JP2003122650A - Network managing system - Google Patents
Network managing systemInfo
- Publication number
- JP2003122650A JP2003122650A JP2001316938A JP2001316938A JP2003122650A JP 2003122650 A JP2003122650 A JP 2003122650A JP 2001316938 A JP2001316938 A JP 2001316938A JP 2001316938 A JP2001316938 A JP 2001316938A JP 2003122650 A JP2003122650 A JP 2003122650A
- Authority
- JP
- Japan
- Prior art keywords
- management
- command
- identification information
- network
- encrypted
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Abstract
Description
【0001】[0001]
【発明の属する技術分野】本発明は、ネットワーク管理
システムに関し、より特定的には、セキュリティを強化
したネットワーク管理システムに関する。BACKGROUND OF THE INVENTION 1. Field of the Invention The present invention relates to a network management system, and more particularly to a network management system with enhanced security.
【0002】[0002]
【従来の技術】従来のネットワーク管理システムは、ネ
ットワーク管理装置とネットワーク機器との間で業界標
準管理プロトコルSNMPv1(Simple Net
work Management Protocol
Version 1、以下、特に説明を加えない限り、
SNMPと言えば、SNMPv1のことをいう)を用い
て情報をやりとりする際、コミュニティ名(識別情報)
を用いたアクセス制御を行っていた。2. Description of the Related Art A conventional network management system uses an industry standard management protocol SNMPv1 (Simple Net) between a network management device and a network device.
work Management Protocol
Version 1, below, unless otherwise specified
Community name (identification information) is used when exchanging information using SNMPv1.
Access control was performed using.
【0003】より具体的に説明すると、コミュニティ名
は、ネットワーク管理装置のみが認識している。ネット
ワーク管理装置は、あるネットワーク機器から情報を取
得したり、あるネットワーク機器の変数を変更したりす
るとき、当該ネットワーク機器に対して、SNMPコマ
ンドに当該ネットワーク機器に設定されているコミュニ
ティ名を付加させて、当該ネットワーク機器に送信す
る。当該ネットワーク機器は、受信したSNMPコマン
ドに付加されているコミュニティ名が自己のコミュニテ
ィ名と一致するか否かを判断する。コミュニティ名が一
致する場合、当該ネットワーク機器は、受信したSNM
Pコマンドに従って、処理を行い、ネットワーク管理装
置に対して、応答を返す。More specifically, the community name is recognized only by the network management device. When acquiring information from a certain network device or changing a variable of a certain network device, the network management device causes the network device to add the community name set in the network device to the SNMP command. And sends it to the network device. The network device determines whether or not the community name added to the received SNMP command matches its own community name. If the community names match, the network device receives the received SNM.
Processing is performed according to the P command, and a response is returned to the network management device.
【0004】ところで、ネットワーク管理装置は、ネッ
トワークを介して、ネットワーク機器にコミュニティ名
を送信する。したがって、ネットワークを流れるコミュ
ニティ名が、第三者によって不正に取得される可能性が
ある。不正に取得されたコミュニティ名を利用すれば、
第三者がネットワーク機器を不正に操作することも可能
となる。これは、ネットワークの管理上、重要な問題で
ある。By the way, the network management device transmits the community name to the network device via the network. Therefore, the community name flowing through the network may be illegally obtained by a third party. If you use the illegally acquired community name,
It is also possible for a third party to illegally operate the network device. This is an important issue for network management.
【0005】そこで、上記のような問題点を解消するた
めに、SNMPv2/v3(Version 2/Ve
rsion 3)が提案されている。SNMPv2/v
3では、セキュリティを強化するために、暗号化技術を
用いて、SNMPパケット全体を暗号化してネットワー
ク機器に送信する。かかる場合、ネットワーク上でSN
MPパケットが不正に取得されたとしても、第三者は、
コミュニティ名を認識することができないので、セキュ
リティの強化が図れることとなる。Therefore, in order to solve the above problems, SNMPv2 / v3 (Version 2 / Ve)
version 3) has been proposed. SNMPv2 / v
In 3, in order to enhance the security, the whole SNMP packet is encrypted and transmitted to the network device by using the encryption technique. In such a case, SN on the network
Even if the MP packet is illegally acquired, the third party
Since the community name cannot be recognized, security can be enhanced.
【発明が解決しようとする課題】しかし、SNMPv2
/v3では、SNMPパケット全体を暗号化するので、
送信先のIPアドレスや、SNMPコマンドの内容など
セキュリティレベルが比較的低い情報までも暗号化する
こととなっていた。したがって、暗号化すべきデータの
情報量が増加するため、処理が重くなるという問題があ
った。そのため、現状においては、あまりSNMPv2
/v3を用いたプロトコルの普及が進んでいない。[Problems to be Solved by the Invention] However, SNMPv2
In / v3, the entire SNMP packet is encrypted, so
Even the information having a relatively low security level such as the destination IP address and the content of the SNMP command has been encrypted. Therefore, there is a problem that the amount of information of the data to be encrypted increases and the processing becomes heavy. Therefore, at present, there are not many SNMPv2
The protocol using / v3 has not spread widely.
【0006】それゆえ、本発明の目的は、現在もっとも
普及しているSNMPv1を用いた上で、処理負担増を
最小限にとどめ、セキュリティ機能を強化したネットワ
ーク管理システムを提供することである。[0006] Therefore, an object of the present invention is to provide a network management system in which the increase in processing load is minimized and the security function is enhanced by using the most popular SNMPv1 at present.
【0007】[0007]
【課題を解決するための手段】第1の発明は、ネットワ
ークに接続されている管理装置が管理コマンドを用い
て、ネットワークに接続されている通信機器を管理する
ネットワーク管理システムであって、管理装置は、通信
機器に管理操作の指示を与えるための管理コマンドを生
成する管理コマンド生成手段と、管理操作の指示が権限
を有するオペレータからのものであるか否かを通信機器
が判断するための識別情報を暗号化する暗号化手段と、
暗号化手段によって暗号化された識別情報を管理コマン
ドと共に、通信機器に送信する管理コマンド送信部とを
備え、通信機器は、管理コマンド送信部から送信されて
くる暗号化された識別情報を復号化する復号化手段と、
復号化手段が復号化した識別情報に基づいて、管理コマ
ンド送信部から送信されてくる管理コマンドに基づく管
理操作の指示が権限を有するオペレータからのものであ
るか否かを判断する管理操作判断手段と、管理操作判断
手段の判断に基づいて、管理コマンド基づく管理操作を
実行する管理操作実行手段とを備える。According to a first aspect of the present invention, there is provided a network management system in which a management device connected to a network uses a management command to manage communication equipment connected to the network. Is a management command generating means for generating a management command for giving a management operation instruction to the communication device, and an identification for the communication device to judge whether the management operation instruction is from an authorized operator. Encryption means for encrypting information,
A management command transmitting unit that transmits the identification information encrypted by the encryption unit to the communication device together with the management command, and the communication device decrypts the encrypted identification information transmitted from the management command transmitting unit. Decryption means to
Based on the identification information decrypted by the decryption means, the management operation determination means determines whether or not the management operation instruction based on the management command transmitted from the management command transmission unit is from an authorized operator. And management operation execution means for executing management operation based on the management command based on the judgment of the management operation judgment means.
【0008】上記第1の発明の構成により、ネットワー
ク管理システムは、識別情報のみを暗号化して、識別情
報が外部に漏れるのを防止し、セキュリティの強化を図
る。この際、識別情報以外の情報は、暗号化されないの
で、暗号化に要する処理を減少させることができ、処理
負担増を最小限にとどめ、セキュリティを強化したネッ
トワーク管理システムが提供されることとなる。With the configuration of the first invention, the network management system encrypts only the identification information, prevents the identification information from leaking to the outside, and enhances security. At this time, since information other than the identification information is not encrypted, it is possible to reduce the processing required for encryption, minimize the increase in processing load, and provide a network management system with enhanced security. .
【0009】第2の発明は、第1の発明に従属する発明
であって、管理装置は、識別情報毎に当該識別情報を暗
号化するか否かを設定しておくセキュリティ情報設定部
をさらに備え、暗号化手段は、セキュリティ情報設定部
の設定に基づいて、識別情報を暗号化することを特徴と
する。A second invention is an invention subordinate to the first invention, wherein the management device further comprises a security information setting section for setting whether or not to encrypt the identification information for each identification information. The encryption means is characterized by encrypting the identification information based on the setting of the security information setting unit.
【0010】上記第2の発明の構成により、管理装置
は、予め秘密性が設定されている識別情報のみを暗号化
することとなる。したがって、全ての識別情報を暗号化
する必要がないので、大きな処理負担増を招くことな
く、セキュリティを強化したネットワーク管理システム
を提供することとなる。また、復号化機能を持たない通
信機器がネットワーク管理システムに加わった場合、管
理装置は、当該通信機器に対しては、識別情報の暗号化
を行わないように設定しておけばよい。このようにすれ
ば、復号化機能を持たない通信機器をネットワーク管理
システムに併存させることができ、システム導入が容易
となる。With the configuration of the second invention, the management device encrypts only the identification information for which confidentiality is set in advance. Therefore, since it is not necessary to encrypt all the identification information, it is possible to provide a network management system with enhanced security without increasing the processing load. Further, when a communication device having no decryption function is added to the network management system, the management device may set the communication device so that the identification information is not encrypted. In this way, a communication device without a decryption function can coexist in the network management system, which facilitates system introduction.
【0011】第3の発明は、第1の発明に従属する発明
であって、暗号化手段は、識別情報と共に管理コマンド
も暗号化し、管理コマンド送信部は、暗号化手段によっ
て暗号化された識別情報と共に暗号化された管理コマン
ドを通信機器に送信し、復号化手段は、管理操作判断手
段の判断に基づいて暗号化された管理コマンドを復号化
し、管理操作実行手段は、復号化された管理コマンドに
基づく管理操作を実行する。A third invention is an invention according to the first invention, wherein the encrypting means encrypts the management command together with the identification information, and the management command transmitting part identifies the identification encrypted by the encrypting means. The encrypted management command is transmitted to the communication device together with the information, the decryption means decrypts the encrypted management command based on the judgment of the management operation judging means, and the management operation executing means judges the decrypted management command. Perform management operations based on commands.
【0012】上記第3の発明の構成により、ネットワー
ク管理システムは、識別情報と共に管理コマンドも暗号
化するが、それ以外の情報は暗号化しない。従って、処
理負担増を最小限にとどめ、よりセキュリティの高いネ
ットワーク管理システムを提供することが可能となる。With the configuration of the third invention, the network management system encrypts the management command together with the identification information, but does not encrypt other information. Therefore, it is possible to minimize the increase in processing load and provide a network management system with higher security.
【0013】第4の発明は、第3の発明に従属する発明
であって、管理装置は、識別情報毎に管理コマンドを暗
号化するか否かを設定しておくセキュリティ情報設定部
をさらに備え、暗号化手段は、セキュリティ情報設定部
の設定に基づいて管理コマンドを暗号化することを特徴
とする。A fourth invention is an invention according to the third invention, wherein the management device further comprises a security information setting unit for setting whether or not to encrypt the management command for each identification information. The encryption means is characterized by encrypting the management command based on the setting of the security information setting section.
【0014】上記第4の発明の構成により、管理装置
は、予め秘密性が設定されている識別情報と、それを含
ませる管理コマンドとを暗号化することとなる。したが
って、全ての識別情報および管理コマンドを暗号化する
必要がないので、大きな処理負担増を招くことなく、セ
キュリティを強化したネットワーク管理システムを提供
することが可能となる。また、復号化機能を持たない通
信機器がネットワーク管理システムに加わった場合、管
理装置は、当該通信機器に対しては、識別情報および管
理コマンドの暗号化を行わないように設定しておけばよ
い。このようにすれば、復号化機能を持たない通信機器
をネットワーク管理システムに併存させることができ、
システム導入が容易となる。With the configuration of the above-mentioned fourth invention, the management device encrypts the identification information for which confidentiality is set in advance and the management command including it. Therefore, since it is not necessary to encrypt all the identification information and the management command, it is possible to provide a network management system with enhanced security without increasing the processing load. Further, when a communication device having no decryption function is added to the network management system, the management device may set the communication device so that the identification information and the management command are not encrypted. . By doing so, it is possible to allow a communication device without a decoding function to coexist in the network management system,
System introduction becomes easy.
【0015】第5の発明は、第1の発明に従属する発明
であって、通信機器は、さらに管理装置からの管理操作
の指示に応答するための応答コマンドを生成する応答コ
マンド生成手段と、応答コマンドが管理対象の通信機器
からのものであるか否かを管理装置が判断するための管
理対象識別情報を暗号化する管理対象暗号化手段と、管
理対象暗号化手段によって暗号化された管理対象識別情
報を応答コマンドと共に、管理装置に送信する応答コマ
ンド送信部とを備え、管理装置は、さらに応答コマンド
送信部から送信されてくる暗号化された管理対象識別情
報を復号化する管理対象復号化手段と、管理対象復号化
手段が復号化した管理対象識別情報に基づいて、応答コ
マンド送信部から送信されてくる応答コマンドが自己の
管理対象とする通信機器からのものであるか否かを判断
する管理対象判断手段と、管理対象判断手段の判断に基
づいて、応答コマンドに基づく処理を実行する応答コマ
ンド実行手段とを備える。A fifth invention is according to the first invention, and the communication device further comprises a response command generating means for generating a response command for responding to a management operation instruction from the management device, Management target encryption means for encrypting the management target identification information for the management device to determine whether or not the response command is from the management target communication device, and management encrypted by the management target encryption means The management device includes a response command transmission unit that transmits the target identification information together with the response command to the management device, and the management device further decrypts the encrypted management target identification information transmitted from the response command transmission unit. Of the response command transmitted from the response command transmission unit based on the management means and the management target identification information decrypted by the management target decryption means. Comprises a Managed determining means for determining whether or not from the device, based on the judgment of the managed determining means and response command execution means for executing a process based on the response command.
【0016】上記第5の発明の構成により、通信機器
は、管理装置へ送信する応答コマンドに含ませる識別情
報のみを暗号化して、識別情報が外部に漏れるのを防止
し、セキュリティの強化を図る。この際、識別情報以外
の情報は、暗号化されないので、暗号化に要する処理を
減少させることができ、処理負担増を最小限にとどめ、
セキュリティを強化したネットワーク管理システムが提
供されることとなる。With the configuration of the fifth invention, the communication device encrypts only the identification information included in the response command transmitted to the management device, prevents the identification information from leaking to the outside, and enhances security. . At this time, since information other than the identification information is not encrypted, the processing required for encryption can be reduced and the increase in processing load can be minimized.
A network management system with enhanced security will be provided.
【0017】第6の発明は、第5の発明に従属する発明
であって、通信機器は、管理対象識別情報毎に当該管理
対象識別情報を暗号化するか否かを設定しておくセキュ
リティ情報設定部をさらに備え、管理対象暗号化手段
は、セキュリティ情報設定部の設定に基づいて、管理対
象識別情報を暗号化することを特徴とする。A sixth aspect of the invention is an invention according to the fifth aspect of the invention, wherein the communication device sets, for each management target identification information, security information for setting whether or not to encrypt the management target identification information. The management target encryption means further includes a setting unit, and encrypts the management target identification information based on the setting of the security information setting unit.
【0018】上記第6の発明の構成により、通信機器
は、予め秘密性が設定されている識別情報のみを暗号化
することとなる。したがって、全ての識別情報を暗号化
する必要がないので、大きな処理負担増を招くことな
く、セキュリティを強化したネットワーク管理システム
を提供することとなる。With the configuration of the sixth invention, the communication device encrypts only the identification information whose confidentiality is set in advance. Therefore, since it is not necessary to encrypt all the identification information, it is possible to provide a network management system with enhanced security without increasing the processing load.
【0019】第7の発明は、第5の発明に従属する発明
であって、管理対象暗号化手段は、管理対象識別情報と
共に応答コマンドも暗号化し、応答コマンド送信部は、
管理対象暗号化手段によって暗号化された管理対象識別
情報と共に暗号化された応答コマンドを管理装置に送信
し、管理対象復号化手段は、管理対象判断手段の判断に
基づいて暗号化された応答コマンドを復号化し、応答コ
マンド実行手段は、復号化された応答コマンドに基づく
処理を実行する。A seventh invention is an invention according to the fifth invention, wherein the management target encryption means encrypts the response command together with the management target identification information, and the response command transmitting section
A response command encrypted together with the management target identification information encrypted by the management target encryption means is transmitted to the management device, and the management target decryption means transmits the response command encrypted based on the judgment of the management target judgment means. And the response command execution means executes processing based on the decrypted response command.
【0020】上記第7の発明の構成により、ネットワー
ク管理システムは、識別情報と共に応答コマンドも暗号
化するが、それ以外の情報は暗号化しない。従って、処
理負担増を最小限にとどめ、よりセキュリティの高いネ
ットワーク管理システムを提供することが可能となる。According to the configuration of the seventh invention, the network management system encrypts the response command together with the identification information, but does not encrypt other information. Therefore, it is possible to minimize the increase in processing load and provide a network management system with higher security.
【0021】第8の発明は、第7の発明に従属する発明
であって、通信機器は、管理対象識別情報毎に応答コマ
ンドを暗号化するか否かを設定しておくセキュリティ情
報設定部をさらに備え、管理対象暗号化手段は、セキュ
リティ情報設定部の設定に基づいて応答コマンドを暗号
化することを特徴とする。An eighth invention is according to the seventh invention, wherein the communication device has a security information setting section for setting whether or not to encrypt the response command for each management target identification information. Further, the managed encryption means is characterized in that the response command is encrypted based on the setting of the security information setting section.
【0022】上記第8の発明の構成により、通信機器
は、予め秘密性が設定されている識別情報と、それを含
ませる応答コマンドとを暗号化することとなる。したが
って、全ての識別情報および応答コマンドを暗号化する
必要がないので、大きな処理負担増を招くことなく、セ
キュリティを強化したネットワーク管理システムを提供
することが可能となる。With the configuration of the eighth invention, the communication device encrypts the identification information for which confidentiality is set in advance and the response command including it. Therefore, since it is not necessary to encrypt all the identification information and the response command, it is possible to provide a network management system with enhanced security without increasing the processing load.
【0023】第9の発明は、ネットワークに接続されて
いる通信機器からのコマンドによって、ネットワークに
接続されている管理装置が通信機器を管理するネットワ
ーク管理システムであって、通信機器は、管理装置に管
理を求めるためのコマンドを生成するコマンド生成手段
と、コマンドが管理対象の通信機器からのものであるか
否かを管理装置が判断するための管理対象識別情報を暗
号化する管理対象暗号化手段と、管理対象暗号化手段に
よって暗号化された管理対象識別情報をコマンドと共
に、管理装置に送信するコマンド送信部とを備え、管理
装置は、コマンド送信部から送信されてくる暗号化され
た管理対象識別情報を復号化する管理対象復号化手段
と、管理対象復号化手段が復号化した管理対象識別情報
に基づいて、コマンド送信部から送信されてくるコマン
ドが自己の管理対象とする通信機器からのものであるか
否かを判断する管理対象判断手段と、管理対象判断手段
の判断に基づいて、コマンドに基づく処理を実行するコ
マンド実行手段とを備える。A ninth aspect of the present invention is a network management system in which a management device connected to a network manages the communication device in response to a command from the communication device connected to the network. Command generation means for generating a command for requesting management, and management target encryption means for encrypting management target identification information for the management device to determine whether or not the command is from a management target communication device And a command transmission unit for transmitting the management target identification information encrypted by the management target encryption means together with the command to the management device, and the management device is configured to send the encrypted management target transmitted from the command transmission unit. A command based on the management target decoding means for decoding the identification information and the management target identification information decoded by the management target decoding means Based on the judgment of the management target judgment means that judges whether the command transmitted from the receiver is from the communication device that is the management target of itself, and the judgment of the management target judgment means, execute the processing based on the command And a command executing means for executing.
【0024】上記第9の発明の構成により、通信機器
は、管理装置へ通知する自律的なコマンドに含ませる識
別情報のみを暗号化して、識別情報が外部に漏れるのを
防止し、セキュリティの強化を図る。この際、識別情報
以外の情報は、暗号化されないので、暗号化に要する処
理を減少させることができ、処理負担増を最小限にとど
め、セキュリティを強化したネットワーク管理システム
が提供されることとなる。According to the ninth aspect of the invention, the communication device encrypts only the identification information included in the autonomous command notified to the management device, prevents the identification information from leaking to the outside, and enhances security. Plan. At this time, since information other than the identification information is not encrypted, it is possible to reduce the processing required for encryption, minimize the increase in processing load, and provide a network management system with enhanced security. .
【0025】第10の発明は、ネットワークに接続され
ている通信機器を管理コマンドによる管理操作によって
管理するネットワーク管理装置であって、通信機器に管
理操作の指示を与えるための管理コマンドを生成する管
理コマンド生成手段と、管理操作の指示が権限を有する
オペレータからのものであるか否かを通信機器が判断す
るための識別情報を暗号化する暗号化手段と、暗号化手
段によって暗号化された識別情報を管理コマンドと共
に、通信機器に送信する管理コマンド送信部とを備え
る。A tenth aspect of the present invention is a network management device for managing a communication device connected to a network by a management operation by a management command, and a management command for generating a management command for giving a management operation instruction to the communication device. Command generation means, encryption means for encrypting identification information for the communication device to determine whether the management operation instruction is from an authorized operator, and identification encrypted by the encryption means. A management command transmission unit that transmits information to the communication device together with the management command.
【0026】上記第10の発明の構成により、 ネット
ワーク管理装置は、識別情報のみを暗号化して、識別情
報が外部に漏れるのを防止し、セキュリティの強化を図
る。この際、識別情報以外の情報は、暗号化されないの
で、暗号化に要する処理を減少させることができ、ネッ
トワーク管理装置の処理負担増を最小限にとどめること
が可能となる。With the configuration of the tenth aspect of the invention, the network management device encrypts only the identification information, prevents the identification information from leaking to the outside, and enhances security. At this time, since the information other than the identification information is not encrypted, the processing required for the encryption can be reduced, and the increase of the processing load on the network management device can be minimized.
【0027】第11の発明は、ネットワークに接続され
ているネットワーク管理装置にコマンドを送信してネッ
トワーク管理装置による管理を受ける通信機器であっ
て、管理装置による管理を受けるためのコマンドを生成
するコマンド生成手段と、コマンドが管理対象の通信機
器からのものであるか否かをネットワーク管理装置が判
断するための管理対象識別情報を暗号化する管理対象暗
号化手段と、管理対象暗号化手段によって暗号化された
管理対象識別情報をコマンドと共に、ネットワーク管理
装置に送信するコマンド送信部とを備える。An eleventh aspect of the present invention is a communication device for transmitting a command to a network management device connected to a network to be managed by the network management device, the command generating command for receiving the management by the management device. A generation unit, a management target encryption unit that encrypts management target identification information for the network management apparatus to determine whether or not the command is from a communication target management device, and a management target encryption unit that encrypts the management target identification information. And a command transmitting unit for transmitting the converted management target identification information together with the command to the network management apparatus.
【0028】上記第11の発明の構成により、通信機器
は、識別情報のみを暗号化して、識別情報が外部に漏れ
るのを防止し、セキュリティの強化を図る。この際、識
別情報以外の情報は、暗号化されないので、暗号化に要
する処理を減少させることができ、通信機器の処理負担
増を最小限にとどめることが可能となる。According to the eleventh aspect of the invention, the communication device encrypts only the identification information, prevents the identification information from leaking to the outside, and enhances security. At this time, since the information other than the identification information is not encrypted, the processing required for the encryption can be reduced, and the increase in the processing load on the communication device can be minimized.
【0029】[0029]
【発明の実施の形態】図1は、本発明の一実施形態に係
るネットワーク管理システムの全体構成を示した図であ
る。本発明の一実施形態に係るネットワーク管理システ
ムは、3つのネットワーク機器200と、1つのネット
ワーク管理装置100とを備える。図1では、ネットワ
ーク機器200を3つとしたが、別に3つ以上であって
も3つ未満であってもよい。また、ネットワーク管理装
置100を1つとしたが、別に、1つ以上であってもよ
い。ネットワーク機器200は、請求項でいう通信機器
である。1 is a diagram showing the overall configuration of a network management system according to an embodiment of the present invention. The network management system according to the embodiment of the present invention includes three network devices 200 and one network management device 100. Although the number of the network devices 200 is three in FIG. 1, the number may be three or more or less than three. Further, although the number of the network management apparatus 100 is one, the number of the network management apparatuses 100 may be one or more. The network device 200 is a communication device referred to in the claims.
【0030】ネットワーク管理装置100は、ネットワ
ーク300を介して、ネットワーク機器200の監視お
よび制御を行う。ネットワーク機器200は、ネットワ
ーク管理装置100からの指示に基づき、自己が保持す
る情報をネットワーク300を介して、ネットワーク管
理装置100に通知する。また、ネットワーク機器20
0は、障害情報などを自律的にネットワーク管理装置1
00に通知する。ネットワーク管理装置100の管理対
象となるネットワーク機器200として、たとえば、ル
ータやスイッチングハブ、パーソナルコンピュータ、プ
リンタなどがある。ネットワーク300は、たとえば、
LAN(Local Area Network)など
である。The network management device 100 monitors and controls the network device 200 via the network 300. Based on an instruction from the network management device 100, the network device 200 notifies the network management device 100 of the information held by itself, via the network 300. In addition, the network device 20
0 is the network management device 1 that autonomously reports failure information and the like.
00 is notified. Examples of the network device 200 managed by the network management device 100 include a router, a switching hub, a personal computer, and a printer. The network 300 is, for example,
For example, a LAN (Local Area Network) or the like.
【0031】ネットワーク管理装置100とネットワー
ク機器200との間の管理情報(例えば、MIB(Ma
negement Infomation Bace)
のオブジェクトIDとその変数や、障害情報など)のや
り取りには、業界標準の管理プロトコルであるSNMP
が用いられる。SNMPは、ネットワークに接続された
機器をネットワーク経由で監視したり、管理したりする
ためのプロトコルである。ネットワーク管理装置100
とネットワーク機器200との間では、パケットの送受
信によって管理情報のやり取りが行われる。パケットに
は、宛先アドレスと、SNMPコマンドと、識別情報
(コミュニティ名ともいう)とが含まれる。Management information between the network management device 100 and the network device 200 (for example, MIB (Ma
(negotiation Information Base)
Object ID and its variables, fault information, etc.) is an industry standard management protocol, SNMP.
Is used. SNMP is a protocol for monitoring and managing devices connected to the network via the network. Network management device 100
And the network device 200 exchange management information by transmitting and receiving packets. The packet includes a destination address, an SNMP command, and identification information (also called a community name).
【0032】SNMPコマンドには、3種類ある。第1
は、ネットワーク管理装置100がネットワーク機器2
00を管理するためのコマンドである。第2は、ネット
ワーク機器200がネットワーク管理装置100からの
指示に基づいて応答するためのコマンド(以下、応答コ
マンドという)である。第3は、ネットワーク機器20
0が障害情報などを自律的にネットワーク管理装置10
0に通知するためのコマンド(以下、自律的通知コマン
ドという)である。There are three types of SNMP commands. First
Indicates that the network management device 100 is the network device 2
This is a command for managing 00. The second is a command (hereinafter referred to as a response command) for the network device 200 to respond based on an instruction from the network management device 100. Thirdly, the network device 20
0 is the network management device 10 autonomously for failure information
This is a command for notifying 0 (hereinafter referred to as an autonomous notification command).
【0033】識別情報(コミュニティ名)とは、ネット
ワーク管理者のみが知る文字列のことで、各ネットワー
ク機器200およびネットワーク管理装置100にそれ
ぞれ設定されている。各ネットワーク機器200は、識
別情報を照合して、SNMPコマンドによる管理操作の
指示が正当な権限を有するオペレータから与えられたも
のであるか否かを判断する。ネットワーク管理装置10
0は、識別情報を照合して、応答コマンドまたは自律的
通知コマンドが自己の管理対象とするネットワーク機器
から送信されてきたものであるか否かを判断する。宛先
アドレスとは、SNMPコマンドおよび識別情報の送信
先のアドレスである。The identification information (community name) is a character string known only to the network administrator, and is set in each network device 200 and network management apparatus 100. Each network device 200 collates the identification information and determines whether the management operation instruction by the SNMP command is given by an operator having a proper authority. Network management device 10
The value 0 collates the identification information to determine whether the response command or the autonomous notification command is transmitted from the network device that is the management target of itself. The destination address is the address of the destination of the SNMP command and the identification information.
【0034】図2は、本発明の一実施形態に係るネット
ワーク管理システムにおけるネットワーク管理装置10
0の機能的構成を示したブロック図である。図2におい
て、ネットワーク管理装置100は、コマンド生成処理
部120と、コマンド解析処理部130と、パケット送
受信部104と、セキュリティ情報テーブル部105
と、暗号化処理部106と、暗号鍵管理部107と、復
号化処理部111と、復号鍵管理部112とを備える。FIG. 2 shows a network management device 10 in a network management system according to an embodiment of the present invention.
It is a block diagram showing the functional composition of 0. 2, the network management device 100 includes a command generation processing unit 120, a command analysis processing unit 130, a packet transmission / reception unit 104, and a security information table unit 105.
An encryption processing unit 106, an encryption key management unit 107, a decryption processing unit 111, and a decryption key management unit 112.
【0035】セキュリティ情報テーブル部105は、セ
キュリティ情報テーブルとして、ネットワーク300上
に存在する通信機器(ネットワーク機器200およびネ
ットワーク管理装置100のこと)のアドレスと対応さ
せて、識別情報と、セキュリティレベルとを記憶する。
図3は、セキュリティ情報テーブル部105に記憶され
ているセキュリティ情報テーブルの一例を示した図であ
る。図3において、識別情報は、ネットワーク管理者に
よって予め決められた文字列からなる。識別情報は、ネ
ットワーク管理者のみが知る秘密の文字列である。セキ
ュリティレベルは、レベル“0”(通常のSNMPが持
つセキュリティレベル)、レベル“1”(レベル“0”
よりセキュリティを強化したセキュリティレベル)、レ
ベル“2”(レベル“1”よりさらにセキュリティを強
化したセキュリティレベル)の3段階のレベルからな
る。たとえば、ルータなどセキュリティを強化すべき機
器にはセキュリティレベル“2”を設定し、単なるPC
などにはセキュリティレベル“0”を設定すればよい。
また、公開鍵暗号方式を利用していないネットワーク機
器200には、セキュリティレベル“0”を設定する
(後述)。As a security information table, the security information table section 105 associates the identification information and the security level with the addresses of the communication devices (the network device 200 and the network management device 100) existing on the network 300. Remember.
FIG. 3 is a diagram showing an example of the security information table stored in the security information table unit 105. In FIG. 3, the identification information consists of a character string predetermined by the network administrator. The identification information is a secret character string known only to the network administrator. Security levels are level "0" (security level of normal SNMP), level "1" (level "0")
It has three levels: security level with stronger security) and level "2" (security level with more security than level "1"). For example, security level "2" is set for devices such as routers that should be enhanced in security, and a simple PC
For example, the security level “0” may be set.
Further, the security level “0” is set to the network device 200 that does not use the public key cryptosystem (described later).
【0036】たとえば、図3では、アドレスが“A”で
ある通信機器(ここでは、ネットワーク機器200のこ
と)の識別情報は“ABC”、セキュリティレベルは
“1”であるとしている。図3では、自己のアドレスを
“M”であるとしている。すなわち、ネットワーク管理
装置100のアドレスは、“M”であるとしている。ア
ドレスが“M”であるネットワーク管理装置100の識
別情報は“MNO”である。ネットワーク管理装置10
0のアドレスに対応する識別情報が、請求項でいう管理
対象識別情報である。ネットワーク管理装置100はよ
りセキュリティを強化する必要があるので、セキュリテ
ィレベルが“2”と設定されている。For example, in FIG. 3, the identification information of the communication device (here, the network device 200) whose address is "A" is "ABC", and the security level is "1". In FIG. 3, it is assumed that its own address is “M”. That is, the address of the network management device 100 is “M”. The identification information of the network management device 100 whose address is “M” is “MNO”. Network management device 10
The identification information corresponding to the address of 0 is the management target identification information in the claims. Since the network management apparatus 100 needs to further strengthen security, the security level is set to "2".
【0037】なお、図3では、セキュリティ情報テーブ
ルにおいて、機器に対して一つの識別情報を設定してい
るが、別に二つ以上の識別情報を設定するようにしても
よい。このとき、たとえば、readコマンドでは、識
別情報を“Public”として特別な権限を有してい
ないオペレータでも知っている文字列とし、setコマ
ンドでは、識別情報を特別な権限を有するオペレータの
みが知る文字列とすればよい。In FIG. 3, one identification information is set for the device in the security information table, but two or more identification information may be set separately. At this time, for example, in the read command, the identification information is set to “Public” as a character string that is known even by an operator who does not have special authority, and in the set command, the identification information is a character string only known to an operator who has special authority. You can use columns.
【0038】暗号化処理部106は、コマンド生成処理
部からの指示に基づいて、SNMPコマンドまたは識別
情報を暗号化する。暗号化には、公開鍵暗号方式が用い
られる。暗号鍵管理部107は、各ネットワーク機器2
00の公開鍵を記憶する。The encryption processing unit 106 encrypts the SNMP command or the identification information based on the instruction from the command generation processing unit. A public key cryptosystem is used for encryption. The encryption key management unit 107 determines whether each network device 2
The public key of 00 is stored.
【0039】コマンド生成処理部120は、オペレータ
による操作、あるいは定期的な情報収集要求に基づき、
ネットワーク機器200に対するSNMPコマンドを生
成する。SNMPコマンドを生成したコマンド生成処理
部120は、セキュリティ情報テーブル部105を参照
して、送信先のネットワーク機器200のセキュリティ
レベルを調べ、セキュリティレベルに応じて、SNMP
コマンドおよび識別情報を暗号化する(セキュリティレ
ベルに応じた暗号化については、後述する)。コマンド
生成処理部120は、SNMPコマンド(暗号化した場
合は、暗号化したSNMPコマンド)と識別情報(暗号
化した場合は、暗号化した識別情報)とから、SNMP
−PDU(Protocol data unit)を
生成し、パケット送受信部104に与える。SNMP−
PDUには、SNMPコマンド(暗号化した場合は、暗
号化したSNMPコマンド)と識別情報(暗号化した場
合は、暗号化した識別情報)とが含まれていることとな
る。また、コマンド生成処理部120は、SNMP−P
DUの送信先であるネットワーク機器200の宛先アド
レスをパケット送受信部104に与える。なお、ここで
は、説明を分かりやすくするために、識別情報とSNM
Pコマンドとを区別して扱うが、実際は、SNMPコマ
ンドに識別情報が含まれることとなる。いずれにせよ、
SNMP−PDUにSNMPコマンドと識別情報とが含
まれることとなる。The command generation processing unit 120 operates based on an operator's operation or a periodic information collection request.
An SNMP command for the network device 200 is generated. The command generation processing unit 120 that generated the SNMP command refers to the security information table unit 105 to check the security level of the destination network device 200, and according to the security level, the SNMP
The command and the identification information are encrypted (encryption according to the security level will be described later). The command generation processing unit 120 uses the SNMP command (encrypted SNMP command if encrypted) and identification information (encrypted identification information if encrypted)
-Generate a PDU (Protocol data unit) and give it to the packet transmitting / receiving unit 104. SNMP-
The PDU includes an SNMP command (encrypted SNMP command when encrypted) and identification information (encrypted identification information when encrypted). Also, the command generation processing unit 120 uses the SNMP-P
The destination address of the network device 200 that is the destination of the DU is given to the packet transmitting / receiving unit 104. Note that, here, in order to make the explanation easy to understand, the identification information and the SNM are
Although it is handled separately from the P command, the SNMP command actually includes the identification information. In any case,
The SNMP command and the identification information are included in the SNMP-PDU.
【0040】パケット送受信部104は、コマンド生成
処理部120から与えられたSNMP−PDUと宛先ア
ドレスとからパケットを作成し、送信先のネットワーク
機器に送信する。また、パケット送受信部104は、ネ
ットワーク機器200から送信されてくるパケットを受
信する。パケット送受信部104は、受信したパケット
をコマンド解析処理部130に送る。The packet transmission / reception unit 104 creates a packet from the SNMP-PDU given from the command generation processing unit 120 and the destination address, and transmits it to the destination network device. The packet transmitting / receiving unit 104 also receives a packet transmitted from the network device 200. The packet transmitting / receiving unit 104 sends the received packet to the command analysis processing unit 130.
【0041】コマンド解析処理部130は、パケット送
受信部104から与えられたパケットから宛先アドレス
およびSNMP−PDUを取り出し、SNMP−PDU
の解析を行う。具体的には、コマンド解析処理部130
は、SNMP−PDUから識別情報(暗号化されている
場合は、暗号化された識別情報)およびSNMPコマン
ド(暗号化されている場合は、暗号化されたSNMPコ
マンド)を取り出す。コマンド解析処理部130は、セ
キュリティ情報テーブル部105を参照して、パケット
の送信元のセキュリティレベルを調べる。コマンド解析
処理部130は、調べたセキュリティレベルに応じて、
復号化処理部111に暗号化された識別情報およびSN
MPコマンドを復号化させる。コマンド解析処理部13
0は、SNMP−PDUに含まれていた識別情報が自己
の識別情報と一致するか否かを判断し、一致する場合に
のみSNMP−PDUに含まれていたSNMPコマンド
を実行する。The command analysis processing unit 130 extracts the destination address and the SNMP-PDU from the packet given from the packet transmitting / receiving unit 104, and the SNMP-PDU.
Analysis of. Specifically, the command analysis processing unit 130
Extracts the identification information (encrypted identification information if encrypted) and the SNMP command (encrypted SNMP command if encrypted) from the SNMP-PDU. The command analysis processing unit 130 refers to the security information table unit 105 to check the security level of the packet transmission source. The command analysis processing unit 130, according to the security level checked,
Identification information and SN encrypted in the decryption processing unit 111
Decrypt the MP command. Command analysis processing unit 13
0 determines whether the identification information included in the SNMP-PDU matches its own identification information, and executes the SNMP command included in the SNMP-PDU only when the identification information matches.
【0042】復号化処理部111は、コマンド解析処理
部130からの指示に基づいて、暗号化されたSNMP
コマンドまたは識別情報を復号化する。復号化処理部1
11は、復号化する際、復号鍵管理部112に記憶され
ている自己の秘密鍵を用いる。復号鍵管理部112は、
自己の秘密鍵を記憶している。The decryption processing unit 111 receives the encrypted SNMP based on the instruction from the command analysis processing unit 130.
Decrypt the command or identification information. Decryption processing unit 1
11 uses its own private key stored in the decryption key management unit 112 when decrypting. The decryption key management unit 112
It remembers its own private key.
【0043】図4は、コマンド生成処理部120のより
詳しい機能的構成を示したブロック図である。図4にお
いて、コマンド生成処理部120は、SNMPコマンド
生成部101と、識別情報生成部102と、SNMP−
PDU生成部103とを含む。FIG. 4 is a block diagram showing a more detailed functional configuration of the command generation processing unit 120. In FIG. 4, the command generation processing unit 120 includes an SNMP command generation unit 101, an identification information generation unit 102, and an SNMP-
And a PDU generation unit 103.
【0044】SNMPコマンド生成部101は、オペレ
ータによる操作、あるいは定期的な情報収集要求に基づ
き、ネットワーク機器200に対するSNMPコマンド
を生成する。SNMPコマンド生成部101は、セキュ
リティ情報テーブル部105を参照して、送信先のネッ
トワーク機器200のセキュリティレベルが“2”の場
合、SNMPコマンドを暗号化処理部106に暗号化さ
せる。SNMPコマンド生成部101は、SNMPコマ
ンド(暗号化した場合は、暗号化したSNMPコマン
ド)およびSNMPコマンドを送信する先の宛先アドレ
スを識別情報生成部102に与える。The SNMP command generator 101 generates an SNMP command for the network device 200 based on an operation by an operator or a periodic information collection request. The SNMP command generation unit 101 refers to the security information table unit 105, and when the security level of the destination network device 200 is “2”, causes the encryption processing unit 106 to encrypt the SNMP command. The SNMP command generation unit 101 provides the identification information generation unit 102 with an SNMP command (in the case of encryption, an encrypted SNMP command) and a destination address to which the SNMP command is transmitted.
【0045】識別情報生成部102は、SNMPコマン
ド生成部101からのSNMPコマンド(暗号化されて
いる場合は、暗号化されたSNMPコマンド)を受け取
ると、セキュリティ情報テーブル部105を参照する。
識別情報生成部102は、宛先アドレスに対応するネッ
トワーク機器200のセキュリティレベルが“1”また
は“2”の場合、暗号化処理部106に識別情報を暗号
化させる。識別情報生成部102は、SNMPコマンド
(暗号化した場合は、暗号化したSNMPコマンド)、
識別情報(暗号化した場合は、暗号化した識別情報)お
よび宛先アドレスをSNMP−PDU生成部103に与
える。なお、SNMPコマンドに識別情報を含ませても
よい(SNMPコマンドの引数として識別情報を扱って
もよい、以下同様)。When the identification information generation unit 102 receives the SNMP command (encrypted SNMP command if encrypted) from the SNMP command generation unit 101, it refers to the security information table unit 105.
When the security level of the network device 200 corresponding to the destination address is “1” or “2”, the identification information generation unit 102 causes the encryption processing unit 106 to encrypt the identification information. The identification information generation unit 102 uses the SNMP command (in the case of encryption, the encrypted SNMP command),
The identification information (encrypted identification information when encrypted) and the destination address are given to the SNMP-PDU generation unit 103. It should be noted that the SNMP command may include identification information (the identification information may be treated as an argument of the SNMP command, and so on).
【0046】SNMP−PDU生成部103は、受け取
ったSNMPコマンド(暗号化した場合は、暗号化した
SNMPコマンド)と識別情報(暗号化した場合は、暗
号化した識別情報)とから、SNMP−PDUを生成
し、SNMP−PDUおよび宛先アドレスをパケット送
受信部104に与える。From the received SNMP command (encrypted SNMP command if encrypted) and identification information (encrypted identification information if encrypted), the SNMP-PDU generation unit 103 determines the SNMP-PDU. Is generated and the SNMP-PDU and the destination address are given to the packet transmitting / receiving unit 104.
【0047】図5は、コマンド解析処理部130のより
詳しい機能的構成を示したブロック図である。図5にお
いて、コマンド解析処理部130は、SNMPコマンド
解析部108と、識別情報解析部109と、SNMP−
PDU解析部110とを備える。FIG. 5 is a block diagram showing a more detailed functional configuration of the command analysis processing unit 130. In FIG. 5, the command analysis processing unit 130 includes an SNMP command analysis unit 108, an identification information analysis unit 109, and an SNMP-
And a PDU analysis unit 110.
【0048】SNMP−PDU解析部110は、パケッ
ト送受信部104から与えられたパケットからSNMP
−PDUを取り出す。SNMP−PDU解析部110
は、取り出したSNMP−PDUを解析して、識別情報
(識別情報が暗号化されている場合は、暗号化された識
別情報)と、SNMPコマンド(SNMPコマンドが暗
号化されている場合は、暗号化された識別情報)とを取
り出し識別情報解析部109に与える。The SNMP-PDU analysis unit 110 uses the packet provided from the packet transmission / reception unit 104 to obtain the SNMP.
-Retrieve the PDU. SNMP-PDU analysis unit 110
Analyzes the extracted SNMP-PDU and identifies the identification information (encrypted identification information if the identification information is encrypted) and the SNMP command (encrypted if the SNMP command is encrypted). Identification information) and supplies it to the identification information analysis unit 109.
【0049】識別情報解析部109は、セキュリティ情
報テーブル部105を参照して、自己のセキュリティレ
ベルを調べる。セキュリティレベルが“1”または
“2”の場合、識別情報解析部109は、復号化処理部
111に暗号化されている識別情報を復号化させる。識
別情報解析部109は、セキュリティ情報テーブル部1
05を参照して、識別情報が自己の識別情報と一致して
いるか否かを判断し、識別情報が一致する場合、SNM
Pコマンド(暗号化されている場合は、暗号化されたS
NMPコマンド)をSNMPコマンド解析部108に与
える。識別情報が一致していない場合、識別情報解析部
109は、SNMPコマンドを破棄する。The identification information analysis section 109 refers to the security information table section 105 to check its own security level. When the security level is “1” or “2”, the identification information analysis unit 109 causes the decryption processing unit 111 to decrypt the encrypted identification information. The identification information analysis unit 109 includes the security information table unit 1
05, it is determined whether or not the identification information matches its own identification information. When the identification information matches, the SNM
P command (encrypted S if encrypted)
(NMP command) to the SNMP command analysis unit 108. If the identification information does not match, the identification information analysis unit 109 discards the SNMP command.
【0050】SNMPコマンド解析部108は、セキュ
リティ情報テーブル部105を参照し、セキュリティレ
ベルを調べる。セキュリティレベルが“2”の場合、S
NMPコマンド解析部108は、復号化処理部111に
暗号化されているSNMPコマンドを復号化させ、SN
MPコマンドを実行する。The SNMP command analysis section 108 refers to the security information table section 105 to check the security level. If the security level is "2", S
The NMP command analysis unit 108 causes the decryption processing unit 111 to decrypt the encrypted SNMP command,
Execute the MP command.
【0051】図6は、本発明の一実施形態に係るネット
ワーク管理システムにおけるネットワーク機器200の
機能構成を示したブロック図である。ネットワーク機器
200は、ネットワーク管理装置100からSNMP−
PDUが送られてきたら、それに対する応答コマンド
(SNMPコマンドの一部である)をネットワーク管理
装置100に返す。また、ネットワーク機器200は、
障害などが発生したとき、自律的通知コマンド(SNM
Pコマンドの一部である)をネットワーク管理装置10
0に送信する。FIG. 6 is a block diagram showing a functional configuration of the network device 200 in the network management system according to the embodiment of the present invention. The network device 200 receives the SNMP- from the network management device 100.
When the PDU is sent, a response command (which is a part of the SNMP command) for the PDU is returned to the network management device 100. In addition, the network device 200 is
When a failure occurs, an autonomous notification command (SNM
Network management device 10)
Send to 0.
【0052】図6において、ネットワーク機器200
は、コマンド生成処理部220と、コマンド解析処理部
230と、パケット送受信部204と、セキュリティ情
報テーブル部205と、暗号化処理部206と、暗号鍵
管理部207と、復号化処理部211と、復号鍵管理部
212とを備える。In FIG. 6, the network device 200
Is a command generation processing unit 220, a command analysis processing unit 230, a packet transmission / reception unit 204, a security information table unit 205, an encryption processing unit 206, an encryption key management unit 207, a decryption processing unit 211, And a decryption key management unit 212.
【0053】セキュリティ情報テーブル部205は、セ
キュリティ情報テーブルとして、ネットワーク管理装置
100のアドレスおよび自己のアドレスと対応させて、
識別情報と、セキュリティレベルとを記憶する。図7
は、セキュリティ情報テーブル部205に記憶されてい
るセキュリティ情報テーブルの一例を示した図である。
図7において、識別情報およびセキュリティレベルにつ
いては、ネットワーク管理装置100における場合と同
様である。図7では、自己のアドレスを“A”であると
している。アドレス“M”は、ネットワーク管理装置1
00のアドレスである。これらのアドレスと対応して識
別情報およびセキュリティレベルが設定されているが、
これらは、ネットワーク管理装置100のセキュリティ
情報テーブル部105での設定内容と一致する。The security information table unit 205, as a security information table, is associated with the address of the network management device 100 and its own address.
The identification information and the security level are stored. Figure 7
FIG. 6 is a diagram showing an example of a security information table stored in the security information table unit 205.
In FIG. 7, the identification information and the security level are the same as those in the network management device 100. In FIG. 7, its own address is assumed to be “A”. The address “M” is the network management device 1.
00 address. Identification information and security level are set corresponding to these addresses,
These match the settings in the security information table unit 105 of the network management device 100.
【0054】暗号鍵管理部207は、ネットワーク管理
装置100のアドレスと対応させて、当該ネットワーク
管理装置100の公開鍵を記憶する。暗号化処理部20
6は、コマンド生成処理部220からの指示に基づき、
暗号鍵管理部207の公開鍵を参照して、SNMPコマ
ンドまたは識別情報を暗号化する。The encryption key management unit 207 stores the public key of the network management device 100 in association with the address of the network management device 100. Encryption processing unit 20
6 is based on the instruction from the command generation processing unit 220,
The SNMP command or the identification information is encrypted by referring to the public key of the encryption key management unit 207.
【0055】復号鍵管理部212は、自己のアドレスと
対応させて、自己の秘密鍵を記憶する。復号化処理部2
11は、コマンド解析処理部230からの指示に基づ
き、復号鍵管理部212を参照して、暗号化されている
SNMPコマンドまたは識別情報を復号化する。The decryption key management unit 212 stores its own secret key in association with its own address. Decryption processing unit 2
The reference numeral 11 refers to the decryption key management unit 212 based on the instruction from the command analysis processing unit 230 to decrypt the encrypted SNMP command or identification information.
【0056】パケット送受信部204は、ネットワーク
管理装置100から送信されてくるパケットを受信し、
コマンド解析処理部230に与える。また、パケット送
受信部204は、コマンド生成処理部220から与えら
れるSNMP−PDUおよび宛先アドレスをもとに、パ
ケットを作成し、宛先アドレスに対応するネットワーク
管理装置100に送信する。The packet transmitting / receiving unit 204 receives the packet transmitted from the network management device 100,
It is given to the command analysis processing unit 230. Further, the packet transmitting / receiving unit 204 creates a packet based on the SNMP-PDU and the destination address given from the command generation processing unit 220, and transmits the packet to the network management device 100 corresponding to the destination address.
【0057】コマンド解析処理部230は、パケット送
受信部204から与えられたパケットに含まれるSNM
P−PDUを解析し、SNMPコマンドを実行する。コ
マンド解析処理部230の機能は、ネットワーク管理装
置100のコマンド解析処理部130の機能と同様であ
るので、詳しい説明は省略する。また、コマンド解析処
理部230のより詳しい機能的構成については、図5を
援用するものとする。The command analysis processing section 230 uses the SNM included in the packet given from the packet transmitting / receiving section 204.
Parse the P-PDU and execute the SNMP command. The function of the command analysis processing unit 230 is the same as the function of the command analysis processing unit 130 of the network management device 100, and thus detailed description will be omitted. Further, FIG. 5 is referred to for the more detailed functional configuration of the command analysis processing unit 230.
【0058】コマンド生成処理部220は、ネットワー
ク管理装置100への応答コマンドまたは自律的通知コ
マンド、および識別情報とからSNMP−PDUを生成
する。コマンド生成処理部220は、当該SNMP−P
DUおよび宛先アドレスをパケット送受信部204に与
える。コマンド生成処理部220の機能は、ネットワー
ク管理装置100のコマンド生成処理部120の機能と
同様であるので、詳しい説明は省略する。また、コマン
ド生成処理部220のより詳しい機能的構成について
は、図4を援用するものとする。The command generation processing section 220 generates an SNMP-PDU from the response command or autonomous notification command to the network management device 100 and the identification information. The command generation processing unit 220 uses the SNMP-P
The DU and the destination address are given to the packet transmitting / receiving unit 204. The function of the command generation processing unit 220 is the same as the function of the command generation processing unit 120 of the network management device 100, and thus detailed description will be omitted. Further, FIG. 4 is referred to for the more detailed functional configuration of the command generation processing unit 220.
【0059】図8は、ネットワーク管理装置100にお
けるコマンド生成処理部120の動作を示したフローチ
ャートである。以下、図8を参照しながら、コマンド生
成処理部120の動作について説明する。まず、コマン
ド生成処理部120は、オペレータによる操作、あるい
は定期的な情報収集要求をトリガとして、SNMPコマ
ンドを生成する(ステップS1001)。FIG. 8 is a flowchart showing the operation of the command generation processing section 120 in the network management device 100. Hereinafter, the operation of the command generation processing unit 120 will be described with reference to FIG. First, the command generation processing unit 120 generates an SNMP command triggered by an operator's operation or a periodic information collection request (step S1001).
【0060】次に、コマンド生成処理部120は、セキ
ュリティ情報テーブル部105を参照して、当該SNM
Pコマンドの送信先のセキュリティレベルを取得する
(ステップS1002)。次に、コマンド生成処理部1
20は、取得したセキュリティレベルが“2”であるか
否かを判断する(ステップS1003)。Next, the command generation processing section 120 refers to the security information table section 105 and refers to the SNM concerned.
The security level of the destination of the P command is acquired (step S1002). Next, the command generation processing unit 1
20 determines whether or not the acquired security level is “2” (step S1003).
【0061】上記ステップS1003の判断において、
セキュリティレベルが“2”でない場合、すなわちセキ
ュリティレベルが“0”又は“1”である場合、コマン
ド生成処理部120は、ステップS1005の動作に進
む。一方、セキュリティレベルが“2”である場合、コ
マンド生成処理部120は、ステップS1004の動作
に進み、暗号化処理部106にSNMPコマンドを暗号
化させ、ステップS1005の動作に進む。In the judgment of step S1003,
When the security level is not “2”, that is, when the security level is “0” or “1”, the command generation processing unit 120 proceeds to the operation of step S1005. On the other hand, when the security level is “2”, the command generation processing unit 120 proceeds to the operation of step S1004, causes the encryption processing unit 106 to encrypt the SNMP command, and proceeds to the operation of step S1005.
【0062】ステップS1005の動作において、コマ
ンド生成処理部120は、セキュリティ情報テーブル部
105を参照して、送信先のネットワーク機器200の
識別情報を取得する。次に、コマンド生成処理部120
は、送信先のネットワーク機器200のセキュリティレ
ベルが“0”であるか否かを判断する(ステップS10
06)。In the operation of step S1005, the command generation processing section 120 refers to the security information table section 105 and acquires the identification information of the network device 200 of the transmission destination. Next, the command generation processing unit 120
Determines whether the security level of the destination network device 200 is "0" (step S10).
06).
【0063】上記ステップS1006の判断において、
セキュリティレベルが“0”である場合、コマンド生成
処理部120は、ステップS1008の動作に進む。一
方、セキュリティレベルが“0”でない場合、すなわち
セキュリティレベルが“1”又は“2”である場合、コ
マンド生成処理部120は、暗号化処理部106に取得
している識別情報を暗号化させ(ステップS100
7)、ステップS1008の動作に進む。In the determination at step S1006,
When the security level is “0”, the command generation processing unit 120 proceeds to the operation of step S1008. On the other hand, when the security level is not “0”, that is, when the security level is “1” or “2”, the command generation processing unit 120 causes the encryption processing unit 106 to encrypt the acquired identification information ( Step S100
7) and proceeds to the operation of step S1008.
【0064】ステップS1008の動作において、コマ
ンド生成処理部120は、SNMPコマンド(暗号化し
ている場合は、暗号化したSNMPコマンド)および識
別情報(暗号化している場合は、暗号化した識別情報)
からSNMP−PDUを作成する(ステップS100
8)。その後、コマンド生成処理部120は、作成した
SNMP−PDUと共に送信先のネットワーク機器20
0の宛先アドレスをパケット送受信部104に与え(ス
テップS1009)、動作を終了する。In the operation of step S1008, the command generation processing section 120 has an SNMP command (encrypted SNMP command if encrypted) and identification information (encrypted identification information if encrypted).
SNMP-PDU is created from (step S100).
8). After that, the command generation processing unit 120, together with the created SNMP-PDU, sends the destination network device 20.
The destination address of 0 is given to the packet transmitting / receiving unit 104 (step S1009), and the operation is ended.
【0065】図9は、ネットワーク管理装置100にお
けるコマンド解析処理部130の動作を示したフローチ
ャートである。以下、図9を参照しながら、コマンド解
析処理部130の動作について説明する。まず、コマン
ド解析処理部130は、パケット送受信部104から与
えられるパケットを受け取る(ステップS2001)。
当該パケットには、SNMP−PDUおよび宛先アドレ
スが含まれている。SNMP−PDUには、ネットワー
ク機器200からの応答コマンドまたは自律的通知コマ
ンドが含まれている。FIG. 9 is a flowchart showing the operation of the command analysis processing unit 130 in the network management device 100. Hereinafter, the operation of the command analysis processing unit 130 will be described with reference to FIG. First, the command analysis processing unit 130 receives a packet given from the packet transmitting / receiving unit 104 (step S2001).
The packet includes the SNMP-PDU and the destination address. The SNMP-PDU includes a response command from the network device 200 or an autonomous notification command.
【0066】次に、コマンド解析処理部130は、受け
取ったパケットからSNMP−PDUを取り出し、SN
MP−PDUに含まれているSNMPコマンド(SNM
Pコマンドが暗号化されている場合は、暗号化されたS
NMPコマンド)および識別情報(識別情報が暗号化さ
れている場合は、暗号化された識別情報)を取得する
(ステップS2002)。次に、コマンド解析処理部1
30は、セキュリティ情報テーブル部105を参照し
て、自己のセキュリティレベルを取得する(ステップS
2003)。次に、コマンド解析処理部130は、自己
のセキュリティレベルが“0”であるか否かを判断する
(ステップS2004)。Next, the command analysis processing unit 130 extracts the SNMP-PDU from the received packet and
The SNMP command (SNM included in the MP-PDU
If the P command is encrypted, the encrypted S
The NMP command) and identification information (encrypted identification information if the identification information is encrypted) are acquired (step S2002). Next, the command analysis processing unit 1
The 30 refers to the security information table unit 105 and acquires its own security level (step S
2003). Next, the command analysis processing unit 130 determines whether or not its own security level is “0” (step S2004).
【0067】上記ステップS2004の判断において、
自己のセキュリティレベルが“0”である場合、コマン
ド解析処理部130は、ステップS2006の動作に進
む。一方、自己のセキュリティレベルが“0”でない場
合、すなわちセキュリティレベルが“1”または“2”
である場合、コマンド解析処理部130は、復号化処理
部111に暗号化された識別情報を復号化させ(ステッ
プS2005)、ステップS2006の動作に進む。In the judgment of step S2004,
When the own security level is “0”, the command analysis processing unit 130 proceeds to the operation of step S2006. On the other hand, when the self security level is not “0”, that is, the security level is “1” or “2”
If it is, the command analysis processing unit 130 causes the decryption processing unit 111 to decrypt the encrypted identification information (step S2005), and proceeds to the operation of step S2006.
【0068】ステップS2006の動作において、コマ
ンド解析処理部130は、セキュリティ情報テーブル部
105を参照して、受信したSNMP−PDUに含まれ
ている識別情報が自己の識別情報と一致するか否かを判
断する。一致しない場合、コマンド解析処理部130
は、受信したSNMPコマンド(暗号化されている場合
は、暗号化されたSNMPコマンド)を廃棄し(ステッ
プS2008)、動作を終了する。一方、一致する場
合、コマンド解析処理部130は、再びセキュリティ情
報テーブル部105を参照して、自己のセキュリティレ
ベルを取得し(ステップS2007)、ステップS20
09の動作に進む。In the operation of step S2006, the command analysis processing unit 130 refers to the security information table unit 105 to determine whether the identification information included in the received SNMP-PDU matches with its own identification information. to decide. If they do not match, the command analysis processing unit 130
Discards the received SNMP command (encrypted SNMP command if encrypted) (step S2008) and ends the operation. On the other hand, if they match, the command analysis processing unit 130 again refers to the security information table unit 105 to acquire its own security level (step S2007), and then the step S20.
The operation proceeds to 09.
【0069】ステップS2009の動作において、コマ
ンド解析処理部130は、自己のセキュリティレベルが
“2”であるか否かを判断する。自己のセキュリティレ
ベルが“2”である場合、コマンド解析処理部130
は、ステップS2010の動作に進み、復号化処理部1
11にSNMPコマンドを復号化させ、ステップS20
11の動作に進む。一方、自己のセキュリティレベルが
“2”でない場合、すなわちセキュリティレベルが
“0”または“1”である場合、コマンド解析処理部1
30は、ステップS2011の動作に進む。In the operation of step S2009, the command analysis processing unit 130 determines whether or not its own security level is "2". When the own security level is “2”, the command analysis processing unit 130
Proceeds to the operation of step S2010, and the decoding processing unit 1
11 to cause the SNMP command to be decrypted, and step S20
Proceed to the operation of 11. On the other hand, when the own security level is not “2”, that is, when the security level is “0” or “1”, the command analysis processing unit 1
The process proceeds to step S2011 in step 30.
【0070】ステップS2011の動作において、コマ
ンド解析処理部130は、SNMPコマンドを解析し、
解析したSNMPコマンドの管理操作を実行し、動作を
終了する。In the operation of step S2011, the command analysis processing unit 130 analyzes the SNMP command,
The management operation of the analyzed SNMP command is executed, and the operation ends.
【0071】図10は、ネットワーク機器200におけ
るコマンド生成処理部220の動作を示したフローチャ
ートである。以下、図10を参照しながら、コマンド生
成処理部220の動作について説明する。コマンド生成
処理部220は、応答コマンドをネットワーク管理装置
100へ送信するか、または、障害情報などの自律的通
知コマンドをネットワーク管理装置100に送信する場
合、起動を開始し、応答コマンドまたは自律的通知コマ
ンドを作成する(ステップS3001)。ここで、応答
コマンドは、ネットワーク管理装置100からのSNM
Pコマンドを実行した結果、ネットワーク管理装置10
0に返答を返すべきであるときに作成される。FIG. 10 is a flow chart showing the operation of the command generation processing section 220 in the network device 200. Hereinafter, the operation of the command generation processing unit 220 will be described with reference to FIG. When the command generation processing unit 220 transmits a response command to the network management apparatus 100 or an autonomous notification command such as failure information to the network management apparatus 100, the command generation processing unit 220 starts activation and returns the response command or autonomous notification. A command is created (step S3001). Here, the response command is the SNM from the network management device 100.
As a result of executing the P command, the network management device 10
Created when a reply should be returned to 0.
【0072】その後、コマンド生成処理部220は、ネ
ットワーク管理装置100のコマンド生成処理部120
の動作と同様にして、送信先のネットワーク管理装置1
00のセキュリティレベルをセキュリティ情報テーブル
部205を参照して取得し、当該セキュリティレベルが
“2”である場合、SNMPコマンド(ここでは、応答
コマンドまたは自立的通知コマンド)および識別情報を
暗号化し、当該セキュリティレベルが“1”である場
合、識別情報のみを暗号化し、当該セキュリティレベル
が“0”である場合、SNMPコマンドおよび識別情報
を暗号化せずに、SNMP−PDUを作成し、宛先アド
レスと共にパケット送受信部204に送る(ステップS
1001〜S1009)。ステップS1001〜S10
09の動作については、ネットワーク管理装置100の
コマンド生成処理部120の動作と同様であるので、詳
しい説明を省略する。After that, the command generation processing unit 220 causes the command generation processing unit 120 of the network management apparatus 100 to operate.
In the same manner as the above operation, the destination network management device 1
The security level of 00 is acquired by referring to the security information table unit 205, and when the security level is “2”, the SNMP command (here, a response command or an autonomous notification command) and the identification information are encrypted, When the security level is "1", only the identification information is encrypted, and when the security level is "0", the SNMP command and the identification information are not encrypted, and the SNMP-PDU is created and the Send to the packet transmitting / receiving unit 204 (step S
1001 to S1009). Steps S1001 to S10
The operation of 09 is the same as the operation of the command generation processing unit 120 of the network management device 100, and thus detailed description thereof will be omitted.
【0073】ネットワーク機器200におけるコマンド
解析処理部230の動作は、ネットワーク管理装置10
0におけるコマンド解析処理部130の動作と同様であ
る。従って、コマンド解析処理部230の動作について
は、図9を援用するもととする。コマンド解析処理部2
30は、ネットワーク管理装置100のコマンド解析処
理部130と同様にして、受信したパケットからSNM
P−PDUに含まれる識別情報(暗号化されている場合
は、暗号化された識別情報)およびSNMPコマンド
(暗号化されている場合は、暗号化されたSNMPコマ
ンド)を取り出す(ステップS2001、S200
2)。コマンド解析処理部230は、自己のセキュリテ
ィレベルをチェックし、セキュリティレベルが“1”ま
たは“2”である場合、識別情報を復号化させ、受信し
た識別情報と自己の識別情報とが一致しているか否かを
判断する(ステップS2003〜S2006)。コマン
ド解析処理部230は、一致している場合に限り、SN
MPコマンドを復号化して実行し、一致していない場合
は、SNMPコマンドを廃棄する(ステップS2007
〜S2011)。The operation of the command analysis processing section 230 in the network device 200 is as follows.
The operation is the same as that of the command analysis processing unit 130 at 0. Therefore, FIG. 9 is referred to for the operation of the command analysis processing unit 230. Command analysis processing unit 2
30 is the same as the command analysis processing unit 130 of the network management apparatus 100.
The identification information (encrypted identification information if encrypted) and the SNMP command (encrypted SNMP command if encrypted) included in the P-PDU are extracted (steps S2001 and S200).
2). The command analysis processing unit 230 checks its own security level. If the security level is “1” or “2”, the command analysis processing unit 230 decrypts the identification information so that the received identification information matches the own identification information. It is determined whether there is any (steps S2003 to S2006). The command analysis processing unit 230 determines that the SN
The MP command is decrypted and executed, and if they do not match, the SNMP command is discarded (step S2007).
~ S2011).
【0074】このように、本発明の一実施形態に係るネ
ットワーク管理システムにおいて、ネットワーク管理装
置100およびネットワーク機器200は、送信先のセ
キュリティレベルが“1”および“2”の場合に、識別
情報を暗号化する。また、よりセキュリティレベルが高
いセキュリティレベル“2”の場合、SNMPコマンド
をさらに暗号化する。本発明の一実施形態に係るネット
ワーク管理システムは、SNMPv2/v3と異なり、
必要に応じて、識別情報およびSNMPコマンドを暗号
化すればよいので、暗号化すべきデータの情報量を最小
限にとどめることが可能となる。したがって、ネットワ
ーク管理システム上のネットワーク機器200およびネ
ットワーク管理装置100の処理負担増を軽減すること
が可能となる。その結果、既存のSNMPv1上でも、
処理負担増を最小限にとどめ、ネットワーク管理システ
ムのセキュリティを強化することが可能となるネットワ
ーク管理システムを提供することができる。As described above, in the network management system according to the embodiment of the present invention, the network management device 100 and the network device 200 provide the identification information when the security levels of the transmission destination are "1" and "2". Encrypt. If the security level is higher, that is, "2", the SNMP command is further encrypted. The network management system according to the embodiment of the present invention is different from SNMPv2 / v3.
Since the identification information and the SNMP command may be encrypted as needed, the information amount of the data to be encrypted can be minimized. Therefore, it is possible to reduce an increase in processing load on the network device 200 and the network management apparatus 100 on the network management system. As a result, even on the existing SNMPv1,
It is possible to provide a network management system capable of minimizing the increase in processing load and enhancing the security of the network management system.
【0075】また、本発明の一実施形態に係るネットワ
ーク管理システムにおいて、送信先のセキュリティレベ
ルが“1”の場合、識別情報を暗号化するので、識別情
報の秘密を維持することが可能となる。In the network management system according to one embodiment of the present invention, when the security level of the transmission destination is "1", the identification information is encrypted, so that the identification information can be kept secret. .
【0076】また、本発明の一実施形態に係るネットワ
ーク管理システムにおいて、送信先のセキュリティレベ
ルが“2”の場合、SNMPコマンドを暗号化するの
で、どのような操作が行われているのかを第三者に知ら
れることが防止できる。たとえば、SNMPコマンドに
は、第三者が知り得ない数値などが含まれる場合があ
る。本発明の一実施形態に係るネットワーク管理システ
ムでは、かかる数値を第三者に知られるのを防止するこ
とが可能となる。Further, in the network management system according to one embodiment of the present invention, when the security level of the transmission destination is "2", the SNMP command is encrypted, so it is possible to determine what kind of operation is being performed. It can be prevented from being known by the three parties. For example, the SNMP command may include a numerical value that a third party cannot know. In the network management system according to the embodiment of the present invention, it becomes possible to prevent such a numerical value from being known to a third party.
【0077】ここで、本発明の一実施形態に係るネット
ワーク管理システムに新たなネットワーク機器またはネ
ットワーク管理装置を設置する場合について説明する。
以下では、代表して、新たなネットワーク機器を設置す
る場合について説明する。新たなネットワーク機器を設
置する場合、既設のネットワーク機器200およびネッ
トワーク管理装置100は、当該新たなネットワーク機
器のアドレスと対応させた識別情報およびセキュリティ
レベルをセキュリティ情報テーブルに追加する。ここ
で、当該新たなネットワーク機器が公開鍵暗号方式を採
用していない場合、当該ネットワーク機器に公開鍵およ
び秘密鍵を設定して、図6で示した新たな機能を付加す
ればよい。Here, a case where a new network device or network management device is installed in the network management system according to one embodiment of the present invention will be described.
In the following, a case where a new network device is installed will be described as a representative. When installing a new network device, the existing network device 200 and the network management apparatus 100 add the identification information and the security level associated with the address of the new network device to the security information table. Here, if the new network device does not adopt the public key cryptosystem, the public key and the secret key may be set in the network device and the new function shown in FIG. 6 may be added.
【0078】しかし、図6のような新たな機能を付加す
ることは、当該ネットワーク機器の負担増となる。そこ
で、当該新たなネットワーク機器のセキュリティレベル
を“0”であると、既設のネットワーク機器200およ
びネットワーク管理装置100において、設定しておけ
ば、当該新たなネットワーク機器に送信される識別情報
およびSNMPコマンドは、暗号化されることがないの
で、当該新たなネットワーク機器は、SNMPコマンド
をそのまま実行することが可能となる。ただし、この場
合、当該新たなネットワーク機器からネットワーク管理
装置100へのSNMPコマンドは、暗号化されない。However, adding a new function as shown in FIG. 6 increases the load on the network device. Therefore, if the security level of the new network device is set to “0” in the existing network device 200 and the network management device 100, the identification information and the SNMP command transmitted to the new network device are set. Is not encrypted, the new network device can execute the SNMP command as it is. However, in this case, the SNMP command from the new network device to the network management apparatus 100 is not encrypted.
【0079】このように、本発明の一実施形態に係るネ
ットワーク管理システムにおいて、新たなネットワーク
機器に何らの機能(公開鍵暗号方式など)を付加しなく
ても新たなネットワーク機器を追加することが可能であ
る。このことは、本発明の一実施形態に係るネットワー
ク管理システムにおいて、公開鍵暗号方式を採用してい
ないネットワーク機器200が混在していてもよいこと
示す。すなわち、ネットワーク管理装置100は、セキ
ュリティ機能(公開鍵暗号方式)を持たないネットワー
ク機器と持つネットワーク機器との両方を管理すること
が可能である。As described above, in the network management system according to the embodiment of the present invention, a new network device can be added without adding any function (public key cryptosystem, etc.) to the new network device. It is possible. This indicates that the network management system according to the embodiment of the present invention may include network devices 200 that do not adopt the public key cryptosystem. That is, the network management device 100 can manage both a network device that does not have a security function (public key cryptosystem) and a network device that has the security function.
【0080】なお、ネットワーク管理装置100のセキ
ュリティ情報テーブル部105の記憶内容(識別情報/
セキュリティレベル)およびネットワーク機器200の
セキュリティ情報テーブル部105の記憶内容(識別情
報/セキュリティレベル)を、特権ユーザにのみが更新
できるようにすれば、より、識別情報が外部に漏れるこ
とを防止することが可能となる。The contents stored in the security information table section 105 of the network management apparatus 100 (identification information /
(Security level) and the stored contents (identification information / security level) of the security information table unit 105 of the network device 200 can be updated only by a privileged user, so that the identification information is prevented from leaking to the outside. Is possible.
【0081】また、ネットワーク機器200のセキュリ
ティ情報テーブル部105の記憶内容(識別情報/セキ
ュリティレベル)を、ネットワーク管理装置100から
遠隔操作で変更することができるようにしてもよい。Further, the stored contents (identification information / security level) of the security information table section 105 of the network device 200 may be changed from the network management apparatus 100 by remote control.
【0082】なお、本発明の一実施形態では、ネットワ
ーク管理プロトコルとして、SNMPを用いたが、別
に、ネットワークに接続されている管理装置がコマンド
を用い、ネットワークに接続されている通信機器へのア
クセス制御を特権ユーザのみが知る識別子によって行う
ようなネットワーク管理プロトコルであればよい。In the embodiment of the present invention, SNMP is used as the network management protocol. However, a management device connected to the network uses a command to access a communication device connected to the network. Any network management protocol may be used as long as it is controlled by an identifier known only to privileged users.
【0083】[0083]
【発明の効果】以上のように本発明は、管理操作の指示
が権限を有するオペレータからのものであるか否かをネ
ットワーク機器が判断するための識別情報のみを暗号化
することにより、暗号化に要する処理を減少させること
ができ、処理負担増を最小限にとどめつつ、セキュリテ
ィを強化するという効果を有するネットワーク管理シス
テムを提供することできるものである。As described above, according to the present invention, encryption is performed by encrypting only the identification information for the network device to determine whether the management operation instruction is from the authorized operator. It is possible to provide a network management system that can reduce the amount of processing required for the above, minimize the increase in processing load, and enhance security.
【図1】本発明の一実施形態に係るネットワーク管理シ
ステムの全体構成を示した図である。FIG. 1 is a diagram showing an overall configuration of a network management system according to an embodiment of the present invention.
【図2】本発明の一実施形態に係るネットワーク管理シ
ステムにおけるネットワーク管理装置100の機能的構
成を示したブロック図である。FIG. 2 is a block diagram showing a functional configuration of a network management device 100 in the network management system according to the embodiment of the present invention.
【図3】セキュリティ情報テーブル部105に記憶され
ているセキュリティ情報テーブルの一例を示した図であ
る。FIG. 3 is a diagram showing an example of a security information table stored in a security information table unit 105.
【図4】コマンド生成処理部120のより詳しい機能的
構成を示したブロック図である。FIG. 4 is a block diagram showing a more detailed functional configuration of a command generation processing unit 120.
【図5】コマンド解析処理部130のより詳しい機能的
構成を示したブロック図である。5 is a block diagram showing a more detailed functional configuration of a command analysis processing unit 130. FIG.
【図6】本発明の一実施形態に係るネットワーク管理シ
ステムにおけるネットワーク機器200の機能構成を示
したブロック図である。FIG. 6 is a block diagram showing a functional configuration of the network device 200 in the network management system according to the embodiment of the present invention.
【図7】セキュリティ情報テーブル部205に記憶され
ているセキュリティ情報テーブルの一例を示した図であ
る。7 is a diagram showing an example of a security information table stored in a security information table unit 205. FIG.
【図8】ネットワーク管理装置100におけるコマンド
生成処理部120の動作を示したフローチャートであ
る。FIG. 8 is a flowchart showing an operation of the command generation processing unit 120 in the network management device 100.
【図9】ネットワーク管理装置100におけるコマンド
解析処理部130の動作を示したフローチャートであ
る。9 is a flowchart showing an operation of the command analysis processing unit 130 in the network management device 100. FIG.
【図10】ネットワーク機器200におけるコマンド生
成処理部220の動作を示したフローチャートである。10 is a flowchart showing an operation of a command generation processing unit 220 in the network device 200. FIG.
100 ネットワーク管理装置 200 ネットワーク機器 300 ネットワーク 120,220 コマンド生成処理部 130,230 コマンド解析処理部 104,204 パケット送受信部 105,205 セキュリティ情報テーブル部 106,206 暗号化処理部 107,207 暗号鍵管理部 111,211 復号化処理部 112,212 復号鍵管理部 101 SNMPコマンド生成部 102 識別情報生成部 103 SNMP−PDU生成部 108 SNMPコマンド解析部 109 識別情報解析部 110 SNMP−PDU解析部 100 network management device 200 network equipment 300 networks 120, 220 Command generation processing unit 130,230 Command analysis processing unit 104,204 Packet transmitter / receiver 105,205 Security information table section 106, 206 encryption processing unit 107, 207 Encryption key management unit 111, 211 Decoding processing unit 112,212 Decryption key management unit 101 SNMP command generator 102 identification information generation unit 103 SNMP-PDU generation unit 108 SNMP command parser 109 identification information analysis unit 110 SNMP-PDU analysis unit
───────────────────────────────────────────────────── フロントページの続き Fターム(参考) 5B085 AA08 AE02 AE06 AE09 AE23 BA07 5B089 GB02 JA35 KB03 5J104 AA07 AA08 AA33 CA02 JA21 KA01 LA03 PA07 5K033 AA08 BA08 CB14 DB20 ─────────────────────────────────────────────────── ─── Continued front page F-term (reference) 5B085 AA08 AE02 AE06 AE09 AE23 BA07 5B089 GB02 JA35 KB03 5J104 AA07 AA08 AA33 CA02 JA21 KA01 LA03 PA07 5K033 AA08 BA08 CB14 DB20
Claims (11)
が管理コマンドを用いて、ネットワークに接続されてい
る通信機器を管理するネットワーク管理システムであっ
て、 前記管理装置は、 前記通信機器に管理操作の指示を与えるための管理コマ
ンドを生成する管理コマンド生成手段と、 管理操作の指示が権限を有するオペレータからのもので
あるか否かを前記通信機器が判断するための識別情報を
暗号化する暗号化手段と、 前記暗号化手段によって暗号化された識別情報を前記管
理コマンドと共に、前記通信機器に送信する管理コマン
ド送信部とを備え、 前記通信機器は、 前記管理コマンド送信部から送信されてくる暗号化され
た識別情報を復号化する復号化手段と、 前記復号化手段が復号化した識別情報に基づいて、前記
管理コマンド送信部から送信されてくる管理コマンドに
基づく管理操作の指示が権限を有するオペレータからの
ものであるか否かを判断する管理操作判断手段と、 前記管理操作判断手段の判断に基づいて、前記管理コマ
ンド基づく管理操作を実行する管理操作実行手段とを備
える、ネットワーク管理システム。1. A network management system in which a management device connected to a network uses a management command to manage a communication device connected to the network, wherein the management device controls the communication device to perform a management operation. Management command generation means for generating a management command for giving an instruction, and encryption for encrypting identification information for the communication device to judge whether or not the instruction for management operation is from an authorized operator Means and a management command transmission unit for transmitting the identification information encrypted by the encryption unit together with the management command to the communication device, wherein the communication device is an encryption transmitted from the management command transmission unit. Decrypting means for decrypting the encrypted identification information, and the management command based on the identification information decrypted by the decrypting means. Management operation determining means for determining whether or not the management operation instruction based on the management command transmitted from the transmitting unit is from an authorized operator; and the management operation determining means based on the determination by the management operation determining means. A network management system comprising: a management operation executing means for executing a management operation based on a command.
情報を暗号化するか否かを設定しておくセキュリティ情
報設定部をさらに備え、 前記暗号化手段は、前記セキュリティ情報設定部の設定
に基づいて、識別情報を暗号化することを特徴とする、
請求項1に記載のネットワーク管理システム。2. The management device further includes a security information setting unit that sets whether or not to encrypt the identification information for each identification information, and the encryption unit sets the security information setting unit. Characterized in that the identification information is encrypted based on
The network management system according to claim 1.
前記管理コマンドも暗号化し、 前記管理コマンド送信部は、前記暗号化手段によって暗
号化された識別情報と共に暗号化された管理コマンドを
前記通信機器に送信し、 前記復号化手段は、前記管理操作判断手段の判断に基づ
いて暗号化された管理コマンドを復号化し、 前記管理操作実行手段は、復号化された管理コマンドに
基づく管理操作を実行する、請求項1に記載のネットワ
ーク管理システム。3. The encryption unit also encrypts the management command together with the identification information, and the management command transmission unit sends the encrypted management command together with the identification information encrypted by the encryption unit to the communication. The decryption means decrypts the encrypted management command based on the judgment of the management operation judgment means, and the management operation execution means executes the management operation based on the decoded management command. The network management system according to claim 1.
コマンドを暗号化するか否かを設定しておくセキュリテ
ィ情報設定部をさらに備え、 前記暗号化手段は、前記セキュリティ情報設定部の設定
に基づいて管理コマンドを暗号化することを特徴とす
る、請求項3に記載のネットワーク管理システム。4. The management device further includes a security information setting unit that sets whether or not to encrypt the management command for each identification information, and the encryption unit sets the security information setting unit. The network management system according to claim 3, wherein the management command is encrypted based on the.
らの管理操作の指示に応答するための応答コマンドを生
成する応答コマンド生成手段と、 前記応答コマンドが管理対象の通信機器からのものであ
るか否かを前記管理装置が判断するための管理対象識別
情報を暗号化する管理対象暗号化手段と、 前記管理対象暗号化手段によって暗号化された管理対象
識別情報を前記応答コマンドと共に、前記管理装置に送
信する応答コマンド送信部とを備え、 前記管理装置は、さらに前記応答コマンド送信部から送
信されてくる暗号化された管理対象識別情報を復号化す
る管理対象復号化手段と、 前記管理対象復号化手段が復号化した管理対象識別情報
に基づいて、前記応答コマンド送信部から送信されてく
る応答コマンドが自己の管理対象とする通信機器からの
ものであるか否かを判断する管理対象判断手段と、 前記管理対象判断手段の判断に基づいて、前記応答コマ
ンドに基づく処理を実行する応答コマンド実行手段とを
備える、請求項1に記載のネットワーク管理システム。5. The communication device further comprises response command generating means for generating a response command for responding to a management operation instruction from the management apparatus, and the response command is from a communication target management device. Management target encryption means for encrypting the management target identification information for the management device to judge whether or not the management device, the management target identification information encrypted by the management target encryption means together with the response command, the management A management command decryption unit that decrypts the encrypted management target identification information transmitted from the response command transmission unit, and the management target, Based on the management target identification information decrypted by the decryption means, the response command transmitted from the response command transmission unit is set as the management target of its own. The management target determination means for determining whether or not it is from a device, and the response command execution means for executing processing based on the response command based on the determination of the management target determination means. The described network management system.
当該管理対象識別情報を暗号化するか否かを設定してお
くセキュリティ情報設定部をさらに備え、 前記管理対象暗号化手段は、前記セキュリティ情報設定
部の設定に基づいて、管理対象識別情報を暗号化するこ
とを特徴とする、請求項5に記載のネットワーク管理シ
ステム。6. The communication device further includes a security information setting unit that sets whether or not to encrypt the management target identification information for each management target identification information, and the management target encryption unit includes the security information setting unit. The network management system according to claim 5, wherein the management target identification information is encrypted based on the setting of the security information setting unit.
象識別情報と共に前記応答コマンドも暗号化し、 前記応答コマンド送信部は、前記管理対象暗号化手段に
よって暗号化された管理対象識別情報と共に暗号化され
た応答コマンドを前記管理装置に送信し、 前記管理対象復号化手段は、前記管理対象判断手段の判
断に基づいて暗号化された応答コマンドを復号化し、 前記応答コマンド実行手段は、復号化された応答コマン
ドに基づく処理を実行する、請求項5に記載のネットワ
ーク管理システム。7. The managed object encryption means encrypts the response command together with the managed object identification information, and the response command transmission section encrypts the managed object identification information encrypted by the managed object encryption means. The encrypted response command to the management device, the managed decryption means decrypts the encrypted response command based on the determination of the managed determination means, and the response command execution means decrypts The network management system according to claim 5, which executes a process based on the received response command.
前記応答コマンドを暗号化するか否かを設定しておくセ
キュリティ情報設定部をさらに備え、 前記管理対象暗号化手段は、前記セキュリティ情報設定
部の設定に基づいて応答コマンドを暗号化することを特
徴とする、請求項7に記載のネットワーク管理システ
ム。8. The communication device further includes a security information setting unit that sets whether or not to encrypt the response command for each management target identification information, and the management target encryption unit includes the security information. The network management system according to claim 7, wherein the response command is encrypted based on the setting of the setting unit.
からのコマンドによって、ネットワークに接続されてい
る管理装置が前記通信機器を管理するネットワーク管理
システムであって、 前記通信機器は、 前記管理装置に管理を求めるためのコマンドを生成する
コマンド生成手段と、 前記コマンドが管理対象の通信機器からのものであるか
否かを前記管理装置が判断するための管理対象識別情報
を暗号化する管理対象暗号化手段と、 前記管理対象暗号化手段によって暗号化された管理対象
識別情報を前記コマンドと共に、前記管理装置に送信す
るコマンド送信部とを備え、前記管理装置は、 前記コマンド送信部から送信されてくる暗号化された管
理対象識別情報を復号化する管理対象復号化手段と、 前記管理対象復号化手段が復号化した管理対象識別情報
に基づいて、前記コマンド送信部から送信されてくるコ
マンドが自己の管理対象とする通信機器からのものであ
るか否かを判断する管理対象判断手段と、 前記管理対象判断手段の判断に基づいて、前記コマンド
に基づく処理を実行するコマンド実行手段とを備える、
ネットワーク管理システム。9. A network management system in which a management device connected to a network manages the communication device by a command from the communication device connected to the network, wherein the communication device is managed by the management device. Command generation means for generating a command for requesting a command, and management target encryption for encrypting management target identification information for the management device to determine whether the command is from a communication device to be managed And a command transmitting unit that transmits the management target identification information encrypted by the management target encryption unit to the management device together with the command, and the management device is transmitted from the command transmission unit. Management target decryption means for decrypting the encrypted management target identification information; Management target determining means for determining whether or not the command transmitted from the command transmitting unit is from a communication device to be managed by itself, based on the management target identification information; Command execution means for executing processing based on the command based on the determination,
Network management system.
器を管理コマンドによる管理操作によって管理するネッ
トワーク管理装置であって、 前記通信機器に管理操作の指示を与えるための管理コマ
ンドを生成する管理コマンド生成手段と、 管理操作の指示が権限を有するオペレータからのもので
あるか否かを前記通信機器が判断するための識別情報を
暗号化する暗号化手段と、 前記暗号化手段によって暗号化された識別情報を前記管
理コマンドと共に、前記通信機器に送信する管理コマン
ド送信部とを備える、ネットワーク管理装置。10. A network management device for managing a communication device connected to a network by a management operation by a management command, the management command generating means generating a management command for giving a management operation instruction to the communication device. An encryption means for encrypting identification information for the communication device to determine whether the management operation instruction is from an authorized operator; and the identification information encrypted by the encryption means. And a management command transmitting unit that transmits the management command together with the management command to the communication device.
ワーク管理装置にコマンドを送信して前記ネットワーク
管理装置による管理を受ける通信機器であって、 前記管理装置による管理を受けるためのコマンドを生成
するコマンド生成手段と、 前記コマンドが管理対象の通信機器からのものであるか
否かを前記ネットワーク管理装置が判断するための管理
対象識別情報を暗号化する管理対象暗号化手段と、 前記管理対象暗号化手段によって暗号化された管理対象
識別情報を前記コマンドと共に、前記ネットワーク管理
装置に送信するコマンド送信部とを備える、通信機器。11. A communication device that transmits a command to a network management device connected to a network and is managed by the network management device, the command generation means generating a command for receiving the management by the management device. And a management target encryption unit that encrypts management target identification information for the network management device to determine whether the command is from a communication target management device, and the management target encryption unit. A communication device, comprising: a command transmission unit that transmits encrypted management target identification information together with the command to the network management device.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2001316938A JP2003122650A (en) | 2001-10-15 | 2001-10-15 | Network managing system |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2001316938A JP2003122650A (en) | 2001-10-15 | 2001-10-15 | Network managing system |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2003122650A true JP2003122650A (en) | 2003-04-25 |
Family
ID=19134879
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2001316938A Pending JP2003122650A (en) | 2001-10-15 | 2001-10-15 | Network managing system |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2003122650A (en) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2005056219A (en) * | 2003-08-06 | 2005-03-03 | Fujitsu Ltd | Management system of network system |
| WO2006035501A1 (en) * | 2004-09-29 | 2006-04-06 | Fujitsu Limited | Concealment communication system |
| KR100667698B1 (en) | 2004-09-09 | 2007-01-12 | 한국전자통신연구원 | Administrator command authentication apparatus of high-speed internet network and thereof |
| JP2007226429A (en) * | 2006-02-22 | 2007-09-06 | Oki Data Corp | Information processor and printing device |
| JP2008306685A (en) * | 2007-06-11 | 2008-12-18 | Fuji Electric Holdings Co Ltd | Security information setting system, master terminal thereof, general terminal, and program |
| JP2009277081A (en) * | 2008-05-15 | 2009-11-26 | Internatl Business Mach Corp <Ibm> | Computer system for managing password for detecting information about component arranged on network, its method, and computer program |
| JP2010198125A (en) * | 2009-02-23 | 2010-09-09 | Ricoh Co Ltd | Device, system, method and program for management of equipment, and recording medium with the program recorded thereon |
| WO2014148575A1 (en) * | 2013-03-22 | 2014-09-25 | 京セラ株式会社 | Consumer device, control apparatus, and control method |
-
2001
- 2001-10-15 JP JP2001316938A patent/JP2003122650A/en active Pending
Cited By (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4481604B2 (en) * | 2003-08-06 | 2010-06-16 | 富士通株式会社 | Network system transmission device and management device |
| JP2005056219A (en) * | 2003-08-06 | 2005-03-03 | Fujitsu Ltd | Management system of network system |
| KR100667698B1 (en) | 2004-09-09 | 2007-01-12 | 한국전자통신연구원 | Administrator command authentication apparatus of high-speed internet network and thereof |
| WO2006035501A1 (en) * | 2004-09-29 | 2006-04-06 | Fujitsu Limited | Concealment communication system |
| JP2007226429A (en) * | 2006-02-22 | 2007-09-06 | Oki Data Corp | Information processor and printing device |
| JP2008306685A (en) * | 2007-06-11 | 2008-12-18 | Fuji Electric Holdings Co Ltd | Security information setting system, master terminal thereof, general terminal, and program |
| JP2009277081A (en) * | 2008-05-15 | 2009-11-26 | Internatl Business Mach Corp <Ibm> | Computer system for managing password for detecting information about component arranged on network, its method, and computer program |
| US8548916B2 (en) | 2008-05-15 | 2013-10-01 | International Business Machines Corporation | Managing passwords used when detecting information on configuration items disposed on a network |
| US9069944B2 (en) | 2008-05-15 | 2015-06-30 | International Business Machines Corporation | Managing passwords used when detecting information on configuration items disposed on a network |
| JP2010198125A (en) * | 2009-02-23 | 2010-09-09 | Ricoh Co Ltd | Device, system, method and program for management of equipment, and recording medium with the program recorded thereon |
| WO2014148575A1 (en) * | 2013-03-22 | 2014-09-25 | 京セラ株式会社 | Consumer device, control apparatus, and control method |
| JP2014187749A (en) * | 2013-03-22 | 2014-10-02 | Kyocera Corp | Control system, apparatus, control device, and control method |
| CN105074715A (en) * | 2013-03-22 | 2015-11-18 | 京瓷株式会社 | Consumer device, control apparatus, and control method |
| US10558203B2 (en) | 2013-03-22 | 2020-02-11 | Kyocera Corporation | Consumer's facility equipment, control apparatus, and control method |
| CN105074715B (en) * | 2013-03-22 | 2020-12-18 | 京瓷株式会社 | Consumer facility device, control apparatus, and control method |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Case et al. | Message processing and dispatching for the simple network management protocol (snmp) | |
| US8200818B2 (en) | System providing internet access management with router-based policy enforcement | |
| Blaze et al. | Trust management for IPsec | |
| Galvin et al. | Administrative model for version 2 of the simple network management protocol (SNMPv2) | |
| JP3831364B2 (en) | Communication system and security policy distribution method in the communication system | |
| IL158309A (en) | Centralized network control | |
| JPH10126405A (en) | Mobile computer device and packet cipher recognizing method | |
| Waters | User-based security model for SNMPv2 | |
| US7321968B1 (en) | Method and apparatus for encoding, transmitting and decoding a digital message | |
| JP2003122650A (en) | Network managing system | |
| CN100426753C (en) | Network managing method based on SNMP | |
| Yang et al. | Service and network management middleware for cooperative information systems through policies and mobile agents | |
| JP4720576B2 (en) | Network security management system, encrypted communication remote monitoring method and communication terminal. | |
| Davin et al. | SNMP Administrative Model | |
| Blumenthal et al. | Key derivation for network management applications | |
| US20070106910A1 (en) | Device management system, device management method, computer program, and computer readable storage medium | |
| JPH1188436A (en) | Information supply system | |
| JP2008028899A (en) | Communication system, terminal device, vpn server, program, and communication method | |
| Cisco | Configuring SNMP | |
| Cisco | Configuring SNMP | |
| CN112564969A (en) | Information transmission method, system and related device in simple network management protocol | |
| Hatefi et al. | A new framework for secure network management | |
| CN101009597A (en) | Subdivision method of the user network access style and network system | |
| Carthern et al. | Management Plane | |
| Civil et al. | Two-Way Active Measurement Protocol (TWAMP) Data Model |