JP2003132020A - アクセス制御装置及び認証装置及びそれらに関連する装置 - Google Patents
アクセス制御装置及び認証装置及びそれらに関連する装置Info
- Publication number
- JP2003132020A JP2003132020A JP2001329307A JP2001329307A JP2003132020A JP 2003132020 A JP2003132020 A JP 2003132020A JP 2001329307 A JP2001329307 A JP 2001329307A JP 2001329307 A JP2001329307 A JP 2001329307A JP 2003132020 A JP2003132020 A JP 2003132020A
- Authority
- JP
- Japan
- Prior art keywords
- access control
- access
- authentication
- network
- control table
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 claims description 37
- 230000005540 biological transmission Effects 0.000 claims description 3
- 238000010586 diagram Methods 0.000 description 12
- 230000010354 integration Effects 0.000 description 4
- 210000001525 retina Anatomy 0.000 description 1
Landscapes
- Computer And Data Communications (AREA)
Abstract
(57)【要約】
【課題】 アクセス制御ルールを動的に変更しうる装置
やプログラムを提供することである。 【解決手段】 外部端末20がWEBサーバ16に対し
てアクセスを行おうとする。このアクセスが許可されて
いない場合は、アクセス拒否された場合、外部端末20
は、許可を得るために認証サーバ18に認証依頼を送信
する。認証サーバ18は、認証依頼中の署名データに基
づき認証し、正当な者であれば、認証依頼中に含まれて
いた「実行したいアクセス内容」を許可するアクセス制
御ルールを、ファイアーウォール10に設定するように
依頼する。この依頼に基づき、ファイアーウォール10
がアクセス制御ルールを設定する。この結果、現在の使
用者に対応したアクセス制御ルールが設定できるので、
円滑なネットワークの利用が可能である。
やプログラムを提供することである。 【解決手段】 外部端末20がWEBサーバ16に対し
てアクセスを行おうとする。このアクセスが許可されて
いない場合は、アクセス拒否された場合、外部端末20
は、許可を得るために認証サーバ18に認証依頼を送信
する。認証サーバ18は、認証依頼中の署名データに基
づき認証し、正当な者であれば、認証依頼中に含まれて
いた「実行したいアクセス内容」を許可するアクセス制
御ルールを、ファイアーウォール10に設定するように
依頼する。この依頼に基づき、ファイアーウォール10
がアクセス制御ルールを設定する。この結果、現在の使
用者に対応したアクセス制御ルールが設定できるので、
円滑なネットワークの利用が可能である。
Description
【0001】
【発明の属する技術分野】本発明は、ネットワーク上の
アクセスコントロールを動的に変更しうる装置及びその
装置を構成するためのプログラムに関する。
アクセスコントロールを動的に変更しうる装置及びその
装置を構成するためのプログラムに関する。
【0002】
【従来の技術】ネットワーク上の各ホスト(端末やサー
バ、クライアント、ルータ等のネットワーク上の1個の
主体)を識別するために、たとえばインターネットでは
IPアドレスと呼ばれるアドレスが用いられている。ネ
ットワーク上の各ホストは、このIPアドレスを用いて
通信の相手先を指定している。
バ、クライアント、ルータ等のネットワーク上の1個の
主体)を識別するために、たとえばインターネットでは
IPアドレスと呼ばれるアドレスが用いられている。ネ
ットワーク上の各ホストは、このIPアドレスを用いて
通信の相手先を指定している。
【0003】しかし、ネットワーク上の各ホストが自由
に他のホストにアクセスできるわけではない。一般にセ
キュリティ上の問題や、管理上の都合により、あるホス
トに対するアクセスが制限されたり、あるホストからの
発信が制限される場合は多い。
に他のホストにアクセスできるわけではない。一般にセ
キュリティ上の問題や、管理上の都合により、あるホス
トに対するアクセスが制限されたり、あるホストからの
発信が制限される場合は多い。
【0004】このような制御をするために、ファイアー
ウォールやルータ、ブリッジと呼ばれる装置が使用され
ており、また、各ホスト毎にアクセスを制御するために
パーソナルファイアーウォールと呼ばれるプログラムも
知られている。
ウォールやルータ、ブリッジと呼ばれる装置が使用され
ており、また、各ホスト毎にアクセスを制御するために
パーソナルファイアーウォールと呼ばれるプログラムも
知られている。
【0005】
【発明が解決しようとする課題】このように、ファイア
ーウォールやルータ、ブリッジを用いて各種のアクセス
制御が実行されていたが、この制御ルールはIPアドレ
スを用いて記述される場合が多い。たとえば、IPアド
レス100.100.100.0からIPアドレス10
0.100.200.XXXに対するアクセスは認めら
れない(XXXは任意の数)等のようなものである。
ーウォールやルータ、ブリッジを用いて各種のアクセス
制御が実行されていたが、この制御ルールはIPアドレ
スを用いて記述される場合が多い。たとえば、IPアド
レス100.100.100.0からIPアドレス10
0.100.200.XXXに対するアクセスは認めら
れない(XXXは任意の数)等のようなものである。
【0006】しかし、近年、ダイヤルアップによるイン
ターネットアクセスに代表されるように、同じIPアド
レスが常に同じ人(や装置)に利用されるとは限らない
状況が一般的になっている。このようなIPアドレスが
ダイナミックに割り当てられる状況の下では、IPアド
レスを用いた固定的なアクセス制御ルールだけでは実際
の利用形態に対応できない場合も想定される。
ターネットアクセスに代表されるように、同じIPアド
レスが常に同じ人(や装置)に利用されるとは限らない
状況が一般的になっている。このようなIPアドレスが
ダイナミックに割り当てられる状況の下では、IPアド
レスを用いた固定的なアクセス制御ルールだけでは実際
の利用形態に対応できない場合も想定される。
【0007】たとえば、あるIPアドレスは今日は課長
が使用しているが、明日は部長が使用するかもしれな
い。この場合、課長と部長のアクセス権限が異なること
も考えられるので、今日と明日で同じ固定的なアクセス
制御ルールでは、実態に対処することは困難である。
が使用しているが、明日は部長が使用するかもしれな
い。この場合、課長と部長のアクセス権限が異なること
も考えられるので、今日と明日で同じ固定的なアクセス
制御ルールでは、実態に対処することは困難である。
【0008】本発明は、このような課題に鑑みなされた
ものであり、アクセス制御ルールを動的に変更しうる装
置やプログラムを提供することである。
ものであり、アクセス制御ルールを動的に変更しうる装
置やプログラムを提供することである。
【0009】
【課題を解決するための手段】上記課題を解決するため
に、本発明は、第1ネットワークと、第2ネットワーク
間のアクセスを制御するアクセス制御装置において、ア
クセス制御ルールが格納されたアクセス制御テーブル
と、前記第1ネットワークから第2ネットワークへのア
クセス要求があった場合に、要求されたアクセスを、前
記アクセス制御テーブルから検索する検索手段と、前記
検索手段が前記アクセスを前記アクセス制御テーブルか
ら見いだせなかった場合に、前記発信元にアクセス拒否
を送信する拒否手段と、前記検索手段が前記発信元を前
記アクセス制御テーブルから見いだせた場合に、前記ア
クセス制御テーブルに格納されたアクセス制御ルールに
基づき、アクセスを実行させるアクセス制御手段と、バ
イオメトリクス認証結果を第3者に渡す認証サーバか
ら、アクセス制御ルールの設定依頼が送信されてきた場
合に、前記アクセス制御テーブルの内容を変更、追加又
は削除するアクセス制御ルール管理手段と、を含むこと
を特徴とするアクセス制御装置である。
に、本発明は、第1ネットワークと、第2ネットワーク
間のアクセスを制御するアクセス制御装置において、ア
クセス制御ルールが格納されたアクセス制御テーブル
と、前記第1ネットワークから第2ネットワークへのア
クセス要求があった場合に、要求されたアクセスを、前
記アクセス制御テーブルから検索する検索手段と、前記
検索手段が前記アクセスを前記アクセス制御テーブルか
ら見いだせなかった場合に、前記発信元にアクセス拒否
を送信する拒否手段と、前記検索手段が前記発信元を前
記アクセス制御テーブルから見いだせた場合に、前記ア
クセス制御テーブルに格納されたアクセス制御ルールに
基づき、アクセスを実行させるアクセス制御手段と、バ
イオメトリクス認証結果を第3者に渡す認証サーバか
ら、アクセス制御ルールの設定依頼が送信されてきた場
合に、前記アクセス制御テーブルの内容を変更、追加又
は削除するアクセス制御ルール管理手段と、を含むこと
を特徴とするアクセス制御装置である。
【0010】このような構成によって、アクセス制御ル
ールを動的に変更等することができる。
ールを動的に変更等することができる。
【0011】また、本発明は、ネットワークと、前記ネ
ットワークに接続されたホストとのアクセスを制御する
アクセス制御装置において、アクセス制御ルールが格納
されたアクセス制御テーブルと、前記ネットワークから
前記ホストへのアクセス要求があった場合に、要求され
たアクセスを、前記アクセス制御テーブルから検索する
検索手段と、前記検索手段が前記アクセスを前記アクセ
ス制御テーブルから見いだせなかった場合に、前記発信
元にアクセス拒否を送信する拒否手段と、前記検索手段
が前記発信元を前記アクセス制御テーブルから見いだせ
た場合に、前記アクセス制御テーブルに格納されたアク
セス制御ルールに基づき、アクセスを実行させるアクセ
ス制御手段と、バイオメトリクス認証結果を第3者に渡
す認証サーバから、アクセス制御ルールの設定依頼が送
信されてきた場合に、前記アクセス制御テーブルの内容
を変更、追加又は削除するアクセス制御ルール管理手段
と、を含むことを特徴とするアクセス制御装置である。
ットワークに接続されたホストとのアクセスを制御する
アクセス制御装置において、アクセス制御ルールが格納
されたアクセス制御テーブルと、前記ネットワークから
前記ホストへのアクセス要求があった場合に、要求され
たアクセスを、前記アクセス制御テーブルから検索する
検索手段と、前記検索手段が前記アクセスを前記アクセ
ス制御テーブルから見いだせなかった場合に、前記発信
元にアクセス拒否を送信する拒否手段と、前記検索手段
が前記発信元を前記アクセス制御テーブルから見いだせ
た場合に、前記アクセス制御テーブルに格納されたアク
セス制御ルールに基づき、アクセスを実行させるアクセ
ス制御手段と、バイオメトリクス認証結果を第3者に渡
す認証サーバから、アクセス制御ルールの設定依頼が送
信されてきた場合に、前記アクセス制御テーブルの内容
を変更、追加又は削除するアクセス制御ルール管理手段
と、を含むことを特徴とするアクセス制御装置である。
【0012】このような構成によって、パーソナルファ
イアーウォールにおいてもアクセス制御ルールを動的に
変更等することができる。
イアーウォールにおいてもアクセス制御ルールを動的に
変更等することができる。
【0013】また、本発明は、認証すべき人のバイオメ
トリックデータが予め格納されている認証テーブルと、
実行したい希望アクセス内容とバイオメトリックデータ
とを含む認証依頼を受信した場合に、前記バイオメトリ
ックデータを前記認証テーブル中から検索する検索手段
と、前記検索手段が前記バイオメトリックデータを前記
認証テーブル中から見いだせた場合に、前記認証依頼に
含まれる希望アクセス内容を許可するようなアクセス制
御ルールを設定するように外部のアクセス制御装置に依
頼する依頼手段と、を含むことを特徴とする認証装置で
ある。
トリックデータが予め格納されている認証テーブルと、
実行したい希望アクセス内容とバイオメトリックデータ
とを含む認証依頼を受信した場合に、前記バイオメトリ
ックデータを前記認証テーブル中から検索する検索手段
と、前記検索手段が前記バイオメトリックデータを前記
認証テーブル中から見いだせた場合に、前記認証依頼に
含まれる希望アクセス内容を許可するようなアクセス制
御ルールを設定するように外部のアクセス制御装置に依
頼する依頼手段と、を含むことを特徴とする認証装置で
ある。
【0014】このような構成によって、バイオメトリッ
クデータによる認証結果を外部に送信することができ
る。
クデータによる認証結果を外部に送信することができ
る。
【0015】また、本発明は、ネットワーク上の所定の
ホストにアクセスしようとした際に、そのアクセスが拒
否された場合に、所定の認証装置に認証依頼を送信する
認証依頼手段、を含み、前記認証依頼には、自己を示す
識別子と、自己が実行しようとする希望アクセス内容
と、自己を示すデータであるバイオメトリックデータ
と、が含まれることを特徴とするネットワークアクセス
装置である。
ホストにアクセスしようとした際に、そのアクセスが拒
否された場合に、所定の認証装置に認証依頼を送信する
認証依頼手段、を含み、前記認証依頼には、自己を示す
識別子と、自己が実行しようとする希望アクセス内容
と、自己を示すデータであるバイオメトリックデータ
と、が含まれることを特徴とするネットワークアクセス
装置である。
【0016】このような構成によって、アクセスが拒否
された場合に自動的に認証依頼を発することができる。
された場合に自動的に認証依頼を発することができる。
【0017】以下に述べる手段は、上記装置に関する手
段を、プログラムとして表現したものであり、その本質
的な特徴・作用は、上記装置に関する手段と同様であ
る。
段を、プログラムとして表現したものであり、その本質
的な特徴・作用は、上記装置に関する手段と同様であ
る。
【0018】すなわち、本発明は、第1ネットワーク
と、第2ネットワーク間のアクセスを制御するアクセス
制御ルールが格納されたアクセス制御テーブルを備えた
コンピュータを、前記第1ネットワークと、前記第2ネ
ットワーク間のアクセスを制御するアクセス制御装置と
して動作させるためのプログラムにおいて、 前記コン
ピュータに、前記第1ネットワークから第2ネットワー
クへのアクセス要求があった場合に、要求されたアクセ
スを、前記アクセス制御テーブルから検索する検索手順
と、 前記検索手順において前記アクセスを前記アクセ
ス制御テーブルから見いだせなかった場合に、前記発信
元にアクセス拒否を送信する拒否手順と、前記検索手順
において前記発信元を前記アクセス制御テーブルから見
いだせた場合に、前記アクセス制御テーブルに格納され
たアクセス制御ルールに基づき、アクセスを実行させる
アクセス制御手順と、バイオメトリクス認証結果を第3
者に渡す認証サーバから、アクセス制御ルールの設定依
頼が送信されてきた場合に、前記アクセス制御テーブル
の内容を変更、追加又は削除するアクセス制御ルール管
理手順と、を実行させることを特徴とするアクセス制御
プログラムである。
と、第2ネットワーク間のアクセスを制御するアクセス
制御ルールが格納されたアクセス制御テーブルを備えた
コンピュータを、前記第1ネットワークと、前記第2ネ
ットワーク間のアクセスを制御するアクセス制御装置と
して動作させるためのプログラムにおいて、 前記コン
ピュータに、前記第1ネットワークから第2ネットワー
クへのアクセス要求があった場合に、要求されたアクセ
スを、前記アクセス制御テーブルから検索する検索手順
と、 前記検索手順において前記アクセスを前記アクセ
ス制御テーブルから見いだせなかった場合に、前記発信
元にアクセス拒否を送信する拒否手順と、前記検索手順
において前記発信元を前記アクセス制御テーブルから見
いだせた場合に、前記アクセス制御テーブルに格納され
たアクセス制御ルールに基づき、アクセスを実行させる
アクセス制御手順と、バイオメトリクス認証結果を第3
者に渡す認証サーバから、アクセス制御ルールの設定依
頼が送信されてきた場合に、前記アクセス制御テーブル
の内容を変更、追加又は削除するアクセス制御ルール管
理手順と、を実行させることを特徴とするアクセス制御
プログラムである。
【0019】また、本発明は、ネットワークと、前記ネ
ットワークに接続されたホストとのアクセスを制御する
アクセス制御ルールが格納されたアクセス制御テーブル
を備えたコンピュータを、前記ネットワークと、前記ネ
ットワークに接続された前記ホストとのアクセスを制御
するアクセス制御装置として動作させるプログラムにお
いて、前記コンピュータに、前記ネットワークから前記
ホストへのアクセス要求があった場合に、要求されたア
クセスを、前記アクセス制御テーブルから検索する検索
手順と、前記検索手順において前記アクセスを前記アク
セス制御テーブルから見いだせなかった場合に、前記発
信元にアクセス拒否を送信する拒否手順と、前記検索手
順において前記発信元を前記アクセス制御テーブルから
見いだせた場合に、前記アクセス制御テーブルに格納さ
れたアクセス制御ルールに基づき、アクセスを実行させ
るアクセス制御手順と、バイオメトリクス認証結果を第
3者に渡す認証サーバから、アクセス制御ルールの設定
依頼が送信されてきた場合に、前記アクセス制御テーブ
ルの内容を変更、追加又は削除するアクセス制御ルール
管理手順と、を実行させることを特徴とするアクセス制
御プログラムである。
ットワークに接続されたホストとのアクセスを制御する
アクセス制御ルールが格納されたアクセス制御テーブル
を備えたコンピュータを、前記ネットワークと、前記ネ
ットワークに接続された前記ホストとのアクセスを制御
するアクセス制御装置として動作させるプログラムにお
いて、前記コンピュータに、前記ネットワークから前記
ホストへのアクセス要求があった場合に、要求されたア
クセスを、前記アクセス制御テーブルから検索する検索
手順と、前記検索手順において前記アクセスを前記アク
セス制御テーブルから見いだせなかった場合に、前記発
信元にアクセス拒否を送信する拒否手順と、前記検索手
順において前記発信元を前記アクセス制御テーブルから
見いだせた場合に、前記アクセス制御テーブルに格納さ
れたアクセス制御ルールに基づき、アクセスを実行させ
るアクセス制御手順と、バイオメトリクス認証結果を第
3者に渡す認証サーバから、アクセス制御ルールの設定
依頼が送信されてきた場合に、前記アクセス制御テーブ
ルの内容を変更、追加又は削除するアクセス制御ルール
管理手順と、を実行させることを特徴とするアクセス制
御プログラムである。
【0020】また、本発明は、認証すべき人のバイオメ
トリックデータが予め格納されている認証テーブルを備
えたコンピュータを、認証装置として動作させるプログ
ラムにおいて、前記コンピュータに、実行したい希望ア
クセス内容とバイオメトリックデータとを含む認証依頼
を受信した場合に、前記バイオメトリックデータを前記
認証テーブル中から検索する検索手順と、前記検索手順
において前記バイオメトリックデータを前記認証テーブ
ル中から見いだせた場合に、前記認証依頼に含まれる希
望アクセス内容を許可するようなアクセス制御ルールを
設定するように外部のアクセス制御装置に依頼する依頼
手順と、を実行させることを特徴とする認証プログラム
である。
トリックデータが予め格納されている認証テーブルを備
えたコンピュータを、認証装置として動作させるプログ
ラムにおいて、前記コンピュータに、実行したい希望ア
クセス内容とバイオメトリックデータとを含む認証依頼
を受信した場合に、前記バイオメトリックデータを前記
認証テーブル中から検索する検索手順と、前記検索手順
において前記バイオメトリックデータを前記認証テーブ
ル中から見いだせた場合に、前記認証依頼に含まれる希
望アクセス内容を許可するようなアクセス制御ルールを
設定するように外部のアクセス制御装置に依頼する依頼
手順と、を実行させることを特徴とする認証プログラム
である。
【0021】
【発明の実施の形態】以下、本発明の好適な実施の形態
を図面に基づいて説明する。
を図面に基づいて説明する。
【0022】実施の形態1(ファイアーウォール)
図1には、本発明の好適な実施の形態であるファイアー
ウォール10を含むネットワーク構成図が示されてい
る。
ウォール10を含むネットワーク構成図が示されてい
る。
【0023】この図に示すように、ファイアーウォール
10は、インターネット12と、ローカルネットワーク
14とに接続している。このローカルネットワーク14
には、WEBサーバ16と認証サーバ18とが接続して
いる。また、インターネット12には、外部端末20が
接続している。
10は、インターネット12と、ローカルネットワーク
14とに接続している。このローカルネットワーク14
には、WEBサーバ16と認証サーバ18とが接続して
いる。また、インターネット12には、外部端末20が
接続している。
【0024】このファイアーウォール10は、請求の範
囲の「アクセス制御装置」の一例に相当する。また、認
証サーバ18は、請求の範囲の「認証装置」の一例に相
当する。また、外部端末20は、請求の範囲の「ネット
ワークアクセス装置」の一例に相当する。
囲の「アクセス制御装置」の一例に相当する。また、認
証サーバ18は、請求の範囲の「認証装置」の一例に相
当する。また、外部端末20は、請求の範囲の「ネット
ワークアクセス装置」の一例に相当する。
【0025】インターネット12側の外部端末20から
は、ローカルネットワーク14内のアドレスは直接見え
ずに、ローカルネットワーク14に対して代表となるI
Pアドレスが1個割り当てられている。この代表となる
IPアドレスは直接的には、ファイアーウォール10の
IPアドレスである。
は、ローカルネットワーク14内のアドレスは直接見え
ずに、ローカルネットワーク14に対して代表となるI
Pアドレスが1個割り当てられている。この代表となる
IPアドレスは直接的には、ファイアーウォール10の
IPアドレスである。
【0026】外部端末20からローカルネットワーク1
4のWEBサーバ16にアクセスする場合には、この代
表的なIPアドレス(ファイアーウォール10のIPア
ドレス)にアクセスし、利用するポート番号としてたと
えば80を指定するのである。このポート番号によっ
て、ファイアーウォール10は、外部端末20がWEB
サービスを利用したいということを知り、外部端末20
からのアクセスをWEBサーバ16に送り出すのであ
る。
4のWEBサーバ16にアクセスする場合には、この代
表的なIPアドレス(ファイアーウォール10のIPア
ドレス)にアクセスし、利用するポート番号としてたと
えば80を指定するのである。このポート番号によっ
て、ファイアーウォール10は、外部端末20がWEB
サービスを利用したいということを知り、外部端末20
からのアクセスをWEBサーバ16に送り出すのであ
る。
【0027】なお、ここでは、WEBサービスのポート
番号として80を利用したが、その他のポート番号でも
良い。このようにポート番号で指定することによって、
ローカルネットワーク14内の各ホストを識別してい
る。
番号として80を利用したが、その他のポート番号でも
良い。このようにポート番号で指定することによって、
ローカルネットワーク14内の各ホストを識別してい
る。
【0028】ファイアーウォール10の構成
ファイアーウォール10の構成ブロック図が図2に示さ
れている。この図に示すように、ファイアーウォール1
0は、インターネット12の外部端末20からのアクセ
ス要求を受け、その要求されたアクセスをアクセス制御
テーブル26中のアクセス制御ルールから検索する検索
手段22と、検索した結果、見いだせなかった場合にそ
のアクセスを拒否する拒否手段24とが備えられてい
る。
れている。この図に示すように、ファイアーウォール1
0は、インターネット12の外部端末20からのアクセ
ス要求を受け、その要求されたアクセスをアクセス制御
テーブル26中のアクセス制御ルールから検索する検索
手段22と、検索した結果、見いだせなかった場合にそ
のアクセスを拒否する拒否手段24とが備えられてい
る。
【0029】また、ファイアーウォール10は、検索手
段22が、要求されたアクセスを、アクセス制御テーブ
ル26中から見いだした場合に、その要求されたアクセ
スを実行するアクセス制御手段28と、アクセス制御テ
ーブル26の内容であるアクセス制御ルールを管理する
アクセス制御ルール管理手段30とを備えている。
段22が、要求されたアクセスを、アクセス制御テーブ
ル26中から見いだした場合に、その要求されたアクセ
スを実行するアクセス制御手段28と、アクセス制御テ
ーブル26の内容であるアクセス制御ルールを管理する
アクセス制御ルール管理手段30とを備えている。
【0030】本実施の形態において特徴的なことはアク
セス制御テーブル26中のアクセス制御ルールが動的に
追加、変更、削除される点である。この点に関しては、
後に詳述する。
セス制御テーブル26中のアクセス制御ルールが動的に
追加、変更、削除される点である。この点に関しては、
後に詳述する。
【0031】アクセス制御ルールは、一般に、認められ
るアクセスを記述したものであり、アクセス制御テーブ
ル26は複数のアクセス制御ルールを集めた表である。
るアクセスを記述したものであり、アクセス制御テーブ
ル26は複数のアクセス制御ルールを集めた表である。
【0032】アクセス制御テーブル26の内容を表す説
明図が図3に示されている。この図に示すように、アク
セス制御テーブル26の各エントリー(すなわち、認め
られるアクセスを記述したアクセス制御ルール)は、発
信元の情報と、発信先の情報と、から構成されている。
発信元の情報とは、発信元のIPアドレス及びポート番
号であり、発信先の情報とは、発信先のIPアドレス及
びポート番号である。なお、この表中Xはいわゆるワイ
ルドカードであり、すべての番号を表す記号である。ま
た、表中では、ある特定の数字が記述される例を示して
いるが、一定の範囲、たとえば100.100.10
0.100〜100.100.100.300のような
範囲で示しても良い。ファイアーウォール10は、この
図3の表に示されていない組み合わせのアクセスを拒否
する。
明図が図3に示されている。この図に示すように、アク
セス制御テーブル26の各エントリー(すなわち、認め
られるアクセスを記述したアクセス制御ルール)は、発
信元の情報と、発信先の情報と、から構成されている。
発信元の情報とは、発信元のIPアドレス及びポート番
号であり、発信先の情報とは、発信先のIPアドレス及
びポート番号である。なお、この表中Xはいわゆるワイ
ルドカードであり、すべての番号を表す記号である。ま
た、表中では、ある特定の数字が記述される例を示して
いるが、一定の範囲、たとえば100.100.10
0.100〜100.100.100.300のような
範囲で示しても良い。ファイアーウォール10は、この
図3の表に示されていない組み合わせのアクセスを拒否
する。
【0033】なお、ファイアーウォール10中の検索手
段22、アクセス拒否手段24、アクセス制御手段2
8、アクセス制御ルール管理手段30は、プログラムと
そのプログラムを実行するプロセッサから構成されるこ
とが好ましい。また、アクセス制御テーブル26はハー
ドディスク等の上に構築されることが好ましい。このプ
ロセッサとは、請求の範囲の「コンピュータ」の一例に
相当する。
段22、アクセス拒否手段24、アクセス制御手段2
8、アクセス制御ルール管理手段30は、プログラムと
そのプログラムを実行するプロセッサから構成されるこ
とが好ましい。また、アクセス制御テーブル26はハー
ドディスク等の上に構築されることが好ましい。このプ
ロセッサとは、請求の範囲の「コンピュータ」の一例に
相当する。
【0034】認証サーバ18の構成
認証サーバ18の構成ブロック図が図4に示されてい
る。本実施の形態における認証サーバ18は、バイオメ
トリックデータによって個人認証を行うサーバである。
バイオメトリックデータとしては署名データを利用して
いるが、他のバイオメトリックデータ、たとえば指紋デ
ータや、網膜パターン等でもかまわない。
る。本実施の形態における認証サーバ18は、バイオメ
トリックデータによって個人認証を行うサーバである。
バイオメトリックデータとしては署名データを利用して
いるが、他のバイオメトリックデータ、たとえば指紋デ
ータや、網膜パターン等でもかまわない。
【0035】図4に示すように、認証サーバ18は、署
名データが予め登録されている認証テーブル40と、外
部からの依頼によって認証テーブル40を検索する検索
手段42とを備えている。また、認証サーバ18は、フ
ァイアーウォール10等のアクセス制御装置に、アクセ
ス制御ルールの調整(追加、変更、削除など)を依頼す
る依頼手段44を備えている。このような構成によっ
て、署名データによって認証された利用者が希望するア
クセスを許可するようなアクセス制御ルールがファイア
ーウォール10に設定される。
名データが予め登録されている認証テーブル40と、外
部からの依頼によって認証テーブル40を検索する検索
手段42とを備えている。また、認証サーバ18は、フ
ァイアーウォール10等のアクセス制御装置に、アクセ
ス制御ルールの調整(追加、変更、削除など)を依頼す
る依頼手段44を備えている。このような構成によっ
て、署名データによって認証された利用者が希望するア
クセスを許可するようなアクセス制御ルールがファイア
ーウォール10に設定される。
【0036】なお、検索手段42、依頼手段44は、プ
ログラムとこのプログラムを実行するプロセッサとから
構成することが望ましい。また、認証テーブル40はハ
ードディスク等の上に構築することが望ましい。
ログラムとこのプログラムを実行するプロセッサとから
構成することが望ましい。また、認証テーブル40はハ
ードディスク等の上に構築することが望ましい。
【0037】外部端末20の構成
外部端末20の構成ブロック図が図5に示されている。
この図に示すように、外部端末20は、WEBサーバ1
6に接続し、WEBページを閲覧するためのWEB閲覧
手段46と、アクセスが拒否された場合に外部の認証サ
ーバ18に認証を依頼する認証依頼手段48と、を備え
ている。
この図に示すように、外部端末20は、WEBサーバ1
6に接続し、WEBページを閲覧するためのWEB閲覧
手段46と、アクセスが拒否された場合に外部の認証サ
ーバ18に認証を依頼する認証依頼手段48と、を備え
ている。
【0038】WEB閲覧手段46は、いわゆるブラウザ
と呼ばれるプログラム(及びそれを実行するプロセッ
サ)で構成することが望ましい。このプログラムを用い
てWEBサーバ16が提供するWEBページをディスプ
レイ49に表示する。認証依頼手段48も、プログラム
とそれを実行するプロセッサから構成されることが望ま
しい。したがって典型的には、この外部端末20はブラ
ウザなどのプログラムがインストールされたコンピュー
タで実現される。もちろん、PDA(Personal Digital
Assistant)や携帯電話等、インターネット12に接続
しうる装置であればそのような装置でもかまわない。
と呼ばれるプログラム(及びそれを実行するプロセッ
サ)で構成することが望ましい。このプログラムを用い
てWEBサーバ16が提供するWEBページをディスプ
レイ49に表示する。認証依頼手段48も、プログラム
とそれを実行するプロセッサから構成されることが望ま
しい。したがって典型的には、この外部端末20はブラ
ウザなどのプログラムがインストールされたコンピュー
タで実現される。もちろん、PDA(Personal Digital
Assistant)や携帯電話等、インターネット12に接続
しうる装置であればそのような装置でもかまわない。
【0039】動作
以下、本実施の形態におけるアクセスの処理の流れをフ
ローチャートに基づき説明する。図6、図7には、この
動作を表すフローチャートが示されている。
ローチャートに基づき説明する。図6、図7には、この
動作を表すフローチャートが示されている。
【0040】まず、ステップS6−1においては、外部
端末20がWEBサーバ16に対してアクセスを行おう
とする。このアクセスは、WEB閲覧手段46によって
実行される。
端末20がWEBサーバ16に対してアクセスを行おう
とする。このアクセスは、WEB閲覧手段46によって
実行される。
【0041】ステップS6−2においては、このアクセ
ス要求は、ファイアーウォール10に受信され、ファイ
アーウォール10がこのアクセスがアクセス制御テーブ
ルに記載されているか検索が行われる。この検索は、検
索手段22によって実行される。検索は、発信元と発信
先のIPアドレス及びポート番号が、アクセス制御テー
ブル26中に記載されているか否かを検査することによ
って実行される。記載されていれば、それはアクセスが
許可されていることを意味し、ステップS6−3に処理
が移行する。一方、記載されていない場合は、ステップ
S6−4に処理が移行する。
ス要求は、ファイアーウォール10に受信され、ファイ
アーウォール10がこのアクセスがアクセス制御テーブ
ルに記載されているか検索が行われる。この検索は、検
索手段22によって実行される。検索は、発信元と発信
先のIPアドレス及びポート番号が、アクセス制御テー
ブル26中に記載されているか否かを検査することによ
って実行される。記載されていれば、それはアクセスが
許可されていることを意味し、ステップS6−3に処理
が移行する。一方、記載されていない場合は、ステップ
S6−4に処理が移行する。
【0042】ステップS6−3においては、アクセスが
許可されているので、そのままアクセスを認める。すな
わち、WEBサーバ16(ポート番号:80)に外部端
末20からの送信データを転送するのである。
許可されているので、そのままアクセスを認める。すな
わち、WEBサーバ16(ポート番号:80)に外部端
末20からの送信データを転送するのである。
【0043】ステップS6−4においては、許可されて
いない者からのアクセスであると判断し、アクセス拒否
を外部端末20に送信する。この拒否動作は、アクセス
拒否手段24によって実行される。
いない者からのアクセスであると判断し、アクセス拒否
を外部端末20に送信する。この拒否動作は、アクセス
拒否手段24によって実行される。
【0044】ステップS6−5においては、アクセスを
拒否された外部端末20が許可を得るために認証サーバ
18に認証依頼を送信する。認証依頼手段48がこの動
作を実行する。本実施の形態において特徴的なことは、
この認証依頼中に、外部端末20の利用者のIDと利用
者の署名データとが含まれていることである。さらに、
認証依頼中には、実行したいアクセスの内容を含むこと
ができる。
拒否された外部端末20が許可を得るために認証サーバ
18に認証依頼を送信する。認証依頼手段48がこの動
作を実行する。本実施の形態において特徴的なことは、
この認証依頼中に、外部端末20の利用者のIDと利用
者の署名データとが含まれていることである。さらに、
認証依頼中には、実行したいアクセスの内容を含むこと
ができる。
【0045】なお、このIDは、請求の範囲の「識別
子」の一例である。また、署名データは請求の範囲中の
「バイオメトリックデータ」の一例である。また、実行
したいアクセスの内容は、請求の範囲中の「希望アクセ
ス内容」に該当する。この実行したいアクセスの内容
は、自己のIPアドレスやポート番号、及びアクセスの
相手先のIPアドレスやポート番号が含まれる。また、
実行したいアクセスの内容中に、アクセスを開始したい
時刻や、終了したい時刻を含めても良い。
子」の一例である。また、署名データは請求の範囲中の
「バイオメトリックデータ」の一例である。また、実行
したいアクセスの内容は、請求の範囲中の「希望アクセ
ス内容」に該当する。この実行したいアクセスの内容
は、自己のIPアドレスやポート番号、及びアクセスの
相手先のIPアドレスやポート番号が含まれる。また、
実行したいアクセスの内容中に、アクセスを開始したい
時刻や、終了したい時刻を含めても良い。
【0046】実行したいアクセスの内容(希望アクセス
内容)は、サーバ側のポリシーとの組み合わせで、実際
のアクセスルールがファイアーウォール10に適用され
る。なお、サーバ側とは、認証サーバ18(認証装
置)、ファイアーウォール10(アクセス制御装置のい
ずれかを言う。しかし、認証サーバ18がポリシーを持
つのが一般的であろう。たとえば、外部端末20(クラ
イアント)から社員Aのアカウントで役員BのPCに対
するアクセス許可を希望した場合でも、認証装置側に役
員のPCには役員自身が認証を行わないとアクセスを許
可しないようにポリシー設定されている場合その希望は
許可されない。極端に言えば、外部端末20(クライア
ント)側から希望が出されなくても認証サーバ18(認
証装置)側に設定されたポリシーにしたがってファイア
ーウォール10(アクセス制御装置)にルールを適用す
ることも好ましい。
内容)は、サーバ側のポリシーとの組み合わせで、実際
のアクセスルールがファイアーウォール10に適用され
る。なお、サーバ側とは、認証サーバ18(認証装
置)、ファイアーウォール10(アクセス制御装置のい
ずれかを言う。しかし、認証サーバ18がポリシーを持
つのが一般的であろう。たとえば、外部端末20(クラ
イアント)から社員Aのアカウントで役員BのPCに対
するアクセス許可を希望した場合でも、認証装置側に役
員のPCには役員自身が認証を行わないとアクセスを許
可しないようにポリシー設定されている場合その希望は
許可されない。極端に言えば、外部端末20(クライア
ント)側から希望が出されなくても認証サーバ18(認
証装置)側に設定されたポリシーにしたがってファイア
ーウォール10(アクセス制御装置)にルールを適用す
ることも好ましい。
【0047】この認証サーバ18のポート番号はたとえ
ば9999に設定されており、誰でもアクセスが許可さ
れているポートとして設定されている。
ば9999に設定されており、誰でもアクセスが許可さ
れているポートとして設定されている。
【0048】ステップS6−6においては、認証サーバ
18が上記認証依頼を受信し、認証動作を実行する。具
体的には、認証サーバは18の検索手段42が、認証依
頼中の署名データを認証テーブル40から検索する。そ
の後図7のステップS7−1に処理が移行する。
18が上記認証依頼を受信し、認証動作を実行する。具
体的には、認証サーバは18の検索手段42が、認証依
頼中の署名データを認証テーブル40から検索する。そ
の後図7のステップS7−1に処理が移行する。
【0049】ステップS7−1において、認証依頼中の
署名データと同一人による署名データであると認められ
るほど近似した署名データが認証テーブル40中に見い
だされた場合には、ステップS7−2に処理が移行し、
アクセス制御ルールの調整が行われる。一方、同一人に
よる署名データと認められる署名データが認証テーブル
40中になかった場合には、ステップS7−4に処理が
移行する。
署名データと同一人による署名データであると認められ
るほど近似した署名データが認証テーブル40中に見い
だされた場合には、ステップS7−2に処理が移行し、
アクセス制御ルールの調整が行われる。一方、同一人に
よる署名データと認められる署名データが認証テーブル
40中になかった場合には、ステップS7−4に処理が
移行する。
【0050】ステップS7−2においては、認証依頼中
に含まれていた「実行したいアクセス内容」を許可する
アクセス制御ルールを、ファイアーウォール10に設定
するように依頼が行われる。この依頼は、依頼手段44
が実行する。
に含まれていた「実行したいアクセス内容」を許可する
アクセス制御ルールを、ファイアーウォール10に設定
するように依頼が行われる。この依頼は、依頼手段44
が実行する。
【0051】ステップS7−3においては、上記依頼に
基づき、ファイアーウォール10がアクセス制御ルール
をアクセス制御テーブル26に登録する。
基づき、ファイアーウォール10がアクセス制御ルール
をアクセス制御テーブル26に登録する。
【0052】このように、本実施の形態によれば、動的
にアクセス制御テーブル26中のアクセス制御ルールが
調整される。すなわち、一つのIPアドレスを複数人が
共有している場合でも、現在の使用者に対応したアクセ
ス制御ルールが設定できるので、円滑なネットワークの
利用が可能である。
にアクセス制御テーブル26中のアクセス制御ルールが
調整される。すなわち、一つのIPアドレスを複数人が
共有している場合でも、現在の使用者に対応したアクセ
ス制御ルールが設定できるので、円滑なネットワークの
利用が可能である。
【0053】アクセス制御ルールが変更された後は、外
部端末20からWEBサーバ16に対するアクセスが許
可される。具体的には、図6におけるステップS6−
1、S6−2、S6−3の流れの処理が実行される。
部端末20からWEBサーバ16に対するアクセスが許
可される。具体的には、図6におけるステップS6−
1、S6−2、S6−3の流れの処理が実行される。
【0054】ステップS7−4においては、認証拒否
(失敗)が外部端末20に送信される。
(失敗)が外部端末20に送信される。
【0055】このように、本実施の形態によれば、バイ
オメトリックデータ(署名データ)により、本人を認証
し、これに基づいてアクセス制御ルールを動的に変更す
る仕組みが実現されている。
オメトリックデータ(署名データ)により、本人を認証
し、これに基づいてアクセス制御ルールを動的に変更す
る仕組みが実現されている。
【0056】アクセス制御ルールの調整
上述したように動的に調整(変更、追加、削除)された
アクセス制御ルールは、所定期間経過した場合、又は、
アクセスが所定期間以上なかった場合に、元に戻すこと
が望ましい。これによって、一時的なアクセス制御ルー
ルの調整に対応することができるのである。
アクセス制御ルールは、所定期間経過した場合、又は、
アクセスが所定期間以上なかった場合に、元に戻すこと
が望ましい。これによって、一時的なアクセス制御ルー
ルの調整に対応することができるのである。
【0057】実施の形態2A(ルータ装置)
実施の形態1では、請求の範囲の「アクセス制御装置」
の例としてファイアーウォール10を説明したが、ファ
イアーウォールの代わりにルータ装置を利用することも
好ましい。この場合のアクセス制御ルールには、ルーテ
ィング(Routing)・ルールを含むことができる。ま
た、ルータは、2つのネットワーク間に設けられるだけ
でなく、複数のネットワークに接続しうるものであるの
で、このルーティング・ルールも一般的には複数のネッ
トワーク間のルーティングに関するルールである。
の例としてファイアーウォール10を説明したが、ファ
イアーウォールの代わりにルータ装置を利用することも
好ましい。この場合のアクセス制御ルールには、ルーテ
ィング(Routing)・ルールを含むことができる。ま
た、ルータは、2つのネットワーク間に設けられるだけ
でなく、複数のネットワークに接続しうるものであるの
で、このルーティング・ルールも一般的には複数のネッ
トワーク間のルーティングに関するルールである。
【0058】このようにルータ装置によれば、IPアド
レスの利用者のバイオメトリックデータによって、ルー
ティング・ルールを含めたアクセス制御ルールを動的に
変更することができる。
レスの利用者のバイオメトリックデータによって、ルー
ティング・ルールを含めたアクセス制御ルールを動的に
変更することができる。
【0059】なお、請求の範囲における「アクセス制御
ルール」はアクセスに関するルールであればどのような
ルールでもかまわない。たとえば、グローバルIPアド
レスとローカルアドレスとの変換を行うルールでも良
い。
ルール」はアクセスに関するルールであればどのような
ルールでもかまわない。たとえば、グローバルIPアド
レスとローカルアドレスとの変換を行うルールでも良
い。
【0060】実施の形態2B(ブリッジ)
また、ファイアーウォール10の代わりに、ブリッジと
呼ばれる装置を利用することも好ましい。このブリッジ
はネットワークを接続する装置として知られているが、
この接続状況を表すルールがアクセス制御ルールとな
る。このブリッジも請求の範囲の「アクセス制御装置」
の一例に相当する。
呼ばれる装置を利用することも好ましい。このブリッジ
はネットワークを接続する装置として知られているが、
この接続状況を表すルールがアクセス制御ルールとな
る。このブリッジも請求の範囲の「アクセス制御装置」
の一例に相当する。
【0061】この接続状況を表すルールを利用者のバイ
オメトリックデータによって動的に変化させることが可
能である。
オメトリックデータによって動的に変化させることが可
能である。
【0062】実施の形態3(認証サーバの一体化)
なお、実施の形態1では、ファイアーウォール10と認
証サーバ18は別体に構成したが、一体に構成すること
も好ましい。この場合、ファイアーウォール10中に認
証サーバ18が組み込まれる形態となる。
証サーバ18は別体に構成したが、一体に構成すること
も好ましい。この場合、ファイアーウォール10中に認
証サーバ18が組み込まれる形態となる。
【0063】このような形態を実現するためには、ファ
イアーウォール10中に、認証サーバ18の動作を実行
するプログラムを組み込み、またハードディスク等の上
に認証テーブル40を構築するのが好ましい。
イアーウォール10中に、認証サーバ18の動作を実行
するプログラムを組み込み、またハードディスク等の上
に認証テーブル40を構築するのが好ましい。
【0064】この一体に構成した場合は、請求の範囲の
「ネットワーク装置」の一例に相当し、その中のファイ
アーウォール10に該当する機能は請求の範囲の「アク
セス制御ユニット」に、認証サーバ18に該当する機能
は請求の範囲の「認証ユニット」に、それぞれ相当す
る。
「ネットワーク装置」の一例に相当し、その中のファイ
アーウォール10に該当する機能は請求の範囲の「アク
セス制御ユニット」に、認証サーバ18に該当する機能
は請求の範囲の「認証ユニット」に、それぞれ相当す
る。
【0065】実施の形態4(ホストベースファイアーウ
ォール) 上記の例では、ネットワーク間のファイアーウォール1
0について説明したが、1個のローカル端末50とイン
ターネット12との間に設けられるファイアーウォール
にアクセス制御ルールの動的な変更の動作を持たせるこ
とも好ましい。このような1個のローカル端末50に関
してアクセスの制御を行ってその外部端末を保護する装
置を、本特許明細書では、ホストベースファイアーウォ
ール52と呼ぶ。
ォール) 上記の例では、ネットワーク間のファイアーウォール1
0について説明したが、1個のローカル端末50とイン
ターネット12との間に設けられるファイアーウォール
にアクセス制御ルールの動的な変更の動作を持たせるこ
とも好ましい。このような1個のローカル端末50に関
してアクセスの制御を行ってその外部端末を保護する装
置を、本特許明細書では、ホストベースファイアーウォ
ール52と呼ぶ。
【0066】このようなホストベースファイアーウォー
ル52を中心としたネットワーク構成図が図8に示され
ている。この図に示すように、ローカル端末50は、ホ
ストベースファイアーウォール52を介してインターネ
ット12に接続する構成である。このローカル端末50
上では、HTTPプログラムが起動しており、ローカル
端末50は、WEBサーバ16の動作を実行している。
そして、外部端末20から、このホストベースファイア
ーウォール52を介してWEBサーバ16(ローカル端
末50)に接続しようとする。
ル52を中心としたネットワーク構成図が図8に示され
ている。この図に示すように、ローカル端末50は、ホ
ストベースファイアーウォール52を介してインターネ
ット12に接続する構成である。このローカル端末50
上では、HTTPプログラムが起動しており、ローカル
端末50は、WEBサーバ16の動作を実行している。
そして、外部端末20から、このホストベースファイア
ーウォール52を介してWEBサーバ16(ローカル端
末50)に接続しようとする。
【0067】ホストベースファイアーウォール52の構
成は、図2に示したファイアーウォール10とほぼ同様
である。異なる点は、ネットワーク間のアクセス制御で
はなく、ネットワークとローカル端末との間のアクセス
制御を行う点と、アクセス制御ルール管理手段に対する
依頼が、ローカルネットワークではなくインターネット
12側から来る点である。その他の点は図2の構成と同
様である。
成は、図2に示したファイアーウォール10とほぼ同様
である。異なる点は、ネットワーク間のアクセス制御で
はなく、ネットワークとローカル端末との間のアクセス
制御を行う点と、アクセス制御ルール管理手段に対する
依頼が、ローカルネットワークではなくインターネット
12側から来る点である。その他の点は図2の構成と同
様である。
【0068】また、本実施の形態における動作も、上記
図6及び図7に示した動作と同様である。
図6及び図7に示した動作と同様である。
【0069】本実施の形態によれば、ローカル端末50
を保護するホストベースファイアーウォール52のアク
セス制御ルールをバイオメトリックデータの一つである
署名データによる認証を介して動的に変更することがで
きる。したがって、同じIPアドレスを複数人が共同で
使用する場合等においても、ローカル端末50を効果的
に保護することができる。
を保護するホストベースファイアーウォール52のアク
セス制御ルールをバイオメトリックデータの一つである
署名データによる認証を介して動的に変更することがで
きる。したがって、同じIPアドレスを複数人が共同で
使用する場合等においても、ローカル端末50を効果的
に保護することができる。
【0070】なお、このホストベースファイアーウォー
ル52も、請求の範囲の「アクセス制御装置」の一例に
相当する。
ル52も、請求の範囲の「アクセス制御装置」の一例に
相当する。
【0071】実施の形態5(端末との一体化)
実施の形態4では形式的には、ハードウェアでホストベ
ースファイアーウォール52を構成した。しかし、この
ホストベースファイアーウォール52をローカル端末5
0上で稼働するプログラムで実現しても良い。
ースファイアーウォール52を構成した。しかし、この
ホストベースファイアーウォール52をローカル端末5
0上で稼働するプログラムで実現しても良い。
【0072】実施の形態6A(認証サーバとの一体化)
なお、実施の形態4では、ホストベースファイアーウォ
ール52と認証サーバ16は別体に構成したが、一体に
構成することも好ましい。この場合、ファイアーウォー
ル10中に認証サーバ18が組み込まれる形態となる。
ール52と認証サーバ16は別体に構成したが、一体に
構成することも好ましい。この場合、ファイアーウォー
ル10中に認証サーバ18が組み込まれる形態となる。
【0073】このような形態を実現するためには、ホス
トベースファイアーウォール52中に、認証サーバ16
の動作を実行するプログラムを組み込み、またハードデ
ィスク等の上に認証テーブル40を構築するのが好まし
い。
トベースファイアーウォール52中に、認証サーバ16
の動作を実行するプログラムを組み込み、またハードデ
ィスク等の上に認証テーブル40を構築するのが好まし
い。
【0074】このような構成は、請求の範囲の「ネット
ワーク装置」の一例に相当する。
ワーク装置」の一例に相当する。
【0075】実施の形態6B(端末及び認証サーバとの
一体化) なお、実施の形態6Aのようにホストベースファイアー
ウォール52と認証サーバ18とを一体に構成する場合
も、これらをローカル端末50上で稼働するプログラム
で実現しても良い。
一体化) なお、実施の形態6Aのようにホストベースファイアー
ウォール52と認証サーバ18とを一体に構成する場合
も、これらをローカル端末50上で稼働するプログラム
で実現しても良い。
【0076】すなわち、ローカル端末50中に、ホスト
ベースファイアーウォール52の動作を実行するプログ
ラムを組み込むと共に、ハードディスク等の上にアクセ
ス制御テーブル26を構築するのである。さらに、ロー
カル端末50中に、認証サーバ18の動作を実行するプ
ログラムを組み込み、またハードディスク等の上に認証
テーブル40を構築するのである。このような構成によ
って、ローカル端末50上で稼働するプログラムを用い
て、ホストベースファイアーウォール52及び認証サー
バ18を実現することができる。
ベースファイアーウォール52の動作を実行するプログ
ラムを組み込むと共に、ハードディスク等の上にアクセ
ス制御テーブル26を構築するのである。さらに、ロー
カル端末50中に、認証サーバ18の動作を実行するプ
ログラムを組み込み、またハードディスク等の上に認証
テーブル40を構築するのである。このような構成によ
って、ローカル端末50上で稼働するプログラムを用い
て、ホストベースファイアーウォール52及び認証サー
バ18を実現することができる。
【0077】
【発明の効果】以上述べたように、本発明によれば、バ
イオメトリックデータによる認証に基づきアクセス制御
ルールを動的に変更等することができるので、アドレス
を利用する者の変更等に迅速に対処することができる。
イオメトリックデータによる認証に基づきアクセス制御
ルールを動的に変更等することができるので、アドレス
を利用する者の変更等に迅速に対処することができる。
【図1】本発明の好適な実施の形態1のファイアーウォ
ールを含むネットワーク構成図である。
ールを含むネットワーク構成図である。
【図2】ファイアーウォールの構成ブロック図である。
【図3】アクセス制御テーブルの内容を表す説明図であ
る。
る。
【図4】認証サーバの構成ブロック図である。
【図5】外部端末の構成ブロック図である。
【図6】本実施の形態におけるアクセスの処理の流れを
表すフローチャートである。
表すフローチャートである。
【図7】本実施の形態におけるアクセスの処理の流れを
表すフローチャートである。
表すフローチャートである。
【図8】ホストベースファイアーウォールを中心とした
ネットワーク構成図である。
ネットワーク構成図である。
10 ファイアーウォール
12 インターネット
14 ローカルネットワーク
16 WEBサーバ
18 認証サーバ
20 外部端末
22 検索手段
24 アクセス拒否手段
26 アクセス制御テーブル
28 アクセス制御手段
30 アクセス制御ルール管理手段
40 認証テーブル
42 検索手段
44 依頼手段
46 WEB閲覧手段
48 認証依頼手段
49 ディスプレイ
50 ローカル端末
52 ホストベースファイアーウォール
Claims (7)
- 【請求項1】 第1ネットワークと、第2ネットワーク
間のアクセスを制御するアクセス制御装置において、 アクセス制御ルールが格納されたアクセス制御テーブル
と、 前記第1ネットワークから第2ネットワークへのアクセ
ス要求があった場合に、要求されたアクセスを、前記ア
クセス制御テーブルから検索する検索手段と、 前記検索手段が前記アクセスを前記アクセス制御テーブ
ルから見いだせなかった場合に、前記発信元にアクセス
拒否を送信する拒否手段と、 前記検索手段が前記発信元を前記アクセス制御テーブル
から見いだせた場合に、前記アクセス制御テーブルに格
納されたアクセス制御ルールに基づき、アクセスを実行
させるアクセス制御手段と、 バイオメトリクス認証結果を第3者に渡す認証サーバか
ら、アクセス制御ルールの設定依頼が送信されてきた場
合に、前記アクセス制御テーブルの内容を変更、追加又
は削除するアクセス制御ルール管理手段と、 を含むことを特徴とするアクセス制御装置。 - 【請求項2】 ネットワークと、前記ネットワークに接
続されたホストとのアクセスを制御するアクセス制御装
置において、 アクセス制御ルールが格納されたアクセス制御テーブル
と、 前記ネットワークから前記ホストへのアクセス要求があ
った場合に、要求されたアクセスを、前記アクセス制御
テーブルから検索する検索手段と、 前記検索手段が前記アクセスを前記アクセス制御テーブ
ルから見いだせなかった場合に、前記発信元にアクセス
拒否を送信する拒否手段と、 前記検索手段が前記発信元を前記アクセス制御テーブル
から見いだせた場合に、前記アクセス制御テーブルに格
納されたアクセス制御ルールに基づき、アクセスを実行
させるアクセス制御手段と、 バイオメトリクス認証結果を第3者に渡す認証サーバか
ら、アクセス制御ルールの設定依頼が送信されてきた場
合に、前記アクセス制御テーブルの内容を変更、追加又
は削除するアクセス制御ルール管理手段と、 を含むことを特徴とするアクセス制御装置。 - 【請求項3】 認証すべき人のバイオメトリックデータ
が予め格納されている認証テーブルと、 実行したい希望アクセス内容とバイオメトリックデータ
とを含む認証依頼を受信した場合に、前記バイオメトリ
ックデータを前記認証テーブル中から検索する検索手段
と、 前記検索手段が前記バイオメトリックデータを前記認証
テーブル中から見いだせた場合に、前記認証依頼に含ま
れる希望アクセス内容を許可するようなアクセス制御ル
ールを設定するように外部のアクセス制御装置に依頼す
る依頼手段と、 を含むことを特徴とする認証装置。 - 【請求項4】 ネットワーク上の所定のホストにアクセ
スしようとした際に、そのアクセスが拒否された場合
に、所定の認証装置に認証依頼を送信する認証依頼手
段、 を含み、 前記認証依頼には、自己を示す識別子と、自己が実行し
ようとする希望アクセス内容と、自己を示すデータであ
るバイオメトリックデータと、が含まれることを特徴と
するネットワークアクセス装置。 - 【請求項5】 第1ネットワークと、第2ネットワーク
間のアクセスを制御するアクセス制御ルールが格納され
たアクセス制御テーブルを備えたコンピュータを、前記
第1ネットワークと、前記第2ネットワーク間のアクセ
スを制御するアクセス制御装置として動作させるための
プログラムにおいて、 前記コンピュータに、 前記第1ネットワークから第2ネットワークへのアクセ
ス要求があった場合に、要求されたアクセスを、前記ア
クセス制御テーブルから検索する検索手順と、 前記検索手順において前記アクセスを前記アクセス制御
テーブルから見いだせなかった場合に、前記発信元にア
クセス拒否を送信する拒否手順と、 前記検索手順において前記発信元を前記アクセス制御テ
ーブルから見いだせた場合に、前記アクセス制御テーブ
ルに格納されたアクセス制御ルールに基づき、アクセス
を実行させるアクセス制御手順と、 バイオメトリクス認証結果を第3者に渡す認証サーバか
ら、アクセス制御ルールの設定依頼が送信されてきた場
合に、前記アクセス制御テーブルの内容を変更、追加又
は削除するアクセス制御ルール管理手順と、 を実行させることを特徴とするアクセス制御プログラ
ム。 - 【請求項6】 ネットワークと、前記ネットワークに接
続されたホストとのアクセスを制御するアクセス制御ル
ールが格納されたアクセス制御テーブルを備えたコンピ
ュータを、前記ネットワークと、前記ネットワークに接
続された前記ホストとのアクセスを制御するアクセス制
御装置として動作させるプログラムにおいて、 前記コンピュータに、 前記ネットワークから前記ホストへのアクセス要求があ
った場合に、要求されたアクセスを、前記アクセス制御
テーブルから検索する検索手順と、 前記検索手順において前記アクセスを前記アクセス制御
テーブルから見いだせなかった場合に、前記発信元にア
クセス拒否を送信する拒否手順と、 前記検索手順において前記発信元を前記アクセス制御テ
ーブルから見いだせた場合に、前記アクセス制御テーブ
ルに格納されたアクセス制御ルールに基づき、アクセス
を実行させるアクセス制御手順と、 バイオメトリクス認証結果を第3者に渡す認証サーバか
ら、アクセス制御ルールの設定依頼が送信されてきた場
合に、前記アクセス制御テーブルの内容を変更、追加又
は削除するアクセス制御ルール管理手順と、 を実行させることを特徴とするアクセス制御プログラ
ム。 - 【請求項7】 認証すべき人のバイオメトリックデータ
が予め格納されている認証テーブルを備えたコンピュー
タを、認証装置として動作させるプログラムにおいて、 前記コンピュータに、 実行したい希望アクセス内容とバイオメトリックデータ
とを含む認証依頼を受信した場合に、前記バイオメトリ
ックデータを前記認証テーブル中から検索する検索手順
と、 前記検索手順において前記バイオメトリックデータを前
記認証テーブル中から見いだせた場合に、前記認証依頼
に含まれる希望アクセス内容を許可するようなアクセス
制御ルールを設定するように外部のアクセス制御装置に
依頼する依頼手順と、 を実行させることを特徴とする認証プログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2001329307A JP2003132020A (ja) | 2001-10-26 | 2001-10-26 | アクセス制御装置及び認証装置及びそれらに関連する装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2001329307A JP2003132020A (ja) | 2001-10-26 | 2001-10-26 | アクセス制御装置及び認証装置及びそれらに関連する装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2003132020A true JP2003132020A (ja) | 2003-05-09 |
Family
ID=19145231
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2001329307A Pending JP2003132020A (ja) | 2001-10-26 | 2001-10-26 | アクセス制御装置及び認証装置及びそれらに関連する装置 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2003132020A (ja) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2005101217A1 (ja) * | 2004-04-14 | 2005-10-27 | Nippon Telegraph And Telephone Corporation | アドレス変換方法、アクセス制御方法、及びそれらの方法を用いた装置 |
| JP2005348402A (ja) * | 2004-05-27 | 2005-12-15 | Microsoft Corp | データ通信網のセキュアな連合 |
| WO2007126835A2 (en) | 2006-03-31 | 2007-11-08 | Amazon Technologies, Inc. | Managing communications between computing nodes |
| CN100470518C (zh) * | 2004-04-14 | 2009-03-18 | 日本电信电话株式会社 | 地址变换方法、访问控制方法及使用这些方法的装置 |
| JP2018029234A (ja) * | 2016-08-15 | 2018-02-22 | 日本電信電話株式会社 | クライアント端末認証システム及びクライアント端末認証方法 |
| JP7509430B2 (ja) | 2021-11-12 | 2024-07-02 | Necプラットフォームズ株式会社 | 通信装置、通信方法及びプログラム |
-
2001
- 2001-10-26 JP JP2001329307A patent/JP2003132020A/ja active Pending
Cited By (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8667170B2 (en) | 2004-04-14 | 2014-03-04 | Nippon Telegraph And Telephone Corporation | Address conversion method, access control method, and device using these methods |
| WO2005101217A1 (ja) * | 2004-04-14 | 2005-10-27 | Nippon Telegraph And Telephone Corporation | アドレス変換方法、アクセス制御方法、及びそれらの方法を用いた装置 |
| CN100470518C (zh) * | 2004-04-14 | 2009-03-18 | 日本电信电话株式会社 | 地址变换方法、访问控制方法及使用这些方法的装置 |
| JP2005348402A (ja) * | 2004-05-27 | 2005-12-15 | Microsoft Corp | データ通信網のセキュアな連合 |
| US8112796B2 (en) | 2004-05-27 | 2012-02-07 | Microsoft Corporation | Secure federation of data communications networks |
| KR101120800B1 (ko) | 2004-05-27 | 2012-03-23 | 마이크로소프트 코포레이션 | 데이터 통신 네트워크들의 보안 연합을 위한 방법 및시스템 |
| US9426181B2 (en) | 2006-03-31 | 2016-08-23 | Amazon Technologies, Inc. | Managing communications between computing nodes |
| EP2008407A4 (en) * | 2006-03-31 | 2015-03-25 | Amazon Tech Inc | COMMUNICATION MANAGEMENT BETWEEN DATA NODES |
| WO2007126835A2 (en) | 2006-03-31 | 2007-11-08 | Amazon Technologies, Inc. | Managing communications between computing nodes |
| US9794294B2 (en) | 2006-03-31 | 2017-10-17 | Amazon Technologies, Inc. | Managing communications between computing nodes |
| US10367850B2 (en) | 2006-03-31 | 2019-07-30 | Amazon Technologies, Inc. | Managing communications between computing nodes |
| US10764331B2 (en) | 2006-03-31 | 2020-09-01 | Amazon Technologies, Inc. | Network-accessible service for managing communications for computing node groups using rules |
| US11451589B2 (en) | 2006-03-31 | 2022-09-20 | Amazon Technologies, Inc. | Configurable application execution service for executing applications on virtual machines |
| US12003548B2 (en) | 2006-03-31 | 2024-06-04 | Amazon Technologies, Inc. | Transmissions management rules for virtual machine communications |
| JP2018029234A (ja) * | 2016-08-15 | 2018-02-22 | 日本電信電話株式会社 | クライアント端末認証システム及びクライアント端末認証方法 |
| JP7509430B2 (ja) | 2021-11-12 | 2024-07-02 | Necプラットフォームズ株式会社 | 通信装置、通信方法及びプログラム |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN100511203C (zh) | 数据库访问控制方法、控制装置及代理处理服务器装置 | |
| EP2856702B1 (en) | Policy service authorization and authentication | |
| CN1833228B (zh) | 用于实现远程客户端完整性验证的设备、系统、方法 | |
| JP5509334B2 (ja) | コンピュータネットワーク内の保護リソースへのアクセスを管理するための方法と、そのための物理エンティティおよびコンピュータプログラム | |
| US8719433B2 (en) | Methods and apparatus for scalable secure remote desktop access | |
| US12335263B2 (en) | Identity proxy and access gateway | |
| CN102473229B (zh) | 访问控制列表的修改 | |
| US8959613B2 (en) | System and method for managing access to a plurality of servers in an organization | |
| US20050138417A1 (en) | Trusted network access control system and method | |
| US8042153B2 (en) | Reducing overhead associated with distributed password policy enforcement operations | |
| WO2014120621A2 (en) | Securing communication over a network using client integrity verification | |
| EP2045997B1 (en) | Identity-based address normalization | |
| KR102870003B1 (ko) | 에지 컴퓨팅 시스템 그리고 이의 네트워크 접근 제어 방법 | |
| US8516602B2 (en) | Methods, apparatuses, and computer program products for providing distributed access rights management using access rights filters | |
| WO2005088909A1 (ja) | アクセス制御システム、並びにそれに用いられるアクセス制御装置、及びリソース提供装置 | |
| US7072969B2 (en) | Information processing system | |
| JP2003132020A (ja) | アクセス制御装置及び認証装置及びそれらに関連する装置 | |
| US20260052147A1 (en) | System for Cross-Domain Identity Management (SCIM) Proxy Service | |
| KR20050122343A (ko) | 네트워크 통합 관리 시스템 | |
| JP2016110300A (ja) | 認証システム | |
| WO2021055989A1 (en) | Distributed attribute based access control as means of data protection and collaboration in sensitive (personal) digital record and activity trail investigations | |
| JP2002108822A (ja) | セキュリティ管理方式 | |
| JP2020052497A (ja) | 情報処理装置およびプログラム | |
| JP4559648B2 (ja) | 認証システム、および認証サーバ | |
| JP2004054488A (ja) | ファイアウォール装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20041021 |
|
| RD02 | Notification of acceptance of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7422 Effective date: 20041021 |
|
| RD02 | Notification of acceptance of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7422 Effective date: 20070713 |
|
| A072 | Dismissal of procedure [no reply to invitation to correct request for examination] |
Free format text: JAPANESE INTERMEDIATE CODE: A073 Effective date: 20071225 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20080610 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20081021 |