[发明专利]认证网络系统

说明书

技术领域

本发明涉及对连接到网络的终端进行认证的技术。

背景技术

近年来，确保诸如LAN(局域网)的网络中的安全性变得日益重要。因此，例如提出了这样的技术，即，对连接到LAN的计算机(PC：个人计算机)进行认证，除非该计算机是许可的PC，否则就不能将其连接到该LAN。IEEE802.1x标准给出了对在连接到网络时进行认证的技术的定义。

在执行该认证的情况下，作为一般规则，用户向PC输入诸如ID和密码的认证所必须的信息项目(认证信息)，并且PC将这些信息项目发送到认证服务器。

要注意的是，需要诸如定时地改变密码、使得密码难以被推测出以及防止将密码存储在终端中的操作(方案)来维护基于该认证的安全性。

然而，如果严格地设置了这些操作，那么尽管可以确保安全性，却使对用户的方便性下降。

因此，提出了一种系统，在该系统中，IC卡和USB存储器存储有诸如电子证书的信息，并且PC读取该信息。例如，PC从IC卡和USB存储器读取该信息，并且，如果该信息的有效性得到了认证，则向认证服务器发送与该信息相关联的ID和密码。

此外，提供了另一种系统，在该系统中，PC读取用户的生物特征信息，如果该生物特征信息的有效性得到了认证，则向认证服务器发送与该信息相关联的ID和密码。

而且，给出在以下专利文献中所公开的技术作为与本申请的发明相关的现有技术。

[专利文献1]日本专利申请特开公报2003-218873号

[专利文献2]日本专利申请特开公报2004-133747号

发明内容

如上所述，通过使用IC卡信息和用户的生物特征信息来进行认证的情况需要用于在各PC中预先注册这些条信息、然后将已注册的信息与所读取信息进行比较、从而判断是否要进行认证的装置。

因此，如果构造为在各PC中注册信息，那么例如在注册和更新信息的时候，就要为各PC执行注册和更新操作，因此，如果规模扩大到一定的或更大的程度，则变得难以进行管理。

因此，期望的结构是如下一种结构：通过在网络上的服务器中注册IC卡信息和用户的生物特征信息来以集中方式管理这些信息项目，然而，如果在如上所述的直到完成认证才能连接到网络的情况下，则在进行认证时，仍旧不可以利用网络，因而不可能采用这种在网络上的服务器中管理生物特征信息的结构。即，在进行该认证时，虽然能够对由认证协议定义的诸如ID和密码的信息进行通信，但是不能无任何限制地进行对生物特征信息等的通信。

鉴于这种情况，本发明提供了以下技术：首先将要连接到网络的终端连接到第一网络，通过所述第一网络对第一认证信息进行认证，在所述第一认证信息的有效性通过认证的情况下，通知第二认证信息，并且在所述第二认证信息通过认证的情况下，将所述终端连接到第二网络。

为了解决上述问题，本发明采用了以下结构。

即，如下构造根据本发明的认证网络系统：经由包括在物理上或在逻辑上彼此不同的第一网络和第二网络的网络来连接第一认证设备、第二认证设备以及连接控制设备，

所述第一认证设备包括：

接收单元，其经由所述第一网络从通信设备接收第一认证信息；

认证单元，其将所述第一认证信息与预先注册的信息进行比较，并判断所述第一认证信息通过了认证还是未通过认证；以及

认证通知单元，如果所述第一认证信息通过了认证则该认证通知单元通知第二认证信息，

所述第二认证设备包括：

接收单元，其接收所述第二认证信息；

认证单元，其将所述第二认证信息与预先注册的信息进行比较，并判断所述第二认证信息通过了认证还是未通过认证；以及

认证通知单元，如果所述第二认证信息通过了认证则该认证通知单元通知所述连接控制设备，

所述连接控制设备包括：

连接单元，其在认证之前将所述通信设备连接到所述第一网络；

接收单元，其从所述第二认证设备接收认证的通知；以及

连接切换单元，其将通过所述第二认证设备认证的所述通信设备的连接从所述第一网络切换到所述第二网络。

在所述认证网络系统中，所述第一认证信息可以是使用所述通信设备的用户的生物特征信息，所述第二认证信息可以是识别信息和密码。

所述通信设备可以包括：

读取单元，其读取所述第一认证信息；

第一发送单元，其经由所述第一网络将由此读取的第一认证信息发送到所述第一认证设备；

接收单元，其从所述第一认证设备接收所述第二认证信息；