JP2005056219A - Management system of network system - Google Patents

Management system of network system Download PDF

Info

Publication number
JP2005056219A
JP2005056219A JP2003287392A JP2003287392A JP2005056219A JP 2005056219 A JP2005056219 A JP 2005056219A JP 2003287392 A JP2003287392 A JP 2003287392A JP 2003287392 A JP2003287392 A JP 2003287392A JP 2005056219 A JP2005056219 A JP 2005056219A
Authority
JP
Japan
Prior art keywords
control
authentication information
authentication
network
unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2003287392A
Other languages
Japanese (ja)
Other versions
JP4481604B2 (en
Inventor
Tomonori Gotou
知範 後藤
Takeshi Momo
猛 百々
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Priority to JP2003287392A priority Critical patent/JP4481604B2/en
Publication of JP2005056219A publication Critical patent/JP2005056219A/en
Application granted granted Critical
Publication of JP4481604B2 publication Critical patent/JP4481604B2/en
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Abstract

<P>PROBLEM TO BE SOLVED: To provide a network system management system capable of dividing management ranges by physical sections and limiting access ranges in accordance with logical sorts by managing the security of a network in each optional constitution unit. <P>SOLUTION: Each transmitter consists of an authentication part for checking authentication information at the time of receiving the authentication information and control information which are generated from a control terminal connected to a network system by administrator's operation, and of an authentication information database in which the authentication information allocated to each administrator and controlled targets corresponding to the administrator are set. At the time of discriminating that the received authentication information and control information conform the contents of the authentication information database, the authentication part instructs a control part to execute control based on the control information. <P>COPYRIGHT: (C)2005,JPO&NCIPI

Description

本発明は、複数のネットワーク単位を構成する複数の伝送装置によって構成されるネットワークシステムにおいて,各伝送装置および各ネットワーク単位への設定/制御を行うためのネットワークシステムの管理方式に関する。   The present invention relates to a network system management system for setting / controlling each transmission device and each network unit in a network system including a plurality of transmission devices constituting a plurality of network units.

特に,ネットワークおよび伝送装置を共有する複数の管理業者によるセキュリティを保持するネットワークシステムの管理方式に関する。   In particular, the present invention relates to a network system management method for maintaining security by a plurality of management companies sharing a network and a transmission device.

近年,ネットワークの大容量化に伴い,大規模で広範囲なネットワーク運用形態が利用されている。それに伴い,ネットワークの運用事業者としては,各地区の管理範囲や,大容量側・小容量側といったネットワーク単位の規模(または種類)の違いによる管理範囲を設定する場合がある。   In recent years, with the increase in network capacity, large-scale and wide-ranging network operation forms are being used. Along with this, the network operator may set the management range depending on the management range of each district and the scale (or type) of the network unit such as large capacity side and small capacity side.

ネットワークを構成する装置には,大容量から小容量までのインタフェースを収容する伝送装置や,長い距離を伝送する装置,また伝送する情報としてインターネット・プロトコル(IP)の情報を伝送する装置,音声情報を伝送する装置等が存在し,多岐にわたっている。これらの装置を組み合わせた運用において,実際の運用事業者側の管理範囲と,ネットワークを構成する装置の配置が必ずしも一致しない場合が出てくる。例えば,大容量と小容量を収容する装置の場合,大容量側の管理者と,小容量側の管理者が異なる場合や,小容量インタフェースを複数有する場合,各々のインタフェースごとに管理者が異なる場合がある。具体例を図12に示す。   Network devices include transmission devices that accommodate interfaces from large to small capacities, devices that transmit long distances, devices that transmit Internet Protocol (IP) information as information to be transmitted, voice information There are a variety of devices and so on. In the combined operation of these devices, there are cases where the management range of the actual operator and the arrangement of the devices constituting the network do not always match. For example, in the case of a device that accommodates a large capacity and a small capacity, if the administrator on the large capacity side and the administrator on the small capacity side are different, or if there are multiple small capacity interfaces, the administrator differs for each interface. There is a case. A specific example is shown in FIG.

図12は本発明が対象とするネットワークシステムの構成例である。図中,50は大容量ネットワークであり,51−1〜51−4は大容量ネットワークの中のA地域を構成する伝送装置,51−5〜51−8はB地域を構成する伝送装置,52−1,52−2は小容量ネットワーク,53は大容量ネットワークの伝送装置51−1,51−5と接続された小容量ネットワークを構成する伝送装置(小容量伝送装置),54は大容量ネットワーク50の伝送装置51−2に接続されたLANであり,55−1,55−2はそれぞれ小容量ネットワーク52−1,52−2を制御する制御端末,56−1,56−2はそれぞれ大容量ネットワークのA地域とB地域を制御する制御端末,57は小容量ネットワークを含む全ネットワークの管理装置(サーバ)であり,55−1〜57の各装置はLAN54と接続されている。   FIG. 12 shows a configuration example of a network system targeted by the present invention. In the figure, 50 is a large-capacity network, 51-1 to 51-4 are transmission apparatuses constituting the A area in the large-capacity network, 51-5 to 51-8 are transmission apparatuses constituting the B area, 52 -1, 52-2 are small-capacity networks, 53 is a transmission apparatus (small-capacity transmission apparatus) constituting a small-capacity network connected to transmission apparatuses 51-1 and 51-5 of a large-capacity network, and 54 is a large-capacity network. The LAN is connected to 50 transmission devices 51-2, 55-1 and 55-2 are control terminals for controlling the small-capacity networks 52-1 and 52-2, and 56-1 and 56-2 are large. A control terminal for controlling the A area and the B area of the capacity network, 57 is a management apparatus (server) for all networks including the small capacity network, and each of the apparatuses 55-1 to 57 is connected to the LAN 54. To have.

このネットワークシステムの構成では,大容量ネットワーク50に対しては地域をA地域,B地域の2つに分けて,各地域のネットワークの制御は制御端末56−1,56−2から管理装置(サーバ)57を介してか,または直接対応する管理対象地域のネットワークの制御を行い,小容量ネットワーク52−1はLAN54の制御端末55−1により制御を行い,小容量ネットワーク52−2はLAN54の制御端末55−2により制御を行う。また,図12には含まれていない長距離を伝送する装置の場合,装置の両端において,管理範囲が異なり,装置ごとに管理者が異なる場合も少なくない。   In this network system configuration, for the large-capacity network 50, the area is divided into two areas, A area and B area, and control of the network in each area is performed from the control terminals 56-1 and 56-2 by the management device (server). ) 57 or the network in the management target area corresponding directly is controlled, the small capacity network 52-1 is controlled by the control terminal 55-1 of the LAN 54, and the small capacity network 52-2 is controlled by the LAN 54. Control is performed by the terminal 55-2. In addition, in the case of a device that transmits a long distance not included in FIG. 12, the management range is different at both ends of the device, and there are many cases where the administrator is different for each device.

これらのようなネットワークを運用するシステムにおいて,ネットワークへの設定/制御を行う場合,それぞれのネットワークを制御する権限を備えるかチェックするため,ユーザ認証を行ってアクセス制御を行っているが,ネットワークの多様な構成に対応できるユーザ認証/アクセス制限方法が採られていなかった。   In systems that operate networks such as these, when setting / controlling networks, access control is performed by performing user authentication in order to check whether the user has authority to control each network. A user authentication / access restriction method that can cope with various configurations has not been adopted.

従来のユーザ認証/アクセス制御方法を図13,図14,図15を用いて説明する。図13は従来のネットワーク認証方式1,図14は従来のネットワーク認証方式2,図15は従来のネットワーク認証方式3を示す。   A conventional user authentication / access control method will be described with reference to FIGS. 13, 14, and 15. FIG. 13 shows a conventional network authentication method 1, FIG. 14 shows a conventional network authentication method 2, and FIG.

図13はネットワーク管理を行う管理装置(サーバ)上で認証を行う例であり,図中,51は上記図12に示す大容量ネットワーク50及び小容量ネットワーク52−1,52−2を構成する伝送装置の1つを表し,510は通信部,511は制御部,55は図12に示すLAN54に接続する制御端末の1つを表し,57は上記図12に示す管理装置(サーバ),570は通信部,571は認証部,572はネットワークの制御管理の資格について認証するためのID毎に設定されたパスワードが登録された認証情報データベース(DB),573は制御部である。制御端末55の利用者が入力部に対して認証情報(ID/パスワード)および制御指示を入力し,その内容を管理装置57へ送信する。管理装置(サーバ)57の通信部570では,認証情報を受信し,認証部571へ認証要求を行い,認証部571において認証情報DB572を用いて認証可能か判別する。その結果,認証がNGであれば制御端末55へその旨を通知する。認証結果がOKであれば,制御部573で制御指示を行い,制御部573が配下の伝送装置51へ制御を実施する。伝送装置51の通信部510はその制御指示を受け取ると制御部511に送って制御が行われ,制御部511による制御結果が通信部510から管理装置(サーバ)57に送られる。管理装置(サーバ)57の制御部573が制御結果を受けると通信部570を介して制御結果を制御端末55へ通知する。   FIG. 13 shows an example in which authentication is performed on a management apparatus (server) that performs network management. In FIG. 13, reference numeral 51 denotes transmissions that constitute the large-capacity network 50 and the small-capacity networks 52-1 and 52-2 shown in FIG. 1 represents one of the devices, 510 represents a communication unit, 511 represents a control unit, 55 represents one of the control terminals connected to the LAN 54 illustrated in FIG. 12, 57 represents the management device (server) illustrated in FIG. 12, and 570 represents A communication unit, 571 is an authentication unit, 572 is an authentication information database (DB) in which a password set for each ID for authenticating the control management qualification of the network is registered, and 573 is a control unit. A user of the control terminal 55 inputs authentication information (ID / password) and a control instruction to the input unit, and transmits the contents to the management device 57. The communication unit 570 of the management device (server) 57 receives the authentication information, issues an authentication request to the authentication unit 571, and determines whether or not the authentication unit 571 can authenticate using the authentication information DB 572. As a result, if the authentication is NG, the control terminal 55 is notified accordingly. If the authentication result is OK, the control unit 573 gives a control instruction, and the control unit 573 controls the subordinate transmission apparatus 51. When the communication unit 510 of the transmission apparatus 51 receives the control instruction, the communication unit 510 sends the control instruction to the control unit 511, and the control result by the control unit 511 is transmitted from the communication unit 510 to the management device (server) 57. When the control unit 573 of the management device (server) 57 receives the control result, the control result is notified to the control terminal 55 via the communication unit 570.

図14に示す従来のネットワーク認証方式2は,認証のみを最初に実施して認証許可された場合だけ,制御端末の入力部にて制御内容の入力指示が可能となるシステムであり,図14中の各符号は上記図13と同様である。制御端末55から認証情報(ID/パスワード)を管理装置(サーバ)57に送ると,認証部571による認証が行われ,認証結果が認証部571から通信部570へ送られ,通信部570から制御端末55へ通知される。この認証結果がOKの場合のみ,制御端末55からの制御指示が管理装置(サーバ)57で受け入れ可能となり,制御部573から伝送装置51に制御指示が送られ,認証結果がNGの場合は,制御指示は管理装置(サーバ)57の通信部で受け付けが拒否される。   The conventional network authentication method 2 shown in FIG. 14 is a system in which it is possible to instruct input of control contents at the input unit of the control terminal only when authentication is first performed and authentication is permitted. These symbols are the same as those in FIG. When authentication information (ID / password) is sent from the control terminal 55 to the management device (server) 57, authentication by the authentication unit 571 is performed, and an authentication result is sent from the authentication unit 571 to the communication unit 570, which is controlled by the communication unit 570. The terminal 55 is notified. Only when the authentication result is OK, the control instruction from the control terminal 55 can be accepted by the management apparatus (server) 57, and the control instruction is sent from the control unit 573 to the transmission apparatus 51. When the authentication result is NG, The control instruction is rejected by the communication unit of the management apparatus (server) 57.

図15に示す従来のネットワーク認証方式3は,管理装置を介さず,制御端末から直接伝送装置へ指示を与える場合である。図中,伝送装置51は上記図13,図14と同様に伝送装置の1つを表し,510は通信部,511は制御部,512は認証部,513は認証情報データベース(DB)である。この方式では,伝送装置51毎でID/パスワードを管理し,制御端末55からの設定/制御のアクセス時に認証を行うことによりセキュリティ管理を実施している。すなわち,制御端末55の入力部より入力された認証情報および制御指示を,直接伝送装置51へ送信する。伝送装置では,受けた認証情報と制御指示を認証部512により認証を行い,認証結果または制御結果を制御端末55へ通知している。   The conventional network authentication method 3 shown in FIG. 15 is a case where an instruction is given directly from the control terminal to the transmission apparatus without going through the management apparatus. In the figure, the transmission device 51 represents one of the transmission devices as in FIGS. 13 and 14, 510 is a communication unit, 511 is a control unit, 512 is an authentication unit, and 513 is an authentication information database (DB). In this system, ID / password is managed for each transmission device 51, and security management is performed by performing authentication at the time of setting / control access from the control terminal 55. That is, the authentication information and the control instruction input from the input unit of the control terminal 55 are transmitted directly to the transmission device 51. In the transmission device, the authentication unit 512 authenticates the received authentication information and control instruction, and notifies the control terminal 55 of the authentication result or the control result.

また,複数のネットワークに対してそれぞれに対応したネットワーク管理装置が設けられたネットワークシステムにおけるネットワーク管理方法が知られている(特許文献1参照)。その方法では,各ネットワークと対応するネットワーク管理装置の間にそれぞれ中継装置を設け,複数の中継装置は隣接する中継装置間を接続する経路により接続され,通常の運用時には各ネットワーク管理装置は対応するネットワークを管理範囲とし,一つのネットワークからの状態変更の通知はそのネットワークを管理範囲とする管理装置に通知されると共に,中継装置を介して他のネットワークを管理する管理装置にも送られてそれぞれで蓄積される。一つのネットワークに障害が発生すると,そのネットワークを構成するネットワーク装置から発行された状態変更通知が中継装置を介して全てのネットワーク管理装置に配付され,一つのネットワーク管理装置の障害時や,運用停止時にはネットワーク管理装置間でのネットワーク状態情報の引き継ぎ等,特別な作業をすることなく他のネットワーク管理装置を用いて継続したネットワーク管理を行う。
特開平10−112710号公報 There is also known a network management method in a network system provided with a network management device corresponding to each of a plurality of networks (see Patent Document 1). In this method, a relay device is provided between each network and the corresponding network management device, and a plurality of relay devices are connected by a path connecting adjacent relay devices, and each network management device corresponds in normal operation. Notifications of status changes from one network are sent to a management device that manages the network, and is also sent to a management device that manages another network via a relay device. Accumulated at. When a failure occurs in one network, status change notifications issued from the network devices that make up that network are distributed to all network management devices via the relay device. Sometimes network management is continued using other network management devices without special work such as taking over network status information between network management devices.
JP-A-10-112710

図12に示すようなネットワークシステムにおいて,図13,図14に示すセキュリティ管理では,制御端末を利用する管理者に対しての認証は可能であるが,その管理者がネットワーク構成機器の何に対して設定/制御のアクセス権限を許可しているのかを識別することができない。そのため,図12に示すネットワークシステムにおいて,例えば大容量ネットワークのみに対するアクセス権限を許可するといった運用や,A地域の伝送装置のみに対するアクセス権限を許可するなどの運用が不可能である。また,図15に示すネットワーク認証方式3のセキュリティ管理では伝送装置毎に認証部を備えるため,装置毎にアクセス制限をかけることはできるが,図13,図14と同様に,伝送装置の特定部位に対してアクセスを制限することは不可能である。例えば,図12において大容量ネットワーク50を構成する伝送装置51−1,51−5にインタフェースを収容し,該インタフェースから小容量ネットワーク52−1,52−2を張り出し,これら二つのネットワークに対して個別のセキュリティを設定することができないため,アクセス制限を各々に設定することが不可能である。   In the network system as shown in FIG. 12, the security management shown in FIGS. 13 and 14 can authenticate the administrator who uses the control terminal. It is not possible to identify whether the setting / control access authority is permitted. For this reason, in the network system shown in FIG. 12, for example, an operation such as permitting access authority only for a large-capacity network or an operation such as permitting access authority only for a transmission device in area A is impossible. In addition, in the security management of the network authentication method 3 shown in FIG. 15, since an authentication unit is provided for each transmission device, access restriction can be applied to each device. However, as in FIGS. It is impossible to restrict access to. For example, in FIG. 12, an interface is accommodated in the transmission devices 51-1 and 51-5 constituting the large-capacity network 50, and the small-capacity networks 52-1 and 52-2 are extended from the interfaces, Since individual security cannot be set, it is impossible to set access restrictions for each.

また,上記特許文献1のネットワーク管理方法では,複数のネットワークを複数の管理装置で相互に補完して管理する方法であり,管理の資格をチェックするセキュリティについて考慮されてない。   Further, the network management method of Patent Document 1 is a method of managing a plurality of networks by mutually complementing them with a plurality of management devices, and does not consider security for checking management qualifications.

本発明はネットワークを,任意の構成単位でセキュリティ管理を行うことにより物理的な区域による管理範囲の分割や,論理的な種別によりアクセス範囲を制限することを可能にするネットワークシステムの管理方式を提供することを目的とする。   The present invention provides a management method for a network system that makes it possible to divide the management range by physical area and limit the access range by logical type by performing security management of the network in an arbitrary configuration unit. The purpose is to do.

図1は本発明の第1の原理構成を示し,伝送装置において認証を行う構成である。図中,1は制御端末,10は入力部,11は認証情報付き制御指示,2は伝送装置であり,上記図12に示す大容量ネットワーク50の伝送装置51や,小容量ネットワーク52−1,52−2の伝送装置53として設けられる。伝送装置2内の20は通信部,21は制御部,22は認証部,23は認証情報データベース(DB),24は設定部,25は伝送機器または伝送機器とのIF(インタフェース)等の制御対象部である。   FIG. 1 shows a first principle configuration of the present invention, in which a transmission apparatus performs authentication. In the figure, 1 is a control terminal, 10 is an input unit, 11 is a control instruction with authentication information, and 2 is a transmission device. The transmission device 51 of the large-capacity network 50 shown in FIG. It is provided as a transmission device 53 of 52-2. In the transmission apparatus 2, 20 is a communication unit, 21 is a control unit, 22 is an authentication unit, 23 is an authentication information database (DB), 24 is a setting unit, and 25 is a control of a transmission device or an IF (interface) with the transmission device. It is a target part.

図1では,制御端末1の入力部10から認証情報付き制御指示11が各伝送装置2の通信部20に対して送信される。この場合,認証情報のID/パスワードに制御指示が付加され,制御指示として少なくとも制御個所と制御種別(監視,試験,保守等)が含まれる。また,符号12に示すように,制御指示として制御個所,制御種別の他に装置種別,装置ID,制御内容(監視,試験,保守等の内容)を含めるように構成することができる。認証情報付き制御指示を受信した通信部20は,認証部22に対して認証要求を行う。認証要求を受けた認証部22は,受信した認証情報および制御指示から認証情報DB23内の情報と比較し,アクセスが許可されている認証情報かどうかを判定する。認証部22における判定処理では,管理者を識別する認証情報(ID/パスワード)の他に,制御指示に含まれる制御個所,制御種別などの情報を使用する。認証部は,認証結果がNGの場合には,通信部20に対してNGを返し,また認証結果がOKの場合には,制御部21に対して,該制御情報を通知する。制御部21は,指定された制御内容を制御対象部25に対して実施し,その制御結果を通信部20に対して通知する。認証結果および制御結果を受けた通信部20は,制御端末1に対して結果を通知する。また,設定部24は,伝送装置2内の認証情報DB23を適宜に設定変更(権限を備えることを確認した制御端末から,特に,保守のための制御情報を利用した認証を使用する)が可能とする機能を備える。   In FIG. 1, a control instruction 11 with authentication information is transmitted from the input unit 10 of the control terminal 1 to the communication unit 20 of each transmission device 2. In this case, a control instruction is added to the ID / password of the authentication information, and at least the control location and the control type (monitoring, testing, maintenance, etc.) are included as the control instruction. Further, as indicated by reference numeral 12, in addition to the control location and control type, the device type, device ID, and control content (contents such as monitoring, testing, and maintenance) can be included as control instructions. The communication unit 20 that has received the control instruction with authentication information makes an authentication request to the authentication unit 22. Upon receiving the authentication request, the authentication unit 22 compares the received authentication information and control instruction with the information in the authentication information DB 23 and determines whether the authentication information is permitted to be accessed. In the determination process in the authentication unit 22, information such as a control location and a control type included in the control instruction is used in addition to the authentication information (ID / password) for identifying the administrator. If the authentication result is NG, the authentication unit returns NG to the communication unit 20, and if the authentication result is OK, the authentication unit notifies the control unit 21 of the control information. The control unit 21 performs the designated control content on the control target unit 25 and notifies the communication unit 20 of the control result. The communication unit 20 that has received the authentication result and the control result notifies the control terminal 1 of the result. In addition, the setting unit 24 can appropriately change the setting of the authentication information DB 23 in the transmission apparatus 2 (using authentication using control information for maintenance from a control terminal that has been confirmed to have authority). It has the function.

図2は本発明の第2の原理構成を示し,管理装置(サーバ)において認証を行う構成である。図中,1,10,11,2,20,21の各符号は上記図1の同一の各符号と同じであり説明を省略する。3は管理装置(サーバ)であり,上記図12の管理装置57と同様にLAN(図示省略)に接続され,管理装置(サーバ,以下単に管理装置という)3内の30は通信部,31は認証部,32は認証情報データベース(DB),33は制御部,34は設定部である。   FIG. 2 shows a second principle configuration of the present invention, in which authentication is performed in the management apparatus (server). In the figure, reference numerals 1, 10, 11, 2, 20, and 21 are the same as the same reference numerals in FIG. Reference numeral 3 denotes a management device (server), which is connected to a LAN (not shown) in the same manner as the management device 57 in FIG. 12, wherein 30 in the management device (server, hereinafter simply referred to as management device) 3 is a communication unit, 31 is An authentication unit 32 is an authentication information database (DB), 33 is a control unit, and 34 is a setting unit.

この第2の原理構成では,制御端末1の入力部10から入力した認証情報(ID/パスワード)付き制御指示11が管理装置3に送信される。この認証情報付き制御指示11の構成は,上記第1の原理構成(図1)と同じであり,上記図1と同様に装置種別,装置ID,制御内容を含む制御指示12を使用することができる。この情報を受信した通信部30は,認証部31に対して認証要求を行う。認証要求を受けた認証部31は,受信した認証情報および制御指示から認証情報DB32内の情報と比較する。認証情報DB32のデータ構成は上記第1の原理構成(図1)の伝送装置2内の認証情報DB23と同様である。認証部31における判定処理では,管理者を識別する認証情報(ID/パスワード)の他に,制御指示に含まれる装置種別,装置ID,制御個所,制御種別などの情報を使用する。認証部31は,認証結果はNGの場合には,通信部30に対してNGを返し,また認証結果がOKの場合には,制御部33に対して,該制御情報を通知する。制御部33は,該制御情報を伝送装置2の通信部20に対して送信し,伝送装置2の通信部20は,該制御情報を,制御部21に対して通知し,制御部21は該制御指示に従い制御を実施し,その制御結果を通信部20に対して通知する。通信部20は,その制御結果の情報を管理装置3の制御部33に対して通知し,管理装置3の制御部33は,その制御結果を通信部30に対して通知する。認証結果および制御結果を受けた管理装置3の通信部30は,制御端末1に対して結果を通知する。また,設定部34は,管理装置3内の認証情報DB32の内容を適宜に設定変更を可能とする機能を備える。   In the second principle configuration, a control instruction 11 with authentication information (ID / password) input from the input unit 10 of the control terminal 1 is transmitted to the management device 3. The configuration of the control instruction with authentication information 11 is the same as that of the first principle configuration (FIG. 1), and the control instruction 12 including the device type, device ID, and control content can be used as in FIG. it can. The communication unit 30 that has received this information makes an authentication request to the authentication unit 31. Upon receiving the authentication request, the authentication unit 31 compares the received authentication information and control instruction with information in the authentication information DB 32. The data configuration of the authentication information DB 32 is the same as that of the authentication information DB 23 in the transmission apparatus 2 of the first principle configuration (FIG. 1). In the determination process in the authentication unit 31, in addition to authentication information (ID / password) for identifying an administrator, information such as a device type, a device ID, a control location, and a control type included in the control instruction is used. The authentication unit 31 returns NG to the communication unit 30 when the authentication result is NG, and notifies the control unit 33 of the control information when the authentication result is OK. The control unit 33 transmits the control information to the communication unit 20 of the transmission device 2, the communication unit 20 of the transmission device 2 notifies the control unit 21 of the control information, and the control unit 21 Control is performed according to the control instruction, and the control result is notified to the communication unit 20. The communication unit 20 notifies the control unit 33 of the management apparatus 3 of information on the control result, and the control unit 33 of the management apparatus 3 notifies the communication unit 30 of the control result. The communication unit 30 of the management apparatus 3 that has received the authentication result and the control result notifies the control terminal 1 of the result. In addition, the setting unit 34 has a function that allows the contents of the authentication information DB 32 in the management device 3 to be changed appropriately.

本発明によれば,ネットワークを構成する任意の構成単位でセキュリティ管理を行うことにより,物理的な区域による管理範囲の分割や,論理的な種別による管理範囲の分割によるアクセス制限が可能となり,ネットワークの多様な運用形態に対応することができる。   According to the present invention, by performing security management in an arbitrary configuration unit constituting the network, it becomes possible to divide the management range by physical area or to restrict access by dividing the management range by logical type. It is possible to deal with various operational forms.

また,同一個所へのアクセス制御を複数の管理者に許可することで,ネットワークの任意の構成単位に対して複数の管理者が存在するような運用形態にも対応することができる。   In addition, by permitting a plurality of managers to control access to the same location, it is possible to cope with an operation mode in which a plurality of managers exist for any unit of the network.

更に,任意の構成単位を,グループ化して管理することにより,特に大規模なネットワークで構成単位が多数存在する場合に,セキュリティ管理の煩雑さを防ぎ,多様なネットワーク運用形態に対応できる簡易なセキュリティ管理を提供することができる。

任意の構成単位を,階層化して管理することにより,構成単位が階層的に存在するような装置に対して,セキュリティ管理の煩雑さを防ぎ,多様なネットワーク運用形態に対応できる簡易なセキュリティ管理を提供することができる。 In addition, by managing arbitrary configuration units as a group, it is possible to prevent complicated security management, especially when there are a large number of configuration units in a large-scale network, and simple security that can support various network operation forms. Management can be provided.

Arbitrary configuration units are managed in a hierarchy, so that security management can be simplified and devices can be managed in a hierarchical manner, and simple security management can be applied to various network operation modes. Can be provided.

多様なネットワーク運用形態に対応するセキュリティ管理において,管理者側の多様な形態,特に上位/下位管理者が明確になっているような形態に対して適応する際に,簡易なセキュリティ管理を提供することができる。   Providing simple security management when adapting to various forms on the administrator's side, especially where the upper / lower managers are clear in security management corresponding to various network operation forms be able to.

ネットワーク運用形態により,任意に多様なセキュリティ運用を設定することを可能とすることにより,ネットワークに応じたセキュリティ運用を容易に実現することができる。   By making it possible to arbitrarily set various security operations according to the network operation mode, it is possible to easily realize the security operation corresponding to the network.

ネットワークを管理する管理装置が存在するようなシステムでは,運用情報を一元で管理することが望まれ,上記セキュリティ管理機能を管理装置側に実装することにより,大規模なネットワークの一元的なセキュリティ管理を提供することができる。   In a system where there is a management device that manages the network, it is desirable to manage the operation information in a unified manner. By implementing the above security management function on the management device side, centralized security management of a large-scale network is possible. Can be provided.

ネットワークの運用管理として,複数の拠点からの運用管理が考えられるが,一元的にセキュリティ情報を管理し,複数の拠点からのネットワーク管理に対応したセキュリティシステムを提供することができる。   As network operation management, operation management from a plurality of bases can be considered, but security information can be centrally managed and a security system corresponding to network management from a plurality of bases can be provided.

同一の構成単位に対するアクセス制限に種別を設けることにより,特定の制御を行うことができる管理者といった区別が実現できる。   By providing a type in the access restriction for the same structural unit, it is possible to realize a distinction such as an administrator who can perform specific control.

上記,伝送装置におけるセキュリティ管理と,管理装置におけるセキュリティ管理を混在させるようなシステム(特に,複数の管理装置を設置する場合や,保守端末などの装置による設定を行う場合など)に対して,管理装置と伝送装置でのセキュリティポリシの不整合を検知し,間違ったセキュリティ運用を防ぐことが可能となる。   Management for systems that mix security management for transmission devices and security management for management devices (especially when multiple management devices are installed or when settings are made using devices such as maintenance terminals) It is possible to detect inconsistencies in the security policy between the device and the transmission device and prevent incorrect security operations.

上記,間違ったセキュリティ運用となった場合に,迅速にセキュリティポリシの整合を行うことが可能となり,セキュリティ管理の運用性を向上することができる。   In the case of incorrect security operation as described above, it becomes possible to quickly match the security policy, and the operability of security management can be improved.

図3は伝送装置で認証を行う場合のネットワークの構成例,図4は図3における伝送装置を中心とする実施例の構成を示す。   FIG. 3 shows a configuration example of a network when authentication is performed by the transmission apparatus, and FIG. 4 shows a configuration of an embodiment centering on the transmission apparatus in FIG.

図3において,1−1は大容量ネットワークを制御する制御端末,1−2は小容量ネットワークを制御する制御端末,1−3は小容量ネットワークの伝送装置に接続された制御端末,50,52−1は上記図12と同様の大容量ネットワーク,小容量ネットワークである。2−1〜2−8は大容量ネットワーク50を構成する伝送装置であり,大容量装置とも呼ばれ,図では「大容量」と表示される。この伝送装置(大容量)2−1の構成は図4に示される。202〜206は小容量ネットワーク52−1を構成する伝送装置であり,小容量装置とも呼ばれ,図では「小容量」と表示される。各々の伝送装置(大容量装置,小容量装置とも)は認証部を有し,認証情報DBを個別に設定することができる。また,制御端末1−1,1−2は大容量ネットワークの伝送装置2−1に直接接続されるか,または上記図12に示すようなLAN54を介して伝送装置2−1に接続することができる。   In FIG. 3, 1-1 is a control terminal that controls a large-capacity network, 1-2 is a control terminal that controls a small-capacity network, 1-3 is a control terminal connected to a transmission device of the small-capacity network, 50, 52 Reference numeral -1 denotes a large-capacity network and a small-capacity network similar to those in FIG. Reference numerals 2-1 to 2-8 denote transmission apparatuses constituting the large-capacity network 50, which are also referred to as large-capacity apparatuses, and are displayed as "large capacity" in the figure. The configuration of this transmission device (large capacity) 2-1 is shown in FIG. Reference numerals 202 to 206 denote transmission apparatuses constituting the small-capacity network 52-1, which are also called small-capacity apparatuses, and are displayed as "small capacity" in the figure. Each transmission device (both large-capacity devices and small-capacity devices) has an authentication unit, and an authentication information DB can be set individually. Further, the control terminals 1-1 and 1-2 can be directly connected to the transmission apparatus 2-1 of the large-capacity network, or can be connected to the transmission apparatus 2-1 via the LAN 54 as shown in FIG. it can.

図4において,1−1,1−2,2−1は図3の同一符号と同じであり,伝送装置2−1内の20は通信部,21は制御部,22は認証部,23は認証情報DB,24は設定部であり,26−1は大容量ネットワークの機器に接続する大容量部インタフェース(IF),26−2は小容量ネットワークの機器に接続する小容量部インタフェース(IF)である。なお,図3のネットワーク構成では,この伝送装置2−1だけが大容量部IF26−1と小容量部IF26−2の両方を備え,他の伝送装置2−2〜2−8は大容量部IFだけ備え,小容量部IFは備えていない。   4, 1-1, 1-2, and 2-1 are the same as the same reference numerals in FIG. 3. In the transmission apparatus 2-1, 20 is a communication unit, 21 is a control unit, 22 is an authentication unit, and 23 is The authentication information DB 24 is a setting unit, 26-1 is a large capacity unit interface (IF) connected to a device of a large capacity network, and 26-2 is a small capacity unit interface (IF) connected to a device of a small capacity network. It is. In the network configuration shown in FIG. 3, only the transmission device 2-1 includes both the large capacity unit IF 26-1 and the small capacity unit IF 26-2, and the other transmission devices 2-2 to 2-8 have large capacity units. Only the IF is provided, and the small capacity IF is not provided.

図4の実施例に示す構成では,図3に示すようなネットワーク構成において,大容量ネットワークの制御個所(大容量部という)と小容量ネットワークの制御個所(小容量部という)の制御を行うために制御端末1−1,1−2が設けられ,各制御端末1−1,1−2に対しては,それぞれ大容量ネットワークの管理者用の識別番号(id1)とパスワード(pass1)と小容量ネットワークの管理者用の識別番号(id2)とパスワード(pass2)を割り当てて,伝送装置2−1の認証情報DB23に設定部24の機能により設定される。なお,図4の認証情報DB23の例では,id1/pass1は大容量部を制御個所として限定され,id2/pass2は小容量部を制御個所として限定され,制御種別について制限されない。   In the configuration shown in the embodiment of FIG. 4, in the network configuration as shown in FIG. 3, control of a large-capacity network control point (referred to as a large-capacity part) and a small-capacity network control point (referred to as a small-capacity part) are performed. Are provided with control terminals 1-1 and 1-2, and for each control terminal 1-1 and 1-2, an identification number (id1), a password (pass1) and a small number for the administrator of the large-capacity network are provided. An identification number (id2) and a password (pass2) for the administrator of the capacity network are assigned and set in the authentication information DB 23 of the transmission apparatus 2-1 by the function of the setting unit 24. In the example of the authentication information DB 23 in FIG. 4, id1 / pass1 is limited to a large capacity portion as a control location, and id2 / pass2 is limited to a small capacity portion as a control location, and the control type is not limited.

図4に示す制御端末1−1から大容量ネットワークの管理者が認証を行う場合,認証情報には(id1とpass1)が制御端末1−1の入力部10に入力され,さらに制御個所が大容量部となる制御指示を入力する。これらの情報は伝送装置2−1(大容量装置)に送信され,これを受信した伝送装置2−1の通信部20は,認証部22に認証要求を行う。認証部22では,あらかじめ保持している認証情報DB23内のレコード(1) と比較し,入力された認証情報(id,pass)に対応する情報の一致/不一致,および入力された制御指示の制御個所および制御種別の一致/不一致を検索して認証結果を判定する。認証部22での判定により,認証情報DB23に一致する認証レコードがない場合は,認証が否という結果を通信部20に対して通知し,通信部20はその結果(認証がNG)を制御端末1−1に通知する。また,認証部22での判定により,認証情報DB23に一致する認証レコードがある場合は,制御指示を制御部21に対して行う。制御部21では,制御指示に含まれる制御個所から,制御を実施する個所を判定し,この場合は大容量部に対する制御であるため,大容量部IF26−1を介して制御を実施する。制御部21は制御結果を通信部20に対して通知し,通信部20はその結果(認証がOKおよび制御結果)を制御端末1−1に対して通知する。   When the administrator of the large-capacity network performs authentication from the control terminal 1-1 shown in FIG. 4, (id1 and pass1) are input to the input unit 10 of the control terminal 1-1 as authentication information, and the control location is large. Input a control instruction to be a capacity unit. These pieces of information are transmitted to the transmission device 2-1 (large capacity device), and the communication unit 20 of the transmission device 2-1 receiving the information makes an authentication request to the authentication unit 22. The authentication unit 22 compares with the record (1) in the authentication information DB 23 held in advance, and matches or does not match information corresponding to the input authentication information (id, pass), and controls the input control instruction. The authentication result is determined by searching for a match / mismatch of the location and control type. If the authentication unit 22 determines that there is no authentication record that matches the authentication information DB 23, the communication unit 20 notifies the communication unit 20 of the authentication failure result, and the communication unit 20 notifies the control terminal of the result (authentication is NG). 1-1 is notified. If there is an authentication record that matches the authentication information DB 23 as determined by the authentication unit 22, a control instruction is issued to the control unit 21. The control unit 21 determines a location to be controlled from the control location included in the control instruction. In this case, since the control is for the large capacity unit, the control is performed via the large capacity unit IF 26-1. The control unit 21 notifies the control unit 20 of the control result, and the communication unit 20 notifies the control terminal 1-1 of the result (authentication is OK and control result).

また,大容量ネットワークの管理者(id1とpass1が割り当てられている)が伝送装置2−1の小容量部に対して制御を実施した場合を想定する。この場合,該情報を受信した伝送装置2−1の認証部22では,予め保持している認証情報DB23内のレコードと比較し,入力された認証情報(idl/pass1)に該当する情報の一致/不一致を判定し,これに対しては一致するレコードが存在すると判定するが,制御指示内の制御個所が小容量部に対する制御であるため,該レコードの制御個所と不一致と判定する。これにより,認証部は認証結果が否であることを通信部20に対して通知する。   Further, it is assumed that the administrator of the large capacity network (id1 and pass1 are assigned) controls the small capacity unit of the transmission apparatus 2-1. In this case, the authentication unit 22 of the transmission apparatus 2-1 that has received the information compares the information corresponding to the input authentication information (idl / pass1) by comparing with the record in the authentication information DB 23 held in advance. / A discrepancy is determined, and it is determined that there is a matching record. However, since the control location in the control instruction is a control for the small-capacity part, it is determined that there is a discrepancy with the control location of the record. As a result, the authentication unit notifies the communication unit 20 that the authentication result is negative.

同様に,小容量ネットワークの管理者が制御端末1−2を介して認証を行って制御を行うことができる。この場合,認証情報(id2/pass2)が制御端末1−2の入力部10に入力され,さらに制御個所が小容量部となる制御指示を入力する。これらの情報は伝送装置2−1に送信され,これを受信した伝送装置2−1の通信部20は,認証部22に認証要求を行う。認証部22では,予め保持している認証情報DB23内のレコード(2) と比較し,入力された認証情報に該当する情報との一致/不一致,および入力された制御指示の制御個所および制御種別の一致/不一致を検索して認証結果を判定する。認証部22での判定により,認証情報DB23に一致する認証レコードがあると判定し,制御指示を制御部21に対して出力する。制御部21では,制御指示に含まれる制御個所から,制御を実施する個所を判定する。この場合は小容量部を制御個所とするので,小容量部IF26−2に制御指示を供給する。制御部22は制御結果を通信部20に対して通知し,通知された通信部20は,該結果(認証がOKおよび制御結果)を制御端末1−2に対して通知する。これにより,同一装置(図3の伝送装置2−1)内の異なる個所へのアクセス制御を可能とする。   Similarly, the administrator of the small-capacity network can perform control by performing authentication through the control terminal 1-2. In this case, the authentication information (id2 / pass2) is input to the input unit 10 of the control terminal 1-2, and further, a control instruction for the control portion to be a small capacity unit is input. These pieces of information are transmitted to the transmission device 2-1, and the communication unit 20 of the transmission device 2-1 receiving the information makes an authentication request to the authentication unit 22. The authentication unit 22 compares with the record (2) in the authentication information DB 23 held in advance, matches / mismatches with the information corresponding to the input authentication information, and the control location and control type of the input control instruction. The authentication result is determined by searching for a match / mismatch. Based on the determination in the authentication unit 22, it is determined that there is an authentication record that matches the authentication information DB 23, and a control instruction is output to the control unit 21. The control unit 21 determines a location where the control is to be performed from the control locations included in the control instruction. In this case, since the small capacity unit is used as a control location, a control instruction is supplied to the small capacity unit IF 26-2. The control unit 22 notifies the control unit 20 of the control result, and the notified communication unit 20 notifies the control terminal 1-2 of the result (authentication is OK and control result). Thereby, it is possible to control access to different locations in the same device (transmission device 2-1 in FIG. 3).

また,認証情報DB23内のレコードで制御個所を任意に設定できるため,同一装置内でのさまざまな形態に対応したアクセス制御を実施することが可能となる。   In addition, since a control location can be arbitrarily set by a record in the authentication information DB 23, access control corresponding to various forms in the same device can be performed.

次に図3の小容量ネットワーク52−1を構成する小容量装置(小容量ネットワークを構成する伝送装置)203を対象とした例について説明する。小容量装置203には,図3に示すようにその中の認証情報DB23に予め二つのレコード((3),(4))が設定されている。一つ目の(3) は小容量ネットワークの管理者(認証情報がid2/pass2:上記図4の制御端末1−2の認証情報と同じ)により小容量ネットワークの全ての制御個所/制御種別をアクセス可能となる認証情報レコードが設定され,二つ目の(4) は小容量装置203のみの管理者(認証情報がid3/pass3)が小容量装置203の全ての制御個所/制御種別でアクセス可能となる認証情報レコードが設定されている。これにより,認証情報がid2/pass2の管理者と,認証情報がid3/pass3である両管理者からの制御が可能となる。このように,同一個所へのアクセス制御を複数の管理者に許可するアクセス制御を設定することができ,全体のネットワークを管理するマスタ管理者と,伝送装置ごとの管理を担当する管理者との混在運用も可能となる。   Next, an example in which the small capacity device (transmission apparatus constituting the small capacity network) 203 configuring the small capacity network 52-1 of FIG. In the small capacity device 203, as shown in FIG. 3, two records ((3), (4)) are set in advance in the authentication information DB 23 therein. The first (3) is the administrator of the small capacity network (authentication information is id2 / pass2: the same as the authentication information of the control terminal 1-2 in FIG. 4). An authentication information record that can be accessed is set, and the second (4) is an administrator of only the small capacity device 203 (authentication information is id3 / pass3) accessed at all control locations / control types of the small capacity device 203. An authentication information record that can be used is set. As a result, it is possible to control from an administrator whose authentication information is id2 / pass2, and both administrators whose authentication information is id3 / pass3. In this way, access control that allows multiple administrators to control access to the same location can be set, and a master administrator who manages the entire network and an administrator who is responsible for managing each transmission device. Mixed operation is also possible.

図5はグループ管理を利用した認証を行うための実施例の構成を示し,上記図3,図4と同様に伝送装置で認証による制御を行う。図中,1は制御端末,2は上記図3に示す各種ネットワークの中の一つの伝送装置,21,23は伝送装置2の中の一部の構成要素を表し,21は制御部,23は認証情報DBであり,伝送装置のその他の構成要素は上記図4と同様であり図示省略されている。   FIG. 5 shows a configuration of an embodiment for performing authentication using group management, and control by authentication is performed in the transmission apparatus as in FIGS. In the figure, 1 is a control terminal, 2 is one transmission device in the various networks shown in FIG. 3, 21 and 23 are some components in the transmission device 2, 21 is a control unit, 23 is This is the authentication information DB, and other components of the transmission apparatus are the same as those in FIG. 4 and are not shown.

この図5の構成例では,認証情報DB23のレコードにグループ情報を追加しており,230はIDとパスワードの組み合わせに対してグループ番号a,bが設定された認証情報テーブルで,231は各グループに対して制御個所が設定されたグループ別制御テーブルである。これにより,認証情報DB23内のレコードを任意のグループ情報として管理し,グループ単位での設定を可能とする。   In the configuration example of FIG. 5, group information is added to the record of the authentication information DB 23, 230 is an authentication information table in which group numbers a and b are set for the combination of ID and password, and 231 is each group. This is a group-specific control table in which control locations are set for As a result, the records in the authentication information DB 23 are managed as arbitrary group information and can be set in units of groups.

図5の伝送装置2の例では,制御対象が,IP(インターネット・プロトコル)系の伝送機器へのインタフェース(IF)と音声系の伝送機器へのインタフェース(IF)という異なる2種類のIFからなる装置構成を備えるものとする。この装置の管理者として,IP系のIFによるネットワークサービスを管理する管理者と,音声系のIFによるネットワークサービスを管理する管理者とが存在する。この場合は,IP系のIFが実装されている個所(スロット(1)〜スロット(4))をグループaとし,音声系のIFが実装されている個所(スロット(5)〜スロット(7))をグループbとして設定される。これにより,認証情報DB23で定義する場合に,IP系ネットワークサービスの管理者(id1/pass1)にはグループaに対するアクセス権を与え,音声系ネットワークサービスの管理者(id2/pass2)にはグループbに対するアクセス権を与える。このように制御個所をグループ化することにより,管理者がネットワークサービスなどの単位で存在するような運用形態においても,任意に構成できる認証情報DBのレコード構成を簡素化し,メンテナンスの容易性を向上させることができる。   In the example of the transmission apparatus 2 in FIG. 5, the objects to be controlled include two different types of IFs: an interface (IF) to an IP (Internet Protocol) transmission device and an interface (IF) to an audio transmission device. It is assumed that the apparatus configuration is provided. As managers of this apparatus, there are managers who manage network services based on IP IF and managers who manage network services based on voice IF. In this case, the location where the IP IF is installed (slot (1) to slot (4)) is group a, and the location where the audio IF is installed (slot (5) to slot (7)). ) Is set as group b. Thus, when defined in the authentication information DB 23, the IP network service administrator (id1 / pass1) is given access rights to the group a, and the voice network service administrator (id2 / pass2) is assigned the group b. Give access to By grouping control points in this way, even in an operation mode where the administrator exists in units such as network services, the record configuration of the authentication information DB that can be arbitrarily configured is simplified and the ease of maintenance is improved. Can be made.

図6は認証情報のレコードを階層的に構成して認証を行う実施例を示し,上記図3,図4と同様に伝送装置で認証による制御を行う。この実施例では制御個所である装置を階層的に構成する。図中,1,2,21,23の各符号は上記図5の同一符号の各部に対応する。これにより,認証情報DB内のレコードを階層的に表現することができ,実際の装置が階層的な構成をとり,階層的な体系をとる運用形態に対応することができる。   FIG. 6 shows an embodiment in which authentication information records are hierarchically configured for authentication, and control by authentication is performed in the transmission apparatus in the same manner as in FIGS. In this embodiment, devices that are control points are hierarchically configured. In the figure, reference numerals 1, 2, 21, and 23 correspond to the same reference numerals in FIG. As a result, the records in the authentication information DB can be expressed hierarchically, and an actual apparatus has a hierarchical configuration and can correspond to an operation mode in which a hierarchical system is adopted.

図6の場合,伝送装置がシェルフ(SH)とスロット(SL)とからなる構成であり,伝送装置全体を管理する管理者(id1/pass1)と,シェルフ1(SH=1)の管理者(id2/pass2)と,シェルフ2(SH=2)の管理者(id3/pass3)と,シェルフ3(SH=3)の管理者(id4/pass4)が存在し,また各スロットを管理する管理者(例ではid11,pass11)が存在する。図6の認証情報DB23の232は認証情報テーブルであり,各認証情報に対応して階層No.が設定され,233は階層テーブルであり,これには各階層No.に対して制御個所と親階層No.(各階層の上位の階層No.)が設定される。   In the case of FIG. 6, the transmission apparatus is configured by a shelf (SH) and a slot (SL), and an administrator (id1 / pass1) that manages the entire transmission apparatus and an administrator of the shelf 1 (SH = 1) ( id2 / pass2), administrator of shelf 2 (SH = 2) (id3 / pass3), administrator of shelf 3 (SH = 3) (id4 / pass4), and manager managing each slot (In the example, id11, pass11) exists. Reference numeral 232 of the authentication information DB 23 in FIG. 6 is an authentication information table. Is set, and 233 is a hierarchy table. Control location and parent hierarchy No. (Higher hierarchy number of each hierarchy) is set.

各スロットを管理する管理者(例ではid11/pass11)は,制御端末1からこれらの各テーブルの認証情報を入力する。伝送装置2の認証部(図6では図示省略)は,入力された認証情報と,認証情報DB23内の認証情報テーブルとを比較し,その認証情報が階層No.11に対してアクセス許可されている管理者であると判定し,その階層No.11から階層情報テーブル233から制御個所(SH=1/SL=1)を獲得し,該当する制御個所へのアクセスを許可する。また,該階層No.11を親階層No.にもつ制御個所が他にあるか階層情報テーブル233を検索する。この場合,他には該当する情報がないため,その制御個所以外へのアクセスは許可されない。また,制御端末1−1からシェルフ1(SH=1)を管理する管理者(id2/pass2)が制御を行う場合は,伝送装置2−1の認証部(図4の22)にて該認証情報から階層No.2を獲得する。階層No.2は,制御個所(SH=1)に対してアクセス許可があり,SH=1に対するアクセス(例えば,シェルフ単位の制御など)は許可される。また,該階層No.2を親階層No.に持つレコードを階層情報テーブル233を検索し,階層No.11〜18のレコードを得る。これにより,SH=1/SL=1〜SH=1/SL=8へのアクセス制御も合わせて許可される。このように,認証情報レコード内に階層No.を設けて,各制御個所を任意に関連付けることにより,階層的なセキュリティの運用管理ができる。   An administrator who manages each slot (id11 / pass11 in the example) inputs authentication information of each table from the control terminal 1. The authentication unit (not shown in FIG. 6) of the transmission apparatus 2 compares the input authentication information with the authentication information table in the authentication information DB 23. 11 is determined to be an administrator who is permitted access to the hierarchy number. 11 obtains a control location (SH = 1 / SL = 1) from the hierarchy information table 233 and permits access to the corresponding control location. In addition, the hierarchy No. 11 is the parent hierarchy number. The hierarchical information table 233 is searched to see if there are any other control points. In this case, since there is no other applicable information, access to other than the control location is not permitted. Further, when the administrator (id2 / pass2) managing shelf 1 (SH = 1) from the control terminal 1-1 performs control, the authentication unit (22 in FIG. 4) performs the authentication. From the information, the hierarchy No. Get 2 Hierarchy No. 2 has access permission for the control location (SH = 1), and access to SH = 1 (for example, control in units of shelves) is permitted. In addition, the hierarchy No. 2 is the parent hierarchy number. The hierarchical information table 233 is searched for the record held in Records 11 to 18 are obtained. Thereby, access control to SH = 1 / SL = 1 to SH = 1 / SL = 8 is also permitted. In this way, the hierarchy number in the authentication information record. Can be used to associate the control points arbitrarily, thereby enabling hierarchical security operation management.

図7は管理者をランク付けて認証を行う実施例の構成を示し,上記図3,図4と同様に伝送装置で認証による制御を行う。この実施例では管理者にランクを設けて,上位/下位管理者の識別を利用した運用形態に対応することができる。図中,1,2,21,23の各符号は上記図5及び図6の同一符号の各部に対応し,説明を省略する。   FIG. 7 shows a configuration of an embodiment in which authentication is performed by ranking managers, and control by authentication is performed by the transmission apparatus in the same manner as in FIGS. In this embodiment, it is possible to provide a rank for the manager and cope with the operation mode using the identification of the upper / lower manager. In the figure, reference numerals 1, 2, 21, and 23 correspond to the same reference numerals in FIGS. 5 and 6, and a description thereof is omitted.

図7の認証情報DB23には234と235の2つのテーブルが設けられ,234は各認証情報(id/pass)に対応してランクNo.が設定された認証情報テーブルであり,235は各ランクに対して制御可能な制御個所が設定されるランク情報テーブルである。この例では,ランク1は伝送装置全体(シェルフ単位,スロット単位に制御可)を管理する管理者(id1/pass1)に対して付与され,ランク2はシェルフ単位,スロット単位の制御まで実行可能な管理者(id2/pass2)に対し付与され,ランク3はスロット単位の制御だけが実行可能な管理者(id3/pass3)に付与され,上位層の管理者が,下位層の権限を含む運用形態に対応することができる。   The authentication information DB 23 shown in FIG. 7 includes two tables 234 and 235. The table 234 corresponds to each authentication information (id / pass). Is an authentication information table in which is set, and 235 is a rank information table in which control points that can be controlled for each rank are set. In this example, rank 1 is assigned to an administrator (id1 / pass1) who manages the entire transmission apparatus (controllable in units of shelves and slots), and rank 2 is executable up to control in units of shelves and slots. An operation mode that is given to an administrator (id2 / pass2), rank 3 is given to an administrator (id3 / pass3) that can execute only slot-based control, and an upper layer administrator includes lower layer authority It can correspond to.

図8は制御内容をランク付けて認証を行う実施例の構成を示し,上記図3,図4と同様に伝送装置で認証による制御を行う。この実施例では管理者にランクを設けて,上位/下位管理者の識別を利用した運用形態に対応することができる。図8に1,2,21,23の各符号は,上記図5〜図7に示す同一の各符号に対応する。   FIG. 8 shows a configuration of an embodiment in which the control contents are ranked and authentication is performed, and control by authentication is performed by the transmission apparatus in the same manner as in FIGS. In this embodiment, it is possible to provide a rank for the manager and cope with the operation mode using the identification of the upper / lower manager. In FIG. 8, reference numerals 1, 2, 21, and 23 correspond to the same reference numerals shown in FIGS.

図8の認証情報DB23には236と237の2つのテーブルが設けられ,236は各認証情報(id/pass)に対応して制御個所と制御ランクが設定された認証情報テーブルであり,237は各制御ランクに対して実行可能な制御種別が設定された制御ランク情報テーブルである。この例では制御ランクに対し制御種別として「保守」,「構成」,「試験」,「監視」の4つの制御種別に分類され,その中の実行可能なものを「○」,実行不可のものを「×」として設定されている。   The authentication information DB 23 of FIG. 8 is provided with two tables 236 and 237. 236 is an authentication information table in which a control location and a control rank are set corresponding to each authentication information (id / pass). It is a control rank information table in which control types executable for each control rank are set. In this example, the control types for the control rank are classified into four control types: “maintenance”, “configuration”, “test”, and “monitoring”. Is set as “×”.

このように,認証情報DB23のレコードに制御種別の要素を持たせ,同一個所の制御でも,制御の内容によりアクセス制御を行うことができる。具体的には,管理者1(id1/pass1)が制御端末1の入力部から認証情報および制御指示(制御種別含む)を入力し,伝送装置2の認証部(図4の22)は,認証情報DB23内の認証情報テーブル236から制御ランクを検出して,その制御ランクを用いて制御ランク情報テーブル237から実行可能な制御種別と,制御端末1から入力された制御種別とを照合して,該管理者が指定した制御種別を実施できるかどうか判定する。該管理者が,指定された制御種別に対するアクセス権限がない場合は,その旨を制御端末1に通知し,アクセス権限がある場合は該制御を実施し,その結果を制御端末1へ通知する。なお,各制御ランクは,他の例と同様に制御個所単位に設定が可能で,図8の認証情報テーブル236に示す管理者4(id4/pass4)のように,SH=1に対する監視制御(アクセスランクC)のみ実行可能といった運用形態をとることができる。   In this way, the record of the authentication information DB 23 has an element of control type, and access control can be performed according to the contents of the control even at the same location. Specifically, the administrator 1 (id1 / pass1) inputs authentication information and a control instruction (including the control type) from the input unit of the control terminal 1, and the authentication unit (22 in FIG. 4) of the transmission apparatus 2 The control rank is detected from the authentication information table 236 in the information DB 23, and the control type executable from the control rank information table 237 using the control rank is compared with the control type input from the control terminal 1, It is determined whether the control type designated by the administrator can be implemented. If the administrator does not have the access authority for the designated control type, this is notified to the control terminal 1, and if there is an access authority, the control is performed, and the result is notified to the control terminal 1. Each control rank can be set for each control location as in the other examples, and monitoring control for SH = 1 (id4 / pass4) shown in the authentication information table 236 of FIG. It is possible to adopt an operation form in which only access rank C) can be executed.

このように上記図4に示す構成及び図5乃至図8に示す各実施例のように伝送装置側に認証部(図4の22),認証情報DB(図4の23)及び設定部(図4の24)を設けることにより,運用形態の変更を動的に行うことができる。そして,設定部では,制御端末の入力部から,認証情報DBの設定内容を入力し,伝送装置の通信部20を介して設定部24が受信する。該情報を受信した設定部24は認証情報DB23内の情報を更新する。また,この更新作業自体のセキュリティとしては,上記で示した図8の認証例を利用し,制御ランクなどによりアクセス制限をかけることが可能である。   As described above, the authentication unit (22 in FIG. 4), the authentication information DB (23 in FIG. 4), and the setting unit (see FIG. 4) are provided on the transmission apparatus side as in the configuration shown in FIG. 4 and the embodiments shown in FIGS. 4), the operation mode can be changed dynamically. Then, in the setting unit, the setting content of the authentication information DB is input from the input unit of the control terminal, and the setting unit 24 receives it via the communication unit 20 of the transmission apparatus. The setting unit 24 that has received the information updates the information in the authentication information DB 23. Further, as the security of the update operation itself, it is possible to restrict access by a control rank or the like using the authentication example shown in FIG.

図9は管理装置で認証を行う場合のネットワークの構成例を示し,ネットワークの管理装置(サーバ)と制御端末(クライアント)からなるクライアント・サーバ型のネットワーク管理システムを構成し,管理装置(サーバ)側でアクセス認証を行う。図10は図9の構成における管理装置(サーバ)と伝送装置を中心とする実施例の構成を示す。   FIG. 9 shows an example of a network configuration when authentication is performed by a management device, and a client / server type network management system including a network management device (server) and a control terminal (client) is configured. Authenticate access on the side. FIG. 10 shows a configuration of an embodiment centering on a management device (server) and a transmission device in the configuration of FIG.

図9において,1−1,1−2は上記図3の同一符号と同じで大容量ネットワークを制御する制御端末,小容量ネットワークを制御する制御端末,50は上記図12と同様の大容量ネットワーク,52−1は小容量ネットワークである。2a〜2hは大容量ネットワーク50を構成する伝送装置(大容量と表示)であり,上記図4の伝送装置と異なり認証機能(図4に示す認証部22,認証情報DB23及び設定部24)を備えない。20a〜20eは小容量ネットワーク52−1を構成する伝送装置(小容量と表示)であり,大容量ネットワークの伝送装置2a〜2hと同様に認証機能を備えない。3は管理装置(サーバ)である。   9, 1-1 and 1-2 are the same reference numerals as those in FIG. 3 and control terminals for controlling a large capacity network, control terminals for controlling a small capacity network, and 50 is a large capacity network similar to that in FIG. , 52-1 is a small capacity network. Reference numerals 2a to 2h denote transmission apparatuses (indicated as large capacity) constituting the large-capacity network 50. Unlike the transmission apparatus in FIG. 4 described above, authentication functions (authentication unit 22, authentication information DB 23 and setting unit 24 shown in FIG. 4) are provided. I do not prepare. Reference numerals 20a to 20e denote transmission apparatuses (indicated as small capacity) that constitute the small capacity network 52-1, and do not have an authentication function like the large capacity network transmission apparatuses 2a to 2h. Reference numeral 3 denotes a management apparatus (server).

図10において,管理装置(サーバ)3内の30は通信部,31は認証部,32は認証情報データベース(DB),33は制御部,34は設定部である。また伝送装置2a〜2h及び伝送装置20a〜20eにはそれぞれ通信部20,制御部21が設けられ,制御対象として伝送装置2aだけ大容量ネットワークの機器に接続する大容量部インタフェース(IF)26−1,小容量ネットワークの機器に接続する小容量部インタフェース(IF)26−2の両方が設けられ,伝送装置2b〜2hには大容量部IF26−1が設けられ,伝送装置20a〜20eには小容量部IF26−2が設けられている。   In FIG. 10, 30 in the management apparatus (server) 3 is a communication unit, 31 is an authentication unit, 32 is an authentication information database (DB), 33 is a control unit, and 34 is a setting unit. The transmission devices 2a to 2h and the transmission devices 20a to 20e are respectively provided with a communication unit 20 and a control unit 21, and only the transmission device 2a is connected as a control target to a device of a large capacity network 26- 1, both of the small capacity unit interface (IF) 26-2 connected to the devices of the small capacity network are provided, the large capacity unit IF 26-1 is provided in the transmission devices 2b to 2h, and the transmission devices 20a to 20e are provided in the transmission devices 20a to 20e. A small capacity unit IF26-2 is provided.

管理者としては,上記図3,図4の場合と同様に大容量ネットワークの管理者(id1/pass1)と小容量ネットワークの管理者(id2/pass2)が存在する。管理装置には,あらかじめ認証情報DB32には図10に示すようなレコードが設定されている。すなわち,(1) は大容量ネットワークの管理者(id1/pass1),装置種別が大容量装置,装置IDは「1」,制御個所が大容量部,制御種別は全て(制限なくアクセス可能)となる認証情報レコードである。(2) は小容量ネットワークの管理者(id2/pass2),装置種別が大容量装置,装置ID「1」,制御個所(小容量部),制御種別は全てとなる認証情報レコードであり,(3) は大容量ネットワークの管理者(id1/pass1)が大容量装置で装置IDが「1」以外の全てであり,制御個所が全てで,全ての制御種別でアクセス可能となる認証情報レコードである。また,(4) は小容量ネットワークの管理者(id2/pass2)が全ての小容量装置に対して,全ての制御個所,全ての制御種別でアクセス可能となる認証情報レコードである。   As the managers, there are a large-capacity network manager (id1 / pass1) and a small-capacity network manager (id2 / pass2) as in FIGS. In the management apparatus, records as shown in FIG. 10 are set in the authentication information DB 32 in advance. That is, (1) is the administrator of the large-capacity network (id1 / pass1), the device type is the large-capacity device, the device ID is “1”, the control location is the large-capacity part, and the control type is all (accessible without restrictions). Authentication information record. (2) is an authentication information record in which the administrator of the small capacity network (id2 / pass2), the device type is the large capacity device, the device ID “1”, the control location (small capacity portion), and the control type is all ( 3) is an authentication information record in which the administrator (id1 / pass1) of the large-capacity network is a large-capacity device and the device ID is all except “1”, the control points are all, and all control types can be accessed. is there. Also, (4) is an authentication information record that allows a small-capacity network administrator (id2 / pass2) to access all small-capacity devices at all control locations and all control types.

この運用形態において,大容量ネットワークの管理者が制御端末1−1を介して認証を行うと,認証情報として「id1/pass1」,制御個所として大容量装置2aの大容量部となる制御指示を入力部10から入力して,管理装置(サーバ,以下単に管理装置という)3へ送信する。この情報を受信した管理装置3の通信部30は,管理装置の認証部31に認証要求を出力する。この要求を受けた管理装置3の認証部31は,認証情報DB32内の認証情報レコードと比較し,管理者の認証情報(id1/pass1)が制御指示(伝送装置2aの大容量部)に対してアクセス権限を有すると判定し,制御指示を管理装置3の制御部33に対して出力する。   In this operation mode, when the administrator of the large-capacity network authenticates via the control terminal 1-1, “id1 / pass1” as the authentication information and a control instruction to be the large-capacity part of the large-capacity device 2a as the control location The data is input from the input unit 10 and transmitted to the management device (server, hereinafter simply referred to as management device) 3. The communication unit 30 of the management device 3 that has received this information outputs an authentication request to the authentication unit 31 of the management device. Upon receiving this request, the authentication unit 31 of the management device 3 compares the authentication information record in the authentication information DB 32 with the authentication information (id1 / pass1) of the administrator in response to the control instruction (the large capacity unit of the transmission device 2a). And determines that the user has access authority, and outputs a control instruction to the control unit 33 of the management device 3.

管理装置3の制御部33では,制御指示に含まれる制御個所(伝送装置2a)から,制御を行う装置を判定し制御を実行する。伝送装置(大容量装置2a)の通信部20は,該装置の制御部21に対して制御情報を出力し,制御結果を該装置の通信部20を介して管理装置3の制御部33に通知する。管理装置3の制御部33は,その結果を管理装置3の通信部30を介して,制御端末1−1に通知する。また,小容量ネットワークの管理者(id2/pass2)が制御端末1−2から,大容量ネットワークへの制御を実施しようと試みた場合,管理装置の認証部では,通知された認証情報(id2/pass2)と,保持している認証情報DB32内のレコードと比較し,この管理者が大容量ネットワークへのアクセス権限がないと判定し,認証結果が否となる旨を管理装置3の通信部30を介して,制御端末1−2へ通知する。   The control unit 33 of the management device 3 determines the device to be controlled from the control location (transmission device 2a) included in the control instruction and executes the control. The communication unit 20 of the transmission device (large-capacity device 2a) outputs control information to the control unit 21 of the device, and notifies the control unit 33 of the management device 3 of the control result via the communication unit 20 of the device. To do. The control unit 33 of the management device 3 notifies the control terminal 1-1 of the result via the communication unit 30 of the management device 3. In addition, when the administrator (id2 / pass2) of the small capacity network attempts to control the large capacity network from the control terminal 1-2, the authentication unit of the management apparatus receives the notified authentication information (id2 / pass2) and the record in the authentication information DB 32 that is held, the administrator determines that there is no authority to access the large-capacity network, and indicates that the authentication result is negative, the communication unit 30 of the management apparatus 3 To the control terminal 1-2.

このように,複数種別のネットワーク構成機器からなる複雑なネットワークシステムにおいて,管理装置3側で一括して認証情報を管理することにより,装置のグループ化,機能部単位のグループ化,ネットワーク構成にあわせて階層的な運用管理も実現可能となる。   In this way, in a complex network system composed of a plurality of types of network configuration devices, authentication information is collectively managed on the management device 3 side, so that device grouping, functional unit grouping, and network configuration are matched. Hierarchical operation management can also be realized.

上記の図3,図4(図5乃至図8を含む)で示したような伝送装置側での認証を行う構成と,図9,図10に示したような管理装置側での認証を行う構成とを備えるシステムを構成することができる。   A configuration for performing authentication on the transmission device side as shown in FIGS. 3 and 4 (including FIGS. 5 to 8), and authentication on the management device side as shown in FIGS. 9 and 10 A system comprising the configuration can be configured.

図11は伝送装置側と管理装置側の両方に認証機能を備えたネットワークの構成例を示す。図中,1−1〜1−3,2−1〜2−8,202〜206は上記図3に示す同一符号と同じであり,大容量ネットワークを構成する伝送装置(大容量と表示)2−1〜2−8及び小容量ネットワークを構成する伝送装置(小容量と表示)202〜206(2−1を含む)はそれぞれに認証部,設定部,認証DB,制御部等を備えているが,図11では各伝送装置に設けられた認証情報DB23だけ示し,他の各部は図示省略されている。1−4は制御端末である。3は管理装置(サーバ)であり,ここにも図9に示す通信部30,認証部31,認証情報DB32,制御部33,設定部34等が設けられているが,図11では認証情報DB32だけ示し,他の各部は図示省略されている。   FIG. 11 shows a configuration example of a network provided with an authentication function on both the transmission apparatus side and the management apparatus side. In the figure, reference numerals 1-1 to 1-3, 2-1 to 2-8, and 202 to 206 are the same as those shown in FIG. 3, and a transmission apparatus (indicated as large capacity) 2 constituting a large capacity network. -1 to 2-8 and transmission devices (indicating small capacity) 202 to 206 (including 2-1) constituting a small-capacity network each include an authentication unit, a setting unit, an authentication DB, a control unit, and the like. However, in FIG. 11, only the authentication information DB 23 provided in each transmission apparatus is shown, and other parts are not shown. 1-4 is a control terminal. Reference numeral 3 denotes a management device (server), which also includes a communication unit 30, an authentication unit 31, an authentication information DB 32, a control unit 33, a setting unit 34, and the like shown in FIG. Only the other parts are not shown.

図11のネットワーク構成では,通常,管理者はクライアントである制御端末1−1,1−2から管理装置(サーバ)3を経由して,各伝送装置への制御を行う。また,管理者が伝送装置の設置された位置で保守(部品の交換等)を実行するような場合,伝送装置へ直接制御端末を接続して制御を実施する場合もある。この場合,通常利用している管理装置(サーバ)3側での認証と,各伝送装置での認証が異なってしまうと,運用上支障が生じる場合があり,特にセキュリティ上の問題が深刻となる。   In the network configuration of FIG. 11, the administrator usually controls each transmission device from the control terminals 1-1 and 1-2 as clients via the management device (server) 3. When the administrator performs maintenance (part replacement, etc.) at the position where the transmission apparatus is installed, the control may be performed by connecting a control terminal directly to the transmission apparatus. In this case, if the authentication at the management device (server) 3 that is normally used differs from the authentication at each transmission device, operational problems may occur, and security problems will be particularly serious. .

そこで,管理装置3はオペレータの指示,もしくは定期的な自動指示にて,管理装置3で保持している認証情報と,伝送装置で保持している認証情報を比較判定し,その結果をオペレータに通知,もしくはアクセスの禁止処置をとり,セキュリティ管理を実施する。制御端末の入力部からの指示もしくは,定期的な指示により,管理装置の認証部は管理装置の制御部を介して,各伝送装置(例えば大容量装置(1))へ認証情報の収集指示を実施する。各伝送装置の通信部は,該収集指示を受信すると,伝送装置の認証部に認証情報を要求し,管理装置へ通知する。該認証情報を受信した管理装置の制御部は,管理装置の認証部に対して,該認証情報を通知し,管理装置の認証部では,自装置内で保持している認証情報レコードと,受信した伝送装置(大容量装置(1))の認証情報レコードとを比較し,制御個所,制御種別に対するアクセス管理者(id1/pass1)が一致しているか比較する。比較した結果,その旨を管理装置の通信部を介して制御端末へ通知し,セキュリティ運用上の問題があるか,否かを検出する。また,不一致を検出した場合は,そのままの運用を行うと,セキュリティ上支障が生じる場合があるため,認証情報の整合を実施する。例えば,管理装置(サーバ)3で保持している認証情報を,異なった設定がされている伝送装置(例えば,伝送装置2aの大容量部側)へ設定する場合を説明する。   Therefore, the management device 3 compares and determines the authentication information held in the management device 3 and the authentication information held in the transmission device according to the operator's instruction or a periodic automatic instruction, and the result is sent to the operator. Take notice or access prohibition measures and implement security management. In response to an instruction from the input unit of the control terminal or a periodic instruction, the authentication unit of the management device issues an instruction to collect authentication information to each transmission device (for example, the large capacity device (1)) via the control unit of the management device. carry out. Upon receiving the collection instruction, the communication unit of each transmission device requests authentication information from the authentication unit of the transmission device and notifies the management device. The control unit of the management device that has received the authentication information notifies the authentication unit of the management device of the authentication information, and the authentication unit of the management device receives the authentication information record held in the own device and the reception And the authentication information record of the transmission device (large capacity device (1)) is compared, and it is compared whether the access manager (id1 / pass1) for the control location and control type matches. As a result of the comparison, this fact is notified to the control terminal via the communication unit of the management device, and it is detected whether there is a problem in security operation. In addition, if a mismatch is detected, the authentication information may be matched because it may cause a security problem if it is used as it is. For example, a case will be described in which authentication information held in the management apparatus (server) 3 is set in a transmission apparatus (for example, the large capacity section side of the transmission apparatus 2a) having different settings.

認証情報を管理する管理者(IDとパスワードがidS/passSとする)が,制御端末1−1の入力部10から,誤って設定されている伝送装置へ,管理装置3の認証情報を設定する指示を送信する。該指示を受信した管理装置3の通信部(図10の30)は,認証部(図10の31)に対して整合要求(管理装置→伝送装置)を行い,管理装置3の認証部では,指定された伝送装置に関する認証情報(図11の例では,(1),(2) のレコード)を抽出し,管理装置の制御部33を介して,伝送装置(2aの大容量部)へ整合指示を出力する。この指示および前記認証情報を受信した伝送装置2a側の通信部(図4の20)は,伝送装置側の認証部(図4の22)に対して,認証情報の整合指示を行う。該指示を受信した伝送装置側の認証部(図4の22)は,認証情報DB(図4の23)の認証情報レコードを更新し,結果を通信部を介して,管理装置へ通知する。結果を受信した管理装置の制御部は,その結果を管理装置側の通信部を介して通知する。管理者は,その結果から,認証情報が整合され,セキュリティ運用上問題ないことを確認する。   An administrator who manages authentication information (ID and password are set to idS / passS) sets the authentication information of the management apparatus 3 from the input unit 10 of the control terminal 1-1 to the transmission apparatus that has been set in error. Send instructions. Upon receiving the instruction, the communication unit (30 in FIG. 10) of the management device 3 issues a matching request (management device → transmission device) to the authentication unit (31 in FIG. 10). Authentication information on the specified transmission device (in the example of FIG. 11, (1) and (2) records) is extracted and matched to the transmission device (large capacity part of 2a) via the control unit 33 of the management device. Output instructions. Upon receiving this instruction and the authentication information, the communication unit (20 in FIG. 4) on the transmission device 2a side instructs the authentication unit (22 in FIG. 4) to match the authentication information. Upon receiving the instruction, the authentication unit (22 in FIG. 4) on the transmission device side updates the authentication information record in the authentication information DB (23 in FIG. 4), and notifies the management device of the result via the communication unit. The control unit of the management device that has received the result notifies the result via the communication unit on the management device side. Based on the result, the administrator confirms that the authentication information is consistent and there is no problem in security operation.

逆に,伝送装置で保持している認証情報を,異なった設定がされている管理装置へ設定することも可能である。その場合,認証情報を管理する管理者(idS/passS)は,制御端末1−1の入力部10から,異なった設定がされている伝送装置から認証情報を収集し,管理装置の認証情報を更新する指示を出力する。この指示を受信した管理装置の通信部は,認証部に対して整合要求(伝送装置→管理装置)を行い,管理装置の認証部では,指定された伝送装置(例えば,2aの大容量部)へ整合指示を出力する。この指示を受信した伝送装置2a側の通信部は,伝送装置2a側の認証部に対して,認証情報の収集要求を行い,伝送装置側の認証部が,認証情報DBのレコードを通信部を介して管理装置へ通知する。該認証情報を受信した管理装置は,管理装置の認証部に対して認証情報を通知し,管理装置の認証部は,該認証情報を認証情報DB33の認証情報レコード内に設定(認証情報レコード(1),(2) )する。管理装置の認証部は,この設定結果を,通信部を介して制御端末へ通知する。管理者は,その結果から,認証情報が整合され,セキュリティ運用上問題ないことを確認する。このように,管理装置と各伝送装置と,マルチアクセスするようなネットワーク運用管理に対して,様々なセキュリティ形態を安定した運用で行うことが可能となる。   Conversely, the authentication information held in the transmission device can be set in a management device that is set differently. In that case, the administrator (idS / passS) managing the authentication information collects the authentication information from the transmission device set differently from the input unit 10 of the control terminal 1-1, and obtains the authentication information of the management device. Output instructions to update. Upon receiving this instruction, the communication unit of the management device makes a matching request (transmission device → management device) to the authentication unit, and the authentication unit of the management device specifies the specified transmission device (for example, a large capacity unit 2a). Output a matching instruction to Upon receiving this instruction, the communication unit on the transmission device 2a side makes a request for collecting authentication information to the authentication unit on the transmission device 2a side, and the authentication unit on the transmission device side sends the record of the authentication information DB to the communication unit. To the management device. The management device that has received the authentication information notifies the authentication unit of the management device of the authentication information, and the authentication unit of the management device sets the authentication information in the authentication information record of the authentication information DB 33 (authentication information record ( 1), (2)). The authentication unit of the management device notifies the setting result to the control terminal via the communication unit. From the result, the administrator confirms that the authentication information is consistent and there is no problem in security operation. In this way, it is possible to perform various security modes with stable operation for network operation management such as multi-access between the management device and each transmission device.

(付記1) 複数のネットワーク単位を構成する複数の伝送装置により構成されるネットワークシステムの管理方式において,前記各伝送装置はそれぞれ,前記ネットワークシステムに接続された制御端末から管理者の操作により発生する認証情報及び制御情報を受け取ると,前記認証情報についてチェックを行う認証部と,各管理者に割り当てられた認証情報とそれぞれに対して制御対象が設定された認証情報データベースとを備え,前記認証部は,前記受け取った認証情報及び制御情報について前記認証情報データベースの内容に適合すると判別されると前記制御情報による制御を実行するよう制御部に指示することを特徴とするネットワークシステムの管理方式。   (Supplementary Note 1) In a network system management system configured by a plurality of transmission devices constituting a plurality of network units, each of the transmission devices is generated by an operation of an administrator from a control terminal connected to the network system. An authentication unit for checking the authentication information upon receipt of the authentication information and the control information; an authentication information database in which a control object is set for each of the authentication information assigned to each administrator; The network system management method, wherein if it is determined that the received authentication information and control information match the contents of the authentication information database, the control unit is instructed to execute control based on the control information.

(付記2) 付記1において,前記認証情報データベースの各管理者に割り当てられた認証情報に対して設定された制御対象として,制御個所及びその制御個所に対して実行可能な制御種別とが設定されることを特徴とするネットワークシステムの管理方式。   (Supplementary Note 2) In Supplementary Note 1, as a control object set for authentication information assigned to each administrator of the authentication information database, a control location and a control type executable for the control location are set. A network system management method characterized by that.

(付記3) 付記1において,前記認証情報データベースの各管理者に割り当てられた認証情報に対応する制御対象として複数のネットワークの中の一つのネットワーク,そのネットワーク内の特定の伝送装置,及び該伝送装置内の特定の機構について設定し,同一の制御対象について複数の管理者からのアクセスを可能とすることを特徴とするネットワークシステムの管理方式。   (Additional remark 3) In additional remark 1, one network in a some network as a control object corresponding to the authentication information allocated to each administrator of the said authentication information database, the specific transmission apparatus in the network, and this transmission A management method for a network system in which a specific mechanism in a device is set and multiple administrators can access the same control target.

(付記4) 付記1において,前記認証情報データベースは,各認証情報に対してグループ番号を設定した認証情報テーブルと,各グループに対して制御可能な制御個所が複数個設定されたグループテーブルとで構成し,グループ単位でセキュリティの確保を行うことを特徴とするネットワークシステムの管理方式。   (Supplementary Note 4) In Supplementary Note 1, the authentication information database includes an authentication information table in which a group number is set for each authentication information, and a group table in which a plurality of control points that can be controlled for each group are set. A network system management method that is configured to ensure security on a group basis.

(付記5) 付記1において,前記認証情報データベースは,各認証情報に対して管理の階層番号が設定された認証情報テーブルと,各階層番号に対して制御可能な制御個所とそれぞれの親階層番号が設定された階層テーブルとで構成し,親階層でのセキュリティを配下の階層に引き継ぐことにより階層的なセキュリティの確保を行うことを特徴とするネットワークシステムの管理方式。   (Supplementary Note 5) In Supplementary Note 1, the authentication information database includes an authentication information table in which a management hierarchy number is set for each authentication information, a control location that can be controlled for each hierarchy number, and each parent hierarchy number. A network system management method that consists of a hierarchy table set to, and secures hierarchical security by taking over the security in the parent hierarchy to the subordinate hierarchy.

(付記6) 付記1において,伝送装置全体から各構成要素までの階層にランク付けし,前記認証情報データベースは,各認証情報に対応してランク番号が設定された認証情報データベースと,各制御個所に対して指定されたランク番号が設定されたランク情報テーブルとを備え,制御端末から受け取った認証情報から,前記認証情報データベースからランク番号を検出し,前記ランク情報テーブルから前記制御端末から受け取った制御情報の制御が可能か判定して,制御可能な場合だけ前記制御部による制御を行うことを特徴とするネットワークシステムの管理方式。   (Additional remark 6) In Additional remark 1, it ranks to the hierarchy from the whole transmission apparatus to each component, and the said authentication information database is the authentication information database in which the rank number was set corresponding to each authentication information, and each control location. And a rank information table in which the rank number specified for is set, and from the authentication information received from the control terminal, the rank number is detected from the authentication information database and received from the control terminal from the rank information table A network system management method characterized by determining whether control information is controllable and performing control by the control unit only when control is possible.

(付記7) 付記1において,前記認証情報データベースは,各認証情報に対して制御ランクを設定した認証情報テーブルと,各制御ランクに対して実行可能な制御種別を設定した制御種別テーブルとを備え,制御端末から認証情報と制御種別を含む制御情報を受け取ると,前記認証情報テーブルにより制御ランクを判別し,前記制御種別テーブルを参照して,前記受け取った制御種別の制御を実行できるか判別することを特徴とするネットワークシステムの管理方式。   (Supplementary note 7) In Supplementary note 1, the authentication information database includes an authentication information table in which a control rank is set for each authentication information, and a control type table in which a control type executable for each control rank is set. When control information including authentication information and control type is received from the control terminal, the control rank is determined by the authentication information table, and it is determined by referring to the control type table whether the control of the received control type can be executed. A network system management method characterized by the above.

(付記8) 複数のネットワーク単位を構成する複数の伝送装置とネットワークの各伝送装置を管理する管理装置により構成されるネットワークシステムの管理方式において,前記管理装置は,前記ネットワークシステムに接続された制御端末から管理者の操作により発生する認証情報及び伝送装置を指定した制御情報を受け取ると,前記認証情報についてチェックを行う認証部と,各管理者に割り当てられた認証情報とそれぞれに対して制御対象が設定された認証情報データベースとを備え,前記認証部は,前記受け取った認証情報及び制御情報について前記認証情報データベースの内容に適合すると判別されると前記制御情報による制御を指定された伝送装置に対して実行するよう制御部に指示することを特徴とするネットワークシステムの管理方式。   (Supplementary note 8) In a network system management system comprising a plurality of transmission devices constituting a plurality of network units and a management device for managing each transmission device of the network, the management device is connected to the network system. When authentication information generated by an operation of an administrator and control information specifying a transmission device is received from a terminal, an authentication unit that checks the authentication information and an authentication information assigned to each administrator and a control target for each And the authentication unit determines that the received authentication information and control information conforms to the contents of the authentication information database and controls the transmission apparatus designated by the control information. A network system characterized by instructing the control unit to execute Management scheme.

(付記9) 付記8において,前記請求項2乃至7の何れか一つの認証情報データベースを備え,前記認証部において前記認証情報データベースにより認証を行って,受け取った制御が可能か判別することを特徴とするネットワークシステムの管理方式。   (Supplementary note 9) The supplementary note 8, wherein the authentication information database according to any one of claims 2 to 7 is provided, and the authentication unit performs authentication using the authentication information database to determine whether the received control is possible. Network system management method.

(付記10) 付記8において,前記複数の伝送装置はそれぞれ,前記ネットワークに接続された制御端末から管理者の操作により発生する認証情報及び制御情報を受け取ると,前記認証情報についてチェックを行う認証部と,各管理者に割り当てられた認証情報とそれぞれに対して制御対象が設定された認証情報データベースとを備え,前記管理装置または各伝送装置の何れか一つに対して前記制御端末から管理者の操作により発生する認証情報及び制御情報を出力し,指定された前記管理装置または各伝送装置の何れか一つは,受け取った認証情報及び制御情報について自装置に備える認証情報データベースの内容に適合するか判別して,適合する前記制御情報による制御を実行するよう制御部に指示することを特徴とするネットワークシステムの管理方式。   (Supplementary note 10) In Supplementary note 8, each of the plurality of transmission devices receives authentication information and control information generated by an operation of an administrator from a control terminal connected to the network, and performs authentication on the authentication information. And an authentication information database in which a control object is set for each of the authentication information assigned to each administrator, and the administrator from the control terminal to any one of the management device or each transmission device. The authentication information and control information generated by the operation is output, and either one of the specified management device or each transmission device conforms to the contents of the authentication information database provided in the own device for the received authentication information and control information. Determining whether to perform the control, and instructing the control unit to execute control based on the matching control information Management system of the stem.

本発明の第1の原理構成を示す図である。It is a figure which shows the 1st principle structure of this invention. 本発明の第2の原理構成を示す図である。It is a figure which shows the 2nd principle structure of this invention. 伝送装置で認証を行う場合のネットワークの構成例を示す図である。It is a figure which shows the structural example of the network in the case of authenticating with a transmission apparatus. 図3の構成における伝送装置を中心とする実施例の構成を示す図である。It is a figure which shows the structure of the Example centering on the transmission apparatus in the structure of FIG. グループ管理を利用した認証を行う実施例の構成を示す図である。It is a figure which shows the structure of the Example which performs the authentication using group management. 認証情報のレコードを階層的に構成して認証を行う実施例の構成を示す図である。It is a figure which shows the structure of the Example which authenticates by comprising the record of authentication information hierarchically. 管理者をランク付けて認証を行う実施例の構成を示す図である。It is a figure which shows the structure of the Example which ranks an administrator and authenticates. 制御内容をランク付けて認証を行う実施例の構成を示す図である。It is a figure which shows the structure of the Example which ranks a control content and authenticates. 管理装置で認証を行う場合のネットワークの構成例を示す図である。It is a figure which shows the structural example of the network in the case of authenticating with a management apparatus. 図9の構成における管理装置と伝送装置を中心とする実施例の構成を示す図である。It is a figure which shows the structure of the Example centering on the management apparatus and transmission apparatus in the structure of FIG. 伝送装置と管理装置の両方に認証機能を設けたネットワークの構成例を示す図である。It is a figure which shows the structural example of the network which provided the authentication function in both the transmission apparatus and the management apparatus. 本発明の対象となるネットワークシステムの構成例を示す図である。It is a figure which shows the structural example of the network system used as the object of this invention. 従来のネットワーク認証方式1を示す図である。It is a figure which shows the conventional network authentication system 1. FIG. 従来のネットワーク認証方式2を示す図である。It is a figure which shows the conventional network authentication system 2. FIG. 従来のネットワーク認証方式3を示す図である。It is a figure which shows the conventional network authentication system 3. FIG.

符号の説明Explanation of symbols

1 制御端末
10 入力部
11 認証情報付き制御指示
2 伝送装置
20 通信部
21 制御部
22 認証部
23 認証情報データベース(DB)
24 設定部
25 制御対象部 DESCRIPTION OF SYMBOLS 1 Control terminal 10 Input part 11 Control instruction with authentication information 2 Transmission apparatus 20 Communication part 21 Control part 22 Authentication part 23 Authentication information database (DB)
24 Setting part 25 Control object part

Claims (5)

複数のネットワーク単位を構成する複数の伝送装置により構成されるネットワークシステムの管理方式において,
前記各伝送装置はそれぞれ,前記ネットワークシステムに接続された制御端末から管理者の操作により発生する認証情報及び制御情報を受け取ると,前記認証情報についてチェックを行う認証部と,各管理者に割り当てられた認証情報とそれぞれに対して制御対象が設定された認証情報データベースとを備え,
前記認証部は,前記受け取った認証情報及び制御情報について前記認証情報データベースの内容に適合すると判別されると前記制御情報による制御を実行するよう制御部に指示することを特徴とするネットワークシステムの管理方式。 In a network system management method composed of a plurality of transmission devices constituting a plurality of network units,
Each transmission device receives an authentication information and control information generated by an administrator's operation from a control terminal connected to the network system, and is assigned to an authentication unit for checking the authentication information and to each administrator. Authentication information and an authentication information database in which a control target is set for each,
The authentication unit instructs the control unit to execute control based on the control information when it is determined that the received authentication information and control information match the contents of the authentication information database. method. 請求項1において,
前記認証情報データベースの各管理者に割り当てられた認証情報に対して設定された制御対象として,制御個所及びその制御個所に対して実行可能な制御種別とが設定されることを特徴とするネットワークシステムの管理方式。 In claim 1,
A control system and a control type executable for the control location are set as control targets set for the authentication information assigned to each administrator of the authentication information database. Management method. 請求項1において,
前記認証情報データベースの各管理者に割り当てられた認証情報に対応する制御対象として複数のネットワークの中の一つのネットワーク,そのネットワーク内の特定の伝送装置,及び該伝送装置内の特定の機構について設定し,同一の制御対象について複数の管理者からのアクセスを可能とすることを特徴とするネットワークシステムの管理方式。 In claim 1,
Set as one of a plurality of networks, a specific transmission device in the network, and a specific mechanism in the transmission device as a control target corresponding to the authentication information assigned to each administrator of the authentication information database However, the network system management method is characterized in that the same control target can be accessed by a plurality of administrators. 複数のネットワーク単位を構成する複数の伝送装置とネットワークの各伝送装置を管理する管理装置により構成されるネットワークシステムの管理方式において,
前記管理装置は,前記ネットワークシステムに接続された制御端末から管理者の操作により発生する認証情報及び伝送装置を指定した制御情報を受け取ると,前記認証情報についてチェックを行う認証部と,各管理者に割り当てられた認証情報とそれぞれに対して制御対象が設定された認証情報データベースとを備え,
前記認証部は,前記受け取った認証情報及び制御情報について前記認証情報データベースの内容に適合すると判別されると前記制御情報による制御を指定された伝送装置に対して実行するよう制御部に指示することを特徴とするネットワークシステムの管理方式。 In the management system of a network system comprising a plurality of transmission devices constituting a plurality of network units and a management device for managing each transmission device of the network,
When the management device receives authentication information generated by an administrator's operation and control information designating the transmission device from a control terminal connected to the network system, an authentication unit that checks the authentication information, and each administrator And an authentication information database in which a control object is set for each,
If it is determined that the received authentication information and control information match the contents of the authentication information database, the authentication unit instructs the control unit to execute control based on the control information with respect to a designated transmission apparatus. A management method for network systems. 請求項4において,
前記複数の伝送装置はそれぞれ,前記ネットワークシステムに接続された制御端末から管理者の操作により発生する認証情報及び制御情報を受け取ると,前記認証情報についてチェックを行う認証部と,各管理者に割り当てられた認証情報とそれぞれに対して制御対象が設定された認証情報データベースとを備え,
前記管理装置または各伝送装置の何れか一つに対して前記制御端末から管理者の操作により発生する認証情報及び制御情報を出力し,指定された前記管理装置または各伝送装置の何れか一つは,受け取った認証情報及び制御情報について自装置に備える認証情報データベースの内容に適合するか判別して,適合する前記制御情報による制御を実行するよう制御部に指示することを特徴とするネットワークシステムの管理方式。 In claim 4,
Each of the plurality of transmission devices receives an authentication information and control information generated by an administrator's operation from a control terminal connected to the network system, and assigns an authentication unit that checks the authentication information to each administrator. Authentication information and an authentication information database in which a control target is set for each.
Authentication information and control information generated by an operation of an administrator is output from the control terminal to any one of the management device or each transmission device, and any one of the designated management device or each transmission device Determines whether the received authentication information and control information conforms to the contents of the authentication information database provided in its own apparatus, and instructs the control unit to execute control based on the conforming control information. Management method.
JP2003287392A 2003-08-06 2003-08-06 Network system transmission device and management device Expired - Fee Related JP4481604B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2003287392A JP4481604B2 (en) 2003-08-06 2003-08-06 Network system transmission device and management device

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2003287392A JP4481604B2 (en) 2003-08-06 2003-08-06 Network system transmission device and management device

Publications (2)

Publication Number Publication Date
JP2005056219A true JP2005056219A (en) 2005-03-03
JP4481604B2 JP4481604B2 (en) 2010-06-16

Family

ID=34366381

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2003287392A Expired - Fee Related JP4481604B2 (en) 2003-08-06 2003-08-06 Network system transmission device and management device

Country Status (1)

Country Link
JP (1) JP4481604B2 (en)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007074682A (en) * 2005-09-09 2007-03-22 Fujitsu Ltd Network relay method and apparatus
JP2007251291A (en) * 2006-03-14 2007-09-27 Fujitsu Ltd Communication system
JP2008065662A (en) * 2006-09-08 2008-03-21 Pfu Ltd System account management apparatus
JP2008123063A (en) * 2006-11-08 2008-05-29 Chugoku Electric Power Co Inc:The Supervisory control system and method
WO2014148575A1 (en) * 2013-03-22 2014-09-25 京セラ株式会社 Consumer device, control apparatus, and control method

Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH0916523A (en) * 1995-06-30 1997-01-17 Fujitsu Ltd Security check system
JPH1028144A (en) * 1996-07-12 1998-01-27 Hitachi Ltd System for constituting network with access control function
JPH11163861A (en) * 1997-08-27 1999-06-18 Northern Telecom Ltd Architecture of management system helping reuse and its constructing method
WO2000060829A1 (en) * 1999-04-05 2000-10-12 Fujitsu Limited Method and apparatus for protecting maintenance system of transmission device against illegal login
JP2001243194A (en) * 2000-02-25 2001-09-07 Nippon Telegr & Teleph Corp <Ntt> Method and device for providing customer network management service
JP2002140235A (en) * 2000-11-02 2002-05-17 Nippon Telegr & Teleph Corp <Ntt> Access control method and device therefor, and recording medium for its program
JP2003015972A (en) * 2001-06-27 2003-01-17 Hitachi Ltd System management device and system management method
JP2003069595A (en) * 2001-08-24 2003-03-07 Sanyo Electric Co Ltd Access control system
JP2003122650A (en) * 2001-10-15 2003-04-25 Matsushita Electric Ind Co Ltd Network managing system

Patent Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH0916523A (en) * 1995-06-30 1997-01-17 Fujitsu Ltd Security check system
JPH1028144A (en) * 1996-07-12 1998-01-27 Hitachi Ltd System for constituting network with access control function
JPH11163861A (en) * 1997-08-27 1999-06-18 Northern Telecom Ltd Architecture of management system helping reuse and its constructing method
WO2000060829A1 (en) * 1999-04-05 2000-10-12 Fujitsu Limited Method and apparatus for protecting maintenance system of transmission device against illegal login
JP2001243194A (en) * 2000-02-25 2001-09-07 Nippon Telegr & Teleph Corp <Ntt> Method and device for providing customer network management service
JP2002140235A (en) * 2000-11-02 2002-05-17 Nippon Telegr & Teleph Corp <Ntt> Access control method and device therefor, and recording medium for its program
JP2003015972A (en) * 2001-06-27 2003-01-17 Hitachi Ltd System management device and system management method
JP2003069595A (en) * 2001-08-24 2003-03-07 Sanyo Electric Co Ltd Access control system
JP2003122650A (en) * 2001-10-15 2003-04-25 Matsushita Electric Ind Co Ltd Network managing system

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007074682A (en) * 2005-09-09 2007-03-22 Fujitsu Ltd Network relay method and apparatus
JP2007251291A (en) * 2006-03-14 2007-09-27 Fujitsu Ltd Communication system
JP4592623B2 (en) * 2006-03-14 2010-12-01 富士通株式会社 Communications system
JP2008065662A (en) * 2006-09-08 2008-03-21 Pfu Ltd System account management apparatus
JP2008123063A (en) * 2006-11-08 2008-05-29 Chugoku Electric Power Co Inc:The Supervisory control system and method
WO2014148575A1 (en) * 2013-03-22 2014-09-25 京セラ株式会社 Consumer device, control apparatus, and control method
JP2014187749A (en) * 2013-03-22 2014-10-02 Kyocera Corp Control system, apparatus, control device, and control method

Also Published As

Publication number Publication date
JP4481604B2 (en) 2010-06-16

Similar Documents

Publication Publication Date Title
WO2018095416A1 (en) Information processing method, device and system
US7343410B2 (en) Automated creation of application data paths in storage area networks
JP4692251B2 (en) Computer system providing access and management method thereof
US8533814B2 (en) Networked physical security access control system and method
US7693970B2 (en) Secured shared storage architecture
US20050234941A1 (en) Managing method for storage subsystem
CN100382508C (en) Apparatus, system, and method for a configuring a network feature for a network fabric
US8566459B2 (en) Systems and methods for integrated console management interface
US20080178184A1 (en) Concurrent web based multi-task support for control management system
EP1168752A1 (en) Access control in client-sever systems
JP2008160803A (en) Access control system
WO2006102515A1 (en) Security control verification and monitoring subsystem for use in a computer information database system
WO2005022367A1 (en) System and method for managing access entitlements in a computing network
CN102113273A (en) Selectively re-mapping network topology
US7657945B2 (en) Systems and arrangements to adjust resource accessibility based upon usage modes
CN101116069B (en) Zone based quality of service in a fibre channel fabric
US20160316497A1 (en) Method and System for Self-discovery and Management of Wireless Security Devices
US20060259955A1 (en) Attribute-based allocation of resources to security domains
JP2020042821A (en) Technique for secured partitioning of optical transmission system to provide multi-client management access and network management system implementing the same
CN113542033B (en) Many-to-many mapping method and system for alliance chain foundation establishment and management platform
WO2012053243A1 (en) Virtual server management device
JP4481604B2 (en) Network system transmission device and management device
KR102206847B1 (en) System and method for hybrid security
Romanov et al. Principles of building modular control plane in software-defined network
CN100362804C (en) Method and system for realizing area management over sub network

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20051209

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20090216

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20090224

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20090427

RD03 Notification of appointment of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7423

Effective date: 20090427

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20090427

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20090901

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20091026

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20100316

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20100318

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130326

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140326

Year of fee payment: 4

LAPS Cancellation because of no payment of annual fees