL1を記憶し、認証成否を判定しており、第2の認証用装置20は情報の送受信の仲介役である。一方、実施形態2では、第1の認証用装置10は登録リストL1を記憶しているが、認証成否は判定せず、第2の認証用装置20が認証成否を判定する。
図4は、実施形態2に係るネットワークシステムの構成を模式的に示す図である。図4に示すように、実施形態2に係るネットワークシステム2は、基本的に実施形態1と同様の構成を有する。ただし、第1の認証用装置10および第2の認証用装置20の機能(役割)が、実施形態1とは一部異なる。実施形態1では、第1の認証用装置10は登録リストL1を記憶し、認証成否を判定しており、第2の認証用装置20は情報の送受信の仲介役である。一方、実施形態2では、第1の認証用装置10は登録リストL1を記憶しているが、認証成否は判定せず、第2の認証用装置20が認証成否を判定する。
【0058】
第2の認証用装置20は、第1の認証用装置10に対して、ユーザ端末40からのユーザ情報とともに当該ユーザ情報の照合要求を表す情報(以下、単に「照合要求」と記載する場合がる)を送信する。照合要求は、当該ユーザ情報を登録リストL1と照合するよう要求することである。第2の認証用装置20は、第1の認証用装置10から受信された照合結果を表す情報(以下、単に「照合結果」と記載する場合がる)を基に認証成否を判定する。なお、第2の認証用装置20は、認証サーバ、RADIUSサーバなどと呼ばれることがある。
【0059】
第1の認証用装置10は、登録リストL1を記憶している。第1の認証用装置10は、第2の認証用装置20からユーザ情報と照合要求とを受信すると、当該ユーザ情報を登録リストと照合し、照合の結果を第2の認証用装置20に送信する。なお、第1の認証用装置10は、例えば、アクティブディレクトリサーバ、アクティブディレクトリデータベースなどと呼ばれることがある。
【0060】
なお、中継装置30、ユーザ端末40、および管理者端末50の機能は、実施形態1と同様であるため、ここでは説明を省略する。
【0061】
〈実施形態2に係るネットワークシステムにおける処理フロー〉
実施形態2に係るネットワークシステムにおける処理フローについて説明する。初めに、第1の認証用装置10との通信に異常が発生していない場合、すなわち、第2の認証用装置20が通信の異常を検知していない場合における処理フローについて説明する。続いて、第1の認証用装置10との通信に異常が発生している場合、すなわち、第2の認証用装置20が通信の異常を検知している場合における処理フローについて説明する。なお、実際の処理フローは、適用する認証プロトコルに従ってより複雑な情報の送受信が行われるが、ここでは、本願が提案する方法の理解を容易にするため、簡略化して記載していることに留意されたい。
実施形態2に係るネットワークシステムにおける処理フローについて説明する。初めに、第1の認証用装置10との通信に異常が発生していない場合、すなわち、第2の認証用装置20が通信の異常を検知していない場合における処理フローについて説明する。続いて、第1の認証用装置10との通信に異常が発生している場合、すなわち、第2の認証用装置20が通信の異常を検知している場合における処理フローについて説明する。なお、実際の処理フローは、適用する認証プロトコルに従ってより複雑な情報の送受信が行われるが、ここでは、本願が提案する方法の理解を容易にするため、簡略化して記載していることに留意されたい。
【0062】
《第1の認証用装置との通信異常なしの場合の処理フロー》
第1の認証用装置10との通信に異常が発生していない場合の処理フローについて説明する。
第1の認証用装置10との通信に異常が発生していない場合の処理フローについて説明する。
【0063】
図5は、実施形態2における通信異常なしの場合の処理フローを示す図である。図5に示すように、まず、ユーザ端末40が、中継装置30に接続要求ARを送信する(S41)。中継装置30は、ユーザ端末40から接続要求ARを受信すると、ユーザ端末40にユーザ情報送信要求SRを返信する(S42)。ユーザ端末40は、中継装置30からユーザ情報送信要求SRを受信すると、ユーザの入力操作を受けて、IDおよびPWを中継装置30に送信する(S43)。なお、上述したように、接続要求AR、ユーザ情報など、ユーザ端末40から送信される情報には、送信元であるユーザ端末40のMACアドレスが含まれている。
【0064】
中継装置30は、ユーザ端末40から受信されたIDおよびPWをユーザ端末40のMACアドレスとともに第2の認証用装置20に送信する(S44)。第2の認証用装置20は、中継装置30からIDおよびPWとMACアドレスとを受信すると、受信されたIDおよびPWと照合要求VRとを第1の認証用装置10に送信する(S45)。
【0065】
第1の認証用装置10は、第2の認証用装置20からIDおよびPWと照合要求VRとを受信すると、受信されたIDおよびPWと登録リストL1内のIDおよびPWとを照合し、接続を要求しているユーザが正規ユーザであるか否かを識別する。すなわち、第1の認証用装置10は、受信されたIDおよびPWが登録リストL1内にあるか否かを判定する(S46)。
【0066】
第1の認証用装置10は、受信されたIDおよびPWが登録リストL1内にあると判定した場合には、照合成功を表す情報(以下、単に「照合成功」と記載する場合がる)V1を第2の認証用装置20に送信する(S47)。
【0067】
第2の認証用装置20は、第1の認証用装置10から照合成功V1を受信すると、ユーザ端末40からのIDおよびMACアドレスを、特定IDリストL2に記録する(S48)。また、第2の認証用装置20は、第1の認証用装置10から照合成功V1を受信すると、認証成功A1を中継装置30に送信する(S49)。
【0068】
中継装置30は、第2の認証用装置20から認証成功A1を受信すると、受信された認証成功A1をユーザ端末40に送信する(S50)。また、中継装置30は、ユーザ端末40のネットワークへのアクセスを許可する。すなわち、ユーザ端末40のポートを解放する。
【0069】
一方、第1の認証用装置10は、受信されたIDおよびPWが登録リストL1内にないと判定した場合には、照合失敗を表す情報(以下、単に「照合失敗」と記載する場合がある)V2を第2の認証用装置20に送信する(S51)。
【0070】
第2の認証用装置20は、第1の認証用装置10から照合失敗V2を受信すると、認証失敗A2を中継装置30に送信する(S52)。
【0071】
中継装置30は、第2の認証用装置20から認証失敗A2を受信すると、受信された認証失敗A2をユーザ端末40に送信する(S53)。また、中継装置30は、ユーザ端末40のネットワークへのアクセスを拒絶する。すなわち、ユーザ端末40のポートを閉じたままの状態にする。
【0072】
以上が、通信異常のない通常時の認証処理フローである。このような認証処理フローが繰り返し行われることにより、認証が成功した(許可された)ユーザのIDと、そのユーザ端末のMACアドレスとの組合せが、特定IDリストに記録され蓄積されていくことになる。
【0073】
《第1の認証用装置との通信異常ありの場合の処理フロー》
第1の認証用装置10との通信に異常が発生している場合の処理フローについて説明する。
第1の認証用装置10との通信に異常が発生している場合の処理フローについて説明する。
【0074】
図6は、実施形態2における通信異常ありの場合の処理フローを示す図である。図6に示すように、まず、ユーザ端末40が、中継装置30に接続要求ARを送信する(S61)。中継装置30は、ユーザ端末40から接続要求ARを受信すると、ユーザ端末40にユーザ情報送信要求SRを返信する(S62)。ユーザ端末40は、中継装置30からユーザ情報送信要求SRを受信すると、ユーザの入力操作を受けて、IDおよびPWを含むユーザ情報を中継装置30に送信する(S63)。なお、上述したように、接続要求AR、ユーザ情報など、ユーザ端末40から送信される情報には、送信元であるユーザ端末40のMACアドレスが含まれている。
【0075】
中継装置30は、ユーザ端末40から受信されたIDおよびPWをユーザ端末40のMACアドレスとともに第2の認証用装置20に送信する(S64)。第2の認証用装置20は、中継装置30からIDおよびPWとMACアドレスとを受信すると、受信されたIDおよびPWとともに照合要求VRを第1の認証用装置10に送信する(S65)。
【0076】
ここで、本来であれば、第1の認証用装置10は、第2の認証用装置20からIDおよびPWを受信し、受信されたIDおよびPWと登録リストL1との照合を行う。しかしながら、第1の認証用装置10との通信に異常が発生している場合には、第1の認証用装置10は、第2の認証用装置20からIDおよびPWあるいは照合要求VRを受信できないか、または、照合結果を第2の認証用装置20に送信することができない。
【0077】
第2の認証用装置20は、第1の認証用装置10にIDおよびPWを送信してから予め定められた一定時間内に、第1の認証用装置10から応答があるか否かを検出している。第2の認証用装置20は、第1の認証用装置10から応答がないことを検出して、第1の認証用装置10との通信に異常が発生したことを検知する(S66)。
【0078】
第2の認証用装置20は、第1の認証用装置10との通信に異常が発生したことを検知すると、第1の認証用装置10による照合結果に基づく認証成否の判定を止めて、認証履歴に基づく認証成否の判定を行う。具体的には、第2の認証用装置20は、ユーザ端末40から受信されたIDおよびMACアドレスの組合せを、特定IDリストL2に記録されているIDおよびMACアドレスの組合せと照合する(S67)。
【0079】
第2の認証用装置20は、特定IDリストL2との照合の結果、合致する組合せがある場合には認証成功と判定し、認証成功A1を中継装置30に送信する(S68)。
【0080】
中継装置30は、第2の認証用装置20から認証成功A1を受信すると、受信された認証成功A1をユーザ端末40に送信する(S69)。また、中継装置30は、ユーザ端末40のネットワークへのアクセスを許可する。すなわち、ユーザ端末40のポートを解放する。
【0081】
一方、第2の認証用装置20は、特定IDリストL2との照合の結果、合致する組合せがない場合には認証失敗と判定し、認証失敗A2を中継装置30に送信する(S70)。
【0082】
中継装置30は、第2の認証用装置20から認証失敗A2を受信すると、受信された認証失敗A2をユーザ端末40に送信する(S71)。また、中継装置30は、ユーザ端末40のネットワークへのアクセスを拒絶する。すなわち、ユーザ端末40のポートを閉じたままの状態にする。
【0083】
以上、実施形態2に係るネットワークシステム2によれば、第2の認証用装置20が、認証成功済みのユーザ情報を記録蓄積しておき、第1の認証用装置10との通信の異常を検知している場合には、その記録蓄積されたユーザ情報に基づき認証成否を判定する。そのため、第1の認証用装置10との通信の異常が発生して第1の認証用装置10によるユーザ情報の照合結果が得られなくなっても、第2の認証用装置20は、既に認証成功の履歴があるユーザ端末からの接続要求には応答することができる。すなわち、ユーザ情報を記憶させたり更新したりする煩雑な作業を不要としつつ、認証用装置との通信の異常が発生した場合であっても、ネットワークに接続するユーザ端末の認証処理を行うことができる。
【0084】
(実施形態3)
本願の実施形態3は、上記ネットワークシステムを実現させるためのネットワーク認証方法である。実施形態3に係るネットワーク認証方法は、ユーザ端末と第1の認証用装置との間に介在する第2の認証用装置に、上記ユーザ端末からユーザ情報を受信する処理と、上記第1の認証用装置と通信することにより上記ユーザ情報に基づく認証成否の結果を得る処理と、認証成功済みのユーザ情報を、自身が有する第2の記憶装置に記憶させる処理と、上記第1の認証用装置との通信の異常を検知する処理と、上記通信の異常を検知している場合に、上記ユーザ端末からのユーザ情報を上記第2の記憶装置に記憶されているユーザ情報と照合することにより、上記ユーザ端末の認証成否を判定する処理と、を実行させる、ネットワーク認証方法である。
本願の実施形態3は、上記ネットワークシステムを実現させるためのネットワーク認証方法である。実施形態3に係るネットワーク認証方法は、ユーザ端末と第1の認証用装置との間に介在する第2の認証用装置に、上記ユーザ端末からユーザ情報を受信する処理と、上記第1の認証用装置と通信することにより上記ユーザ情報に基づく認証成否の結果を得る処理と、認証成功済みのユーザ情報を、自身が有する第2の記憶装置に記憶させる処理と、上記第1の認証用装置との通信の異常を検知する処理と、上記通信の異常を検知している場合に、上記ユーザ端末からのユーザ情報を上記第2の記憶装置に記憶されているユーザ情報と照合することにより、上記ユーザ端末の認証成否を判定する処理と、を実行させる、ネットワーク認証方法である。
【0085】
なお、当該ネットワーク認証方法は、上記実施形態1,2におけるネットワークシステムの処理フローの説明からも理解されるであろう。
【0086】
このようなネットワーク認証方法によれば、上記実施形態1,2と同様に、ユーザ情報を記憶させたり更新したりする煩雑な作業を不要としつつ、認証用装置との通信異常が発生した場合であっても、ネットワークに接続する端末の認証処理が可能となる。
【0087】
なお、上記実施形態では、第2の認証用装置20は、第1の認証用装置10との通信の異常を検知する方法として、第1の認証用装置10にIDおよびPWを送信してから一定時間内に応答があるか否かを検出する方法を用いている。しかしながら、通信の異常を検知する方法は、上記方法に限定されない。例えば、第2の認証用装置20は、第1の認証用装置10にIDおよびPW以外の情報を送信し第1の認証用装置10から何らかの応答を得る処理において、送信から一定時間内に応答があるか否かにより通信の異常を検知するようにしてもよい。また例えば、第1の認証用装置10との通信状態を監視する他の装置を設け、他の装置が通信の異常を検知し、第2の認証用装置20がその旨を示す情報を当該他の装置から受信することにより通信の異常を検知するようにしてもよい。
【0088】
また、上記実施形態では、第2の認証用装置20が特定IDリストに記録し、通信異常時の認証成否の判定に用いるユーザ情報として、IDおよびMACアドレスの組合せを用いている。しかしながら、特定IDリストに記録するユーザ情報は、IDおよびMACアドレスの組合せに限定されない。例えば、第2の認証用装置20は、IDおよびPWの組合せ、MACアドレスおよびPWの組合せ、あるいは、ID、PWおよびMACアドレスの組合せを特定IDリストに記録し、認証成否の判定に用いるようにしてもよい。
【0089】
以上、本発明の各種実施形態について説明したが、本発明は上記した実施形態に限定されるものではなく、様々な変形例が含まれる。また、上記した実施形態は本発明を分かりやすく説明するために詳細に説明したものであり、必ずしも説明した全ての構成を備えるものに限定されるものではない。また、ある実施形態の構成の一部を他の実施形態の構成に置き換えることが可能であり、また、ある実施形態の構成に他の実施形態の構成を加えることも可能である。これらは全て本発明の範疇に属するものである。さらに文中や図中に含まれる数値等もあくまで一例であり、異なるものを用いても本発明の効果を損なうものではない。
【符号の説明】
【0090】
1,2…ネットワークシステム
10…第1の認証用装置
11…第1の記憶装置
20…第2の認証用装置
21…第2の記憶装置
30…中継装置
40…ユーザ端末
50…管理者端末
L1…登録リスト
L2…特定IDリスト
AR…接続要求
A1…認証成功
A2…認証失敗
SR…送信要求
VR…照合要求
V1…照合成功
V2…照合失敗
10…第1の認証用装置
11…第1の記憶装置
20…第2の認証用装置
21…第2の記憶装置
30…中継装置
40…ユーザ端末
50…管理者端末
L1…登録リスト
L2…特定IDリスト
AR…接続要求
A1…認証成功
A2…認証失敗
SR…送信要求
VR…照合要求
V1…照合成功
V2…照合失敗
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】