JP4894431B2 - Cooperation control device - Google Patents
Cooperation control device Download PDFInfo
- Publication number
- JP4894431B2 JP4894431B2 JP2006255100A JP2006255100A JP4894431B2 JP 4894431 B2 JP4894431 B2 JP 4894431B2 JP 2006255100 A JP2006255100 A JP 2006255100A JP 2006255100 A JP2006255100 A JP 2006255100A JP 4894431 B2 JP4894431 B2 JP 4894431B2
- Authority
- JP
- Japan
- Prior art keywords
- authentication
- user
- terminal
- network
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000000034 method Methods 0.000 description 62
- 230000008569 process Effects 0.000 description 48
- 230000004044 response Effects 0.000 description 25
- 238000004891 communication Methods 0.000 description 12
- 238000010586 diagram Methods 0.000 description 12
- 230000008859 change Effects 0.000 description 9
- 230000006870 function Effects 0.000 description 7
- 230000003068 static effect Effects 0.000 description 6
- 239000004065 semiconductor Substances 0.000 description 4
- 230000009471 action Effects 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 2
- 230000000903 blocking effect Effects 0.000 description 2
- 230000004888 barrier function Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 239000000284 extract Substances 0.000 description 1
Images
Landscapes
- Small-Scale Networks (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Time Recorders, Dirve Recorders, Access Control (AREA)
Description
本発明は、セキュリティ管理領域における入出を管理する入出管理システムと、セキュリティ管理領域に構築されたネットワークに接続する端末装置のアクセス制限を行うネットワーク認証システムとを連携させた連携制御装置に関する。 The present invention relates to a linkage control apparatus that links an entry / exit management system for managing entry / exit in a security management area and a network authentication system for restricting access to a terminal apparatus connected to a network constructed in the security management area.
機密情報を扱うことの多い企業や、企業内の特定の部署などでは、機密情報を扱う従事者の入出を管理する入出管理システムを適用することで、機密情報の漏洩を事前に防止するようにしている。 In companies that frequently handle confidential information or specific departments within the company, it is possible to prevent leakage of confidential information in advance by applying an entry / exit management system that manages the entry / exit of workers handling confidential information. ing.
入出管理システムは、一般に、ユーザに与えられたIC(Integrated Circuit)カードに組み込まれたユーザID(IDentification)や、生体情報(指紋、虹彩、声紋など)といった、ユーザを一意に特定する被認証情報を用いることで、入出を希望するユーザに対する個人認証を行う。そして、登録された正当なユーザであることが認証された場合には、例えば、施錠されたドアを解錠することで、機密情報を扱うセキュリティ管理領域内への入場が許可される。 Generally, an entry / exit management system is a user ID (IDentification) incorporated in an IC (Integrated Circuit) card given to a user or biometric information (fingerprint, iris, voiceprint, etc.) to be authenticated information that uniquely identifies the user. Is used to perform personal authentication for users who wish to enter and exit. When it is authenticated that the user is a registered legitimate user, for example, entry into the security management area that handles confidential information is permitted by unlocking the locked door.
ところで、上述した機密情報は、入退室管理システムとは別のネットワークにて構築されたネットワーク認証システムによって管理がなされており、セキュリティ管理領域内に設けられた端末装置からネットワークにアクセスすることにより利用可能となる。端末装置を用いてネットワークにアクセスする場合には、ネットワーク認証システムによって、上述した入出管理システムにおける個人認証と同様の認証処理が要求されることになる。 By the way, the above-mentioned confidential information is managed by a network authentication system constructed in a network different from the entrance / exit management system, and is used by accessing the network from a terminal device provided in the security management area. It becomes possible. When accessing a network using a terminal device, the network authentication system requires an authentication process similar to the personal authentication in the above-described entry / exit management system.
そこで、このような入出管理システムと、ネットワーク認証システムとの連携が求められており、機密情報を扱うセキュリティ管理領域内への入出時のユーザ認証の処理と、入室後の端末装置を利用するユーザ認証の処理とを関連付ける手法が考案されている(例えば、特許文献1、特許文献2参照。)。
Therefore, cooperation between such an entry / exit management system and a network authentication system is required, and user authentication processing at the time of entry / exit into a security management area that handles confidential information, and a user who uses a terminal device after entering the room A technique for associating with authentication processing has been devised (see, for example,
また、特許文献1、特許文献2で考慮されていなかった、入場してから端末装置へログオンするまでの時間経過によって生ずる問題への対処、退場における端末装置のログオフ忘れへの対処を実現する手法も考案されている(例えば、特許文献3参照。)。
ところで、セキュリティ管理領域に構築されたネットワークに接続する端末装置が複数存在する場合、正当なユーザであれば、セキュリティ管理領域に入室しているという条件を具備する限り、一つの端末装置のみならず、複数の端末装置を用いて無制限にネットワークへアクセスすることができるという問題がある。 By the way, when there are a plurality of terminal devices connected to the network constructed in the security management area, not only one terminal device is required as long as it is a valid user as long as the user enters the security management area. There is a problem that it is possible to access the network without limitation using a plurality of terminal devices.
本発明は、このような事情に鑑みてなされたものであり、セキュリティ管理領域に入室した正当なユーザに対して、このセキュリティ管理領域に設けられた端末装置の利用を許可させつつも、ユーザが利用することができる端末装置の数を制限することである。 The present invention has been made in view of such circumstances, and allows a legitimate user who has entered the security management area to permit use of the terminal device provided in the security management area, This is to limit the number of terminal devices that can be used.
かかる課題を解決するために、本発明は、ユーザを一意に特定する第1の被認証情報に基づいたユーザ認証の処理結果に応じて、セキュリティ管理領域におけるユーザの入出を管理する入出管理システムと、セキュリティ管理領域に設けられた複数の端末装置を処理対象として、ユーザを一意に特定する第2の被認証情報に基づいた認証サーバによるユーザ認証の処理結果に応じて、ネットワークへのアクセスを制限するネットワーク認証システムとを相互に連携させる連携制御装置を提供する。この連携制御装置は、第2の被認証情報と、セキュリティ管理領域におけるユーザの入出状態と、複数の端末装置のうち、認証サーバによってユーザに対する認証が許可された端末装置の数である認証端末カウント数とを、ユーザ毎に関連付けて記憶するユーザ状態記憶手段と、ユーザから端末装置を介して認証サーバに対してなされる、第2の被認証情報を用いたネットワークへのアクセス要求を受信した場合には、ユーザ状態記憶手段に記憶されている第2の被認証情報に関連付けられた入出状態および認証端末カウント数に基づいて、ユーザに対する端末装置の利用認証を行う認証処理手段とを有する。ここで、認証処理手段は、利用認証の処理結果が認証許可の場合には、アクセス要求を認証サーバに転送し、利用認証の処理結果が認証不許可の場合には、アクセス要求を認証サーバに転送することなく、認証拒否を端末装置に返す。 In order to solve such a problem, the present invention provides an entry / exit management system for managing entry / exit of a user in a security management area according to a result of a user authentication process based on first authenticated information for uniquely identifying a user. Restricting access to the network according to the result of user authentication by the authentication server based on the second authenticated information that uniquely identifies the user, with a plurality of terminal devices provided in the security management area as processing targets Provided is a linkage control device that links a network authentication system to each other. The cooperation control device includes an authentication terminal count that is the second authenticated information, the user entry / exit state in the security management area, and the number of terminal devices that are permitted to authenticate the user by the authentication server among the plurality of terminal devices. A user status storage unit that stores the number in association with each user, and a request for access to the network using the second authenticated information that is made by the user to the authentication server via the terminal device Includes authentication processing means for authenticating the use of the terminal device for the user based on the entry / exit state and the authentication terminal count number associated with the second authentication information stored in the user state storage means. Here, the authentication processing means transfers the access request to the authentication server when the use authentication processing result is authentication permission, and sends the access request to the authentication server when the use authentication processing result is authentication non-permission. Return authentication rejection to the terminal device without forwarding.
また、本発明において、連携制御装置は、第2の被認証情報と、ユーザに対する認証を許可することができる端末装置の数である上限認証数とを関連付けて記憶するユーザ情報記憶手段をさらに有していてもよい。ここで、認証処理手段は、認証処理において、第2の被認証情報に基づいてユーザ状態記憶手段およびユーザ情報記憶手段を検索する。そして、ユーザ状態記憶手段の入出状態が、セキュリティ管理領域においてユーザが入状態である、かつ、ユーザ状態記憶手段の認証端末カウント数が、ユーザ情報記憶手段の上限認証数よりも小さい場合には、認証許可との判断を行う。一方、ユーザ状態記憶手段の入出状態が、セキュリティ管理領域においてユーザが出状態である、または、ユーザ状態記憶手段の認証端末カウント数が、ユーザ情報記憶手段の上限認証数である場合には、認証不許可との判断を行う。 In the present invention, the cooperation control device further includes user information storage means for storing the second authenticated information in association with the upper limit number of authentications, which is the number of terminal devices that are allowed to authenticate the user. You may do it. Here, the authentication processing means searches the user status storage means and the user information storage means based on the second authenticated information in the authentication processing. And, when the user status storage means is in the security management area, the user is in the input status, and the user status storage means authentication terminal count number is smaller than the upper limit authentication number of the user information storage means, Judgment that authentication is permitted. On the other hand, if the entry / exit state of the user state storage means is the user exit state in the security management area, or the authentication terminal count number of the user state storage means is the upper limit authentication number of the user information storage means, authentication is performed. Judgment is not permitted.
また、本発明において、ユーザ状態記憶手段は、認証サーバによってユーザに対する認証が許可された端末装置を特定する端末識別子をさらに関連付けて記憶していてもよい。この場合、認証処理手段は、認証サーバによるユーザに対する認証が許可された端末装置をネットワークから切断する場合には、第2の被認証情報に基づいてユーザ状態記憶手段を検索し、第2の被認証情報に関連付けられた端末識別子に該当する端末装置をネットワークから切断する。 In the present invention, the user status storage unit may further store a terminal identifier that identifies a terminal device that is permitted to authenticate the user by the authentication server. In this case, the authentication processing means searches the user state storage means based on the second authenticated information and disconnects the terminal device that is permitted to authenticate the user by the authentication server from the network. The terminal device corresponding to the terminal identifier associated with the authentication information is disconnected from the network.
また、本発明において、端末装置のそれぞれは、ネットワークに対して中継装置を介して接続されていてもよい。この場合、端末識別子は、端末装置が接続する中継装置に付与されたネットワーク固有の識別子と、端末装置が接続する中継装置のポート番号とを含む。 In the present invention, each of the terminal devices may be connected to the network via a relay device. In this case, the terminal identifier includes a network-specific identifier assigned to the relay device to which the terminal device is connected and the port number of the relay device to which the terminal device is connected.
また、本発明において、端末識別子は、端末装置に付与された機器固有の識別子をさらに含んでもよい。 In the present invention, the terminal identifier may further include a device-specific identifier assigned to the terminal device.
また、本発明において、中継装置は、無線を用いて複数の端末装置と接続されていてもよい。この場合、認証処理手段は、認証サーバによってユーザに対する認証が許可された場合、ユーザ状態記憶手段の端末識別子に、ユーザに対する認証が許可された端末装置に付与された機器固有の識別子が既に記憶されている場合には、この端末装置が現在接続する中継装置のネットワーク固有の識別子およびポート番号によって従前の情報を更新する。 In the present invention, the relay device may be connected to a plurality of terminal devices using radio. In this case, the authentication processing means, when the authentication for the user is permitted by the authentication server, the device-specific identifier assigned to the terminal device authorized for the user is already stored in the terminal identifier of the user status storage means. If this is the case, the previous information is updated with the network-specific identifier and port number of the relay device to which this terminal device is currently connected.
さらに、本発明において、連携制御装置は、セキュリティ管理領域に構築されたネットワークに接続する複数の端末装置に付与されている機器固有の識別子をそれぞれ記憶した端末機器情報記憶手段をさらに有していてもよい。この場合、認証処理手段は、利用認証において、端末機器情報記憶手段をさらに検索する。そして、ユーザ状態記憶手段の入出状態が、セキュリティ管理領域においてユーザが入状態である、かつ、ユーザ状態記憶手段の認証端末カウント数が、ユーザ情報記憶手段の上限認証数よりも小さい、かつ、端末機器情報記憶手段の機器固有の識別子が、アクセス要求を送信した端末装置に付与されている機器固有の識別子と一致する場合には、認証許可との判断を行う。一方、ユーザ状態記憶手段の入出状態が、セキュリティ管理領域においてユーザが出状態である、または、ユーザ状態記憶手段の認証端末カウント数が、ユーザ情報記憶手段の上限認証数である、または、端末機器情報記憶手段の機器固有の識別子が、アクセス要求を送信した端末装置に付与されている機器固有の識別子と一致しない場合には、認証不許可との判断を行う。 Further, in the present invention, the cooperation control device further includes terminal device information storage means for storing device-specific identifiers assigned to a plurality of terminal devices connected to a network constructed in the security management area. Also good. In this case, the authentication processing means further searches the terminal device information storage means in the use authentication. And the entry / exit state of the user state storage means is the user in the security management area, the authentication terminal count number of the user state storage means is smaller than the upper limit authentication number of the user information storage means, and the terminal If the device-specific identifier of the device information storage means matches the device-specific identifier assigned to the terminal device that transmitted the access request, it is determined that authentication is permitted. On the other hand, the entry / exit state of the user state storage means is that the user is in the security management area, or the authentication terminal count number of the user state storage means is the upper limit authentication number of the user information storage means, or a terminal device If the device-specific identifier of the information storage means does not match the device-specific identifier assigned to the terminal device that transmitted the access request, it is determined that authentication is not permitted.
本発明によれば、セキュリティ管理領域への入出状態と認証端末カウント数とに基づく認証結果が認証許可の場合に、アクセス要求を認証サーバに転送し、不許可の場合に、アクセス要求を認証サーバに転送せず、認証拒否を端末装置に返すことで、ユーザに対して認証を許可することができる端末装置の数を制限することが可能となる。 According to the present invention, when the authentication result based on the entry / exit state to the security management area and the authentication terminal count number is authentication permission, the access request is transferred to the authentication server. When the authentication result is not permitted, the access request is transferred to the authentication server. By returning authentication rejection to the terminal device without transferring to the terminal device, it is possible to limit the number of terminal devices that can allow the user to be authenticated.
また、本発明によれば、上限となる端末数を設定することができるので、ユーザが利用することができる端末装置の数を自在にコントロールすることができる。 Also, according to the present invention, since the upper limit number of terminals can be set, the number of terminal devices that can be used by the user can be freely controlled.
また、本発明によれば、端末装置を特定する端末識別子が記憶されているので、ネットワークからの端末装置の遮断といったアクセス制限を容易に行うことができる。 Further, according to the present invention, since the terminal identifier for specifying the terminal device is stored, access restriction such as blocking of the terminal device from the network can be easily performed.
また、本発明によれば、ネットワークの中継装置をキーとして、端末装置を有効に特定することが可能となる。 Further, according to the present invention, it is possible to effectively specify a terminal device using a network relay device as a key.
また、本発明によれば、機器にユニークな識別子を用いることにより、ネットワークの構成如何に関わらず、端末装置を有効に特定することができる。 Further, according to the present invention, by using a unique identifier for a device, it is possible to effectively identify a terminal device regardless of the network configuration.
また、本発明によれば、ネットワーク上において端末装置を特定するための中継装置に関する情報が変更されたとしても、機器にユニークな識別子をキーとしてこれの情報を更新することができるので、ネットワークのアクセス制限を有効に行うことができる。 In addition, according to the present invention, even if information related to a relay device for specifying a terminal device on the network is changed, the information can be updated using a unique identifier for the device as a key. Access restriction can be performed effectively.
さらに、本発明によれば、ネットワークに接続する端末装置の機器固有の識別子をさらに用いて認証処理が行われるので、不正な端末装置からのアクセス要求を認証サーバへと転送する以前に、拒否することが可能となる。 Furthermore, according to the present invention, since the authentication process is further performed using the device-specific identifier of the terminal device connected to the network, the access request from the unauthorized terminal device is rejected before being transferred to the authentication server. It becomes possible.
(第1の実施形態)
図1は、本発明の第1の実施形態にかかるネットワーク管理システム1の全体構成を示す概念図である。ネットワーク管理システム1は、設備系システム10と、ネットワーク認証システム20とが連携制御装置30によって相互に接続されている。
(First embodiment)
FIG. 1 is a conceptual diagram showing the overall configuration of a
設備系システム10は、セキュリティレベルの低い領域から、機密情報などを扱うセキュリティレベルの高い領域(セキュリティ管理領域)へのユーザの入出を管理する入出管理システムである。
The
設備系システム10としては、セキュリティ管理領域への入出を管理する形態であればどのようなものであってもよいが、例えば、図1に示すように、セキュリティ管理領域を障壁などで隔て、認証処理に応じて入出(入退室)を認める形態を適用することができる。
The
設備系システム10は、セキュリティ管理領域への入室を希望する全てのユーザに対してユーザ認証を行い、これにより、予め登録された正当なユーザのみに対して認証を許可し、セキュリティ管理領域への入室を許可する。また、設備系システム10は、セキュリティ管理領域から退室を希望する全てのユーザに対してユーザ認証を行い、これにより、予め登録された正当なユーザのみに対して認証を許可し、セキュリティ管理領域からの退室を許可する。セキュリティ管理領域は、電気的な作用により施錠、解錠することができる電気錠を備える扉(ドア)を備えている。
The
具体的には、設備系システム10は、入室用カードリーダ11と、退室用カードリーダ12と、入退室コントロールユニット13とを主体に構成されている。
Specifically, the
入室用カードリーダ11は、セキュリティ管理領域の外側の扉近傍に設けられており、ユーザが所有する、例えば非接触のICカード(Integrated Circuit)2の半導体メモリ内に格納された情報を読み取る。入室用カードリーダ11によって読み取られた情報は、入退室コントロールユニット13に対して送信される。
The
退室用カードリーダ12は、セキュリティ管理領域の内側の扉近傍に設けられており、ユーザが所有するICカード2の半導体メモリ内に格納された情報を読み取る。退室用カードリーダ12によって読み取られた情報は、入退室コントロールユニット13に対して送信される。
The
入退室コントロールユニット13は、入室用カードリーダ11から取得した情報のうち、ICカード2のカードIDに基づいて認証処理を行う。入退室コントロールユニット13は、認証処理によって、入室を希望するユーザ(ICカード2の保持者)が、正当なユーザであると判断した場合には(認証許可)、施錠されていた電気錠を解錠する。これにより、セキュリティ管理領域へのユーザの入室が許可される。一方、入退室コントロールユニット13は、認証処理によって、入室を希望するユーザが正当なユーザでないと判断した場合には(認証不許可)、電気錠を施錠したままにする。これにより、セキュリティ管理領域へのユーザの入室が許可されない。ここで、カードIDは、ユーザを一意に特定する被認証情報であり、入退室コントロールユニット13は、正当なユーザに関するカードIDが記述されたデータベースを予め保持し、このデータベースを参照して、認証処理を行う。
The entrance /
また、入退室コントロールユニット13は、退室用カードリーダ12から取得した情報のうち、ICカード2のカードIDに基づいて認証処理を行う。入退室コントロールユニット13は、認証処理によって、退室を希望するユーザが正当なユーザであると判断した場合には(認証許可)、施錠されていた電気錠を解錠する。これにより、セキュリティ管理領域からのユーザの退室が許可される。一方、入退室コントロールユニット13は、認証処理によって、退室を希望するユーザが正当なユーザでないと判断した場合には(認証不許可)、電気錠を施錠したままにする。これにより、セキュリティ管理領域からのユーザの退室が許可されない。
Further, the entrance /
入退室コントロールユニット13は、このような認証処理によって、セキュリティ管理領域に対するユーザの入退室を許可した場合には、ICカード2のカードIDと、解錠した扉に固有の扉IDと、入室か退室かを示す情報と、入退室操作が行われた時刻(入退室時刻)と含む入退室情報を連携制御装置30に送信する。なお、入室か退室かを示す情報は、例えば、入室用カードリーダ11又は退室用カードリーダ12をそれぞれ一意に特定する機器IDで示すようにしてもよい。
When the entry /
ネットワーク認証システム20は、セキュリティ管理領域内に構築されたネットワークを管理しており、このネットワークには複数の端末装置21が中継装置22を介して接続されている。また、このネットワークにおいて、中継装置22は、認証サーバ23とも接続されている。
The
ネットワーク認証システム20は、端末装置21のそれぞれを処理対象として、この端末装置21を用いてネットワークへアクセスを希望する全てのユーザに対してユーザ認証を行い、認証許可されたユーザのみに対して、端末装置21のネットワークへの接続を許可する。ネットワーク認証システム20において、複数の端末装置21から送信されるネットワークへのアクセス要求は、中継装置22および認証サーバ23によって認証処理される。
The
具体的には、ネットワーク認証システム20は、IEEE(米国電気電子技術者協会)802.1Xで策定されたLAN(Local Area Network)スイッチや無線LANアクセス・ポイントに接続するユーザを認証する技術を用いて、端末装置21からのアクセス要求であるネットワーク接続要求に応じた認証処理を行う。IEEE802.1Xは、LANの利用の可否を制御するEthernet(登録商標)上のプロトコルである。また、ユーザの認証には、認証用プロトコルとしてRADIUS(Remote Authentication Dial-In-User-Service)を用いた通信により、認証すべきユーザを集中管理することができるRADIUSサーバが用いられる。
Specifically, the
端末装置21は、セキュリティ管理領域に入室したユーザによって使用可能な、いわゆるPC(Personal Computer)であり、中継装置22、認証サーバ23と情報のやり取りを行う。この端末装置21は、ネットワークへの接続を要求するためのサプリカントと呼ばれる認証クライアント・ソフトウェアを保持している。
The
中継装置22は、複数の端末装置21に対して有線で接続され、認証サーバ23と端末装置21との認証処理を中継する。中継装置22は、RADIUSサーバに対するRADIUSクライアントとして機能する認証装置であり、RADIUSサーバとの通信には、認証用プロトコルとしてRADIUSを用いた通信を行う。中継装置22は、IEEE802.1X、RADIUSに対応したLANスイッチなどであり、認証サーバ23と連携してポート22a毎に端末装置21をネットワークへ接続する。
The
認証サーバ23は、RADIUS認証におけるRADIUSサーバであり、端末装置21のネットワークへの接続を要求するユーザに関する情報を保持する図示しないユーザ情報記憶部を備え、RADIUSクライアントである中継装置22を介して端末装置21の認証処理を行い、認証結果に応じてネットワークへのアクセスの可否を通知する。
The
認証サーバ23が備える図示しないユーザ情報記憶部は、ユーザをネットワークにおいて一意に特定するための被認証情報であるアカウントIDとアカウントIDに対応するパスワードを保持している。
A user information storage unit (not shown) provided in the
ネットワーク認証システム20による実際の認証手順は、EAP(Extensible Authentication Protocol)によって規定される。ネットワーク認証システム20では、IEEE802.1Xで使用できる様々なEAP、例えば、EAP−MD5(EAP−Message Digest alogorithm5)、PEAP(Protected-EAP)といった認証処理にユーザID(アカウントID)とパスワードとを入力することが要求されるEAPや、デジタル電子証明書を使って認証するEAP−TLS(EAP-Transport Layer Security)などを利用できる。
The actual authentication procedure by the
連携制御装置30は、ネットワーク認証システム20の中継装置22と認証サーバ23との間で、認証処理時にやり取りされる認証用のパケットを経由するように設けられ、設備系システム10とネットワーク認証システム20とを連携制御する。
The
連携制御装置30は、設備系システム10から送信される入退室情報を用いて、セキュリティ管理領域への入室といった設備系システム10におけるユーザの入出状態(入退室状態)の変化を把握し、この入退室状態に応じて、端末装置21から中継装置22を介して認証サーバ23へとアクセス要求として送信される認証用のパケットであるネットワーク認証要求を通過させるのか、それとも通過させずに認証サーバ23での認証の事前に拒否応答してしまうのかを判断する。
The
また、連携制御装置30は、ユーザがネットワークへの接続が既に認証されている状態において、設備系システム10から送信される入退室情報を利用して、セキュリティ管理領域からの退室といった設備系システム10におけるユーザの入退室状態の変化を把握し、この入退室状態に応じて、接続されたネットワークを切断するといった制御を行うことができる。
In addition, the
図2は、連携制御装置30の構成を示すブロック図である。連携制御装置30は、外部システムI/F(インターフェース)31と、内部データベース32と、ネットワークI/F(インターフェース)33と、RADIUS認証部34と、認証処理部35とを備えている。
FIG. 2 is a block diagram illustrating a configuration of the
外部システムI/F31は、設備系システム10と連携制御装置30とを接続するための通信インターフェースである。外部システムI/F31を介した設備系システム10と連携制御装置30との通信は、例えば、Ethernet(登録商標)などの通信規格を利用することができる。また、外部システムI/F31を介した設備系システム10と連携制御装置30との通信は、TCP/IPベースの通信に限らず、非IPのフィールドバスなどを利用することもできる。
The external system I /
内部データベース32は、連携制御装置30で利用する各種情報を記憶するデータベースであり、ユーザ毎に定義された静的な情報を記憶するユーザ情報記憶部32Aと、ユーザの現在の状態を示す動的な情報を記憶するユーザ在室状態記憶部32Bおよびユーザ認証状態記憶部32Cと、設備系システム10やネットワーク認証システム20に関連して定義された静的な情報を記憶するシステム情報記憶部32Dとを備えている。
The
ユーザ情報記憶部32Aは、ユーザをネットワークにおいて一意に特定するための被認証情報であるアカウントID毎に、カードIDと、在室可能時間と、在室可能時刻と、上限認証数とを関係付けて記憶している。ユーザ情報記憶部32Aに記憶された情報は、静的情報であり、一旦設定されると新たなユーザ登録やシステム変更などがあるまで変更されず保持される。
The user
図3は、ユーザ情報記憶部32Aで記憶保持している情報とその内容との一例を示す説明図である。カードIDは、あらかじめ登録されたユーザによって保持され、設備系システム10の入退室時に使用されるICカード2のカードIDである。設備系システム10からカードIDが通知された場合、認証処理部35は、ユーザ情報記憶部32Aを参照することでカードIDに対応するアカウントIDを取得し、取得したアカウントIDに基づきユーザ在室状態記憶部32Bの更新処理などを実行する。また、1人のユーザが、ICカード2を複数枚所持している場合もあるため、このカードIDは、一つのアカウントIDに対して複数登録される場合もある。
FIG. 3 is an explanatory diagram showing an example of information stored and held in the user
在室可能時間は、このアカウントIDで特定されるユーザに許された、セキュリティ管理領域に継続して在室することができる時間を示す。この在室可能時間は、ユーザが現在までにどのくらいセキュリティ管理領域に在室しているかを示す在室経過時間と比較され、この在室経過時間が、在室可能時間を超えた場合には、認証処理部35によって、例えば、ユーザが利用する端末装置21について接続されたネットワークが切断されたり、ネットワークへのアクセス要求が認証不許可とされたりする。在室経過時間は、後述するユーザ在室状態記憶部32Bに記憶されている在室開始時刻を参照することで、認証処理部35によって求められる。
The occupancy time indicates the time allowed to continue in the security management area permitted by the user specified by this account ID. This occupancy time is compared with the occupancy time that indicates how long the user has been in the security management area so far, and if this occupancy time exceeds the occupancy time, For example, the
在室可能時刻は、このアカウントIDで特定されるユーザに許された、セキュリティ管理領域に在室することができる時間帯を示しており、在室開始時刻と、在室終了時刻との組によって構成されている。この在室可能時刻は、現在の時刻と比較され、この現在の時刻が、在室可能時刻の範囲外である場合には、認証処理部35によって、例えば、ユーザが利用する端末装置21について接続されたネットワークが切断されたり、ネットワークへのアクセス要求が認証不許可とされたりする。
The occupancy time indicates a time zone in which the user specified by this account ID is allowed to stay in the security management area, and depends on a set of occupancy start time and occupancy end time. It is configured. This occupancy time is compared with the current time, and if the current time is outside the occupancy time range, the
上限認証数は、このアカウントIDで特定されるユーザに対する認証を許可することができる端末装置21の上限値である。この上限認証数は、ネットワークへのアクセス要求時に、ユーザの認証が許可されている端末装置21のカウント数と比較され、このカウント数が上限認証数よりも小さい場合には、認証処理部35によって、認証許可される。
The upper limit number of authentication is an upper limit value of the
ユーザ在室状態記憶部32Bは、ユーザをネットワークにおいて一意に特定するための被認証情報であるアカウントID毎に、在室部屋番号と、在室開始時刻とを関係付けて記憶している。ユーザ在室状態記憶部32Bに記憶される情報は、動的情報であり、設備系システム10で管理されているユーザの入退室状態に応じて認証処理部35により随時更新されていく。
The user occupancy
図4は、ユーザ在室状態記憶部32Bに記憶される情報とその内容との一例を示す説明図である。在室部屋番号は、ユーザが、現在、在室しているセキュリティ管理領域を特定する部屋番号である。認証処理部35は、設備系システム10において状態変化があった際に通知される入退室情報から、ユーザが現在セキュリティ管理領域に在室しているのか否かを特定して、ユーザが在室の場合には、セキュリティ管理領域を示す部屋番号を在室部屋番号として、ユーザ在室状態記憶部32Bに記憶させる。
FIG. 4 is an explanatory diagram showing an example of information stored in the user occupancy
在室開始時刻は、設備系システム10より状態変化があった際に送信される入退室情報から特定される、セキュリティ管理領域への入室時刻であり、セキュリティ管理領域に在室が開始された時刻を示している。この在室開始時刻は、ネットワーク認証時などにおいて、セキュリティ管理領域における在室可能時間との比較に用いられる。
The occupancy start time is the entry time to the security management area specified from the entry / exit information transmitted when there is a state change from the
ユーザ認証状態記憶部32Cは、ユーザをネットワークにおいて一意に特定するための被認証情報であるアカウントID毎に、認証端末カウント数と、中継装置IDと、中継装置ポート番号とを関連付けて記憶している。ユーザ認証状態記憶部32Cに記憶される情報は、動的情報であり、ネットワーク認証システム20で管理されているユーザのネットワーク認証状態などに応じて認証処理部35により随時更新されていく。
The user authentication
図5は、ユーザ認証状態記憶部32Cに記憶される情報とその内容との一例を示す説明図である。認証端末カウント数は、セキュリティ管理領域内に設けられた複数の端末のうち、このアカウントIDで特定されるユーザに対する認証が許可された端末装置21の数(カウント数)を示す。認証処理部35は、中継装置22および認証サーバ23においてネットワークへのアクセス要求が認証許可された場合には、この認証端末カウント数をインクリメントさせ、中継装置22から端末装置21のネットワーク接続の遮断が通知された場合には、この認証端末カウント数をデクリメントさせる。
FIG. 5 is an explanatory diagram showing an example of information stored in the user authentication
中継装置IDは、セキュリティ管理領域内に設けられた複数の端末装置21のうち、このアカウントIDで特定されるユーザに対する認証が許可された端末装置21が接続する中継装置22のIPアドレス(中継装置22に付与されたネットワーク固有の識別子)を示す。認証処理部35は、中継装置22および認証サーバ23においてネットワークへのアクセス要求が認証許可された場合には、ユーザに対する認証が許可された端末装置21が接続する中継装置22のIPアドレスを、中継装置IDとして、ユーザ認証状態記憶部32Cに記憶させる。また、認証処理部35は、中継装置22に接続する全ての端末装置21のうち、ユーザに対する認証が許可された端末装置21のすべてについてネットワーク接続が遮断されたことを条件として、該当する中継装置IDをユーザ認証状態記憶部32Cから削除する。中継装置IDは、セキュリティ管理領域に設定された中継装置22の数に応じて、複数設定することができる。
The relay device ID is the IP address (relay device) of the
中継装置ポート番号は、セキュリティ管理領域内に設けられた複数の端末のうち、このアカウントIDで特定されるユーザに対する認証が許可された端末装置21が接続する中継装置22のポート22aの番号を示す。認証処理部35は、中継装置22および認証サーバ23においてネットワークへのアクセス要求が認証許可された場合には、ユーザに対する認証が許可された端末装置21が接続する中継装置22のポート22aの番号を、中継装置ポート番号として、ユーザ認証状態記憶部32Cに記憶させる。また、認証処理部35は、ユーザに対する認証が許可された端末装置21のネットワーク接続が遮断されたことを条件として、該当する中継装置ポート番号をユーザ認証状態記憶部32Cから削除する。中継装置ポート番号は、ユーザの認証が許可された端末装置21が接続する中継装置22のポート22aの数に応じて、複数設定することができる。
The relay device port number indicates the number of the
システム情報記憶部32Dは、設備系システム10のセキュリティ管理領域を一意に特定するための識別番号である部屋番号と、入室扉IDと、退室扉IDと、中継装置IDとを関係付けて記憶している。システム情報記憶部32Dに記憶された情報は、静的情報であり、一旦設定されるとシステム変更などがあるまで変更されずに保持される。
The system
図6は、システム情報記憶部32Dで記憶保持している情報とその内容との一例を示す説明図である。
FIG. 6 is an explanatory diagram showing an example of information stored and held in the system
入室扉IDは、設備系システム10に設けられた入口扉のIDであり、入口扉と1対1で対応している設備系システム10の入室用カードリーダ11の機器IDを使用する。退室扉IDは、設備系システム10に設けられた出口扉のIDであり、出口扉と1対1で対応している設備系システム10の退室用カードリーダ12の機器IDを使用する。入室扉ID、退室扉IDは、セキュリティ管理領域に設けられている扉の数に応じて、複数設定することができる。
The entrance door ID is an ID of an entrance door provided in the
中継装置IDは、このセキュリティ管理領域に設置されている中継装置22のIPアドレスを示している。この中継装置IDは、セキュリティ管理領域に設定された中継装置22の数に応じて、複数設定することができる。
The relay device ID indicates the IP address of the
ネットワークI/F33は、連携制御装置30と、中継装置22および認証サーバ23との間で通信を行うための通信インターフェースである。ネットワークI/F34は、Ethernet(登録商標)やTCP/IPスタックに相当する。
The network I /
RADIUS認証部34は、認証要求中継部34Aと、要求中継判断部34Bと、機器設定記憶部34Cとを備え、RADIUS認証に関連する処理を実行する。
The
認証要求中継部34Aは、RADIUS認証において中継装置22、認証サーバ23間で送受信されるRADIUSパケットを中継する。このとき、認証要求中継部34Aは、ネットワーク認証要求のRADIUSパケットに含まれるアカウントIDなど認証処理部35での認証処理に必要となる情報を取得する。またRADIUSの規格で定義されている認証符号の再計算を行う機能も有している。
The authentication
要求中継判断部34Bは、認証処理部35でなされた認証判断に基づき、認証サーバ23に対してネットワーク認証要求を送信するか、ネットワーク認証要求を拒否するかの最終的な判断をする。要求中継判断部34Bは、拒否応答する場合には、拒否応答パケットを生成し中継装置22に送信する。
The request
機器設定記憶部34Cは、RADIUS通信の正当性を確認するために必要となる中継装置22、認証サーバ23それぞれで保持される全ての秘密共有鍵を、通信相手のIPアドレスと対応付けて管理する。
The device setting storage unit 34C manages all secret shared keys held in the
認証処理部35は、中継装置22から送信されるネットワーク認証要求のRADIUSパケットに含まれる情報と、内部データベース32に記憶されている情報とを用いて認証処理を行い、ネットワーク認証要求を認証サーバ23へと転送するのか、それとも拒否するのかを判断する。
The
また、認証処理部35は、中継装置22が外部からの認証状態制御に対応している場合、ユーザの行動状態が変化したことに応じて、即座に認証状態をリセットするための要求を送信する。この場合、認証処理部35は、中継装置22が、MIB(Management Information Base)と呼ばれる管理情報データベースを保持している場合に動作する。具体的には、IETF(Internet Engineering Task Force )で標準化されたTCP/IPネットワーク環境での管理プロトコルであるSNMP (Simple Network Management Protocol)にて、上述した管理情報であるMIBを交換することで、認証処理部35により中継装置22を管理することができる。つまり、中継装置22にSNMPエージェントが与えられた場合に、認証処理部35は、SNMPマネージャとして機能する。例えば、MIBとしては、IEEE802.1xで規定されたものを使用することができる。
In addition, when the
また、認証処理部35は、ユーザ情報記憶部32Aに記憶されている静的情報などを、HTTP(S)サーバやTelnetなどを利用して外部から管理することができる。
Further, the
つぎに、本実施形態の特徴の一つである、ユーザに対する認証を許可することができる端末装置21の数を制限する処理(端末数制限処理)手順について説明する。図7は、本実施形態の連携制御装置30による端末数制限処理の手順を示すフローチャートである。なお、端末数制限処理の手順を説明するにあたり、図8に示すタイミングチャートを参照し、ユーザのセキュリティ管理領域への入室から、このセキュリティ管理領域に構築されたネットワークでのユーザ認証まで一連の手順とともに説明する。
Next, a procedure for limiting the number of
まず、ユーザが、ネットワークが構築されているセキュリティ管理領域へと、入退室コントロールユニット13によって管理された扉から入室する。具体的には、ユーザは、入室用カードリーダ11にICカード2を翳す。これに応じて、入退室コントロールユニット13は、ICカード2の半導体メモリに格納されている情報を読み取り、カードIDを認証して施錠された扉の電気錠を解錠する。入退室コントロールユニット13は、ICカード2のカードIDと、解錠した扉を一意に特定する扉ID、入室であることを示す情報と、入退室時刻とを入退室情報として連携制御装置30に送信する。
First, a user enters a security management area where a network is constructed from a door managed by the entrance /
図8に示すように、タイミングT1において、連携制御装置30は、外部システムI/F31を介して設備系システム10から入退出情報を取得すると、この入退室情報を認証処理で使用できるように変換した上で、内部データベース32のユーザ在室状態記憶部32Bに記憶させ、セキュリティ管理領域におけるユーザの現在の入退室状態を記憶する。
As shown in FIG. 8, at timing T <b> 1, when the
具体的には、認証処理部35は、入退室コントロールユニット13から送信されたICカード2のカードIDを用いて、ユーザ情報記憶部32Aを検索し、このカードIDに対応付けて記憶されているアカウントIDを取得する。また、認証処理部35は、入退室コントロールユニット13から送信された扉IDを用いて、システム情報記憶部32Dを検索し、この扉IDに対応付けられているセキュリティ管理領域を特定する部屋番号を取得する。そして、認証処理部35は、ユーザ情報記憶部32Aから取得したアカウントIDと対応付けて、取得した部屋番号を在室部屋番号としてユーザ在室状態記憶部32Bに記憶させる。また、認証処理部35は、入退室コントロールユニット13から送信された入退室情報が、入室を示す情報である場合には、入退室情報に含まれる入退室時刻を在室開始時刻としてユーザ在室状態記憶部32Bに記憶させる。
Specifically, the
タイミングT2において、セキュリティ管理領域に入室したユーザは、端末装置21から中継装置22を介して、IEEE802.1Xの手順に従い、アクセス要求としてネットワーク認証要求を送信することで端末装置21のネットワークへの接続を試みる。初期状態では、端末装置21とネットワークと間の接続は、中継装置22によって切断されているため、端末装置21は、中継装置22としか通信を行うことができない。
At timing T2, the user who entered the security management area transmits a network authentication request as an access request from the
まず、ユーザは、ネットワークに接続するために、端末装置21からアカウントID及びパスワードを入力し中継装置22へ認証用のパケットであるネットワーク認証要求を送信する。
First, in order to connect to the network, the user inputs an account ID and a password from the
端末装置21は、ネットワーク認証要求をEAPメッセージの入ったMAC(Media Access Control)フレームとして中継装置22へ送信する。このとき、アカウントIDは平文で、パスワードはハッシュ化された状態で送信される。
The
中継装置22は、MACフレームからEAPメッセージを取り出し、IPパケットに乗せ換え、連携制御装置30へと送信をする。具体的には、中継装置22は、IPの上位層のUDPを利用して、中継装置22から取り出したEAPメッセージをRADIUSパケットのデータ部分に格納して連携制御装置30へと送信する。
The
ここで、図7を参照するに、ステップS1において、RADIUS認証部34の認証要求中継部34Aは、ネットワーク認証要求であるRADIUSパケットを受信したか否かを判断している。認証要求中継部34Aがネットワーク認証要求を受信した場合には、ステップS2に進む。一方、認証要求中継部34Aがネットワーク認証要求を受信していない場合には、後述するステップS10に進む。
Here, referring to FIG. 7, in step S <b> 1, the authentication
ステップS2において、認証要求中継部34Aは、RADIUSプロトコルに従ってハッシュ計算を行い、RADIUSパケットの認証を行う。これにより、受信したRADIUSパケットに対して、データに改編や改竄が加えられていないか、或いは、データが壊れていないかといった認証が行われる。このステップS2において肯定判定された場合には、後述するステップS3に進む。一方、ステップS2において否定判定された場合には、ステップS4に進み、認証要求中継部34Aはパケットを破棄する。
In step S2, the authentication
ステップS3において、認証要求中継部34Aは、受信したRADIUSパケットが、中継装置22と認証サーバ23とのRADIUS認証処理における認証シーケンスにおいて、一番目のパケットであるか否かを判断する。このRADIUS認証処理における認証シーケンスにおいて、中継装置22からネットワーク認証要求として送信される最初のRADIUSパケットのEAPメッセージにのみ、平文のアカウントIDであるEAP−Type=Identityデータが存在する。そのため、受信したRADIUSパケットにおいて、EAP−Type=Identityデータを検索することにより、一番目のパケットであるか否かを判断することができる。このステップS3において否定判定された場合には、ステップS5に進み、RADIUSパケットを認証サーバ23へと転送する。一方、ステップS3において肯定判定された場合には、ステップS6に進む。なお、RADIUSパケットには、このアカウントIDの他に、中継装置22の情報として中継装置22のIPアドレス、端末装置21が接続された中継装置22のポート番号、ネットワーク認証を行った端末装置21のMACアドレスなどがRADIUS属性情報として記述されている。
In step S <b> 3, the authentication
ステップS6において、ネットワーク認証要求を行ったユーザのアカウントIDが取得されると、これに続くステップS7において、ネットワーク認証要求を行った中継装置22のIPアドレスおよび端末装置21が接続された中継装置22のポート番号が取得される。
When the account ID of the user who made the network authentication request is acquired in step S6, in step S7, the IP address of the
具体的には、図8のタイミングT3に示すように、RADIUS認証部34の認証要求中継部34Aは、ネットワークI/F34を介して受信したネットワーク認証要求のRADIUSパケットのEAPメッセージに添付されたIdentityデータ(アカウントID)を取得して認証処理部35に出力する。また、認証要求中継部34Aは、受信したネットワーク認証要求のRADIUSパケットより中継装置22のIPアドレス、端末装置21が接続された中継装置22のポート番号を取得して認証処理部35に出力する。
Specifically, as shown at timing T3 in FIG. 8, the authentication
タイミングT4において、認証処理部35は、取得したIdentiyデータのアカウントIDをキーとして、ユーザ情報記憶部32Aに格納されている、在室可能時間、在室可能時刻および上限認証数と、ユーザ在室状態記憶部32Bに格納されている在室部屋番号および在室開始時刻と、ユーザ認証状態記憶部32Cに格納されている認証端末カウント数とを要求する。また、認証処理部35は、取得した中継装置22のIPアドレスをキーとして、システム情報記憶部32Dに格納されている部屋番号を要求する。この部屋番号は、ネットワーク認証要求を送信した中継装置22が設置されているセキュリティ管理領域を示している。
At timing T4, the
タイミングT5において、認証処理部35は、ユーザ情報記憶部32Aから在室可能時間、在室可能時刻および上限認証数を取得し、ユーザ在室状態記憶部32Bから在室部屋番号および在室開始時刻を取得し、ユーザ認証状態記憶部32Cから認証端末カウント数を取得するとともに、システム情報記憶部32Dから部屋番号を取得する。
At timing T5, the
再び図7を参照するに、ステップS8において、連携制御装置30の認証処理部35は、中継装置22から送信されたネットワーク認証要求を認証サーバ23へと転送するか否かを判断する。認証処理部35は、以下の条件を具備した場合に、ネットワーク認証要求を認証サーバ23へと転送する。
Referring again to FIG. 7, in step S <b> 8, the
(1)ユーザがセキュリティ管理領域に在室していること
(2)この在室しているセキュリティ管理領域内の端末装置21(中継装置22)によってネットワーク認証要求がなされていること
(3)ユーザに対する認証が許可された端末装置21の数(認証端末カウント数)がユーザに対する認証を許可することができる端末装置21の上限値(条件認証カウント数)よりも小さいこと
(4)セキュリティ管理領域にユーザが在室している経過時間が在室可能時間を超えていないこと
(5)現在の時刻が在室可能時刻の範囲内であること
具体的には、認証処理部35は、以下の(a)〜(d)のすべてを確認できた場合には、ステップS8の肯定判定に続き、ステップS5に進む。
(1) The user is present in the security management area (2) A network authentication request is made by the terminal device 21 (relay apparatus 22) in the present security management area (3) User The number of
(a)ユーザ在室状態記憶部32Bから取得した在室部屋番号と、システム情報記憶部32Dから取得した部屋番号とを比較して、セキュリティ管理領域にユーザが存在し、このセキュリティ管理領域からネットワーク認証要求がなされていること
(b)ユーザ情報記憶部32Aから取得した上限認証数と、ユーザ認証状態記憶部32Cから取得した認証端末カウント数とを比較して、ユーザに認証されている端末装置21の数が上限認証カウント数よりも小さいこと
(c)ユーザ情報記憶部32Aから取得した在室可能時間と在室経過時間とを比較して、ユーザが在室可能時間を超えてセキュリティ管理領域に在室していないこと
(d)ユーザ情報記憶部32Aから取得した在室可能時刻と現在の時刻とを比較して、ユーザがセキュリティ管理領域に在室することが可能な時間帯であること
そして、ステップS5では、ネットワーク認証要求が認証サーバ23へと転送される。具体的には、図8のタイミングチャートに示すように、タイミングT6において、認証処理部35は、認証許可を示す認証判断をRADIUS認証部34の要求中継判断部34Bに通知する。そして、タイミングT7において、要求中継判断部34Bは、認証処理部35からの認証判断に応じて、認証サーバ23へネットワーク認証要求を送信する最終的な判断を行い、ネットワークI/F34を介して、ネットワーク認証要求を認証サーバ23へ送信する。
(A) The occupancy room number acquired from the user occupancy
一方、認証処理部35は、上述した(a)〜(d)のいずれか一つでも確認がなされなかった場合には、ステップS8の否定判定に続き、ステップS9に進む。
On the other hand, if any one of the above-described (a) to (d) is not confirmed, the
ステップS9において、認証拒否パケットが中継装置22へと送信される。具体的には、図8のタイミングチャートに示すように、タイミングT8において、認証処理部35は、認証不許可を示す拒否判断をRADIUS認証部34の要求中継判断部34Bに通知する。そして、タイミングT9において、要求中継判断部34Bは、認証処理部35からの拒否判断に応じて、認証サーバ23へのネットワーク認証要求の送信を拒否し、拒否応答パケットを生成して、ネットワークI/F34を介して中継装置22へ送信する。中継装置22は、送信された拒否応答パケットに基づき、端末装置21にネットワーク認証要求を拒否したことを示す拒否応答を通知する。
In step S <b> 9, an authentication rejection packet is transmitted to the
タイミングT10において、認証サーバ23へネットワーク認証要求が送信されたことに応じて、EAPメッセージが添付された認証サーバ23から送信されるパケットである認証応答、端末装置21から送信されるパケットである認証要求をやり取りすることで、ユーザのネットワーク上での認証処理が実行される。
In response to the transmission of the network authentication request to the
具体的には、認証サーバ23は、ネットワーク認証要求に添付されたアカウントIDをキーとして、図示しないユーザ情報記憶部に格納されている情報との照合処理を行う。認証サーバ23は、送信されたアカウントIDに関連付けられてユーザ情報記憶部に格納されている対象となるユーザのパスワードを所定のハッシュ関数でハッシュ化し、ネットワーク認証要求に添付されたハッシュ化されているパスワードと比較をし、ハッシュ化されたパスワード同士が一致するかどうか確認をする。このとき、連携制御装置30の認証要求中継部34Aは、端末装置21と認証サーバ23との認証要求、認証応答に対して何も施さずにスルーする。中継装置22は、上述したようなEAPメッセージの乗せ換えだけを行う中継装置として機能する。
Specifically, the
再び図7を参照するに、ステップS10において、連携制御装置30のRADIUS認証部34の認証要求中継部34Aは、認証サーバ23からの認証応答を受信したか否かを判断している。認証要求中継部34Aが認証応答を受信した場合には、ステップS11に進む。一方、認証要求中継部34Aが認証応答を受信していない場合には、本ルーチンを抜ける。
Referring again to FIG. 7, in step S <b> 10, the authentication
ステップS11において、RADIUS認証部34は、RADIUSプロトコルに従ってハッシュ計算を行い、認証応答パケットの認証を行う。これにより、受信した認証応答パケットに対して、データに改編や改竄が加えられていないか、データが壊れていないかといったデータの認証が行われる。このステップS11において肯定判定された場合には、後述するステップS12に進む。一方、ステップS11において否定判定された場合には、ステップS13に進み、認証要求中継部34Aはパケットを破棄する。
In step S11, the
ステップS12において、認証要求中継部34Aは、認証サーバ23からの認証応答にその認証結果が存在するか否かを判断する。ここで、図8のタイミングT11に示すように、認証サーバ23は、ネットワーク認証要求に対する認証処理が終了した場合には、認証応答として、認証サーバ23による認証がなされたことを示す認証許可通知、認証されなかったことを示す認証不許可通知のいずれかを認証結果として、連携制御装置30のRADIUS認証部34に送信している。したがって、認証応答に認証結果が存在する場合には、図7に示すステップS12において否定判定されるため、ステップS14に進み、認証サーバ23からの認証応答を中継装置22へと転送する。一方、認証応答に認証結果が存在しない場合には、ステップS12において否定判定されるため、ステップS15に進む。
In step S <b> 12, the authentication
ステップS15において、認証要求中継部34Aは、認証結果が認証許可通知であるか否かを判断する。このステップS15において否定判定された場合には、ステップS14に進み、認証要求中継部34Aは、認証サーバ23からのパケットである認証不許可通知を中継装置22へ転送する。中継装置22は、連携制御装置30を介して認証サーバ23から認証不許可通知を受け取った場合には、端末装置21とネットワークとの回線を開放せずに、認証不許可である旨を通知するメッセージを端末装置21に送信する。
In step S15, the authentication
一方、ステップS15において肯定判定された場合には、認証要求中継部34Aは、認証処理部35に対して認証許可である旨を通知した上で、ステップS16に進む。
On the other hand, if an affirmative determination is made in step S15, the authentication
ステップS16において、認証処理部35は、ユーザのアカウントIDをキーとして、ユーザ認証状態記憶部32Cの中継装置ポート番号を検索し、ネットワーク認証要求を行った端末装置21が接続された中継装置22のポート番号が記憶されているか否かを判断する。このステップS16において肯定判定された場合には、ステップS14に進み、認証要求中継部34Aは、認証許可通知を中継装置22へ転送する。一方、ステップS16において否定判定された場合には、ステップS17に進む。
In step S16, the
ステップS17において、ユーザのアカウントIDと対応付けて、ネットワーク認証要求が送信された中継装置22のIPアドレスを、中継装置IDとしてユーザ認証状態記憶部32Cに記憶するとともに、ネットワーク認証要求を行った端末装置21が接続された中継装置22のポート番号を、中継装置ポート番号としてユーザ認証状態記憶部32Cに記憶する。これにより、図8のタイミングT12に示すように、ネットワークの認証結果が内部データベース32に記憶される。
In step S17, the IP address of the
そして、再び、図7を参照するに、ステップS17に続くステップS14において、認証要求中継部34Aは、認証許可通知を中継装置22へ転送する。
Then, referring to FIG. 7 again, in step S14 following step S17, the authentication
中継装置22は、認証サーバ23から認証許可通知を受け取った場合には、端末装置21とネットワークとの回線を開放する。これにより、ユーザは、端末装置21を介してネットワークへアクセスすることができ、ネットワーク上の他の端末装置との通信が可能となる。
When receiving the authentication permission notification from the
このようにして、連携制御装置30によって設備系システム10と、ネットワーク認証システム20とが相互に接続され連携されたネットワーク管理システム1では、検出される設備系システム10におけるユーザの高度セキュリティレベル領域における現在の出入状態に基づき、連携制御装置30が、端末装置21からなされるネットワーク認証要求の正当性を認証サーバ23へ通知する前段で判断する。
In this way, in the
本実施形態によれば、認証処理部35は、セキュリティ管理領域への入出状態と認証端末カウント数とに基づく認証結果が認証許可の場合に、アクセス要求を認証サーバ23に転送し、不許可の場合に、アクセス要求を認証サーバ23に転送しない。これにより、ユーザに対する認証が許可された端末装置21の数を制限することが可能となる。
According to the present embodiment, the
また、本発明によれば、上限となる端末装置21の数を設定することができるので、利用することができる端末装置21の数を自在にコントロールすることができる。
Further, according to the present invention, the number of
また、本発明によれば、ネットワークの中継装置22をキーとして、端末装置21を特定することが可能となる。
Further, according to the present invention, the
(第2の実施形態)
ところで、セキュリティ管理領域へと入室し、上述したような連携制御装置30による認証、認証サーバ23による認証を経てネットワーク上で認証されるが、このユーザが、切断処理を実行せずにセキュリティ管理領域から退出してしまう事態が考えられる。
(Second Embodiment)
By the way, the user enters the security management area and is authenticated on the network through the authentication by the
認証されたネットワークとの切断処理を実行せずにセキュリティ管理領域を離れてしまうと、セキュリティ管理領域にいる別のユーザによって不正にネットワークへアクセスされてしまう可能性が非常に高い。そこで、以下に示す手法により、ネットワークへの不正なアクセスを防止することができる。 If the user leaves the security management area without executing the disconnection process with the authenticated network, there is a high possibility that another user in the security management area may illegally access the network. Therefore, unauthorized access to the network can be prevented by the following method.
例えば、ネットワーク管理システム1は、上述した図8に示すタイミングチャートのようにしてセキュリティ管理領域へ入室したユーザにより、中継装置22、連携制御装置30を介して端末装置21とネットワークとが接続されているとする。
For example, in the
まず、ユーザは、セキュリティ管理領域からセキュリティレベルの低い領域(例えば、廊下)へと入退室コントロールユニット13によって管理された扉から退室する。
First, the user leaves the door managed by the entrance /
具体的には、ユーザは、退室用カードリーダ12にICカード2を翳す。これに応じて、入退室コントロールユニット13は、ICカード2の半導体メモリに格納されている情報を読み取り、カードIDを認証して施錠された扉の電気錠を解錠する。
Specifically, the user puts the
入退室コントロールユニット13は、ICカード2から読み取ったカードIDと、電気錠を解錠した扉を一意に特定する扉IDと、退室であることを示す情報と、入退室時刻とを入退室情報として連携制御装置30に送信する。
The entrance /
連携制御装置30は、外部システムI/F31を介して設備系システム10から送信される入退室情報を認証処理で使用できるように変換した上で、内部データベース32のユーザ在室状態記憶部32Bに記憶させ、設備系システム10のセキュリティ管理領域におけるユーザの現在の入退室状態を記憶する。
The
具体的には、認証処理部35は、入退室コントロールユニット13から送信された入退室情報が、退室を示す情報である場合には、ユーザ在室状態記憶部32Bにおいて、記憶されている在室部屋番号および在室開始時刻を削除する。
Specifically, when the entry / exit information transmitted from the entry /
認証処理部35は、ユーザ在室状態記憶部32Bへの書き込みがあったことに応じて、内部データベース32を参照し、設備系システム10における状態が変化したユーザが、現在、ネットワーク上で認証中であるかどうかを判断する。具体的には、認証処理部35は、ユーザ認証状態記憶部32Cの中継装置ID、または、中継装置ポート番号を参照して、ネットワーク上で認証中であるかどうかを判断する。
The
ネットワーク上で認証中である場合、認証処理部35は、内部データベース32のユーザ認証状態記憶部32Cにおいて、該当するユーザのアカウントIDに対応付けて記憶されている中継装置IDおよび中継装置ポート番号を参照し、端末装置21が接続されている中継装置22のポート22aを閉じて、端末装置21をネットワークから切断する。そして、認証処理部35は、ユーザ認証状態記憶部32Cにおいて、記憶されている認証端末カウント数、中継装置ID、および、中継装置ポート番号を削除する。
When the authentication is being performed on the network, the
このように本実施形態によれば、ユーザに対する認証が許可された端末装置21を特定する端末識別子が記憶されているので、ネットワークからの端末装置21の遮断といったアクセス制限を容易に行うことができる。
As described above, according to the present embodiment, since the terminal identifier that identifies the
また、認証処理部35は、ユーザに許されているセキュリティ管理領域の在室可能時間が経過したこと、あるいは、セキュリティ管理領域に定められた在室可能時刻ではないことに応じて、上述の退室情報を取得したケースと同様に、内部データベース32のユーザ在室状態記憶部32Bの該当するユーザのセキュリティ管理領域における入退室状態を書き換え、ユーザに認証されている端末装置21をネットワークから切断することができる。
In addition, the
(第3の実施形態)
図9は、本発明の第3の実施形態にかかるネットワーク管理システム1の全体構成を示す概念図である。本実施形態にかかるネットワーク管理システム1が、第1または第2の実施形態のそれと相違する点は、端末装置21が、無線中継装置22A、或いは、中継装置22にハブ22Bを介してネットワークに接続されている点である。無線中継装置22Aは、複数の端末装置21に対して無線で接続され、認証サーバ23と端末装置21との認証処理を中継する。無線中継装置22Aは、有線の中継装置22と同様に、RADIUSサーバに対するRADIUSクライアントとして機能する認証装置である。
(Third embodiment)
FIG. 9 is a conceptual diagram showing the overall configuration of the
無線中継装置22Aは、第1の実施形態に示す中継装置22と同様の機能を担っているが、ユーザのネットワーク上での認証が許可されると、そのユーザが使用する端末装置21に対して、定期的に再認証を行う。この際、無線中継装置22Aでは、セキュリティ向上の観点から、端末装置21が接続するポート番号(仮想ポート番号)を変更する場合がある。そのため、同一の端末装置21による認証であっても、ポート番号が変更するため、その端末装置21を特定することができなくなってしまう。
The
また、中継装置22と端末装置21との間にハブ22Bを介在させた場合には、中継装置22の任意のポート22aに複数の端末装置21が接続されることなり、ポート番号による端末装置21の識別では、そのポート22aに複数接続するどの端末装置21からの認証であるのかを特定することができない。
In addition, when the
そこで、本実施形態では、第1または第2の実施形態をベースに、以下に示すようなネットワーク管理システム1によってこのような問題に対処する。なお、第3の実施形態のシステム構成を説明するにあたり、第1または第2の実施形態と同一の構成については、同一の参照符号を引用し、その詳細については説明を省略する。
Therefore, in the present embodiment, such a problem is addressed by the
本実施形態の特徴の一つとして、図10に示すように、連携制御装置30は、第1の実施形態に示す構成に加えて、後述する端末検索部36と、ログ記録部37とを有している。
As one of the features of this embodiment, as shown in FIG. 10, the
また、連携制御装置30の内部データベース32は、端末機器情報記憶部32Eをさらに有している。
The
端末機器情報記憶部32Eは、設備系システム10のセキュリティ管理領域を一意に特定するための識別番号である部屋番号と、端末装置固有IDとを関連づけて記憶している。端末機器情報記憶部32Eに記憶された情報は、静的情報であり、一旦設定されるとシステム変更などがあるまで変更されずに保持される。
The terminal device
図11は、端末機器情報記憶部32Eに記憶される情報とその内容との一例を示す説明図である。端末装置固有IDは、セキュリティ管理領域に設けられる端末装置21の機器固有の識別子であり、本実施形態では、MACアドレスがこれに該当する。端末装置固有IDは、セキュリティ管理領域に設けられる端末装置21の数に応じて、複数設定することができる。
FIG. 11 is an explanatory diagram showing an example of information stored in the terminal device
なお、内部データベース32のユーザ認証状態記憶部32Cには、図12に示すように、ユーザをネットワークにおいて一意に特定するための被認証情報であるアカウントID毎に、上述した認証端末カウント数、中継装置IDおよび中継装置ポート番号とに加え、さらに、ユーザ端末固有IDが関連付けられている。
As shown in FIG. 12, the user authentication
ユーザ端末固有IDは、ユーザに対する認証が許可された端末装置21の機器固有の識別番号であり、本実施形態では、MACアドレスがこれに該当する。認証処理部35は、中継装置22および認証サーバ23においてネットワークへのアクセス要求が認証許可された場合には、ユーザに対する認証が許可された端末装置21のMACアドレスを、ユーザ端末固有IDとして、ユーザ認証状態記憶部32Cに記憶させる。また、認証処理部35は、ユーザに対する認証が許可された端末装置21のネットワーク接続が遮断されたことを条件として、該当するユーザ端末固有IDをユーザ認証状態記憶部32Cから削除する。ユーザ端末固有IDは、セキュリティ管理領域に設定された端末装置21の数に応じて、複数設定することができる。
The user terminal unique ID is an identification number unique to the device of the
また、ユーザ認証状態記憶部32Cにおいて、認証端末カウント数は、端末装置21の機器固有の識別番号であるMACアドレスをベースとして行われる。
In the user authentication
再び図10を参照するに、端末検索部36は、ネットワーク認証要求が許可された端末装置21のMACアドレスをキーとして、ユーザ認証状態記憶部32Cを検索し、当該端末装置21の認証状態を検索する。
Referring again to FIG. 10, the
ログ記録部37は、端末装置21によるネットワークへの不正なアクセスが行われた際に、このアクセスログを不正アクセスとして記憶する。
The
図11は、本実施形態の連携制御装置30による端末数制限処理の手順を示すフローチャートである。なお、基本的な処理手順については、第1の実施形態で述べたように、図7に示す処理手順と同一であり、同一の処理については同一のステップ番号を引用し、以下相違点について説明を行う。
FIG. 11 is a flowchart illustrating the procedure of the terminal number restriction process by the
上述したステップS7に続くステップS18において、ネットワーク認証要求として送信される最初のRADIUSパケットを参照し、ネットワーク認証要求を行った端末装置21のMACアドレスが取得される。
In step S18 subsequent to step S7 described above, the first RADIUS packet transmitted as the network authentication request is referred to, and the MAC address of the
ステップS18に続くステップS19において、認証処理部35は、取得した中継装置22のIPアドレスをキーとして検索されたシステム情報記憶部32Dの部屋番号に基づいて、端末機器情報記憶部32Eを検索し、ステップS18において取得したMACアドレスが、セキュリティ管理領域に存在する端末装置21のMACアドレスとして登録されているか否かを判断する。このステップS19において肯定判定された場合には、ステップS20に進む。一方、ステップS19において否定判定された場合には、ステップS21に進む。
In step S19 following step S18, the
ステップS20において、認証処理部35は、中継装置22から送信されたネットワーク認証要求を認証サーバ23へと転送するか否かを判断する。認証処理部35は、第1の実施形態に示す(1)〜(5)の条件に加え、(6)の条件をさらに具備した場合に、ネットワーク認証要求を認証サーバ23へと転送する。
In step S <b> 20, the
(1)ユーザがセキュリティ管理領域に在室していること
(2)この在室しているセキュリティ管理領域内の端末装置21(中継装置22)によってネットワーク認証要求がなされていること
(3)ユーザの認証が許可されている端末装置21の数(認証端末カウント数)がユーザに許可される上限認証カウント数よりも小さいこと
(4)セキュリティ管理領域にユーザが在室している経過時間が在室可能時間を超えていないこと
(5)現在の時刻が在室可能時刻の範囲内であること
(6)ネットワーク認証要求がなされた端末装置21と、すでにユーザに対する認証が許可された端末装置21が同一ではないこと
具体的には、認証処理部35は、以下の(a)〜(e)のすべてを確認できた場合には、ステップS20の肯定判定に続き、ステップS5に進む。
(1) The user is present in the security management area (2) A network authentication request is made by the terminal device 21 (relay apparatus 22) in the present security management area (3) User The number of
(a)ユーザ在室状態記憶部32Bから取得した在室部屋番号と、システム情報記憶部32Dから取得した部屋番号とを比較して、セキュリティ管理領域にユーザが存在し、このセキュリティ管理領域からネットワーク認証要求がなされていること
(b)ユーザ情報記憶部32Aから取得した上限認証数と、ユーザ認証状態記憶部32Cから取得した認証端末カウント数とを比較して、ユーザに認証されている端末装置21の数が上限認証カウント数よりも小さいこと
(c)ユーザ情報記憶部32Aから取得した在室可能時間と在室経過時間とを比較して、ユーザが在室可能時間を超えてセキュリティ管理領域に在室していないこと
(d)ユーザ情報記憶部32Aから取得した在室可能時刻と現在の時刻とを比較して、ユーザがセキュリティ管理領域に在室することが可能な時間帯であること
(e)ユーザ認証状態記憶部32Cに記憶されたユーザ端末固有IDと、ステップS18において取得したMACアドレスとを比較して、現在ネットワーク認証要求を行った端末装置21がすでにネットワーク認証が許可されていないこと
一方、認証処理部35は、上述した(a)〜(e)のいずれか一つでも確認がなされなかった場合には、ステップS20の否定判定に続き、ステップS9に進む。
(A) The occupancy room number acquired from the user occupancy
これに対して、ステップS19の否定判定に続くステップS21では、ログ記録部37に不正アクセスログが記録される。
On the other hand, in step S21 following the negative determination in step S19, the unauthorized access log is recorded in the
また、図13を参照するに、ステップS15における肯定判定に続くステップS22において、ユーザ認証状態記憶部32Cのユーザ端末固有IDを検索し、ステップS18において取得したMACアドレスが既に記憶されているか否かを判断する。ステップS22において肯定判定された場合には、ステップS23に進む。一方、ステップS22において否定判定された場合には、ステップS24に進む。
Further, referring to FIG. 13, in step S22 following the affirmative determination in step S15, the user terminal unique ID in the user authentication
ステップS23において、ユーザのアカウントIDと対応付けて、ネットワーク認証要求が送信された中継装置22のIPアドレスによって、ユーザ認証状態記憶部32Cの中継装置IDを更新するとともに、ネットワーク認証要求を行った端末装置21が接続された中継装置22のポート番号によって、ユーザ認証状態記憶部32Cの中継装置ポート番号を更新する。
In step S23, the relay apparatus ID of the user authentication
ステップS24において、ユーザのアカウントIDと対応付けて、ネットワーク認証要求が送信された中継装置22のIPアドレスを、中継装置IDとしてユーザ認証状態記憶部32Cに記憶し、ネットワーク認証要求を行った端末装置21が接続された中継装置22のポート番号を、中継装置ポート番号としてユーザ認証状態記憶部32Cに記憶するとともに、ネットワーク認証要求を行った端末装置21のMACアドレスを、ユーザ端末固有IDとしてユーザ認証状態記憶部32Cに記憶する。
In step S24, the IP address of the
このように本実施形態によれば、機器にユニークな識別子(MACアドレス)を用いることにより、ネットワークの構成如何に関わらず、端末装置21を有効に特定することができる。
As described above, according to the present embodiment, by using a unique identifier (MAC address) for a device, the
また、本実施形態によれば、ネットワーク上において端末装置21を特定するネットワーク固有の情報が変更されたとしても、機器にユニークな識別子をキーとしてこれを更新することができるので、ネットワークのアクセス制限を有効に行うことができる。
In addition, according to the present embodiment, even if the network-specific information for identifying the
さらに、本実施形態によれば、ネットワークに接続する端末装置21の機器固有の識別子をさらに用いて認証処理が行われるので、不正な端末装置21からのアクセス要求を認証サーバ23へと転送する以前に、拒否することが可能となる。
Furthermore, according to the present embodiment, since the authentication process is further performed using the device-specific identifier of the
1 ネットワーク管理システム
2 ICカード
10 設備系システム
11 入室用カードリーダ
12 退室用カードリーダ
13 入退室コントロールユニット
20 ネットワーク認証システム
21 端末装置
22 中継装置
22A 無線中継装置
22B ハブ
22a ポート
23 認証サーバ
30 連携制御装置
32 内部データベース
32A ユーザ情報記憶部
32B ユーザ在室状態記憶部
32C ユーザ認証状態記憶部
32D システム情報記憶部
32E 端末機器情報記憶部
34 RADIUS認証部
34A 認証要求中継部
34B 要求中継判断部
34C 機器設定記憶部
35 認証処理部
36 端末検索部
37 ログ記録部
DESCRIPTION OF
Claims (6)
前記セキュリティ管理領域に設けられた複数の端末装置のそれぞれを処理対象として、ユーザを一意に特定する第2の被認証情報に基づいた認証サーバによるユーザ認証の処理結果に応じて、ネットワークへのアクセスを制限するネットワーク認証システムと
を相互に連携させる連携制御装置において、
前記第2の被認証情報と、前記セキュリティ管理領域におけるユーザの入出状態と、前記複数の端末装置のうち、前記認証サーバによってユーザ認証が許可された前記端末装置の数である認証端末カウント数とを、ユーザ毎に関連付けて記憶するユーザ状態記憶手段と、
ユーザから前記端末装置を介して前記認証サーバに対してなされる、前記第2の被認証情報を用いたネットワークへのアクセス要求を受信した場合には、前記ユーザ状態記憶手段に記憶されている前記第2の被認証情報に関連付けられた前記入出状態および前記認証端末カウント数に基づいて、ユーザに対する前記端末装置の利用認証を行う認証処理手段と、
前記第2の被認証情報と、ユーザに対する認証を許可することができる前記端末装置の数である上限認証数とを関連付けて記憶するユーザ情報記憶手段と、
を有し、
前記認証処理手段は、前記利用認証において、前記第2の被認証情報に基づいて前記ユーザ状態記憶手段および前記ユーザ情報記憶手段を検索し、
前記ユーザ状態記憶手段の入出状態が、前記セキュリティ管理領域においてユーザが入状態である、かつ、前記ユーザ状態記憶手段の認証端末カウント数が、前記ユーザ情報記憶手段の上限認証数よりも小さい場合には、認証許可との判断を行い、
前記ユーザ状態記憶手段の入出状態が、前記セキュリティ管理領域においてユーザが出状態である、または、前記ユーザ状態記憶手段の認証端末カウント数が、前記ユーザ情報記憶手段の上限認証数である場合には、認証不許可との判断を行い、
前記利用認証の結果が認証許可の場合には、前記アクセス要求を前記認証サーバに転送し、前記利用認証の結果が認証不許可の場合には、前記アクセス要求を前記認証サーバに転送することを拒否することを特徴とする連携制御装置。 An entry / exit management system that manages the entry / exit of the user in the security management area in accordance with the processing result of the user authentication based on the first authenticated information for uniquely identifying the user;
Access to the network according to the processing result of user authentication by the authentication server based on the second authenticated information that uniquely identifies the user, with each of the plurality of terminal devices provided in the security management area as a processing target In the cooperation control device that cooperates with the network authentication system that restricts
The second authenticated information, the user entry / exit state in the security management area, and the authentication terminal count number that is the number of the terminal devices permitted to be authenticated by the authentication server among the plurality of terminal devices; User status storage means for storing the information in association with each user,
When a request for access to the network using the second authenticated information is made to the authentication server from the user via the terminal device, the user status storage unit stores the request Authentication processing means for performing use authentication of the terminal device for a user based on the entry / exit state associated with second authenticated information and the authentication terminal count number ;
User information storage means for storing the second authenticated information in association with the upper limit number of authentications, which is the number of the terminal devices that can permit authentication for the user ;
Have
The authentication processing unit searches the user status storage unit and the user information storage unit based on the second authenticated information in the usage authentication,
When the user status storage means enters / exits the user in the security management area and the user status storage means has an authentication terminal count smaller than the upper limit authentication number of the user information storage means Makes a decision to allow authentication,
When the entry / exit state of the user state storage means is a user exit state in the security management area, or the authentication terminal count number of the user state storage means is the upper limit authentication number of the user information storage means , Make a decision that authentication is not allowed,
The access request is transferred to the authentication server when the result of the use authentication is permission, and the access request is transferred to the authentication server when the result of the use authentication is not permitted. A cooperative control device characterized by rejecting.
前記認証処理手段は、前記認証サーバによってユーザに対する認証が許可された前記端末装置をネットワークから切断する場合には、前記第2の被認証情報に基づいて前記ユーザ状態記憶手段を検索し、前記第2の被認証情報に関連付けられた端末識別子に該当する前記端末装置を前記ネットワークから切断することを特徴とする請求項1に記載された連携制御装置。 The user status storage means further stores a terminal identifier that identifies the terminal device that is permitted to authenticate a user by the authentication server,
The authentication processing unit searches the user status storage unit based on the second authenticated information when disconnecting the terminal device that has been authenticated by the authentication server from the network. The cooperation control device according to claim 1, wherein the terminal device corresponding to the terminal identifier associated with the second authentication information is disconnected from the network .
前記端末識別子は、前記端末装置が接続する前記中継装置に付与されたネットワーク固有の識別子と、前記端末装置が接続する前記中継装置のポート番号とを含むことを特徴とする請求項2に記載された連携制御装置。 Each of the terminal devices is connected to the network via a relay device,
The terminal identifier includes a network-specific identifier assigned to the relay device to which the terminal device is connected and a port number of the relay device to which the terminal device is connected. Cooperation control device.
前記認証処理手段は、前記認証サーバによってユーザに対する認証が許可された場合、前記ユーザ状態記憶手段の端末識別子に、ユーザに対する認証が許可された端末装置に付与された機器固有の識別子が既に記憶されている場合には、当該端末装置が現在接続する前記中継装置のネットワーク固有の識別子およびポート番号によって従前の情報を更新することを特徴とする請求項4に記載された連携制御装置。 The relay device is connected to the plurality of terminal devices using radio,
In the authentication processing unit, when the authentication to the user is permitted by the authentication server, the device-specific identifier assigned to the terminal device permitted to authenticate the user is already stored in the terminal identifier of the user state storage unit. 5. The cooperation control apparatus according to claim 4, wherein if the network information is present, the previous information is updated with a network-specific identifier and a port number of the relay apparatus to which the terminal apparatus is currently connected .
前記認証処理手段は、前記利用認証において、前記端末機器情報記憶手段をさらに検索し、
前記ユーザ状態記憶手段の入出状態が、前記セキュリティ管理領域においてユーザが入状態である、かつ、前記ユーザ状態記憶手段の認証端末カウント数が、前記ユーザ情報記憶手段の上限認証数よりも小さい、かつ、前記端末機器情報記憶手段の機器固有の識別子が、前記アクセス要求を送信した端末装置に付与されている機器固有の識別子と一致する場合には、認証許可との判断を行い、
前記ユーザ状態記憶手段の入出状態が、前記セキュリティ管理領域においてユーザが出状態である、または、前記ユーザ状態記憶手段の認証端末カウント数が、前記ユーザ情報記憶手段の上限認証数である、または、前記端末機器情報記憶手段の機器固有の識別子が、前記アクセス要求を送信した端末装置に付与されている機器固有の識別子と一致しない場合には、認証不許可との判断を行うことを特徴とする請求項4または5に記載された連携制御装置。 A terminal device information storage unit that stores device-specific identifiers assigned to a plurality of terminal devices provided in the security management area;
The authentication processing means further searches the terminal device information storage means in the use authentication,
The entry / exit state of the user state storage means is a user in the security management area, and the authentication terminal count number of the user state storage means is smaller than the upper limit authentication number of the user information storage means, and If the device-specific identifier of the terminal device information storage means matches the device-specific identifier assigned to the terminal device that has transmitted the access request, it is determined that authentication is permitted,
The entry / exit state of the user state storage means is a user exit state in the security management area, or the authentication terminal count number of the user state storage means is the upper limit authentication number of the user information storage means, or When the device-specific identifier of the terminal device information storage means does not match the device-specific identifier assigned to the terminal device that transmitted the access request, it is determined that authentication is not permitted. The cooperation control apparatus according to claim 4 or 5 .
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2006255100A JP4894431B2 (en) | 2006-09-20 | 2006-09-20 | Cooperation control device |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2006255100A JP4894431B2 (en) | 2006-09-20 | 2006-09-20 | Cooperation control device |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2008077362A JP2008077362A (en) | 2008-04-03 |
JP4894431B2 true JP4894431B2 (en) | 2012-03-14 |
Family
ID=39349354
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2006255100A Expired - Fee Related JP4894431B2 (en) | 2006-09-20 | 2006-09-20 | Cooperation control device |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP4894431B2 (en) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108537920A (en) * | 2018-03-27 | 2018-09-14 | 南京甄视智能科技有限公司 | Visitor's monitoring method based on recognition of face and system |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP6977740B2 (en) * | 2019-02-22 | 2021-12-08 | 横河電機株式会社 | Computer systems, computer equipment and license management methods |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2002041469A (en) * | 2000-07-21 | 2002-02-08 | Toshiba Corp | System and method for managing electronic equipment |
JP2002123491A (en) * | 2000-10-13 | 2002-04-26 | Nippon Telegr & Teleph Corp <Ntt> | Authentication proxy method, device and system |
-
2006
- 2006-09-20 JP JP2006255100A patent/JP4894431B2/en not_active Expired - Fee Related
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108537920A (en) * | 2018-03-27 | 2018-09-14 | 南京甄视智能科技有限公司 | Visitor's monitoring method based on recognition of face and system |
CN108537920B (en) * | 2018-03-27 | 2020-06-05 | 南京甄视智能科技有限公司 | Visitor monitoring method and system based on face recognition |
Also Published As
Publication number | Publication date |
---|---|
JP2008077362A (en) | 2008-04-03 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP4174535B2 (en) | Authentication system and authentication method for authenticating wireless terminal | |
US8549584B2 (en) | Physical security triggered dynamic network authentication and authorization | |
US10089804B2 (en) | Method and apparatus for increasing reliability in monitoring systems | |
US9237139B2 (en) | Controlling access to a secure resource based on user credentials and location | |
JP2006343880A (en) | Network management system | |
JP4752436B2 (en) | Cooperation control apparatus and network management system | |
US11165773B2 (en) | Network device and method for accessing a data network from a network component | |
JP2006343886A (en) | Network management system | |
US8590015B2 (en) | Method and device to suspend the access to a service | |
US20210216619A1 (en) | Method and apparatus for authenticating a user of a compartment installation | |
JP4894431B2 (en) | Cooperation control device | |
JP4882511B2 (en) | Cooperation control device | |
JP2009055417A (en) | Authentication system for authenticating radio terminal, authentication method thereof, and radio base station | |
JP2014155038A (en) | Connection authentication method and system for network | |
JP4894432B2 (en) | Cooperation control device | |
JP5170982B2 (en) | Entrance / exit information device | |
JP4797685B2 (en) | Cooperation control apparatus and network management system | |
JP2008077364A (en) | Cooperation control apparatus | |
CN112887982B (en) | Intelligent authority management method, system, terminal and storage medium based on network | |
JP5871348B1 (en) | Terminal management apparatus, terminal management system, terminal management method, and terminal management program | |
JP2005086656A (en) | Authentication discrimination bridge, program, wireless lan communication system, and wireless lan communication method | |
CN114424260A (en) | Enabling remote unlocking of a lock | |
WO2023138759A1 (en) | Physical access using cloud transaction |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20090420 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20110823 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20110824 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20111021 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20111129 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20111212 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20150106 Year of fee payment: 3 |
|
LAPS | Cancellation because of no payment of annual fees |