[go: up one dir, main page]
More Web Proxy on the site http://driver.im/

JP7540992B2 - Network system and access control method - Google Patents

Network system and access control method Download PDF

Info

Publication number
JP7540992B2
JP7540992B2 JP2021211084A JP2021211084A JP7540992B2 JP 7540992 B2 JP7540992 B2 JP 7540992B2 JP 2021211084 A JP2021211084 A JP 2021211084A JP 2021211084 A JP2021211084 A JP 2021211084A JP 7540992 B2 JP7540992 B2 JP 7540992B2
Authority
JP
Japan
Prior art keywords
authentication
user terminal
authentication device
communication
relay device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2021211084A
Other languages
Japanese (ja)
Other versions
JP2023095286A (en
Inventor
涼 古橋
秀隆 益子
馨 江藤
Original Assignee
エイチ・シー・ネットワークス株式会社
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by エイチ・シー・ネットワークス株式会社 filed Critical エイチ・シー・ネットワークス株式会社
Priority to JP2021211084A priority Critical patent/JP7540992B2/en
Publication of JP2023095286A publication Critical patent/JP2023095286A/en
Application granted granted Critical
Publication of JP7540992B2 publication Critical patent/JP7540992B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明は、ネットワークシステムおよびアクセス制御方法に関する。 The present invention relates to a network system and an access control method.

ユーザの認証が行われるネットワークシステムの一例として、ユーザ端末と、認証スイッチ等の中継装置と、認証用装置とを含むネットワークシステムが知られている。当該システムでは、認証用装置が、正規ユーザのユーザ情報(認証情報)を記憶している。ユーザ端末は、ネットワークへ接続するのに必要な認証を得るために、ユーザ情報を中継装置に送信する。中継装置は、認証用装置にユーザ情報を送信する。認証用装置は、中継装置からユーザ情報を受信し、受信したユーザ情報を正規ユーザのユーザ情報と照合し、合致すれば認証成功を表す情報を中継装置に送信する。中継装置は、認証成功の情報を受信すると、ユーザ端末にネットワークへの接続を許可し、ユーザ端末は、ネットワーク上のサーバへアクセスすることができるようになる。 One example of a network system in which user authentication is performed is a network system that includes a user terminal, a relay device such as an authentication switch, and an authentication device. In this system, the authentication device stores user information (authentication information) of authorized users. The user terminal transmits the user information to the relay device to obtain the authentication required to connect to the network. The relay device transmits the user information to the authentication device. The authentication device receives the user information from the relay device, compares the received user information with the user information of the authorized user, and if there is a match, transmits information indicating successful authentication to the relay device. When the relay device receives the information indicating successful authentication, it allows the user terminal to connect to the network, and the user terminal becomes able to access servers on the network.

ところで、このようなネットワークシステムにおいて、認証用装置との通信に異常が発生すると、ユーザ端末の認証ができなくなる。このような背景の下、認証用装置との通信に異常が発生した場合であっても認証を可能にする技術が検討されている。 However, in such a network system, if an abnormality occurs in communication with the authentication device, the user terminal cannot be authenticated. Against this background, technology that enables authentication even when an abnormality occurs in communication with the authentication device is being considered.

例えば、特許文献1は、複合機が認証サーバと接続できないときに、複合機に設けた代替認証機能によって認証を行う複合機制御システムを開示している。 For example, Patent Document 1 discloses a multifunction device control system that performs authentication using an alternative authentication function provided in the multifunction device when the multifunction device cannot connect to an authentication server.

特開2011-095793号公報JP 2011-095793 A

特許文献1により開示された技術によれば、代替認証機能を有する機器に、認証に必要なユーザ情報を予め記憶させる作業が必要になる。また、認証に必要なユーザ情報に変更が生じた場合には、認証サーバが記憶するユーザ情報だけでなく、代替認証機能を有する機器が記憶するユーザ情報をも更新する作業が必要になる。このように、代替認証機能を有する機器にユーザ情報を記憶させたり、記憶するユーザ情報を更新したりする作業は非常に煩雑であり、管理コストも増大する。 According to the technology disclosed in Patent Document 1, it is necessary to store the user information required for authentication in advance in the device with the alternative authentication function. Furthermore, if a change occurs in the user information required for authentication, it is necessary to update not only the user information stored in the authentication server, but also the user information stored in the device with the alternative authentication function. In this way, the work of storing user information in the device with the alternative authentication function and updating the stored user information is very complicated, and management costs also increase.

上記事情により、認証用装置との通信に異常が発生した場合であっても、煩雑な作業を不要としつつ、ユーザ端末がネットワーク上のサーバあるいはデータファイルにアクセスすることができる技術が望まれている。 Due to the above circumstances, there is a demand for technology that allows a user terminal to access a server or data file on a network without the need for complicated operations, even if an abnormality occurs in communication with the authentication device.

一実施形態によるネットワークシステムは、第1の認証用装置と、第2の認証用装置と、中継装置とを備え、前記第2の認証用装置は、前記第1の認証用装置と前記中継装置との間に介在し、前記中継装置は、ユーザ端末と接続され、前記ユーザ端末からユーザ情報を受信して、前記ユーザ情報を前記第2の認証用装置に送信する処理を実行し、前記第2の認証用装置は、前記第1の認証用装置と通信することにより前記ユーザ情報に基づく認証成否の結果を得るための処理と、前記認証成否の結果が得られた場合に、前記認証成否の結果を前記中継装置に送信する処理と、前記第1の認証用装置との通信の異常を検知する検知処理と、前記検知処理により通信の異常が検知されている場合に、前記通信の異常に対応する情報を前記中継装置に送信する処理と、を実行し、前記中継装置は、前記ユーザ端末の通信異常時アクセス可能範囲が特定される情報を記憶しており、前記通信の異常に対応する情報を受信すると、前記ユーザ端末による前記通信異常時アクセス可能範囲へのアクセスが可能となるように前記ユーザ端末の接続を制御する処理を実行する。ここで「通信異常時」とは、「通信障害など通信に異常が発生している場合」を意味する。 A network system according to one embodiment includes a first authentication device, a second authentication device, and a relay device. The second authentication device is interposed between the first authentication device and the relay device. The relay device is connected to a user terminal and receives user information from the user terminal and transmits the user information to the second authentication device. The second authentication device performs a process of obtaining an authentication success/failure result based on the user information by communicating with the first authentication device, a process of transmitting the authentication success/failure result to the relay device when the authentication success/failure result is obtained, a detection process of detecting an abnormality in communication with the first authentication device, and a process of transmitting information corresponding to the communication abnormality to the relay device when a communication abnormality is detected by the detection process. The relay device stores information that specifies the accessible range of the user terminal when a communication abnormality occurs, and, when receiving the information corresponding to the communication abnormality, performs a process of controlling the connection of the user terminal so that the user terminal can access the accessible range when a communication abnormality occurs. Here, "when there is a communication abnormality" means "when there is a communication abnormality such as a communication failure."

一実施形態によれば、ネットワークシステムにおいて、認証用装置との通信に異常が発生した場合であっても、煩雑な作業を不要としつつ、ユーザ端末がネットワーク上のサーバあるいはデータファイルにアクセスすることができる。 According to one embodiment, even if an abnormality occurs in communication with an authentication device in a network system, a user terminal can access a server or data file on the network without the need for complicated operations.

実施形態1に係るネットワークシステムの構成を概略的に示す図である。1 is a diagram illustrating a schematic configuration of a network system according to a first embodiment. 実施形態1に係るネットワークシステムの通信正常時の状態を示す図である。FIG. 2 is a diagram showing a state when communication is normal in the network system according to the first embodiment; 実施形態1に係るネットワークシステムの通信正常時の処理フローを示す図である。FIG. 4 is a diagram showing a process flow when communication is normal in the network system according to the first embodiment. 実施形態1に係るネットワークシステムの通信異常時の状態を示す図である。FIG. 2 is a diagram illustrating a state in which a communication abnormality occurs in the network system according to the first embodiment. 実施形態1に係るネットワークシステムの通信異常時処理フローを示す図である。FIG. 4 is a diagram showing a process flow when a communication abnormality occurs in the network system according to the first embodiment. 実施形態2に係るネットワークシステムの構成を概略的に示す図である。FIG. 11 is a diagram illustrating a schematic configuration of a network system according to a second embodiment. 実施形態2に係るネットワークシステムの通信正常時の処理フローを示す図である。FIG. 11 is a diagram showing a process flow when communication is normal in the network system according to the second embodiment. 通信正常時及び通信異常時のアクセス可能範囲の設定例を示す図である。11A and 11B are diagrams illustrating examples of settings of an accessible range during normal communication and during abnormal communication.

これより、実施形態について説明する。なお、以下で説明する各実施形態は、本願発明を実現するための一例であり、本願発明の技術範囲を限定するものではない。また、以下の各実施形態において、同一の機能を有する構成要素には同一の符号を付し、その繰り返しの説明は、特に必要な場合を除き省略する。 Now, we will explain the embodiments. Note that each embodiment described below is an example for realizing the present invention, and does not limit the technical scope of the present invention. Furthermore, in each embodiment below, components having the same function are given the same reference numerals, and repeated explanations will be omitted unless particularly necessary.

以下に説明する各実施形態に係るネットワークシステムの基本的な構成および機能は、下記の通りである。ネットワークシステムは、第1の認証用装置と、第2の認証用装置と、中継装置とを備えている。第2の認証用装置は、第1の認証用装置と中継装置との間に介在している。中継装置は、ユーザ端末と接続され、ユーザ端末から接続要求を受信するとユーザ情報の送信要求を送信し、ユーザ情報を受信するとそのユーザ情報を第2の認証用装置に送信する。第2の認証用装置は、第1の認証用装置と通信することにより、受信したユーザ情報に基づく認証成否の結果を得るための処理を実行し、認証成否の結果が得られた場合に、認証成否の結果を中継装置に送信する。 The basic configuration and functions of the network system according to each embodiment described below are as follows. The network system includes a first authentication device, a second authentication device, and a relay device. The second authentication device is interposed between the first authentication device and the relay device. The relay device is connected to a user terminal, and when it receives a connection request from the user terminal, it transmits a request to transmit user information, and when it receives user information, it transmits the user information to the second authentication device. The second authentication device communicates with the first authentication device, and executes a process to obtain the result of authentication success or failure based on the received user information, and when the result of authentication success or failure is obtained, it transmits the result of authentication success or failure to the relay device.

なお、上記した、第1の認証用装置と通信することにより前記ユーザ情報に基づく認証成否の結果を得る処理は、例えば次の2つの実施形態を考えることができる。 The above-mentioned process of obtaining the result of authentication success or failure based on the user information by communicating with the first authentication device can be implemented in the following two ways, for example.

実施形態1では、第1の認証用装置が、認証を成功させるべきユーザ情報を記憶している。第1の認証用装置は、第2の認証用装置から受信したユーザ端末からのユーザ情報を、自身が記憶しているユーザ情報と照合し、その照合結果に基づいて認証成否を判定し、認証成否の結果を第2の認証用装置に送信する。第2の認証用装置は、第1の認証用装置から認証成否の結果を受信して得る。 In the first embodiment, the first authentication device stores user information for which authentication should be successful. The first authentication device compares the user information from the user terminal received from the second authentication device with the user information stored in itself, determines whether authentication is successful based on the comparison result, and transmits the result of authentication success or failure to the second authentication device. The second authentication device receives the result of authentication success or failure from the first authentication device.

実施形態2では、第1の認証用装置が、認証を成功させるべきユーザ情報を記憶している。第1の認証用装置は、第2の認証用装置から受信したユーザ端末からのユーザ情報を、自身が記憶しているユーザ情報と照合し、その照合結果を第2の認証用装置に送信する。第2の認証用装置は、第1の認証用装置から受信した照合結果に基づいて認証成否を判定し、認証成否の結果を得る。 In the second embodiment, the first authentication device stores user information for which authentication should be successful. The first authentication device compares the user information received from the user terminal by the second authentication device with the user information stored in the first authentication device, and transmits the comparison result to the second authentication device. The second authentication device determines whether authentication is successful or not based on the comparison result received from the first authentication device, and obtains a result of authentication success or failure.

また、各実施形態に係るネットワークシステムの主な特徴は、下記の通りである。第2の認証用装置は、第1の認証用装置との通信の異常を検知する検知処理と、検知処理により異常が検知されている場合に、通信の異常に対応する情報を中継装置に送信する処理と、を実行する。中継装置は、ユーザ端末の通信異常時アクセス可能範囲が特定される情報を記憶しており、通信の異常に対応する情報を受信すると、ユーザ端末による通信異常時アクセス可能範囲へのアクセスが可能となるように、ユーザ端末の接続を制御する処理を実行する。 The main features of the network system according to each embodiment are as follows. The second authentication device executes a detection process to detect an abnormality in communication with the first authentication device, and a process to transmit information corresponding to the communication abnormality to the relay device when an abnormality is detected by the detection process. The relay device stores information specifying the accessible range of the user terminal when the communication abnormality occurs, and upon receiving the information corresponding to the communication abnormality, executes a process to control the connection of the user terminal so that the user terminal can access the accessible range when the communication abnormality occurs.

(実施形態1)
〈実施形態1に係るネットワークシステムの構成〉
図1は、実施形態1に係るネットワークシステムの構成を概略的に示す図である。図1に示すように、実施形態1に係るネットワークシステム1は、第1の認証用装置10、第2の認証用装置20、中継装置30、ユーザ端末40、第1のサーバ50、第2のサーバ60、および管理者端末70を備えている。
(Embodiment 1)
Configuration of the network system according to the first embodiment
Fig. 1 is a diagram illustrating a schematic configuration of a network system according to embodiment 1. As illustrated in Fig. 1, the network system 1 according to embodiment 1 includes a first authentication device 10, a second authentication device 20, a relay device 30, a user terminal 40, a first server 50, a second server 60, and an administrator terminal 70.

第1の認証用装置10と第2の認証用装置20とは接続されている。中継装置30には、第2の認証用装置20、ユーザ端末40、第1のサーバ50、第2のサーバ60、および管理者端末70が接続されている。なお、上記の接続は、相互に通信が可能となる接続であり、有線接続であってもよいし、無線接続であってもよい。 The first authentication device 10 and the second authentication device 20 are connected. The second authentication device 20, the user terminal 40, the first server 50, the second server 60, and the administrator terminal 70 are connected to the relay device 30. Note that the above connections are connections that enable mutual communication, and may be wired connections or wireless connections.

ユーザ端末40は、ユーザがネットワークへの接続に用いる端末である。ユーザ端末40は、ネットワークへの接続要求を表す情報(以下、単に「接続要求」と記載する場合がある)と、認証に必要なユーザ情報とを、中継装置30に送信する。また、ユーザ端末40は、第2の認証用装置20から、中継装置30を介して、第1の認証用装置10によって判定された認証成否の結果を表す情報(以下、単に「認証成否の結果」と記載する場合がある)を受信する。 The user terminal 40 is a terminal that a user uses to connect to a network. The user terminal 40 transmits information representing a request to connect to the network (hereinafter, may be simply referred to as a "connection request") and user information required for authentication to the relay device 30. The user terminal 40 also receives information representing the result of authentication success or failure determined by the first authentication device 10 from the second authentication device 20 via the relay device 30 (hereinafter, may be simply referred to as the "result of authentication success or failure").

ユーザ情報は、例えば、アイディー(以下、「ID」と記載する場合がある)、パスワード(以下、「PW」と記載する場合がある)、およびMAC(Media Access Control)アドレス(以下、「MAC」と記載する場合がある)などを含む。ユーザ端末40は、例えば、パソコン、スマートフォン、タブレット端末などである。なお、ユーザ端末40は、クライアント端末、認証クライアント、サプリカントなどと呼ばれることがある。 The user information includes, for example, an identity (hereinafter sometimes referred to as "ID"), a password (hereinafter sometimes referred to as "PW"), and a media access control (MAC) address (hereinafter sometimes referred to as "MAC"). The user terminal 40 is, for example, a personal computer, a smartphone, a tablet terminal, etc. The user terminal 40 may also be called a client terminal, an authentication client, a supplicant, etc.

管理者端末70は、ネットワークシステムの管理者が、ネットワークシステム1への接続に用いる端末である。管理者は、ネットワークシステム1を総合的に管理するが、例えば、第1の認証用装置10、第2の認証用装置20、および中継装置30の設定等を管理する。管理者は、管理者端末70を介して、第1の認証用装置10、第2の認証用装置20、あるいは中継装置30にアクセスし、これらの装置が、後述する機能を有したり後述する処理を実行したりするように、必要な操作を行う。この必要な操作は、例えば、プログラムをインストールあるいは変更したり、データを格納あるいは変更したりすることである。管理者端末70は、例えば、サーバ、パソコン、スマートフォン、あるいはタブレット端末などで構成される。 The administrator terminal 70 is a terminal used by the administrator of the network system to connect to the network system 1. The administrator manages the network system 1 overall, for example, managing the settings of the first authentication device 10, the second authentication device 20, and the relay device 30. The administrator accesses the first authentication device 10, the second authentication device 20, or the relay device 30 via the administrator terminal 70, and performs the necessary operations so that these devices have the functions described below and execute the processes described below. These necessary operations include, for example, installing or changing programs, and storing or changing data. The administrator terminal 70 is composed of, for example, a server, a personal computer, a smartphone, or a tablet terminal.

なお、中継装置30は、ユーザ端末40と第2の認証用装置20との間で情報の送受信を中継する。中継装置30は、ユーザ端末40から、ネットワークへの接続要求を受信すると、まず認証に必要なユーザ情報の送信要求を表す情報(以下、単に「ユーザ情報送信要求」と記載する場合がある)をユーザ端末40に送信する。 The relay device 30 relays the transmission and reception of information between the user terminal 40 and the second authentication device 20. When the relay device 30 receives a connection request to the network from the user terminal 40, it first transmits information representing a request to transmit user information required for authentication (hereinafter, sometimes simply referred to as a "user information transmission request") to the user terminal 40.

中継装置30は、ユーザ端末40からユーザ情報を受信すると、受信されたユーザ情報を第2の認証用装置20に送信する。また、中継装置30は、第2の認証用装置20から認証成功を表す情報(以下、単に「認証成功」と記載する場合がある)を受信すると、認証成功をユーザ端末40に送信する。中継装置30は、第2の認証用装置20から認証失敗を表す情報(以下、単に「認証失敗」と記載する場合がある)を受信すると、認証失敗をユーザ端末40に送信する。 When the relay device 30 receives user information from the user terminal 40, it transmits the received user information to the second authentication device 20. Furthermore, when the relay device 30 receives information indicating successful authentication from the second authentication device 20 (hereinafter, sometimes simply referred to as "successful authentication"), it transmits successful authentication to the user terminal 40. When the relay device 30 receives information indicating unsuccessful authentication from the second authentication device 20 (hereinafter, sometimes simply referred to as "unsuccessful authentication"), it transmits unsuccessful authentication to the user terminal 40.

中継装置30は、記憶装置31を有している。記憶装置31には、通信正常時アクセス可能範囲G1が特定される情報と、通信異常時アクセス可能範囲G2が特定される情報とを記憶している。通信正常時アクセス可能範囲G1は、第1の認証用装置10と第2の認証用装置20との通信が正常であり、ユーザ端末の認証が成功した場合に、ユーザ端末40がアクセス可能となるように規定される範囲である。また、通信異常時アクセス可能範囲G2は、第1の認証用装置10と第2の認証用装置20との通信が異常である場合に、ユーザ端末40がアクセス可能となるように規定される範囲である。 The relay device 30 has a storage device 31. The storage device 31 stores information specifying an accessible range G1 during normal communication and information specifying an accessible range G2 during abnormal communication. The accessible range G1 during normal communication is a range that is defined as being accessible by the user terminal 40 when communication between the first authentication device 10 and the second authentication device 20 is normal and authentication of the user terminal is successful. The accessible range G2 during abnormal communication is a range that is defined as being accessible by the user terminal 40 when communication between the first authentication device 10 and the second authentication device 20 is abnormal.

中継装置30は、第2の認証用装置20から認証成功を受信すると、ユーザ端末40が通信正常時アクセス可能範囲G1内でアクセスできるようにユーザ端末40の接続を制御する。また、中継装置30は、第2の認証用装置20から通信の異常に対応した情報を受信すると、ユーザ端末40が通信異常時アクセス可能範囲G2内でアクセスできるようにユーザ端末40の接続を制御する。 When the relay device 30 receives a successful authentication from the second authentication device 20, it controls the connection of the user terminal 40 so that the user terminal 40 can access within the accessible range G1 during normal communication. Also, when the relay device 30 receives information corresponding to a communication abnormality from the second authentication device 20, it controls the connection of the user terminal 40 so that the user terminal 40 can access within the accessible range G2 during abnormal communication.

ここで、通信の異常に対応する情報とは、第1の認証用装置10と第2の認証用装置20との間の通信が異常である場合に、第2の認証用装置20が中継装置30に向けて送信すると予め決められた情報である。 Here, the information corresponding to the communication abnormality is information that is predetermined to be sent by the second authentication device 20 to the relay device 30 when the communication between the first authentication device 10 and the second authentication device 20 is abnormal.

中継装置30は、第2の認証用装置20から認証失敗を受信すると、ユーザ端末40がネットワークにアクセスできないようにユーザ端末40の接続を制御する。 When the relay device 30 receives a failure to authenticate from the second authentication device 20, it controls the connection of the user terminal 40 so that the user terminal 40 cannot access the network.

通信正常時アクセス可能範囲G1は、例えば、機密性の高い情報を含むサーバもしくはデータファイルと、機密性の低い情報を含むサーバもしくはデータファイルとの両方とすることができる。また、通信異常時アクセス可能範囲G2は、例えば、機密性の低い情報を含むサーバもしくはデータファイルのみとすることができる。すなわち、通信正常時アクセス可能範囲G1は、通信異常時アクセス可能範囲G2を含むように設定することができる。 The accessible range G1 during normal communication can be, for example, both servers or data files containing highly confidential information and servers or data files containing less confidential information. The accessible range G2 during abnormal communication can be, for example, only servers or data files containing less confidential information. In other words, the accessible range G1 during normal communication can be set to include the accessible range G2 during abnormal communication.

このように設定することで、認証用装置の通信がたとえ異常になったとしても、機密性の低い情報へのアクセスを求めるユーザ端末40に対しては、そのアクセスを許可し、すべてのアクセスが拒絶される事態を回避することができる。すなわち、ネットワークシステムを利用したユーザの活動において、認証用装置の通信異常によりユーザの認証が行えなくなったとしても、セキュリティ上のリスクが低い活動については認めることで、通信異常による影響を抑えることができる。 By setting it up in this way, even if an abnormality occurs in the communication of the authentication device, access can be permitted for a user terminal 40 that is requesting access to low confidentiality information, and a situation in which all access is denied can be avoided. In other words, in the case of a user's activities using the network system, even if the user cannot be authenticated due to a communication abnormality in the authentication device, activities with low security risks can be permitted, thereby reducing the impact of the communication abnormality.

なお、中継装置30は、例えば、認証スイッチ、ルータ、アクセスポイント、仮想プライベートネットワークサーバ、ダイアルアップサーバ、またはRADIUSプロキシサーバなどである。中継装置30は、RADIUSクライアント、オーセンティケータ(authenticator)などと呼ばれることがある。 The relay device 30 may be, for example, an authentication switch, a router, an access point, a virtual private network server, a dial-up server, or a RADIUS proxy server. The relay device 30 may also be called a RADIUS client or an authenticator.

第1の認証用装置10は、ユーザ端末40から認証に必要なユーザ情報を受信し、認証成否を判定して応答する。 The first authentication device 10 receives user information required for authentication from the user terminal 40, determines whether the authentication was successful, and responds.

より具体的には、第1の認証用装置10は、第1の記憶装置11を有している。第1の認証用装置10は、認証を成功させるべき1または複数の正規ユーザのユーザ情報が予め登録されている登録リストL1を自身の第1の記憶装置11に記憶している。第1の認証用装置10は、ユーザ端末40から中継装置30、第2の認証用装置20を介して、ユーザ情報を受信する。第1の認証用装置10は、受信したユーザ情報を登録リストL1内のユーザ情報と照合することにより、認証成否を判定する。第1の認証用装置10は、その認証成否の結果を、第2の認証用装置20、中継装置を介して、ユーザ端末40に送信する。 More specifically, the first authentication device 10 has a first storage device 11. The first authentication device 10 stores in its first storage device 11 a registration list L1 in which user information of one or more legitimate users who should be successfully authenticated is preregistered. The first authentication device 10 receives user information from the user terminal 40 via the relay device 30 and the second authentication device 20. The first authentication device 10 determines whether authentication has been successful by comparing the received user information with the user information in the registration list L1. The first authentication device 10 transmits the result of authentication success or failure to the user terminal 40 via the second authentication device 20 and the relay device.

第1の認証用装置10は、例えば、パソコン、サーバなどのコンピュータで構成される。第1の認証用装置10が有する第1の記憶装置11は、例えば、半導体メモリ、磁気ディスク、光ディスクなどで構成される。なお、第1の認証用装置10は、認証サーバ、RADIUSサーバなどと呼ばれることがある。 The first authentication device 10 is composed of a computer such as a personal computer or a server. The first storage device 11 possessed by the first authentication device 10 is composed of a semiconductor memory, a magnetic disk, an optical disk, etc. The first authentication device 10 may be called an authentication server, a RADIUS server, etc.

第2の認証用装置20は、ユーザ端末40と第1の認証用装置10との間に介在する。第2の認証用装置20は、中継装置30からユーザ情報を受信し、受信したユーザ情報を第1の認証用装置10に送信する。第2の認証用装置20は、第1の認証用装置10から認証成否の結果を受信し、受信した認証成否の結果を中継装置30に送信する。 The second authentication device 20 is interposed between the user terminal 40 and the first authentication device 10. The second authentication device 20 receives user information from the relay device 30 and transmits the received user information to the first authentication device 10. The second authentication device 20 receives the result of authentication success or failure from the first authentication device 10 and transmits the received result of authentication success or failure to the relay device 30.

また、第2の認証用装置20は、第1の認証用装置10との通信に障害が発生しているかを検知する処理、すなわち、第1の認証用装置10との通信の異常を検知する処理を実行する。第2の認証用装置20は、例えば、認証のためにユーザ情報を第1の認証用装置10に送信してから予め定められた一定時間内に、第1の認証用装置10から認証成否の結果の応答がなかった場合に、第1の認証用装置10との通信の異常を検知する。 The second authentication device 20 also executes a process to detect whether a failure has occurred in communication with the first authentication device 10, i.e., a process to detect an abnormality in communication with the first authentication device 10. The second authentication device 20 detects an abnormality in communication with the first authentication device 10, for example, when there is no response from the first authentication device 10 indicating whether the authentication was successful or not within a predetermined period of time after sending user information to the first authentication device 10 for authentication.

第2の認証用装置20は、認証成功の結果が得られた場合には、認証成功を中継装置30に送信し、認証失敗の結果が得られた場合には、認証失敗を中継装置30に送信する。本実施例では、第2の認証用装置20は、認証成功の結果が得られた場合には、認証成功とともに、後述するVLANID(正常)を中継装置30に送信する。 If the second authentication device 20 obtains a result of authentication success, it transmits a notification of authentication success to the relay device 30, and if the second authentication device 20 obtains a result of authentication failure, it transmits a notification of authentication failure to the relay device 30. In this embodiment, if the second authentication device 20 obtains a result of authentication success, it transmits a VLAN ID (normal) to be described later to the relay device 30 together with the notification of authentication success.

一方、第2の認証用装置20は、通信の異常を検知している場合には、通信の異常に対応する情報を中継装置30に送信する。本実施例では、第2の認証用装置20は、通信の異常に対応する情報として、認証成功とともに、後述するVLANID(異常)を中継装置30に送信する。ここでの認証成功の送信は、暫定的な認証成功の送信であり、通信の異常が発生している場合であっても、ユーザ端末40に限定された範囲内でネットワークへの接続を認めるための手段である。この手段は、本願が開示する技術における大きな特徴の一つである。 On the other hand, if the second authentication device 20 detects a communication abnormality, it transmits information corresponding to the communication abnormality to the relay device 30. In this embodiment, the second authentication device 20 transmits a VLAN ID (abnormality) described below to the relay device 30 together with authentication success as information corresponding to the communication abnormality. The transmission of authentication success here is a provisional transmission of authentication success, and is a means for allowing connection to the network within a limited range of the user terminal 40 even if a communication abnormality has occurred. This means is one of the major features of the technology disclosed in this application.

第2の認証用装置20は、例えば、パソコン、サーバなどのコンピュータ等により構成される。 The second authentication device 20 is composed of a computer such as a personal computer or a server.

本実施形態では、第1の認証用装置10および第2の認証用装置20は、コンピュータで構成されている。第1の認証用装置10を構成するコンピュータと第2の認証用装置20を構成するコンピュータとは、それぞれ、プロセッサと記憶装置とを備えており、その記憶装置に必要なプログラムおよびデータを記憶している。これらのコンピュータは、プロセッサがプログラムを実行することにより、上記の機能を実現したり、上記の処理を実行したりする。 In this embodiment, the first authentication device 10 and the second authentication device 20 are configured as computers. The computer constituting the first authentication device 10 and the computer constituting the second authentication device 20 each include a processor and a storage device, and the necessary programs and data are stored in the storage device. These computers realize the above functions and execute the above processes by the processor executing the programs.

また、中継装置30は、構成要素としてコンピュータを内蔵している。このコンピュータは、プロセッサと記憶装置とを備えており、その記憶装置に必要なプログラムおよびデータを記憶している。このコンピュータは、プロセッサがプログラムを実行することにより、上記機能を実現したり、上記の処理を実行したりする。 The relay device 30 also has a built-in computer as a component. This computer has a processor and a storage device, and the necessary programs and data are stored in the storage device. This computer realizes the above functions and executes the above processes by the processor executing the programs.

第1および第2の認証用装置10,20、中継装置30に記憶させるプログラムおよびデータは、ネットワーク管理者により管理者端末70を介して導入される。また、第1および第2の認証用装置10,20、中継装置30の各種設定も、ネットワーク管理者により管理者端末70を介して行われる。 The programs and data to be stored in the first and second authentication devices 10, 20 and the relay device 30 are introduced by the network administrator via the administrator terminal 70. In addition, various settings of the first and second authentication devices 10, 20 and the relay device 30 are also performed by the network administrator via the administrator terminal 70.

第1のサーバ50は、ネットワーク上の1つのサーバであり、例えば、何らかのサービスをユーザ端末40に提供したり、データファイルを格納するデータベースとして機能したりする。本実施形態では、第1のサーバ50は、記憶装置51を有するデータベースとして機能し、記憶装置51には、データファイルF1が格納されているものとする。第1のサーバ50は、アクセスが許可されたユーザ端末40からデータファイルF1の送信要求を受信すると、データファイルF1をユーザ端末40に送信する。 The first server 50 is a server on the network, and for example provides some kind of service to the user terminal 40 or functions as a database that stores data files. In this embodiment, the first server 50 functions as a database having a storage device 51, and the storage device 51 stores a data file F1. When the first server 50 receives a request to send the data file F1 from a user terminal 40 that is permitted to access the first server 50, it sends the data file F1 to the user terminal 40.

第2のサーバ60は、ネットワーク上の1つのサーバであり、例えば、何らかのサービスをユーザ端末40に提供したり、データファイルを格納するデータベースとして機能したりする。本実施形態では、第2のサーバ60は、記憶装置61を有するデータベースとして機能し、記憶装置61には、データファイルF2が格納されているものとする。第2のサーバ60は、アクセスが許可されたユーザ端末40からデータファイルF2の送信要求を受信すると、データファイルF2をユーザ端末40に送信する。 The second server 60 is a server on the network, and for example provides some kind of service to the user terminal 40 or functions as a database that stores data files. In this embodiment, the second server 60 functions as a database having a storage device 61, and the storage device 61 stores a data file F2. When the second server 60 receives a request to send the data file F2 from a user terminal 40 that is permitted to access the second server 60, it sends the data file F2 to the user terminal 40.

図8は、通信正常時及び通信異常時のアクセス可能範囲の設定例を示す図である。本実施例では、図8に示すように、通信正常時アクセス可能範囲G1は、第1のサーバ50および第2のサーバ60とする。なお、通信正常時アクセス可能範囲G1は、ネットワーク上のすべてのサーバとしてもよい。一方、通信異常時アクセス可能範囲G2は、第2のサーバ60とする。 Figure 8 is a diagram showing an example of setting the accessible range during normal communication and during abnormal communication. In this embodiment, as shown in Figure 8, the accessible range G1 during normal communication is the first server 50 and the second server 60. Note that the accessible range G1 during normal communication may be all servers on the network. On the other hand, the accessible range G2 during abnormal communication is the second server 60.

本実施例では、ユーザ端末40の接続の制御に、VLAN(Virtual Local Area Network)と呼ばれる仮想LANの構築方式を利用する。このVLANの構築方式では、設定されたVLANのID(番号)が同じであるポート同士が1つの仮想的なLANを構築する仕組みである。つまり、ユーザ端末40のポートに、ネットワーク上の特定のサーバのポートに設定されたVLANのIDと同じVLANのIDを設定すれば、ユーザ端末40は、その特定のサーバにアクセスできるようになる。逆に、ユーザ端末40のポートに、ネットワーク上の特定のサーバのポートに設定されたVLANのIDと異なるVLANのIDを設定すれば、ユーザ端末40は、その特定のサーバにアクセスすることはできない。 In this embodiment, a method for constructing a virtual LAN called a Virtual Local Area Network (VLAN) is used to control the connection of the user terminal 40. In this method for constructing a VLAN, ports with the same configured VLAN ID (number) construct one virtual LAN. In other words, if a VLAN ID that is the same as the VLAN ID configured on the port of a specific server on the network is configured on the port of the user terminal 40, the user terminal 40 will be able to access that specific server. Conversely, if a VLAN ID different from the VLAN ID configured on the port of a specific server on the network is configured on the port of the user terminal 40, the user terminal 40 will not be able to access that specific server.

本実施例では、中継装置30は、上記の通信正常時アクセス可能範囲G1および通信異常時アクセス可能範囲G2として、VLANID(正常)およびVLANID(異常)がそれぞれ設定されるポートを記憶している。 In this embodiment, the relay device 30 stores ports to which VLANID (normal) and VLANID (abnormal) are set as the above-mentioned accessible range G1 during normal communication and the accessible range G2 during abnormal communication, respectively.

図8の括弧内は、中継装置30の記憶装置31に記憶されているVLANIDの設定テーブルを表している。ここで、VLANID(正常)は、ユーザ端末40の認証が成功した場合に、ユーザ端末40にアクセスを許可したいサーバのポートに設定されるVLANのIDである。また、VLANID(異常)は、第1の認証用装置10と第2の認証用装置20との間の通信が異常である場合に、ユーザ端末40にアクセスを許可したいサーバのポートに設定されるVLANのIDである。VLANID(正常)およびVLANID(異常)は、実際には、例えばVLAN10、VLAN20のように、IDを数字で表したVLANIDが用いられる。 The contents in parentheses in FIG. 8 show the VLANID setting table stored in the storage device 31 of the relay device 30. Here, VLANID (normal) is the VLAN ID set for the port of the server to which the user terminal 40 is to be allowed access if authentication of the user terminal 40 is successful. Also, VLANID (abnormal) is the VLAN ID set for the port of the server to which the user terminal 40 is to be allowed access if communication between the first authentication device 10 and the second authentication device 20 is abnormal. For VLANID (normal) and VLANID (abnormal), in practice, VLANIDs that are expressed as numbers, such as VLAN10 and VLAN20, are used.

本実施例では、中継装置30は、図8のテーブルにしたがって、VLANID(正常)およびVLANID(異常)を、ネットワーク上の各サーバのポートに予め設定する。また、中継装置30は、第2の認証用装置20から認証成功とともに受信したVLANIDと同じVLANIDを、ユーザ端末40のポートに設定する。 In this embodiment, the relay device 30 pre-sets the VLAN ID (normal) and the VLAN ID (abnormal) to the ports of each server on the network according to the table in FIG. 8. The relay device 30 also sets the same VLAN ID as the VLAN ID received from the second authentication device 20 together with the successful authentication to the port of the user terminal 40.

具体的には、中継装置30は、第2の認証用装置20から認証成功とともにVLANID(正常)を受信した場合には、ユーザ端末40のポートにVLANID(正常)を設定する。一方、中継装置30は、第2の認証用装置20から認証成功とともにVLANID(異常)を受信した場合には、ユーザ端末40のポートにVLANID(異常)を設定する。 Specifically, when the relay device 30 receives a VLAN ID (normal) along with successful authentication from the second authentication device 20, it sets the VLAN ID (normal) to the port of the user terminal 40. On the other hand, when the relay device 30 receives a VLAN ID (abnormal) along with successful authentication from the second authentication device 20, it sets the VLAN ID (abnormal) to the port of the user terminal 40.

このような仕組みにより、ユーザ端末40は、認証成功した場合には、通信正常時アクセス可能範囲G1、すなわち第1のサーバ50および第2のサーバ60にアクセス可能となる。また、ユーザ端末40は、第1の認証用装置10と第2の認証用装置20との間の通信に異常が発生した場合には、第1のサーバ50にはアクセスできないが、通信異常時アクセス可能範囲G2、すなわち第2のサーバ60にはアクセス可能となる。 By this mechanism, if the authentication is successful, the user terminal 40 can access the accessible range G1 during normal communication, i.e., the first server 50 and the second server 60. Furthermore, if an abnormality occurs in the communication between the first authentication device 10 and the second authentication device 20, the user terminal 40 cannot access the first server 50, but can access the accessible range G2 during abnormal communication, i.e., the second server 60.

なお、タグVLAN方式では、VLANIDは、中継装置30に送信するデータ(フレーム)に元々含まれる情報である。そのため、第2の認証用装置20は、送信するフレームのVLANIDを、状況に応じてVLANID(正常)かVLANID(異常)かを指定するだけでよい。中継装置30にとっても、第2の認証用装置20から受信したVLANIDをそのままユーザ端末40のポートに設定するだけでよい。このように、タグVLAN方式のVLANIDを用いることで、ユーザ端末40の接続の制御を簡便に行うことができる。この点も、本願が開示する技術における大きな特徴の一つである。 In the tagged VLAN method, the VLAN ID is information that is originally included in the data (frame) sent to the relay device 30. Therefore, the second authentication device 20 only needs to specify the VLAN ID of the frame to be sent as either VLAN ID (normal) or VLAN ID (abnormal) depending on the situation. The relay device 30 also only needs to set the VLAN ID received from the second authentication device 20 as is in the port of the user terminal 40. In this way, by using the VLAN ID of the tagged VLAN method, it is possible to easily control the connection of the user terminal 40. This is also one of the major features of the technology disclosed in this application.

また、本実施例は、VLANの構築方式としてタグVLAN方式を用いた例であるが、ポートVLAN方式を用いても、同様にユーザ端末40の接続の制御を実現できる。ポートVLAN方式の場合、一つのポートに複数のVLANIDを重複して設定することができない。そのため、ポートVLAN方式を用いる場合には、中継装置30は、第2の認証用装置20からVLANID(正常)を受信した場合とVLANID(異常)を受信した場合とで、ネットワーク上の各サーバのポートを設定し直す必要がある。 In addition, this embodiment is an example in which the tag VLAN method is used as the method for constructing the VLAN, but the connection control of the user terminal 40 can also be achieved using the port VLAN method. In the case of the port VLAN method, multiple VLAN IDs cannot be set in duplicate to one port. Therefore, when using the port VLAN method, the relay device 30 needs to reconfigure the ports of each server on the network depending on whether it receives a VLAN ID (normal) or a VLAN ID (abnormal) from the second authentication device 20.

〈実施形態1に係るネットワークシステムの通信正常時の状態〉
実施形態1に係るネットワークシステムの通信正常時の状態について説明する。
<State of the network system according to the first embodiment when communication is normal>
A state in which communication is normal in the network system according to the first embodiment will be described.

図2は、実施形態1に係るネットワークシステムの通信正常時の状態を示す図である。図2に示すように、第1の認証用装置10と第2の認証用装置20との間の通信が正常である場合には、第2の認証用装置20は、第1の認証用装置10からユーザ情報の認証成否の結果を受信することができる。第2の認証用装置20は、認証成功を受信した場合には、認証成功とともにVLANID(正常)を中継装置30に送信する。一方、第2の認証用装置20は、認証失敗を受信した場合には、認証失敗を中継装置30に送信する。 Figure 2 is a diagram showing a state when communication is normal in the network system according to the first embodiment. As shown in Figure 2, when communication between the first authentication device 10 and the second authentication device 20 is normal, the second authentication device 20 can receive the result of authentication success or failure of user information from the first authentication device 10. When the second authentication device 20 receives a successful authentication, it transmits a VLAN ID (normal) together with the successful authentication to the relay device 30. On the other hand, when the second authentication device 20 receives a failed authentication, it transmits a failed authentication to the relay device 30.

中継装置30は、認証成功を受信した場合には、認証成功とともに受信したVLANID、すなわちVLANID(正常)をユーザ端末40のポートに設定する。この設定により、ユーザ端末40は、通信正常時アクセス可能範囲G1に属するサーバ、すなわち第1のサーバ50および第2のサーバ60にアクセス可能となる。一方、中継装置30は、認証失敗を受信した場合には、ユーザ端末40のポートを閉じた状態に設定する。この設定により、ユーザ端末40は、ネットワーク上のいずれのサーバにもアクセスできない。 When the relay device 30 receives a successful authentication, it sets the VLAN ID received along with the successful authentication, i.e., VLAN ID (normal), to the port of the user terminal 40. This setting enables the user terminal 40 to access the servers that belong to the accessible range G1 during normal communication, i.e., the first server 50 and the second server 60. On the other hand, when the relay device 30 receives a failed authentication, it sets the port of the user terminal 40 to a closed state. This setting prevents the user terminal 40 from accessing any servers on the network.

〈実施形態1に係るネットワークシステムの通信正常時の処理フロー〉
実施形態1に係るネットワークシステムの通信正常時の処理フローについて説明する。なお、ネットワークシステムの実際の処理フローは、適用する認証プロトコルに従って複雑な情報の送受信が行われる。以下に説明する各処理フローは、本願が提案する技術の理解を容易にするため、簡略化して記載していることに留意されたい。
<Processing flow when communication in the network system according to the first embodiment is normal>
The process flow of the network system according to the first embodiment when communication is normal will be described. Note that the actual process flow of the network system involves sending and receiving complex information in accordance with the authentication protocol applied. Please note that each process flow described below is simplified in order to facilitate understanding of the technology proposed by the present application.

図3は、実施形態1に係るネットワークシステムの通信正常時の処理フローを示す図である。 Figure 3 is a diagram showing the processing flow when communication is normal in the network system according to embodiment 1.

図3に示すように、まず、ユーザ端末40が、中継装置30に接続要求Rを送信する(S1)。中継装置30は、ユーザ端末40から接続要求Rを受信すると、ユーザ端末40にユーザ情報送信要求SRを返信する(S2)。ユーザ端末40は、中継装置30からユーザ情報送信要求SRを受信すると、ユーザの入力操作を受けて、ユーザ情報であるIDおよびPWを中継装置30に送信する(S3)。 As shown in FIG. 3, first, the user terminal 40 transmits a connection request R to the relay device 30 (S1). When the relay device 30 receives the connection request R from the user terminal 40, it returns a user information transmission request SR to the user terminal 40 (S2). When the user terminal 40 receives the user information transmission request SR from the relay device 30, it receives an input operation from the user and transmits the user information, that is, the ID and PW, to the relay device 30 (S3).

中継装置30は、ユーザ端末40からIDおよびPWを受信すると、受信されたIDおよびPWを第2の認証用装置20に送信する(S4)。第2の認証用装置20は、中継装置30からIDおよびPWを受信すると、受信されたIDおよびPWを第1の認証用装置10に送信する(S5)。 When the relay device 30 receives the ID and PW from the user terminal 40, it transmits the received ID and PW to the second authentication device 20 (S4). When the second authentication device 20 receives the ID and PW from the relay device 30, it transmits the received ID and PW to the first authentication device 10 (S5).

第1の認証用装置10は、第2の認証用装置20からIDおよびPWを受信すると、受信されたIDおよびPWを登録リストL1内のIDおよびPWと照合して認証判定を行う(S6)。すなわち、第1の認証用装置10は、受信されたIDおよびPWが登録リストL1内にあるか否かを判定し、認証要求元のユーザが正規ユーザであるか否かを識別する。 When the first authentication device 10 receives the ID and PW from the second authentication device 20, it compares the received ID and PW with the ID and PW in the registration list L1 to make an authentication decision (S6). That is, the first authentication device 10 determines whether the received ID and PW are in the registration list L1 and identifies whether the user who made the authentication request is a legitimate user.

第1の認証用装置10は、受信されたIDおよびPWが登録リストL1内にあると判定した場合には、認証成功A1を第2の認証用装置20に送信する(S7)。 If the first authentication device 10 determines that the received ID and PW are in the registration list L1, it sends authentication success A1 to the second authentication device 20 (S7).

第2の認証用装置20は、第1の認証用装置10から認証成功A1を受信すると、認証成功A1とともにVLANID(正常)を中継装置30に送信する(S8)。 When the second authentication device 20 receives the authentication success A1 from the first authentication device 10, it transmits the VLAN ID (normal) along with the authentication success A1 to the relay device 30 (S8).

中継装置30は、第2の認証用装置20から認証成功A1を受信すると、認証成功A1とともに受信したVLANIDであるVLANID(正常)をユーザ端末40のポートに設定する(S9)。本実施例では、図8のテーブルに示すように、VLANID(正常)は、通信正常時アクセス可能範囲G1に属するサーバ、すなわち第1のサーバ50および第2のサーバ60のそれぞれのポートに設定されている。したがって、ユーザ端末40は、同じVLANID(正常)同士でVLANを構成する第1のサーバ50および第2のサーバ60にアクセスできるようになる。中継装置30は、上記設定とともに、ユーザ端末40に認証成功A1を送信する(S10)。 When the relay device 30 receives the authentication success A1 from the second authentication device 20, it sets the VLANID (normal), which is the VLANID received together with the authentication success A1, to the port of the user terminal 40 (S9). In this embodiment, as shown in the table of FIG. 8, the VLANID (normal) is set to the ports of the servers belonging to the accessible range G1 during normal communication, that is, the first server 50 and the second server 60. Therefore, the user terminal 40 becomes able to access the first server 50 and the second server 60, which constitute a VLAN with the same VLANID (normal). The relay device 30 transmits the authentication success A1 to the user terminal 40 together with the above setting (S10).

ユーザ端末40は、認証成功A1を受信すると、例えば、中継装置30に、第1のサーバ50に向けたデータファイルF1の送信要求T1を送信する(S11)。第1のサーバ50は、ユーザ端末40と同じID(正常)のVLANに属している。そのため、中継装置30は、送信要求T1を第1のサーバ50に送信する(S12)。第1のサーバ50は、データファイルF1の送信要求T1を受信すると、ユーザ端末40にデータファイルF1を送信する(S13)。 When the user terminal 40 receives the authentication success A1, it transmits, for example, to the relay device 30, a transmission request T1 for the data file F1 directed to the first server 50 (S11). The first server 50 belongs to a VLAN with the same ID (normal) as the user terminal 40. Therefore, the relay device 30 transmits the transmission request T1 to the first server 50 (S12). When the first server 50 receives the transmission request T1 for the data file F1, it transmits the data file F1 to the user terminal 40 (S13).

また、ユーザ端末40は、例えば、中継装置30に、第2のサーバ60に向けたデータファイルF2の送信要求T2を送信する(S14)。第2のサーバ60は、ユーザ端末40と同じID(正常)のVLANに属している。そのため、中継装置30は、送信要求T2を第2のサーバ60に送信する(S15)。第2のサーバ60は、データファイルF2の送信要求T2を受信すると、ユーザ端末40にデータファイルF2を送信する(S16)。 The user terminal 40 also transmits, for example, to the relay device 30, a transmission request T2 for the data file F2 directed to the second server 60 (S14). The second server 60 belongs to a VLAN with the same ID (normal) as the user terminal 40. Therefore, the relay device 30 transmits the transmission request T2 to the second server 60 (S15). Upon receiving the transmission request T2 for the data file F2, the second server 60 transmits the data file F2 to the user terminal 40 (S16).

なお、送信要求T1の送信、送信要求T2の送信、データファイルF1の送受信、およびデータファイルF2の送受信のタイミングは、上記に限定されない。 Note that the timing of sending transmission request T1, sending transmission request T2, sending and receiving data file F1, and sending and receiving data file F2 is not limited to the above.

一方、第1の認証用装置10は、ステップS6の認証判定において、受信されたIDおよびPWが登録リストL1内にないと判定した場合には、認証失敗A2を第2の認証用装置20に送信する(S17)。 On the other hand, if the first authentication device 10 determines in the authentication judgment of step S6 that the received ID and PW are not in the registration list L1, it sends an authentication failure A2 to the second authentication device 20 (S17).

第2の認証用装置20は、第1の認証用装置10から認証失敗A2を受信すると、認証失敗A2を中継装置30に送信する(S18)。中継装置30は、認証失敗A2を受信すると、ユーザ端末40のポートを閉じたままの状態にし、ユーザ端末40によるネットワーク上のサーバ等へのアクセスを拒絶する。また、中継装置30は、認証失敗A2をユーザ端末40に送信する(S19)。 When the second authentication device 20 receives the authentication failure A2 from the first authentication device 10, it transmits the authentication failure A2 to the relay device 30 (S18). When the relay device 30 receives the authentication failure A2, it keeps the port of the user terminal 40 closed and denies the user terminal 40 access to servers on the network, etc. The relay device 30 also transmits the authentication failure A2 to the user terminal 40 (S19).

〈実施形態1に係るネットワークシステムの通信異常時の状態〉
実施形態1に係るネットワークシステムの通信異常時の状態について説明する。
<State of the network system according to the first embodiment when a communication abnormality occurs>
A state in which a communication abnormality occurs in the network system according to the first embodiment will be described.

図4は、実施形態1に係るネットワークシステムの通信異常時の状態を示す図である。図4に示すように、第1の認証用装置10と第2の認証用装置20との通信が異常である場合には、第1の認証用装置10は、ユーザ情報を受信できない、あるいは認証成否の結果を送信できない。第2の認証用装置20は、認証成否の結果がユーザ情報の送信から一定時間内に受信されないことに基づき、通信の異常を検知する。第2の認証用装置20は、通信の異常を検知している場合には、認証成功とともにVLANID(異常)を中継装置30に送信する。 Figure 4 is a diagram showing the state of the network system according to the first embodiment when a communication abnormality occurs. As shown in Figure 4, when there is an abnormality in the communication between the first authentication device 10 and the second authentication device 20, the first authentication device 10 cannot receive user information or cannot transmit the result of authentication success or failure. The second authentication device 20 detects the communication abnormality based on the fact that the result of authentication success or failure is not received within a certain time period after transmitting the user information. When the second authentication device 20 detects a communication abnormality, it transmits a VLAN ID (abnormal) together with authentication success to the relay device 30.

中継装置30は、認証成功を受信した場合には、認証成功とともに受信したVLANID、すなわちVLANID(異常)をユーザ端末40のポートに設定する。この設定により、ユーザ端末40は、通信正常時アクセス可能範囲G1に属するサーバ、すなわち第2のサーバ60にアクセス可能となる。 When the relay device 30 receives a successful authentication, it sets the VLAN ID received along with the successful authentication, i.e., VLAN ID (abnormal), to the port of the user terminal 40. This setting enables the user terminal 40 to access a server that belongs to the accessible range G1 during normal communication, i.e., the second server 60.

〈実施形態1に係るネットワークシステムの通信異常時の処理フロー〉
実施形態1に係るネットワークシステムの通信異常時の処理フローについて説明する。
<Processing flow when a communication abnormality occurs in the network system according to the first embodiment>
A process flow when a communication abnormality occurs in the network system according to the first embodiment will be described.

図5は、実施形態1に係るネットワークシステムの通信異常時の処理フローを示す図である。 Figure 5 shows the processing flow when a communication abnormality occurs in the network system according to the first embodiment.

図5に示すように、まず、ユーザ端末40が、中継装置30に接続要求Rを送信する(S21)。中継装置30は、ユーザ端末40から接続要求Rを受信すると、ユーザ端末40にユーザ情報送信要求SRを返信する(S22)。ユーザ端末40は、中継装置30からユーザ情報送信要求SRを受信すると、ユーザの入力操作を受けて、IDおよびPWを中継装置30に送信する(S23)。 As shown in FIG. 5, first, the user terminal 40 transmits a connection request R to the relay device 30 (S21). When the relay device 30 receives the connection request R from the user terminal 40, it returns a user information transmission request SR to the user terminal 40 (S22). When the user terminal 40 receives the user information transmission request SR from the relay device 30, it receives an input operation from the user and transmits the ID and PW to the relay device 30 (S23).

中継装置30は、ユーザ端末40からIDおよびPWを受信すると、受信されたIDおよびPWを第2の認証用装置20に送信する(S24)。第2の認証用装置20は、中継装置30からIDおよびPWを受信すると、受信されたIDおよびPWを第1の認証用装置10に送信する(S25)。 When the relay device 30 receives the ID and PW from the user terminal 40, it transmits the received ID and PW to the second authentication device 20 (S24). When the second authentication device 20 receives the ID and PW from the relay device 30, it transmits the received ID and PW to the first authentication device 10 (S25).

ここで、本来であれば、第1の認証用装置10は、第2の認証用装置20からIDおよびPWを受信し、受信されたIDおよびPWを登録リストL1内のIDおよびPWと照合することにより、認証成否の判定を行う。 Here, the first authentication device 10 would normally receive the ID and PW from the second authentication device 20 and compare the received ID and PW with the ID and PW in the registration list L1 to determine whether authentication was successful.

しかしながら、第1の認証用装置10と第2の認証用装置20との間の通信に異常が発生している場合には、第1の認証用装置10からの応答がない。第2の認証用装置20は、IDおよびPWを第1の認証用装置10に送信してから一定時間内に応答がないことに基づき、第1の認証用装置10との通信に異常が発生したことを検知する(S26)。 However, if an abnormality occurs in the communication between the first authentication device 10 and the second authentication device 20, there is no response from the first authentication device 10. The second authentication device 20 detects that an abnormality has occurred in the communication with the first authentication device 10 based on the absence of a response within a certain period of time after sending the ID and PW to the first authentication device 10 (S26).

第2の認証用装置20は、通信の異常を検知すると、認証成功A1とともにVLANID(異常)を中継装置30に送信する(S27)。 When the second authentication device 20 detects a communication abnormality, it sends the VLAN ID (abnormal) along with authentication success A1 to the relay device 30 (S27).

中継装置30は、第2の認証用装置20から認証成功A1を受信すると、認証成功A1とともに受信したVLANID(異常)をユーザ端末40のポートに設定する。(S28)。本実施例では、図8に示すように、VLANID(異常)は、通信異常時アクセス可能範囲G2に属するサーバ、すなわち第2のサーバ60のポートに設定されている。したがって、ユーザ端末40は、同じVLANID(異常)同士でVLANを構成する第2のサーバ60にアクセスできるようになる。中継装置30は、上記設定とともに、ユーザ端末40に認証成功A1を送信する(S29)。 When the relay device 30 receives the authentication success A1 from the second authentication device 20, it sets the VLAN ID (abnormal) received together with the authentication success A1 to the port of the user terminal 40 (S28). In this embodiment, as shown in FIG. 8, the VLAN ID (abnormal) is set to the port of the server belonging to the accessible range G2 during communication abnormality, that is, the second server 60. Therefore, the user terminal 40 can access the second server 60 that configures a VLAN with the same VLAN ID (abnormal). The relay device 30 transmits the authentication success A1 to the user terminal 40 together with the above setting (S29).

ユーザ端末40は、認証成功A1を受信すると、例えば、中継装置30に第1のサーバ50に向けたデータファイルF1の送信要求T1を送信する(S30)。しかしながら、第1のサーバ50は、ユーザ端末40と同じIDのVLANに属していないため、中継装置30は、送信要求T1を第1のサーバ50には送らない(S31)。 When the user terminal 40 receives the authentication success A1, it transmits, for example, a transmission request T1 for the data file F1 intended for the first server 50 to the relay device 30 (S30). However, since the first server 50 does not belong to the VLAN with the same ID as the user terminal 40, the relay device 30 does not send the transmission request T1 to the first server 50 (S31).

また、ユーザ端末40は、例えば、中継装置30に、第2のサーバ60に向けたデータファイルF2の送信要求T2を送信する(S32)。第2のサーバ60は、ユーザ端末40と同じID(異常)のVLANに属している。そのため、中継装置30は、送信要求T2を第2のサーバ60に送信する(S33)。第2のサーバ60は、送信要求T2を受信すると、ユーザ端末40にデータファイルF2を送信する(S34)。 The user terminal 40 also transmits, for example, to the relay device 30, a transmission request T2 for the data file F2 intended for the second server 60 (S32). The second server 60 belongs to the same VLAN with the same ID (abnormal) as the user terminal 40. Therefore, the relay device 30 transmits the transmission request T2 to the second server 60 (S33). Upon receiving the transmission request T2, the second server 60 transmits the data file F2 to the user terminal 40 (S34).

なお、送信要求T1の送信、送信要求T2の送信、およびデータファイルF2の送受信のタイミングは、上記に限定されない。 Note that the timing of sending transmission request T1, sending transmission request T2, and sending and receiving data file F2 is not limited to the above.

以上、実施形態1に係るネットワークシステム1によれば、第2の認証用装置20は、通信の異常を検知している場合、認証成功A1とともにVLANID(異常)を中継装置30に送信する。中継装置30は、受信したVLANID(異常)をユーザ端末40のポートに設定する。VLANID(異常)は、通信異常時アクセス可能範囲G2に属するサーバのポートに設定されている。したがって、ユーザ端末40は、通信異常時であっても、通信異常時アクセス可能範囲G2に属するサーバあるいはそのサーバに格納されているデータファイルにアクセスすることができる。 As described above, according to the network system 1 of the first embodiment, when the second authentication device 20 detects a communication abnormality, it transmits the VLANID (abnormal) along with the authentication success A1 to the relay device 30. The relay device 30 sets the received VLANID (abnormal) to the port of the user terminal 40. The VLANID (abnormal) is set to the port of the server belonging to the accessible range G2 during a communication abnormality. Therefore, even during a communication abnormality, the user terminal 40 can access the server belonging to the accessible range G2 during a communication abnormality or a data file stored on that server.

すなわち、実施形態1によれば、通信異常によってユーザ端末40の認証ができず、ユーザ端末40がネットワークに接続できなくなるという状況を回避し、ユーザ端末40は、設定された範囲内でネットワーク上のサーバ等にアクセスすることが可能になる。 In other words, according to the first embodiment, a situation in which the user terminal 40 cannot be authenticated due to a communication abnormality and the user terminal 40 cannot connect to the network can be avoided, and the user terminal 40 can access servers and the like on the network within a set range.

また、実施形態1によれば、通信異常時であっても、ネットワークデバイスに認証のためのユーザ情報を別途記憶させるといった、代替認証のための煩雑な作業を不要としつつ、ユーザ端末40は、ネットワーク上のサーバ等にアクセスすることができる。 Furthermore, according to the first embodiment, even when a communication abnormality occurs, the user terminal 40 can access a server on the network without the need for cumbersome work for alternative authentication, such as separately storing user information for authentication in the network device.

(実施形態2)
〈実施形態2に係るネットワークシステムの構成〉
図6は、実施形態2に係るネットワークシステムの構成を概略的に示す図である。図6に示すように、実施形態2に係るネットワークシステム2は、実施形態1と比較して、第1の認証用装置10と第2の認証用装置20の機能が一部異なる。第1の認証用装置10は、認証成否の判定は行わず、受信したユーザ情報を登録リストL1内のユーザ情報と照合し、照合結果のみを第2の認証用装置20に送信する。第2の認証用装置20は、第1の認証用装置10から受信した照合結果に基づき、認証成否の判定を行う。つまり、ユーザ情報の照合は、第1の認証用装置10が行うが、認証成否の判定は、第1の認証用装置10ではなく、第2の認証用装置20が行う。その他は、実施形態1と同様である。
(Embodiment 2)
Configuration of the network system according to the second embodiment
FIG. 6 is a diagram showing a schematic configuration of a network system according to the second embodiment. As shown in FIG. 6, the network system 2 according to the second embodiment differs in some functions of the first authentication device 10 and the second authentication device 20 compared to the first embodiment. The first authentication device 10 does not judge whether authentication is successful or not, but compares the received user information with the user information in the registration list L1, and transmits only the comparison result to the second authentication device 20. The second authentication device 20 judges whether authentication is successful or not based on the comparison result received from the first authentication device 10. In other words, the first authentication device 10 compares the user information, but the second authentication device 20, not the first authentication device 10, judges whether authentication is successful or not. The rest is the same as the first embodiment.

〈実施形態2に係るネットワークシステムの通信正常時の処理フロー〉
実施形態2に係るネットワークシステムの通信正常時の処理フローについて説明する。
<Processing flow when communication in the network system according to the second embodiment is normal>
A process flow when communication in the network system according to the second embodiment is normal will be described.

図7は、実施形態2に係るネットワークシステムの通信正常時の処理フローを示す図である。図7に示すように、実施形態2では、ステップS41~S45,S48~S56,S58~S59は、図3に示すステップS1~S5,S8~S16,S18~S19と対応している。また、ステップS46では、図3に示すステップS6の認証判定に代えて、照合が行われ、ステップS47では、図3に示すステップS7の認証成功A1の送信に代えて、照合成功V1の送信が行われる。また、ステップS57では、図3に示すステップS17の認証失敗の送信に代えて、照合失敗の送信が行われる。第2の認証用装置20は、受信した照合結果に基づいて認証成否を判定する。その他は、実施形態1と同様である。 Figure 7 is a diagram showing a process flow when communication is normal in the network system according to the second embodiment. As shown in Figure 7, in the second embodiment, steps S41 to S45, S48 to S56, and S58 to S59 correspond to steps S1 to S5, S8 to S16, and S18 to S19 shown in Figure 3. Also, in step S46, instead of the authentication judgment in step S6 shown in Figure 3, a match is performed, and in step S47, instead of the transmission of authentication success A1 in step S7 shown in Figure 3, a match success V1 is transmitted. Also, in step S57, instead of the transmission of authentication failure in step S17 shown in Figure 3, a match failure is transmitted. The second authentication device 20 judges whether authentication is successful or not based on the received match result. The rest is the same as in the first embodiment.

実施形態2に係るネットワークシステムの通信異常時の処理フローは、実施形態1による図5に示す処理フローと同様であるため、説明を省略する。 The processing flow when a communication abnormality occurs in the network system according to the second embodiment is similar to the processing flow shown in FIG. 5 according to the first embodiment, and therefore will not be described.

以上、実施形態2に係るネットワークシステム2は、実施形態1と比較して、第1の認証用装置10がユーザ情報の照合を行い、第2の認証用装置20がその照合の結果に基づき認証の判定を行う点で異なる。一方、中継装置30の動作は、実施形態1と同様である。したがって、実施形態2に係るネットワークシステム2においても、実施形態1と同様の効果が得られる。 As described above, the network system 2 according to the second embodiment differs from the first embodiment in that the first authentication device 10 compares the user information, and the second authentication device 20 judges the authentication based on the result of the comparison. On the other hand, the operation of the relay device 30 is the same as that of the first embodiment. Therefore, the network system 2 according to the second embodiment also provides the same effects as the first embodiment.

(実施形態3)
次に説明するネットワークにおけるアクセス制御方法も本発明の一実施形態である。
(Embodiment 3)
The access control method in a network described next is also one embodiment of the present invention.

本実施形態に係るアクセス制御方法は、ユーザ端末に接続される中継装置と第1の認証用装置との間に第2の認証用装置を介在させたネットワークシステムにおいて、上記中継装置は、上記ユーザ端末からユーザ情報を受信する処理と、受信した上記ユーザ情報を前記第2の認証用装置に送信する処理と、を実行し、上記第2の認証用装置は、上記第1の認証用装置と通信することにより、受信した上記ユーザ情報に基づく認証成否の結果を得るための処理と、上記認証成否の結果が得られた場合に、上記認証成否の結果を上記中継装置に送信する処理と、前記第1の認証用装置との通信の異常を検知する検知処理と、上記検知処理により異常が検知されている場合に、上記通信の異常に対応する情報を上記中継装置に送信する処理と、を実行し、上記中継装置は、上記ユーザ端末の通信異常時アクセス可能範囲が特定される情報を記憶し、上記通信の異常に対応する情報を受信すると、上記ユーザ端末による上記通信異常時アクセス可能範囲へのアクセスが可能となるように上記ユーザ端末の接続を制御する処理を実行する、アクセス制御方法である。 The access control method according to this embodiment is an access control method in a network system in which a second authentication device is interposed between a relay device connected to a user terminal and a first authentication device, the relay device executes a process of receiving user information from the user terminal and a process of transmitting the received user information to the second authentication device, the second authentication device executes a process of obtaining an authentication success/failure result based on the received user information by communicating with the first authentication device, a process of transmitting the authentication success/failure result to the relay device when the authentication success/failure result is obtained, a detection process of detecting an abnormality in communication with the first authentication device, and a process of transmitting information corresponding to the communication abnormality to the relay device when an abnormality is detected by the detection process, the relay device stores information specifying the accessible range of the user terminal when a communication abnormality occurs, and, when the information corresponding to the communication abnormality is received, executes a process of controlling the connection of the user terminal so that the user terminal can access the accessible range when a communication abnormality occurs.

このようなアクセス制御方法によれば、上記実施形態1,2と同様に、通信異常によってユーザ端末の認証ができず、ユーザ端末がネットワークに接続できなくなるという状況を回避し、ユーザ端末は、設定された範囲内でネットワーク上のサーバ等にアクセスすることが可能になる。 According to this access control method, as in the above-mentioned embodiments 1 and 2, it is possible to avoid a situation in which a user terminal cannot be authenticated due to a communication abnormality, and the user terminal cannot connect to the network, and the user terminal can access servers, etc. on the network within a set range.

また、当該アクセス制御方法によれば、通信異常時であっても、ネットワークデバイスに認証のためのユーザ情報を別途記憶させるといった、代替認証のための煩雑な作業を不要としつつ、ユーザ端末は、ネットワーク上のサーバ等にアクセスすることができる。 In addition, according to this access control method, even when a communication abnormality occurs, the user terminal can access a server on the network without the need for cumbersome work for alternative authentication, such as storing user information separately for authentication in the network device.

以上、本発明の各種実施形態について説明したが、本発明は上記した実施形態に限定されるものではなく、様々な変形例が含まれる。また、上記した実施形態は本発明を分かりやすく説明するために詳細に説明したものであり、必ずしも説明した全ての構成を備えるものに限定されるものではない。また、ある実施形態の構成の一部を他の実施形態の構成に置き換えることが可能であり、また、ある実施形態の構成に他の実施形態の構成を加えることも可能である。これらは全て本発明の範疇に属するものである。さらに文中や図中に含まれる数値等もあくまで一例であり、異なるものを用いても本発明の効果を損なうものではない。 Although various embodiments of the present invention have been described above, the present invention is not limited to the above-mentioned embodiments and includes various modified examples. Furthermore, the above-mentioned embodiments have been described in detail to clearly explain the present invention, and are not necessarily limited to those having all of the configurations described. Furthermore, it is possible to replace part of the configuration of one embodiment with the configuration of another embodiment, and it is also possible to add the configuration of another embodiment to the configuration of one embodiment. All of these belong to the scope of the present invention. Furthermore, the numerical values etc. included in the text and figures are merely examples, and the effect of the present invention will not be impaired even if different ones are used.

1,2…ネットワークシステム
10…第1の認証用装置
11…第1の記憶装置
20…第2の認証用装置
30…中継装置
31…中継装置の記憶装置
40…ユーザ端末
50…第1のサーバ
51…第1のサーバの記憶装置
60…第2のサーバ
61…第2のサーバの記憶装置
70…管理者端末
L1…登録リスト
F1,F2…データファイル
R…接続要求
A1…認証成功
A2…認証失敗
SR…送信要求
T1…データファイルF1の送信要求
T2…データファイルF2の送信要求
V1…照合成功
V2…照合失敗
G1…通信正常時アクセス可能範囲
G2…通信異常時アクセス可能範囲
1, 2...network system 10...first authentication device 11...first storage device 20...second authentication device 30...relay device 31...relay device storage device 40...user terminal 50...first server 51...first server storage device 60...second server 61...second server storage device 70...administrator terminal L1...registration list F1, F2...data file R...connection request A1...authentication success A2...authentication failure SR...transmission request T1...transmission request T2 for data file F1...transmission request V1 for data file F2...matching success V2...matching failure G1...accessible range when communication is normal G2...accessible range when communication is abnormal

Claims (9)

第1の認証用装置と、第2の認証用装置と、中継装置とを備え、
前記第2の認証用装置は、前記第1の認証用装置と前記中継装置との間に介在し、
前記中継装置は、ユーザ端末と接続され、前記ユーザ端末からユーザ情報を受信して、前記ユーザ情報を前記第2の認証用装置に送信する処理を実行し、
前記第2の認証用装置は、前記第1の認証用装置と通信することにより前記ユーザ情報に基づく認証成否の結果を得るための処理と、
前記認証成否の結果が得られた場合に、前記認証成否の結果を前記中継装置に送信する処理と、
前記第1の認証用装置との通信の異常を検知する検知処理と、
前記検知処理により通信の異常が検知されている場合に、前記通信の異常に対応する情報を前記中継装置に送信する処理と、を実行し、
前記中継装置は、
前記ユーザ端末の通信異常時アクセス可能範囲が特定される情報を記憶しており、
前記通信の異常に対応する情報を受信すると、前記ユーザ端末による前記通信異常時アクセス可能範囲へのアクセスが可能となるように前記ユーザ端末の接続を制御する処理を実行する、
ネットワークシステム。
A first authentication device, a second authentication device, and a relay device,
the second authentication device is interposed between the first authentication device and the relay device,
the relay device is connected to a user terminal, receives user information from the user terminal, and transmits the user information to the second authentication device;
a process in which the second authentication device communicates with the first authentication device to obtain a result of authentication success or failure based on the user information;
a process of transmitting a result of the authentication success or failure to the relay device when the result of the authentication success or failure is obtained;
a detection process for detecting an abnormality in communication with the first authentication device;
When a communication anomaly is detected by the detection process, a process of transmitting information corresponding to the communication anomaly to the relay device is executed;
The relay device is
storing information specifying an accessible range of the user terminal when a communication abnormality occurs;
When receiving the information corresponding to the communication abnormality, a process of controlling a connection of the user terminal is executed so that the user terminal can access the accessible range during the communication abnormality.
Network system.
請求項1に記載のネットワークシステムにおいて、
前記中継装置は、VLANIDを用いて前記ユーザ端末の接続を制御する、
ネットワークシステム。
2. The network system according to claim 1,
The relay device controls the connection of the user terminal using a VLAN ID.
Network system.
請求項2に記載のネットワークシステムにおいて、
前記通信異常時アクセス可能範囲が特定される情報は、前記通信異常時アクセス可能範囲に対応した、ネットワーク上のサーバのポートに設定される第1のVLANIDであり、
前記第2の認証用装置は、前記通信の異常が検知されている場合に、前記通信の異常に対応する情報として前記第1のVLANIDを前記中継装置に送信する処理を実行し、
前記中継装置は、前記第2の認証用装置から受信した前記第1のVLANIDを、前記ユーザ端末のポートに設定する処理を実行する、
ネットワークシステム。
3. The network system according to claim 2,
the information for identifying the accessible range during the communication abnormality is a first VLAN ID that is set to a port of a server on a network corresponding to the accessible range during the communication abnormality,
the second authentication device executes a process of transmitting the first VLAN-ID to the relay device as information corresponding to the communication abnormality when the communication abnormality is detected;
the relay device executes a process of setting the first VLAN ID received from the second authentication device to a port of the user terminal;
Network system.
請求項3に記載のネットワークシステムにおいて、
前記中継装置は、前記ユーザ端末の通信正常時アクセス可能範囲に対応した、前記ネットワーク上のサーバのポートに設定される第2のVLANIDを記憶しており、
前記第2の認証用装置は、前記ユーザ端末の認証成功の結果を得た場合に、前記第2のVLANIDを前記中継装置に送信する処理を実行し、
前記中継装置は、前記第2の認証用装置から受信した前記第2のVLANIDを、前記ユーザ端末のポートに設定する処理を実行する、
ネットワークシステム。
4. The network system according to claim 3,
the relay device stores a second VLAN ID that is set to a port of a server on the network, the second VLAN ID corresponding to an accessible range during normal communication of the user terminal;
the second authentication device executes a process of transmitting the second VLAN ID to the relay device when a result of authentication success of the user terminal is obtained;
the relay device executes a process of setting the second VLAN ID received from the second authentication device to a port of the user terminal.
Network system.
請求項4に記載のネットワークシステムにおいて、
前記通信正常時アクセス可能範囲は、前記通信異常時アクセス可能範囲を含む、
ネットワークシステム。
5. The network system according to claim 4,
The normal communication accessible range includes the abnormal communication accessible range,
Network system.
請求項1から請求項5のいずれか一項に記載のネットワークシステムにおいて、
前記第1の認証用装置は、
認証を成功させるユーザ情報が記憶されている第1の記憶装置を有し、
前記第2の認証用装置から受信されたユーザ情報を前記第1の記憶装置に記憶されているユーザ情報と照合することにより、前記認証成否を判定する処理と、
前記認証成否の結果を前記第2の認証用装置に送信する処理と、を実行する、
ネットワークシステム。
6. The network system according to claim 1,
The first authentication device is
a first storage device in which user information that results in successful authentication is stored;
a process of collating user information received from the second authentication device with user information stored in the first storage device to determine whether the authentication has been successful;
and transmitting a result of the authentication success or failure to the second authentication device.
Network system.
請求項1から請求項5のいずれか一項に記載のネットワークシステムにおいて、
前記第1の認証用装置は、
認証を成功させるユーザ情報が予め記憶されている第1の記憶装置を有し、
前記第2の認証用装置から受信されたユーザ情報を前記第1の記憶装置に記憶されているユーザ情報と照合する照合処理と、
前記照合処理による照合結果を前記第1の認証用装置に送信する処理と、を実行し、
前記第2の認証用装置は、
前記第1の記憶装置から受信した照合結果に基づいて前記認証成否を判定する処理、を実行する、
ネットワークシステム。
6. The network system according to claim 1,
The first authentication device is
a first storage device in which user information that will result in successful authentication is stored in advance;
a verification process for verifying the user information received from the second authentication device with the user information stored in the first storage device;
a process of transmitting a matching result obtained by the matching process to the first authentication device;
The second authentication device is
determining whether the authentication has been successful or not based on the matching result received from the first storage device;
Network system.
請求項1から請求項7のいずれか一項に記載のネットワークシステムにおいて、
前記中継装置は、認証スイッチ、ルータ、アクセスポイント、仮想プライベートネットワークサーバ、ダイアルアップサーバ、またはRADIUSプロキシサーバである、
ネットワークシステム。
The network system according to any one of claims 1 to 7,
The relay device is an authentication switch, a router, an access point, a virtual private network server, a dial-up server, or a RADIUS proxy server.
Network system.
ユーザ端末に接続される中継装置と第1の認証用装置との間に第2の認証用装置を介在させたネットワークシステムにおいて、
前記中継装置は、
前記ユーザ端末からユーザ情報を受信する処理と、
受信した前記ユーザ情報を前記第2の認証用装置に送信する処理と、を実行し、
前記第2の認証用装置は、
前記第1の認証用装置と通信することにより、受信した前記ユーザ情報に基づく認証成否の結果を得るための処理と、
前記認証成否の結果が得られた場合に、前記認証成否の結果を前記中継装置に送信する処理と、
前記第1の認証用装置との通信の異常を検知する検知処理と、
前記検知処理により通信の異常が検知されている場合に、前記通信の異常に対応する情報を前記中継装置に送信する処理と、を実行し、
前記中継装置は、
前記ユーザ端末の通信異常時アクセス可能範囲が特定される情報を記憶し、
前記通信の異常に対応する情報を受信すると、前記ユーザ端末による前記通信異常時アクセス可能範囲へのアクセスが可能となるように前記ユーザ端末の接続を制御する処理を実行する、
アクセス制御方法。
In a network system in which a second authentication device is interposed between a relay device connected to a user terminal and a first authentication device,
The relay device is
receiving user information from the user terminal;
transmitting the received user information to the second authentication device;
The second authentication device is
A process of obtaining a result of authentication success or failure based on the received user information by communicating with the first authentication device;
a process of transmitting a result of the authentication success or failure to the relay device when the result of the authentication success or failure is obtained;
a detection process for detecting an abnormality in communication with the first authentication device;
When a communication anomaly is detected by the detection process, a process of transmitting information corresponding to the communication anomaly to the relay device is executed;
The relay device is
storing information specifying an accessible range of the user terminal when a communication abnormality occurs;
When receiving the information corresponding to the communication abnormality, a process of controlling a connection of the user terminal is executed so that the user terminal can access the accessible range during the communication abnormality.
Access control methods.
JP2021211084A 2021-12-24 2021-12-24 Network system and access control method Active JP7540992B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2021211084A JP7540992B2 (en) 2021-12-24 2021-12-24 Network system and access control method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2021211084A JP7540992B2 (en) 2021-12-24 2021-12-24 Network system and access control method

Publications (2)

Publication Number Publication Date
JP2023095286A JP2023095286A (en) 2023-07-06
JP7540992B2 true JP7540992B2 (en) 2024-08-27

Family

ID=87002801

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2021211084A Active JP7540992B2 (en) 2021-12-24 2021-12-24 Network system and access control method

Country Status (1)

Country Link
JP (1) JP7540992B2 (en)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008299782A (en) 2007-06-04 2008-12-11 Mitsubishi Electric Information Systems Corp Authentication system and program
JP2011238162A (en) 2010-05-13 2011-11-24 Fujitsu Ltd Network device and terminal device
JP2017011516A (en) 2015-06-23 2017-01-12 Necプラットフォームズ株式会社 Network equipment, authentication system, and authentication method
US10360366B1 (en) 2017-09-15 2019-07-23 Symantec Corporation Systems and methods for providing two-factor authentication with an enterprise gateway when an authentication server is unavailable

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008299782A (en) 2007-06-04 2008-12-11 Mitsubishi Electric Information Systems Corp Authentication system and program
JP2011238162A (en) 2010-05-13 2011-11-24 Fujitsu Ltd Network device and terminal device
JP2017011516A (en) 2015-06-23 2017-01-12 Necプラットフォームズ株式会社 Network equipment, authentication system, and authentication method
US10360366B1 (en) 2017-09-15 2019-07-23 Symantec Corporation Systems and methods for providing two-factor authentication with an enterprise gateway when an authentication server is unavailable

Also Published As

Publication number Publication date
JP2023095286A (en) 2023-07-06

Similar Documents

Publication Publication Date Title
US10083290B2 (en) Hardware-based device authentication
US8001610B1 (en) Network defense system utilizing endpoint health indicators and user identity
US9763094B2 (en) Methods, devices and systems for dynamic network access administration
US12132733B2 (en) Method and device for determining network device status
US20170374551A1 (en) Method for connecting network access device to wireless network access point, network access device, and application server
US11405378B2 (en) Post-connection client certificate authentication
WO2022247751A1 (en) Method, system and apparatus for remotely accessing application, device, and storage medium
EP1760988A1 (en) Multi-level and multi-factor security credentials management for network element authentication
JPWO2009087702A1 (en) Virtual machine execution program, user authentication program, and information processing apparatus
CN101986598B (en) Authentication method, server and system
EP2978192B1 (en) Peer to peer remote control method between one or more mobile devices
US20170238236A1 (en) Mac address-bound wlan password
US8272043B2 (en) Firewall control system
US10873497B2 (en) Systems and methods for maintaining communication links
CN115486030A (en) Rogue certificate detection
US11522702B1 (en) Secure onboarding of computing devices using blockchain
KR20170054260A (en) Method and apparatus for secure access of a service via customer premise equipment
JP7540992B2 (en) Network system and access control method
JP2008250446A (en) Communication terminal and communication program
KR102001996B1 (en) System for managing access control based on agent
JP7540991B2 (en) Network system and network authentication method
US11848824B2 (en) Distributed auto discovery service
Ahmed Balancing security and usability in Web Single Sign-On
JP2010136014A (en) Mac address automatic authentication system
KR20240048158A (en) Method and system for controlling federation policy based on zta for enterprise wireless network infrastructure

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20230721

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20240719

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20240730

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20240815

R150 Certificate of patent or registration of utility model

Ref document number: 7540992

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150