[go: up one dir, main page]

JP2008294502A - Access control system - Google Patents

Access control system Download PDF

Info

Publication number
JP2008294502A
JP2008294502A JP2007135009A JP2007135009A JP2008294502A JP 2008294502 A JP2008294502 A JP 2008294502A JP 2007135009 A JP2007135009 A JP 2007135009A JP 2007135009 A JP2007135009 A JP 2007135009A JP 2008294502 A JP2008294502 A JP 2008294502A
Authority
JP
Japan
Prior art keywords
information
processing terminal
information processing
authentication
access
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2007135009A
Other languages
Japanese (ja)
Inventor
Toshihiro Nozue
敏弘 野末
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Fielding Ltd
Original Assignee
NEC Fielding Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Fielding Ltd filed Critical NEC Fielding Ltd
Priority to JP2007135009A priority Critical patent/JP2008294502A/en
Publication of JP2008294502A publication Critical patent/JP2008294502A/en
Pending legal-status Critical Current

Links

Images

Landscapes

  • Small-Scale Networks (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Telephonic Communication Services (AREA)

Abstract

<P>PROBLEM TO BE SOLVED: To improve security by controlling access to a predetermined network. <P>SOLUTION: Disclosed is an access control system which controls access to the network by an information processing terminal via an access point installed in a specified area. The access control system includes: an identification information registering means of receiving and registering inputs of preset specific identification information by information processing terminals; an entrance permitting means which is installed at an entrance to the specified area and permits an information processing terminal decided to have its identification information registered by the identification information registering means on the basis of information transmitted from the information processing terminal, to enter the specified area; and an access permitting means of permitting an information processing terminal to access the predetermined network when deciding that the information processing terminal accessing an access point is the one permitted by the entrance permitting means to enter the area on the basis of the information transmitted from the information processing terminal. <P>COPYRIGHT: (C)2009,JPO&INPIT

Description

本発明は、アクセス制御システムにかかり、特に、所定領域内において情報処理端末による無線ネットワークへのアクセス制御を行うシステムに関する。   The present invention relates to an access control system, and more particularly to a system for performing access control to a wireless network by an information processing terminal within a predetermined area.

近年、コンピュータによるネットワーク接続には、有線ケーブルを使用しない無線ネットワークが普及している。そして、このような無線ネットワークを用いる場合には、所定の領域内である室内に設置するアクセスポイントによる電波が、当該室内にのみ届くように設定することで、室内に存在するコンピュータに対してのみアクセスを許可し、第三者による不正アクセスを抑制している。例えば、特許文献1に記載されているように、ホットスポットサービスにて利用される。そして、アクセスポイントを介してインターネットにアクセスするコンピュータの認証は、例えば、コンピュータや装備されているネットワーク機器などに固有の識別情報であるMACアドレスを用いて行う。   In recent years, wireless networks that do not use wired cables have become widespread for network connections by computers. When such a wireless network is used, it is set so that radio waves from an access point installed in a room within a predetermined area can reach only the room, so that only the computer existing in the room Access is permitted and unauthorized access by third parties is suppressed. For example, as described in Patent Document 1, it is used in a hot spot service. Then, authentication of a computer that accesses the Internet via an access point is performed using, for example, a MAC address that is identification information unique to the computer or a network device that is equipped.

しかしながら、上述したような所定領域内(室内)においてのみアクセスを許容する無線ネットワークであっても、電波の届く範囲であれば所定領域外(室外)といった外部からコンピュータによるアクセス可能となってしまい、不正な者によってアクセスされる可能性があり、セキュリティが低下する、という問題が生じる。一方で、アクセスポイントにアクセスしてきたコンピュータを上述したようにMACアドレスを用いて接続許可/不許可を判断することもできるが、そのコンピュータが許可区域からのアクセスであるか、不許可区域からのアクセスであるか、を判定できない。かかる場合には、セキュリティの問題からコンピュータの使用場所を限定したい場合であっても、それを限定することができず、上記同様に、セキュリティの低下という問題が生じうる。   However, even in a wireless network that allows access only within the predetermined area (indoors) as described above, it can be accessed by a computer from outside the predetermined area (outdoors) as long as the radio wave reaches, There is a possibility of being accessed by an unauthorized person, resulting in a problem that security is lowered. On the other hand, as described above, it is possible to determine whether the computer that has accessed the access point is permitted or not permitted to connect using the MAC address, but whether the computer is accessed from the permitted area or from the unauthorized area. It cannot be determined whether the access is made. In such a case, even if it is desired to limit the place where the computer is used due to security problems, it cannot be limited, and a problem of reduced security may occur as described above.

また、関連する技術が、下記特許文献2,3,4に開示されている。特許文献2に開示の技術は、暗号キーなどの接続情報が予め記憶されたメモリーカードを装着した端末が、かかる接続情報を利用してアクセスポイントにアクセスし、認証が成功した場合に、端末固有の端末識別子(MACアドレス)とメモリーカードに記憶された認証情報とを登録する、というものである。そして、登録されたMACアドレス及び認証情報に基づいて、端末の接続を許可している。しかし、メモリーカードには、MACアドレスを登録する前に行う認証に必要な暗号キーなどが記憶されるだけであり、つまり、端末を特定する情報は記憶されていない。このため、メモリーカードを装着した端末はいずれも接続可能となってしまう、という問題が生じる。また、特定の領域外からのアクセスを防止する技術については記載されていない。   Related techniques are disclosed in the following Patent Documents 2, 3, and 4. The technique disclosed in Patent Document 2 is specific to a terminal when a terminal equipped with a memory card in which connection information such as an encryption key is stored in advance accesses an access point using the connection information and authentication is successful. The terminal identifier (MAC address) and authentication information stored in the memory card are registered. The terminal connection is permitted based on the registered MAC address and authentication information. However, the memory card only stores an encryption key or the like necessary for authentication performed before registering the MAC address, that is, information for identifying the terminal is not stored. For this reason, there arises a problem that any terminal equipped with a memory card can be connected. Further, there is no description about a technique for preventing access from outside a specific area.

また、特許文献3には、セキュリティカードを用いて、エリアの出入口に設置された入退場管理装置にてユーザの入退場管理を行う、という技術が開示されている。しかし、かかる技術でも、カードを有していれば他人のコンピュータによる接続が可能となってしまい、なりすましの問題が生じる。また、エリアへの入退場はカードで管理しているため、一旦エリアに入った端末が外に出た場合でも、無線通信が届く場合には、エリア外でも利用可能となってしまうという問題が生じる。   Patent Document 3 discloses a technique in which a security card is used to manage entry / exit of a user with an entrance / exit management device installed at an entrance / exit of an area. However, even with such a technique, if a card is provided, connection by another person's computer becomes possible, and a problem of impersonation arises. In addition, since entry / exit to the area is managed with a card, there is a problem that even if a terminal once entered the area goes out, it can be used outside the area if wireless communication arrives. Arise.

さらに、特許文献4には、所定場所に入場する際に通過する入場ゲートを備えたシステムが開示されている。具体的には、近距離無線通信にて移動無線端末と通信を行い、当該移動無線端末が予め登録された端末であるか否かを認証し、入場ゲート開閉する、というシステムである。しかし、かかる技術では、移動無線端末を有するユーザの入場を規制するだけのシステムであって、上述したように、アクセスポイントを介したネットワークへのアクセスに関する技術は開示されていない。従って、アクセスポイントが設置された領域外からの不正アクセスへの対策は取られておらず、依然としてセキュリティの向上を図ることができない、という問題が生じる。   Further, Patent Document 4 discloses a system including an entrance gate that passes when entering a predetermined place. Specifically, it is a system that communicates with a mobile wireless terminal by short-range wireless communication, authenticates whether or not the mobile wireless terminal is a pre-registered terminal, and opens and closes an entrance gate. However, such a technique is a system that only restricts entry of a user having a mobile radio terminal, and as described above, a technique relating to access to a network via an access point is not disclosed. Therefore, there is a problem that no countermeasure is taken against unauthorized access from outside the area where the access point is installed, and security cannot be improved.

特開2003−318991号公報JP 2003-318991 A 特開2006−67174号公報JP 2006-67174 A 特開2006−345451号公報JP 2006-345451 A 特開2003−30363号公報JP 2003-30363 A

このため、本発明では、上記従来例の有する不都合を改善し、特に、特定領域における情報処理端末による無線通信を介した所定のネットワーク網へのアクセス制御を行うことで、不正アクセスを抑制し、セキュリティの向上を図る、ことをその目的とする。   For this reason, in the present invention, the inconvenience of the above conventional example is improved, and in particular, unauthorized access is suppressed by performing access control to a predetermined network via wireless communication by an information processing terminal in a specific area, The purpose is to improve security.

そこで、本発明の一形態であるアクセス制御システムは、
特定の領域内に設置されたアクセスポイントに無線通信にてアクセスしてきた情報処理端末に対して、アクセスポイントを介したネットワーク網へのアクセス制御を行うアクセス制御システムであって、
情報処理端末毎に予め設定された固有の識別情報の入力を受け付けて登録する識別情報登録手段と、
特定の領域の入口に設置されており、情報処理端末から送信された情報に基づいて識別情報登録手段にて識別情報が登録されていると判断した情報処理端末に対して特定の領域への入場を許可する入場許可手段と、
アクセスポイントに対してアクセスしてきた情報処理端末が、当該情報処理端末から送信された情報に基づいて入場許可手段にて入場を許可された情報処理端末であると判断した場合に、当該情報処理端末に対して所定のネットワーク網へのアクセスを許可するアクセス許可手段と、
を備えた、という構成を採っている。 Therefore, an access control system according to one aspect of the present invention is
An access control system that performs access control to a network via an access point for an information processing terminal that has accessed an access point installed in a specific area by wireless communication,
Identification information registration means for receiving and registering input of unique identification information preset for each information processing terminal;
Admission to a specific area for an information processing terminal that is installed at the entrance of a specific area and that has been determined that identification information has been registered by the identification information registration means based on information transmitted from the information processing terminal Admission permission means to allow
When it is determined that the information processing terminal that has accessed the access point is the information processing terminal permitted to enter by the entrance permission means based on the information transmitted from the information processing terminal, the information processing terminal An access permission means for permitting access to a predetermined network,
It has the structure of having.

本発明は、以上のように構成されているため、事前に登録した情報処理端末のみが特定の領域に入場することができ、かつ、特定の領域に入場が許可された情報処理端末のみが所定のネットワーク網にアクセスすることができる。従って、所定のネットワーク網にアクセスする情報処理端末を制限することができ、不正アクセスを抑制し、セキュリティの向上を図ることができる、という従来にない優れた効果を有する。   Since the present invention is configured as described above, only information processing terminals registered in advance can enter a specific area, and only information processing terminals permitted to enter the specific area are predetermined. Access to any network. Therefore, it has an unprecedented superior effect that information processing terminals accessing a predetermined network can be restricted, unauthorized access can be suppressed, and security can be improved.

本発明の一形態は、
特定の領域内に設置されたアクセスポイントに無線通信にてアクセスしてきた情報処理端末に対して、アクセスポイントを介したネットワーク網へのアクセス制御を行うアクセス制御システムであって、
情報処理端末毎に予め設定された固有の識別情報の入力を受け付けて登録する識別情報登録手段と、
特定の領域の入口に設置されており、情報処理端末から送信された情報に基づいて識別情報登録手段にて識別情報が登録されていると判断した情報処理端末に対して特定の領域への入場を許可する入場許可手段と、
アクセスポイントに対してアクセスしてきた情報処理端末が、当該情報処理端末から送信された情報に基づいて入場許可手段にて入場を許可された情報処理端末であると判断した場合に、当該情報処理端末に対して所定のネットワーク網へのアクセスを許可するアクセス許可手段と、
を備えた、という構成を採っている。 One aspect of the present invention is:
An access control system that performs access control to a network via an access point for an information processing terminal that has accessed an access point installed in a specific area by wireless communication,
Identification information registration means for receiving and registering input of unique identification information preset for each information processing terminal;
Admission to a specific area for an information processing terminal that is installed at the entrance of a specific area and that has been determined that identification information has been registered by the identification information registration means based on information transmitted from the information processing terminal Admission permission means to allow
When it is determined that the information processing terminal that has accessed the access point is the information processing terminal permitted to enter by the entrance permission means based on the information transmitted from the information processing terminal, the information processing terminal An access permission means for permitting access to a predetermined network,
It has the structure of having.

また、上記構成に加え、識別情報登録手段は、情報処理端末から受け付けた識別情報に対応し、当該情報処理端末に搭載される記憶手段に記憶される固有の認証情報を発行する認証情報発行手段と、識別情報と認証情報とを関連付けて登録するデータ管理手段と、を備え、
入場許可手段は、情報処理端末から送信された認証情報の入力を受け付けて、この受け付けた認証情報がデータ管理手段に登録されている場合に、その情報処理端末に対して特定の領域への入場を許可する、
という構成を採っている。 Further, in addition to the above configuration, the identification information registration means corresponds to the identification information received from the information processing terminal, and issues authentication information issuing means for issuing unique authentication information stored in the storage means mounted on the information processing terminal. And data management means for registering identification information and authentication information in association with each other,
The admission means accepts input of authentication information transmitted from the information processing terminal, and when the accepted authentication information is registered in the data management means, admission to the information processing terminal enters a specific area. Allow,
The structure is adopted.

また、上記構成に加え、入場許可手段は、特定の領域への入場を許可した情報処理端末が入場中であることを表す入場情報の登録をデータ管理手段に依頼し、
データ管理手段は、入場許可手段から入場情報の登録を依頼された情報処理端末について登録されている識別情報に対して、入場情報を対応付けて登録し、
アクセス許可手段は、情報処理端末から送信された識別情報の入力を受け付けて、この受け付けた識別情報に入場情報が関連付けて登録されている場合に、その情報処理端末に対して所定のネットワーク網へのアクセスを許可する、
という構成を採っている。 In addition to the above configuration, the admission permission means requests the data management means to register admission information indicating that the information processing terminal permitted to enter the specific area is entering,
The data management means registers the admission information in association with the identification information registered for the information processing terminal requested to register the admission information by the admission permission means,
The access permission means accepts the input of identification information transmitted from the information processing terminal, and when the entry information is registered in association with the received identification information, the access permission means sends the information processing terminal to a predetermined network. Allow access to
The structure is adopted.

また、上記構成に加え、認証情報発行手段は、情報処理端末の内部に格納された記憶手段に発行した認証情報を格納するよう、当該認証情報を近距離無線通信にて情報処理端末に送信する、という構成を採っている。   In addition to the above configuration, the authentication information issuing means transmits the authentication information to the information processing terminal by short-range wireless communication so as to store the authentication information issued to the storage means stored inside the information processing terminal. , Is adopted.

また、上記構成に加え、認証情報発行手段は、認証情報を記憶すると共に当該認証情報を近距離無線通信にて外部に送信可能であり、情報処理端末に貼付されるRFIDタグを生成して発行し、
入場許可手段は、情報処理端末に貼付されたRFIDタグから送信された認証情報を受け付ける、
という構成を採っている。 Further, in addition to the above configuration, the authentication information issuing means stores the authentication information and can transmit the authentication information to the outside through short-range wireless communication, and generates and issues an RFID tag attached to the information processing terminal. And
The admission means accepts authentication information transmitted from the RFID tag attached to the information processing terminal.
The structure is adopted.

さらに、上記構成に加え、入場許可手段は、特定の領域の出入口に設置されており、情報処理端末から送信された情報に基づいて当該情報処理端末の特定の領域からの退場を管理する、という構成を採っている。   Furthermore, in addition to the above configuration, the admission permission means is installed at the entrance / exit of the specific area, and manages the exit of the information processing terminal from the specific area based on the information transmitted from the information processing terminal. The composition is taken.

上記発明によると、まず、識別情報登録手段に情報処理端末毎に固有の識別情報が入力されると、この識別情報に対応する固有の認証情報を発行し(認証情報発行手段)、この認証情報と識別情報とを関連付けて登録する(データ管理手段)。そして、識別情報に対応して発行された認証情報は、情報処理端末の内部又は外部に搭載される記憶手段に格納される。例えば、情報処理端末の内部に装備されたメモリに認証情報が格納されたり、あるいは、認証情報が格納されたRFIDタグが発行され情報処理端末に貼付される。その後、特定の領域の入口に設置された入場許可手段に対して情報処理端末が認証情報を送信すると、この認証情報がデータ管理手段にて登録されているか否かを判断し、登録されている場合に、この情報処理端末の入場を許可する。そして、入場を許可された情報処理端末が特定の領域に入場して、当該特定の領域内に設置されているアクセスポイントに対して無線通信にて識別情報を送信して、ネットワーク網へのアクセスを要求する。すると、アクセス許可手段は、アクセス要求してきた情報処理端末の識別情報が登録されており、かつ、入場が許可されている場合に、所定のネットワーク網へのアクセスを許可する。   According to the above invention, first, when identification information unique to each information processing terminal is input to the identification information registration means, unique authentication information corresponding to this identification information is issued (authentication information issuing means), and this authentication information is issued. And identification information are registered in association with each other (data management means). The authentication information issued corresponding to the identification information is stored in a storage unit mounted inside or outside the information processing terminal. For example, authentication information is stored in a memory provided inside the information processing terminal, or an RFID tag storing authentication information is issued and attached to the information processing terminal. After that, when the information processing terminal transmits authentication information to the admission permission means installed at the entrance of a specific area, it is determined whether or not this authentication information is registered in the data management means. In this case, admission of this information processing terminal is permitted. Then, an information processing terminal permitted to enter enters a specific area, transmits identification information to an access point installed in the specific area by wireless communication, and accesses the network Request. Then, the access permission means permits access to a predetermined network when the identification information of the information processing terminal that has requested access is registered and entry is permitted.

これにより、事前に固有の識別情報を登録した情報処理端末のみが特定の領域に入場することができ、かつ、特定の領域に入場が許可された情報処理端末のみが所定のネットワーク網にアクセスすることができる。従って、所定のネットワーク網への不正アクセスを抑制することができると共に、特定の領域に対する情報処理端末の持ち込みを管理することができ、セキュリティの向上を図ることができる。特に、情報処理端末に予め設定されている識別情報の登録時に、これに対応する認証情報を発行して情報処理端末に格納し、入場時の認証に用いることで、より高度なセキュリティを実現できる。例えば、予め近距離無線通信手段を備えた情報処理端末に対しては、発行した認証情報を近距離無線通信手段を介して送信して情報処理端末に格納することができる。一方、情報処理端末が予め近距離無線通信手段等を装備していなくても、認証情報を記憶した近距離無線通信可能なRFIDを発行してコンピュータに貼付することで、上記同様の構成を採ることができる。   As a result, only information processing terminals that have registered unique identification information in advance can enter a specific area, and only information processing terminals permitted to enter the specific area access a predetermined network. be able to. Accordingly, it is possible to suppress unauthorized access to a predetermined network, and to manage bringing in an information processing terminal to a specific area, thereby improving security. In particular, at the time of registration of identification information preset in the information processing terminal, higher security can be realized by issuing authentication information corresponding to this and storing it in the information processing terminal and using it for authentication at the time of entrance. . For example, the issued authentication information can be transmitted via the short-range wireless communication means and stored in the information processing terminal for the information processing terminal previously provided with the short-range wireless communication means. On the other hand, even if the information processing terminal is not preliminarily equipped with short-range wireless communication means or the like, the same configuration as described above is adopted by issuing an RFID capable of short-range wireless communication storing authentication information and attaching it to a computer. be able to.

また、本発明の他の形態は、
特定の領域内に設置されたアクセスポイントに無線通信にてアクセスしてきた情報処理端末に対して、アクセスポイントを介したネットワーク網へのアクセス制御を行うデータ管理装置であって、
情報処理端末毎に予め設定された固有の識別情報の入力を受け付けた認証情報発行手段にて当該受け付けた識別情報に対応して発行され情報処理端末に搭載される記憶手段に記憶される固有の認証情報を、識別情報と関連付けて記憶する識別情報登録部と、
特定の領域の入口に設置されている入場許可手段に対して情報処理端末から送信された情報に基づいて、当該情報処理端末の識別情報が識別情報登録部にて登録されていると判断した場合に、入場許可手段に対してその情報処理端末の特定の領域への入場を許可するよう指令する入場認証部と、
アクセスポイントに対してアクセスしてきた前記情報処理端末が、当該情報処理端末から送信された情報に基づいて入場認証部にて前記特定の領域に入場を許可された情報処理端末であると判断した場合に、当該情報処理端末に対してアクセスポイントを介して所定のネットワーク網へのアクセスを許可するよう当該アクセスポイントに指令するアクセス判定部と、
を備えた、という構成を採っている。 Moreover, the other form of this invention is:
A data management device that controls access to a network via an access point for an information processing terminal that has accessed an access point installed in a specific area by wireless communication,
The authentication information issuing means that has received the input of unique identification information set in advance for each information processing terminal is issued corresponding to the received identification information and stored in the storage means mounted on the information processing terminal An identification information registration unit for storing the authentication information in association with the identification information;
When it is determined that the identification information of the information processing terminal is registered in the identification information registration unit based on the information transmitted from the information processing terminal to the admission means installed at the entrance of the specific area In addition, an admission authentication unit that instructs the admission means to allow admission to a specific area of the information processing terminal,
When it is determined that the information processing terminal that has accessed the access point is an information processing terminal permitted to enter the specific area by the admission authentication unit based on information transmitted from the information processing terminal An access determination unit for instructing the access point to permit the information processing terminal to access the predetermined network via the access point;
It has the structure of having.

また、本発明の他の形態は、
特定の領域内に設置されたアクセスポイントに無線通信にてアクセスしてきた情報処理端末に対して、前記アクセスポイントを介したネットワーク網へのアクセス制御を行うデータ管理装置に、
情報処理端末毎に予め設定された固有の識別情報の入力を受け付けた認証情報発行手段にて当該受け付けた識別情報に対応して発行され情報処理端末に搭載される記憶手段に記憶される固有の認証情報を、識別情報と関連付けて記憶する識別情報登録部と、
特定の領域の入口に設置されている入場許可手段に対して情報処理端末から送信された情報に基づいて、当該情報処理端末の識別情報が識別情報登録部にて登録されていると判断した場合に、入場許可手段に対してその情報処理端末の特定の領域への入場を許可するよう指令する入場認証部と、
アクセスポイントに対してアクセスしてきた情報処理端末が、当該情報処理端末から送信された情報に基づいて入場認証部にて特定の領域に入場を許可された情報処理端末であると判断した場合に、当該情報処理端末に対してアクセスポイントを介して所定のネットワーク網へのアクセスを許可するよう当該アクセスポイントに指令するアクセス判定部と、
を実現させるためのプログラムである。 Moreover, the other form of this invention is:
For an information processing terminal that has accessed an access point installed in a specific area by wireless communication, a data management device that performs access control to a network via the access point,
The authentication information issuing means that has received the input of unique identification information set in advance for each information processing terminal is issued corresponding to the received identification information and stored in the storage means mounted on the information processing terminal An identification information registration unit for storing the authentication information in association with the identification information;
When it is determined that the identification information of the information processing terminal is registered in the identification information registration unit based on the information transmitted from the information processing terminal to the admission means installed at the entrance of the specific area And an admission authentication unit that instructs the admission means to allow admission to a specific area of the information processing terminal,
When it is determined that the information processing terminal that has accessed the access point is an information processing terminal that is permitted to enter a specific area by the admission authentication unit based on information transmitted from the information processing terminal, An access determination unit that instructs the access point to permit the information processing terminal to access the predetermined network via the access point;
It is a program for realizing.

また、本発明の他の形態は、
特定の領域内に設置されたアクセスポイントに無線通信にてアクセスしてきた情報処理端末に対して、前記アクセスポイントを介したネットワーク網へのアクセス制御を行うアクセス制御方法であって、
情報処理端末毎に予め設定された固有の識別情報の入力を受け付けて登録する識別情報登録工程と、
特定の領域の入口に設置されている入場許可手段に対して情報処理端末から送信された情報に基づいて識別情報登録工程にて識別情報が登録されていると判断した情報処理端末に対して、特定の領域への入場を許可する入場許可工程と、
アクセスポイントに対してアクセスしてきた情報処理端末が、当該情報処理端末から送信された情報に基づいて入場許可工程にて入場を許可された情報処理端末であると判断した場合に、当該情報処理端末に対して所定のネットワーク網へのアクセスを許可するアクセス許可工程と、
を有する、という構成を採っている。 Moreover, the other form of this invention is:
An access control method for performing access control to a network via the access point for an information processing terminal that has accessed the access point installed in a specific area by wireless communication,
An identification information registration step of receiving and registering input of unique identification information preset for each information processing terminal;
For the information processing terminal that has determined that the identification information is registered in the identification information registration step based on the information transmitted from the information processing terminal to the entrance permission means installed at the entrance of the specific area, An admission process that allows admission to specific areas;
When it is determined that the information processing terminal that has accessed the access point is the information processing terminal permitted to enter in the entrance permission process based on the information transmitted from the information processing terminal, the information processing terminal An access permission step for permitting access to a predetermined network,
It has the structure of having.

そして、上記構成に加え、識別情報登録工程は、情報処理端末から受け付けた識別情報に対応し、当該情報処理端末に搭載される記憶手段に記憶される固有の認証情報を発行する認証情報発行工程と、識別情報と認証情報とを関連付けて登録するデータ管理工程と、を有し、
入場許可工程は、情報処理端末から送信された認証情報の入力を受け付けて、この受け付けた認証情報がデータ管理工程にて登録されている場合に、その情報処理端末に対して特定の領域への入場を許可する、
ことを特徴としている。 In addition to the above configuration, the identification information registration step corresponds to the identification information received from the information processing terminal and issues unique authentication information stored in the storage means mounted on the information processing terminal. And a data management step of registering the identification information and the authentication information in association with each other,
The admission permission process accepts input of authentication information transmitted from the information processing terminal, and when the accepted authentication information is registered in the data management process, the information processing terminal Allow admission,
It is characterized by that.

以下、本発明であるアクセス制御システムの具体的な構成及び動作を、実施例にて説明する。   The specific configuration and operation of the access control system according to the present invention will be described below with reference to examples.

本発明の第1の実施例を、図1乃至図16を参照して説明する。図1は、アクセス制御システムの全体構成を示す概略図であり、図2は、その詳細な構成を示すブロック図である。図3乃至図7は、アクセス制御システムを構成する各装置の構成を示す機能ブロック図であり、図8は、アクセス制御システムで管理されるデータの一例を示す図である。図9乃至図12は、アクセス制御システムの動作を示す説明図であり、図13乃至図16は、動作を示すシーケンス図である。   A first embodiment of the present invention will be described with reference to FIGS. FIG. 1 is a schematic diagram showing the overall configuration of the access control system, and FIG. 2 is a block diagram showing the detailed configuration thereof. 3 to 7 are functional block diagrams showing the configuration of each device constituting the access control system, and FIG. 8 is a diagram showing an example of data managed by the access control system. 9 to 12 are explanatory diagrams showing the operation of the access control system, and FIGS. 13 to 16 are sequence diagrams showing the operation.

[構成]
まず、図1乃至図2を参照して、アクセス制御システムの全体構成について説明する。図1に示すように、本発明におけるアクセス制御システムは、ユーザUが操作するユーザ端末6(情報処理装置)が、アクセス許可区域A内から、当該アクセス許可区域A内に設置されたアクセスポイント(AP)4を介して、無線通信にて所定のネットワーク網Nにアクセスすることを制御するためのシステムである。ここで、アクセス許可区域Aとは、例えば、企業内でセキュリティ管理された特定の部屋といった特定の領域である。また、ユーザ端末6がアクセスポイントを介してアクセスするネットワーク網とは、例えば、企業内イントラネット網やインターネット網である。 [Constitution]
First, the overall configuration of the access control system will be described with reference to FIGS. As shown in FIG. 1, the access control system according to the present invention is configured such that a user terminal 6 (information processing device) operated by a user U is accessed from an access permission area A to an access point installed in the access permission area A ( AP) 4 is a system for controlling access to a predetermined network N through wireless communication. Here, the access-permitted area A is a specific area such as a specific room whose security is managed in the company. Moreover, the network network which the user terminal 6 accesses via an access point is, for example, a corporate intranet network or the Internet network.

そして、図1に示すように、本実施例におけるアクセス制御システムは、アクセス許可区域Aの出入口に、当該区域A内にユーザUが通過することを制限するゲート51や扉を有するゲート型認証装置5(入場許可手段)を備えている。また、アクセスポイント4に対してアクセスしてきたユーザ端末6に対するネットワーク網Nへの接続の可否を管理するネットワーク管理装置3(アクセス許可手段)を備えている。さらに、事前にネットワーク網Nにアクセス可能なユーザ端末6を登録する識別情報登録装置10(識別情報登録手段)を備えている。この識別情報登録装置10は、上記ゲート型認証装置5とネットワーク管理装置3とに接続されている。そして、識別情報登録装置10は、登録されたユーザ情報に基づいて、ゲート型認証装置5に対して入場要求してきたユーザ端末6の入場を許可するか、さらには、アクセスポイント4に対して接続要求してきたユーザ端末6のネットワーク網Nへのアクセスを許可するか、ということを判断する機能を有する(入場許可手段、アクセス許可手段)。   As shown in FIG. 1, the access control system according to the present embodiment includes a gate type authentication device having a gate 51 or a door that restricts the user U from passing through the area A at the entrance / exit of the access permission area A. 5 (entrance permission means). A network management device 3 (access permission means) that manages whether or not the user terminal 6 that has accessed the access point 4 can connect to the network N is provided. Furthermore, an identification information registration device 10 (identification information registration means) for registering a user terminal 6 that can access the network N in advance is provided. The identification information registration device 10 is connected to the gate type authentication device 5 and the network management device 3. Then, the identification information registration device 10 permits entry of the user terminal 6 that has requested entry to the gate type authentication device 5 based on the registered user information, or further connects to the access point 4. It has a function of determining whether to permit access to the network N of the requested user terminal 6 (admission permission means, access permission means).

ここで、図1に開示したアクセス制御システムの識別情報登録装置10をさらに具体化した構成を図2に示す。この図に示すように、アクセス制御システムは、上述した識別情報登録装置10として、認証チップ発給装置1と、データ管理装置2と、を備えている。そして、データ管理装置2は、認証チップ発給装置1と、ゲート型認証装置5と、ネットワーク管理装置3と、に接続されており、ユーザ端末6のアクセス制御を行うべく、当該ユーザ端末6ごとの情報を管理している。以下、アクセス制御システムを構成する各装置について、さらに詳述する。   Here, FIG. 2 shows a configuration in which the identification information registration apparatus 10 of the access control system disclosed in FIG. 1 is further embodied. As shown in this figure, the access control system includes an authentication chip issuing device 1 and a data management device 2 as the identification information registration device 10 described above. The data management device 2 is connected to the authentication chip issuing device 1, the gate type authentication device 5, and the network management device 3, and for each user terminal 6 to perform access control of the user terminal 6. Information is managed. Hereinafter, each device constituting the access control system will be described in more detail.

まず、ユーザ端末6のアクセス制御を行うネットワーク網は、そのユーザUが所属する会社内のイントラネット網Nであることとする。また、イントラネット網Nは、さらにインターネット網に接続されていることとする。そして、イントラネット網Nには、無線通信可能なアクセスポイント(AP)4が接続されている。このアクセスポイント4は、無線通信にてアクセスしてきたユーザ端末4とイントラネット網Nとの間の通信を中継する機能を有する。そして、上記アクセスポイント4は、当該アクセスポイント4と無線通信可能なエリア(図2の斜線領域を参照)となる会社のセキュリティ室といったアクセス許可区域A内に設置されている。従って、主に、アクセス許可区域A内でのみ、ユーザ端末6はアクセスポイント4に無線通信可能となり、イントラネット網Nにアクセス可能となる。なお、アクセスポイント4は、図示されているように1台が装備されていることに限定されず、複数台が装備されていてもよい。   First, it is assumed that the network for performing access control of the user terminal 6 is an intranet network N in the company to which the user U belongs. The intranet network N is further connected to the Internet network. An access point (AP) 4 capable of wireless communication is connected to the intranet network N. The access point 4 has a function of relaying communication between the user terminal 4 that has been accessed by wireless communication and the intranet network N. The access point 4 is installed in an access-permitted area A such as a company security room that is an area where wireless communication with the access point 4 is possible (see the shaded area in FIG. 2). Therefore, mainly within the access-permitted area A, the user terminal 6 can wirelessly communicate with the access point 4 and can access the intranet network N. In addition, the access point 4 is not limited to being equipped with one unit as shown in the figure, and may be equipped with a plurality of units.

次に、ユーザ端末6の構成について、図3の機能ブロック図を参照して説明する。ユーザ端末は、上記アクセスポイント4と無線通信可能なようネットワーク接続機能を有する無線通信部12を備え、ユーザにて操作されるノートパソコンなどのコンピュータである。また、ユーザ端末6は、RFIDタグ61を装備しており、後述する認証チップ発給装置1及びゲート型認証装置5と近距離無線通信が可能となっている。また、ユーザ端末6のCPUには、所定のプログラムが組み込まれることにより、認証データ発給処理部63と、ゲート認証処理部64と、無線アクセス処理部65と、が構築されている。また、ユーザ端末6内のメモリには、端末毎に予め設定された固有の識別情報であるMACアドレスを記憶した端末データ記憶部66と、認証チップ発給装置1にて発給される認証データを記憶する認証データ記憶部67と、が形成されている。   Next, the configuration of the user terminal 6 will be described with reference to the functional block diagram of FIG. The user terminal is a computer such as a laptop computer that includes a wireless communication unit 12 having a network connection function so as to enable wireless communication with the access point 4 and is operated by the user. In addition, the user terminal 6 is equipped with an RFID tag 61 and can perform near field communication with an authentication chip issuing device 1 and a gate type authentication device 5 described later. In addition, an authentication data issuance processing unit 63, a gate authentication processing unit 64, and a wireless access processing unit 65 are constructed by incorporating a predetermined program into the CPU of the user terminal 6. Further, the memory in the user terminal 6 stores a terminal data storage unit 66 that stores a MAC address that is unique identification information preset for each terminal, and authentication data issued by the authentication chip issuing device 1. The authentication data storage unit 67 is formed.

上記認証データ発給処理部63は、RFIDタグ61から認証チップ発給装置1に対してMACアドレスを送信する。そして、認証チップ発給装置1にてMACアドレスに対応して生成され送信された認証ID(認証データ)を、当該認証チップ発給装置1からRFIDタグ61を介して受信し、認証データ記憶部67に記憶しておく。なお、MACアドレスと認証IDとは、後述するように、認証チップ発給装置1を介してデータ管理装置2に登録される。ここで、ユーザ端末6のMACアドレスは、必ずしもRFIDタグ61から認証チップ発給装置1に入力されることに限定されず、ユーザUが認証チップ発給装置1に装備された入力部に手動にて入力してもよい。   The authentication data issuing processing unit 63 transmits a MAC address from the RFID tag 61 to the authentication chip issuing device 1. Then, an authentication ID (authentication data) generated and transmitted corresponding to the MAC address in the authentication chip issuing device 1 is received from the authentication chip issuing device 1 via the RFID tag 61 and stored in the authentication data storage unit 67. Remember. The MAC address and the authentication ID are registered in the data management device 2 via the authentication chip issuing device 1 as will be described later. Here, the MAC address of the user terminal 6 is not necessarily input from the RFID tag 61 to the authentication chip issuing device 1, and the user U manually inputs it to the input unit provided in the authentication chip issuing device 1. May be.

また、上記ゲート認証処理部64は、上述したように認証データ発給処理部63にて発行され認証データ記憶部67に記憶された認証IDを、RFIDタグ61からゲート型認証装置5に対して送信する。これにより、ゲート型認証装置5及びデータ管理装置2にて認証IDが既に登録されていると判断されると、ゲート51が開き、ユーザUはアクセス許可区域Aに入場することができる。   The gate authentication processing unit 64 transmits the authentication ID issued by the authentication data issuing processing unit 63 and stored in the authentication data storage unit 67 as described above from the RFID tag 61 to the gate type authentication device 5. To do. Thereby, when it is determined that the authentication ID has already been registered in the gate type authentication device 5 and the data management device 2, the gate 51 is opened and the user U can enter the access permission area A.

また、上記無線アクセス処理部65は、ユーザ端末6がアクセス許可区域A内に位置する場合に、無線通信部62を介してアクセスポイント4と無線通信を行い、MACアドレスを送信して、イントラネット網Nへのアクセスを要求する。そして、後述するように、データ管理装置2にてアクセス許可されると、ネットワーク管理装置3にてIPアドレスがユーザ端末6に割り振られ、イントラネット網Nさらにはインターネット網へのアクセスが可能となる。   The wireless access processing unit 65 performs wireless communication with the access point 4 via the wireless communication unit 62 when the user terminal 6 is located in the access-permitted area A, transmits a MAC address, and transmits the intranet network. Request access to N. As will be described later, when access is permitted by the data management device 2, an IP address is allocated to the user terminal 6 by the network management device 3, and access to the intranet network N and further to the Internet network becomes possible.

次に、認証チップ発給装置1について、図4の機能ブロック図を参照して説明する。この図に示すように、認証チップ発給装置1は、ユーザ端末6のRFIDタグ61と近距離無線通信可能なRFIDタグ通信部11と、タッチパネルなどユーザUが手動にてデータ入力可能なデータ入力部12と、少なくともデータ管理装置2に接続可能なネットワーク通信部13と、を備えている。また、CPUには、所定のプログラムが組み込まれることによって、端末データ受付処理部14と、認証データ発給処理部15と、ユーザデータ登録処理部16と、が構築されている。   Next, the authentication chip issuing device 1 will be described with reference to the functional block diagram of FIG. As shown in this figure, an authentication chip issuing device 1 includes an RFID tag communication unit 11 capable of short-range wireless communication with an RFID tag 61 of a user terminal 6, and a data input unit such as a touch panel on which a user U can manually input data. 12 and at least a network communication unit 13 connectable to the data management device 2. In addition, a terminal data reception processing unit 14, an authentication data issuing processing unit 15, and a user data registration processing unit 16 are constructed by incorporating a predetermined program into the CPU.

上記端末データ受付処理部14は、上述したようにユーザ端末6のRFIDタグ61から送信されRFIDタグ通信部11にて受信したユーザ端末6のMACアドレスを受け付ける。このとき、データ入力部12を介してユーザUから入力されたユーザ端末6に関するユーザ情報も受け付ける。また、上記認証データ発給装置15は、上記入力されたMACアドレスに対応する固有の認証IDを発行し、RFIDタグ通信部11を介してユーザ端末6に記憶するよう送信する。また、上記ユーザデータ登録処理部16は、MACアドレスと認証IDを関連付けて登録するよう、ネットワーク通信部13を介してデータ管理装置2に送信する。   The terminal data reception processing unit 14 receives the MAC address of the user terminal 6 transmitted from the RFID tag 61 of the user terminal 6 and received by the RFID tag communication unit 11 as described above. At this time, user information related to the user terminal 6 input from the user U via the data input unit 12 is also accepted. Further, the authentication data issuing device 15 issues a unique authentication ID corresponding to the input MAC address, and transmits it to the user terminal 6 via the RFID tag communication unit 11. The user data registration processing unit 16 transmits the data to the data management apparatus 2 via the network communication unit 13 so as to register the MAC address and the authentication ID in association with each other.

次に、ゲート型認証装置5について、図5の機能ブロック図を参照して説明する。ゲート型認証装置5は、上述したようにアクセス許可区域Aの入口に設置されており、ユーザUが有するユーザ端末6を認証すると共に、ユーザUの入場を規制するゲート51を開閉制御する機能を有する。具体的には、まず、RFIDタグ通信部52を備えると共に、ゲート型認証装置5に装備されたCPUに、所定のプログラムが組み込まれることによって、認証データ読取処理部53と、認証処理部54と、ゲート制御処理部55と、が構築されている。   Next, the gate type authentication device 5 will be described with reference to the functional block diagram of FIG. The gate-type authentication device 5 is installed at the entrance of the access-permitted area A as described above, and has a function of authenticating the user terminal 6 of the user U and controlling the opening and closing of the gate 51 that restricts the entrance of the user U. Have. Specifically, first, an RFID tag communication unit 52 is provided, and a predetermined program is incorporated into a CPU provided in the gate type authentication device 5 to thereby obtain an authentication data reading processing unit 53, an authentication processing unit 54, The gate control processing unit 55 is constructed.

そして、上記認証データ読取処理部53は、ユーザ端末6のRFIDタグ61から送信されRFIDタグ通信部52にて受信したユーザ端末6の認証IDを受け付ける。そして、上記認証処理部54が、受信した認証IDがデータ管理装置2に登録されているか否かを当該データ管理装置2に問い合わせて結果を受け取る。その結果、認証IDが既にデータ管理装置2に登録されていると判断された場合には、上記ゲート制御処理部55がゲート51を開くよう制御し、ユーザU(ユーザ端末)がアクセス許可区域Aに入場することを許可する。このとき、ゲート制御処理部55は、ゲート51を開くことによってユーザUが入場したと判断し、ユーザUと共にユーザ端末6がアクセス許可区域Aに入場したことを登録するよう、データ管理装置2に依頼する。   The authentication data reading processing unit 53 receives the authentication ID of the user terminal 6 transmitted from the RFID tag 61 of the user terminal 6 and received by the RFID tag communication unit 52. And the said authentication process part 54 inquires the said data management apparatus 2 whether the received authentication ID is registered into the data management apparatus 2, and receives a result. As a result, if it is determined that the authentication ID is already registered in the data management device 2, the gate control processing unit 55 controls to open the gate 51, and the user U (user terminal) accesses the access permission area A. Allow to enter. At this time, the gate control processing unit 55 determines that the user U has entered by opening the gate 51 and registers the fact that the user terminal 6 has entered the access-permitted area A together with the user U. Ask.

また、逆に、ゲート型認証装置5は、ユーザUの退場を検知する機能をも有する。例えば、アクセス許容区域Aの内部にもRFIDタグ通信部52を装備し、このRFIDタグ通信部52にて退場するユーザ端末6から認証IDを受信することによって当該アクセス許可区域Aから退場するユーザ端末6を検知する。そして、退場するユーザ端末6を検知した場合には、その認証IDのユーザ端末6が退場した旨をデータ管理装置2に通知し、当該データ管理装置2にて管理するよう依頼する。なお、ユーザUが入場あるいは退場したか否かは、ゲート51付近に別途赤外線センサなどの人感センサを設け、かかるセンサの検出によって入退場を検知し、その後、データ管理装置2に入退場の登録を依頼してもよい。   Conversely, the gate-type authentication device 5 also has a function of detecting the user U leaving. For example, a user terminal that leaves the access-permitted area A by installing the RFID tag communication unit 52 inside the access-permitted area A and receives an authentication ID from the user terminal 6 that leaves the RFID tag communication part 52. 6 is detected. When the user terminal 6 that leaves is detected, the data management apparatus 2 is notified that the user terminal 6 with the authentication ID has left, and the data management apparatus 2 requests management. Whether or not the user U has entered or exited is separately provided with a human sensor such as an infrared sensor in the vicinity of the gate 51, and the entrance / exit is detected by the detection of the sensor, and then the data management device 2 is entered or exited. You may request registration.

次に、ネットワーク管理装置3について、図6の機能ブロック図を参照して説明する。ネットワーク管理装置3のCPUには、所定のプログラムが組み込まれることで、初期通信処理部31と、IPアドレス発給処理部32と、IPアドレス管理処理部33と、が構築されている。上記初期通信処理部31は、ユーザ端末6がアクセスポイント4に対してネットワーク接続許可要求のために無線通信にて初期通信した場合に、当該ユーザ端末6から通知されるMACアドレスをデータ管理装置2に転送する機能を有する。また、上記IPアドレス発給処理部32は、上記転送したMACアドレスに基づいてデータ管理装置2にてネットワーク接続の可否が判断され、許可がされた場合に、ユーザ端末6へのネットワーク接続用IPアドレスを発給する機能を有する。さらに、上記IPアドレス管理処理部33は、発給済みIPアドレスの継続使用/使用終了等の管理をする機能を有する。   Next, the network management device 3 will be described with reference to the functional block diagram of FIG. An initial communication processing unit 31, an IP address issue processing unit 32, and an IP address management processing unit 33 are constructed by incorporating a predetermined program in the CPU of the network management device 3. The initial communication processing unit 31 indicates the MAC address notified from the user terminal 6 when the user terminal 6 performs initial communication with the access point 4 by wireless communication for a network connection permission request. It has the function to transfer to. The IP address issue processing unit 32 determines whether or not network connection is possible in the data management device 2 based on the transferred MAC address, and if it is permitted, the IP address for network connection to the user terminal 6 It has a function to issue. Further, the IP address management processing unit 33 has a function of managing the continuous use / end of use of the issued IP address.

次に、データ管理装置2について、図7の機能ブロック図及び図8のデータ構成図を参照して説明する。データ管理装置2は、一般的なサーバコンピュータであり、上述したように、ユーザ端末6の登録状況、アクセス許可区域Aへの入退場状況、イントラネット網Nへのアクセス状況などを管理している。具体的に、データ管理装置2のCPUには、所定のプログラムが組み込まれることで、ユーザデータ登録処理部21と、認証処理部22と、接続判定処理部23と、が構築されている。また、ハードディスクなどの記憶装置には、ユーザデータ記憶部24が形成されている。   Next, the data management device 2 will be described with reference to the functional block diagram of FIG. 7 and the data configuration diagram of FIG. The data management device 2 is a general server computer, and manages the registration status of the user terminal 6, the entrance / exit status to the access-permitted area A, the access status to the intranet network N, and the like as described above. Specifically, a user data registration processing unit 21, an authentication processing unit 22, and a connection determination processing unit 23 are constructed by incorporating a predetermined program into the CPU of the data management device 2. A user data storage unit 24 is formed in a storage device such as a hard disk.

ユーザデータ登録処理部21(識別情報登録部)は、上述したようにユーザ端末6から認証チップ発給装置1に入力されたMACアドレス、及び、これに対応して生成された認証IDを、認証チップ発給装置1から受け付けて、ユーザデータ記憶部24に登録する。そして、登録されたデータは、図8の各行に示すように、ユーザ端末6ごとに区別されて管理される。このとき、ユーザ端末6から、あるいは、ユーザUから認証チップ発給装置1に入力されたユーザ端末6の特徴を表す情報などを、認証チップ発給装置1から受け付けてコンピュータ端末情報として登録する。   As described above, the user data registration processing unit 21 (identification information registration unit) uses the MAC address input from the user terminal 6 to the authentication chip issuing device 1 and the authentication ID generated corresponding thereto as an authentication chip. Accept from the issuing device 1 and register in the user data storage unit 24. The registered data is distinguished and managed for each user terminal 6 as shown in each row of FIG. At this time, information representing the characteristics of the user terminal 6 input from the user terminal 6 or from the user U to the authentication chip issuing device 1 is received from the authentication chip issuing device 1 and registered as computer terminal information.

また、上記認証処理部22(入場認証部)は、ユーザ端末6からゲート型認証装置5に入力された認証IDを受け付けて、ユーザデータ記憶部24に登録されているか否かを調べ、認証結果をゲート型認証装置5に通知する。また、ゲート型認証装置5からユーザ端末6がゲートを通過した旨の通知を受け付けると、ゲート通過フラグを「0」から「1」にすると共に、そのときの時刻を入場した時刻として「In時間」に記録する。なお、ゲート型認証装置5からアクセス許可区域Aを退場したユーザ端末6を検知した旨の通知を受けた場合には、そのユーザ端末6のゲート通過フラグを「0」にし、そのときの時刻を退場した時刻として「Out時間」に記録する。   The authentication processing unit 22 (admission authentication unit) receives the authentication ID input from the user terminal 6 to the gate type authentication device 5 and checks whether or not the authentication ID is registered in the user data storage unit 24. Is notified to the gate type authentication device 5. When the notification that the user terminal 6 has passed the gate is received from the gate-type authentication device 5, the gate passage flag is changed from “0” to “1”, and the time at that time is set as “In time”. To record. When a notification that the user terminal 6 that has left the access-permitted area A is detected is received from the gate type authentication device 5, the gate passage flag of the user terminal 6 is set to “0”, and the time at that time is set. Recorded in “Out time” as the time of exit.

また、上記接続判定処理部23(アクセス判定部)は、上述したように認証処理部22にて認証IDを認証して、ゲートの通過を許可したユーザ端末6に対応するMACアドレスを、イントラネット網Nに接続許可するユーザ端末としてネットワーク管理装置3に通知する。また、接続判定処理部23は、ユーザ端末6がアクセスポイント4に対してネットワーク接続許可のために初期通信して、当該ユーザ端末6から通知されたMACアドレスをアクセスポイント4及びネットワーク管理装置3を介して受信する。そして、このMACアドレスが、ユーザデータ記憶部24に登録されており、かつ、ゲート通過フラグが「1」であるかを調べる。つまり、既に認証チップ発給装置1を介してデータ管理装置2に登録されており、かつ、ゲート型認証装置5にて認証IDの認証が済んでいるユーザ端末であるかを判断する。そして、既に登録され、ゲートを通過した端末である場合には、ネットワーク接続用IPアドレスを発給するようネットワーク管理装置3に指示する。   Further, the connection determination processing unit 23 (access determination unit) authenticates the authentication ID by the authentication processing unit 22 as described above, and assigns the MAC address corresponding to the user terminal 6 permitted to pass through the gate to the intranet network. N is notified to the network management apparatus 3 as a user terminal permitted to connect to N. In addition, the connection determination processing unit 23 performs initial communication for permitting network connection to the access point 4 from the user terminal 6, and the MAC address notified from the user terminal 6 is transmitted to the access point 4 and the network management device 3. Receive via. Then, it is checked whether this MAC address is registered in the user data storage unit 24 and the gate passage flag is “1”. That is, it is determined whether the user terminal is already registered in the data management device 2 via the authentication chip issuing device 1 and has been authenticated by the gate type authentication device 5. If the terminal has already been registered and passed through the gate, the network management apparatus 3 is instructed to issue a network connection IP address.

[動作]
次に、上記構成のアクセス制御システムの動作を、図9乃至図16を参照して説明する。はじめに、図9、図13、図14を参照して、ユーザ端末6の情報を登録する動作(識別情報登録工程)を説明する(図13のステップS1)。 [Operation]
Next, the operation of the access control system configured as described above will be described with reference to FIGS. First, an operation (identification information registration step) for registering information of the user terminal 6 will be described with reference to FIGS. 9, 13, and 14 (step S1 in FIG. 13).

まず、ユーザUがユーザ端末6を認証チップ発給装置1の近くに持って行き、ユーザ端末6のRFIDタグ61と、認証チップ発給装置1のRFIDタグ通信部11とを近づけることで、相互に近距離無線通信を行い、ユーザ端末6のMACアドレスが認証チップ発給装置1に送信され、入力される(図9の矢印Y1、図13のステップS2)。なお、認証チップ発給装置1へのMACアドレスの入力は、当該認証チップ発給装置1に装備されたタッチパネル等の入力部からユーザUやシステム管理者によって手動で行われてもよい。   First, the user U brings the user terminal 6 close to the authentication chip issuing device 1 and brings the RFID tag 61 of the user terminal 6 close to the RFID tag communication unit 11 of the authentication chip issuing device 1 so that they are close to each other. The distance wireless communication is performed, and the MAC address of the user terminal 6 is transmitted and input to the authentication chip issuing device 1 (arrow Y1 in FIG. 9, step S2 in FIG. 13). Note that the input of the MAC address to the authentication chip issuing device 1 may be manually performed by the user U or a system administrator from an input unit such as a touch panel equipped in the authentication chip issuing device 1.

そして、MACアドレスの入力を受けた認証チップ発給装置2は、入力されたMACアドレスが登録済みかどうかを判定するため、一旦、データ管理装置2にユーザ情報の問い合わせを行う(図9の矢印Y2、図13のステップS3)。すると、データ管理装置2は、データベースへの登録有無を確認し、認証チップ発給装置1に登録有無を通知する(図13のステップS4)。   Then, the authentication chip issuing device 2 that has received the input of the MAC address once inquires of the data management device 2 about user information in order to determine whether or not the input MAC address has been registered (arrow Y2 in FIG. 9). , Step S3 in FIG. Then, the data management device 2 confirms the presence / absence of registration in the database, and notifies the authentication chip issuing device 1 of the presence / absence of registration (step S4 in FIG. 13).

続いて、認証チップ発給装置1は、データ管理装置2から送信されたデータを元に判定を行い(図13のステップS5)、新規データ登録の場合は(図13のステップS5で「未登録」に進む)、その旨を認証チップ発給装置1に装備された画面に表示し、ユーザUに対して新規データの入力を促す。このとき、例えば、ユーザ端末の特徴を表す情報などの新規データが入力されると(図13のステップS6)、認証チップ発給装置1は、MACアドレスに一意の認証IDを作成し、ユーザ端末6に対して発給する(図13のステップS7、認証情報発行工程)。そして、認証チップ発給装置1は、RFIDタグ通信部11からユーザ端末6のRFIDタグ61に対して認証IDを送信する(図9の矢印Y3)。すると、ユーザ端末6内に認証IDが記憶される(図13のステップS10)。   Subsequently, the authentication chip issuing device 1 makes a determination based on the data transmitted from the data management device 2 (step S5 in FIG. 13). In the case of new data registration (“unregistered” in step S5 in FIG. 13). ) Is displayed on the screen provided in the authentication chip issuing device 1 to prompt the user U to input new data. At this time, for example, when new data such as information representing the characteristics of the user terminal is input (step S6 in FIG. 13), the authentication chip issuing device 1 creates a unique authentication ID in the MAC address, and the user terminal 6 (Step S7 in FIG. 13, authentication information issuing step). The authentication chip issuing device 1 transmits an authentication ID from the RFID tag communication unit 11 to the RFID tag 61 of the user terminal 6 (arrow Y3 in FIG. 9). Then, the authentication ID is stored in the user terminal 6 (step S10 in FIG. 13).

その後、認証チップ発給装置1は、MACアドレス及び認証IDをデータ管理装置2に送信する(図9の矢印Y4、図13のステップS8)。すると、データ管理装置2は、MACアドレスと認証IDを関連付けて、図8に示すような自装置内のデータベースに登録する(図13のステップS9、データ管理工程)。   Thereafter, the authentication chip issuing device 1 transmits the MAC address and the authentication ID to the data management device 2 (arrow Y4 in FIG. 9, step S8 in FIG. 13). Then, the data management device 2 associates the MAC address with the authentication ID and registers it in the database in the device as shown in FIG. 8 (step S9 in FIG. 13, data management process).

一方、図13のステップS5で、ユーザ端末6のMACアドレスが登録済みと判定された場合には(図13のステップS5で「既登録時」に進む)、認証チップ発給装置1は、ユーザ端末6に対して既に登録されていることを通知し(図14のステップS11)、登録情報を変更するか、削除するかの確認を行う。変更の場合には、変更箇所をユーザUあるいはユーザ端末6から入力させ(図14のステップS12)、認証チップ発給装置1を経由して(図14のステップS13)、データ管理装置2のデータベースに反映する(図14のステップS14)。また、削除の場合は、データ管理装置2のデータベースから登録情報を削除する。   On the other hand, if it is determined in step S5 of FIG. 13 that the MAC address of the user terminal 6 has been registered (goes to “when already registered” in step S5 of FIG. 13), the authentication chip issuing device 1 6 is registered (step S11 in FIG. 14), and it is confirmed whether the registration information is to be changed or deleted. In the case of a change, the changed part is input from the user U or the user terminal 6 (step S12 in FIG. 14), and is passed through the authentication chip issuing device 1 (step S13 in FIG. 14) to the database of the data management device 2. This is reflected (step S14 in FIG. 14). In the case of deletion, the registration information is deleted from the database of the data management device 2.

そして、データ管理装置2のデータの変更が終了した後、当該データ管理装置2は認証チップ発給装置1に変更/削除通知を行う(図14のステップS15)。すると、認証チップ発給装置1は、変更された認証IDを再度ユーザ端末6に発給する(図14のステップS16)。これにより、上述同様に、MACアドレスに対応して発給された認証IDがユーザ端末6に格納されると共に、データ管理装置2に関連付けて登録される。   Then, after the data change of the data management device 2 is completed, the data management device 2 sends a change / deletion notification to the authentication chip issuing device 1 (step S15 in FIG. 14). Then, the authentication chip issuing device 1 issues the changed authentication ID again to the user terminal 6 (step S16 in FIG. 14). Accordingly, as described above, the authentication ID issued corresponding to the MAC address is stored in the user terminal 6 and registered in association with the data management device 2.

次に、図10、図11、図15を参照して、ユーザ端末6が入退出ゲートを兼ねるゲート型認証装置5を通過し、無線ネットワークに接続するまでの動作を説明する。   Next, with reference to FIG. 10, FIG. 11, and FIG. 15, the operation until the user terminal 6 passes through the gate type authentication device 5 that also functions as an entry / exit gate and connects to the wireless network will be described.

まず、上述したように、データ管理装置2に登録したユーザ端末6が、アクセス許可区域Aに入場すべく、ゲート型認証装置5の設置された入退出ゲート51にさしかかる。そして、ユーザUがユーザ端末6のRFIDタグ61と、ゲート型認証装置5のRFIDタグ通信部52とを近づけることで、相互に近距離無線通信が行われ(図15のステップS21)、ゲート型認証装置5にてユーザ端末6に格納された認証IDが読み取られる(図10の矢印Y11、図15のステップS22)。そして、ゲート型認証装置5が、読み取った認証IDをデータ管理装置2に問い合わせる(図10の矢印Y12、図15のステップS23)。   First, as described above, the user terminal 6 registered in the data management device 2 approaches the entrance / exit gate 51 where the gate type authentication device 5 is installed in order to enter the access permission area A. Then, when the user U brings the RFID tag 61 of the user terminal 6 close to the RFID tag communication unit 52 of the gate type authentication device 5, short-range wireless communication is performed (step S21 in FIG. 15). The authentication ID stored in the user terminal 6 is read by the authentication device 5 (arrow Y11 in FIG. 10, step S22 in FIG. 15). Then, the gate type authentication device 5 inquires of the data management device 2 about the read authentication ID (arrow Y12 in FIG. 10, step S23 in FIG. 15).

データ管理装置2は、認証IDがデータベースに登録されているかを確認し、ゲート型認証装置5に通知をする(図15のステップS24)。このとき、認証IDが正しく登録されたデータと一致した場合は(図15のステップS24にて「一致」に進む、ステップS25)、ゲート51を開き(図10の矢印Y13)、ユーザUつまりユーザ端末6を通過させる(図15のステップS26、入場許可工程)。   The data management device 2 confirms whether the authentication ID is registered in the database, and notifies the gate type authentication device 5 (step S24 in FIG. 15). At this time, if the authentication ID matches the correctly registered data (goes to “match” in step S24 in FIG. 15, step S25), the gate 51 is opened (arrow Y13 in FIG. 10), and the user U, that is, the user The terminal 6 is allowed to pass (step S26 in FIG. 15, entrance permission process).

そして、ゲート型認証装置5は、ゲート51が開いたのを確認次第、あるいは、人感センサなどでユーザ端末6がゲートを通過したのを確認次第、データ管理装置2に認証を行ったユーザ端末6に対するゲート通過フラグの付加を依頼する(図15のステップS27)。すると、データ管理装置2は、認証したユーザ端末6のゲート通過フラグを「1」に設定するよう、自装置内のデータベースを変更し、そのユーザ端末6に対応したMACアドレスを、ネットワーク管理装置5に通知する(図10の矢印Y14、図15のステップS28)。すると、ネットワーク管理装置5は、配下のアクセスポイント4に対して、通知のあったMACアドレスでの無線ネットワーク接続を許可する(図10の矢印Y15、図15のステップS29)。   The gate type authentication device 5 authenticates the data management device 2 as soon as it is confirmed that the gate 51 is opened, or as soon as it is confirmed that the user terminal 6 has passed through the gate by a human sensor or the like. 6 is requested to add a gate passage flag to step 6 (step S27 in FIG. 15). Then, the data management device 2 changes the database in the device itself so as to set the gate passing flag of the authenticated user terminal 6 to “1”, and the MAC address corresponding to the user terminal 6 is changed to the network management device 5. (Arrow Y14 in FIG. 10, step S28 in FIG. 15). Then, the network management device 5 permits the subordinate access point 4 to connect to the wireless network with the notified MAC address (arrow Y15 in FIG. 10, step S29 in FIG. 15).

また、ゲート型認証装置5を通過し、アクセス許可区域Aに入場したユーザ端末6は、当該端末をユーザUにて起動されると、自動で無線通信にてアクセスポイント4にアクセスし、ネットワーク管理装置3にアクセスポイント4を経由したイントラネット網Nへのアクセス許可依頼を行う(図11の矢印Y21,Y22、図15のステップS30)。このとき、ユーザ端末6は、アクセスポイント4を介してネットワーク管理装置3に、MACアドレスを送信する。これを受けたネットワーク管理装置3は、ユーザ端末6から送信されたMACアドレスを、図15のステップS28でゲート通過を許可されたユーザ端末6としてデータ管理装置2から通知されているMACアドレスと比較し(図15のステップS31)、一致した場合にユーザ端末6がイントラネットへアクセスするためのIPアドレスを発給する(図11の矢印Y22、図15のステップS32、アクセス許可工程)。そして、ユーザ端末6は、発給されたIPアドレスを利用して、アクセスポイント4経由にてイントラネット網Nへの接続を行う(図15のステップS33)。   Further, when the user terminal 6 that has passed through the gate type authentication device 5 and entered the access-permitted area A is activated by the user U, the user terminal 6 automatically accesses the access point 4 through wireless communication and performs network management. An access permission request to the intranet network N via the access point 4 is made to the device 3 (arrows Y21 and Y22 in FIG. 11, step S30 in FIG. 15). At this time, the user terminal 6 transmits the MAC address to the network management device 3 via the access point 4. Receiving this, the network management device 3 compares the MAC address transmitted from the user terminal 6 with the MAC address notified from the data management device 2 as the user terminal 6 permitted to pass through the gate in step S28 of FIG. (Step S31 in FIG. 15), if they match, the user terminal 6 issues an IP address for accessing the intranet (arrow Y22 in FIG. 11, step S32 in FIG. 15, access permission step). Then, the user terminal 6 uses the issued IP address to connect to the intranet network N via the access point 4 (step S33 in FIG. 15).

次に、図12及び図16を参照して、ゲート型認証装置5を通過せずに、つまり、アクセス許可区域Aの外から、ユーザ端末6を使用してアクセスポイント4経由でイントラネット網Nに接続を試みた場合を説明する。   Next, referring to FIG. 12 and FIG. 16, without passing through the gate type authentication device 5, that is, from outside the access permission area A, the user terminal 6 is used to enter the intranet network N via the access point 4. A case where connection is attempted will be described.

まず、ゲート型認証装置5を通過していないユーザ端末6が、外部からアクセスポイント4に対して無線通信を行い、MACアドレスを通知し、IPアドレスの発給を依頼する(図12の矢印Y31、図16のステップS41,S42)。そして、MACアドレスを受けたアクセスポイント4は、ネットワーク管理装置3にMACアドレスを送信する(図12の矢印Y32、図16のステップS43)。すると、ネットワーク管理装置3は、MACアドレスを元にデータ管理装置2にゲート通過フラグの確認を行う(図12の矢印Y33、図16のステップS44)。データ管理装置2は、ネットワーク管理装置3より送られてきたMACアドレスを元にデータベースを確認し、該当するユーザ端末6のゲート通過フラグを確認し、通過/未通過をネットワーク管理装置3に通知する(図16のステップS45)。ネットワーク管理装置3は、ゲート通過フラグのないMACアドレスに対してIPアドレスの発給不可をアクセスポイントに通知する(図16のステップS46)。すると、アクセスポイント4は、ユーザ端末6にIPアドレスの発給不可を通知する(図16のステップS47)。その結果、ユーザ端末6はIPアドレスを入手できないため、イントラネット網に接続することができないこととなる(図12の矢印Y34、図16のステップS48)。   First, the user terminal 6 that has not passed through the gate type authentication device 5 performs wireless communication with the access point 4 from the outside, notifies the MAC address, and requests the issuance of an IP address (arrow Y31 in FIG. 12, Steps S41 and S42 in FIG. Upon receiving the MAC address, the access point 4 transmits the MAC address to the network management device 3 (arrow Y32 in FIG. 12, step S43 in FIG. 16). Then, the network management device 3 confirms the gate passing flag with the data management device 2 based on the MAC address (arrow Y33 in FIG. 12, step S44 in FIG. 16). The data management device 2 confirms the database based on the MAC address sent from the network management device 3, confirms the gate passage flag of the corresponding user terminal 6, and notifies the network management device 3 of passage / non-passage. (Step S45 in FIG. 16). The network management device 3 notifies the access point that the IP address cannot be issued to the MAC address without the gate passage flag (step S46 in FIG. 16). Then, the access point 4 notifies the user terminal 6 that an IP address cannot be issued (step S47 in FIG. 16). As a result, the user terminal 6 cannot obtain an IP address and cannot connect to the intranet network (arrow Y34 in FIG. 12, step S48 in FIG. 16).

以上により、本発明によると、事前にMACアドレス(固有の識別情報)を登録したユーザ端末6(情報処理端末)のみがアクセス許可区域A(特定の領域)に入場することができ、かつ、アクセス許可区域A(特定の領域)に入場したユーザ端末6(情報処理端末)のみがイントラネット網N(所定のネットワーク網)にアクセスすることができる。従って、仮に、アクセス許可区域Aの外部からアクセスポイント4への通信が可能であったとしても、ゲート51を通過していないユーザ端末6へのネットワーク接続資源(IPアドレス)の発給を止めることができるため、所定のネットワーク網への不正アクセスを抑制することができる。また、ユーザ端末6に固有のMACアドレス(固有の識別情報)を管理することにより、アクセス許可区域A(特定の領域)に対するユーザ端末6(情報処理端末)の持ち込み/持ち出しを管理することができ、セキュリティの向上を図ることができる。   As described above, according to the present invention, only the user terminal 6 (information processing terminal) that has previously registered the MAC address (unique identification information) can enter the access-permitted area A (specific area) and access Only the user terminal 6 (information processing terminal) that enters the permitted area A (specific area) can access the intranet network N (predetermined network network). Therefore, even if communication from the outside of the access-permitted area A to the access point 4 is possible, the issuance of the network connection resource (IP address) to the user terminal 6 that does not pass through the gate 51 is stopped. Therefore, unauthorized access to a predetermined network can be suppressed. In addition, by managing a unique MAC address (unique identification information) for the user terminal 6, it is possible to manage bringing / taking out of the user terminal 6 (information processing terminal) with respect to the access permission area A (specific area). , Security can be improved.

ここで、上記では、ユーザ端末6の登録時に、MACアドレスに対応する認証IDを生成し、ゲート型認証装置5を通過する際に認証IDを用いて認証する場合を例示したが、登録されるデータは、MACアドレスなどのユーザ端末6を識別する情報(固有の識別情報)のみであってもよく、当該MACアドレスをゲート型認証装置5における認証時に用いてもよい。また、ユーザ端末6に固有の識別情報としてMACアドレスを用いる場合を例示したが、当該ユーザ端末6に固有の情報で他の情報を上記MACアドレスに替えて用いてもよい。また、ユーザ端末6としてノートパソコンを一例に挙げて説明したが、PDAや携帯電話など、他の情報処理端末であってもよい。   Here, in the above description, an example in which an authentication ID corresponding to the MAC address is generated at the time of registration of the user terminal 6 and authentication is performed using the authentication ID when passing through the gate type authentication device 5 is registered. The data may be only information (unique identification information) for identifying the user terminal 6 such as a MAC address, or the MAC address may be used at the time of authentication in the gate type authentication device 5. Moreover, although the case where the MAC address is used as identification information unique to the user terminal 6 is exemplified, other information may be used instead of the MAC address as information unique to the user terminal 6. Further, although a notebook personal computer has been described as an example of the user terminal 6, another information processing terminal such as a PDA or a mobile phone may be used.

次に、本発明の第2の実施例を、図17乃至図18を参照して説明する。本実施例におけるアクセス制御システムは、上述した実施例1のものとほぼ同様の構成を採っているが、認証チップ発給装置101の構成が異なる。以下、かかる相違点を主に説明する。   Next, a second embodiment of the present invention will be described with reference to FIGS. The access control system in the present embodiment has a configuration substantially similar to that of the first embodiment described above, but the configuration of the authentication chip issuing device 101 is different. Hereinafter, such differences will be mainly described.

まず、本実施例におけるユーザ端末106は、内部にRFIDタグを装備していない。そして、認証チップ発給装置101は、ユーザ端末106の筐体に貼付可能なシール状のRFIDタグ111を生成して発給する機能を有している。具体的には、ユーザ端末106の登録の際に、当該ユーザ端末106からMACアドレスを送信されると(図17の矢印Y41)、これに一意に対応する認証IDを生成し、この認証IDを記憶したRFIDタグ111を生成する(図17の矢印Y42)。そして、これを受け取ったユーザUは、RFIDタグ111をユーザ端末106の筐体表面に貼付する(図17の矢印Y43)。そして、認証チップ発給装置101は、MACアドレスと認証IDを関連付けて登録するよう、データ管理装置2に送信する(図17の矢印Y44)。これにより、上述した実施例1のユーザ端末6と同様に、認証IDが格納されたものと同様の構成になる。   First, the user terminal 106 in this embodiment is not equipped with an RFID tag. The authentication chip issuing device 101 has a function of generating and issuing a seal-like RFID tag 111 that can be attached to the housing of the user terminal 106. Specifically, when the MAC address is transmitted from the user terminal 106 during registration of the user terminal 106 (arrow Y41 in FIG. 17), an authentication ID uniquely corresponding to this is generated, and this authentication ID is The stored RFID tag 111 is generated (arrow Y42 in FIG. 17). And the user U who received this sticks the RFID tag 111 on the housing | casing surface of the user terminal 106 (arrow Y43 of FIG. 17). Then, the authentication chip issuing device 101 transmits the data to the data management device 2 so as to register the MAC address and the authentication ID in association with each other (arrow Y44 in FIG. 17). Thereby, it becomes the structure similar to what stored authentication ID similarly to the user terminal 6 of Example 1 mentioned above.

そして、ユーザ端末106は、その後は実施例1と同様に動作可能となる。具体的に、図18を参照して、ユーザ端末106が入退出ゲートを兼ねるゲート型認証装置5を通過しようとする場合を説明する。ユーザ端末106がゲート型認証装置5の設置された入退出ゲートにさしかかると、ゲート型認証装置5とユーザ端末106に貼付されたRFIDタグ111が近距離無線通信を行い、当該貼付されたRFIDタグ111からゲート型認証装置5にて認証IDが読み取られる(図18の矢印Y51)。そして、ゲート型認証装置5が、読み取った認証IDをデータ管理装置2に問いあわせ、当該データ管理装置2は、認証IDが登録されているかを確認し、ゲート型認証装置5に通知をする(図18の矢印Y52)。このとき、認証IDが正しく登録されたデータと一致した場合は、ゲート51を開き(図18の矢印Y53)、ユーザUつまりユーザ端末6を通過させる。   Thereafter, the user terminal 106 can operate in the same manner as in the first embodiment. Specifically, with reference to FIG. 18, a case where the user terminal 106 tries to pass through the gate type authentication device 5 that also serves as an entrance / exit gate will be described. When the user terminal 106 reaches the entrance / exit gate where the gate type authentication device 5 is installed, the RFID tag 111 attached to the gate type authentication device 5 and the user terminal 106 performs short-range wireless communication, and the attached RFID tag The authentication ID is read from 111 by the gate type authentication device 5 (arrow Y51 in FIG. 18). Then, the gate type authentication device 5 inquires of the data management device 2 about the read authentication ID, the data management device 2 confirms whether the authentication ID is registered, and notifies the gate type authentication device 5 (FIG. 18 arrow Y52). At this time, if the authentication ID matches the correctly registered data, the gate 51 is opened (arrow Y53 in FIG. 18), and the user U, that is, the user terminal 6 is passed.

そして、その後は、上記実施例1と同様の動作となる。つまり、ユーザ端末106がアクセス許可区域Aに入場した場合に、ユーザ端末106がアクセスポイント4にアクセスしてMACアドレスを通知することで、当該ユーザ端末106のMACアドレスは事前に登録されており、かつ、これに対応する認証IDによる認証がゲート型認証装置5にて済んでいるため、ネットワーク管理装置3からアクセスポイント4を介してユーザ端末6にIPアドレスが付与され、イントラネット網Nへのアクセスか可能となる。   Thereafter, the operation is the same as that of the first embodiment. That is, when the user terminal 106 enters the access permission area A, the user terminal 106 accesses the access point 4 and notifies the MAC address, so that the MAC address of the user terminal 106 is registered in advance. In addition, since the authentication with the corresponding authentication ID is completed in the gate type authentication device 5, an IP address is given from the network management device 3 to the user terminal 6 through the access point 4, and access to the intranet network N is performed. It becomes possible.

このように、予めRFIDタグなどの近距離無線通信手段等を装備していないユーザ端末を用いた場合であっても、識別情報に対応した認証情報を記憶したRFIDを発行して貼付することで、上述同様に、セキュリティの向上を図ることができる。   In this way, even when a user terminal that is not equipped with a short-range wireless communication means such as an RFID tag in advance is used, an RFID storing authentication information corresponding to identification information can be issued and pasted. As described above, security can be improved.

本発明のアクセス制御システムは、情報処理端末のネットワークへのアクセスを端末や場所に応じて制限するといったセキュリティを重視する企業などに適用可能であり、産業上の利用可能性を有する。   The access control system of the present invention can be applied to companies that place importance on security, such as restricting access of information processing terminals to a network according to terminals and locations, and has industrial applicability.

実施例1におけるアクセス制御システムの構成の概略を示すブロック図である。It is a block diagram which shows the outline of a structure of the access control system in Example 1. FIG. 実施例1におけるアクセス制御システムの詳細な構成を示すブロック図である。It is a block diagram which shows the detailed structure of the access control system in Example 1. FIG. 図2に開示したユーザ端末の構成を示す機能ブロック図である。It is a functional block diagram which shows the structure of the user terminal disclosed in FIG. 図2に開示した認証チップ発給装置の構成を示す機能ブロック図である。It is a functional block diagram which shows the structure of the authentication chip | tip issuing apparatus disclosed in FIG. 図2に開示したゲート型認証装置の構成を示す機能ブロック図である。It is a functional block diagram which shows the structure of the gate type | mold authentication apparatus disclosed in FIG. 図2に開示したネットワーク管理装置の構成を示す機能ブロック図である。It is a functional block diagram which shows the structure of the network management apparatus disclosed in FIG. 図2に開示したデータ管理装置の構成を示す機能ブロック図である。It is a functional block diagram which shows the structure of the data management apparatus disclosed in FIG. 図7に開示したデータ管理装置にて管理されるユーザデータの一例を示す図である。It is a figure which shows an example of the user data managed with the data management apparatus disclosed in FIG. アクセス制御システムの動作を示す説明図であり、ユーザ端末の登録時の様子を示す。It is explanatory drawing which shows operation | movement of an access control system, and shows the mode at the time of registration of a user terminal. アクセス制御システムの動作を示す説明図であり、ユーザ端末のゲート通過時の様子を示す。It is explanatory drawing which shows operation | movement of an access control system, and shows the mode at the time of a gate passage of a user terminal. アクセス制御システムの動作を示す説明図であり、ユーザ端末によるネットワークアクセス時の様子を示す。It is explanatory drawing which shows operation | movement of an access control system, and shows the mode at the time of the network access by a user terminal. アクセス制御システムの動作を示す説明図であり、ユーザ端末による外部からのネットワークアクセス時の様子を示す。It is explanatory drawing which shows operation | movement of an access control system, and shows the mode at the time of the network access from the outside by a user terminal. アクセス制御システムの動作を示すシーケンス図であり、ユーザ端末の登録時の様子を示す。It is a sequence diagram which shows operation | movement of an access control system, and shows the mode at the time of registration of a user terminal. アクセス制御システムの動作を示すシーケンス図であり、ユーザ端末の登録時の様子を示す。It is a sequence diagram which shows operation | movement of an access control system, and shows the mode at the time of registration of a user terminal. アクセス制御システムの動作を示すシーケンス図であり、ユーザ端末のゲート通過時、及び、ネットワークアクセス時の様子を示す。It is a sequence diagram which shows operation | movement of an access control system, and shows the mode at the time of the gate passage of a user terminal, and network access. アクセス制御システムの動作を示すシーケンス図であり、ユーザ端末による外部からのネットワークアクセス時の様子を示す。It is a sequence diagram which shows operation | movement of an access control system, and shows the mode at the time of the network access from the outside by a user terminal. 実施例2におけるアクセス制御システムの構成、及び、ユーザ端末の登録時の動作を示す図である。It is a figure which shows the structure of the access control system in Example 2, and the operation | movement at the time of registration of a user terminal. 実施例2におけるアクセス制御システムの構成、及び、ユーザ端末のゲート通過時の動作を示す図である。It is a figure which shows the structure of the access control system in Example 2, and the operation | movement at the time of the gate passage of a user terminal.

符号の説明Explanation of symbols

1 認証チップ発給装置
2 データ管理装置
3 ネットワーク管理装置
4 アクセスポイント
5 ゲート型認証装置
6 ユーザ端末
10 識別情報登録装置
A アクセス許可区域
N イントラネット網
U ユーザ
DESCRIPTION OF SYMBOLS 1 Authentication chip issuing apparatus 2 Data management apparatus 3 Network management apparatus 4 Access point 5 Gate type authentication apparatus 6 User terminal 10 Identification information registration apparatus A Access permission area N Intranet network U User

Claims (10)

特定の領域内に設置されたアクセスポイントに無線通信にてアクセスしてきた情報処理端末に対して、前記アクセスポイントを介したネットワーク網へのアクセス制御を行うアクセス制御システムであって、
前記情報処理端末毎に予め設定された固有の識別情報の入力を受け付けて登録する識別情報登録手段と、
前記特定の領域の入口に設置されており、前記情報処理端末から送信された情報に基づいて前記識別情報登録手段にて識別情報が登録されていると判断した情報処理端末に対して前記特定の領域への入場を許可する入場許可手段と、
前記アクセスポイントに対してアクセスしてきた前記情報処理端末が、当該情報処理端末から送信された情報に基づいて前記入場許可手段にて入場を許可された情報処理端末であると判断した場合に、当該情報処理端末に対して所定のネットワーク網へのアクセスを許可するアクセス許可手段と、
を備えたことを特徴とするアクセス制御システム。 An access control system that performs access control to a network via the access point, for an information processing terminal that has accessed an access point installed in a specific area by wireless communication,
Identification information registration means for receiving and registering input of unique identification information preset for each information processing terminal;
The specific information is installed at the entrance of the specific area and the specific information processing terminal determines that the identification information is registered by the identification information registration unit based on the information transmitted from the information processing terminal. Admission means for admission to the area,
When it is determined that the information processing terminal that has accessed the access point is an information processing terminal permitted to enter by the admission permission means based on information transmitted from the information processing terminal, An access permission means for permitting an information processing terminal to access a predetermined network;
An access control system comprising: 前記識別情報登録手段は、前記情報処理端末から受け付けた前記識別情報に対応し、当該情報処理端末に搭載される記憶手段に記憶される固有の認証情報を発行する認証情報発行手段と、前記識別情報と前記認証情報とを関連付けて登録するデータ管理手段と、を備え、
前記入場許可手段は、前記情報処理端末から送信された前記認証情報の入力を受け付けて、この受け付けた認証情報が前記データ管理手段に登録されている場合に、その情報処理端末に対して前記特定の領域への入場を許可する、
ことを特徴とする請求項1記載のアクセス制御システム。 The identification information registration means corresponds to the identification information received from the information processing terminal and issues authentication information issuing means for issuing unique authentication information stored in a storage means mounted on the information processing terminal, and the identification Data management means for registering information and the authentication information in association with each other,
The admission means accepts the input of the authentication information transmitted from the information processing terminal, and when the accepted authentication information is registered in the data management means, the admission permission means Allow admission to the territory of
The access control system according to claim 1. 前記入場許可手段は、前記特定の領域への入場を許可した情報処理端末が入場中であることを表す入場情報の登録を前記データ管理手段に依頼し、
前記データ管理手段は、前記入場許可手段から入場情報の登録を依頼された情報処理端末について登録されている前記識別情報に対して、前記入場情報を対応付けて登録し、
前記アクセス許可手段は、前記情報処理端末から送信された識別情報の入力を受け付けて、この受け付けた識別情報に前記入場情報が関連付けて登録されている場合に、その情報処理端末に対して所定のネットワーク網へのアクセスを許可する、
ことを特徴とする請求項2記載のアクセス制御システム。 The admission permission means requests the data management means to register the admission information indicating that the information processing terminal permitted to enter the specific area is entering,
The data management means registers the admission information in association with the identification information registered for the information processing terminal requested to register admission information from the admission permission means,
The access permission means receives an input of identification information transmitted from the information processing terminal, and when the entrance information is registered in association with the received identification information, Allow access to the network,
The access control system according to claim 2. 前記認証情報発行手段は、前記情報処理端末の内部に格納された記憶手段に発行した前記認証情報を格納するよう、当該認証情報を近距離無線通信にて前記情報処理端末に送信する、
ことを特徴とする請求項2又は3記載のアクセス制御システム。 The authentication information issuing means transmits the authentication information to the information processing terminal by short-range wireless communication so as to store the authentication information issued to a storage means stored inside the information processing terminal.
4. The access control system according to claim 2 or 3, wherein 前記認証情報発行手段は、前記認証情報を記憶すると共に当該認証情報を近距離無線通信にて外部に送信可能であり、前記情報処理端末に貼付されるRFIDタグを生成して発行し、
前記入場許可手段は、前記情報処理端末に貼付された前記RFIDタグから送信された前記認証情報を受け付ける、
ことを特徴とする請求項2又は3記載のアクセス制御システム。 The authentication information issuing means is capable of storing the authentication information and transmitting the authentication information to the outside by short-range wireless communication, generating and issuing an RFID tag attached to the information processing terminal,
The admission permission means receives the authentication information transmitted from the RFID tag attached to the information processing terminal.
4. The access control system according to claim 2 or 3, wherein 前記入場許可手段は、前記特定の領域の出入口に設置されており、前記情報処理端末から送信された情報に基づいて当該情報処理端末の前記特定の領域からの退場を管理する、
ことを特徴とする請求項1,2,3,4又は5記載のアクセス制御システム。 The entrance permission means is installed at an entrance / exit of the specific area, and manages exit of the information processing terminal from the specific area based on information transmitted from the information processing terminal.
6. The access control system according to claim 1, 2, 3, 4 or 5. 特定の領域内に設置されたアクセスポイントに無線通信にてアクセスしてきた情報処理端末に対して、前記アクセスポイントを介したネットワーク網へのアクセス制御を行うデータ管理装置であって、
前記情報処理端末毎に予め設定された固有の識別情報の入力を受け付けた認証情報発行手段にて当該受け付けた識別情報に対応して発行され前記情報処理端末に搭載される記憶手段に記憶される固有の認証情報を、前記識別情報と関連付けて記憶する識別情報登録部と、
前記特定の領域の入口に設置されている入場許可手段に対して前記情報処理端末から送信された情報に基づいて、当該情報処理端末の識別情報が前記識別情報登録部にて登録されていると判断した場合に、前記入場許可手段に対してその情報処理端末の前記特定の領域への入場を許可するよう指令する入場認証部と、
前記アクセスポイントに対してアクセスしてきた前記情報処理端末が、当該情報処理端末から送信された情報に基づいて前記入場認証部にて前記特定の領域に入場を許可された情報処理端末であると判断した場合に、当該情報処理端末に対して前記アクセスポイントを介して所定のネットワーク網へのアクセスを許可するよう当該アクセスポイントに指令するアクセス判定部と、
を備えたことを特徴とするデータ管理装置。 A data management device that performs access control to a network via the access point for an information processing terminal that has accessed the access point installed in a specific area by wireless communication,
An authentication information issuing unit that receives input of unique identification information preset for each information processing terminal is issued corresponding to the received identification information and stored in a storage unit mounted on the information processing terminal. An identification information registration unit that stores unique authentication information in association with the identification information;
When the identification information of the information processing terminal is registered in the identification information registration unit based on the information transmitted from the information processing terminal to the entrance permission means installed at the entrance of the specific area An admission authentication unit that instructs the admission permission means to allow admission to the specific area of the information processing terminal,
The information processing terminal that has accessed the access point is determined to be an information processing terminal permitted to enter the specific area by the admission authentication unit based on information transmitted from the information processing terminal. An access determination unit that instructs the access point to permit the information processing terminal to access the predetermined network via the access point;
A data management apparatus comprising: 特定の領域内に設置されたアクセスポイントに無線通信にてアクセスしてきた情報処理端末に対して、前記アクセスポイントを介したネットワーク網へのアクセス制御を行うデータ管理装置に、
前記情報処理端末毎に予め設定された固有の識別情報の入力を受け付けた認証情報発行手段にて当該受け付けた識別情報に対応して発行され前記情報処理端末に搭載される記憶手段に記憶される固有の認証情報を、前記識別情報と関連付けて記憶する識別情報登録部と、
前記特定の領域の入口に設置されている入場許可手段に対して前記情報処理端末から送信された情報に基づいて、当該情報処理端末の識別情報が前記識別情報登録部にて登録されていると判断した場合に、前記入場許可手段に対してその情報処理端末の前記特定の領域への入場を許可するよう指令する入場認証部と、
前記アクセスポイントに対してアクセスしてきた前記情報処理端末が、当該情報処理端末から送信された情報に基づいて前記入場認証部にて前記特定の領域に入場を許可された情報処理端末であると判断した場合に、当該情報処理端末に対して前記アクセスポイントを介して所定のネットワーク網へのアクセスを許可するよう当該アクセスポイントに指令するアクセス判定部と、
を実現させるためのプログラム。 For an information processing terminal that has accessed an access point installed in a specific area by wireless communication, a data management device that performs access control to a network via the access point,
An authentication information issuing unit that receives input of unique identification information preset for each information processing terminal is issued corresponding to the received identification information and stored in a storage unit mounted on the information processing terminal. An identification information registration unit that stores unique authentication information in association with the identification information;
When the identification information of the information processing terminal is registered in the identification information registration unit based on the information transmitted from the information processing terminal to the entrance permission means installed at the entrance of the specific area An admission authentication unit that instructs the admission permission means to allow admission to the specific area of the information processing terminal,
The information processing terminal that has accessed the access point is determined to be an information processing terminal permitted to enter the specific area by the admission authentication unit based on information transmitted from the information processing terminal. An access determination unit that instructs the access point to permit the information processing terminal to access the predetermined network via the access point;
A program to realize 特定の領域内に設置されたアクセスポイントに無線通信にてアクセスしてきた情報処理端末に対して、前記アクセスポイントを介したネットワーク網へのアクセス制御を行うアクセス制御方法であって、
前記情報処理端末毎に予め設定された固有の識別情報の入力を受け付けて登録する識別情報登録工程と、
前記特定の領域の入口に設置されている入場許可手段に対して前記情報処理端末から送信された情報に基づいて前記識別情報登録工程にて識別情報が登録されていると判断した情報処理端末に対して、前記特定の領域への入場を許可する入場許可工程と、
前記アクセスポイントに対してアクセスしてきた前記情報処理端末が、当該情報処理端末から送信された情報に基づいて前記入場許可工程にて入場を許可された情報処理端末であると判断した場合に、当該情報処理端末に対して所定のネットワーク網へのアクセスを許可するアクセス許可工程と、
を有することを特徴とするアクセス制御方法。 An access control method for performing access control to a network via the access point for an information processing terminal that has accessed the access point installed in a specific area by wireless communication,
An identification information registration step of receiving and registering input of unique identification information preset for each information processing terminal;
An information processing terminal that has determined that identification information has been registered in the identification information registration step based on information transmitted from the information processing terminal to an entrance permission means installed at the entrance of the specific area On the other hand, an admission permission process for permitting admission to the specific area,
When it is determined that the information processing terminal that has accessed the access point is an information processing terminal permitted to enter in the admission permission step based on information transmitted from the information processing terminal, An access permission step for allowing an information processing terminal to access a predetermined network; and
An access control method comprising: 前記識別情報登録工程は、前記情報処理端末から受け付けた前記識別情報に対応し、当該情報処理端末に搭載される記憶手段に記憶される固有の認証情報を発行する認証情報発行工程と、前記識別情報と前記認証情報とを関連付けて登録するデータ管理工程と、を有し、
前記入場許可工程は、前記情報処理端末から送信された前記認証情報の入力を受け付けて、この受け付けた認証情報が前記データ管理工程にて登録されている場合に、その情報処理端末に対して前記特定の領域への入場を許可する、
ことを特徴とする請求項9記載のアクセス制御方法。
The identification information registration step corresponds to the identification information received from the information processing terminal, and issues an authentication information issuance step for issuing unique authentication information stored in storage means mounted on the information processing terminal, and the identification A data management step of registering information and the authentication information in association with each other,
The admission permission step accepts an input of the authentication information transmitted from the information processing terminal, and when the accepted authentication information is registered in the data management step, the admission permission step Allow entry into certain areas,
The access control method according to claim 9.
JP2007135009A 2007-05-22 2007-05-22 Access control system Pending JP2008294502A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2007135009A JP2008294502A (en) 2007-05-22 2007-05-22 Access control system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2007135009A JP2008294502A (en) 2007-05-22 2007-05-22 Access control system

Publications (1)

Publication Number Publication Date
JP2008294502A true JP2008294502A (en) 2008-12-04

Family

ID=40168824

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2007135009A Pending JP2008294502A (en) 2007-05-22 2007-05-22 Access control system

Country Status (1)

Country Link
JP (1) JP2008294502A (en)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010198221A (en) * 2009-02-24 2010-09-09 Panasonic Electric Works Co Ltd Cooperative control system and cooperative control device
JP2014195223A (en) * 2013-03-29 2014-10-09 Nec Platforms Ltd Wireless LAN management method and system
JP2017092936A (en) * 2015-11-02 2017-05-25 株式会社リコー COMMUNICATION DEVICE, COMMUNICATION METHOD, SYSTEM, AND PROGRAM
JP2017139726A (en) * 2015-09-14 2017-08-10 ザ・ボーイング・カンパニーThe Boeing Company System and method for providing secure access to wireless network
JPWO2022196113A1 (en) * 2021-03-16 2022-09-22

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2000113133A (en) * 1998-10-09 2000-04-21 Ntt Data Corp Entering/leaving management support system
JP2004280477A (en) * 2003-03-17 2004-10-07 Casio Comput Co Ltd Facility use management system and program
JP2006127135A (en) * 2004-10-28 2006-05-18 Canon Inc Network system, control method therefor, and program
JP2006295720A (en) * 2005-04-13 2006-10-26 Sun Corp Transmission information authentication device and transmission information delivery medium
JP2007122385A (en) * 2005-10-27 2007-05-17 Toshiba Corp Communication system, information receiving apparatus, and RFID tag

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2000113133A (en) * 1998-10-09 2000-04-21 Ntt Data Corp Entering/leaving management support system
JP2004280477A (en) * 2003-03-17 2004-10-07 Casio Comput Co Ltd Facility use management system and program
JP2006127135A (en) * 2004-10-28 2006-05-18 Canon Inc Network system, control method therefor, and program
JP2006295720A (en) * 2005-04-13 2006-10-26 Sun Corp Transmission information authentication device and transmission information delivery medium
JP2007122385A (en) * 2005-10-27 2007-05-17 Toshiba Corp Communication system, information receiving apparatus, and RFID tag

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010198221A (en) * 2009-02-24 2010-09-09 Panasonic Electric Works Co Ltd Cooperative control system and cooperative control device
JP2014195223A (en) * 2013-03-29 2014-10-09 Nec Platforms Ltd Wireless LAN management method and system
JP2017139726A (en) * 2015-09-14 2017-08-10 ザ・ボーイング・カンパニーThe Boeing Company System and method for providing secure access to wireless network
JP2017092936A (en) * 2015-11-02 2017-05-25 株式会社リコー COMMUNICATION DEVICE, COMMUNICATION METHOD, SYSTEM, AND PROGRAM
JPWO2022196113A1 (en) * 2021-03-16 2022-09-22
WO2022196113A1 (en) * 2021-03-16 2022-09-22 日本電気株式会社 Radio wave generation device, address association method, and recording medium
JP7687383B2 (en) 2021-03-16 2025-06-03 日本電気株式会社 Radio wave generating device, address matching method and program

Similar Documents

Publication Publication Date Title
EP3312750B1 (en) Information processing device, information processing system, and information processing method
KR101033337B1 (en) Security authentication method that strengthens the identity of terminal user
KR101852599B1 (en) An entrance control system and method using an mobile device
JPWO2005073843A1 (en) Secure device, terminal device, gate device, device
MX2013011116A (en) Distribution of premises access information.
JP2009187183A (en) Authentication check system, portable terminal, authentication check server, authentication check method, and program
KR101931867B1 (en) Entrance managing system using of a mobile device
JP2009150192A (en) Admission restriction device and admission restriction system
KR20130123339A (en) Two-factor authentication login server system
KR102108347B1 (en) Method and apparatus for unlocking door-lock using one time password, and system therefor
KR101855494B1 (en) Door system and method using mobile device
KR100741955B1 (en) Fingerprint door lock using mobile communication terminal and user registration method for it
JP2008294502A (en) Access control system
JP4478547B2 (en) Network system, control method therefor, and program
KR102108346B1 (en) Method and apparatus for unlocking door-lock using time sliced password, and system therefor
JP4621967B2 (en) Locking system and unlocking method thereof
JP2007034974A (en) Security system
JP2010117988A (en) System and method for high-level authentication and formation of secure virtual network
JP4902856B2 (en) Movement information holding device, management device, information processing method, and program
JP2014178845A (en) Portable terminal device and program
JP5226347B2 (en) Area management system and method
JP2007231634A (en) Mobile terminal, locking management system, locking management method, and program
WO2015118877A1 (en) Authentication control system, and gateway device
KR102721310B1 (en) Digital entry logging system using beacon based dynamic authentication information
JP2009230625A (en) Terminal authentication system

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20100413

RD03 Notification of appointment of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7423

Effective date: 20100610

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20120224

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20120313

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20120509

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20120605

RD07 Notification of extinguishment of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7427

Effective date: 20120711

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20120711

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20120711