JP7540992B2 - Network system and access control method - Google Patents
Network system and access control method Download PDFInfo
- Publication number
- JP7540992B2 JP7540992B2 JP2021211084A JP2021211084A JP7540992B2 JP 7540992 B2 JP7540992 B2 JP 7540992B2 JP 2021211084 A JP2021211084 A JP 2021211084A JP 2021211084 A JP2021211084 A JP 2021211084A JP 7540992 B2 JP7540992 B2 JP 7540992B2
- Authority
- JP
- Japan
- Prior art keywords
- authentication
- user terminal
- authentication device
- communication
- relay device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims description 71
- 238000004891 communication Methods 0.000 claims description 123
- 230000005856 abnormality Effects 0.000 claims description 73
- 230000008569 process Effects 0.000 claims description 54
- 230000002159 abnormal effect Effects 0.000 claims description 33
- 238000001514 detection method Methods 0.000 claims description 10
- 238000012795 verification Methods 0.000 claims 1
- 230000005540 biological transmission Effects 0.000 description 28
- 238000010586 diagram Methods 0.000 description 15
- 238000005516 engineering process Methods 0.000 description 6
- 230000000694 effects Effects 0.000 description 4
- 230000004044 response Effects 0.000 description 3
- 230000008859 change Effects 0.000 description 1
- 230000001771 impaired effect Effects 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Description
本発明は、ネットワークシステムおよびアクセス制御方法に関する。 The present invention relates to a network system and an access control method.
ユーザの認証が行われるネットワークシステムの一例として、ユーザ端末と、認証スイッチ等の中継装置と、認証用装置とを含むネットワークシステムが知られている。当該システムでは、認証用装置が、正規ユーザのユーザ情報(認証情報)を記憶している。ユーザ端末は、ネットワークへ接続するのに必要な認証を得るために、ユーザ情報を中継装置に送信する。中継装置は、認証用装置にユーザ情報を送信する。認証用装置は、中継装置からユーザ情報を受信し、受信したユーザ情報を正規ユーザのユーザ情報と照合し、合致すれば認証成功を表す情報を中継装置に送信する。中継装置は、認証成功の情報を受信すると、ユーザ端末にネットワークへの接続を許可し、ユーザ端末は、ネットワーク上のサーバへアクセスすることができるようになる。 One example of a network system in which user authentication is performed is a network system that includes a user terminal, a relay device such as an authentication switch, and an authentication device. In this system, the authentication device stores user information (authentication information) of authorized users. The user terminal transmits the user information to the relay device to obtain the authentication required to connect to the network. The relay device transmits the user information to the authentication device. The authentication device receives the user information from the relay device, compares the received user information with the user information of the authorized user, and if there is a match, transmits information indicating successful authentication to the relay device. When the relay device receives the information indicating successful authentication, it allows the user terminal to connect to the network, and the user terminal becomes able to access servers on the network.
ところで、このようなネットワークシステムにおいて、認証用装置との通信に異常が発生すると、ユーザ端末の認証ができなくなる。このような背景の下、認証用装置との通信に異常が発生した場合であっても認証を可能にする技術が検討されている。 However, in such a network system, if an abnormality occurs in communication with the authentication device, the user terminal cannot be authenticated. Against this background, technology that enables authentication even when an abnormality occurs in communication with the authentication device is being considered.
例えば、特許文献1は、複合機が認証サーバと接続できないときに、複合機に設けた代替認証機能によって認証を行う複合機制御システムを開示している。
For example,
特許文献1により開示された技術によれば、代替認証機能を有する機器に、認証に必要なユーザ情報を予め記憶させる作業が必要になる。また、認証に必要なユーザ情報に変更が生じた場合には、認証サーバが記憶するユーザ情報だけでなく、代替認証機能を有する機器が記憶するユーザ情報をも更新する作業が必要になる。このように、代替認証機能を有する機器にユーザ情報を記憶させたり、記憶するユーザ情報を更新したりする作業は非常に煩雑であり、管理コストも増大する。
According to the technology disclosed in
上記事情により、認証用装置との通信に異常が発生した場合であっても、煩雑な作業を不要としつつ、ユーザ端末がネットワーク上のサーバあるいはデータファイルにアクセスすることができる技術が望まれている。 Due to the above circumstances, there is a demand for technology that allows a user terminal to access a server or data file on a network without the need for complicated operations, even if an abnormality occurs in communication with the authentication device.
一実施形態によるネットワークシステムは、第1の認証用装置と、第2の認証用装置と、中継装置とを備え、前記第2の認証用装置は、前記第1の認証用装置と前記中継装置との間に介在し、前記中継装置は、ユーザ端末と接続され、前記ユーザ端末からユーザ情報を受信して、前記ユーザ情報を前記第2の認証用装置に送信する処理を実行し、前記第2の認証用装置は、前記第1の認証用装置と通信することにより前記ユーザ情報に基づく認証成否の結果を得るための処理と、前記認証成否の結果が得られた場合に、前記認証成否の結果を前記中継装置に送信する処理と、前記第1の認証用装置との通信の異常を検知する検知処理と、前記検知処理により通信の異常が検知されている場合に、前記通信の異常に対応する情報を前記中継装置に送信する処理と、を実行し、前記中継装置は、前記ユーザ端末の通信異常時アクセス可能範囲が特定される情報を記憶しており、前記通信の異常に対応する情報を受信すると、前記ユーザ端末による前記通信異常時アクセス可能範囲へのアクセスが可能となるように前記ユーザ端末の接続を制御する処理を実行する。ここで「通信異常時」とは、「通信障害など通信に異常が発生している場合」を意味する。 A network system according to one embodiment includes a first authentication device, a second authentication device, and a relay device. The second authentication device is interposed between the first authentication device and the relay device. The relay device is connected to a user terminal and receives user information from the user terminal and transmits the user information to the second authentication device. The second authentication device performs a process of obtaining an authentication success/failure result based on the user information by communicating with the first authentication device, a process of transmitting the authentication success/failure result to the relay device when the authentication success/failure result is obtained, a detection process of detecting an abnormality in communication with the first authentication device, and a process of transmitting information corresponding to the communication abnormality to the relay device when a communication abnormality is detected by the detection process. The relay device stores information that specifies the accessible range of the user terminal when a communication abnormality occurs, and, when receiving the information corresponding to the communication abnormality, performs a process of controlling the connection of the user terminal so that the user terminal can access the accessible range when a communication abnormality occurs. Here, "when there is a communication abnormality" means "when there is a communication abnormality such as a communication failure."
一実施形態によれば、ネットワークシステムにおいて、認証用装置との通信に異常が発生した場合であっても、煩雑な作業を不要としつつ、ユーザ端末がネットワーク上のサーバあるいはデータファイルにアクセスすることができる。 According to one embodiment, even if an abnormality occurs in communication with an authentication device in a network system, a user terminal can access a server or data file on the network without the need for complicated operations.
これより、実施形態について説明する。なお、以下で説明する各実施形態は、本願発明を実現するための一例であり、本願発明の技術範囲を限定するものではない。また、以下の各実施形態において、同一の機能を有する構成要素には同一の符号を付し、その繰り返しの説明は、特に必要な場合を除き省略する。 Now, we will explain the embodiments. Note that each embodiment described below is an example for realizing the present invention, and does not limit the technical scope of the present invention. Furthermore, in each embodiment below, components having the same function are given the same reference numerals, and repeated explanations will be omitted unless particularly necessary.
以下に説明する各実施形態に係るネットワークシステムの基本的な構成および機能は、下記の通りである。ネットワークシステムは、第1の認証用装置と、第2の認証用装置と、中継装置とを備えている。第2の認証用装置は、第1の認証用装置と中継装置との間に介在している。中継装置は、ユーザ端末と接続され、ユーザ端末から接続要求を受信するとユーザ情報の送信要求を送信し、ユーザ情報を受信するとそのユーザ情報を第2の認証用装置に送信する。第2の認証用装置は、第1の認証用装置と通信することにより、受信したユーザ情報に基づく認証成否の結果を得るための処理を実行し、認証成否の結果が得られた場合に、認証成否の結果を中継装置に送信する。 The basic configuration and functions of the network system according to each embodiment described below are as follows. The network system includes a first authentication device, a second authentication device, and a relay device. The second authentication device is interposed between the first authentication device and the relay device. The relay device is connected to a user terminal, and when it receives a connection request from the user terminal, it transmits a request to transmit user information, and when it receives user information, it transmits the user information to the second authentication device. The second authentication device communicates with the first authentication device, and executes a process to obtain the result of authentication success or failure based on the received user information, and when the result of authentication success or failure is obtained, it transmits the result of authentication success or failure to the relay device.
なお、上記した、第1の認証用装置と通信することにより前記ユーザ情報に基づく認証成否の結果を得る処理は、例えば次の2つの実施形態を考えることができる。 The above-mentioned process of obtaining the result of authentication success or failure based on the user information by communicating with the first authentication device can be implemented in the following two ways, for example.
実施形態1では、第1の認証用装置が、認証を成功させるべきユーザ情報を記憶している。第1の認証用装置は、第2の認証用装置から受信したユーザ端末からのユーザ情報を、自身が記憶しているユーザ情報と照合し、その照合結果に基づいて認証成否を判定し、認証成否の結果を第2の認証用装置に送信する。第2の認証用装置は、第1の認証用装置から認証成否の結果を受信して得る。 In the first embodiment, the first authentication device stores user information for which authentication should be successful. The first authentication device compares the user information from the user terminal received from the second authentication device with the user information stored in itself, determines whether authentication is successful based on the comparison result, and transmits the result of authentication success or failure to the second authentication device. The second authentication device receives the result of authentication success or failure from the first authentication device.
実施形態2では、第1の認証用装置が、認証を成功させるべきユーザ情報を記憶している。第1の認証用装置は、第2の認証用装置から受信したユーザ端末からのユーザ情報を、自身が記憶しているユーザ情報と照合し、その照合結果を第2の認証用装置に送信する。第2の認証用装置は、第1の認証用装置から受信した照合結果に基づいて認証成否を判定し、認証成否の結果を得る。 In the second embodiment, the first authentication device stores user information for which authentication should be successful. The first authentication device compares the user information received from the user terminal by the second authentication device with the user information stored in the first authentication device, and transmits the comparison result to the second authentication device. The second authentication device determines whether authentication is successful or not based on the comparison result received from the first authentication device, and obtains a result of authentication success or failure.
また、各実施形態に係るネットワークシステムの主な特徴は、下記の通りである。第2の認証用装置は、第1の認証用装置との通信の異常を検知する検知処理と、検知処理により異常が検知されている場合に、通信の異常に対応する情報を中継装置に送信する処理と、を実行する。中継装置は、ユーザ端末の通信異常時アクセス可能範囲が特定される情報を記憶しており、通信の異常に対応する情報を受信すると、ユーザ端末による通信異常時アクセス可能範囲へのアクセスが可能となるように、ユーザ端末の接続を制御する処理を実行する。 The main features of the network system according to each embodiment are as follows. The second authentication device executes a detection process to detect an abnormality in communication with the first authentication device, and a process to transmit information corresponding to the communication abnormality to the relay device when an abnormality is detected by the detection process. The relay device stores information specifying the accessible range of the user terminal when the communication abnormality occurs, and upon receiving the information corresponding to the communication abnormality, executes a process to control the connection of the user terminal so that the user terminal can access the accessible range when the communication abnormality occurs.
(実施形態1)
〈実施形態1に係るネットワークシステムの構成〉
図1は、実施形態1に係るネットワークシステムの構成を概略的に示す図である。図1に示すように、実施形態1に係るネットワークシステム1は、第1の認証用装置10、第2の認証用装置20、中継装置30、ユーザ端末40、第1のサーバ50、第2のサーバ60、および管理者端末70を備えている。
(Embodiment 1)
Configuration of the network system according to the first embodiment
Fig. 1 is a diagram illustrating a schematic configuration of a network system according to
第1の認証用装置10と第2の認証用装置20とは接続されている。中継装置30には、第2の認証用装置20、ユーザ端末40、第1のサーバ50、第2のサーバ60、および管理者端末70が接続されている。なお、上記の接続は、相互に通信が可能となる接続であり、有線接続であってもよいし、無線接続であってもよい。
The
ユーザ端末40は、ユーザがネットワークへの接続に用いる端末である。ユーザ端末40は、ネットワークへの接続要求を表す情報(以下、単に「接続要求」と記載する場合がある)と、認証に必要なユーザ情報とを、中継装置30に送信する。また、ユーザ端末40は、第2の認証用装置20から、中継装置30を介して、第1の認証用装置10によって判定された認証成否の結果を表す情報(以下、単に「認証成否の結果」と記載する場合がある)を受信する。
The
ユーザ情報は、例えば、アイディー(以下、「ID」と記載する場合がある)、パスワード(以下、「PW」と記載する場合がある)、およびMAC(Media Access Control)アドレス(以下、「MAC」と記載する場合がある)などを含む。ユーザ端末40は、例えば、パソコン、スマートフォン、タブレット端末などである。なお、ユーザ端末40は、クライアント端末、認証クライアント、サプリカントなどと呼ばれることがある。
The user information includes, for example, an identity (hereinafter sometimes referred to as "ID"), a password (hereinafter sometimes referred to as "PW"), and a media access control (MAC) address (hereinafter sometimes referred to as "MAC"). The
管理者端末70は、ネットワークシステムの管理者が、ネットワークシステム1への接続に用いる端末である。管理者は、ネットワークシステム1を総合的に管理するが、例えば、第1の認証用装置10、第2の認証用装置20、および中継装置30の設定等を管理する。管理者は、管理者端末70を介して、第1の認証用装置10、第2の認証用装置20、あるいは中継装置30にアクセスし、これらの装置が、後述する機能を有したり後述する処理を実行したりするように、必要な操作を行う。この必要な操作は、例えば、プログラムをインストールあるいは変更したり、データを格納あるいは変更したりすることである。管理者端末70は、例えば、サーバ、パソコン、スマートフォン、あるいはタブレット端末などで構成される。
The
なお、中継装置30は、ユーザ端末40と第2の認証用装置20との間で情報の送受信を中継する。中継装置30は、ユーザ端末40から、ネットワークへの接続要求を受信すると、まず認証に必要なユーザ情報の送信要求を表す情報(以下、単に「ユーザ情報送信要求」と記載する場合がある)をユーザ端末40に送信する。
The
中継装置30は、ユーザ端末40からユーザ情報を受信すると、受信されたユーザ情報を第2の認証用装置20に送信する。また、中継装置30は、第2の認証用装置20から認証成功を表す情報(以下、単に「認証成功」と記載する場合がある)を受信すると、認証成功をユーザ端末40に送信する。中継装置30は、第2の認証用装置20から認証失敗を表す情報(以下、単に「認証失敗」と記載する場合がある)を受信すると、認証失敗をユーザ端末40に送信する。
When the
中継装置30は、記憶装置31を有している。記憶装置31には、通信正常時アクセス可能範囲G1が特定される情報と、通信異常時アクセス可能範囲G2が特定される情報とを記憶している。通信正常時アクセス可能範囲G1は、第1の認証用装置10と第2の認証用装置20との通信が正常であり、ユーザ端末の認証が成功した場合に、ユーザ端末40がアクセス可能となるように規定される範囲である。また、通信異常時アクセス可能範囲G2は、第1の認証用装置10と第2の認証用装置20との通信が異常である場合に、ユーザ端末40がアクセス可能となるように規定される範囲である。
The
中継装置30は、第2の認証用装置20から認証成功を受信すると、ユーザ端末40が通信正常時アクセス可能範囲G1内でアクセスできるようにユーザ端末40の接続を制御する。また、中継装置30は、第2の認証用装置20から通信の異常に対応した情報を受信すると、ユーザ端末40が通信異常時アクセス可能範囲G2内でアクセスできるようにユーザ端末40の接続を制御する。
When the
ここで、通信の異常に対応する情報とは、第1の認証用装置10と第2の認証用装置20との間の通信が異常である場合に、第2の認証用装置20が中継装置30に向けて送信すると予め決められた情報である。
Here, the information corresponding to the communication abnormality is information that is predetermined to be sent by the
中継装置30は、第2の認証用装置20から認証失敗を受信すると、ユーザ端末40がネットワークにアクセスできないようにユーザ端末40の接続を制御する。
When the
通信正常時アクセス可能範囲G1は、例えば、機密性の高い情報を含むサーバもしくはデータファイルと、機密性の低い情報を含むサーバもしくはデータファイルとの両方とすることができる。また、通信異常時アクセス可能範囲G2は、例えば、機密性の低い情報を含むサーバもしくはデータファイルのみとすることができる。すなわち、通信正常時アクセス可能範囲G1は、通信異常時アクセス可能範囲G2を含むように設定することができる。 The accessible range G1 during normal communication can be, for example, both servers or data files containing highly confidential information and servers or data files containing less confidential information. The accessible range G2 during abnormal communication can be, for example, only servers or data files containing less confidential information. In other words, the accessible range G1 during normal communication can be set to include the accessible range G2 during abnormal communication.
このように設定することで、認証用装置の通信がたとえ異常になったとしても、機密性の低い情報へのアクセスを求めるユーザ端末40に対しては、そのアクセスを許可し、すべてのアクセスが拒絶される事態を回避することができる。すなわち、ネットワークシステムを利用したユーザの活動において、認証用装置の通信異常によりユーザの認証が行えなくなったとしても、セキュリティ上のリスクが低い活動については認めることで、通信異常による影響を抑えることができる。
By setting it up in this way, even if an abnormality occurs in the communication of the authentication device, access can be permitted for a
なお、中継装置30は、例えば、認証スイッチ、ルータ、アクセスポイント、仮想プライベートネットワークサーバ、ダイアルアップサーバ、またはRADIUSプロキシサーバなどである。中継装置30は、RADIUSクライアント、オーセンティケータ(authenticator)などと呼ばれることがある。
The
第1の認証用装置10は、ユーザ端末40から認証に必要なユーザ情報を受信し、認証成否を判定して応答する。
The
より具体的には、第1の認証用装置10は、第1の記憶装置11を有している。第1の認証用装置10は、認証を成功させるべき1または複数の正規ユーザのユーザ情報が予め登録されている登録リストL1を自身の第1の記憶装置11に記憶している。第1の認証用装置10は、ユーザ端末40から中継装置30、第2の認証用装置20を介して、ユーザ情報を受信する。第1の認証用装置10は、受信したユーザ情報を登録リストL1内のユーザ情報と照合することにより、認証成否を判定する。第1の認証用装置10は、その認証成否の結果を、第2の認証用装置20、中継装置を介して、ユーザ端末40に送信する。
More specifically, the
第1の認証用装置10は、例えば、パソコン、サーバなどのコンピュータで構成される。第1の認証用装置10が有する第1の記憶装置11は、例えば、半導体メモリ、磁気ディスク、光ディスクなどで構成される。なお、第1の認証用装置10は、認証サーバ、RADIUSサーバなどと呼ばれることがある。
The
第2の認証用装置20は、ユーザ端末40と第1の認証用装置10との間に介在する。第2の認証用装置20は、中継装置30からユーザ情報を受信し、受信したユーザ情報を第1の認証用装置10に送信する。第2の認証用装置20は、第1の認証用装置10から認証成否の結果を受信し、受信した認証成否の結果を中継装置30に送信する。
The
また、第2の認証用装置20は、第1の認証用装置10との通信に障害が発生しているかを検知する処理、すなわち、第1の認証用装置10との通信の異常を検知する処理を実行する。第2の認証用装置20は、例えば、認証のためにユーザ情報を第1の認証用装置10に送信してから予め定められた一定時間内に、第1の認証用装置10から認証成否の結果の応答がなかった場合に、第1の認証用装置10との通信の異常を検知する。
The
第2の認証用装置20は、認証成功の結果が得られた場合には、認証成功を中継装置30に送信し、認証失敗の結果が得られた場合には、認証失敗を中継装置30に送信する。本実施例では、第2の認証用装置20は、認証成功の結果が得られた場合には、認証成功とともに、後述するVLANID(正常)を中継装置30に送信する。
If the
一方、第2の認証用装置20は、通信の異常を検知している場合には、通信の異常に対応する情報を中継装置30に送信する。本実施例では、第2の認証用装置20は、通信の異常に対応する情報として、認証成功とともに、後述するVLANID(異常)を中継装置30に送信する。ここでの認証成功の送信は、暫定的な認証成功の送信であり、通信の異常が発生している場合であっても、ユーザ端末40に限定された範囲内でネットワークへの接続を認めるための手段である。この手段は、本願が開示する技術における大きな特徴の一つである。
On the other hand, if the
第2の認証用装置20は、例えば、パソコン、サーバなどのコンピュータ等により構成される。
The
本実施形態では、第1の認証用装置10および第2の認証用装置20は、コンピュータで構成されている。第1の認証用装置10を構成するコンピュータと第2の認証用装置20を構成するコンピュータとは、それぞれ、プロセッサと記憶装置とを備えており、その記憶装置に必要なプログラムおよびデータを記憶している。これらのコンピュータは、プロセッサがプログラムを実行することにより、上記の機能を実現したり、上記の処理を実行したりする。
In this embodiment, the
また、中継装置30は、構成要素としてコンピュータを内蔵している。このコンピュータは、プロセッサと記憶装置とを備えており、その記憶装置に必要なプログラムおよびデータを記憶している。このコンピュータは、プロセッサがプログラムを実行することにより、上記機能を実現したり、上記の処理を実行したりする。
The
第1および第2の認証用装置10,20、中継装置30に記憶させるプログラムおよびデータは、ネットワーク管理者により管理者端末70を介して導入される。また、第1および第2の認証用装置10,20、中継装置30の各種設定も、ネットワーク管理者により管理者端末70を介して行われる。
The programs and data to be stored in the first and
第1のサーバ50は、ネットワーク上の1つのサーバであり、例えば、何らかのサービスをユーザ端末40に提供したり、データファイルを格納するデータベースとして機能したりする。本実施形態では、第1のサーバ50は、記憶装置51を有するデータベースとして機能し、記憶装置51には、データファイルF1が格納されているものとする。第1のサーバ50は、アクセスが許可されたユーザ端末40からデータファイルF1の送信要求を受信すると、データファイルF1をユーザ端末40に送信する。
The
第2のサーバ60は、ネットワーク上の1つのサーバであり、例えば、何らかのサービスをユーザ端末40に提供したり、データファイルを格納するデータベースとして機能したりする。本実施形態では、第2のサーバ60は、記憶装置61を有するデータベースとして機能し、記憶装置61には、データファイルF2が格納されているものとする。第2のサーバ60は、アクセスが許可されたユーザ端末40からデータファイルF2の送信要求を受信すると、データファイルF2をユーザ端末40に送信する。
The
図8は、通信正常時及び通信異常時のアクセス可能範囲の設定例を示す図である。本実施例では、図8に示すように、通信正常時アクセス可能範囲G1は、第1のサーバ50および第2のサーバ60とする。なお、通信正常時アクセス可能範囲G1は、ネットワーク上のすべてのサーバとしてもよい。一方、通信異常時アクセス可能範囲G2は、第2のサーバ60とする。
Figure 8 is a diagram showing an example of setting the accessible range during normal communication and during abnormal communication. In this embodiment, as shown in Figure 8, the accessible range G1 during normal communication is the
本実施例では、ユーザ端末40の接続の制御に、VLAN(Virtual Local Area Network)と呼ばれる仮想LANの構築方式を利用する。このVLANの構築方式では、設定されたVLANのID(番号)が同じであるポート同士が1つの仮想的なLANを構築する仕組みである。つまり、ユーザ端末40のポートに、ネットワーク上の特定のサーバのポートに設定されたVLANのIDと同じVLANのIDを設定すれば、ユーザ端末40は、その特定のサーバにアクセスできるようになる。逆に、ユーザ端末40のポートに、ネットワーク上の特定のサーバのポートに設定されたVLANのIDと異なるVLANのIDを設定すれば、ユーザ端末40は、その特定のサーバにアクセスすることはできない。
In this embodiment, a method for constructing a virtual LAN called a Virtual Local Area Network (VLAN) is used to control the connection of the
本実施例では、中継装置30は、上記の通信正常時アクセス可能範囲G1および通信異常時アクセス可能範囲G2として、VLANID(正常)およびVLANID(異常)がそれぞれ設定されるポートを記憶している。
In this embodiment, the
図8の括弧内は、中継装置30の記憶装置31に記憶されているVLANIDの設定テーブルを表している。ここで、VLANID(正常)は、ユーザ端末40の認証が成功した場合に、ユーザ端末40にアクセスを許可したいサーバのポートに設定されるVLANのIDである。また、VLANID(異常)は、第1の認証用装置10と第2の認証用装置20との間の通信が異常である場合に、ユーザ端末40にアクセスを許可したいサーバのポートに設定されるVLANのIDである。VLANID(正常)およびVLANID(異常)は、実際には、例えばVLAN10、VLAN20のように、IDを数字で表したVLANIDが用いられる。
The contents in parentheses in FIG. 8 show the VLANID setting table stored in the
本実施例では、中継装置30は、図8のテーブルにしたがって、VLANID(正常)およびVLANID(異常)を、ネットワーク上の各サーバのポートに予め設定する。また、中継装置30は、第2の認証用装置20から認証成功とともに受信したVLANIDと同じVLANIDを、ユーザ端末40のポートに設定する。
In this embodiment, the
具体的には、中継装置30は、第2の認証用装置20から認証成功とともにVLANID(正常)を受信した場合には、ユーザ端末40のポートにVLANID(正常)を設定する。一方、中継装置30は、第2の認証用装置20から認証成功とともにVLANID(異常)を受信した場合には、ユーザ端末40のポートにVLANID(異常)を設定する。
Specifically, when the
このような仕組みにより、ユーザ端末40は、認証成功した場合には、通信正常時アクセス可能範囲G1、すなわち第1のサーバ50および第2のサーバ60にアクセス可能となる。また、ユーザ端末40は、第1の認証用装置10と第2の認証用装置20との間の通信に異常が発生した場合には、第1のサーバ50にはアクセスできないが、通信異常時アクセス可能範囲G2、すなわち第2のサーバ60にはアクセス可能となる。
By this mechanism, if the authentication is successful, the
なお、タグVLAN方式では、VLANIDは、中継装置30に送信するデータ(フレーム)に元々含まれる情報である。そのため、第2の認証用装置20は、送信するフレームのVLANIDを、状況に応じてVLANID(正常)かVLANID(異常)かを指定するだけでよい。中継装置30にとっても、第2の認証用装置20から受信したVLANIDをそのままユーザ端末40のポートに設定するだけでよい。このように、タグVLAN方式のVLANIDを用いることで、ユーザ端末40の接続の制御を簡便に行うことができる。この点も、本願が開示する技術における大きな特徴の一つである。
In the tagged VLAN method, the VLAN ID is information that is originally included in the data (frame) sent to the
また、本実施例は、VLANの構築方式としてタグVLAN方式を用いた例であるが、ポートVLAN方式を用いても、同様にユーザ端末40の接続の制御を実現できる。ポートVLAN方式の場合、一つのポートに複数のVLANIDを重複して設定することができない。そのため、ポートVLAN方式を用いる場合には、中継装置30は、第2の認証用装置20からVLANID(正常)を受信した場合とVLANID(異常)を受信した場合とで、ネットワーク上の各サーバのポートを設定し直す必要がある。
In addition, this embodiment is an example in which the tag VLAN method is used as the method for constructing the VLAN, but the connection control of the
〈実施形態1に係るネットワークシステムの通信正常時の状態〉
実施形態1に係るネットワークシステムの通信正常時の状態について説明する。
<State of the network system according to the first embodiment when communication is normal>
A state in which communication is normal in the network system according to the first embodiment will be described.
図2は、実施形態1に係るネットワークシステムの通信正常時の状態を示す図である。図2に示すように、第1の認証用装置10と第2の認証用装置20との間の通信が正常である場合には、第2の認証用装置20は、第1の認証用装置10からユーザ情報の認証成否の結果を受信することができる。第2の認証用装置20は、認証成功を受信した場合には、認証成功とともにVLANID(正常)を中継装置30に送信する。一方、第2の認証用装置20は、認証失敗を受信した場合には、認証失敗を中継装置30に送信する。
Figure 2 is a diagram showing a state when communication is normal in the network system according to the first embodiment. As shown in Figure 2, when communication between the
中継装置30は、認証成功を受信した場合には、認証成功とともに受信したVLANID、すなわちVLANID(正常)をユーザ端末40のポートに設定する。この設定により、ユーザ端末40は、通信正常時アクセス可能範囲G1に属するサーバ、すなわち第1のサーバ50および第2のサーバ60にアクセス可能となる。一方、中継装置30は、認証失敗を受信した場合には、ユーザ端末40のポートを閉じた状態に設定する。この設定により、ユーザ端末40は、ネットワーク上のいずれのサーバにもアクセスできない。
When the
〈実施形態1に係るネットワークシステムの通信正常時の処理フロー〉
実施形態1に係るネットワークシステムの通信正常時の処理フローについて説明する。なお、ネットワークシステムの実際の処理フローは、適用する認証プロトコルに従って複雑な情報の送受信が行われる。以下に説明する各処理フローは、本願が提案する技術の理解を容易にするため、簡略化して記載していることに留意されたい。
<Processing flow when communication in the network system according to the first embodiment is normal>
The process flow of the network system according to the first embodiment when communication is normal will be described. Note that the actual process flow of the network system involves sending and receiving complex information in accordance with the authentication protocol applied. Please note that each process flow described below is simplified in order to facilitate understanding of the technology proposed by the present application.
図3は、実施形態1に係るネットワークシステムの通信正常時の処理フローを示す図である。
Figure 3 is a diagram showing the processing flow when communication is normal in the network system according to
図3に示すように、まず、ユーザ端末40が、中継装置30に接続要求Rを送信する(S1)。中継装置30は、ユーザ端末40から接続要求Rを受信すると、ユーザ端末40にユーザ情報送信要求SRを返信する(S2)。ユーザ端末40は、中継装置30からユーザ情報送信要求SRを受信すると、ユーザの入力操作を受けて、ユーザ情報であるIDおよびPWを中継装置30に送信する(S3)。
As shown in FIG. 3, first, the
中継装置30は、ユーザ端末40からIDおよびPWを受信すると、受信されたIDおよびPWを第2の認証用装置20に送信する(S4)。第2の認証用装置20は、中継装置30からIDおよびPWを受信すると、受信されたIDおよびPWを第1の認証用装置10に送信する(S5)。
When the
第1の認証用装置10は、第2の認証用装置20からIDおよびPWを受信すると、受信されたIDおよびPWを登録リストL1内のIDおよびPWと照合して認証判定を行う(S6)。すなわち、第1の認証用装置10は、受信されたIDおよびPWが登録リストL1内にあるか否かを判定し、認証要求元のユーザが正規ユーザであるか否かを識別する。
When the
第1の認証用装置10は、受信されたIDおよびPWが登録リストL1内にあると判定した場合には、認証成功A1を第2の認証用装置20に送信する(S7)。
If the
第2の認証用装置20は、第1の認証用装置10から認証成功A1を受信すると、認証成功A1とともにVLANID(正常)を中継装置30に送信する(S8)。
When the
中継装置30は、第2の認証用装置20から認証成功A1を受信すると、認証成功A1とともに受信したVLANIDであるVLANID(正常)をユーザ端末40のポートに設定する(S9)。本実施例では、図8のテーブルに示すように、VLANID(正常)は、通信正常時アクセス可能範囲G1に属するサーバ、すなわち第1のサーバ50および第2のサーバ60のそれぞれのポートに設定されている。したがって、ユーザ端末40は、同じVLANID(正常)同士でVLANを構成する第1のサーバ50および第2のサーバ60にアクセスできるようになる。中継装置30は、上記設定とともに、ユーザ端末40に認証成功A1を送信する(S10)。
When the
ユーザ端末40は、認証成功A1を受信すると、例えば、中継装置30に、第1のサーバ50に向けたデータファイルF1の送信要求T1を送信する(S11)。第1のサーバ50は、ユーザ端末40と同じID(正常)のVLANに属している。そのため、中継装置30は、送信要求T1を第1のサーバ50に送信する(S12)。第1のサーバ50は、データファイルF1の送信要求T1を受信すると、ユーザ端末40にデータファイルF1を送信する(S13)。
When the
また、ユーザ端末40は、例えば、中継装置30に、第2のサーバ60に向けたデータファイルF2の送信要求T2を送信する(S14)。第2のサーバ60は、ユーザ端末40と同じID(正常)のVLANに属している。そのため、中継装置30は、送信要求T2を第2のサーバ60に送信する(S15)。第2のサーバ60は、データファイルF2の送信要求T2を受信すると、ユーザ端末40にデータファイルF2を送信する(S16)。
The
なお、送信要求T1の送信、送信要求T2の送信、データファイルF1の送受信、およびデータファイルF2の送受信のタイミングは、上記に限定されない。 Note that the timing of sending transmission request T1, sending transmission request T2, sending and receiving data file F1, and sending and receiving data file F2 is not limited to the above.
一方、第1の認証用装置10は、ステップS6の認証判定において、受信されたIDおよびPWが登録リストL1内にないと判定した場合には、認証失敗A2を第2の認証用装置20に送信する(S17)。
On the other hand, if the
第2の認証用装置20は、第1の認証用装置10から認証失敗A2を受信すると、認証失敗A2を中継装置30に送信する(S18)。中継装置30は、認証失敗A2を受信すると、ユーザ端末40のポートを閉じたままの状態にし、ユーザ端末40によるネットワーク上のサーバ等へのアクセスを拒絶する。また、中継装置30は、認証失敗A2をユーザ端末40に送信する(S19)。
When the
〈実施形態1に係るネットワークシステムの通信異常時の状態〉
実施形態1に係るネットワークシステムの通信異常時の状態について説明する。
<State of the network system according to the first embodiment when a communication abnormality occurs>
A state in which a communication abnormality occurs in the network system according to the first embodiment will be described.
図4は、実施形態1に係るネットワークシステムの通信異常時の状態を示す図である。図4に示すように、第1の認証用装置10と第2の認証用装置20との通信が異常である場合には、第1の認証用装置10は、ユーザ情報を受信できない、あるいは認証成否の結果を送信できない。第2の認証用装置20は、認証成否の結果がユーザ情報の送信から一定時間内に受信されないことに基づき、通信の異常を検知する。第2の認証用装置20は、通信の異常を検知している場合には、認証成功とともにVLANID(異常)を中継装置30に送信する。
Figure 4 is a diagram showing the state of the network system according to the first embodiment when a communication abnormality occurs. As shown in Figure 4, when there is an abnormality in the communication between the
中継装置30は、認証成功を受信した場合には、認証成功とともに受信したVLANID、すなわちVLANID(異常)をユーザ端末40のポートに設定する。この設定により、ユーザ端末40は、通信正常時アクセス可能範囲G1に属するサーバ、すなわち第2のサーバ60にアクセス可能となる。
When the
〈実施形態1に係るネットワークシステムの通信異常時の処理フロー〉
実施形態1に係るネットワークシステムの通信異常時の処理フローについて説明する。
<Processing flow when a communication abnormality occurs in the network system according to the first embodiment>
A process flow when a communication abnormality occurs in the network system according to the first embodiment will be described.
図5は、実施形態1に係るネットワークシステムの通信異常時の処理フローを示す図である。 Figure 5 shows the processing flow when a communication abnormality occurs in the network system according to the first embodiment.
図5に示すように、まず、ユーザ端末40が、中継装置30に接続要求Rを送信する(S21)。中継装置30は、ユーザ端末40から接続要求Rを受信すると、ユーザ端末40にユーザ情報送信要求SRを返信する(S22)。ユーザ端末40は、中継装置30からユーザ情報送信要求SRを受信すると、ユーザの入力操作を受けて、IDおよびPWを中継装置30に送信する(S23)。
As shown in FIG. 5, first, the
中継装置30は、ユーザ端末40からIDおよびPWを受信すると、受信されたIDおよびPWを第2の認証用装置20に送信する(S24)。第2の認証用装置20は、中継装置30からIDおよびPWを受信すると、受信されたIDおよびPWを第1の認証用装置10に送信する(S25)。
When the
ここで、本来であれば、第1の認証用装置10は、第2の認証用装置20からIDおよびPWを受信し、受信されたIDおよびPWを登録リストL1内のIDおよびPWと照合することにより、認証成否の判定を行う。
Here, the
しかしながら、第1の認証用装置10と第2の認証用装置20との間の通信に異常が発生している場合には、第1の認証用装置10からの応答がない。第2の認証用装置20は、IDおよびPWを第1の認証用装置10に送信してから一定時間内に応答がないことに基づき、第1の認証用装置10との通信に異常が発生したことを検知する(S26)。
However, if an abnormality occurs in the communication between the
第2の認証用装置20は、通信の異常を検知すると、認証成功A1とともにVLANID(異常)を中継装置30に送信する(S27)。
When the
中継装置30は、第2の認証用装置20から認証成功A1を受信すると、認証成功A1とともに受信したVLANID(異常)をユーザ端末40のポートに設定する。(S28)。本実施例では、図8に示すように、VLANID(異常)は、通信異常時アクセス可能範囲G2に属するサーバ、すなわち第2のサーバ60のポートに設定されている。したがって、ユーザ端末40は、同じVLANID(異常)同士でVLANを構成する第2のサーバ60にアクセスできるようになる。中継装置30は、上記設定とともに、ユーザ端末40に認証成功A1を送信する(S29)。
When the
ユーザ端末40は、認証成功A1を受信すると、例えば、中継装置30に第1のサーバ50に向けたデータファイルF1の送信要求T1を送信する(S30)。しかしながら、第1のサーバ50は、ユーザ端末40と同じIDのVLANに属していないため、中継装置30は、送信要求T1を第1のサーバ50には送らない(S31)。
When the
また、ユーザ端末40は、例えば、中継装置30に、第2のサーバ60に向けたデータファイルF2の送信要求T2を送信する(S32)。第2のサーバ60は、ユーザ端末40と同じID(異常)のVLANに属している。そのため、中継装置30は、送信要求T2を第2のサーバ60に送信する(S33)。第2のサーバ60は、送信要求T2を受信すると、ユーザ端末40にデータファイルF2を送信する(S34)。
The
なお、送信要求T1の送信、送信要求T2の送信、およびデータファイルF2の送受信のタイミングは、上記に限定されない。 Note that the timing of sending transmission request T1, sending transmission request T2, and sending and receiving data file F2 is not limited to the above.
以上、実施形態1に係るネットワークシステム1によれば、第2の認証用装置20は、通信の異常を検知している場合、認証成功A1とともにVLANID(異常)を中継装置30に送信する。中継装置30は、受信したVLANID(異常)をユーザ端末40のポートに設定する。VLANID(異常)は、通信異常時アクセス可能範囲G2に属するサーバのポートに設定されている。したがって、ユーザ端末40は、通信異常時であっても、通信異常時アクセス可能範囲G2に属するサーバあるいはそのサーバに格納されているデータファイルにアクセスすることができる。
As described above, according to the
すなわち、実施形態1によれば、通信異常によってユーザ端末40の認証ができず、ユーザ端末40がネットワークに接続できなくなるという状況を回避し、ユーザ端末40は、設定された範囲内でネットワーク上のサーバ等にアクセスすることが可能になる。
In other words, according to the first embodiment, a situation in which the
また、実施形態1によれば、通信異常時であっても、ネットワークデバイスに認証のためのユーザ情報を別途記憶させるといった、代替認証のための煩雑な作業を不要としつつ、ユーザ端末40は、ネットワーク上のサーバ等にアクセスすることができる。
Furthermore, according to the first embodiment, even when a communication abnormality occurs, the
(実施形態2)
〈実施形態2に係るネットワークシステムの構成〉
図6は、実施形態2に係るネットワークシステムの構成を概略的に示す図である。図6に示すように、実施形態2に係るネットワークシステム2は、実施形態1と比較して、第1の認証用装置10と第2の認証用装置20の機能が一部異なる。第1の認証用装置10は、認証成否の判定は行わず、受信したユーザ情報を登録リストL1内のユーザ情報と照合し、照合結果のみを第2の認証用装置20に送信する。第2の認証用装置20は、第1の認証用装置10から受信した照合結果に基づき、認証成否の判定を行う。つまり、ユーザ情報の照合は、第1の認証用装置10が行うが、認証成否の判定は、第1の認証用装置10ではなく、第2の認証用装置20が行う。その他は、実施形態1と同様である。
(Embodiment 2)
Configuration of the network system according to the second embodiment
FIG. 6 is a diagram showing a schematic configuration of a network system according to the second embodiment. As shown in FIG. 6, the
〈実施形態2に係るネットワークシステムの通信正常時の処理フロー〉
実施形態2に係るネットワークシステムの通信正常時の処理フローについて説明する。
<Processing flow when communication in the network system according to the second embodiment is normal>
A process flow when communication in the network system according to the second embodiment is normal will be described.
図7は、実施形態2に係るネットワークシステムの通信正常時の処理フローを示す図である。図7に示すように、実施形態2では、ステップS41~S45,S48~S56,S58~S59は、図3に示すステップS1~S5,S8~S16,S18~S19と対応している。また、ステップS46では、図3に示すステップS6の認証判定に代えて、照合が行われ、ステップS47では、図3に示すステップS7の認証成功A1の送信に代えて、照合成功V1の送信が行われる。また、ステップS57では、図3に示すステップS17の認証失敗の送信に代えて、照合失敗の送信が行われる。第2の認証用装置20は、受信した照合結果に基づいて認証成否を判定する。その他は、実施形態1と同様である。
Figure 7 is a diagram showing a process flow when communication is normal in the network system according to the second embodiment. As shown in Figure 7, in the second embodiment, steps S41 to S45, S48 to S56, and S58 to S59 correspond to steps S1 to S5, S8 to S16, and S18 to S19 shown in Figure 3. Also, in step S46, instead of the authentication judgment in step S6 shown in Figure 3, a match is performed, and in step S47, instead of the transmission of authentication success A1 in step S7 shown in Figure 3, a match success V1 is transmitted. Also, in step S57, instead of the transmission of authentication failure in step S17 shown in Figure 3, a match failure is transmitted. The
実施形態2に係るネットワークシステムの通信異常時の処理フローは、実施形態1による図5に示す処理フローと同様であるため、説明を省略する。 The processing flow when a communication abnormality occurs in the network system according to the second embodiment is similar to the processing flow shown in FIG. 5 according to the first embodiment, and therefore will not be described.
以上、実施形態2に係るネットワークシステム2は、実施形態1と比較して、第1の認証用装置10がユーザ情報の照合を行い、第2の認証用装置20がその照合の結果に基づき認証の判定を行う点で異なる。一方、中継装置30の動作は、実施形態1と同様である。したがって、実施形態2に係るネットワークシステム2においても、実施形態1と同様の効果が得られる。
As described above, the
(実施形態3)
次に説明するネットワークにおけるアクセス制御方法も本発明の一実施形態である。
(Embodiment 3)
The access control method in a network described next is also one embodiment of the present invention.
本実施形態に係るアクセス制御方法は、ユーザ端末に接続される中継装置と第1の認証用装置との間に第2の認証用装置を介在させたネットワークシステムにおいて、上記中継装置は、上記ユーザ端末からユーザ情報を受信する処理と、受信した上記ユーザ情報を前記第2の認証用装置に送信する処理と、を実行し、上記第2の認証用装置は、上記第1の認証用装置と通信することにより、受信した上記ユーザ情報に基づく認証成否の結果を得るための処理と、上記認証成否の結果が得られた場合に、上記認証成否の結果を上記中継装置に送信する処理と、前記第1の認証用装置との通信の異常を検知する検知処理と、上記検知処理により異常が検知されている場合に、上記通信の異常に対応する情報を上記中継装置に送信する処理と、を実行し、上記中継装置は、上記ユーザ端末の通信異常時アクセス可能範囲が特定される情報を記憶し、上記通信の異常に対応する情報を受信すると、上記ユーザ端末による上記通信異常時アクセス可能範囲へのアクセスが可能となるように上記ユーザ端末の接続を制御する処理を実行する、アクセス制御方法である。 The access control method according to this embodiment is an access control method in a network system in which a second authentication device is interposed between a relay device connected to a user terminal and a first authentication device, the relay device executes a process of receiving user information from the user terminal and a process of transmitting the received user information to the second authentication device, the second authentication device executes a process of obtaining an authentication success/failure result based on the received user information by communicating with the first authentication device, a process of transmitting the authentication success/failure result to the relay device when the authentication success/failure result is obtained, a detection process of detecting an abnormality in communication with the first authentication device, and a process of transmitting information corresponding to the communication abnormality to the relay device when an abnormality is detected by the detection process, the relay device stores information specifying the accessible range of the user terminal when a communication abnormality occurs, and, when the information corresponding to the communication abnormality is received, executes a process of controlling the connection of the user terminal so that the user terminal can access the accessible range when a communication abnormality occurs.
このようなアクセス制御方法によれば、上記実施形態1,2と同様に、通信異常によってユーザ端末の認証ができず、ユーザ端末がネットワークに接続できなくなるという状況を回避し、ユーザ端末は、設定された範囲内でネットワーク上のサーバ等にアクセスすることが可能になる。
According to this access control method, as in the above-mentioned
また、当該アクセス制御方法によれば、通信異常時であっても、ネットワークデバイスに認証のためのユーザ情報を別途記憶させるといった、代替認証のための煩雑な作業を不要としつつ、ユーザ端末は、ネットワーク上のサーバ等にアクセスすることができる。 In addition, according to this access control method, even when a communication abnormality occurs, the user terminal can access a server on the network without the need for cumbersome work for alternative authentication, such as storing user information separately for authentication in the network device.
以上、本発明の各種実施形態について説明したが、本発明は上記した実施形態に限定されるものではなく、様々な変形例が含まれる。また、上記した実施形態は本発明を分かりやすく説明するために詳細に説明したものであり、必ずしも説明した全ての構成を備えるものに限定されるものではない。また、ある実施形態の構成の一部を他の実施形態の構成に置き換えることが可能であり、また、ある実施形態の構成に他の実施形態の構成を加えることも可能である。これらは全て本発明の範疇に属するものである。さらに文中や図中に含まれる数値等もあくまで一例であり、異なるものを用いても本発明の効果を損なうものではない。 Although various embodiments of the present invention have been described above, the present invention is not limited to the above-mentioned embodiments and includes various modified examples. Furthermore, the above-mentioned embodiments have been described in detail to clearly explain the present invention, and are not necessarily limited to those having all of the configurations described. Furthermore, it is possible to replace part of the configuration of one embodiment with the configuration of another embodiment, and it is also possible to add the configuration of another embodiment to the configuration of one embodiment. All of these belong to the scope of the present invention. Furthermore, the numerical values etc. included in the text and figures are merely examples, and the effect of the present invention will not be impaired even if different ones are used.
1,2…ネットワークシステム
10…第1の認証用装置
11…第1の記憶装置
20…第2の認証用装置
30…中継装置
31…中継装置の記憶装置
40…ユーザ端末
50…第1のサーバ
51…第1のサーバの記憶装置
60…第2のサーバ
61…第2のサーバの記憶装置
70…管理者端末
L1…登録リスト
F1,F2…データファイル
R…接続要求
A1…認証成功
A2…認証失敗
SR…送信要求
T1…データファイルF1の送信要求
T2…データファイルF2の送信要求
V1…照合成功
V2…照合失敗
G1…通信正常時アクセス可能範囲
G2…通信異常時アクセス可能範囲
1, 2...
Claims (9)
前記第2の認証用装置は、前記第1の認証用装置と前記中継装置との間に介在し、
前記中継装置は、ユーザ端末と接続され、前記ユーザ端末からユーザ情報を受信して、前記ユーザ情報を前記第2の認証用装置に送信する処理を実行し、
前記第2の認証用装置は、前記第1の認証用装置と通信することにより前記ユーザ情報に基づく認証成否の結果を得るための処理と、
前記認証成否の結果が得られた場合に、前記認証成否の結果を前記中継装置に送信する処理と、
前記第1の認証用装置との通信の異常を検知する検知処理と、
前記検知処理により通信の異常が検知されている場合に、前記通信の異常に対応する情報を前記中継装置に送信する処理と、を実行し、
前記中継装置は、
前記ユーザ端末の通信異常時アクセス可能範囲が特定される情報を記憶しており、
前記通信の異常に対応する情報を受信すると、前記ユーザ端末による前記通信異常時アクセス可能範囲へのアクセスが可能となるように前記ユーザ端末の接続を制御する処理を実行する、
ネットワークシステム。 A first authentication device, a second authentication device, and a relay device,
the second authentication device is interposed between the first authentication device and the relay device,
the relay device is connected to a user terminal, receives user information from the user terminal, and transmits the user information to the second authentication device;
a process in which the second authentication device communicates with the first authentication device to obtain a result of authentication success or failure based on the user information;
a process of transmitting a result of the authentication success or failure to the relay device when the result of the authentication success or failure is obtained;
a detection process for detecting an abnormality in communication with the first authentication device;
When a communication anomaly is detected by the detection process, a process of transmitting information corresponding to the communication anomaly to the relay device is executed;
The relay device is
storing information specifying an accessible range of the user terminal when a communication abnormality occurs;
When receiving the information corresponding to the communication abnormality, a process of controlling a connection of the user terminal is executed so that the user terminal can access the accessible range during the communication abnormality.
Network system.
前記中継装置は、VLANIDを用いて前記ユーザ端末の接続を制御する、
ネットワークシステム。 2. The network system according to claim 1,
The relay device controls the connection of the user terminal using a VLAN ID.
Network system.
前記通信異常時アクセス可能範囲が特定される情報は、前記通信異常時アクセス可能範囲に対応した、ネットワーク上のサーバのポートに設定される第1のVLANIDであり、
前記第2の認証用装置は、前記通信の異常が検知されている場合に、前記通信の異常に対応する情報として前記第1のVLANIDを前記中継装置に送信する処理を実行し、
前記中継装置は、前記第2の認証用装置から受信した前記第1のVLANIDを、前記ユーザ端末のポートに設定する処理を実行する、
ネットワークシステム。 3. The network system according to claim 2,
the information for identifying the accessible range during the communication abnormality is a first VLAN ID that is set to a port of a server on a network corresponding to the accessible range during the communication abnormality,
the second authentication device executes a process of transmitting the first VLAN-ID to the relay device as information corresponding to the communication abnormality when the communication abnormality is detected;
the relay device executes a process of setting the first VLAN ID received from the second authentication device to a port of the user terminal;
Network system.
前記中継装置は、前記ユーザ端末の通信正常時アクセス可能範囲に対応した、前記ネットワーク上のサーバのポートに設定される第2のVLANIDを記憶しており、
前記第2の認証用装置は、前記ユーザ端末の認証成功の結果を得た場合に、前記第2のVLANIDを前記中継装置に送信する処理を実行し、
前記中継装置は、前記第2の認証用装置から受信した前記第2のVLANIDを、前記ユーザ端末のポートに設定する処理を実行する、
ネットワークシステム。 4. The network system according to claim 3,
the relay device stores a second VLAN ID that is set to a port of a server on the network, the second VLAN ID corresponding to an accessible range during normal communication of the user terminal;
the second authentication device executes a process of transmitting the second VLAN ID to the relay device when a result of authentication success of the user terminal is obtained;
the relay device executes a process of setting the second VLAN ID received from the second authentication device to a port of the user terminal.
Network system.
前記通信正常時アクセス可能範囲は、前記通信異常時アクセス可能範囲を含む、
ネットワークシステム。 5. The network system according to claim 4,
The normal communication accessible range includes the abnormal communication accessible range,
Network system.
前記第1の認証用装置は、
認証を成功させるユーザ情報が記憶されている第1の記憶装置を有し、
前記第2の認証用装置から受信されたユーザ情報を前記第1の記憶装置に記憶されているユーザ情報と照合することにより、前記認証成否を判定する処理と、
前記認証成否の結果を前記第2の認証用装置に送信する処理と、を実行する、
ネットワークシステム。 6. The network system according to claim 1,
The first authentication device is
a first storage device in which user information that results in successful authentication is stored;
a process of collating user information received from the second authentication device with user information stored in the first storage device to determine whether the authentication has been successful;
and transmitting a result of the authentication success or failure to the second authentication device.
Network system.
前記第1の認証用装置は、
認証を成功させるユーザ情報が予め記憶されている第1の記憶装置を有し、
前記第2の認証用装置から受信されたユーザ情報を前記第1の記憶装置に記憶されているユーザ情報と照合する照合処理と、
前記照合処理による照合結果を前記第1の認証用装置に送信する処理と、を実行し、
前記第2の認証用装置は、
前記第1の記憶装置から受信した照合結果に基づいて前記認証成否を判定する処理、を実行する、
ネットワークシステム。 6. The network system according to claim 1,
The first authentication device is
a first storage device in which user information that will result in successful authentication is stored in advance;
a verification process for verifying the user information received from the second authentication device with the user information stored in the first storage device;
a process of transmitting a matching result obtained by the matching process to the first authentication device;
The second authentication device is
determining whether the authentication has been successful or not based on the matching result received from the first storage device;
Network system.
前記中継装置は、認証スイッチ、ルータ、アクセスポイント、仮想プライベートネットワークサーバ、ダイアルアップサーバ、またはRADIUSプロキシサーバである、
ネットワークシステム。 The network system according to any one of claims 1 to 7,
The relay device is an authentication switch, a router, an access point, a virtual private network server, a dial-up server, or a RADIUS proxy server.
Network system.
前記中継装置は、
前記ユーザ端末からユーザ情報を受信する処理と、
受信した前記ユーザ情報を前記第2の認証用装置に送信する処理と、を実行し、
前記第2の認証用装置は、
前記第1の認証用装置と通信することにより、受信した前記ユーザ情報に基づく認証成否の結果を得るための処理と、
前記認証成否の結果が得られた場合に、前記認証成否の結果を前記中継装置に送信する処理と、
前記第1の認証用装置との通信の異常を検知する検知処理と、
前記検知処理により通信の異常が検知されている場合に、前記通信の異常に対応する情報を前記中継装置に送信する処理と、を実行し、
前記中継装置は、
前記ユーザ端末の通信異常時アクセス可能範囲が特定される情報を記憶し、
前記通信の異常に対応する情報を受信すると、前記ユーザ端末による前記通信異常時アクセス可能範囲へのアクセスが可能となるように前記ユーザ端末の接続を制御する処理を実行する、
アクセス制御方法。 In a network system in which a second authentication device is interposed between a relay device connected to a user terminal and a first authentication device,
The relay device is
receiving user information from the user terminal;
transmitting the received user information to the second authentication device;
The second authentication device is
A process of obtaining a result of authentication success or failure based on the received user information by communicating with the first authentication device;
a process of transmitting a result of the authentication success or failure to the relay device when the result of the authentication success or failure is obtained;
a detection process for detecting an abnormality in communication with the first authentication device;
When a communication anomaly is detected by the detection process, a process of transmitting information corresponding to the communication anomaly to the relay device is executed;
The relay device is
storing information specifying an accessible range of the user terminal when a communication abnormality occurs;
When receiving the information corresponding to the communication abnormality, a process of controlling a connection of the user terminal is executed so that the user terminal can access the accessible range during the communication abnormality.
Access control methods.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2021211084A JP7540992B2 (en) | 2021-12-24 | 2021-12-24 | Network system and access control method |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2021211084A JP7540992B2 (en) | 2021-12-24 | 2021-12-24 | Network system and access control method |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2023095286A JP2023095286A (en) | 2023-07-06 |
JP7540992B2 true JP7540992B2 (en) | 2024-08-27 |
Family
ID=87002801
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2021211084A Active JP7540992B2 (en) | 2021-12-24 | 2021-12-24 | Network system and access control method |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP7540992B2 (en) |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2008299782A (en) | 2007-06-04 | 2008-12-11 | Mitsubishi Electric Information Systems Corp | Authentication system and program |
JP2011238162A (en) | 2010-05-13 | 2011-11-24 | Fujitsu Ltd | Network device and terminal device |
JP2017011516A (en) | 2015-06-23 | 2017-01-12 | Necプラットフォームズ株式会社 | Network equipment, authentication system, and authentication method |
US10360366B1 (en) | 2017-09-15 | 2019-07-23 | Symantec Corporation | Systems and methods for providing two-factor authentication with an enterprise gateway when an authentication server is unavailable |
-
2021
- 2021-12-24 JP JP2021211084A patent/JP7540992B2/en active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2008299782A (en) | 2007-06-04 | 2008-12-11 | Mitsubishi Electric Information Systems Corp | Authentication system and program |
JP2011238162A (en) | 2010-05-13 | 2011-11-24 | Fujitsu Ltd | Network device and terminal device |
JP2017011516A (en) | 2015-06-23 | 2017-01-12 | Necプラットフォームズ株式会社 | Network equipment, authentication system, and authentication method |
US10360366B1 (en) | 2017-09-15 | 2019-07-23 | Symantec Corporation | Systems and methods for providing two-factor authentication with an enterprise gateway when an authentication server is unavailable |
Also Published As
Publication number | Publication date |
---|---|
JP2023095286A (en) | 2023-07-06 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10083290B2 (en) | Hardware-based device authentication | |
US8001610B1 (en) | Network defense system utilizing endpoint health indicators and user identity | |
US9763094B2 (en) | Methods, devices and systems for dynamic network access administration | |
US12132733B2 (en) | Method and device for determining network device status | |
US20170374551A1 (en) | Method for connecting network access device to wireless network access point, network access device, and application server | |
US11405378B2 (en) | Post-connection client certificate authentication | |
WO2022247751A1 (en) | Method, system and apparatus for remotely accessing application, device, and storage medium | |
EP1760988A1 (en) | Multi-level and multi-factor security credentials management for network element authentication | |
JPWO2009087702A1 (en) | Virtual machine execution program, user authentication program, and information processing apparatus | |
CN101986598B (en) | Authentication method, server and system | |
EP2978192B1 (en) | Peer to peer remote control method between one or more mobile devices | |
US20170238236A1 (en) | Mac address-bound wlan password | |
US8272043B2 (en) | Firewall control system | |
US10873497B2 (en) | Systems and methods for maintaining communication links | |
CN115486030A (en) | Rogue certificate detection | |
US11522702B1 (en) | Secure onboarding of computing devices using blockchain | |
KR20170054260A (en) | Method and apparatus for secure access of a service via customer premise equipment | |
JP7540992B2 (en) | Network system and access control method | |
JP2008250446A (en) | Communication terminal and communication program | |
KR102001996B1 (en) | System for managing access control based on agent | |
JP7540991B2 (en) | Network system and network authentication method | |
US11848824B2 (en) | Distributed auto discovery service | |
Ahmed | Balancing security and usability in Web Single Sign-On | |
JP2010136014A (en) | Mac address automatic authentication system | |
KR20240048158A (en) | Method and system for controlling federation policy based on zta for enterprise wireless network infrastructure |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20230721 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20240719 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20240730 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20240815 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 7540992 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |