JP2006343886A - Network management system - Google Patents
Network management system Download PDFInfo
- Publication number
- JP2006343886A JP2006343886A JP2005167587A JP2005167587A JP2006343886A JP 2006343886 A JP2006343886 A JP 2006343886A JP 2005167587 A JP2005167587 A JP 2005167587A JP 2005167587 A JP2005167587 A JP 2005167587A JP 2006343886 A JP2006343886 A JP 2006343886A
- Authority
- JP
- Japan
- Prior art keywords
- user
- authentication
- network
- network management
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
Description
本発明は、高度セキュリティレベル領域の入退室管理及び高度セキュリティレベル領域における情報管理に関し、詳しくは、入退室管理を担う入退室管理装置と情報管理を担うネットワーク管理装置とを連携させたネットワーク管理システムに関する。 The present invention relates to entrance / exit management in an advanced security level area and information management in an advanced security level area, and more particularly, a network management system in which an entrance / exit management apparatus responsible for entrance / exit management and a network management apparatus responsible for information management are linked. About.
機密情報を扱うことの多い企業や、企業内の特定の部署などでは、機密情報を扱う従事者の入退室を管理する入退室管理システムを適用することで、機密情報の漏洩を事前に防止するようにしている。 In companies that frequently handle confidential information or specific departments within the company, leakage of confidential information can be prevented in advance by applying an entry / exit management system that manages entry / exit of workers who handle confidential information. I am doing so.
一般に入退室管理システムは、ユーザに与えられたIC(Integrated Circuit)カードに組み込まれたユーザID(IDentification)や、生体情報(指紋、虹彩、声紋など)といった、ユーザを一意に特定する情報を用いて入退室管理用のホストコンピュータにより個人認証を行い、登録された正当なユーザであることが認証された場合に、施錠された入退室用のドアを解錠することで、機密情報を扱う高度セキュリティレベル領域内への入室を許可する、というような管理を行っている。 Generally, an entrance / exit management system uses information that uniquely identifies a user, such as a user ID (IDentification) incorporated in an IC (Integrated Circuit) card given to the user, or biometric information (fingerprint, iris, voiceprint, etc.). Advanced authentication that handles confidential information by unlocking the locked door for entry / exit when personal authentication is performed by the host computer for entrance / exit management and it is authenticated that the user is a registered valid user. Management such as permitting entry into the security level area.
ところで、上述した機密情報は、入退室管理システムとは別のネットワークにて構築された機密情報管理システムによって管理がなされており、入退室管理がなされている領域内に設置された情報端末装置から機密情報管理用のホストコンピュータへのアクセスに応じて利用可能となる。この機密情報管理用のホストコンピュータへアクセスする場合には、上述した入退室管理システムにおける個人認証と同様の認証処理が要求されることになる。 By the way, the above-described confidential information is managed by a confidential information management system constructed on a network different from the entrance / exit management system, and from an information terminal device installed in an area where entrance / exit management is performed. It can be used according to access to the host computer for confidential information management. When accessing the host computer for managing confidential information, an authentication process similar to the personal authentication in the above-described entry / exit management system is required.
そこで、このような入退室管理システムと、機密情報管理システムとの連携が求められており、機密情報を扱う領域内への入退室時の認証処理と、入室後の情報端末装置の使用開始時の認証処理とを関連付ける手法が考案されている(例えば、特許文献1、特許文献2参照。)。
Therefore, cooperation between such an entrance / exit management system and a confidential information management system is required, and authentication processing at the time of entering / exiting an area where confidential information is handled and at the start of use of the information terminal device after entering the room A method for associating with the authentication process of the above has been devised (see, for example,
また、特許文献1、特許文献2で考慮されていなかった、入室してから情報端末装置へログオンするまでの時間経過によって生ずる問題への対処、退室時における情報端末装置のログオフ忘れへの対処を実現する手法も考案されている(例えば、特許文献3参照。)。
ところで、最近では、個人情報保護法の法制度化等に代表されるように、セキュリティに対する関心がますます高まっている。このような背景を受けて、入退室管理システムは、上述した機密情報管理システムとの連携などを始め、その規模をより大きなものとしつつある。 By the way, recently, as represented by the legal system of the Personal Information Protection Law, interest in security is increasing more and more. In response to such a background, the entrance / exit management system is starting to cooperate with the above-described confidential information management system and the like, and its scale is becoming larger.
従来は、特定の一つの入退室扉からのみ、入退室を行うようにすれば十分であったが、近年では、大規模オフィスなどに合わせて、入退室扉を複数設けることがある。そして、一つの部屋内でも複数の部署が共存するような場合も想定され、そのような場合には部屋ごとの管理では不十分であることから、部署、或いは区画ごとのアクセス管理をどのように行うかということが問題となっていた。しかしながら、上述した特許文献1乃至3に開示された発明では、何れも複数の区画それぞれに対して別個にアクセス管理を行うことができないという問題があった。
Conventionally, it has been sufficient to enter / exit only from one specific entrance / exit door, but in recent years, a plurality of entrance / exit doors may be provided in accordance with a large-scale office or the like. Also, it is assumed that multiple departments coexist in one room. In such a case, it is not enough to manage each room. The question was whether to do it. However, the inventions disclosed in
本発明は、上述したような問題を解決するために提案されたものであり、複数の入退室扉で隔てられた高度セキュリティレベル領域において、指定された特定の部署、或いは区間にてネットワークの利用がなされるように、ユーザのアクセスを管理することができるネットワーク管理システムを提供することを目的とする。 The present invention has been proposed to solve the above-described problems, and uses a network in a specified specific department or section in a high security level area separated by a plurality of entrance / exit doors. It is an object of the present invention to provide a network management system capable of managing user access so that
本発明のネットワーク管理システムは、ユーザを一意に特定する第1の被認証情報に基づいた認証処理結果に応じて、高度セキュリティレベル領域の入退室を管理する入退室管理装置と、 前記高度セキュリティレベル領域に構築されたネットワークに対し、前記ユーザを一意に特定する第2の被認証情報に基づいた認証処理結果に応じて、アクセス制限をするネットワーク管理装置とを備え、前記入退室管理装置は、前記第1の被認証情報に基づいた認証処理結果に応じて、前記ユーザが、前記高度セキュリティレベル領域を隔てる複数の入退室扉のうち何れかの入退室扉を介して、前記高度セキュリティレベル領域へ入室したことに応じて、前記入退室扉を一意に特定する入退室扉識別情報及び前記第1の被認証情報を前記ネットワーク管理装置に送信する送信手段を有し、前記ネットワーク管理装置は、送信された前記入退室扉識別情報で特定される入退室扉が、前記第1の被認証情報で特定される前記ユーザが通過することを許可された入退室扉であった場合に、前記第2の被認証情報に基づく認証処理を実行するよう制御する制御手段を有することにより、上述の課題を解決する。 The network management system of the present invention includes an entrance / exit management device that manages entrance / exit in an advanced security level area according to an authentication processing result based on first authenticated information that uniquely identifies a user, and the advanced security level A network management device that restricts access to a network constructed in a region according to an authentication processing result based on second authenticated information that uniquely identifies the user; In accordance with the authentication processing result based on the first authenticated information, the user can enter the advanced security level area through any of the plurality of entry / exit doors separating the advanced security level area. The entrance / exit door identification information for uniquely specifying the entrance / exit door and the first authenticated information are sent to the network The network management device has a transmission means for transmitting to the management device, and the network management device passes the entry / exit door specified by the transmitted entrance / exit door identification information through the user specified by the first authenticated information. The above-described problem is solved by having a control unit that controls to execute an authentication process based on the second authenticated information when the entry / exit door is permitted to do.
本発明のネットワーク管理システムは、第1の被認証情報の認証処理結果に応じて、入退室管理装置から送信される入退室扉識別情報を用い、高度セキュリティレベル領域へ入室したユーザが通過することを許可されている扉であるかどうか判定し、判定結果に応じて第2の認証情報を用いたネットワークへの認証処理を実行する。 In the network management system of the present invention, a user who has entered the advanced security level area passes through the entrance / exit door identification information transmitted from the entrance / exit management device according to the authentication processing result of the first authenticated information. Whether or not the door is permitted, and an authentication process to the network using the second authentication information is executed according to the determination result.
これにより、高度セキュリティレベル領域の入室口である入退室扉までをユーザ毎に規定してユーザの正当性を判定し、その後ネットワークへの認証処理を実行するため、入退室管理装置とネットワーク認証システムとを簡便な手法にて強固に連携することができると共に、高度セキュリティレベル領域内でネットワークへアクセスするユーザの管理を厳密に行うことができる。 As a result, the entry / exit management device and the network authentication system are provided for determining the validity of each user by defining the entry / exit door, which is the entrance of the advanced security level area, for each user, and then executing authentication processing to the network Can be firmly linked by a simple method, and users who access the network can be strictly managed within a high security level area.
したがって、本発明のネットワーク管理システムは、複数の入退室扉によって隔てられた高度セキュリティ領域において、あらかじめ許可された入退室扉に対応付けられた特定の部署、或いは区画からのみネットワークへのアクセスがなされるようにユーザのアクセス管理を行うことが可能となる。 Therefore, in the network management system of the present invention, in a high security area separated by a plurality of entrance / exit doors, the network is accessed only from a specific department or section associated with the entrance / exit doors permitted in advance. Thus, it becomes possible to perform user access management.
以下、本発明の実施の形態について図面を参照して説明する。 Hereinafter, embodiments of the present invention will be described with reference to the drawings.
[第1の実施形態]
まず、図1を用いて、本発明の第1の実施の形態として示すネットワーク管理システムについて説明をする。図1に示すように、ネットワーク管理システムは、セキュリティレベルの低い領域(低度セキュリティレベル領域)と、例えば、機密情報などを扱うセキュリティレベルの高い領域(高度セキュリティレベル領域)との間の入退室を管理する複数の入退室管理装置10n(nは、自然数)と、高度セキュリティレベル領域内に構築されたネットワーク認証システム20とを備えている。
[First Embodiment]
First, the network management system shown as the first embodiment of the present invention will be described with reference to FIG. As shown in FIG. 1, the network management system enters and exits between a low security level area (low security level area) and a high security level area (high security level area) that handles, for example, confidential information. A plurality of entrance / exit management devices 10 n (where n is a natural number) and a
入退室管理装置10nは、高度セキュリティレベル領域への入室を希望するユーザ全てに対して、あらかじめ登録された正当なユーザのみを認証して上記領域への入室を許可する。
The entrance /
一方、退室の際は、上記領域内にいるユーザは一度認証を受けた正当なユーザであると考えられるため自由に退室できる。なお、任意ではあるが、同様にして、高度セキュリティレベル領域から退室を希望するユーザ全てに対して認証処理を行い、上記領域からの退室を許可するようにしても良い。 On the other hand, when leaving the room, it is considered that the user in the above-mentioned area is a legitimate user who has been authenticated once. In addition, although it is optional, authentication processing may be performed for all users who wish to leave the high security level area, and the user may be allowed to leave the area.
そして、このような入退室を可能とするため、低度セキュリティレベル領域と、高度セキュリティレベル領域とは、電気的な作用により施錠、解錠することができる電気錠を備える扉(ドア)によって隔てられている。 In order to enable such entry / exit, the low security level area and the high security level area are separated by a door provided with an electric lock that can be locked and unlocked by an electric action. It has been.
具体的には、入退室管理装置10nは、高度セキュリティレベル領域外に設けられた図示しない入室用カードリーダにより、ユーザが所有する、例えば非接触のICカード(Integrated Circuit)の半導体メモリ内に格納された情報を読み取り、読み取った情報のうちの被認証情報であるカードIDに基づき正当なユーザであると認証された場合に、施錠されていた電気錠を解錠することで、高度セキュリティレベル領域への入室を許可する。
Specifically, the entrance /
また、入退室管理装置10nは、高度セキュリティレベル領域からの退室時にも認証を行う場合は、高度セキュリティレベル領域内に設けられた図示しない退室用カードリーダにより、ICカードの上述した情報を読み取り、正当なユーザであると認証された場合に、施錠されていた電気錠を解錠することで、高度セキュリティレベル領域からの退室を許可する。
Further, in the case where authentication is performed even when leaving the high security level area, the entrance /
入退室管理装置10nは、このような認証処理により、施錠された電気錠を解錠する場合には、ユーザが所有するICカードに格納された情報のうち、ICカードを一意に特定する被認証情報であるカードIDと、解錠した扉を一意に特定する固有の扉IDとを、後述するネットワーク認証システム20が備える認証サーバ40に送信する。
When the unlocked electric lock is unlocked by such an authentication process, the entrance /
ネットワーク認証システム20は、高度セキュリティレベル領域内に構築されネットワーク21への端末装置30nからの接続を、認証装置50n、認証サーバ40による認証処理に応じて許可する。つまり、ネットワーク認証システム20の認証装置50n、認証サーバ40は、ネットワーク21を管理するネットワーク管理装置として機能している。
The
高度セキュリティレベル領域に構築されているネットワーク21は、単純に一つのネットワークからのみ構成されることを意味するだけでなく、複数のネットワークで構成したり、同一のネットワーク内で複数の区画に分割したりして構成されている場合もある。
The
ネットワーク認証システム20としては、例えば、IEEE(米国電気電子技術者協会)802.1Xで策定されたLAN(Local Area Network)スイッチや無線LANアクセス・ポイントに接続するユーザを認証する技術を適用することができる。なお、説明のため本発明の実施の形態においては、IEEE802.1Xに基づいた記載とするが、本発明は、これに限定されるものではなく、IEEE802.1X以外のネットワーク認証技術を適用した場合でも十分、効果を発揮することができる。
As the
端末装置30nは、高度セキュリティレベル領域に入室したユーザによって使用可能な、いわゆるPC(Personal Computer)であり、認証装置50n、認証サーバ40と情報のやり取りをし、ネットワーク21への接続を要求するための認証クライアント・ソフトウェアを保持している。
The
認証サーバ40は、ユーザ情報記憶部41と、接続判断部42とを備え、認証装置50nを介して端末装置30nの認証処理を行い、認証処理結果に応じてネットワーク21への接続の可否を通知する。
The
また、認証サーバ40は、入退室管理装置10nで管理される高度セキュリティレベル領域に入室するユーザと、高度セキュリティレベル領域に入室し端末装置30nからネットワーク21に接続要求をするユーザと区別することなく一元管理することができる。
Further, the
ユーザ情報記憶部41は、あらかじめ登録されたユーザが保持しているICカードのカードID、ユーザをネットワーク21上において一意に特定するための被認証情報であるアカウントIDとアカウントIDに対応するパスワード、そしてユーザが入退室することが許されている扉を一意に特定する扉IDなどをユーザ情報として保持している。なお、ユーザ情報は、そのICカードを利用することができるユーザや、ユーザが属するグループを示すユーザグループを含んでも良いものである。また、認証サーバ40によるユーザ認証がなされていない初期状態において、ユーザ情報記憶部41に登録されているユーザ情報のエントリは全て無効となっている。
The user
接続判断部42は、端末装置30nからなされる認証依頼に応じて、ユーザ情報記憶部41を参照し、対象となるユーザの接続可否を判断する。
The
認証装置50nは、複数の端末装置30nに対して有線又は無線で接続され、認証サーバ40と、端末装置30nとの認証処理を中継する中継装置として機能する。認証装置50nは、例えば、IEEE802.1Xに対応した無線LANアクセス・ポイントやLANスイッチなどであり、EAP(Extensible Authentication Protocol)を使った認証処理により、認証サーバ40と連携してポート毎に端末装置30nをネットワーク21へ接続したり切断したりする。
The
(第1の実施の形態:入室処理動作)
続いて、図2に示すタイミングチャートを用いて、第1の実施の形態として示すネットワーク管理システムの入室処理動作について説明をする。
(First embodiment: entrance processing operation)
Next, the room entry processing operation of the network management system shown as the first embodiment will be described using the timing chart shown in FIG.
ユーザは、低度セキュリティレベル領域から、ネットワーク21が構築されている高度セキュリティレベル領域へ、ある入退室管理装置10a(1≦a≦n)によって管理された扉から入室するとする。そして、高度セキュリティレベル領域内において、認証装置50aに接続された任意の端末装置30aを介してネットワーク21へ接続要求をするものとする。
It is assumed that the user enters the room from the door managed by a certain room entry / exit management device 10 a (1 ≦ a ≦ n) from the low security level area to the high security level area where the
まず、ユーザは、入退室管理装置10aの入室用カードリーダにICカードを翳す。これに応じて、入退室管理装置10aは、ICカードの半導体メモリに格納されている情報を読み取り、カードIDを認証して施錠された扉の電気錠を解錠する。
First, the user holds the IC card entering the card reader for the entry and
そして、入退室管理装置10aは、ICカードから読み取ったカードIDと、電気錠を解錠した扉を一意に特定する扉IDとを認証サーバ40に送信する(ステップS1)。
The
認証サーバ40は、入退室管理装置10aから送信されたカードIDを用いて、ユーザ情報記憶部41を参照し、このカードIDと対応付けられているユーザを特定する。そして、認証サーバ40は、同じく入退室管理装置10aから送信された扉IDを用いて、ユーザ情報記憶部41を参照し、特定されたユーザがネットワーク21へアクセスするために、高度セキュリティレベル領域へと入室する際に通過する扉であるのかどうかを確認する(ステップS2)。
The
認証サーバ40は、ユーザが通過した扉が、高度セキュリティレベル領域へと入室するのに正当な扉であった場合には、無効となっているユーザ情報記憶部41内のユーザ情報のエントリを有効化し(ステップS3)、正当な扉から入室していない場合はユーザ情報のエントリを無効のままにする(ステップS4)。
The
これに応じて、高度セキュリティレベル領域に入室したユーザは、端末装置30aから、認証装置50aを介して、IEEE802.1Xの手順に従い、認証情報を送信することでネットワーク21への接続を試みる。
In response to this, the user who has entered the high security level region, from the
以下の説明では、IEEE802.1Xで使用できるEAPのうち、主にイーサネット(登録商標)で用いられるEAP−MD5(EAP−Message Digest alogorithm5)、主に無線LANで用いられるPEAP(Protected-EAP)といった認証処理にユーザID(アカウントID)とパスワードとを入力することが要求されるEAPを使用する認証方式を想定する。 In the following description, among EAPs that can be used in IEEE802.1X, EAP-MD5 (EAP-Message Digest alogorithm5) mainly used in Ethernet (registered trademark), PEAP (Protected-EAP) mainly used in wireless LAN, etc. Assume an authentication method using EAP, which requires input of a user ID (account ID) and a password for authentication processing.
初期状態では、端末装置30nとネットワーク21との間の回線は、認証装置50aによって切断されているため、端末装置30aは、認証装置50aとの通信しか行うことができない。
In the initial state, since the line between the
まず、ユーザは、ネットワーク21に接続するために、端末装置30aからアカウントID及びパスワードを入力し認証装置50aへ送信する。認証装置50aに送信されたアカウントID及びパスワードは、認証サーバ40へと送信される(ステップS5)。
First, the user, in order to connect to the
接続判断部42は、送信されたアカウントIDをキーとして、ユーザ情報記憶部41に格納されている情報との照合処理を行う。まず、接続判断部42は、ユーザ情報記憶部41に格納された対象となるユーザのエントリが有効となっているかどうかを判断する(ステップS6)。エントリが有効となっていない場合は、不許可となる。
The
接続判断部42は、エントリが有効となっている場合、送信されたパスワードとユーザ情報記憶部41に格納さている対象となるユーザのパスワードとが一致するかどうか確認をする。接続判断部42は、パスワードが確認できた場合には、ネットワーク21への接続を許可して許可通知を認証装置50aに送信する(ステップS7)。パスワードが確認されなかった場合は不許可となる。
When the entry is valid, the
認証装置50aは、認証サーバ40から送信された許可通知を受け取ったことに応じて、端末装置30aとネットワーク21との回線を開放する(ステップS8)。これにより、ユーザは、端末装置30aを介して、ネットワーク21へアクセスすることができ、ネットワーク21上の他の端末装置との通信が可能となる。
The
上述したように、ネットワーク管理システムは、カードIDの認証処理結果に応じて、入退室管理装置10nから送信される扉IDを用いて、高度セキュリティレベル領域へ入室したユーザが通過することを許可されている扉であるかどうか判定され、判定結果に応じてネットワーク21への認証処理を実行することができる。
As described above, the network management system permits the user who has entered the advanced security level area to pass using the door ID transmitted from the entry /
このようにして、本発明の第1の実施の形態として示すネットワーク管理システムは、高度セキュリティレベル領域の入室口である扉までを規定してユーザの正当性を判定し、その後で、ネットワーク21への認証処理を実行するため、入退室管理装置10nとネットワーク認証システム20とを非常に簡便な手法にて強固に連携することができると共に、高度セキュリティレベル領域内でネットワークへアクセスするユーザの管理を厳密に行うことができる。
In this way, the network management system shown as the first embodiment of the present invention determines the user's legitimacy by defining up to the door that is the entrance to the high security level area, and then enters the
したがって、複数の入退室扉によって隔てられた高度セキュリティ領域において、あらかじめ許可された入退室扉に対応付けられた特定の部署、或いは区画からのみネットワークへのアクセスがなされるようにユーザのアクセス管理を行うことができる。 Therefore, in a high security area separated by a plurality of entrance / exit doors, user access management is performed so that access to the network can be made only from specific departments or sections associated with entrance / exit doors permitted in advance. It can be carried out.
[第2の実施の形態]
続いて、図3を用いて、本発明の第2の実施の形態として示すネットワーク管理システムについて説明をする。図3に示すように、第2の実施の形態として示すネットワーク管理システムは、図1に第1の実施の形態として示したネットワーク管理システムの認証サーバ40に、新たに在・不在情報記憶部43と、認証情報記憶部44と、ログ情報記憶部45とを備えた構成となっている。
[Second Embodiment]
Subsequently, a network management system shown as a second embodiment of the present invention will be described with reference to FIG. As shown in FIG. 3, the network management system shown as the second embodiment is newly added to the
したがって、図3に示す第2の実施の形態として示すネットワーク管理システムでは、図1に示す第1の実施の形態として示すネットワーク管理システムと相違する箇所のみを説明し、重複する箇所については説明を省略する。 Therefore, in the network management system shown as the second embodiment shown in FIG. 3, only the parts different from the network management system shown as the first embodiment shown in FIG. Omitted.
在・不在情報記憶部43には、高度セキュリティレベル領域における在室状況を示す在・不在情報が、カードIDに対応付けられて記憶される。
The presence / absence
認証情報記憶部44には、ユーザのネットワーク21での認証状況を示す認証情報が記憶される。例えば、在・不在情報記憶部43に記録されている情報と合わせて利用することで、現在、ネットワーク21を使用しているユーザが、高度セキュリティレベル領域に在室しており、且つそのユーザが、既に認証を受けているということを必要に応じて適宜確認することができる。
The authentication
ログ情報記憶部45には、それまで発生した事象を時刻情報と共に記録し、何らかのトラブルが発生した場合や、情報の公開を求められた場合に、随時参照することができるようになっている。なお、このログ情報記憶部45は、図1に示した第1の実施の形態として示すネットワーク管理装置の認証サーバ40に備えるようにしてもよい。
The log
(第2の実施の形態:入室処理動作)
続いて、図4に示すタイミングチャートを用いて、第2の実施の形態として示すネットワーク管理システムの入室処理動作について説明をする。
(Second embodiment: room entry processing operation)
Next, the room entry processing operation of the network management system shown as the second embodiment will be described using the timing chart shown in FIG.
上述した第1の実施の形態と同様に、ユーザは、低度セキュリティレベル領域から、ネットワーク21が構築されている高度セキュリティレベル領域へある入退室管理装置10a(1≦a≦n)によって管理された扉から入室するとする。そして、高度セキュリティレベル領域内において、認証装置50aに接続された任意の端末装置30aを介してネットワーク21へ接続要求をするものとする。
As in the first embodiment described above, the user manages from the low security level area to the high security level area where the
まず、ユーザは、入退室管理装置10aの入室用カードリーダにICカードを翳す。これに応じて、入退室管理装置10aは、ICカードの半導体メモリに格納されている情報を読み取り、カードIDを認証して施錠された扉の電気錠を解錠する。
First, the user holds the IC card entering the card reader for the entry and
そして、入退室管理装置10aは、ICカードから読み取ったカードIDと、電気錠を解錠した扉を一意に特定する扉IDとを認証サーバ40に送信する(ステップS11)。
The
認証サーバ40は、入退室管理装置10aから送信されたカードIDをキーに、在・不在情報記憶部43を参照し、対象となるユーザがそれまで高度セキュリティレベル領域に在室していなかったかどうかを確認する(ステップS12)。
在・不在情報記憶部43に、それまでユーザが高度セキュリティレベル領域に在室しているという情報が格納されている場合、ユーザが今回入室してきたことと矛盾するため、例えば、システム管理などに通知するといった対応をする(ステップS13)。
If the presence / absence
認証サーバ40は、在・不在情報記憶部43を参照した結果、それまでユーザが高度セキュリティレベル領域に存在しなかったことを確認できた場合、在・不在情報記憶部43にユーザが高度セキュリティレベル領域に在室していることを示す在室情報を書き込むと同時に、入退室管理装置10aから送信されたカードIDを用いて、ユーザ情報記憶部41を参照し、このカードIDと対応付けられているユーザを特定する。
As a result of referring to the presence / absence
そして、認証サーバ40は、同じく入退室管理装置10aから送信された扉IDを用いて、ユーザ情報記憶部41を参照し、特定されたユーザがネットワーク21へアクセスするために、高度セキュリティレベル領域へと入室する際に通過する扉であるのかどうかを確認する(ステップS14)。
Then, the
認証サーバ40は、ユーザが通過した扉は、高度セキュリティレベル領域へと入室するのに正当な扉であった場合には、無効となっているユーザ情報記憶部41内のユーザ情報のエントリを有効化し(ステップS15)、正当な扉から入室していない場合はユーザ情報のエントリを無効のままにする(ステップS16)。
The
これに応じて、高度セキュリティレベル領域に入室したユーザは、端末装置30aから、認証装置50aを介して、IEEE802.1Xの手順に従い、認証情報を送信することでネットワーク21への接続を試みる。
In response to this, the user who has entered the high security level region, from the
以下の説明では、IEEE802.1Xで使用できるEAPのうち、主にイーサネット(登録商標)で用いられるEAP−MD5(EAP−Message Digest alogorithm5)、主に無線LANで用いられるPEAP(Protected-EAP)といった認証処理にユーザID(アカウントID)とパスワードとを入力することが要求されるEAPを使用する認証方式を想定する。 In the following description, among EAPs that can be used in IEEE802.1X, EAP-MD5 (EAP-Message Digest alogorithm5) mainly used in Ethernet (registered trademark), PEAP (Protected-EAP) mainly used in wireless LAN, etc. Assume an authentication method using EAP, which requires input of a user ID (account ID) and a password for authentication processing.
初期状態では、端末装置30aとネットワーク21との間の回線は、認証装置50aによって切断されているため、端末装置30aは、認証装置50aとの通信しか行うことができない。
In the initial state, the line between the
まず、ユーザは、ネットワーク21に接続するために、端末装置30aからアカウントID及びパスワードを入力し認証装置50aへ送信する。認証装置50aに送信されたアカウントID及びパスワードは、認証サーバ40へと送信される(ステップS17)。
First, the user, in order to connect to the
接続判断部42は、送信されたアカウントIDをキーとして、ユーザ情報記憶部41に格納されている情報との照合処理を行う。まず、接続判断部42は、ユーザ情報記憶部41に格納された対象となるユーザのエントリが有効となっているかどうかを判断する(ステップS18)。エントリが有効となっていない場合は、不許可となる。
The
接続判断部42は、エントリが有効となっている場合、送信されたパスワードとユーザ情報記憶部41に格納さている対象となるユーザのパスワードとが一致するかどうか確認をする(ステップS19)。
When the entry is valid, the
接続判断部42は、パスワードが確認できた場合には、ネットワーク21への接続を許可して許可通知を認証装置50aに送信する(ステップS20)。このとき、認証サーバ40は、認証情報記憶部44に、アクセスをしてきたユーザが認証されたことを書き込む。なお、パスワードが確認されなかった場合は不許可となる。
If the password can be confirmed, the
認証装置50aは、認証サーバ40から送信された許可通知を受け取ったことに応じて、端末装置30aとネットワーク21との回線を開放する(ステップS21)。これにより、ユーザは、端末装置30aを介して、ネットワーク21へアクセスすることができ、ネットワーク21上の端末装置との通信が可能となる。
The
このように、第2の実施の形態として示すネットワーク管理システムでは、第1の実施の形態として示すネットワーク管理システムに、在・不在情報記憶部43、認証情報記憶部44を付加したことで、在・不在情報記憶部43に格納されている情報と、認証情報記憶部44に格納されている情報とが矛盾をしている場合、例えば、高度セキュリティレベル領域内に不在であるにも関わらず、認証がなされネットワーク21へのアクセスが可能となっている場合など、システム管理者にその旨を通知し、即時、ネットワーク21への接続を切断するように対処することが可能となる。
Thus, in the network management system shown as the second embodiment, the presence / absence
したがって、高度セキュリティレベル領域へ不正に侵入した侵入者が、ネットワーク21へアクセスを試みた場合でも、在・不在情報記憶部43、認証情報記憶部44を参照することで、容易に矛盾を検出することができるため、さらに高いセキュリティを確保することができる。
Therefore, even when an intruder who has illegally entered the high security level area tries to access the
[第3の実施の形態]
続いて、図5を用いて、本発明の第3の実施の形態として示すネットワーク管理システムについて説明をする。図5に示すように、第3の実施の形態として示すネットワーク管理システムは、図3に第2の実施の形態として示したネットワーク管理システムの認証サーバ40に、新たに場所情報記憶部46を備えた構成となっている。
[Third Embodiment]
Next, a network management system shown as the third embodiment of the present invention will be described with reference to FIG. As shown in FIG. 5, the network management system shown as the third embodiment is newly provided with a location
したがって、図5に示す第3の実施の形態として示すネットワーク管理システムでは、図3に示す第2の実施の形態として示すネットワーク管理システムと相違する箇所のみを説明し、重複する箇所については説明を省略することにする。 Therefore, in the network management system shown as the third embodiment shown in FIG. 5, only the parts different from the network management system shown as the second embodiment shown in FIG. 3 are described, and the overlapping parts are described. I will omit it.
場所情報記憶部46は、認証装置50nに割り当てられている固有の位置情報(例えば、IPアドレスなどを適用可能。)と、その位置情報IDが割り当てられている認証装置50nを経由しての接続を許可するユーザのアカウントIDとが対応付けられて記憶されている。
Location
高度セキュリティレベル領域に構築されているネットワーク21は、上述したように単純に一つのネットワークからのみ構成されることを意味するだけでなく、複数のネットワークで構成したり、同一のネットワーク内で複数の区画に分割したりして構成されている場合もある。このような場合、通常、高度セキュリティレベル領域を区画分けし、ユーザ毎に使用の可否が定められている。
The
しかしながら、従来のようなネットワーク管理システムにおいて、同一の認証サーバにて、全てのネットワークを管理している場合には、ユーザに使用が認められていない区画に設けられた端末装置からアクセスをしたとしても認証されてしまい、認められていないネットワーク網へのアクセスが可能となってしまう。 However, in a conventional network management system, when all networks are managed by the same authentication server, it is assumed that access is made from a terminal device provided in a partition that is not permitted for use by the user. Will also be authenticated, allowing access to unauthorized network networks.
そこで、あらかじめ場所情報記憶部46に、高度セキュリティレベル領域内の区画において、ユーザが利用することができるネットワーク網が構築された区画を、このネットワーク網と当該端末装置30nとを接続する認証装置50nの位置情報により規定しておくことで、さらに強固なアクセス制限をかけることができる。
Therefore, an authentication device that connects the network network and the
上述した第2の実施の形態においては、ユーザがネットワーク21に接続するために端末装置30nに対して、アカウントID及びパスワードを入力した際に、そのままユーザ情報記憶部41に格納された情報との照合処理に移行した。
In the second embodiment described above, when the user inputs an account ID and password to the
第3の実施の形態として示すネットワーク管理システムでは、認証サーバ40は、この照合処理を実行する前段に、場所情報記憶部46を参照して、対象となるユーザが場所情報記憶部46に登録されている情報に従った認証装置50nを経由しているかどうかの確認をする。
In the network management system shown as the third embodiment, the
(第3の実施の形態:入室処理動作)
続いて、図6に示すタイミングチャートを用いて、第3の実施の形態として示すネットワーク管理システムの入室処理動作について説明をする。
(Third embodiment: entrance processing operation)
Next, the room entry processing operation of the network management system shown as the third embodiment will be described using the timing chart shown in FIG.
図6に示すタイミングチャートは、図4に示したタイミングチャートのステップS17とステップS18との間に、ステップS18a、ステップS18bという処理動作を付加しただけであるため、このステップS18a、ステップS18bについてのみ説明をする。なお、以下の説明において、認証装置50aに割り当てられている固有の位置情報IDをIPアドレスとする。 In the timing chart shown in FIG. 6, only the processing operations of step S18a and step S18b are added between step S17 and step S18 of the timing chart shown in FIG. 4, so only this step S18a and step S18b are added. Explain. In the following description, a unique location information ID assigned to the authentication device 50a is assumed to be an IP address.
ステップS17の後、認証サーバ40の接続判断部42は、端末装置30aから認証装置50aを介することでIPパケットに乗せ替えられて送信されるアカウントID及びパスワードを受信したことに応じて、このIPパケットより送信元である認証装置50aのIPアドレスを位置情報IDとして抽出する。
After step S17, the
そして、接続判断部42は、場所情報記憶部46を参照し、接続を要求しているユーザのアカウントIDが、抽出した位置情報IDに対応付けられて登録されているアカウントIDに含まれているかどうかを確認する。
Then, the
このように、抽出した位置情報IDに対応付けられて登録されているアカウントIDに、接続を要求しているユーザのアカウントIDが含まれているかどうかを判定することで、ユーザが、正当な認証装置50aを経由して接続要求をしてきたかどうかを判定する(ステップS18a)。 Thus, by determining whether the account ID of the user who is requesting connection is included in the account ID registered in association with the extracted position information ID, the user can authenticate determining whether has been a connection request via the device 50 a (step S18a).
つまり、抽出した位置情報IDに対応付けられて登録されているアカウントIDに、接続を要求しているユーザのアカウントIDが含まれている場合、高度セキュリティレベル領域内において、ユーザに許可されている所定の場所から接続を要求しているものとして、ステップS18の処理に進む。 That is, if the account ID of the user requesting connection is included in the account ID registered in association with the extracted location information ID, the user is permitted within the high security level area. Assuming that a connection is requested from a predetermined location, the process proceeds to step S18.
逆に、抽出した位置情報IDに対応付けられて登録されているアカウントIDに、接続を要求しているユーザのアカウントIDが含まれていない場合には、ユーザに許可されていない場所から接続要求をしているものとして、その時点で接続処理を中断する(ステップS18b)。 Conversely, if the account ID registered in association with the extracted location information ID does not include the account ID of the user requesting connection, a connection request is issued from a location that is not permitted by the user. The connection process is interrupted at that time (step S18b).
このように、第3の実施の形態として示すネットワーク管理システムは、ユーザ毎に許可されている正当な認証装置50nを経由してネットワーク21へアクセスされているかに応じてネットワーク21の認証処理を制限することで、高度セキュリティレベル領域において認められていないエリアからの不正なアクセスを防止することができ、さらに、セキュリティを向上させることが可能となる。
As described above, the network management system shown as the third embodiment performs the authentication process of the
なお、本実施の形態では、認証装置50nの位置情報にて、ユーザのネットワーク上におけるアクセス位置を特定しているが、本発明は、これに限定されるものではなく、ユーザのネットワーク上でのアクセス位置が特定できる情報であればどのような情報を位置情報として用いてもよい。
In this embodiment, at the location information of the
[第4の実施の形態]
上述した第1乃至第3の実施の形態として示すネットワーク管理システムでは、いずれも低度セキュリティレベル領域から、高度セキュリティレベル領域へとユーザが入室し、ネットワーク21への接続が許可されるまでの処理工程について説明をした。
[Fourth Embodiment]
In the network management systems shown as the first to third embodiments described above, the processing until the user enters the room from the low security level area to the high security level area and the connection to the
次に、一旦、ネットワーク21への接続を許可された正規のユーザが、高度セキュリティレベル領域から、低度セキュリティレベル領域へと退室する場合について考える。
Next, consider a case where a legitimate user who is permitted to connect to the
例えば、この時、端末装置30nと、認証装置50nを介したネットワーク21との接続を切断しないまま、ユーザが、高度セキュリティレベル領域から低度セキュリティレベル領域へと退室してしまった場合、なんらかの手法により高度セキュリティレベル領域に不正に入室したユーザによって、ネットワーク21へ接続されたままの端末装置30nを介して、認証処理を経ることなくネットワーク21へ不正にアクセスされてしまう可能性がある。
For example, at this time, if the user leaves the high security level area to the low security level area without disconnecting the connection between the
そこで、図7に、本発明の第4の実施の形態として示すネット管理システムでは、高度セキュリティレベル領域に入室をし、ネットワーク21への接続を許可された正規ユーザによる高度セキュリティレベル領域から低度セキュリティレベル領域への退室時において、ネットワーク21に対する使用許可を自動的に取り消す処理について説明をする。
Therefore, in the network management system shown in FIG. 7 as the fourth embodiment of the present invention, the user enters the advanced security level area and is lowered from the advanced security level area by the authorized user who is permitted to connect to the
図7に示すように、第4の実施の形態として示すネットワーク管理システムは、図5に第3の実施の形態として示したネットワーク管理システムの各認証装置50nに、タイマ部51nをそれぞれ付加した構成となっている。
As shown in FIG. 7, the network management system shown as the fourth embodiment adds a
したがって、図7に示す第4の実施の形態として示すネットワーク管理システムにおいて、図5に示す第3の実施の形態として示すネットワーク管理システムと相違する箇所のみを説明し、重複する箇所については説明を省略する。 Therefore, in the network management system shown as the fourth embodiment shown in FIG. 7, only the parts different from the network management system shown as the third embodiment shown in FIG. 5 will be described, and the overlapping parts will be described. Omitted.
認証装置50nに備えられたタイマ部51nは、高度セキュリティレベル領域へ入室したユーザが端末装置30nを介して認証され、端末装置30nとネットワーク21とが接続されたことに応じて計時を開始する。認証装置50nは、タイマ部51nによって計時されている時間が、所定の時間経過したことに応じて、端末装置30nに対して再び被認証情報(例えば、アカウントID、パスワードなど)を送信するよう要求する。
つまり、認証装置50nは、端末装置30nに対して所定の時間毎に定期的に被認証情報の送信を要求し、端末装置30nの前にユーザが実際にいるかどうかを確認している。
That is, the
端末装置30nを介して再び被認証情報が送信され、認証サーバ40よって認証された場合、端末装置30nを介してネットワーク21に接続しているユーザは、正当なユーザであると判断されるためネットワーク21への接続は継続されることになる。
When the authenticated information is transmitted again through the
逆に、端末装置30nを介して被認証情報が、所定の時間経過しても送信されなかった場合、又は送信されてきた被認証情報を認証サーバ40で認証できなかった場合には、高度セキュリティレベル領域に正規ユーザが存在しないとして、端末装置30nとネットワーク21との接続を切断する。
Conversely, if the authentication target information is not transmitted via the
(第4の実施の形態:接続自動切断処理動作)
続いて、図8に示すタイミングチャートを用いて、第4の実施の形態として示すネットワーク管理システムの接続自動切断処理動作について説明をする。
(Fourth embodiment: automatic disconnection processing operation)
Next, the automatic connection disconnection processing operation of the network management system shown as the fourth embodiment will be described using the timing chart shown in FIG.
例えば、ネットワーク管理システムは、上述した図6に示すタイミングチャートのようにして高度セキュリティレベル領域へ入室したユーザにより、認証装置50aを介して端末装置30aとネットワーク21とが接続されているとする。
For example, the network management system, the user has entered as the timing chart shown in FIG. 6 described above to advanced security level region, when the
認証装置50aのタイマ部51aは、端末装置30aとネットワーク21との回線を開放し、端末装置30aとネットワーク21とを接続したことに応じて計時を開始し、所定の時間経過するまで待機状態となる(ステップS31)。
認証装置50aは、タイマ部51aによって計時された時間が所定の時間経過したことに応じて、端末装置30aに対し被認証情報を送信するよう被認証情報送信要求をする(ステップS32)。
The
また、認証装置50aのタイマ部51aは、被認証情報送信要求を送信したことに応じて計時を開始する(ステップS33)。
The
認証装置50aは、タイマ部51aによって計時された時間が所定の時間経過するまでの間に、端末装置30aから、被認証情報が送信されなかった場合、端末装置30aの前には正規ユーザが存在しないと判断して、端末装置30aとネットワーク21との接続を切断する(ステップS34)。そして、認証サーバ40は、在・不在情報記憶部43内の在室情報を削除し、認証情報記憶部44内の認証を受けた旨を示す情報を削除する。
The
端末装置30aの前にユーザが存在する場合、ユーザは、認証装置50aによって送信された被認証情報送信要求に応じて、端末装置30aから被認証情報としてアカウントID及びパスワードを入力し認証装置50aへ送信する。認証装置50aに送信されたアカウントID及びパスワードは、認証サーバ40へと送信される(ステップS35)。
If the user exists in front of the
接続判断部42は、送信されたアカウントIDをキーとして、ユーザ情報記憶部41に格納されている情報との照合処理を行う。まず、接続判断部42は、ユーザ情報記憶部41に格納された対象となるユーザのエントリが有効となっているかどうかを判断する(ステップS36)。エントリが有効となっていない場合は、不許可となる。
The
接続判断部42は、エントリが有効となっている場合、送信されたパスワードとユーザ情報記憶部41に格納さている対象となるユーザのパスワードとが一致するかどうか確認をする(ステップS37)。接続判断部42は、パスワードが確認できた場合には、ネットワーク21への接続を許可して再許可通知を認証装置50aに送信する(ステップS38)。これにより、端末装置30aとネットワーク21との接続は継続されることになる。
When the entry is valid, the
一方、パスワードが確認されなかった場合は不許可となり、認証装置50aに対して切断要求が送信され、端末装置30aとネットワーク21との接続が切断される。そして、認証サーバ40は、在・不在情報記憶部43内の在室情報を削除し、認証情報記憶部44内の認証を受けた旨を示す情報を削除する。
On the other hand, if the password is not confirmed disallowed, disconnection request to the
このように、本発明の第4の実施の形態として示すネットワーク管理システムは、一旦、ネットワーク21の使用を許可された正規ユーザが高度セキュリティレベル領域から退室していた場合には、退室後になされた被認証情報送信要求に対して応答することができないことを利用したものであり、応答がない場合には、ネットワーク21との接続が切断されるため、不正なユーザによるネットワーク21への不正アクセスを回避することができる。
As described above, the network management system shown as the fourth embodiment of the present invention was made after the exit when the authorized user who was permitted to use the
[第5の実施の形態]
図9に第5の実施の形態として示すネットワーク管理システムは、上述した第4の実施の形態として示すネットワーク管理システムで実現された、ネットワーク21への接続を許可された正規ユーザによる高度セキュリティレベル領域から低度セキュリティレベル領域への退室時において、ネットワーク21に対する使用許可を自動的に取り消す処理を実現するための別な構成である。
[Fifth Embodiment]
The network management system shown as the fifth embodiment in FIG. 9 is realized by the network management system shown as the fourth embodiment described above, and is a high security level area by an authorized user permitted to connect to the
図9に示すように、第5の実施の形態として示すネットワーク管理システムは、図7に第4の実施の形態として示したネットワーク管理システムの認証装置50nのタイマ部51nに替えて、SNMP (Simple Network Management Protocol) エージェント部52nを付加し、認証サーバ40に、タイマ部47とSNMPマネージャ部48とを付加した構成となっている。
As shown in FIG. 9, the network management system shown as the fifth embodiment replaces the
したがって、図9に示す第5の実施の形態として示すネットワーク管理システムでは、図7に示す第4の実施の形態として示すネットワーク管理システムと相違する箇所のみを説明し、重複する箇所については説明を省略する。 Therefore, in the network management system shown as the fifth embodiment shown in FIG. 9, only the parts different from the network management system shown as the fourth embodiment shown in FIG. 7 are described, and the overlapping parts are described. Omitted.
認証サーバ40に与えられたSNMPマネージャ部48と、認証装置50nに与えられたSNMPエージェント部52nとは、IETF(Internet Engineering Task Force )で標準化されたTCP/IPネットワーク環境での管理プロトコルであるSNMPにて管理情報を交換することで、認証装置50nを認証サーバ40で管理するために設けられている。
The
つまり、第5の実施の形態として示すネットワーク管理システムでは、認証サーバ40に設けたタイマ部47で、上述したタイマ部51nの替わりにネットワーク21へ接続後の経過時間を計時する。そして、所定の時間経過したことに応じて、SNMPマネージャ部48からSNMPエージェント部52nへ所定の管理情報を送信して認証装置50nを制御し、端末装置30nに被認証情報送信要求を送信させたり、端末装置30nとネットワーク21との接続を切断するよう要求したりする。
That is, in the network management system shown as the fifth embodiment, the
(第5の実施の形態:接続自動切断処理動作)
続いて、図10に示すタイミングチャートを用いて、第5の実施の形態として示すネットワーク管理システムの接続自動切断処理動作について説明をする。
(Fifth embodiment: automatic disconnection processing operation)
Next, the automatic connection disconnection processing operation of the network management system shown as the fifth embodiment will be described using the timing chart shown in FIG.
例えば、ネットワーク管理システムは、上述した図6に示すタイミングチャートのようにして高度セキュリティレベル領域へ入室したユーザにより、認証装置50aを介して端末装置30aとネットワーク21とが接続されているとする。
For example, the network management system, the user has entered as the timing chart shown in FIG. 6 described above to advanced security level region, when the
認証サーバ40のタイマ部47は、端末装置30aとネットワーク21との回線を開放し、端末装置30aとネットワーク21とを接続したことに応じて計時を開始し、所定の時間経過するまで待機状態となる(ステップS41)。
認証サーバ40のSNMPマネージャ部48は、タイマ部47によって計時された時間が所定の時間経過したことに応じて、認証装置50aのSNMPエージェント部52nに対し再認証要求をし、端末装置30aとネットワーク21とを一時的に切断する(ステップS42)。
The
これに応じて、認証装置50aは、端末装置30aに対して被認証情報送信要求を送信する(ステップS43)。
In response to this, the
そして、認証サーバ40は、在・不在情報記憶部43内の在室情報を削除し、認証情報記憶部44内の認証を受けた旨を示す情報を削除する。
Then, the
端末装置30aの前にユーザが存在する場合、ユーザは、認証装置50aによって送信された被認証情報送信要求に応じて、端末装置30aから被認証情報としてアカウントID及びパスワードを入力し認証装置50aへ送信する。認証装置50aに送信されたアカウントID及びパスワードは、認証サーバ40へと送信される(ステップS44)。
If the user exists in front of the
接続判断部42は、送信されたアカウントIDをキーとして、ユーザ情報記憶部41に格納されている情報との照合処理を行う。まず、接続判断部42は、ユーザ情報記憶部41に格納された対象となるユーザのエントリが有効となっているかどうかを判断する(ステップS45)。エントリが有効となっていない場合は、不許可となる。
The
接続判断部42は、エントリが有効となっている場合、送信されたパスワードとユーザ情報記憶部41に格納さている対象となるユーザのパスワードとが一致するかどうか確認をする(ステップS46)。接続判断部42は、パスワードが確認できた場合には、ネットワーク21への接続を許可して再許可通知を認証装置50aに送信する(ステップS47)。これにより、端末装置30aとネットワーク21との接続は継続されることになる。
When the entry is valid, the
一方、パスワードが確認されなかった場合は不許可となり、ネットワーク21は切断される。そして、認証サーバ40は、在・不在情報記憶部43内の在室情報を削除し、認証情報記憶部44内の認証を受けた旨を示す情報を削除する。
On the other hand, if the password is not confirmed, it is not permitted and the
このようにして、第5の実施の形態として示すネットワーク管理システムでも、第4の実施の形態として示したネットワーク管理システムと同様に、一旦、ネットワーク21の使用を許可された正規ユーザが高度セキュリティレベル領域から退室していた場合には、退室後になされた認証情報送信要求に対して応答することができないことを利用し、応答がない場合には、ネットワーク21との接続を切断することで、不正なユーザによるネットワーク21への不正アクセスを回避することができる。
In this way, even in the network management system shown as the fifth embodiment, the authorized user who is once permitted to use the
第4及び第5の実施の形態として示すネットワーク管理システムでは、ネットワーク21への接続を認証されたユーザが、高度セキュリティレベル領域に在室しているかどうかを、定期的な再認証処理要求をすることで確認し、確認がとれなかった場合にネットワーク21の切断処理を行っている。
In the network management systems shown as the fourth and fifth embodiments, a request for periodic re-authentication processing is made as to whether or not a user who has been authenticated for connection to the
認証サーバ40は、高度セキュリティレベル領域の端末装置30nからネットワーク21へアクセスするユーザを一元的に管理するために、高度セキュリティレベル領域への入室時において入室情報を取得しているが、第4及び第5の実施の形態として示すネットワーク管理システムのような構成とすることで、退室時には、特に退室情報を取得して退室処理をしなくともユーザの高度セキュリティレベル領域からの退室を自動的に検出することができる。
The
[第6の実施の形態]
第6の実施の形態として示すネットワーク管理システムは、高度セキュリティレベル領域からの退室時においても入室時と同様に退室情報を取得して退室処理を実行し、ネットワーク21と端末装置30nとの接続を切断する退室処理を実行する。
[Sixth Embodiment]
The network management system shown as the sixth embodiment acquires the exit information and executes the exit processing in the same way as when entering the room when leaving the high security level area, and connects the
このような退室処理を実行した場合、上述した第4及び第5の実施の形態として示したネットワーク管理システムのように、ネットワーク21への接続を認証されたユーザが、高度セキュリティレベル領域に在室しているかどうかを、定期的な再認証処理要求をすることで確認し、確認がとれなかった場合にネットワーク21の切断処理を行う場合と異なり、定期的な通信を行う必要がないため通信帯域の無駄な消費を抑制することができる。
When such a leaving process is executed, a user who is authenticated to connect to the
第6の実施の形態として示すネットワーク管理システムの構成は、上述した図9に示す第5の実施の形態として示すネットワーク管理システムと同一の構成であるため説明を省略する。 The configuration of the network management system shown as the sixth embodiment is the same as the configuration of the network management system shown as the fifth embodiment shown in FIG.
(第6の実施の形態:退室処理動作)
続いて、図11に示すタイミングチャートを用いて、第6の実施の形態として示すネットワーク管理システムの退室処理動作について説明をする。
(Sixth embodiment: exit processing operation)
Subsequently, the exit processing operation of the network management system shown as the sixth embodiment will be described using the timing chart shown in FIG.
例えば、ネットワーク管理システムは、上述した図6に示すタイミングチャートのようにして高度セキュリティレベル領域へ入室したユーザにより、認証装置50aを介して端末装置30aとネットワーク21とが接続されているとする。
For example, the network management system, the user has entered as the timing chart shown in FIG. 6 described above to advanced security level region, when the
まず、ユーザは、入退室管理装置10aの退室用カードリーダにICカードを翳す。これに応じて、入退室管理装置10aは、ICカードの半導体メモリに格納されている情報を読み取り、カードIDを認証して施錠された扉の電気錠を解錠する。
First, the user holds the IC card to exit the card reader for the entry and
そして、入退室管理装置10aは、ICカードから読み取ったカードIDと、電気錠を解錠した扉を一意に特定する扉IDとを認証サーバ40に送信する(ステップS51)。
The
認証サーバ40は、入退室管理装置10aから送信されたカードIDをキーに、在・不在情報記憶部43を参照し、対象となるユーザがそれまで高度セキュリティレベル領域に在室していたかどうかを確認する(ステップS52)。
同時に、認証サーバ40は、認証情報記憶部44も参照し、対象となるユーザが認証を受けているかどうかを確認する(ステップS53)。
At the same time, the
さらに、認証サーバ40は、ユーザ情報記憶部41を参照し、受信したカードID、扉IDより、高度セキュリティレベル領域から退室するように定められた扉から退室であるのかどうかを確認する(ステップS54)。
Further, the
認証サーバ40は、ステップS52乃至ステップS54までの確認の結果として、対象となるユーザがそれまで確かに在室しており、認証も受けており、然るべき扉から退室したことを得られた場合、ユーザの高度セキュリティレベル領域からの退室が確認されたとして、端末装置30aとネットワーク21との切断準備処理をする(ステップS55)。具体的には、認証サーバ40は、在・不在情報記憶部43から対象となるユーザの在室情報を削除し、認証情報記憶部44から対象となるユーザが認証を受けた旨を示す情報を削除する。
As a result of the confirmation from step S52 to step S54, the
一方、在・不在情報記憶部43に、それまでユーザが高度セキュリティレベル領域に在室しているという情報がなかったり、認証情報記憶部44に、ユーザが認証を受けた旨を示す情報がなかったりといった矛盾があった場合や、このユーザが定められた退室用の扉から退室していない場合には、不許可処理として、例えば、システム管理などに通知するといった対応をする(ステップS56)。
On the other hand, there is no information in the presence / absence
ところで、上述したように、入退室管理装置10aは、カードIDが認証されると直ちに施錠された扉の電気錠を解錠しているが、ステップS54における認証サーバ40での扉IDの確認結果に応じて、施錠された電気錠を解錠するかどうかを決定することもできる。例えば、ユーザが然るべき扉から退室を行わなかった場合、施錠された電気錠を解錠せずに許可されている扉からの退室を促すこともできる。
Incidentally, as described above, the entry and
続いて、接続されている端末装置30aとネットワーク21とを切断する処理に移る。
Subsequently, the process proceeds to a process of disconnecting the connected
認証サーバ40のSNMPマネージャ部48は、ネットワーク切断準備がなされたことに応じて、認証装置50aのSNMPエージェント部52aに対し再認証要求をし、端末装置30aとネットワーク21とを一時的に切断する(ステップS57)。
これに応じて、認証装置50aは、端末装置30aに対して被認証情報送信要求を送信をする(ステップS58)。
In response to this, the
また、認証サーバ40のタイマ部47は、SNMPマネージャ部48がSNMPエージェント部52aに再認証要求を送信したことに応じて計時を開始し、所定の時間経過するまで待機状態となる(ステップS59)。このとき、高度セキュリティレベル領域内にはユーザが存在しないため、被認証情報が再び送信されることはない。したがって、端末装置30aとネットワーク21とは、完全に切断される。
In addition, the
また、接続されている端末装置30aとネットワーク21との切断処理は、図12に示すタイミングチャートのようにすることもできる。
Also, the disconnection process between the connected terminal device 30a and the
図12に示すように、ユーザの高度セキュリティレベル領域からの退室が確認されたことに応じて、ステップS55においてネットワーク切断準備がなされると、認証サーバ40のSNMPマネージャ部48は、認証装置50aのSNMPエージェント部52aに対し直接、切断要求をする(ステップS61)。この切断要求に応じて、認証装置50aは、端末装置30aとネットワーク21との接続を切断する。
As shown in FIG. 12, when preparations for disconnecting the network are made in step S55 in response to confirmation that the user has left the high security level area, the
SNMPマネージャ部48から、SNMPエージェント部52aへの切断要求は、ユーザの退室が確認されてから時間をおかずに送信してもよいし、一定時間経過した後に送信するようにしてもよい。
From
図12に示すように、SNMPマネージャ部48からSNMPエージェント部52aに対して、直接、切断要求をすることで、退室処理において既に、高度セキュリティレベル領域にユーザが不在となっている状況下での不要な通信を削減することができる。
As shown in FIG. 12, the
ところで、端末装置30nによっては、「ログオフ」などの処理を行うことで、当該端末装置30n自体の電源を投入したままで、一時的に正規のユーザの使用状況を解除する機能を有している場合がある。このような機能を有する端末装置30nは、「ログオフ」をした時点で、一旦それまで使用していた正規のユーザに対するネットワーク21に対する使用許可が取り消される。したがって、再度、端末装置30nから「ログオン」する際には、ネットワーク21の使用許可を受けるための認証処理も再び行う必要がある。
By the way, depending on the
このため、第4、第5の実施の形態として示したネットワーク管理システムのように定期的な再認証を行ったり、第6の実施の形態として示したネットワーク管理システムのように退室処理を行わずとも、適切なタイミングでネットワーク21の使用許可の取り消しを行うこともできる。
For this reason, periodic re-authentication is not performed as in the network management systems shown as the fourth and fifth embodiments, and the leaving process is not performed as in the network management system shown as the sixth embodiment. In both cases, the use permission of the
[第7の実施の形態]
第7の実施の形態として示すネットワーク管理システムは、第4及び第5の実施の形態として示すネットワーク管理システムと同様に、退室情報を取得してネットワーク21と端末装置30nとの接続を切断する退室処理を実行しない場合において、一旦、正規の手続きによりネットワーク21で認証されたユーザの高度セキュリティレベル領域からの退室を検出することができる。
[Seventh Embodiment]
The network management system shown as the seventh embodiment acquires the leaving information and disconnects the
第7の実施の形態として示すネットワーク管理システムでは、特別、退室処理を実行しないため、端末装置30nと認証装置50nを介したネットワーク21との接続を切断しないまま、ユーザが高度セキュリティレベル領域から低度セキュリティレベル領域へと退室してしまった場合、ネットワーク21へ接続されたままの端末装置30nを介して、不正なユーザにより認証処理を経ることなくネットワーク21へ不正にアクセスされてしまう可能性がある。
In the network management system shown as the seventh embodiment, since the special and leaving process is not executed, the user can connect the
そこで、第7の実施の形態として示すネットワーク管理システムでは、ネットワーク21に接続したまま高度セキュリティレベル領域から退室してしまったユーザが、異なる高度セキュリティレベル領域へ入室したことに応じて、ネットワーク21が構築された高度セキュリティレベル領域からの退室を検出し、接続された状態のネットワーク21を切断する処理を実行する。
Therefore, in the network management system shown as the seventh embodiment, in response to a user who has left the high security level area connected to the
第7の実施の形態として示すネットワーク管理システムの構成は、上述した図9に示す第5の実施の形態として示すネットワーク管理システムと同一の構成であるため説明を省略する。 The configuration of the network management system shown as the seventh embodiment is the same as that of the network management system shown as the fifth embodiment shown in FIG.
(第7の実施の形態:退室検出処理)
続いて、図13に示すタイミングチャートを用いて、第7の実施の形態として示すネットワーク管理システムの退室検出処理について説明をする。
(Seventh embodiment: exit detection processing)
Subsequently, the exit detection processing of the network management system shown as the seventh embodiment will be described using the timing chart shown in FIG.
例えば、ネットワーク管理システムは、上述した図6に示すタイミングチャートのようにして、扉Aを通過して高度セキュリティレベル領域へ入室したユーザにより、認証装置50aを介して端末装置30aとネットワーク21とが接続されているとする。
For example, the network management system, as in the timing chart shown in FIG. 6 described above, the user who enter the high security level area through the door A, the
この時点では、在・不在情報記憶部43には、対象となるユーザの在室情報が、認証情報記憶部44には、対象となるユーザが認証を受けた旨を示す情報が書き込まれている。
At this time, the presence / absence
ここで、高度セキュリティレベル領域からユーザが、端末装置30nとネットワーク21との接続をそのままにして扉Aから退室したとする。本実施例では、退室時の退室処理を実行しないことから、端末装置30aとネットワーク21とは、接続されたままである。
Here, it is assumed that the user leaves the door A while leaving the connection between the
このユーザが、先程までいた高度セキュリティレベル領域とは異なる入退室管理装置10bにより入室管理されている扉Bを隔てた高度セキュリティレベル領域へ入室したとする。
The user, and has entered into high security level area across the door B being the entry management by a different entry and
図13に示すように、ユーザは、入退室管理装置10bの入室用カードリーダにICカードを翳す。これに応じて、入退室管理装置10bは、ICカードの半導体メモリに格納されている情報を読み取り、カードIDを認証して施錠された扉Bの電気錠を解錠する。
As shown in FIG. 13, the user holds the IC card entering the card reader for the entry and
そして、入退室管理装置10bは、ICカードから読み取ったカードIDと、電気錠を解錠した扉Bを一意に特定する扉IDとを認証サーバ40に送信する(ステップS81)。
The
これらの情報を受け取った認証サーバ40は、在・不在情報記憶部43を参照することで、現在、扉Bを通過して入退室管理装置10bが管理する高度セキュリティレベル領域へ入室したユーザは、本来、入退室管理装置10aで管理されている高度セキュリティレベル領域に在室しているはずのユーザであることを検出する。
The
これに応じて、認証サーバ40は、在・不在情報記憶部43から対象となるユーザの在室情報を削除し、認証情報記憶部44から対象となるユーザが認証を受けた旨を示す情報を削除して、端末装置30aとネットワーク21との切断準備処理をする(ステップS82)。
In response to this, the
認証サーバ40のSNMPマネージャ部48は、認証装置50aのSNMPエージェント部52aに対し直接、切断要求をする(ステップS83)。この切断要求に応じて、認証装置50aは、端末装置30aとネットワーク21との接続を切断する。
このようにして、第7の実施の形態として示すネットワーク管理システムは、退室処理を実行しない場合であっても、ユーザが別な高度セキュリティレベル領域へ入室することで取得される入室情報から、ユーザの不在を検出できる。したがって、ネットワーク21との切断処理を実行せずに高度セキュリティレベル領域から退室した場合であっても、ネットワーク21を接続したままとすることが回避されるため、不正なユーザによる不正なアクセスを防止することができる。
In this way, the network management system shown as the seventh embodiment is based on the entry information acquired when the user enters another high security level area, even if the exit process is not executed. The absence of can be detected. Therefore, even when the user leaves the high security level area without executing the disconnection process with the
なお、本発明の第1乃至第7の実施の形態において、ユーザは、自身が所有するICカードに格納されたカードIDを被認証情報として用い、入退室管理装置10nの認証処理を行っているが、本発明はこれに限定されるものではなく、入退室管理装置10nにおいてユーザが一意に特定されればよいので、例えば、被認証情報として指紋情報、虹彩情報といった生体情報を用い、生体認証処理を実行することで入退室管理装置10nにおける認証処理を行ってもよい。
In the first to seventh embodiment of the present invention, the user uses the card ID stored in the IC card owned itself as the authentication information by performing authentication processing of entry and
また、端末装置30nから、ネットワーク21へアクセスする際にも、この生体情報を用いた生体認証処理を実行するようにしてもよい。
Also, when accessing the
なお、上述の実施の形態は本発明の一例である。このため、本発明は、上述の実施形態に限定されることはなく、この実施の形態以外であっても、本発明に係る技術的思想を逸脱しない範囲であれば、設計等に応じて種々の変更が可能であることは勿論である。 The above-described embodiment is an example of the present invention. For this reason, the present invention is not limited to the above-described embodiment, and various modifications can be made depending on the design and the like as long as the technical idea according to the present invention is not deviated from this embodiment. Of course, it is possible to change.
10n(nは、自然数) 入退室管理装置
20 ネットワーク認証システム
21 ネットワーク
30n 端末装置
40 認証サーバ
41 ユーザ情報記憶部
42 接続判断部
43 在・不在情報記憶部
44 認証情報記憶部
46 場所情報記憶部
50n 認証装置
10 n (n is a natural number) Entrance /
Claims (10)
前記高度セキュリティレベル領域に構築されたネットワークに対し、前記ユーザを一意に特定する第2の被認証情報に基づいた認証処理結果に応じて、アクセス制限をするネットワーク管理装置とを備え、
前記入退室管理装置は、前記第1の被認証情報に基づいた認証処理結果に応じて、前記ユーザが、前記高度セキュリティレベル領域を隔てる複数の入退室扉のうち何れかの入退室扉を介して、前記高度セキュリティレベル領域へ入室したことに応じて、前記入退室扉を一意に特定する入退室扉識別情報及び前記第1の被認証情報を前記ネットワーク管理装置に送信する送信手段を有し、
前記ネットワーク管理装置は、送信された前記入退室扉識別情報で特定される入退室扉が、前記第1の被認証情報で特定される前記ユーザが通過することを許可された入退室扉であった場合に、前記第2の被認証情報に基づく認証処理を実行するよう制御する制御手段を有すること
を特徴とするネットワーク管理システム。 An entrance / exit management device that manages entrance / exit in the high security level area according to the authentication processing result based on the first authenticated information that uniquely identifies the user,
A network management device that restricts access to a network constructed in the high security level area according to an authentication processing result based on second authenticated information that uniquely identifies the user;
The entry / exit management device is configured so that, depending on an authentication processing result based on the first authenticated information, the user can pass through any of the entry / exit doors among a plurality of entrance / exit doors separating the high security level area. And transmitting means for transmitting the entry / exit door identification information for uniquely specifying the entry / exit door and the first authenticated information to the network management device in response to entering the high security level area. ,
The network management device is an entrance / exit door that the user specified by the first authenticated information is allowed to pass through the entrance / exit door specified by the transmitted entrance / exit door identification information. In this case, the network management system further comprises control means for controlling to execute the authentication process based on the second authenticated information.
前記ユーザの前記ネットワークでの認証状況を示す認証情報を記憶する認証情報記憶手段とを有し、
前記在・不在情報記憶手段に記憶された前記在・不在情報及び前記認証情報記憶手段に記憶された前記認証情報に基づき、前記ユーザの高度セキュリティレベルへの入室又は前記高度セキュリティレベル領域からの退室を確認すること
を特徴とする請求項1記載のネットワーク管理システム。 The network management device includes presence / absence information storage means for storing presence / absence information indicating the occupancy status of the user in the high security level area;
Authentication information storage means for storing authentication information indicating the authentication status of the user in the network;
Based on the presence / absence information stored in the presence / absence information storage means and the authentication information stored in the authentication information storage means, the user enters or leaves the high security level area. The network management system according to claim 1, wherein:
前記ネットワーク管理装置の制御手段は、前記位置情報取得手段によって取得された位置情報が、前記第1の被認証情報で特定される前記ユーザに許可された前記ネットワーク上におけるアクセス位置であった場合に、前記第2の被認証情報に基づく認証処理を実行するよう制御すること
を特徴とする請求項1又は請求項2記載のネットワーク管理システム。 The network management device has position information acquisition means for acquiring position information for specifying an access position of a user on the network,
When the location information acquired by the location information acquisition unit is an access location on the network permitted by the user specified by the first authenticated information, the control unit of the network management device The network management system according to claim 1, wherein control is performed so as to execute an authentication process based on the second authentication target information.
を特徴とする請求項1乃至3のいずれか1項に記載のネットワーク管理システム。 4. The network management apparatus according to claim 1, wherein the network management device determines that the user has left the high security level area through an authentication process based on the first authenticated information. 5. The network management system described in the section.
前記ネットワーク管理装置は、前記第1の入力要求手段による入力要求に応じて入力された前記第2の被認証情報が認証されなかった場合、前記ユーザが前記高度セキュリティレベル領域から退出したと判断すること
を特徴とする請求項1乃至3いずれか1項に記載のネットワーク管理システム。 The network management device includes first input requesting means for requesting input of the second authentication information at regular intervals in response to confirmation that the user has entered the high security level area. And
The network management device determines that the user has left the high security level area when the second authenticated information input in response to the input request by the first input request unit is not authenticated. The network management system according to any one of claims 1 to 3, wherein:
を特徴とする請求項1乃至3いずれか1項に記載のネットワーク管理システム。 In the network management device, when the entry / exit door identification information transmitted by the transmission means is an entrance / exit door separating another high security level area different from the high security level area, the user The network management system according to any one of claims 1 to 3, wherein the network management system determines that the user has left the advanced security level.
前記ネットワーク管理装置の制御手段は、前記送信手段によって送信された前記入退室扉識別情報で特定される入退室扉が、前記第1の被認証情報で特定されるユーザが通過することを許可された入退室扉であった場合に、前記ユーザの前記ネットワークでの認証を取り消すよう制御すること
を特徴とする請求項1乃至請求項3のいずれか1項に記載のネットワーク管理システム。 In response to the authentication process based on the first authenticated information, the transmission means of the room entry management device responds to the user leaving the high security level area through the entry / exit door. , Sending the entrance / exit door identification information for uniquely identifying the entrance / exit door and the first authenticated information to the network management device,
The control means of the network management device is permitted to allow the user specified by the first authenticated information to pass through the entrance / exit door specified by the entrance / exit door identification information transmitted by the transmission means. The network management system according to any one of claims 1 to 3, wherein the user is controlled to cancel the authentication of the user on the network when the door is an entrance / exit door.
を特徴とする請求項4乃至請求項6のいずれか1項に記載のネットワーク管理システム。 The control means of the network management device controls to revoke authentication of the user on the network in response to confirmation that the user has left the high security level area. The network management system according to any one of claims 4 to 6.
前記ネットワーク管理装置の前記制御手段は、前記第2の入力要求手段による入力要求に応じて入力された前記第2の被認証情報が認証されなかった場合に、前記ユーザの前記ネットワークでの認証を取り消すよう制御すること
を特徴とする請求項4乃至請求項6のいずれか1項に記載のネットワーク管理システム。 The network management device includes a second input requesting unit that requests input of the second authentication information in response to confirmation that the user has left the high security level area.
The control means of the network management device authenticates the user on the network when the second authenticated information input in response to the input request by the second input request means is not authenticated. The network management system according to any one of claims 4 to 6, wherein the network management system is controlled to cancel.
を特徴とする請求項4乃至請求項6のいずれか1項に記載のネットワーク管理システム。 The control means of the network management device controls to cancel the authentication of the user on the network in response to a lapse of a certain period of time after the user is confirmed to leave the high security level area. The network management system according to any one of claims 4 to 6, wherein:
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2005167587A JP2006343886A (en) | 2005-06-07 | 2005-06-07 | Network management system |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2005167587A JP2006343886A (en) | 2005-06-07 | 2005-06-07 | Network management system |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2006343886A true JP2006343886A (en) | 2006-12-21 |
Family
ID=37640828
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2005167587A Pending JP2006343886A (en) | 2005-06-07 | 2005-06-07 | Network management system |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2006343886A (en) |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2009098767A (en) * | 2007-10-15 | 2009-05-07 | Chugoku Electric Power Co Inc:The | Entrance/exit management system and entrance/exit management method |
JP2009251656A (en) * | 2008-04-01 | 2009-10-29 | Nec Corp | User authentication system, user authentication method, and program |
JP2010176168A (en) * | 2009-01-27 | 2010-08-12 | Hitachi Software Eng Co Ltd | Information leakage prevention system |
JP2015055960A (en) * | 2013-09-11 | 2015-03-23 | 三菱電機株式会社 | Monitoring device, information processing system, monitoring method, and program |
JP2019508912A (en) * | 2015-11-23 | 2019-03-28 | スプリーマ インコーポレイテッド | Method and system for managing door entry using beacon signal |
US10755503B2 (en) | 2015-11-23 | 2020-08-25 | Suprema Inc. | Method and system for managing door access using beacon signal |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2000259567A (en) * | 1999-03-09 | 2000-09-22 | Toshiba Corp | Device and method for controlling access and storage medium |
JP2001175601A (en) * | 1999-12-15 | 2001-06-29 | Business Pooto Syst:Kk | Guarantee system for uniqueness of access right |
JP2004246553A (en) * | 2003-02-13 | 2004-09-02 | Mitsubishi Electric Corp | Management equipment, system, method, and program |
JP2004355318A (en) * | 2003-05-29 | 2004-12-16 | Art:Kk | Computer usage management system and method and audiovisual apparatus usage managerial system and method |
-
2005
- 2005-06-07 JP JP2005167587A patent/JP2006343886A/en active Pending
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2000259567A (en) * | 1999-03-09 | 2000-09-22 | Toshiba Corp | Device and method for controlling access and storage medium |
JP2001175601A (en) * | 1999-12-15 | 2001-06-29 | Business Pooto Syst:Kk | Guarantee system for uniqueness of access right |
JP2004246553A (en) * | 2003-02-13 | 2004-09-02 | Mitsubishi Electric Corp | Management equipment, system, method, and program |
JP2004355318A (en) * | 2003-05-29 | 2004-12-16 | Art:Kk | Computer usage management system and method and audiovisual apparatus usage managerial system and method |
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2009098767A (en) * | 2007-10-15 | 2009-05-07 | Chugoku Electric Power Co Inc:The | Entrance/exit management system and entrance/exit management method |
JP2009251656A (en) * | 2008-04-01 | 2009-10-29 | Nec Corp | User authentication system, user authentication method, and program |
JP2010176168A (en) * | 2009-01-27 | 2010-08-12 | Hitachi Software Eng Co Ltd | Information leakage prevention system |
JP2015055960A (en) * | 2013-09-11 | 2015-03-23 | 三菱電機株式会社 | Monitoring device, information processing system, monitoring method, and program |
JP2019508912A (en) * | 2015-11-23 | 2019-03-28 | スプリーマ インコーポレイテッド | Method and system for managing door entry using beacon signal |
US10755503B2 (en) | 2015-11-23 | 2020-08-25 | Suprema Inc. | Method and system for managing door access using beacon signal |
US11373468B2 (en) | 2015-11-23 | 2022-06-28 | Suprema Inc. | Method and system for managing door access using beacon signal |
US11804086B2 (en) | 2015-11-23 | 2023-10-31 | Suprema Inc. | Method and system for managing door access using beacon signal |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP4174535B2 (en) | Authentication system and authentication method for authenticating wireless terminal | |
US8549584B2 (en) | Physical security triggered dynamic network authentication and authorization | |
US7437755B2 (en) | Unified network and physical premises access control server | |
US9237139B2 (en) | Controlling access to a secure resource based on user credentials and location | |
US20070050634A1 (en) | Service authentication system, server, network equipment, and method for service authentication | |
JP2006343880A (en) | Network management system | |
CN102307099A (en) | Authentication method and system as well as authentication server | |
JP2006343886A (en) | Network management system | |
US11165773B2 (en) | Network device and method for accessing a data network from a network component | |
JP4752436B2 (en) | Cooperation control apparatus and network management system | |
US8590015B2 (en) | Method and device to suspend the access to a service | |
JP4882511B2 (en) | Cooperation control device | |
JP2006227756A (en) | Cooperation controller | |
JP4894431B2 (en) | Cooperation control device | |
WO2020162550A1 (en) | Electronic unlocking management system and program | |
JP2005167580A (en) | Access control method and apparatus in wireless lan system | |
JP2010055197A (en) | Cooperation controller | |
JP5170982B2 (en) | Entrance / exit information device | |
JP4894432B2 (en) | Cooperation control device | |
JP4797685B2 (en) | Cooperation control apparatus and network management system | |
JP2008077364A (en) | Cooperation control apparatus | |
JPWO2009041387A1 (en) | Authentication device, device authentication system and program | |
JP2000354056A (en) | Computer network system and method for controlling access to the same | |
JP5238409B2 (en) | Cooperation control system and cooperation control apparatus | |
US8893245B2 (en) | Method and device for propagating session management events |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20080319 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20110124 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20110208 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20110712 |