まず、図1を用いて、本発明の実施の形態として示すネットワーク管理システムについて説明をする。図1に示すように、ネットワーク管理システム1は、設備系システム10と、ネットワーク認証システム20とが情報ブレーカ30によって相互に接続されて構成されている。
設備系システム10は、セキュリティレベルの低い領域(低度セキュリティレベル領域)から、機密情報などを扱うセキュリティレベルの高い領域(高度セキュリティレベル領域)への出入を管理する。
ネットワーク認証システム20は、設備系システム10で管理される高度セキュリティレベル領域内に構築されたネットワークである。ネットワーク認証システム20では、例えば、機密情報などを管理しており、認証されたユーザに対してのみ、ネットワークに接続された情報端末装置からのログオンを認め、機密情報へのアクセスを許可する。
設備系システム10としては、上述した低度セキュリティレベル領域から、高度セキュリティレベル領域への出入を管理する形態であればどのようなものであってもよいが、例えば、図1に示すように、高度セキュリティレベル領域と低度セキュリティレベル領域とを扉などで隔て、認証処理に応じて各領域への移動を認める設備系システム10Aや、扉などの物理的な障壁を設けずに、高度セキュリティレベル領域、低度セキュリティレベル領域にいるユーザを認識する設備系システム10Bなどを適用することができる。
設備系システム10Aは、高度セキュリティレベル領域への入室を希望するユーザ全てに対して認証処理を行い、あらかじめ登録された正当なユーザのみを認証して高度セキュリティレベル領域への入室を許可する。また、設備系システム10Aは、必要に応じて高度セキュリティレベル領域から退室を希望するユーザに対して認証処理を行い、高度セキュリティレベル領域からの退室を許可する。低度セキュリティレベル領域と、高度セキュリティレベル領域とは、電気的な作用により施錠、解錠することができる電気錠を備える扉(ドア)によって隔てられている。
具体的には、設備系システム10Aは、高度セキュリティレベル領域外に設けられた入室用カードリーダ11により、ユーザが所有する、例えば非接触のICカード(Integrated Circuit)2の半導体メモリ内に格納された情報を読み取り、読み取った情報のうちの被認証情報であるカードIDに基づき正当なユーザであると認証された場合に、入退室コントロールユニット13の制御により施錠されていた電気錠を解錠することで、高度セキュリティレベル領域への入室を許可する。
また、設備系システム10Aは、高度セキュリティレベル領域からの退室時には、高度セキュリティレベル領域内に設けられた退室用カードリーダ12により、ICカード2の上述した情報を読み取り、正当なユーザであると認証された場合に、入退室コントロールユニット13の制御により施錠されていた電気錠を解錠することで、高度セキュリティレベル領域からの退室を許可する。
設備系システム10Aは、このような認証処理により、施錠された電気錠を解錠する場合には、ユーザが所有するICカード2に格納された情報のうち、ICカード2を一意に特定するカードIDと、解錠した扉に固有の扉IDと、入室か退室かを示す情報とを入退室コントロールユニット13から後述する情報ブレーカ30に送信する。入室か退室かを示す情報は、例えば、入室用カードリーダ11又は退室用カードリーダ12をそれぞれ一意に特定する機器IDで示すようにしてもよい。
一方、設備系システム10Bは、図1に示すように、低度セキュリティレベル領域である共用ゾーンZ1や、高度セキュリティレベル領域である特定ゾーンZ2に設置されたゾーン監視センサ15と、ユーザが所有する非接触のICカード2との無線通信により、ユーザが所有するICカード2からカードIDを取得し、認証用コントロールユニット16で認証処理することで、各ゾーンに存在するユーザを認識する。なお、設備系システム10Bにおいて用いられるICカード2は、例えば、アクティブ対応のRFID(Radio Frequency IDentification)タグと同等の機能を有している。
設備系システム10Bは、ユーザが所有するICカード2に格納された情報のうち、ICカード2を一意に特定する被認証情報であるカードIDと、カードIDを取得したゾーン監視センサ15を一意に特定する機器IDとを認証用コントロールユニット16から後述する情報ブレーカ30に送信する。
ネットワーク認証システム20は、高度セキュリティレベル領域内に構築され、端末装置21n(nは、自然数。)からのネットワークへの接続を認証装置22、認証サーバ23による認証処理に応じて許可する。
具体的には、ネットワーク認証システム20は、IEEE(米国電気電子技術者協会)802.1Xで策定されたLAN(Local Area Network)スイッチや無線LANアクセス・ポイントに接続するユーザを認証する技術を用いて、端末装置21nからのアクセス要求であるネットワーク認証要求に応じた認証処理を行う。IEEE802.1Xは、LANの利用の可否を制御するEthernet(登録商標)上のプロトコルである。また、ユーザの認証には、認証用プロトコルとしてRADIUS(Remote Authentication Dial-In-User-Service)を用いた通信により、認証すべきユーザを集中管理することができるRADIUSサーバが用いられる。
端末装置21nは、高度セキュリティレベル領域に入室したユーザによって使用可能な、いわゆるPC(Personal Computer)であり、認証装置22、認証サーバ23と情報のやり取りをし、ネットワークへの接続を要求するためのサプリカントと呼ばれる認証クライアント・ソフトウェアを保持している。
認証装置22は、複数の端末装置21nに対して有線又は無線で接続され、認証サーバ23と端末装置21nとの認証処理を中継する中継装置として機能する。認証装置22は、RADIUSサーバに対するRADIUSクライアントとして機能し、RADIUSサーバとの通信には、認証用プロトコルとしてRADIUSを用いた通信を行う。
認証装置22は、認証装置22a、22bのような、IEEE802.1X、RADIUSに対応したLANスイッチや無線LANアクセス・ポイントなどであり、認証サーバ23と連携してポート毎に端末装置21nをネットワークへ接続する。
認証サーバ23は、RADIUS認証におけるRADIUSサーバであり、端末装置21nを介して、ネットワークへの接続を要求するユーザに関する情報を保持する図示しないユーザ情報記憶部を備え、RADIUSクライアントである認証装置22を介して端末装置21nの認証処理を行い、認証結果に応じてネットワークへの接続の可否を通知する。
認証サーバ23が備える図示しないユーザ情報記憶部は、ユーザをネットワークにおいて一意に特定するための被認証情報であるアカウントIDとアカウントIDに対応するパスワードを保持している。
ネットワーク認証システム20による実際の認証手順は、EAP(Extensible Authentication Protocol)によって規定される。ネットワーク認証システム20では、IEEE802.1Xで使用できる様々なEAP、例えば、EAP−MD5(EAP−Message Digest alogorithm5)、PEAP(Protected-EAP)といった認証処理にユーザID(アカウントID)とパスワードとを入力することが要求されるEAPや、デジタル電子証明書を使って認証するEAP−TLS(EAP-Transport Layer Security)などを利用できる。
続いて、図2を用いて、情報ブレーカ30の構成について説明をする。図2に示すように、情報ブレーカ30は、外部システムI/F(インターフェース)31と、情報変換部32と、内部データベース33と、ネットワークI/F(インターフェース)34と、RADIUS認証部35と、認証処理部36と、認証状態制御部37と、情報管理部38と、認証ログ記憶部39と、動作切替部40とを備えている。
情報ブレーカ30は、ネットワーク認証システム20の認証装置22と認証サーバ23との間で、認証処理時にやり取りされる認証用のパケットを経由するように設けられ、設備系システム10とネットワーク認証システム20とを連携制御する連携制御装置として機能する。
情報ブレーカ30は、設備系システム10から送信される情報を用いて、低度セキュリティレベル領域から高度セキュリティレベル領域への移動などといった設備系システム10におけるユーザの出入状態の変化を把握し、このユーザの出入状態の変化に応じて、端末装置21nから認証装置22を介して認証サーバ23へとアクセス要求として送信される認証用のパケットであるネットワーク認証要求を通過させるのか、それとも通過させずに認証サーバ23での認証の事前に拒否してしまうのかを判断することができる。
また、情報ブレーカ30は、ユーザがネットワークへの接続が既に認証されている状態において、設備系システム10から送信される情報を利用して、高度セキュリティレベル領域から低度セキュリティレベル領域への移動などといった設備系システム10におけるユーザの出入状態の変化を把握し、このユーザの出入状態の変化に応じて、強制的に再認証要求を行い、認証結果に応じて認証拒否や接続されたネットワークを切断するよう制御することができる。
さらに、情報ブレーカ30は、動作切替部40の指示に応じて、設備系システム10とネットワーク認証システム20とを連携制御する通常動作モードと、ネットワーク管理システム1の構成を変更することなく設備系システム10とネットワーク認証システム20との連携を切り離すメンテナンスモードとを切り替えることができる。
外部システムI/F31は、設備系システム10と当該情報ブレーカ30とを接続するための通信インターフェースである。外部システムI/F31を介した設備系システム10と情報ブレーカ30との通信は、例えば、Ethernet(登録商標)などの通信規格を利用することができる。また、外部システムI/F31を介した設備系システム10と情報ブレーカ30との通信は、TCP/IPベースの通信に限らず、非IPのフィールドバスなどを利用することもできる。
情報変換部32は、外部システムI/F31を介して、当該情報ブレーカ30に入力された情報を所定のデータ形式に変換して内部データベース33へ格納させる。
内部データベース33は、情報ブレーカ30で利用する各種情報を記憶するデータベースであり、ユーザ毎に定義された静的な情報を記憶するユーザ情報記憶部33Aと、ユーザの現在の状態を示す動的な情報を記憶する認証状態記憶部33Bと、設備系システム10やネットワーク認証システム20に関連して定義された静的な情報を記憶するシステム情報記憶部33Cとを備えている。
ユーザ情報記憶部33Aは、ユーザをネットワークにおいて一意に特定するための被認証情報であるアカウントID毎に、あらかじめ登録されたユーザが保持しているICカード2のカードIDと、このユーザがネットワーク認証された際に、認証を維持できる時間を示した滞在可能時間情報とを関係付けて記憶している。ユーザ情報記憶部33Aに記憶された情報は、静的情報であり、一旦設定されると新たなユーザ登録やシステム変更などがあるまで変更されず保持される。ユーザ情報記憶部33Aの情報の更新処理は、後述する情報管理部38にて実行される。
図3に、ユーザ情報記憶部33Aで記憶保持している情報とその内容との一例を示す。カードIDは、設備系システム10の出入時に使用されるICカード2のカードIDである。情報変換部32は、設備系システム10からカードIDを通知された場合に、ユーザ情報記憶部33Aを参照することでアカウントIDを取得し、このアカウントIDに基づき認証状態記憶部33Bの更新処理などを実行する。また、1人のユーザが、ICカード2を複数枚所持している場合もあるため、このカードIDは、一つのアカウントIDに対して複数登録される場合もある。
滞在可能時間情報は、このアカウントIDで特定されるユーザに与えられた、ネットワーク認証を維持することが認められた時間を示す情報である。この滞在可能時間情報は、ネットワークの再認証時に、ユーザが現在までどれだけネットワークを使用したかを示す時間情報と比較され、ネットワーク使用時間が、滞在可能時間を超えた場合には、ネットワークへの再認証要求が無効とされる。ユーザが現在までどれだけネットワークを使用したかを示す時間情報は、認証状態記憶部33Bに記憶されているネットワーク認証が許可された時刻を示す後述する認証時刻情報から認証処理部36によって求められる。
認証状態記憶部33Bは、ユーザをネットワークにおいて一意に特定するための被認証情報であるアカウントID毎に、滞在中領域番号情報と、入り時刻情報と、認証時刻情報と、認証装置IDと、認証装置ポート番号情報とを関係付けて記憶している。認証状態記憶部33Bに記憶される情報は、動的情報であり、設備系システム10で管理されているユーザの出入状態、ネットワーク認証システム20で管理されているユーザのネットワーク認証状態などに応じて情報変換部32、認証処理部36により随時更新されていく。
図4に、認証状態記憶部33Bに記憶される情報とその内容との一例を示す。滞在中領域番号情報は、ユーザが、現在、滞在しているセキュリティレベル領域、例えば、高度セキュリティレベル領域、低度セキュリティレベル領域を特定する番号情報である。設備系システム10の各セキュリティレベル領域は、それぞれを一意に特定する識別番号が付与されている。情報変換部32は、設備系システム10において状態変化があった際に通知される情報から、ユーザが現在どのセキュリティレベル領域にいるのかを特定して、そのセキュリティレベル領域を示す領域番号情報を滞在中領域番号情報として、認証状態記憶部33Bに記憶させる。
例えば、設備系システム10Aでは、状態変化があった場合に、入退室コントロールユニット13から入室扉ID又は退室扉IDが送信されるが、情報変換部32は、この入室扉ID又は退室扉IDを用いて、後述するシステム情報記憶部33Cに入室扉ID、退室扉IDと関係付けて記憶されているセキュリティレベル領域を特定する領域番号情報を取得し、この領域番号情報を滞在中領域番号情報として、認証状態記憶部33Bに書き込む。
入り時刻情報は、設備系システム10より状態変化があった際に送信される信号を受信した時刻であり、滞在中領域番号情報として示されるセキュリティレベル領域での滞在が開始された時刻を示している。この入り時刻情報は、ネットワーク認証時、再認証時において、当該セキュリティレベル領域の滞在可能時間情報や利用可能時刻情報との比較に用いられる。
認証時刻情報は、ユーザのネットワーク認証が許可された時刻を示している。認証処理部36は、ネットワーク再認証時に、この認証時刻情報から、ユーザのネットワーク利用時間を求め、このネットワーク利用時間と、ユーザ毎に規定されている滞在可能時間情報又はセキュリティレベル領域毎に規定されている滞在可能時間情報との比較に使用する。
認証装置IDは、ネットワーク認証要求を送信したユーザが端末装置21nを介して接続している認証装置22のIPアドレスを示している。この認証装置IDは、SNMPによる強制切断処理時に使用される。
認証装置ポート番号情報は、ネットワーク認証要求を送信したユーザが端末装置21nを介して接続している認証装置22のポート番号を示している。この認証装置ポート番号情報は、SNMPによる強制切断処理時に使用される。
システム情報記憶部33Cは、設備系システム10の各セキュリティレベル領域をそれぞれ一意に特定するための識別番号である領域番号情報毎に、入室扉IDと、退室扉IDと、利用可能時刻情報と、滞在可能時間情報と、認証装置IDとを関係付けて記憶している。システム情報記憶部33Cに記憶された情報は、静的情報であり、一旦設定されるとシステム変更などがあるまで変更されずに保持される。システム情報記憶部33Cの情報更新処理は、後述する情報管理部38にて実行される。
図5に、システム情報記憶部33Cで記憶保持している情報とその内容との一例を示す。入室扉ID、退室扉IDは、設備系システム10Aのように扉によってセキュリティレベル領域が隔てられている設備系システム10に対応するために用意されている。
入室扉IDは、設備系システム10に設けられた入口扉のIDであり、入口扉と1対1で対応している設備系システム10Aの入室用カードリーダ11のIDを使用する。退室扉IDは、設備系システム10に設けられた出口扉のIDであり、出口扉と1対1で対応している設備系システム10Aの退室用カードリーダ12のIDを使用する。入室扉ID、退室扉IDは、セキュリティレベル領域に設けられている扉の数に応じて、複数設定することができる。
利用可能時刻情報は、このセキュリティレベル領域にて、ネットワークの利用が許可されている時間帯を示す情報である。具体的には、利用可能時刻情報は、ネットワークの利用が許可されている開始時刻情報と、終了時刻情報とを対にした時刻情報である。この利用可能時刻情報は、ネットワークの認証時、再認証時にて使用される。
滞在可能時間情報は、このセキュリティレベル領域にて、ネットワークの認証が認められる時間を示した情報である。滞在可能時間情報は、ネットワークの再認証時に、ユーザが現在までどれだけネットワークを使用したかを示す時間情報と比較され、ネットワーク使用時間が、滞在可能時間を超えた場合には、ネットワークへの再認証要求が無効とされる。このとき、当該システム情報記憶部33Cに記憶されている滞在可能時間情報、ユーザ情報記憶部33Aに記憶されている滞在可能時間情報のうち、いずれか時間の短い方が優先的に使用されることになる。
認証装置IDは、このセキュリティレベル領域に設置されている認証装置22のIPアドレスを示している。この認証装置IDは、セキュリティレベル領域に設定された認証装置22の数に応じて、複数設定することができる。
ネットワークI/F34は、当該情報ブレーカ30と、認証装置22、認証サーバ23との通信を行うための通信インターフェースである。ネットワークI/F34は、Ethernet(登録商標)やTCP/IPスタックに相当する。
RADIUS認証部35は、認証要求中継部35Aと、要求中継判断部35Bと、機器設定記憶部35Cとを備え、RADIUS認証に関連する処理を実行する。
認証要求中継部35Aは、RADIUS認証において認証装置22、認証サーバ23間で送受信されるRADIUSパケットを中継する。このとき、認証要求中継部35Aは、ネットワーク認証要求のRADIUSパケットに含まれるアカウントIDなど認証処理部36での認証処理に必要となる情報を取得する。またRADIUSの規格で定義されている認証符号の再計算を行う機能も有している。
要求中継判断部35Bは、認証処理部36でなされた認証判断に基づき、認証サーバ23に対してネットワーク認証要求を送信するか、ネットワーク認証要求を拒否するかの最終的な判断をする。要求中継判断部35Bは、拒否応答する場合には、拒否応答パケットを生成し認証装置22に送信する。
機器設定記憶部35Cは、RADIUS通信の正当性を確認するために必要となる認証装置22、認証サーバ23それぞれで保持される全ての秘密共有鍵を、通信相手のIPアドレスと対応付けて管理する。
認証処理部36は、認証装置22から送信されるネットワーク認証要求のRADIUSパケットに含まれるアカウントIDと、内部データベース33のユーザ情報記憶部33Aに記憶されている情報とを用いて認証処理をし、ネットワーク認証要求を認証サーバ23へと送信するのかどうかを判断する。
認証状態制御部37は、認証装置22が外部からの認証状態制御に対応している場合、ユーザの行動状態が変化したことに応じて、即座に認証状態をリセットするための要求を送信する。
この認証状態制御部37は、認証装置22が、MIB(Management Information Base)と呼ばれる管理情報データベースを保持している場合に動作する機能部である。具体的には、IETF(Internet Engineering Task Force )で標準化されたTCP/IPネットワーク環境での管理プロトコルであるSNMP (Simple Network Management Protocol)にて、上述した管理情報であるMIBを交換することで、当該認証状態制御部37により認証装置22を管理することができる。つまり、認証装置22にSNMPエージェントが与えられた場合に、認証状態制御部37は、SNMPマネージャとして機能する。例えば、MIBとしては、IEEE802.1xで規定されたものを使用することができる。
情報管理部38は、ユーザ情報記憶部33A、システム情報記憶部33Cに記憶されている静的情報や、機器設定記憶部35Cに記憶されている設定情報などを、HTTP(S)サーバやTelnetなどを利用して外部から管理することができる。
認証ログ記憶部39は、認証処理部36による認証処理結果や機器動作状態のログを記憶する。認証ログ記憶部39は、Syslog出力機能を有している。
動作切替部40は、ユーザの操作に応じて、情報ブレーカ30の動作モードを切り替えるように指示をする。
具体的には、動作切替部40は、上述した各機能部により設備系システム10とネットワーク認証システム20とを連携制御する通常動作モードと、ネットワーク管理システム1の構成を変更することなく設備系システム10とネットワーク認証システム20との連携を情報ブレーカ30内部で切り離し、設備系システム10とネットワーク認証システムとをそれぞれ別々に動作させるメンテナンスモードとを切り替えるよう指示をする。
動作切替部40は、例えば、ディップスイッチなどで構成され、ユーザによるディップスイッチの操作に応じて通常動作モードとメンテナンスモードとを切り替えるよう指示することができる。
メンテナンスモードとは、ネットワーク管理システム1に発生した不具合個所を特定したり、新たに構築した設備系システム10やネットワーク認証システム20を情報ブレーカ30で連携させるよう施工した際の動作確認をするための動作モードである。動作切替部40により、情報ブレーカ30の動作モードをメンテナンスモードへと切り替えるよう指示すると、システム構成を変更することなく設備系システム10とネットワーク認証システム20との連携を切り離すことができる。
メンテナンスモードには、認証要求中継部35AをRADIUSプロキシサーバとして機能させることで、設備系システム10と、ネットワーク認証システム20との連携を切り離す第1メンテナンスモード(Mode1)と、認証要求中継部35Aに対しネットワーク認証要求のRADIUSパケットを全て破棄させることで、設備系システム10と、ネットワーク認証システム20との連携を切り離す第2メンテナンスモード(Mode2)とがある。この第1メンテナンスモード、第2メンテナンスモードも、動作切替部40の操作により切り替えることができる。
図6に、動作切替部40の操作に応じてモードが切り替えられる情報ブレーカ30の状態遷移図を示す。なお、通常動作モードは、Mode1である第1メンテナンスモード、Mode2である第2メンテナンスモードに対してMode3としている。
図6に示すように、情報ブレーカ30に必須となる各種設定が既になされた状態で、情報ブレーカ30を起動させると、動作切替部40の状態に応じて、第1メンテナンスモード、第2メンテナンスモード、通常動作モードのいずれかで起動することになる。また、情報ブレーカ30が起動されている状態で動作切替部40を操作すると、操作状態に応じて第1メンテナンスモード、第2メンテナンスモード、通常動作モードへと自由に切り替えることができる。
第1メンテナンスモードに切り替えられると、RADIUS認証部35の認証要求中継部35Aは、RADIUSプロキシサーバとして機能する。具体的には、第1メンテナンスモードに切り替えられると、認証要求中継部35Aは、ネットワーク認証要求のRADIUSパケットに含まれるアカウントIDなど、認証処理部36での認証処理に必要な情報を取得する処理を実行せず、RADIUS規格で定義されている認証符号の再計算のみを実行し、認証サーバ23に対してネットワーク認証要求を送信する。
このように、認証要求中継部35AがRADIUSプロキシサーバとして機能すると、認証処理部36での認証処理がなされないため、設備系システム10で管理されるユーザの高度セキュリティレベル領域への出入に連携することなく、ネットワーク認証システム20は、ネットワーク認証を実行することになる。
上述したように、第1メンテナンスモードでは、認証要求中継部35AをRADIUSプロキシサーバとして機能させ、認証処理部36での認証処理を実行させないことで、設備系システム10と、ネットワーク認証システム20との連携制御を切り離している。
これに替えて、動作切替部40により第1メンテナンスモードへと切り替えるよう指示された場合、認証処理部36での認証処理を実行させないのではなく、ネットワーク認証要求に含まれるアカウントIDをキーとして内部データベース33の認証状態記憶部33Bから取得される情報、認証装置22のIPアドレスをキーとして、内部データベース33のシステム情報記憶部33Cから取得される情報、つまり、設備系システム10で管理されるユーザの高度セキュリティレベル領域への出入状態に関する情報を、必ず認証判断が下されるように変更して、認証処理を実行させるようにしてもよい。
この場合、認証処理部36は、認証装置22から送信されたネットワーク認証要求を認証サーバ23へと転送してよいと必ず判断することになる。したがって、認証処理部36で認証処理を実行せずに、認証要求中継部35AをRADIUSプロキシサーバとして機能させた場合と同様に、設備系システム10で管理されるユーザの高度セキュリティレベル領域への出入に連携することなく、ネットワーク認証システム20は、ネットワーク認証を実行することになる。
つまり、第1メンテナンスモードでは、設備系システム10と、ネットワーク認証システム20とをそれぞれ単独で動作させることができるため、ネットワーク管理システム1に不具合が生じた場合には、動作切替部40を第1メンテナンスモードへと切り替えることでシステム構成を変更することなく、設備系システム10、ネットワーク認証システム20のいずれかで生じた不具合を容易に特定することができる。
また、新たに構築した設備系システム10やネットワーク認証システム20を連携制御装置である情報ブレーカ30で連携させるよう施工した際、施工業者又はシステム管理者が、動作切替部40を第1メンテナンスモードへと切り替えることで、設備系システム10、ネットワーク認証システム20、それぞれの動作確認をシステム構成を変更することなく独立して行うことができる。
一方、第2メンテナンスモードに切り替えられると、RADIUS認証部35の認証要求中継部35Aは、端末装置21nから認証装置22を介して認証サーバ23へとアクセス要求として送信される認証用のパケットであるネットワーク認証要求のRADIUSパケットを全て破棄する。
このように、認証要求中継部35Aがネットワーク認証要求のRADIUSパケットを全て破棄すると、情報ブレーカ30に故障が発生したかのような状態を作為的に作り出すことができる。
ところで、ネットワーク管理システム1は、情報ブレーカ30に万が一故障が発生した場合であっても、少なくともRADIUSによるネットワーク認証での運用を確保することができるように、冗長化構成をとることができる。
例えば、図7に示すように同一の構成の情報ブレーカ30A、30Bを設け、認証装置22には、情報ブレーカ30Aをプライマリサーバとして設定し、情報ブレーカ30Bをセカンダリサーバとして設定する。これにより、プライマリサーバである情報ブレーカ30Aが故障した場合には、認証装置22は、セカンダリサーバである情報ブレーカ30Bを介して設備系システム10との連携制御を実現することができる。
また、図8に示すように、認証装置22に、情報ブレーカ30をプライマリサーバとして設定し、認証サーバ23をセカンダリサーバとして設定することもできる。この場合、プライマリサーバである情報ブレーカ30が故障した場合には、設備系システム10との連携制御を実行することがはできないが、少なくともネットワーク認証を実行することはできる。
このようにネットワーク管理システム1を冗長化構成とした場合、プライマリサーバの故障時に、確実にセカンダリサーバが機能することが望まれる。特に、設備系システム10やネットワーク認証システムを新たに構築するなどシステム構成に変更があった場合には、プライマリサーバからセカンダリサーバへの切り替え動作が確実になされるよう動作確認を事前にしておく必要がある。
そこで、このような場合には、動作切替部40を第2メンテナンスモードへと切り替え、認証要求中継部35Aがネットワーク認証要求のRADIUSパケットを全て破棄し、情報ブレーカ30に故障が発生したかのような状態を作為的に作り出す。これに応じて、認証装置22が、プライマリサーバが故障したと判断して、セカンダリサーバへとネットワーク認証要求を送信した場合、ネットワーク管理システム1の冗長化構成が確実に機能していると判断することができる。
続いて、図9、図10、図11に示すタイミングチャートを用いて、情報ブレーカ30を通常動作モードとした際のネットワーク管理システム1の処理動作、第1メンテナンスモードとした際のネットワーク管理システム1の処理動作について説明をする。
[通常動作モード時の処理動作]
まず、図9に示すタイミングチャートを用いて、情報ブレーカ30を通常動作モードとした際のネットワーク管理システム1の処理動作について説明をする。なお、説明が冗長となることを避けるため、設備系システム10Aを使用した場合についてのみ説明をするが、設備系システム10Bの場合も全く同様の処理動作となる。
ステップS1において、ユーザは、低度セキュリティレベル領域からネットワークが構築されている高度セキュリティレベル領域へと、入退室コントロールユニット13によって管理された扉から入室するとする。
具体的には、ユーザは、入室用カードリーダ11にICカード2を翳す。これに応じて、入退室コントロールユニット13は、ICカード2の半導体メモリに格納されている情報を読み取り、カードIDを認証して施錠された扉の電気錠を解錠する。
入退室コントロールユニット13は、ICカード2から読み取ったカードIDを情報ブレーカ30に送信する。また、入退室コントロールユニット13は、電気錠を解錠した扉を一意に特定する入室扉ID、入室であることを示す情報を送信する。
情報ブレーカ30の情報変換部32は、外部システムI/F31を介して設備系システム10から送信される情報を認証処理で使用できるように変換し、内部データベース33の認証状態記憶部33Bに記憶させ、設備系システム10の高度セキュリティレベル領域におけるユーザの現在の出入状態を記憶する。
具体的には、情報変換部32は、入退室コントロールユニット13から送信されたICカード2のカードIDを用いて、ユーザ情報記憶部33Aを参照し、このカードIDに対応付けて記憶されているアカウントIDを取得する。また、情報変換部32は、入退室コントロールユニット13から送信された入室扉IDを用いて、システム情報記憶部33Cを参照し、この入室扉IDに対応付けて記憶されている高度セキュリティレベル領域を特定する領域番号情報を取得する。
そして、情報変換部32は、システム情報記憶部33Cから取得した領域番号情報を、ユーザが現在滞在している高度セキュリティレベル領域であることを示す滞在中領域番号情報として、ユーザ情報記憶部33Aから取得したアカウントIDと対応付けて、認証状態記憶部33Bに記憶させる。
また、情報変換部32は、入退室コントロールユニット13から、カードID、入室扉IDを受け取った時刻を、ユーザが高度セキュリティレベル領域へと入った入り時刻情報として、認証状態記憶部33Bに記憶させる。
ステップS2において、高度セキュリティレベル領域に入室したユーザは、端末装置21nから認証装置22を介して、IEEE802.1Xの手順に従い、アクセス要求としてネットワーク認証要求を送信することでネットワークへの接続を試みる。
初期状態では、端末装置21nとネットワーク間の回線は、認証装置22によって切断されているため、端末装置21nは、認証装置22との通信しか行うことができない。
まず、ユーザは、ネットワークに接続するために、端末装置21nからアカウントID及びパスワードを入力し認証装置22へ認証用のパケットであるネットワーク認証要求を送信する。
端末装置21nは、ネットワーク認証要求をEAPメッセージの入ったMAC(Media Access Control)フレームとして認証装置22へ送信する。このとき、アカウントIDは平文で、パスワードはハッシュ化された状態で送信される。
認証装置22は、MACフレームからEAPメッセージを取り出し、IPパケットに乗せ換え、情報ブレーカ30へと送信をする。具体的には、認証装置22は、IPの上位層のUDPを利用して、認証装置22から取り出したEAPメッセージをRADIUSパケットのデータ部分に格納して情報ブレーカ30へと送信する。
認証装置22と認証サーバ23とのRADIUS認証処理における認証シーケンスにおいて、認証装置22からネットワーク認証要求として送信される最初のRADIUSパケットのEAPメッセージにのみ、平文のアカウントIDであるEAP−Type=Identityデータが存在する。RADIUSパケットには、このアカウントIDの他に、認証装置22の情報として認証装置22のIPアドレス、端末装置21nが接続された認証装置22のポート番号などがRADIUS属性情報として記述されている。
ステップS3において、RADIUS認証部35の認証要求中継部35Aは、ネットワークI/F34を介して受信したネットワーク認証要求のRADIUSパケットのEAPメッセージに添付されたIdentityデータを取得して認証処理部36に出力する。また、認証要求中継部35Aは、受信したネットワーク認証要求のRADIUSパケットより認証装置22のIPアドレスを取得して認証処理部36に出力する。
ステップS4において、認証処理部36は、取得したIdentityデータのアカウントIDをキーとして、内部データベース33の認証状態記憶部33Bに格納されているユーザの高度セキュリティレベル領域における現在の出入状態を示す情報である滞在中領域番号情報と、入り時刻情報とを要求する。また、認証処理部36は、取得した認証装置22のIPアドレスをキーとして、内部データベース33のシステム情報記憶部33Cに格納されている認証装置22の設置されている高度セキュリティレベル領域を特定する領域番号情報と、利用可能時刻情報とを要求する。この領域番号情報は、ネットワーク認証要求を送信した認証装置22が設置されている高度セキュリティレベル領域を示すことになる。
ステップS5において、認証処理部36は、認証状態記憶部33Bから取得したユーザの高度セキュリティレベル領域における現在の出入状態を示す情報である滞在中領域番号情報、入り時刻情報、システム情報記憶部33Cから取得した領域番号情報、利用可能時刻情報より、認証装置22から送信されたネットワーク認証要求を認証サーバ23へと転送してよいかどうかを判断する。
また、認証状態記憶部33Bから取得した情報より、該当するユーザが高度セキュリティレベル領域に存在し、既にネットワーク上での認証がなされていることが示されている場合には、ネットワーク認証要求をしてきたユーザは、不当なユーザであることが分かるため認証状態記憶部33Bの認証状態を認証中から切断中に書き換えるようにしてもよい。
ステップS6において、認証処理部36は、ユーザ情報記憶部33Aから取得したユーザの高度セキュリティレベル領域における現在の出入状態を示す情報である滞在中領域番号情報とシステム情報記憶部33Cから取得した領域番号情報とを比較して、高度セキュリティレベルにユーザが存在し、この高度セキュリティレベル領域からネットワーク認証要求がさなれたと確認でき、さらに、システム情報記憶部33Cから取得した利用可能時刻情報と現在の時刻とを比較して、この高度セキュリティレベル領域のネットワークを利用することが許可された時刻であることが確認できたことに応じて認証判断をRADIUS認証部35の要求中継判断部35Bに通知する。
ステップS7において、要求中継判断部35Bは、認証処理部36からの認証判断に応じて、認証サーバ23へネットワーク認証要求を送信する最終的な判断をし、ネットワークI/F34を介して、ネットワーク認証要求を認証サーバ23へ送信する。
ステップS8において、認証処理部36は、認証状態記憶部33Bから取得したユーザの高度セキュリティレベル領域における現在の出入状態を示す情報である滞在中領域番号情報とシステム情報記憶部33Cから取得した領域番号情報とを比較して、高度セキュリティレベル領域にユーザが存在することが確認できなかったり、ユーザが存在している高度セキュリティレベル領域からネットワーク認証要求が送信されていないことに応じて、又は、システム情報記憶部33Cから取得した利用可能時刻情報と現在の時刻とを比較して、この高度セキュリティレベル領域のネットワークを利用することが許可されていない時刻であることが確認できたことに応じて拒否判断をRADIUS認証部35の要求中継判断部35Bに通知する。
ステップS9において、要求中継判断部35Bは、認証処理部36からの拒否判断に応じて、認証サーバ23へのネットワーク認証要求の送信を拒否し、拒否応答パケットを生成して、ネットワークI/F34を介して認証装置22へ送信する。認証装置22は、送信された拒否応答パケットに基づき、端末装置21nにネットワーク認証要求を拒否したことを示す拒否応答を通知する。
ステップS10において、認証サーバ23へネットワーク認証要求が送信されたことに応じて、EAPメッセージが添付された認証サーバ23から送信される応答パケット、端末装置21nから送信される要求パケットをやり取りすることで、ユーザのネットワーク上での認証処理が実行される。
具体的には、認証サーバ23は、ネットワーク認証要求に添付されたアカウントIDをキーとして、図示しないユーザ情報記憶部に格納されている情報との照合処理を行う。
認証サーバ23は、送信されたアカウントIDに関連付けられてユーザ情報記憶部に格納されている対象となるユーザのパスワードを所定のハッシュ関数でハッシュ化し、ネットワーク認証要求に添付されたハッシュ化されているパスワードと比較をし、ハッシュ化されたパスワード同士が一致するかどうか確認をする。
このとき、情報ブレーカ30の認証要求中継部35Aは、端末装置21nと認証サーバ23との要求パケット、応答パケットに対して何も施さずにスルーする。認証装置22は、上述したようなEAPメッセージの乗せ換えだけを行う中継装置として機能する。
ステップS11において、認証サーバ23は、当該認証サーバ23による認証がなされたことを示す認証許可通知、認証されなかったことを示す認証不許可通知のいずれかを、情報ブレーカ30のRADIUS認証部35を介して認証装置22に送信する。
認証装置22は、認証サーバ23から認証許可通知を受け取った場合には、端末装置21nとネットワークとの回線を開放する。これにより、ユーザは、端末装置21nを介してネットワークへアクセスすることができネットワーク上の他の端末装置との通信が可能となる。
認証装置22は、認証サーバ23から認証不許可通知を受け取った場合には、端末装置21nとネットワークとの回線を開放せずに、認証不許可である旨を通知するメッセージを端末装置21nに送信する。
ステップS12において、認証サーバ23から認証許可通知を受け取った場合、RADIUS認証部35の認証要求中継部35Aは、ネットワークの認証結果を内部データベース33の認証状態記憶部33Bに記憶させる。認証状態記憶部33Bに記憶させる情報としては、例えば、アカウントID、端末装置21nが接続されている認証装置22を一意に特定する機器ID、ネットワークへの接続が開放されているポート番号、認証が許可された認証時刻などである。
このようにして、情報ブレーカ30によって設備系システム10と、ネットワーク認証システム20とが相互に接続され連携されたネットワーク管理システム1では、検出される設備系システム10におけるユーザの高度セキュリティレベル領域における現在の出入状態に基づき、情報ブレーカ30が、端末装置21nからなされるネットワーク認証要求の正当性を認証サーバ23へ通知する前段で判断する。
これにより、既存のシステムに情報ブレーカ30を追加(アドオン)するだけで、設備系システム10と、ネットワーク認証システム20との連携を容易に図ることができるため、ネットワーク構築に労力をかけずに、高度セキュリティレベルへ不正に侵入したユーザのネットワークへの接続を排除することができるネットワーク管理システムを低コストで構築することができる。
また、情報ブレーカ30を設けることで、認証サーバ23において、端末装置21nから要求される疑わしいネットワーク認証要求に対する無駄な認証処理を実行する必要がないため、認証サーバ23の処理負荷、及びネットワークの負荷を大幅に低減することができる。
[第1メンテナンスモード時の処理動作]
次に、図10、図11に示すタイミングチャートを用いて、情報ブレーカ30を第1メンテナンスモードとした際のネットワーク管理システム1の処理動作について説明をする。上述したように第1メンテナンスモードは、認証要求中継部35AをRADIUSプロキシサーバとして認証処理部36での認証処理を実行させない構成と、設備系システム10で管理されるユーザの高度セキュリティレベル領域への出入状態に関する情報を必ず認証処理部36で認証判断が下されるように変更する構成とがある。
(認証処理部36での認証処理を実行させない構成の場合)
認証処理部36での認証処理を実行させない構成の場合、図10に示すように、情報ブレーカ30を第1メンテナンスモードとした際の処理動作は、図9に示した通常動作モード時の処理動作のステップS1、ステップS12の処理が必要なくなり、さらに、ステップS3乃至ステップS9の処理に替えてステップS21の処理が実行される。したがって、図10に示すタイミングチャートにおいて、図9に示したタイミングチャートと同一の処理については、同一ステップ番号を付して説明を省略する。
まず、ネットワーク管理システム1の動作確認や不具合個所の特定といったメンテナンス処理を実行しようとする場合、ユーザは、情報ブレーカ30を第1メンテナンスモードとする。
そして、ネットワーク認証システム20の動作確認や不具合個所を特定する場合、ユーザは、高度セキュリティレベル領域へと入室し、図9を用いて説明したステップS2の処理を実行して、ネットワーク認証システム20を動作させる。ステップS2の処理が終了すると、ステップS21へと処理が進む。
なお、設備系システム10の動作確認や不具合個所を特定する場合、ユーザは、例えば、ICカード2内に格納された被認証情報であるカードIDを入室用カードリーダ11、又は退室用カードリーダ12で読み取らせ、入退室コントロールユニット13で認証処理が正確に実行されるかなどを検証する。
ステップ21において、認証要求中継部35Aは、ネットワークI/F34を介して受信したネットワーク認証要求のRADIUSパケットに含まれるアカウントIDなど、認証処理部36での認証処理に必要な情報を取得する処理を実行せず、RADIUS規格で定義されている認証符号の再計算のみを実行し、ネットワークI/F34を介して、ネットワーク認証要求を認証サーバ23へ送信する。ステップS21が終了すると、ステップS10へと処理が進む。
そして、ステップS11において得られる結果より、ユーザは、ネットワーク認証システム20が正常に機能しているのか、ネットワーク認証システム20に不具合があるのかどうかを判断し、不具合がある場合には、所定のメンテナンス処理を実行する。
例えば、正当なユーザであるにも拘わらず、端末装置21nとネットワークとの回線が開放されない場合や、正当なユーザでないのに、端末装置21nとネットワークとの回線が開放されてしまう場合などには、ネットワーク認証システム20に不具合が発生していると判断することができる。
(認証処理部36での認証処理を実行させる構成の場合)
認証処理部36での認証処理を実行させる構成の場合、図11に示すように、情報ブレーカ30を第1メンテナンスモードとした際の処理動作は、図9に示した通常動作モード時の処理動作のステップS1、ステップS12の処理が必要なくなり、さらに、ステップS4の処理に替えてステップS31の処理が実行される。したがって、図11に示すタイミングチャートにおいて、図9に示したタイミングチャートと同一の処理については、同一ステップ番号を付して説明を省略する。
まず、ネットワーク管理システム1の動作確認や不具合個所の特定といったメンテナンス処理を実行しようとする場合、ユーザは、情報ブレーカ30を第1メンテナンスモードとする。
そして、ネットワーク認証システム20の動作確認や不具合個所を特定する場合、ユーザは、高度セキュリティレベル領域へと入室し、図9を用いて説明したステップS2の処理を実行して、ネットワーク認証システム20を動作させる。ステップS2の処理が終了すると、ステップS3、ステップS31へと処理が進む。
なお、設備系システム10の動作確認や不具合個所を特定する場合、ユーザは、例えば、ICカード2内に格納された被認証情報であるカードIDを入室用カードリーダ11、又は退室用カードリーダ12で読み取らせ、入退室コントロールユニット13で認証処理が正確に実行されるかなどを検証する。
ステップS31において、認証処理部36は、取得したIdentityデータのアカウントIDをキーとして、内部データベース33の認証状態記憶部33Bに格納されているユーザの高度セキュリティレベル領域における現在の出入状態を示す情報である滞在中領域番号情報と、入り時刻情報とを要求する。また、認証処理部36は、取得した認証装置22のIPアドレスをキーとして、内部データベース33のシステム情報記憶部33Cに格納されている認証装置22の設置されている高度セキュリティレベル領域を特定する領域番号情報と、利用可能時刻情報とを要求する。この領域番号情報は、ネットワーク認証要求を送信した認証装置22が設置されている高度セキュリティレベル領域を示すことになる。
このとき、認証処理部36は、認証状態記憶部33Bに格納されているユーザの高度セキュリティレベル領域における現在の出入状態を示す情報である滞在中領域番号情報と、入り時刻情報とを、当該認証処理部36で必ず認証判断を下すことができるように変更する。
これにより、認証処理部36は、ステップS5、ステップS6で、必ず認証判断を下す。したがって、ステップS7において、要求中継判断部35Bは、認証処理部36からの認証判断に応じて、認証サーバ23へネットワーク認証要求を送信する最終的な判断をし、ネットワークI/F34を介して、ネットワーク認証要求を認証サーバ23へ送信する。
そして、ステップS10を経たステップS11において得られる結果より、ユーザは、ネットワーク認証システム20が正常に機能しているのか、ネットワーク認証システム20に不具合があるのかどうかを判断し、不具合がある場合には、所定のメンテナンス処理を実行する。
例えば、正当なユーザであるにも拘わらず、端末装置21nとネットワークとの回線が開放されない場合や、正当なユーザでないのに、端末装置21nとネットワークとの回線が開放されてしまう場合などには、ネットワーク認証システム20に不具合が発生していると判断することができる。
図10、図11を用いて説明したように、第1メンテナンスモードでは、認証要求中継部35AをRADIUSプロキシサーバとしたり、認証処理部36で必ず認証判断が下されるようにユーザの高度セキュリティレベル領域における現在の出入状態を示す情報を変更することで、無条件に認証サーバ23に対してネットワーク認証要求を送信させる。これにより、設備系システム10とネットワーク認証システム20とが連携されないため、設備系システム10と、ネットワーク認証システム20とをそれぞれ単独で動作させることができる。
したがって、ネットワーク管理システム1に不具合が生じた場合には、動作切替部40を第1メンテナンスモードへと切り替えることでシステム構成を変更することなく、設備系システム10、ネットワーク認証システム20のいずれかで生じた不具合を容易に特定することができる。
また、新たに構築した設備系システム10やネットワーク認証システム20を連携制御装置である情報ブレーカ30で連携させるよう施工した際、施工業者又はシステム管理者が、動作切替部40を第1メンテナンスモードへと切り替えることで、設備系システム10、ネットワーク認証システム20、それぞれの動作確認をシステム構成を変更することなく独立して行うことができるようになる。
さらに、図10に示すように、認証処理部36での認証処理を実行させない場合には、図11に示す認証処理部36で認証処理を実行させる場合と比較して、処理ステップを大幅に削減することができるため情報ブレーカ30の処理負荷を低減することができる。
なお、本発明の実施の形態において、ユーザは、自身が所有するICカードに格納されたカードIDを被認証情報として用い、設備系システム10における認証処理を行っているが、本発明はこれに限定されるものではなく、設備系システム10においてユーザが一意に特定されればよいので、例えば、被認証情報として指紋情報、虹彩情報といった生体情報を用い、生体認証処理を実行することで設備系システム10における認証処理を行ってもよい。
また、端末装置21nから、ネットワークへアクセスする際にも、この生体情報を用いた生体認証処理を実行するようにしてもよい。
なお、上述の実施の形態は本発明の一例である。このため、本発明は、上述の実施形態に限定されることはなく、この実施の形態以外であっても、本発明に係る技術的思想を逸脱しない範囲であれば、設計等に応じて種々の変更が可能であることは勿論である。