まず、図1を用いて、本発明の実施の形態として示すネットワーク管理システムについて説明をする。図1に示すように、ネットワーク管理システム1は、設備系システム10と、ネットワーク認証システム20とが情報ブレーカ30によって相互に接続されて構成されている。
設備系システム10は、セキュリティレベルの低い領域(低度セキュリティレベル領域)から、機密情報などを扱うセキュリティレベルの高い領域(高度セキュリティレベル領域)への出入を管理する。
ネットワーク認証システム20は、設備系システム10で管理される高度セキュリティレベル領域内に構築されたネットワークである。ネットワーク認証システム20では、例えば、機密情報などを管理しており、認証されたユーザに対してのみ、ネットワークに接続された情報端末装置からのログオンを認め、機密情報へのアクセスを許可する。
設備系システム10としては、上述した低度セキュリティレベル領域から、高度セキュリティレベル領域への出入を管理する形態であればどのようなものであってもよいが、例えば、図1に示すように、高度セキュリティレベル領域と低度セキュリティレベル領域とを扉などで隔て、認証処理に応じて各領域への移動を認める設備系システム10Aや、扉などの物理的な障壁を設けずに、高度セキュリティレベル領域、低度セキュリティレベル領域にいるユーザを認識する設備系システム10Bなどを適用することができる。
設備系システム10Aは、高度セキュリティレベル領域への入室を希望するユーザ全てに対して認証処理を行い、あらかじめ登録された正当なユーザのみを認証して高度セキュリティレベル領域への入室を許可する。また、設備系システム10Aは、必要に応じて高度セキュリティレベル領域から退室を希望するユーザに対して認証処理を行い、高度セキュリティレベル領域からの退室を許可する。低度セキュリティレベル領域と、高度セキュリティレベル領域とは、電気的な作用により施錠、解錠することができる電気錠を備える扉(ドア)によって隔てられている。
具体的には、設備系システム10Aは、高度セキュリティレベル領域外に設けられた入室用カードリーダ11により、ユーザが所有する、例えば非接触のICカード(Integrated Circuit)2の半導体メモリ内に格納された情報を読み取り、読み取った情報のうちの被認証情報であるカードIDに基づき正当なユーザであると認証された場合に、入退室コントロールユニット13の制御により施錠されていた電気錠を解錠することで、高度セキュリティレベル領域への入室を許可する。
また、設備系システム10Aは、高度セキュリティレベル領域からの退室時には、高度セキュリティレベル領域内に設けられた退室用カードリーダ12により、ICカード2の上述した情報を読み取り、正当なユーザであると認証された場合に、入退室コントロールユニット13の制御により施錠されていた電気錠を解錠することで、高度セキュリティレベル領域からの退室を許可する。
設備系システム10Aは、このような認証処理により、施錠された電気錠を解錠する場合には、ユーザが所有するICカード2に格納された情報のうち、ICカード2を一意に特定するカードIDと、解錠した扉に固有の扉IDと、入室か退室かを示す情報とを入退室コントロールユニット13から後述する情報ブレーカ30に送信する。入室か退室かを示す情報は、例えば、入室用カードリーダ11又は退室用カードリーダ12をそれぞれ一意に特定する機器IDで示すようにしてもよい。
一方、設備系システム10Bは、図1に示すように、低度セキュリティレベル領域である共用ゾーンZ1や、高度セキュリティレベル領域である特定ゾーンZ2に設置されたゾーン監視センサ15と、ユーザが所有する非接触のICカード2との無線通信により、ユーザが所有するICカード2からカードIDを取得し、認証用コントロールユニット16で認証処理することで、各ゾーンに存在するユーザを認識する。なお、設備系システム10Bにおいて用いられるICカード2は、例えば、アクティブ対応のRFID(Radio Frequency IDentification)タグと同等の機能を有している。
設備系システム10Bは、ユーザが所有するICカード2に格納された情報のうち、ICカード2を一意に特定する被認証情報であるカードIDと、カードIDを取得したゾーン監視センサ15を一意に特定する機器IDとを認証用コントロールユニット16から後述する情報ブレーカ30に送信する。
ネットワーク認証システム20は、高度セキュリティレベル領域内に構築され、端末装置21n(nは、自然数。)からのネットワークへの接続を認証装置22、認証サーバ23による認証処理に応じて許可する。
具体的には、ネットワーク認証システム20は、IEEE(米国電気電子技術者協会)802.1Xで策定されたLAN(Local Area Network)スイッチや無線LANアクセス・ポイントに接続するユーザを認証する技術を用いて、端末装置21nからのアクセス要求であるネットワーク接続要求に応じた認証処理を行う。IEEE802.1Xは、LANの利用の可否を制御するEthernet(登録商標)上のプロトコルである。また、ユーザの認証には、認証用プロトコルとしてRADIUS(Remote Authentication Dial-In-User-Service)を用いた通信により、認証すべきユーザを集中管理することができるRADIUSサーバが用いられる。
端末装置21nは、高度セキュリティレベル領域に入室したユーザによって使用可能な、いわゆるPC(Personal Computer)であり、認証装置22、認証サーバ23と情報のやり取りをし、ネットワークへの接続を要求するためのサプリカントと呼ばれる認証クライアント・ソフトウェアを保持している。
認証装置22は、複数の端末装置21nに対して有線又は無線で接続され、認証サーバ23と端末装置21nとの認証処理を中継する中継装置として機能する。認証装置22は、RADIUSサーバに対するRADIUSクライアントとして機能し、RADIUSサーバとの通信には、認証用プロトコルとしてRADIUSを用いた通信を行う。
認証装置22は、認証装置22a、22bのような、IEEE802.1X、RADIUSに対応したLANスイッチや無線LANアクセス・ポイントなどであり、認証サーバ23と連携してポート毎に端末装置21nをネットワークへ接続する。
認証サーバ23は、RADIUS認証におけるRADIUSサーバであり、端末装置21nを介して、ネットワークへの接続を要求するユーザに関する情報を保持する図示しないユーザ情報記憶部を備え、RADIUSクライアントである認証装置22を介して端末装置21nの認証処理を行い、認証結果に応じてネットワークへの接続の可否を通知する。
認証サーバ23が備える図示しないユーザ情報記憶部は、ユーザをネットワークにおいて一意に特定するための被認証情報であるアカウントIDとアカウントIDに対応するパスワードを保持している。
ネットワーク認証システム20による実際の認証手順は、EAP(Extensible Authentication Protocol)によって規定される。ネットワーク認証システム20では、IEEE802.1Xで使用できる様々なEAP、例えば、EAP−MD5(EAP−Message Digest alogorithm5)、PEAP(Protected-EAP)といった認証処理にユーザID(アカウントID)とパスワードとを入力することが要求されるEAPや、デジタル電子証明書を使って認証するEAP−TLS(EAP-Transport Layer Security)などを利用できる。
続いて、図2を用いて、情報ブレーカ30の構成について説明をする。図2に示すように、情報ブレーカ30は、外部システムI/F(インターフェース)31と、情報変換部32と、内部データベース33と、ネットワークI/F(インターフェース)34と、RADIUS認証部35と、認証処理部36と、認証状態制御部37と、情報管理部38と、認証ログ記憶部39とを備えている。
情報ブレーカ30は、ネットワーク認証システム20の認証装置22と認証サーバ23との間で、認証処理時にやり取りされる認証用のパケットを経由するように設けられ、設備系システム10とネットワーク認証システム20とを連携制御する連携制御装置として機能する。
情報ブレーカ30は、設備系システム10から送信される情報を用いて、低度セキュリティレベル領域から高度セキュリティレベル領域への移動などといった設備系システム10におけるユーザの出入状態の変化を把握し、このユーザの出入状態の変化に応じて、端末装置21nから認証装置22を介して認証サーバ23へとアクセス要求として送信される認証用のパケットであるネットワーク認証要求を通過させるのか、それとも通過させずに認証サーバ23での認証の事前に拒否してしまうのかを判断することができる。
また、情報ブレーカ30は、ユーザがネットワークへの接続が既に認証されている状態において、設備系システム10から送信される情報を利用して、高度セキュリティレベル領域から低度セキュリティレベル領域への移動などといった設備系システム10におけるユーザの出入状態の変化を把握し、このユーザの出入状態の変化に応じて、強制的に再認証要求を行い、認証結果に応じて認証拒否や接続されたネットワークを切断するよう制御することができる。
外部システムI/F31は、設備系システム10と当該情報ブレーカ30とを接続するための通信インターフェースである。外部システムI/F31を介した設備系システム10と情報ブレーカ30との通信は、例えば、Ethernet(登録商標)などの通信規格を利用することができる。また、外部システムI/F31を介した設備系システム10と情報ブレーカ30との通信は、TCP/IPベースの通信に限らず、非IPのフィールドバスなどを利用することもできる。
情報変換部32は、外部システムI/F31を介して、当該情報ブレーカ30に入力された情報を所定のデータ形式に変換して内部データベース33へ格納させる。
内部データベース33は、情報ブレーカ30で利用する各種情報を記憶するデータベースであり、ユーザ毎に定義された静的な情報を記憶するユーザ情報記憶部33Aと、ユーザの現在の状態を示す動的な情報を記憶する認証状態記憶部33Bと、設備系システム10やネットワーク認証システム20に関連して定義された静的な情報を記憶するシステム情報記憶部33Cとを備えている。
ユーザ情報記憶部33Aは、ユーザをネットワークにおいて一意に特定するための被認証情報であるアカウントID毎に、あらかじめ登録されたユーザが保持しているICカード2のカードIDと、このユーザがネットワーク認証された際に、認証を維持できる時間を示した滞在可能時間情報とを関係付けて記憶している。ユーザ情報記憶部33Aに記憶された情報は、静的情報であり、一旦設定されると新たなユーザ登録やシステム変更などがあるまで変更されず保持される。ユーザ情報記憶部33Aの情報の更新処理は、後述する情報管理部38にて実行される。
図3に、ユーザ情報記憶部33Aで記憶保持している情報とその内容との一例を示す。カードIDは、設備系システム10の出入時に使用されるICカード2のカードIDである。情報変換部32は、設備系システム10からカードIDを通知された場合に、ユーザ情報記憶部33Aを参照することでアカウントIDを取得し、このアカウントIDに基づき認証状態記憶部33Bの更新処理などを実行する。また、1人のユーザが、ICカード2を複数枚所持している場合もあるため、このカードIDは、一つのアカウントIDに対して複数登録される場合もある。
滞在可能時間情報は、このアカウントIDで特定されるユーザに与えられた、ネットワーク認証を維持することが認められた時間を示す情報である。この滞在可能時間情報は、ネットワークの再認証時に、ユーザが現在までどれだけネットワークを使用したかを示す時間情報と比較され、ネットワーク使用時間が、滞在可能時間を超えた場合には、ネットワークへの再認証要求が無効とされる。ユーザが現在までどれだけネットワークを使用したかを示す時間情報は、認証状態記憶部33Bに記憶されているネットワーク認証が許可された時刻を示す後述する認証時刻情報から認証処理部36によって求められる。
認証状態記憶部33Bは、ユーザをネットワークにおいて一意に特定するための被認証情報であるアカウントID毎に、滞在中領域番号情報と、入り時刻情報と、認証時刻情報と、認証装置IDと、認証装置ポート番号情報とを関係付けて記憶している。認証状態記憶部33Bに記憶される情報は、動的情報であり、設備系システム10で管理されているユーザの出入状態、ネットワーク認証システム20で管理されているユーザのネットワーク認証状態などに応じて情報変換部32、認証処理部36により随時更新されていく。
図4に、認証状態記憶部33Bに記憶される情報とその内容との一例を示す。滞在中領域番号情報は、ユーザが、現在、滞在しているセキュリティレベル領域、例えば、高度セキュリティレベル領域、低度セキュリティレベル領域を特定する番号情報である。設備系システム10の各セキュリティレベル領域は、それぞれを一意に特定する識別番号が付与されている。情報変換部32は、設備系システム10において状態変化があった際に通知される情報から、ユーザが現在どのセキュリティレベル領域にいるのかを特定して、そのセキュリティレベル領域を示す領域番号情報を滞在中領域番号情報として、認証状態記憶部33Bに記憶させる。
例えば、設備系システム10Aでは、状態変化があった場合に、入退室コントロールユニット13から入室扉ID又は退室扉IDが送信されるが、情報変換部32は、この入室扉ID又は退室扉IDを用いて、後述するシステム情報記憶部33Cに入室扉ID、退室扉IDと関係付けて記憶されているセキュリティレベル領域を特定する領域番号情報を取得し、この領域番号情報を滞在中領域番号情報として、認証状態記憶部33Bに書き込む。
入り時刻情報は、設備系システム10より状態変化があった際に送信される信号を受信した時刻であり、滞在中領域番号情報として示されるセキュリティレベル領域での滞在が開始された時刻を示している。この入り時刻情報は、ネットワーク認証時、再認証時において、当該セキュリティレベル領域の滞在可能時間情報や利用可能時刻情報との比較に用いられる。
認証時刻情報は、ユーザのネットワーク認証が許可された時刻を示している。認証処理部36は、ネットワーク再認証時に、この認証時刻情報から、ユーザのネットワーク利用時間を求め、このネットワーク利用時間と、ユーザ毎に規定されている滞在可能時間情報又はセキュリティレベル領域毎に規定されている滞在可能時間情報との比較に使用する。
認証装置IDは、ネットワーク認証要求を送信したユーザが端末装置21nを介して接続している認証装置22のIPアドレスを示している。この認証装置IDは、SNMPによる強制切断処理時に使用される。
認証装置ポート番号情報は、ネットワーク認証要求を送信したユーザが端末装置21nを介して接続している認証装置22のポート番号を示している。この認証装置ポート番号情報は、SNMPによる強制切断処理時に使用される。
システム情報記憶部33Cは、設備系システム10の各セキュリティレベル領域をそれぞれ一意に特定するための識別番号である領域番号情報毎に、入室扉IDと、退室扉IDと、利用可能時刻情報と、滞在可能時間情報と、認証装置IDとを関係付けて記憶している。システム情報記憶部33Cに記憶された情報は、静的情報であり、一旦設定されるとシステム変更などがあるまで変更されずに保持される。システム情報記憶部33Cの情報更新処理は、後述する情報管理部38にて実行される。
図5に、システム情報記憶部33Cで記憶保持している情報とその内容との一例を示す。入室扉ID、退室扉IDは、設備系システム10Aのように扉によってセキュリティレベル領域が隔てられている設備系システム10に対応するために用意されている。
入室扉IDは、設備系システム10に設けられた入口扉のIDであり、入口扉と1対1で対応している設備系システム10Aの入室用カードリーダ11のIDを使用する。退室扉IDは、設備系システム10に設けられた出口扉のIDであり、出口扉と1対1で対応している設備系システム10Aの退室用カードリーダ12のIDを使用する。入室扉ID、退室扉IDは、セキュリティレベル領域に設けられている扉の数に応じて、複数設定することができる。
利用可能時刻情報は、このセキュリティレベル領域にて、ネットワークの利用が許可されている時間帯を示す情報である。具体的には、利用可能時刻情報は、ネットワークの利用が許可されている開始時刻情報と、終了時刻情報とを対にした時刻情報である。この利用可能時刻情報は、ネットワークの認証時、再認証時にて使用される。
滞在可能時間情報は、このセキュリティレベル領域にて、ネットワークの認証が認められる時間を示した情報である。滞在可能時間情報は、ネットワークの再認証時に、ユーザが現在までどれだけネットワークを使用したかを示す時間情報と比較され、ネットワーク使用時間が、滞在可能時間を超えた場合には、ネットワークへの再認証要求が無効とされる。このとき、当該システム情報記憶部33Cに記憶されている滞在可能時間情報、ユーザ情報記憶部33Aに記憶されている滞在可能時間情報のうち、いずれか時間の短い方が優先的に使用されることになる。
認証装置IDは、このセキュリティレベル領域に設置されている認証装置22のIPアドレスを示してる。この認証装置IDは、セキュリティレベル領域に設定された認証装置22の数に応じて、複数設定することができる。
ネットワークI/F34は、当該情報ブレーカ30と、認証装置22、認証サーバ23との通信を行うための通信インターフェースである。ネットワークI/F34は、Ethernet(登録商標)やTCP/IPスタックに相当する。
RADIUS認証部35は、認証要求中継部35Aと、要求中継判断部35Bと、機器設定記憶部35Cとを備え、RADIUS認証に関連する処理を実行する。
認証要求中継部35Aは、RADIUS認証において認証装置22、認証サーバ23間で送受信されるRADIUSパケットを中継する。このとき、認証要求中継部35Aは、ネットワーク認証要求のRADIUSパケットに含まれるアカウントIDなど認証処理部36での認証処理に必要となる情報を取得する。またRADIUSの規格で定義されている認証符号の再計算を行う機能も有している。
要求中継判断部35Bは、認証処理部36でなされた認証判断に基づき、認証サーバ23に対してネットワーク認証要求を送信するか、ネットワーク認証要求を拒否するかの最終的な判断をする。要求中継判断部35Bは、拒否応答する場合には、拒否応答パケットを生成し認証装置22に送信する。
機器設定記憶部35Cは、RADIUS通信の正当性を確認するために必要となる認証装置22、認証サーバ23それぞれで保持される全ての秘密共有鍵を、通信相手のIPアドレスと対応付けて管理する。
認証処理部36は、認証装置22から送信されるネットワーク認証要求のRADIUSパケットに含まれるアカウントIDと、内部データベース33のユーザ情報記憶部33Aに記憶されている情報とを用いて認証処理をし、ネットワーク認証要求を認証サーバ23へと送信するのかどうかを判断する。
認証状態制御部37は、認証装置22が外部からの認証状態制御に対応している場合、ユーザの行動状態が変化したことに応じて、即座に認証状態をリセットするための要求を送信する。
この認証状態制御部37は、認証装置22が、MIB(Management Information Base)と呼ばれる管理情報データベースを保持している場合に動作する機能部である。具体的には、IETF(Internet Engineering Task Force )で標準化されたTCP/IPネットワーク環境での管理プロトコルであるSNMP (Simple Network Management Protocol)にて、上述した管理情報であるMIBを交換することで、当該認証状態制御部37により認証装置22を管理することができる。つまり、認証装置22にSNMPエージェントが与えられた場合に、認証状態制御部37は、SNMPマネージャとして機能する。例えば、MIBとしては、IEEE802.1xで規定されたものを使用することができる。
情報管理部38は、ユーザ情報記憶部33A、システム情報記憶部33Cに記憶されている静的情報や、機器設定記憶部35Cに記憶されている設定情報などを、HTTP(S)サーバやTelnetなどを利用して外部から管理することができる。
認証ログ記憶部39は、認証処理部36による認証処理結果や機器動作状態のログを記憶する。認証ログ記憶部39は、Syslog出力機能を有している。
続いて、図6、図7、図8に示すタイミングチャートを用いて、情報ブレーカ30を用いたネットワーク管理システム1の処理動作について説明をする。
[ネットワーク管理システム1の基本処理動作]
まず、図6に示すタイミングチャートを用いて、情報ブレーカ30を用いたネットワーク管理システム1の基本処理動作について説明をする。なお、説明のため、設備系システム10としては、設備系システム10Aを使用した場合について説明をする。
ステップS1において、ユーザは、低度セキュリティレベル領域からネットワークが構築されている高度セキュリティレベル領域へと、入退室コントロールユニット13によって管理された扉から入室するとする。
具体的には、ユーザは、入室用カードリーダ11にICカード2を翳す。これに応じて、入退室コントロールユニット13は、ICカード2の半導体メモリに格納されている情報を読み取り、カードIDを認証して施錠された扉の電気錠を解錠する。
入退室コントロールユニット13は、ICカード2から読み取ったカードIDを情報ブレーカ30に送信する。また、入退室コントロールユニット13は、電気錠を解錠した扉を一意に特定する入室扉ID、入室であることを示す情報を送信する。
情報ブレーカ30の情報変換部32は、外部システムI/F31を介して設備系システム10から送信される情報を認証処理で使用できるように変換し、内部データベース33の認証状態記憶部33Bに記憶させ、設備系システム10の高度セキュリティレベル領域におけるユーザの現在の出入状態を記憶する。
具体的には、情報変換部32は、入退室コントロールユニット13から送信されたICカード2のカードIDを用いて、ユーザ情報記憶部33Aを参照し、このカードIDに対応付けて記憶されているアカウントIDを取得する。また、情報変換部32は、入退室コントロールユニット13から送信された入室扉IDを用いて、システム情報記憶部33Cを参照し、この入室扉IDに対応付けて記憶されている高度セキュリティレベル領域を特定する領域番号情報を取得する。
そして、情報変換部32は、システム情報記憶部33Cから取得した領域番号情報を、ユーザが現在滞在している高度セキュリティレベル領域であることを示す滞在中領域番号情報として、ユーザ情報記憶部33Aから取得したアカウントIDと対応付けて、認証状態記憶部33Bに記憶させる。
また、情報変換部32は、入退室コントロールユニット13から、カードID、入室扉IDを受け取った時刻を、ユーザが高度セキュリティレベル領域へと入った入り時刻情報として、認証状態記憶部33Bに記憶させる。
ステップS2において、高度セキュリティレベル領域に入室したユーザは、端末装置21nから認証装置22を介して、IEEE802.1Xの手順に従い、アクセス要求としてネットワーク認証要求を送信することでネットワークへの接続を試みる。
初期状態では、端末装置21nとネットワーク間の回線は、認証装置22によって切断されているため、端末装置21nは、認証装置22との通信しか行うことができない。
まず、ユーザは、ネットワークに接続するために、端末装置21nからアカウントID及びパスワードを入力し認証装置22へ認証用のパケットであるネットワーク認証要求を送信する。
端末装置21nは、ネットワーク認証要求をEAPメッセージの入ったMAC(Media Access Control)フレームとして認証装置22へ送信する。このとき、アカウントIDは平文で、パスワードはハッシュ化された状態で送信される。
認証装置22は、MACフレームからEAPメッセージを取り出し、IPパケットに乗せ換え、情報ブレーカ30へと送信をする。具体的には、認証装置22は、IPの上位層のUDPを利用して、認証装置22から取り出したEAPメッセージをRADIUSパケットのデータ部分に格納して情報ブレーカ30へと送信する。
認証装置22と認証サーバ23とのRADIUS認証処理における認証シーケンスにおいて、認証装置22からネットワーク認証要求として送信される最初のRADIUSパケットのEAPメッセージにのみ、平文のアカウントIDであるEAP−Type=Identityデータが存在する。RADIUSパケットには、このアカウントIDの他に、認証装置22の情報として認証装置22のIPアドレス、端末装置21nが接続された認証装置22のポート番号などがRADIUS属性情報として記述されている。
ステップS3において、RADIUS認証部35の認証要求中継部35Aは、ネットワークI/F34を介して受信したネットワーク認証要求のRADIUSパケットのEAPメッセージに添付されたIdentityデータを取得して認証処理部36に出力する。また、認証要求中継部35Aは、受信したネットワーク認証要求のRADIUSパケットより認証装置22のIPアドレスを取得して認証処理部36に出力する。
ステップS4において、認証処理部36は、取得したIdentiyデータのアカウントIDをキーとして、内部データベース33の認証状態記憶部33Bに格納されているユーザの高度セキュリティレベル領域における現在の出入状態を示す情報である滞在中領域番号情報と、入り時刻情報とを要求する。また、認証処理部36は、取得した認証装置22のIPアドレスをキーとして、内部データベース33のシステム情報記憶部33Cに格納されている認証装置22の設置されている高度セキュリティレベル領域を特定する領域番号情報と、利用可能時刻情報とを要求する。この領域番号情報は、ネットワーク認証要求を送信した認証装置22が設置されている高度セキュリティレベル領域を示すことになる。
ステップS5において、認証処理部36は、認証状態記憶部33Bから取得したユーザの高度セキュリティレベル領域における現在の出入状態を示す情報である滞在中領域番号情報、入り時刻情報、システム情報記憶部33Cから取得した領域番号情報、利用可能時刻情報より、認証装置22から送信されたネットワーク認証要求を認証サーバ23へと転送してよいかどうかを判断する。
また、認証状態記憶部33Bから取得した情報より、該当するユーザが高度セキュリティレベル領域に存在し、既にネットワーク上での認証がなされていることが示されている場合には、ネットワーク認証要求をしてきたユーザは、不当なユーザであることが分かるため認証状態記憶部33Bの認証状態を認証中から切断中に書き換えるようにしてもよい。
ステップS6において、認証処理部36は、ユーザ情報記憶部33Aから取得したユーザの高度セキュリティレベル領域における現在の出入状態を示す情報である滞在中領域番号情報とシステム情報記憶部33Cから取得した領域番号情報とを比較して、高度セキュリティレベルにユーザが存在し、この高度セキュリティレベル領域からネットワーク認証要求がさなれたと確認でき、さらに、システム情報記憶部33Cから取得した利用可能時刻情報と現在の時刻とを比較して、この高度セキュリティレベル領域のネットワークを利用することが許可された時刻であることが確認できたことに応じて認証判断をRADIUS認証部35の要求中継判断部35Bに通知する。
ステップS7において、要求中継判断部35Bは、認証処理部36からの認証判断に応じて、認証サーバ23へネットワーク認証要求を送信する最終的な判断をし、ネットワークI/F34を介して、ネットワーク認証要求を認証サーバ23へ送信する。
ステップS8において、認証処理部36は、認証状態記憶部33Bから取得したユーザの高度セキュリティレベル領域における現在の出入状態を示す情報である滞在中領域番号情報とシステム情報記憶部33Cから取得した領域番号情報とを比較して、高度セキュリティレベル領域にユーザが存在することが確認できなかったり、ユーザが存在している高度セキュリティレベル領域からネットワーク認証要求が送信されていないことに応じて、又は、システム情報記憶部33Cから取得した利用可能時刻情報と現在の時刻とを比較して、この高度セキュリティレベル領域のネットワークを利用することが許可されていない時刻であることが確認できたことに応じて拒否判断をRADIUS認証部35の要求中継判断部35Bに通知する。
ステップS9において、要求中継判断部35Bは、認証処理部36からの拒否判断に応じて、認証サーバ23へのネットワーク認証要求の送信を拒否し、拒否応答パケットを生成して、ネットワークI/F34を介して認証装置22へ送信する。認証装置22は、送信された拒否応答パケットに基づき、端末装置21nにネットワーク認証要求を拒否したことを示す拒否応答を通知する。
ステップS10において、認証サーバ23へネットワーク認証要求が送信されたことに応じて、EAPメッセージが添付された認証サーバ23から送信される応答パケット、端末装置21nから送信される要求パケットをやり取りすることで、ユーザのネットワーク上での認証処理が実行される。
具体的には、認証サーバ23は、ネットワーク認証要求に添付されたアカウントIDをキーとして、図示しないユーザ情報記憶部に格納されている情報との照合処理を行う。
認証サーバ23は、送信されたアカウントIDに関連付けられてユーザ情報記憶部に格納されている対象となるユーザのパスワードを所定のハッシュ関数でハッシュ化し、ネットワーク認証要求に添付されたハッシュ化されているパスワードと比較をし、ハッシュ化されたパスワード同士が一致するかどうか確認をする。
このとき、情報ブレーカ30の認証要求中継部35Aは、端末装置21nと認証サーバ23との要求パケット、応答パケットに対して何も施さずにスルーする。認証装置22は、上述したようなEAPメッセージの乗せ換えだけを行う中継装置として機能する。
ステップS11において、認証サーバ23は、当該認証サーバ23による認証がなされたことを示す認証許可通知、認証されなかったことを示す認証不許可通知のいずれかを、情報ブレーカ30のRADIUS認証部35を介して認証装置22に送信する。
認証装置22は、認証サーバ23から認証許可通知を受け取った場合には、端末装置21nとネットワークとの回線を開放する。これにより、ユーザは、端末装置21nを介してネットワークへアクセスすることができネットワーク上の他の端末装置との通信が可能となる。
認証装置22は、認証サーバ23から認証不許可通知を受け取った場合には、端末装置21nとネットワークとの回線を開放せずに、認証不許可である旨を通知するメッセージを端末装置21nに送信する。
ステップS12において、認証サーバ23から認証許可通知を受け取った場合、RADIUS認証部35の認証要求中継部35Aは、ネットワークの認証結果を内部データベース33の認証状態記憶部33Bに記憶させる。認証状態記憶部33Bに記憶させる情報としては、例えば、アカウントID、端末装置21nが接続されている認証装置22を一意に特定する機器ID、ネットワークへの接続が開放されているポート番号、認証が許可された認証時刻などである。
このようにして、情報ブレーカ30によって設備系システム10と、ネットワーク認証システム20とが相互に接続され連携されたネットワーク管理システム1では、検出される設備系システム10におけるユーザの高度セキュリティレベル領域における現在の出入状態に基づき、情報ブレーカ30が、端末装置21nからなされるネットワーク認証要求の正当性を認証サーバ23へ通知する前段で判断する。
これにより、既存のシステムに情報ブレーカ30を追加(アドオン)するだけで、設備系システム10と、ネットワーク認証システム20との連携を容易に図ることができるため、ネットワーク構築に労力をかけずに、高度セキュリティレベルへ不正に侵入したユーザのネットワークへの接続を排除することができるネットワーク管理システムを低コストで構築することができる。
また、情報ブレーカ30を設けることで、認証サーバ23において、端末装置21nから要求される疑わしいネットワーク認証要求に対する無駄な認証処理を実行する必要がないため、認証サーバ23の処理負荷、及びネットワークの負荷を大幅に低減することができる。
[ネットワーク管理システム1への不正アクセス処理対策]
続いて、情報ブレーカ30を用いたネットワーク管理システム1において、ネットワークに接続された端末装置21nからの不正アクセス処理に対する処理動作について説明をする。低度セキュリティレベル領域から高度セキュリティレベル領域へと入り、上述したような情報ブレーカ30による認証、認証サーバ23による認証を経てネットワーク上で認証されたユーザが、切断処理を実行せずに高度セキュリティレベル領域から出ていってしまう場合が考えられる。
このように、認証されたネットワークとの切断処理を実行せずに高度セキュリティレベル領域を離れてしまうと、高度セキュリティレベル領域にいる別のユーザによって不正にネットワークへアクセスされてしまう可能性が非常に高い。そこで、以下に示す2つの手法により、上述したようなネットワークへの不正なアクセスを防止することができる。
(定期的に再認証要求をする場合)
まず、図7に示すタイミングチャートを用いて、認証装置22から定期的に再認証要求を端末装置21nに送信することで、不正なアクセスを回避する手法について説明をする。
例えば、ネットワーク管理システムは、上述した図6に示すタイミングチャートのようにして高度セキュリティレベル領域へ入室したユーザにより、認証装置22、情報ブレーカ30を介して端末装置21nとネットワークとが接続されているとする。
ステップS21において、認証装置22は、予め設定された時間間隔で端末装置21nに対して、再認証要求を送信する。
ステップS22において、ユーザは、端末装置21nからアカウントID及びパスワードを入力し認証装置22へネットワーク認証要求を送信する。あるいは、端末装置21nに保持されているサプリカントが、前回のネットワーク認証において認証が許可された際に記憶したアカウントID及びパスワードを用いて、認証装置22へのネットワーク認証要求を自動的に送信する。
端末装置21nは、ネットワーク認証要求をEAPメッセージの入ったMACフレームとして認証装置22へ送信する。このとき、アカウントIDは平文で、パスワードはハッシュ化された状態で送信される。認証装置22は、MACフレームからEAPメッセージを取り出し、IPパケットに乗せ換え、情報ブレーカ30へと送信をする。
以下、ステップS23乃至ステップS25、ステップS27乃至ステップS32は、上述した図6に示すフローチャートにおけるステップS3乃至ステップS5、ステップS7乃至ステップS12までの処理と全く同じとなるため説明を省略する。
一方、ステップS26の処理であるが、認証処理部36は、ネットワークへ接続したユーザにあらかじめ与えられている高度セキュリティレベル領域への滞在可能時間が経過したこと、あるいは高度セキュリティレベル領域に定められた利用可能時刻ではないことに応じて、認証状態制御部37に対して再認証要求を送信し、認証判断を行っている。
このように、認証装置22により、定期的に再認証要求がなされることで、ネットワークへ接続したまま切断することなく高度セキュリティレベル領域から離れたとしても、情報ブレーカ30の認証処理部36による認証処理、認証サーバ23の認証処理を満足しない場合にはネットワークへの接続が許可されないため、高度セキュリティレベル領域に存在する別なユーザによる不正なアクセスを防止することができる。
(情報ブレーカ30による切断処理動作)
続いて、図8に示すタイミングチャートを用いて、一旦接続された端末装置21nのネットワークの接続を情報ブレーカ30により認証装置22を動的に制御して切断することで、不正なアクセスを回避する手法について説明をする。
例えば、ネットワーク管理システムは、上述した図6に示すタイミングチャートのようにして高度セキュリティレベル領域へ入室したユーザにより、認証装置22、情報ブレーカ30を介して端末装置21nとネットワークとが接続されているとする。
ステップS41において、ユーザは、高度セキュリティレベル領域から低度セキュリティレベル領域へと入退室コントロールユニット13によって管理された扉から退室するとする。
具体的には、ユーザは、退室用カードリーダ12にICカード2を翳す。これに応じて、入退室コントロールユニット13は、ICカード2の半導体メモリに格納されている情報を読み取り、カードIDを認証して施錠された扉の電気錠を解錠する。
入退室コントロールユニット13は、ICカード2から読み取ったカードIDを情報ブレーカ30に送信する。また、入退室コントロールユニット13は、電気錠を解錠した扉を一意に特定する退室扉ID、退室であることを示す情報を送信する。
情報ブレーカ30の情報変換部32は、外部システムI/F31を介して設備系システム10から送信される情報を認証処理で使用できるように変換し、内部データベース33の認証状態記憶部33Bに記憶させ、設備系システム10におけるユーザの現在の出入状態を記憶する。
具体的には、情報変換部32は、入退室コントロールユニット13から送信されたICカード2のカードIDを用いて、ユーザ情報記憶部33Aを参照し、このカードIDに対応付けて記憶されているアカウントIDを取得する。また、情報変換部32は、入退室コントロールユニット13から送信された退室扉IDを用いて、システム情報記憶部33Cを参照し、この退室扉IDに対応付けて記憶されている低度セキュリティレベル領域を特定する領域番号情報を取得する。
なお、高度セキュリティレベル領域から低度セキュリティレベル領域へと移動する場合には、このように低度セキュリティレベル領域を特定する領域番号情報が取得されるが、どのセキュリティレベル領域からも出ていく場合、つまり設備系システム10の管轄外に移動する場合には、領域番号情報は取得されない。
そして、情報変換部32は、システム情報記憶部33Cから取得した領域番号情報を、ユーザが現在滞在している低度セキュリティレベル領域であることを示す滞在中領域番号情報として、ユーザ情報記憶部33Aから取得したアカウントIDと対応付けて、認証状態記憶部33Bに記憶させる。情報変換部32は、領域番号情報を取得できない、設備系システム10の管轄外へ移動する場合には、認証状態記憶部33Bの滞在中領域番号情報を削除するように更新する。
また、情報変換部32は、入退室コントロールユニット13から、カードID、退室扉IDを受け取った時刻を、ユーザが低度セキュリティレベル領域へと入った入り時刻情報として、認証状態記憶部33Bに記憶させる。
ステップS42において、認証処理部36は、認証状態記憶部33Bへの書き込みがあったことに応じて、認証状態記憶部33Bを参照し、設備系システム10における状態が変化したユーザが、現在、ネットワーク上で認証中であるかどうかを判断する。具体的には、認証処理部36は、認証状態記憶部33Bの認証時刻情報、又は認証装置IDを参照して、ネットワーク上で認証中であるかどうかを判断する。そして、認証処理部36は、該当するユーザが、現在、ネットワーク上で認証中である場合には、認証状態制御部37に再認証要求を送信する。
また、認証処理部36は、ネットワークへ接続したユーザにあらかじめ与えられている高度セキュリティレベル領域への滞在可能時間が経過したこと、あるいは高度セキュリティレベル領域に対して定められている滞在可能時間が経過したこと、あるいは高度セキュリティレベル領域に定められた利用可能時刻ではないことに応じて、認証状態制御部37に対して再認証要求を送信するようにしてもよい。この場合、滞在可能時間が経過したこと、又は利用可能時刻外であることに応じて、上述のステップS41において、内部データベース33のユーザ情報記憶部33Aの該当するユーザの高度セキュリティレベル領域における出入状態が書き換えられる。
ステップS43において、認証状態制御部37は、認証処理部36から再認証要求を受信したことに応じて、内部データベース33の認証状態記憶部33Bに該当するユーザのアカウントIDに対応付けて記憶されている認証装置IDで特定される認証装置22の図示しないSNMPエージェントに対して、該当するユーザが端末装置21nを介して接続している現在のポート状態の通知を要求する(SNMP−GET)。
ステップS44において、認証装置22の図示しないSNMPエージェントは、該当するユーザが端末装置21nを介して接続している現在のポート状態を認証状態制御部37に通知する(SNMP−RESPONSE)。
ステップS45において、認証状態制御部37は、通知された現在のポート状態から該当するユーザの端末装置21nへの接続が確認された場合、認証装置22の図示しないSNMPエージェントに対して強制再認証要求を送信する(SNMP−SET)。認証装置22は、強制再認証要求を受信したことに応じて、該当するユーザがアクセスしている端末装置21nに対して再認証要求を送信する。
ステップS46において、端末装置21nは、再認証要求が送信されてから所定の時間が経過したことに応じて、認証装置22にネットワーク認証要求を自動的に送信する。
認証装置22は、MACフレームからEAPメッセージを取り出し、IPパケットに乗せ換え、情報ブレーカ30へと送信をする。
ステップS47において、RADIUS認証部35の認証要求中継部35Aは、ネットワークI/F34を介して受信したネットワーク認証要求のRADIUSパケットのEAPメッセージに添付されたIdentityデータを取得して認証処理部36に出力する。また、認証要求中継部35Aは、受信したネットワーク認証要求のRADIUSパケットより認証装置22のIPアドレスを取得して認証処理部36に出力する。
ステップS48において、認証処理部36は、取得したIdentiyデータのアカウントIDをキーとして、内部データベース33の認証状態記憶部33Bに格納されているユーザの高度セキュリティレベル領域における現在の出入状態を示す情報である滞在中領域番号情報、入り時刻情報とを要求する。また、認証処理部36は、取得した認証装置22のIPアドレスをキーとして、内部データベース33のシステム情報記憶部33Cに格納されているセキュリティレベル領域を特定する領域番号情報と、利用可能時刻情報とを要求する。この領域番号情報は、ネットワーク認証要求を送信した認証装置22が設置されているセキュリティレベル領域、この場合、高度セキュリティレベル領域を示すことになる。
ステップS49において、認証処理部36は、認証状態記憶部33Bから取得したユーザの高度セキュリティレベル領域の出入状態を示す情報であり、ここでは高度セキュリティレベル領域からの退室状態を示す情報である滞在中領域番号情報、入り時刻情報、システム情報記憶部33Cから取得した領域番号情報、利用可能時刻情報より、認証装置22から送信されたネットワーク認証要求を認証サーバ23へと転送してよいかどうかを判断する。
ステップS50において、認証処理部36は、認証状態記憶部33Bから取得したユーザの高度セキュリティレベル領域からの退室状態を示す情報である滞在中領域番号情報とシステム情報記憶部33Cから取得した領域番号情報とを比較して、高度セキュリティレベル領域にユーザが存在することが確認できなかったり、ユーザが存在している高度セキュリティレベル領域からネットワーク認証要求が送信されていないことに応じて、又は、システム情報記憶部33Cから取得した利用可能時刻情報と現在の時刻とを比較して、この高度セキュリティレベル領域のネットワークを利用することが許可されていない時刻であることが確認できたことに応じて拒否判断をRADIUS認証部35の要求中継判断部35Bに通知する。
また、認証処理部36は、認証状態記憶部33Bから認証時刻情報を取得し、現在の時刻までの経過時間を算出する。さらに、認証処理部36は、ユーザ情報記憶部33Aに記憶されている滞在可能時間情報と、システム情報記憶部33Cに記憶されている滞在可能時間情報とを取得し、いずれか時間の短い方を選択する。そして、認証処理部36は、算出した経過時間と選択された滞在可能時間情報とを比較して、経過時間の方が長かった場合には、拒否判断をRADIUS認証部35の要求中継判断部35Bに通知する。
ステップS51において、要求中継判断部35Bは、認証処理部36からの拒否判断に応じて、認証サーバ23へのネットワーク認証要求の送信を拒否し、拒否応答パケットを生成して、ネットワークI/F34を介して認証装置22へ送信する。認証装置22は、拒否応答パケットに基づき、該当するユーザによってネットワーク上へアクセスされている端末装置21nが接続されているポートを閉じて、端末装置21nをネットワークから切断する。そして、認証装置22は、送信された拒否応答パケットに基づき、端末装置21nにネットワーク認証要求を拒否したことを示す拒否応答を通知する。
このようにして、情報ブレーカ30によって設備系システム10と、ネットワーク認証システム20とが相互に接続され連携されたネットワーク管理システム1では、認証されたユーザのネットワークへの接続を、高度セキュリティレベルからの退室、高度セキュリティレベル領域での滞在可能時間の経過といった設備系システム10の高度セキュリティレベル領域におけるユーザの出入状態の変化に応じて、情報ブレーカ30より再認証要求がなされる。
このとき、認証装置22がMIBを保持している場合には、SNMPマネージャとなる認証状態制御部37により、認証装置22に対して強制再認証要求がなされる。これに応じた端末装置21nからのネットワーク認証要求に基づき、認証処理部36で拒否判断がなされ認証装置22のSNMPエージェントにより、端末装置21nのネットワークへの接続が切断される。
これにより、既存のシステムに情報ブレーカ30を追加(アドオン)してネットワーク管理システム1を構築することで、ネットワーク上で認証されたユーザが、ネットワークへの接続を切断することなく高度セキュリティレベル領域に存在しない状態に出入状態が変化した場合でも、自動的にネットワークへの接続が切断されるため、高度セキュリティレベル領域にいる別のユーザによるネットワークへの不正なアクセスを防止することができる。
なお、本発明の実施の形態において、ユーザは、自身が所有するICカードに格納されたカードIDを被認証情報として用い、設備系システム10における認証処理を行っているが、本発明はこれに限定されるものではなく、設備系システム10においてユーザが一意に特定されればよいので、例えば、被認証情報として指紋情報、虹彩情報といった生体情報を用い、生体認証処理を実行することで設備系システム10における認証処理を行ってもよい。
また、端末装置21nから、ネットワークへアクセスする際にも、この生体情報を用いた生体認証処理を実行するようにしてもよい。
なお、上述の実施の形態は本発明の一例である。このため、本発明は、上述の実施形態に限定されることはなく、この実施の形態以外であっても、本発明に係る技術的思想を逸脱しない範囲であれば、設計等に応じて種々の変更が可能であることは勿論である。