JP2007226474A - 連携制御装置及びネットワーク管理システム - Google Patents

連携制御装置及びネットワーク管理システム Download PDF

Info

Publication number
JP2007226474A
JP2007226474A JP2006045953A JP2006045953A JP2007226474A JP 2007226474 A JP2007226474 A JP 2007226474A JP 2006045953 A JP2006045953 A JP 2006045953A JP 2006045953 A JP2006045953 A JP 2006045953A JP 2007226474 A JP2007226474 A JP 2007226474A
Authority
JP
Japan
Prior art keywords
authentication
network
user
information
access
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2006045953A
Other languages
English (en)
Other versions
JP4797685B2 (ja
Inventor
Hiromoto Kazuno
浩基 數野
Satoshi Ookage
聡 大景
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Panasonic Electric Works Co Ltd
Original Assignee
Matsushita Electric Works Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Matsushita Electric Works Ltd filed Critical Matsushita Electric Works Ltd
Priority to JP2006045953A priority Critical patent/JP4797685B2/ja
Publication of JP2007226474A publication Critical patent/JP2007226474A/ja
Application granted granted Critical
Publication of JP4797685B2 publication Critical patent/JP4797685B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Abstract

【課題】システム構成を変更することなく、出入管理システム又はネットワーク認証システムで発生した不具合を迅速に特定する。
【解決手段】動作切替部40の操作に応じて第1メンテナンスモードへと動作モードを切り替え、ユーザからなされる第2の被認証情報によるネットワークへのアクセス要求を、無条件にネットワーク認証システム20の認証サーバ23に送信するよう制御することで実現する。
【選択図】図10

Description

本発明は、高度セキュリティレベル領域の出入管理及び高度セキュリティレベル領域における情報管理に関し、詳しくは、出入管理を担う出入管理システムと情報管理を担うネットワーク認証システムとを連携させた連携制御装置及びネットワーク管理システムに関する。
機密情報を扱うことの多い企業や、企業内の特定の部署などでは、機密情報を扱う従事者の入退室を管理する入退室管理システムを適用することで、機密情報の漏洩を事前に防止するようにしている。
一般に入退室管理システムは、ユーザに与えられたIC(Integrated Circuit)カードに組み込まれたユーザID(IDentification)や、生体情報(指紋、虹彩、声紋など)といった、ユーザを一意に特定する情報を用いて入退室管理用のホストコンピュータにより個人認証を行い、登録された正当なユーザであることが認証された場合に、施錠された入退室用のドアを解錠することで、機密情報を扱う高度セキュリティレベル領域内への入室を許可する、というような管理を行っている。
ところで、上述した機密情報は、入退室管理システムとは別のネットワークにて構築されたネットワーク認証システムによって管理がなされており、入退室管理がなされている領域内に設置された情報端末装置から機密情報管理用のホストコンピュータへのアクセスに応じて利用可能となる。この機密情報管理用のホストコンピュータへアクセスする場合には、上述した入退室管理システムにおける個人認証と同様の認証処理が要求されることになる。
そこで、このような入退室管理システムと、ネットワーク認証システムとの連携が求められており、機密情報を扱う領域内への入退室時の認証処理と、入室後の情報端末装置の使用開始時の認証処理とを関連付ける手法が考案されている(例えば、特許文献1参照。)。
特開2002−41469号公報
ところで、最近では、個人情報保護法の法制度化等に代表されるように、セキュリティに対する関心がますます高まっている。このような背景を受けて、入退室管理システムは、上述したネットワーク認証システムとの連携などを始め、その規模をより大きなものとしつつある。
入退室管理システムとネットワーク認証システムとを連携させてネットワークを構築した場合、特に、上述したように大規模化していった場合には、既存のシステムの設定を大幅に変更しなくてはならず、ネットワークシステム構築のための多大な労力やコストがかかってしまうといった問題がある。
そこで、本出願人は、セキュリティレベルの異なる領域間の出入を管理する出入管理システムとネットワーク認証システムとを連携させる連携制御装置を考案した。この連携制御装置は、ネットワーク認証システムの認証装置と認証サーバとの間で、認証処理時にやり取りされる認証用のパケットを経由させるよう設定され、出入管理システムとネットワーク認証システムとを連携制御することができる。
また、連携制御装置は、出入管理システムから送信される情報を用いて、高度セキュリティレベル領域内への移動などといった出入管理システムにおけるユーザの出入情報の変化を把握し、ユーザの出入状態の変化に応じて、ネットワーク認証システムの端末装置から認証装置を介して認証サーバへとアクセス要求として送信される認証用のパケットであるネットワーク認証要求を通過させるのか、それとも通過させずに認証サーバでの認証の事前に拒否してしまうのかを判断することができる。
これにより、連携制御装置は、出入管理システムとネットワーク認証システムとを容易に連携させることができるため、高度セキュリティレベルへ不正に侵入したユーザのネットワークへの接続を排除するネットワーク管理システムを、労力をかけずに低コストで構築することができる。また、連携制御装置を設けることで、疑わしいアクセス要求に対する不必要な認証処理を回避できるため、認証サーバの処理負荷を大幅に低減することができる。
しかしながら、このような出入管理システムとネットワーク認証システムとの連携制御を実現する連携制御装置を正確に設定したとしても、出入管理システム、ネットワーク認証システムのいずれかに不具合があるとシステム全体として正常に動作しなくなってしまうといった問題がある。さらに、連携制御装置は、常に出入管理システムとネットワーク認証システムとを連携させるよう制御してしまうため、出入管理システム又はネットワーク認証システムのいずれかで不具合を起こしているのかを特定することを困難にしてしまう。
このような不具合が発生した場合、システム管理者は、連携制御装置と、出入管理システム、ネットワーク認証システムとの接続をわざわざ切断してシステム構成を変更し、出入管理システム、ネットワーク認証システムをそれぞれ個別に検証するなど、非常に煩わしい作業を強いられてしまうといった問題があった。
このように連携制御装置は、常に出入管理システムとネットワーク認証システムとを連携させるよう制御してしまうため、例えば、新たに構築した出入管理システムやネットワーク認証システムを連携制御装置で連携させるよう施工した際の動作確認において、正常に動作しなかった場合の原因を特定する場合にも、上述したような、一旦接続した連携制御装置と、出入管理システム、ネットワーク認証システムとの接続をわざわざ切断してシステム構成を変更し、出入管理システム、ネットワーク認証システムをそれぞれ個別に検証するといった非常に煩わしい作業を強いられてしまうといった問題を招来してしまう。
そこで、本発明は、上述したような課題を解決するために提案されたものであり、出入管理システムとネットワーク認証システムを連携制御する連携制御装置を用いたネットワーク管理システムにおいて、システム構成を変更することなく、出入管理システム又はネットワーク認証システムで発生した不具合を迅速に特定することができる連携制御装置及びネットワーク管理システムを提供することを目的とする。
本発明の連携制御装置は、ユーザを一意に特定する第1の被認証情報に基づいた認証処理結果に応じて、高度セキュリティレベル領域の出入を管理する出入管理システムと、前記高度セキュリティレベル領域に構築されたネットワークに対し、前記ユーザを一意に特定する第2の被認証情報に基づいた認証サーバによる認証処理結果に応じて、アクセス制限をするネットワーク認証システムとを相互に連携させる連携制御装置であって、少なくとも前記出入管理システムによる第1の被認証情報に基づく認証処理結果に応じたユーザの高度セキュリティレベル領域に対する現在の出入状態と、前記第2の被認証情報とを関連付けて記憶する記憶手段と、前記第2の被認証情報を用いて、前記ユーザからなされるネットワークへのアクセス要求に応じて、前記記憶手段に記憶されている前記第2の被認証情報と関連付けられたユーザの高度セキュリティレベル領域に対する現在の出入状態に基づき、認証処理をする認証処理手段と、ユーザの操作に応じて、当該連携制御装置の動作モードを切り替えるよう指示する動作切替手段と、前記動作切替手段が操作されたことに応じて、前記認証処理手段によって認証された場合に、前記第2の被認証情報によるネットワークへのアクセス要求を前記ネットワーク認証システムの認証サーバに送信し、前記認証処理手段によって認証されなかった場合に、前記第2の被認証情報によるネットワークへのアクセス要求を前記ネットワーク認証システムの認証サーバに送信することなく拒否する通常動作モード、又は、前記ユーザからなされる前記第2の被認証情報によるネットワークへのアクセス要求を、無条件に前記ネットワーク認証システムの認証サーバに送信する第1メンテナンスモードで動作するよう制御する制御手段とを備えることで、上述の課題を解決する。
また、本発明のネットワーク管理システムは、ユーザを一意に特定する第1の被認証情報に基づいた認証処理結果に応じて、高度セキュリティレベル領域の出入を管理する出入管理システムと、前記高度セキュリティレベル領域に構築されたネットワークに対し、前記ユーザを一意に特定する第2の被認証情報に基づいた認証サーバによる認証処理結果に応じて、アクセス制限をするネットワーク認証システムと、前記出入管理システムと、前記ネットワーク認証システムとを相互に連携させる連携制御装置とを備え、前記連携制御装置は、少なくとも前記出入管理システムによる第1の被認証情報に基づく認証処理結果に応じたユーザの高度セキュリティレベル領域に対する現在の出入状態と、前記第2の被認証情報とを関連付けて記憶する記憶手段と、前記第2の被認証情報を用いて、前記ユーザからなされるネットワークへのアクセス要求に応じて、前記記憶手段に記憶されている前記第2の被認証情報と関連付けられたユーザの高度セキュリティレベル領域に対する現在の出入状態に基づき、認証処理をする認証処理手段と、ユーザの操作に応じて、当該連携制御装置の動作モードを切り替えるよう指示する動作切替手段と、前記動作切替手段が操作されたことに応じて、前記認証処理手段によって認証された場合に、前記第2の被認証情報によるネットワークへのアクセス要求を前記ネットワーク認証システムの認証サーバに送信し、前記認証処理手段によって認証されなかった場合に、前記第2の被認証情報によるネットワークへのアクセス要求を前記ネットワーク認証システムの認証サーバに送信することなく拒否する通常動作モード、又は、前記ユーザからなされる前記第2の被認証情報によるネットワークへのアクセス要求を、無条件に前記ネットワーク認証システムの認証サーバに送信する第1メンテナンスモードで動作するよう制御する制御手段とを有することで、上述の課題を解決する。
本発明によれば、連携制御装置の動作モードを第1メンテナンスモードとすることで、出入管理システムとネットワーク認証システムとを連携させなくとも、無条件に認証サーバに対してネットワークへのアクセス要求を送信することができる。
これにより、出入管理システムとネットワーク認証システムとをそれぞれ単独で動作させることができるため、出入管理システム、ネットワーク認証システムのいずれかで生じた不具合を容易に特定することを可能とする。
また、新たに構築した出入管理システムやネットワーク認証システムを連携制御装置で連携させるよう施工した際、第1メンテナンスモードへと切り替えることで、出入管理システム、ネットワーク認証システム、それぞれの動作確認をシステム構成を変更することなく独立して行うことを可能とする。
さらに、連携制御装置の動作モードを第2メンテナンスモードとすることで、ユーザからなされる第2の被認証情報によるネットワークへのアクセス要求が全て破棄されるため、連携制御装置に故障が発生したかのような状態を作為的に作り出すことができる。
これにより、連携制御装置に故障が発生することを想定して、少なくともネットワーク認証での運用を確保することができるように冗長化構成をとった場合に、第2メンテナンスモードへと切り替えることで、この冗長化構成が確実に機能するかどうかを事前に確認することを可能とする。
まず、図1を用いて、本発明の実施の形態として示すネットワーク管理システムについて説明をする。図1に示すように、ネットワーク管理システム1は、設備系システム10と、ネットワーク認証システム20とが情報ブレーカ30によって相互に接続されて構成されている。
設備系システム10は、セキュリティレベルの低い領域(低度セキュリティレベル領域)から、機密情報などを扱うセキュリティレベルの高い領域(高度セキュリティレベル領域)への出入を管理する。
ネットワーク認証システム20は、設備系システム10で管理される高度セキュリティレベル領域内に構築されたネットワークである。ネットワーク認証システム20では、例えば、機密情報などを管理しており、認証されたユーザに対してのみ、ネットワークに接続された情報端末装置からのログオンを認め、機密情報へのアクセスを許可する。
設備系システム10としては、上述した低度セキュリティレベル領域から、高度セキュリティレベル領域への出入を管理する形態であればどのようなものであってもよいが、例えば、図1に示すように、高度セキュリティレベル領域と低度セキュリティレベル領域とを扉などで隔て、認証処理に応じて各領域への移動を認める設備系システム10Aや、扉などの物理的な障壁を設けずに、高度セキュリティレベル領域、低度セキュリティレベル領域にいるユーザを認識する設備系システム10Bなどを適用することができる。
設備系システム10Aは、高度セキュリティレベル領域への入室を希望するユーザ全てに対して認証処理を行い、あらかじめ登録された正当なユーザのみを認証して高度セキュリティレベル領域への入室を許可する。また、設備系システム10Aは、必要に応じて高度セキュリティレベル領域から退室を希望するユーザに対して認証処理を行い、高度セキュリティレベル領域からの退室を許可する。低度セキュリティレベル領域と、高度セキュリティレベル領域とは、電気的な作用により施錠、解錠することができる電気錠を備える扉(ドア)によって隔てられている。
具体的には、設備系システム10Aは、高度セキュリティレベル領域外に設けられた入室用カードリーダ11により、ユーザが所有する、例えば非接触のICカード(Integrated Circuit)2の半導体メモリ内に格納された情報を読み取り、読み取った情報のうちの被認証情報であるカードIDに基づき正当なユーザであると認証された場合に、入退室コントロールユニット13の制御により施錠されていた電気錠を解錠することで、高度セキュリティレベル領域への入室を許可する。
また、設備系システム10Aは、高度セキュリティレベル領域からの退室時には、高度セキュリティレベル領域内に設けられた退室用カードリーダ12により、ICカード2の上述した情報を読み取り、正当なユーザであると認証された場合に、入退室コントロールユニット13の制御により施錠されていた電気錠を解錠することで、高度セキュリティレベル領域からの退室を許可する。
設備系システム10Aは、このような認証処理により、施錠された電気錠を解錠する場合には、ユーザが所有するICカード2に格納された情報のうち、ICカード2を一意に特定するカードIDと、解錠した扉に固有の扉IDと、入室か退室かを示す情報とを入退室コントロールユニット13から後述する情報ブレーカ30に送信する。入室か退室かを示す情報は、例えば、入室用カードリーダ11又は退室用カードリーダ12をそれぞれ一意に特定する機器IDで示すようにしてもよい。
一方、設備系システム10Bは、図1に示すように、低度セキュリティレベル領域である共用ゾーンZ1や、高度セキュリティレベル領域である特定ゾーンZ2に設置されたゾーン監視センサ15と、ユーザが所有する非接触のICカード2との無線通信により、ユーザが所有するICカード2からカードIDを取得し、認証用コントロールユニット16で認証処理することで、各ゾーンに存在するユーザを認識する。なお、設備系システム10Bにおいて用いられるICカード2は、例えば、アクティブ対応のRFID(Radio Frequency IDentification)タグと同等の機能を有している。
設備系システム10Bは、ユーザが所有するICカード2に格納された情報のうち、ICカード2を一意に特定する被認証情報であるカードIDと、カードIDを取得したゾーン監視センサ15を一意に特定する機器IDとを認証用コントロールユニット16から後述する情報ブレーカ30に送信する。
ネットワーク認証システム20は、高度セキュリティレベル領域内に構築され、端末装置21(nは、自然数。)からのネットワークへの接続を認証装置22、認証サーバ23による認証処理に応じて許可する。
具体的には、ネットワーク認証システム20は、IEEE(米国電気電子技術者協会)802.1Xで策定されたLAN(Local Area Network)スイッチや無線LANアクセス・ポイントに接続するユーザを認証する技術を用いて、端末装置21からのアクセス要求であるネットワーク認証要求に応じた認証処理を行う。IEEE802.1Xは、LANの利用の可否を制御するEthernet(登録商標)上のプロトコルである。また、ユーザの認証には、認証用プロトコルとしてRADIUS(Remote Authentication Dial-In-User-Service)を用いた通信により、認証すべきユーザを集中管理することができるRADIUSサーバが用いられる。
端末装置21は、高度セキュリティレベル領域に入室したユーザによって使用可能な、いわゆるPC(Personal Computer)であり、認証装置22、認証サーバ23と情報のやり取りをし、ネットワークへの接続を要求するためのサプリカントと呼ばれる認証クライアント・ソフトウェアを保持している。
認証装置22は、複数の端末装置21に対して有線又は無線で接続され、認証サーバ23と端末装置21との認証処理を中継する中継装置として機能する。認証装置22は、RADIUSサーバに対するRADIUSクライアントとして機能し、RADIUSサーバとの通信には、認証用プロトコルとしてRADIUSを用いた通信を行う。
認証装置22は、認証装置22a、22bのような、IEEE802.1X、RADIUSに対応したLANスイッチや無線LANアクセス・ポイントなどであり、認証サーバ23と連携してポート毎に端末装置21をネットワークへ接続する。
認証サーバ23は、RADIUS認証におけるRADIUSサーバであり、端末装置21を介して、ネットワークへの接続を要求するユーザに関する情報を保持する図示しないユーザ情報記憶部を備え、RADIUSクライアントである認証装置22を介して端末装置21の認証処理を行い、認証結果に応じてネットワークへの接続の可否を通知する。
認証サーバ23が備える図示しないユーザ情報記憶部は、ユーザをネットワークにおいて一意に特定するための被認証情報であるアカウントIDとアカウントIDに対応するパスワードを保持している。
ネットワーク認証システム20による実際の認証手順は、EAP(Extensible Authentication Protocol)によって規定される。ネットワーク認証システム20では、IEEE802.1Xで使用できる様々なEAP、例えば、EAP−MD5(EAP−Message Digest alogorithm5)、PEAP(Protected-EAP)といった認証処理にユーザID(アカウントID)とパスワードとを入力することが要求されるEAPや、デジタル電子証明書を使って認証するEAP−TLS(EAP-Transport Layer Security)などを利用できる。
続いて、図2を用いて、情報ブレーカ30の構成について説明をする。図2に示すように、情報ブレーカ30は、外部システムI/F(インターフェース)31と、情報変換部32と、内部データベース33と、ネットワークI/F(インターフェース)34と、RADIUS認証部35と、認証処理部36と、認証状態制御部37と、情報管理部38と、認証ログ記憶部39と、動作切替部40とを備えている。
情報ブレーカ30は、ネットワーク認証システム20の認証装置22と認証サーバ23との間で、認証処理時にやり取りされる認証用のパケットを経由するように設けられ、設備系システム10とネットワーク認証システム20とを連携制御する連携制御装置として機能する。
情報ブレーカ30は、設備系システム10から送信される情報を用いて、低度セキュリティレベル領域から高度セキュリティレベル領域への移動などといった設備系システム10におけるユーザの出入状態の変化を把握し、このユーザの出入状態の変化に応じて、端末装置21から認証装置22を介して認証サーバ23へとアクセス要求として送信される認証用のパケットであるネットワーク認証要求を通過させるのか、それとも通過させずに認証サーバ23での認証の事前に拒否してしまうのかを判断することができる。
また、情報ブレーカ30は、ユーザがネットワークへの接続が既に認証されている状態において、設備系システム10から送信される情報を利用して、高度セキュリティレベル領域から低度セキュリティレベル領域への移動などといった設備系システム10におけるユーザの出入状態の変化を把握し、このユーザの出入状態の変化に応じて、強制的に再認証要求を行い、認証結果に応じて認証拒否や接続されたネットワークを切断するよう制御することができる。
さらに、情報ブレーカ30は、動作切替部40の指示に応じて、設備系システム10とネットワーク認証システム20とを連携制御する通常動作モードと、ネットワーク管理システム1の構成を変更することなく設備系システム10とネットワーク認証システム20との連携を切り離すメンテナンスモードとを切り替えることができる。
外部システムI/F31は、設備系システム10と当該情報ブレーカ30とを接続するための通信インターフェースである。外部システムI/F31を介した設備系システム10と情報ブレーカ30との通信は、例えば、Ethernet(登録商標)などの通信規格を利用することができる。また、外部システムI/F31を介した設備系システム10と情報ブレーカ30との通信は、TCP/IPベースの通信に限らず、非IPのフィールドバスなどを利用することもできる。
情報変換部32は、外部システムI/F31を介して、当該情報ブレーカ30に入力された情報を所定のデータ形式に変換して内部データベース33へ格納させる。
内部データベース33は、情報ブレーカ30で利用する各種情報を記憶するデータベースであり、ユーザ毎に定義された静的な情報を記憶するユーザ情報記憶部33Aと、ユーザの現在の状態を示す動的な情報を記憶する認証状態記憶部33Bと、設備系システム10やネットワーク認証システム20に関連して定義された静的な情報を記憶するシステム情報記憶部33Cとを備えている。
ユーザ情報記憶部33Aは、ユーザをネットワークにおいて一意に特定するための被認証情報であるアカウントID毎に、あらかじめ登録されたユーザが保持しているICカード2のカードIDと、このユーザがネットワーク認証された際に、認証を維持できる時間を示した滞在可能時間情報とを関係付けて記憶している。ユーザ情報記憶部33Aに記憶された情報は、静的情報であり、一旦設定されると新たなユーザ登録やシステム変更などがあるまで変更されず保持される。ユーザ情報記憶部33Aの情報の更新処理は、後述する情報管理部38にて実行される。
図3に、ユーザ情報記憶部33Aで記憶保持している情報とその内容との一例を示す。カードIDは、設備系システム10の出入時に使用されるICカード2のカードIDである。情報変換部32は、設備系システム10からカードIDを通知された場合に、ユーザ情報記憶部33Aを参照することでアカウントIDを取得し、このアカウントIDに基づき認証状態記憶部33Bの更新処理などを実行する。また、1人のユーザが、ICカード2を複数枚所持している場合もあるため、このカードIDは、一つのアカウントIDに対して複数登録される場合もある。
滞在可能時間情報は、このアカウントIDで特定されるユーザに与えられた、ネットワーク認証を維持することが認められた時間を示す情報である。この滞在可能時間情報は、ネットワークの再認証時に、ユーザが現在までどれだけネットワークを使用したかを示す時間情報と比較され、ネットワーク使用時間が、滞在可能時間を超えた場合には、ネットワークへの再認証要求が無効とされる。ユーザが現在までどれだけネットワークを使用したかを示す時間情報は、認証状態記憶部33Bに記憶されているネットワーク認証が許可された時刻を示す後述する認証時刻情報から認証処理部36によって求められる。
認証状態記憶部33Bは、ユーザをネットワークにおいて一意に特定するための被認証情報であるアカウントID毎に、滞在中領域番号情報と、入り時刻情報と、認証時刻情報と、認証装置IDと、認証装置ポート番号情報とを関係付けて記憶している。認証状態記憶部33Bに記憶される情報は、動的情報であり、設備系システム10で管理されているユーザの出入状態、ネットワーク認証システム20で管理されているユーザのネットワーク認証状態などに応じて情報変換部32、認証処理部36により随時更新されていく。
図4に、認証状態記憶部33Bに記憶される情報とその内容との一例を示す。滞在中領域番号情報は、ユーザが、現在、滞在しているセキュリティレベル領域、例えば、高度セキュリティレベル領域、低度セキュリティレベル領域を特定する番号情報である。設備系システム10の各セキュリティレベル領域は、それぞれを一意に特定する識別番号が付与されている。情報変換部32は、設備系システム10において状態変化があった際に通知される情報から、ユーザが現在どのセキュリティレベル領域にいるのかを特定して、そのセキュリティレベル領域を示す領域番号情報を滞在中領域番号情報として、認証状態記憶部33Bに記憶させる。
例えば、設備系システム10Aでは、状態変化があった場合に、入退室コントロールユニット13から入室扉ID又は退室扉IDが送信されるが、情報変換部32は、この入室扉ID又は退室扉IDを用いて、後述するシステム情報記憶部33Cに入室扉ID、退室扉IDと関係付けて記憶されているセキュリティレベル領域を特定する領域番号情報を取得し、この領域番号情報を滞在中領域番号情報として、認証状態記憶部33Bに書き込む。
入り時刻情報は、設備系システム10より状態変化があった際に送信される信号を受信した時刻であり、滞在中領域番号情報として示されるセキュリティレベル領域での滞在が開始された時刻を示している。この入り時刻情報は、ネットワーク認証時、再認証時において、当該セキュリティレベル領域の滞在可能時間情報や利用可能時刻情報との比較に用いられる。
認証時刻情報は、ユーザのネットワーク認証が許可された時刻を示している。認証処理部36は、ネットワーク再認証時に、この認証時刻情報から、ユーザのネットワーク利用時間を求め、このネットワーク利用時間と、ユーザ毎に規定されている滞在可能時間情報又はセキュリティレベル領域毎に規定されている滞在可能時間情報との比較に使用する。
認証装置IDは、ネットワーク認証要求を送信したユーザが端末装置21を介して接続している認証装置22のIPアドレスを示している。この認証装置IDは、SNMPによる強制切断処理時に使用される。
認証装置ポート番号情報は、ネットワーク認証要求を送信したユーザが端末装置21を介して接続している認証装置22のポート番号を示している。この認証装置ポート番号情報は、SNMPによる強制切断処理時に使用される。
システム情報記憶部33Cは、設備系システム10の各セキュリティレベル領域をそれぞれ一意に特定するための識別番号である領域番号情報毎に、入室扉IDと、退室扉IDと、利用可能時刻情報と、滞在可能時間情報と、認証装置IDとを関係付けて記憶している。システム情報記憶部33Cに記憶された情報は、静的情報であり、一旦設定されるとシステム変更などがあるまで変更されずに保持される。システム情報記憶部33Cの情報更新処理は、後述する情報管理部38にて実行される。
図5に、システム情報記憶部33Cで記憶保持している情報とその内容との一例を示す。入室扉ID、退室扉IDは、設備系システム10Aのように扉によってセキュリティレベル領域が隔てられている設備系システム10に対応するために用意されている。
入室扉IDは、設備系システム10に設けられた入口扉のIDであり、入口扉と1対1で対応している設備系システム10Aの入室用カードリーダ11のIDを使用する。退室扉IDは、設備系システム10に設けられた出口扉のIDであり、出口扉と1対1で対応している設備系システム10Aの退室用カードリーダ12のIDを使用する。入室扉ID、退室扉IDは、セキュリティレベル領域に設けられている扉の数に応じて、複数設定することができる。
利用可能時刻情報は、このセキュリティレベル領域にて、ネットワークの利用が許可されている時間帯を示す情報である。具体的には、利用可能時刻情報は、ネットワークの利用が許可されている開始時刻情報と、終了時刻情報とを対にした時刻情報である。この利用可能時刻情報は、ネットワークの認証時、再認証時にて使用される。
滞在可能時間情報は、このセキュリティレベル領域にて、ネットワークの認証が認められる時間を示した情報である。滞在可能時間情報は、ネットワークの再認証時に、ユーザが現在までどれだけネットワークを使用したかを示す時間情報と比較され、ネットワーク使用時間が、滞在可能時間を超えた場合には、ネットワークへの再認証要求が無効とされる。このとき、当該システム情報記憶部33Cに記憶されている滞在可能時間情報、ユーザ情報記憶部33Aに記憶されている滞在可能時間情報のうち、いずれか時間の短い方が優先的に使用されることになる。
認証装置IDは、このセキュリティレベル領域に設置されている認証装置22のIPアドレスを示している。この認証装置IDは、セキュリティレベル領域に設定された認証装置22の数に応じて、複数設定することができる。
ネットワークI/F34は、当該情報ブレーカ30と、認証装置22、認証サーバ23との通信を行うための通信インターフェースである。ネットワークI/F34は、Ethernet(登録商標)やTCP/IPスタックに相当する。
RADIUS認証部35は、認証要求中継部35Aと、要求中継判断部35Bと、機器設定記憶部35Cとを備え、RADIUS認証に関連する処理を実行する。
認証要求中継部35Aは、RADIUS認証において認証装置22、認証サーバ23間で送受信されるRADIUSパケットを中継する。このとき、認証要求中継部35Aは、ネットワーク認証要求のRADIUSパケットに含まれるアカウントIDなど認証処理部36での認証処理に必要となる情報を取得する。またRADIUSの規格で定義されている認証符号の再計算を行う機能も有している。
要求中継判断部35Bは、認証処理部36でなされた認証判断に基づき、認証サーバ23に対してネットワーク認証要求を送信するか、ネットワーク認証要求を拒否するかの最終的な判断をする。要求中継判断部35Bは、拒否応答する場合には、拒否応答パケットを生成し認証装置22に送信する。
機器設定記憶部35Cは、RADIUS通信の正当性を確認するために必要となる認証装置22、認証サーバ23それぞれで保持される全ての秘密共有鍵を、通信相手のIPアドレスと対応付けて管理する。
認証処理部36は、認証装置22から送信されるネットワーク認証要求のRADIUSパケットに含まれるアカウントIDと、内部データベース33のユーザ情報記憶部33Aに記憶されている情報とを用いて認証処理をし、ネットワーク認証要求を認証サーバ23へと送信するのかどうかを判断する。
認証状態制御部37は、認証装置22が外部からの認証状態制御に対応している場合、ユーザの行動状態が変化したことに応じて、即座に認証状態をリセットするための要求を送信する。
この認証状態制御部37は、認証装置22が、MIB(Management Information Base)と呼ばれる管理情報データベースを保持している場合に動作する機能部である。具体的には、IETF(Internet Engineering Task Force )で標準化されたTCP/IPネットワーク環境での管理プロトコルであるSNMP (Simple Network Management Protocol)にて、上述した管理情報であるMIBを交換することで、当該認証状態制御部37により認証装置22を管理することができる。つまり、認証装置22にSNMPエージェントが与えられた場合に、認証状態制御部37は、SNMPマネージャとして機能する。例えば、MIBとしては、IEEE802.1xで規定されたものを使用することができる。
情報管理部38は、ユーザ情報記憶部33A、システム情報記憶部33Cに記憶されている静的情報や、機器設定記憶部35Cに記憶されている設定情報などを、HTTP(S)サーバやTelnetなどを利用して外部から管理することができる。
認証ログ記憶部39は、認証処理部36による認証処理結果や機器動作状態のログを記憶する。認証ログ記憶部39は、Syslog出力機能を有している。
動作切替部40は、ユーザの操作に応じて、情報ブレーカ30の動作モードを切り替えるように指示をする。
具体的には、動作切替部40は、上述した各機能部により設備系システム10とネットワーク認証システム20とを連携制御する通常動作モードと、ネットワーク管理システム1の構成を変更することなく設備系システム10とネットワーク認証システム20との連携を情報ブレーカ30内部で切り離し、設備系システム10とネットワーク認証システムとをそれぞれ別々に動作させるメンテナンスモードとを切り替えるよう指示をする。
動作切替部40は、例えば、ディップスイッチなどで構成され、ユーザによるディップスイッチの操作に応じて通常動作モードとメンテナンスモードとを切り替えるよう指示することができる。
メンテナンスモードとは、ネットワーク管理システム1に発生した不具合個所を特定したり、新たに構築した設備系システム10やネットワーク認証システム20を情報ブレーカ30で連携させるよう施工した際の動作確認をするための動作モードである。動作切替部40により、情報ブレーカ30の動作モードをメンテナンスモードへと切り替えるよう指示すると、システム構成を変更することなく設備系システム10とネットワーク認証システム20との連携を切り離すことができる。
メンテナンスモードには、認証要求中継部35AをRADIUSプロキシサーバとして機能させることで、設備系システム10と、ネットワーク認証システム20との連携を切り離す第1メンテナンスモード(Mode1)と、認証要求中継部35Aに対しネットワーク認証要求のRADIUSパケットを全て破棄させることで、設備系システム10と、ネットワーク認証システム20との連携を切り離す第2メンテナンスモード(Mode2)とがある。この第1メンテナンスモード、第2メンテナンスモードも、動作切替部40の操作により切り替えることができる。
図6に、動作切替部40の操作に応じてモードが切り替えられる情報ブレーカ30の状態遷移図を示す。なお、通常動作モードは、Mode1である第1メンテナンスモード、Mode2である第2メンテナンスモードに対してMode3としている。
図6に示すように、情報ブレーカ30に必須となる各種設定が既になされた状態で、情報ブレーカ30を起動させると、動作切替部40の状態に応じて、第1メンテナンスモード、第2メンテナンスモード、通常動作モードのいずれかで起動することになる。また、情報ブレーカ30が起動されている状態で動作切替部40を操作すると、操作状態に応じて第1メンテナンスモード、第2メンテナンスモード、通常動作モードへと自由に切り替えることができる。
第1メンテナンスモードに切り替えられると、RADIUS認証部35の認証要求中継部35Aは、RADIUSプロキシサーバとして機能する。具体的には、第1メンテナンスモードに切り替えられると、認証要求中継部35Aは、ネットワーク認証要求のRADIUSパケットに含まれるアカウントIDなど、認証処理部36での認証処理に必要な情報を取得する処理を実行せず、RADIUS規格で定義されている認証符号の再計算のみを実行し、認証サーバ23に対してネットワーク認証要求を送信する。
このように、認証要求中継部35AがRADIUSプロキシサーバとして機能すると、認証処理部36での認証処理がなされないため、設備系システム10で管理されるユーザの高度セキュリティレベル領域への出入に連携することなく、ネットワーク認証システム20は、ネットワーク認証を実行することになる。
上述したように、第1メンテナンスモードでは、認証要求中継部35AをRADIUSプロキシサーバとして機能させ、認証処理部36での認証処理を実行させないことで、設備系システム10と、ネットワーク認証システム20との連携制御を切り離している。
これに替えて、動作切替部40により第1メンテナンスモードへと切り替えるよう指示された場合、認証処理部36での認証処理を実行させないのではなく、ネットワーク認証要求に含まれるアカウントIDをキーとして内部データベース33の認証状態記憶部33Bから取得される情報、認証装置22のIPアドレスをキーとして、内部データベース33のシステム情報記憶部33Cから取得される情報、つまり、設備系システム10で管理されるユーザの高度セキュリティレベル領域への出入状態に関する情報を、必ず認証判断が下されるように変更して、認証処理を実行させるようにしてもよい。
この場合、認証処理部36は、認証装置22から送信されたネットワーク認証要求を認証サーバ23へと転送してよいと必ず判断することになる。したがって、認証処理部36で認証処理を実行せずに、認証要求中継部35AをRADIUSプロキシサーバとして機能させた場合と同様に、設備系システム10で管理されるユーザの高度セキュリティレベル領域への出入に連携することなく、ネットワーク認証システム20は、ネットワーク認証を実行することになる。
つまり、第1メンテナンスモードでは、設備系システム10と、ネットワーク認証システム20とをそれぞれ単独で動作させることができるため、ネットワーク管理システム1に不具合が生じた場合には、動作切替部40を第1メンテナンスモードへと切り替えることでシステム構成を変更することなく、設備系システム10、ネットワーク認証システム20のいずれかで生じた不具合を容易に特定することができる。
また、新たに構築した設備系システム10やネットワーク認証システム20を連携制御装置である情報ブレーカ30で連携させるよう施工した際、施工業者又はシステム管理者が、動作切替部40を第1メンテナンスモードへと切り替えることで、設備系システム10、ネットワーク認証システム20、それぞれの動作確認をシステム構成を変更することなく独立して行うことができる。
一方、第2メンテナンスモードに切り替えられると、RADIUS認証部35の認証要求中継部35Aは、端末装置21から認証装置22を介して認証サーバ23へとアクセス要求として送信される認証用のパケットであるネットワーク認証要求のRADIUSパケットを全て破棄する。
このように、認証要求中継部35Aがネットワーク認証要求のRADIUSパケットを全て破棄すると、情報ブレーカ30に故障が発生したかのような状態を作為的に作り出すことができる。
ところで、ネットワーク管理システム1は、情報ブレーカ30に万が一故障が発生した場合であっても、少なくともRADIUSによるネットワーク認証での運用を確保することができるように、冗長化構成をとることができる。
例えば、図7に示すように同一の構成の情報ブレーカ30A、30Bを設け、認証装置22には、情報ブレーカ30Aをプライマリサーバとして設定し、情報ブレーカ30Bをセカンダリサーバとして設定する。これにより、プライマリサーバである情報ブレーカ30Aが故障した場合には、認証装置22は、セカンダリサーバである情報ブレーカ30Bを介して設備系システム10との連携制御を実現することができる。
また、図8に示すように、認証装置22に、情報ブレーカ30をプライマリサーバとして設定し、認証サーバ23をセカンダリサーバとして設定することもできる。この場合、プライマリサーバである情報ブレーカ30が故障した場合には、設備系システム10との連携制御を実行することがはできないが、少なくともネットワーク認証を実行することはできる。
このようにネットワーク管理システム1を冗長化構成とした場合、プライマリサーバの故障時に、確実にセカンダリサーバが機能することが望まれる。特に、設備系システム10やネットワーク認証システムを新たに構築するなどシステム構成に変更があった場合には、プライマリサーバからセカンダリサーバへの切り替え動作が確実になされるよう動作確認を事前にしておく必要がある。
そこで、このような場合には、動作切替部40を第2メンテナンスモードへと切り替え、認証要求中継部35Aがネットワーク認証要求のRADIUSパケットを全て破棄し、情報ブレーカ30に故障が発生したかのような状態を作為的に作り出す。これに応じて、認証装置22が、プライマリサーバが故障したと判断して、セカンダリサーバへとネットワーク認証要求を送信した場合、ネットワーク管理システム1の冗長化構成が確実に機能していると判断することができる。
続いて、図9、図10、図11に示すタイミングチャートを用いて、情報ブレーカ30を通常動作モードとした際のネットワーク管理システム1の処理動作、第1メンテナンスモードとした際のネットワーク管理システム1の処理動作について説明をする。
[通常動作モード時の処理動作]
まず、図9に示すタイミングチャートを用いて、情報ブレーカ30を通常動作モードとした際のネットワーク管理システム1の処理動作について説明をする。なお、説明が冗長となることを避けるため、設備系システム10Aを使用した場合についてのみ説明をするが、設備系システム10Bの場合も全く同様の処理動作となる。
ステップS1において、ユーザは、低度セキュリティレベル領域からネットワークが構築されている高度セキュリティレベル領域へと、入退室コントロールユニット13によって管理された扉から入室するとする。
具体的には、ユーザは、入室用カードリーダ11にICカード2を翳す。これに応じて、入退室コントロールユニット13は、ICカード2の半導体メモリに格納されている情報を読み取り、カードIDを認証して施錠された扉の電気錠を解錠する。
入退室コントロールユニット13は、ICカード2から読み取ったカードIDを情報ブレーカ30に送信する。また、入退室コントロールユニット13は、電気錠を解錠した扉を一意に特定する入室扉ID、入室であることを示す情報を送信する。
情報ブレーカ30の情報変換部32は、外部システムI/F31を介して設備系システム10から送信される情報を認証処理で使用できるように変換し、内部データベース33の認証状態記憶部33Bに記憶させ、設備系システム10の高度セキュリティレベル領域におけるユーザの現在の出入状態を記憶する。
具体的には、情報変換部32は、入退室コントロールユニット13から送信されたICカード2のカードIDを用いて、ユーザ情報記憶部33Aを参照し、このカードIDに対応付けて記憶されているアカウントIDを取得する。また、情報変換部32は、入退室コントロールユニット13から送信された入室扉IDを用いて、システム情報記憶部33Cを参照し、この入室扉IDに対応付けて記憶されている高度セキュリティレベル領域を特定する領域番号情報を取得する。
そして、情報変換部32は、システム情報記憶部33Cから取得した領域番号情報を、ユーザが現在滞在している高度セキュリティレベル領域であることを示す滞在中領域番号情報として、ユーザ情報記憶部33Aから取得したアカウントIDと対応付けて、認証状態記憶部33Bに記憶させる。
また、情報変換部32は、入退室コントロールユニット13から、カードID、入室扉IDを受け取った時刻を、ユーザが高度セキュリティレベル領域へと入った入り時刻情報として、認証状態記憶部33Bに記憶させる。
ステップS2において、高度セキュリティレベル領域に入室したユーザは、端末装置21から認証装置22を介して、IEEE802.1Xの手順に従い、アクセス要求としてネットワーク認証要求を送信することでネットワークへの接続を試みる。
初期状態では、端末装置21とネットワーク間の回線は、認証装置22によって切断されているため、端末装置21は、認証装置22との通信しか行うことができない。
まず、ユーザは、ネットワークに接続するために、端末装置21からアカウントID及びパスワードを入力し認証装置22へ認証用のパケットであるネットワーク認証要求を送信する。
端末装置21は、ネットワーク認証要求をEAPメッセージの入ったMAC(Media Access Control)フレームとして認証装置22へ送信する。このとき、アカウントIDは平文で、パスワードはハッシュ化された状態で送信される。
認証装置22は、MACフレームからEAPメッセージを取り出し、IPパケットに乗せ換え、情報ブレーカ30へと送信をする。具体的には、認証装置22は、IPの上位層のUDPを利用して、認証装置22から取り出したEAPメッセージをRADIUSパケットのデータ部分に格納して情報ブレーカ30へと送信する。
認証装置22と認証サーバ23とのRADIUS認証処理における認証シーケンスにおいて、認証装置22からネットワーク認証要求として送信される最初のRADIUSパケットのEAPメッセージにのみ、平文のアカウントIDであるEAP−Type=Identityデータが存在する。RADIUSパケットには、このアカウントIDの他に、認証装置22の情報として認証装置22のIPアドレス、端末装置21が接続された認証装置22のポート番号などがRADIUS属性情報として記述されている。
ステップS3において、RADIUS認証部35の認証要求中継部35Aは、ネットワークI/F34を介して受信したネットワーク認証要求のRADIUSパケットのEAPメッセージに添付されたIdentityデータを取得して認証処理部36に出力する。また、認証要求中継部35Aは、受信したネットワーク認証要求のRADIUSパケットより認証装置22のIPアドレスを取得して認証処理部36に出力する。
ステップS4において、認証処理部36は、取得したIdentityデータのアカウントIDをキーとして、内部データベース33の認証状態記憶部33Bに格納されているユーザの高度セキュリティレベル領域における現在の出入状態を示す情報である滞在中領域番号情報と、入り時刻情報とを要求する。また、認証処理部36は、取得した認証装置22のIPアドレスをキーとして、内部データベース33のシステム情報記憶部33Cに格納されている認証装置22の設置されている高度セキュリティレベル領域を特定する領域番号情報と、利用可能時刻情報とを要求する。この領域番号情報は、ネットワーク認証要求を送信した認証装置22が設置されている高度セキュリティレベル領域を示すことになる。
ステップS5において、認証処理部36は、認証状態記憶部33Bから取得したユーザの高度セキュリティレベル領域における現在の出入状態を示す情報である滞在中領域番号情報、入り時刻情報、システム情報記憶部33Cから取得した領域番号情報、利用可能時刻情報より、認証装置22から送信されたネットワーク認証要求を認証サーバ23へと転送してよいかどうかを判断する。
また、認証状態記憶部33Bから取得した情報より、該当するユーザが高度セキュリティレベル領域に存在し、既にネットワーク上での認証がなされていることが示されている場合には、ネットワーク認証要求をしてきたユーザは、不当なユーザであることが分かるため認証状態記憶部33Bの認証状態を認証中から切断中に書き換えるようにしてもよい。
ステップS6において、認証処理部36は、ユーザ情報記憶部33Aから取得したユーザの高度セキュリティレベル領域における現在の出入状態を示す情報である滞在中領域番号情報とシステム情報記憶部33Cから取得した領域番号情報とを比較して、高度セキュリティレベルにユーザが存在し、この高度セキュリティレベル領域からネットワーク認証要求がさなれたと確認でき、さらに、システム情報記憶部33Cから取得した利用可能時刻情報と現在の時刻とを比較して、この高度セキュリティレベル領域のネットワークを利用することが許可された時刻であることが確認できたことに応じて認証判断をRADIUS認証部35の要求中継判断部35Bに通知する。
ステップS7において、要求中継判断部35Bは、認証処理部36からの認証判断に応じて、認証サーバ23へネットワーク認証要求を送信する最終的な判断をし、ネットワークI/F34を介して、ネットワーク認証要求を認証サーバ23へ送信する。
ステップS8において、認証処理部36は、認証状態記憶部33Bから取得したユーザの高度セキュリティレベル領域における現在の出入状態を示す情報である滞在中領域番号情報とシステム情報記憶部33Cから取得した領域番号情報とを比較して、高度セキュリティレベル領域にユーザが存在することが確認できなかったり、ユーザが存在している高度セキュリティレベル領域からネットワーク認証要求が送信されていないことに応じて、又は、システム情報記憶部33Cから取得した利用可能時刻情報と現在の時刻とを比較して、この高度セキュリティレベル領域のネットワークを利用することが許可されていない時刻であることが確認できたことに応じて拒否判断をRADIUS認証部35の要求中継判断部35Bに通知する。
ステップS9において、要求中継判断部35Bは、認証処理部36からの拒否判断に応じて、認証サーバ23へのネットワーク認証要求の送信を拒否し、拒否応答パケットを生成して、ネットワークI/F34を介して認証装置22へ送信する。認証装置22は、送信された拒否応答パケットに基づき、端末装置21にネットワーク認証要求を拒否したことを示す拒否応答を通知する。
ステップS10において、認証サーバ23へネットワーク認証要求が送信されたことに応じて、EAPメッセージが添付された認証サーバ23から送信される応答パケット、端末装置21から送信される要求パケットをやり取りすることで、ユーザのネットワーク上での認証処理が実行される。
具体的には、認証サーバ23は、ネットワーク認証要求に添付されたアカウントIDをキーとして、図示しないユーザ情報記憶部に格納されている情報との照合処理を行う。
認証サーバ23は、送信されたアカウントIDに関連付けられてユーザ情報記憶部に格納されている対象となるユーザのパスワードを所定のハッシュ関数でハッシュ化し、ネットワーク認証要求に添付されたハッシュ化されているパスワードと比較をし、ハッシュ化されたパスワード同士が一致するかどうか確認をする。
このとき、情報ブレーカ30の認証要求中継部35Aは、端末装置21と認証サーバ23との要求パケット、応答パケットに対して何も施さずにスルーする。認証装置22は、上述したようなEAPメッセージの乗せ換えだけを行う中継装置として機能する。
ステップS11において、認証サーバ23は、当該認証サーバ23による認証がなされたことを示す認証許可通知、認証されなかったことを示す認証不許可通知のいずれかを、情報ブレーカ30のRADIUS認証部35を介して認証装置22に送信する。
認証装置22は、認証サーバ23から認証許可通知を受け取った場合には、端末装置21とネットワークとの回線を開放する。これにより、ユーザは、端末装置21を介してネットワークへアクセスすることができネットワーク上の他の端末装置との通信が可能となる。
認証装置22は、認証サーバ23から認証不許可通知を受け取った場合には、端末装置21とネットワークとの回線を開放せずに、認証不許可である旨を通知するメッセージを端末装置21に送信する。
ステップS12において、認証サーバ23から認証許可通知を受け取った場合、RADIUS認証部35の認証要求中継部35Aは、ネットワークの認証結果を内部データベース33の認証状態記憶部33Bに記憶させる。認証状態記憶部33Bに記憶させる情報としては、例えば、アカウントID、端末装置21が接続されている認証装置22を一意に特定する機器ID、ネットワークへの接続が開放されているポート番号、認証が許可された認証時刻などである。
このようにして、情報ブレーカ30によって設備系システム10と、ネットワーク認証システム20とが相互に接続され連携されたネットワーク管理システム1では、検出される設備系システム10におけるユーザの高度セキュリティレベル領域における現在の出入状態に基づき、情報ブレーカ30が、端末装置21からなされるネットワーク認証要求の正当性を認証サーバ23へ通知する前段で判断する。
これにより、既存のシステムに情報ブレーカ30を追加(アドオン)するだけで、設備系システム10と、ネットワーク認証システム20との連携を容易に図ることができるため、ネットワーク構築に労力をかけずに、高度セキュリティレベルへ不正に侵入したユーザのネットワークへの接続を排除することができるネットワーク管理システムを低コストで構築することができる。
また、情報ブレーカ30を設けることで、認証サーバ23において、端末装置21から要求される疑わしいネットワーク認証要求に対する無駄な認証処理を実行する必要がないため、認証サーバ23の処理負荷、及びネットワークの負荷を大幅に低減することができる。
[第1メンテナンスモード時の処理動作]
次に、図10、図11に示すタイミングチャートを用いて、情報ブレーカ30を第1メンテナンスモードとした際のネットワーク管理システム1の処理動作について説明をする。上述したように第1メンテナンスモードは、認証要求中継部35AをRADIUSプロキシサーバとして認証処理部36での認証処理を実行させない構成と、設備系システム10で管理されるユーザの高度セキュリティレベル領域への出入状態に関する情報を必ず認証処理部36で認証判断が下されるように変更する構成とがある。
(認証処理部36での認証処理を実行させない構成の場合)
認証処理部36での認証処理を実行させない構成の場合、図10に示すように、情報ブレーカ30を第1メンテナンスモードとした際の処理動作は、図9に示した通常動作モード時の処理動作のステップS1、ステップS12の処理が必要なくなり、さらに、ステップS3乃至ステップS9の処理に替えてステップS21の処理が実行される。したがって、図10に示すタイミングチャートにおいて、図9に示したタイミングチャートと同一の処理については、同一ステップ番号を付して説明を省略する。
まず、ネットワーク管理システム1の動作確認や不具合個所の特定といったメンテナンス処理を実行しようとする場合、ユーザは、情報ブレーカ30を第1メンテナンスモードとする。
そして、ネットワーク認証システム20の動作確認や不具合個所を特定する場合、ユーザは、高度セキュリティレベル領域へと入室し、図9を用いて説明したステップS2の処理を実行して、ネットワーク認証システム20を動作させる。ステップS2の処理が終了すると、ステップS21へと処理が進む。
なお、設備系システム10の動作確認や不具合個所を特定する場合、ユーザは、例えば、ICカード2内に格納された被認証情報であるカードIDを入室用カードリーダ11、又は退室用カードリーダ12で読み取らせ、入退室コントロールユニット13で認証処理が正確に実行されるかなどを検証する。
ステップ21において、認証要求中継部35Aは、ネットワークI/F34を介して受信したネットワーク認証要求のRADIUSパケットに含まれるアカウントIDなど、認証処理部36での認証処理に必要な情報を取得する処理を実行せず、RADIUS規格で定義されている認証符号の再計算のみを実行し、ネットワークI/F34を介して、ネットワーク認証要求を認証サーバ23へ送信する。ステップS21が終了すると、ステップS10へと処理が進む。
そして、ステップS11において得られる結果より、ユーザは、ネットワーク認証システム20が正常に機能しているのか、ネットワーク認証システム20に不具合があるのかどうかを判断し、不具合がある場合には、所定のメンテナンス処理を実行する。
例えば、正当なユーザであるにも拘わらず、端末装置21とネットワークとの回線が開放されない場合や、正当なユーザでないのに、端末装置21とネットワークとの回線が開放されてしまう場合などには、ネットワーク認証システム20に不具合が発生していると判断することができる。
(認証処理部36での認証処理を実行させる構成の場合)
認証処理部36での認証処理を実行させる構成の場合、図11に示すように、情報ブレーカ30を第1メンテナンスモードとした際の処理動作は、図9に示した通常動作モード時の処理動作のステップS1、ステップS12の処理が必要なくなり、さらに、ステップS4の処理に替えてステップS31の処理が実行される。したがって、図11に示すタイミングチャートにおいて、図9に示したタイミングチャートと同一の処理については、同一ステップ番号を付して説明を省略する。
まず、ネットワーク管理システム1の動作確認や不具合個所の特定といったメンテナンス処理を実行しようとする場合、ユーザは、情報ブレーカ30を第1メンテナンスモードとする。
そして、ネットワーク認証システム20の動作確認や不具合個所を特定する場合、ユーザは、高度セキュリティレベル領域へと入室し、図9を用いて説明したステップS2の処理を実行して、ネットワーク認証システム20を動作させる。ステップS2の処理が終了すると、ステップS3、ステップS31へと処理が進む。
なお、設備系システム10の動作確認や不具合個所を特定する場合、ユーザは、例えば、ICカード2内に格納された被認証情報であるカードIDを入室用カードリーダ11、又は退室用カードリーダ12で読み取らせ、入退室コントロールユニット13で認証処理が正確に実行されるかなどを検証する。
ステップS31において、認証処理部36は、取得したIdentityデータのアカウントIDをキーとして、内部データベース33の認証状態記憶部33Bに格納されているユーザの高度セキュリティレベル領域における現在の出入状態を示す情報である滞在中領域番号情報と、入り時刻情報とを要求する。また、認証処理部36は、取得した認証装置22のIPアドレスをキーとして、内部データベース33のシステム情報記憶部33Cに格納されている認証装置22の設置されている高度セキュリティレベル領域を特定する領域番号情報と、利用可能時刻情報とを要求する。この領域番号情報は、ネットワーク認証要求を送信した認証装置22が設置されている高度セキュリティレベル領域を示すことになる。
このとき、認証処理部36は、認証状態記憶部33Bに格納されているユーザの高度セキュリティレベル領域における現在の出入状態を示す情報である滞在中領域番号情報と、入り時刻情報とを、当該認証処理部36で必ず認証判断を下すことができるように変更する。
これにより、認証処理部36は、ステップS5、ステップS6で、必ず認証判断を下す。したがって、ステップS7において、要求中継判断部35Bは、認証処理部36からの認証判断に応じて、認証サーバ23へネットワーク認証要求を送信する最終的な判断をし、ネットワークI/F34を介して、ネットワーク認証要求を認証サーバ23へ送信する。
そして、ステップS10を経たステップS11において得られる結果より、ユーザは、ネットワーク認証システム20が正常に機能しているのか、ネットワーク認証システム20に不具合があるのかどうかを判断し、不具合がある場合には、所定のメンテナンス処理を実行する。
例えば、正当なユーザであるにも拘わらず、端末装置21とネットワークとの回線が開放されない場合や、正当なユーザでないのに、端末装置21とネットワークとの回線が開放されてしまう場合などには、ネットワーク認証システム20に不具合が発生していると判断することができる。
図10、図11を用いて説明したように、第1メンテナンスモードでは、認証要求中継部35AをRADIUSプロキシサーバとしたり、認証処理部36で必ず認証判断が下されるようにユーザの高度セキュリティレベル領域における現在の出入状態を示す情報を変更することで、無条件に認証サーバ23に対してネットワーク認証要求を送信させる。これにより、設備系システム10とネットワーク認証システム20とが連携されないため、設備系システム10と、ネットワーク認証システム20とをそれぞれ単独で動作させることができる。
したがって、ネットワーク管理システム1に不具合が生じた場合には、動作切替部40を第1メンテナンスモードへと切り替えることでシステム構成を変更することなく、設備系システム10、ネットワーク認証システム20のいずれかで生じた不具合を容易に特定することができる。
また、新たに構築した設備系システム10やネットワーク認証システム20を連携制御装置である情報ブレーカ30で連携させるよう施工した際、施工業者又はシステム管理者が、動作切替部40を第1メンテナンスモードへと切り替えることで、設備系システム10、ネットワーク認証システム20、それぞれの動作確認をシステム構成を変更することなく独立して行うことができるようになる。
さらに、図10に示すように、認証処理部36での認証処理を実行させない場合には、図11に示す認証処理部36で認証処理を実行させる場合と比較して、処理ステップを大幅に削減することができるため情報ブレーカ30の処理負荷を低減することができる。
なお、本発明の実施の形態において、ユーザは、自身が所有するICカードに格納されたカードIDを被認証情報として用い、設備系システム10における認証処理を行っているが、本発明はこれに限定されるものではなく、設備系システム10においてユーザが一意に特定されればよいので、例えば、被認証情報として指紋情報、虹彩情報といった生体情報を用い、生体認証処理を実行することで設備系システム10における認証処理を行ってもよい。
また、端末装置21から、ネットワークへアクセスする際にも、この生体情報を用いた生体認証処理を実行するようにしてもよい。
なお、上述の実施の形態は本発明の一例である。このため、本発明は、上述の実施形態に限定されることはなく、この実施の形態以外であっても、本発明に係る技術的思想を逸脱しない範囲であれば、設計等に応じて種々の変更が可能であることは勿論である。
本発明の実施の形態として示すネットワーク管理システムの構成について説明するための図である。 前記ネットワーク管理システムの情報ブレーカの構成について説明するための図である。 内部データベースのユーザ情報記憶部に記憶されている各種情報について説明するための図である。 内部データベースの認証状態記憶部に記憶される各種情報について説明するための図である。 内部データベースのシステム情報記憶部に記憶されている各種情報について説明するための図である。 情報ブレーカの動作モードの遷移を示した状態遷移図である。 冗長化構成とした前記ネットワーク管理システムの一例を示した図である。 冗長化構成とした前記ネットワーク管理システムの別の例を示した図である。 前記情報ブレーカの動作モードを通常動作モードとした際の処理動作について説明するためのタイミングチャートである。 前記情報ブレーカの動作モードを認証処理部で認証処理を実行させない第1メンテナンスモードとした際の処理動作について説明するためのタイミングチャートである。 前記情報ブレーカの動作モードを認証処理部で認証処理を実行させる第1メンテナンスモードとした際の処理動作について説明するためのタイミングチャートである。
符号の説明
1 ネットワーク管理システム
2 ICカード
10 設備系システム
11 入室用カードリーダ
12 退室用カードリーダ
13 入退室コントロールユニット
15 ゾーン監視センサ
16 認証用コントロールユニット
20 ネットワーク認証システム
21 端末装置
22 認証装置
23 認証サーバ
30 情報ブレーカ
33 内部データベース
33A ユーザ情報記憶部
33B 認証状態記憶部
33C システム情報記憶部
35 RADIUS認証部
35A 認証要求中継部
35B 要求中継判断部
36 認証処理部
37 認証状態制御部
40 動作切替部

Claims (8)

  1. ユーザを一意に特定する第1の被認証情報に基づいた認証処理結果に応じて、高度セキュリティレベル領域の出入を管理する出入管理システムと、前記高度セキュリティレベル領域に構築されたネットワークに対し、前記ユーザを一意に特定する第2の被認証情報に基づいた認証サーバによる認証処理結果に応じて、アクセス制限をするネットワーク認証システムとを相互に連携させる連携制御装置であって、
    少なくとも前記出入管理システムによる第1の被認証情報に基づく認証処理結果に応じたユーザの高度セキュリティレベル領域に対する現在の出入状態と、前記第2の被認証情報とを関連付けて記憶する記憶手段と、
    前記第2の被認証情報を用いて、前記ユーザからなされるネットワークへのアクセス要求に応じて、前記記憶手段に記憶されている前記第2の被認証情報と関連付けられたユーザの高度セキュリティレベル領域に対する現在の出入状態に基づき、認証処理をする認証処理手段と、
    ユーザの操作に応じて、当該連携制御装置の動作モードを切り替えるよう指示する動作切替手段と、
    前記動作切替手段が操作されたことに応じて、前記認証処理手段によって認証された場合に、前記第2の被認証情報によるネットワークへのアクセス要求を前記ネットワーク認証システムの認証サーバに送信し、前記認証処理手段によって認証されなかった場合に、前記第2の被認証情報によるネットワークへのアクセス要求を前記ネットワーク認証システムの認証サーバに送信することなく拒否する通常動作モード、
    又は、前記ユーザからなされる前記第2の被認証情報によるネットワークへのアクセス要求を、無条件に前記ネットワーク認証システムの認証サーバに送信する第1メンテナンスモードで動作するよう制御する制御手段とを備えること
    を特徴とする連携制御装置。
  2. 前記動作切換手段によって第1メンテナンスモードへ切り替えるよう指示されたことに応じて、
    前記制御手段は、前記認証処理手段による認証処理を実行させることなく、前記ユーザからなされる前記第2の被認証情報によるネットワークへのアクセス要求を認証サーバに送信すること
    を特徴とする請求項1記載の連携制御装置。
  3. 前記動作切替手段によって第1メンテナンスモードへ切り替えるよう指示されたことに応じて、
    前記制御手段は、前記記憶手段に記憶されている前記第2の被認証情報と関連付けられたユーザの高度セキュリティレベル領域に対する現在の出入状態を、前記認証処理手段で必ず認証されるように変更すること
    を特徴とする請求項1記載の連携制御装置。
  4. 前記動作切替手段が操作されたことに応じて、
    前記制御手段は、前記通常動作モード、前記第1メンテナンスモード、又は、前記ユーザからなされる前記第2の被認証情報によるネットワークへのアクセス要求を全て破棄する第2メンテナンスモードで動作するよう制御すること
    を特徴とする請求項1乃至請求項3のいずれか1項に記載の連携制御装置。
  5. ユーザを一意に特定する第1の被認証情報に基づいた認証処理結果に応じて、高度セキュリティレベル領域の出入を管理する出入管理システムと、
    前記高度セキュリティレベル領域に構築されたネットワークに対し、前記ユーザを一意に特定する第2の被認証情報に基づいた認証サーバによる認証処理結果に応じて、アクセス制限をするネットワーク認証システムと、
    前記出入管理システムと、前記ネットワーク認証システムとを相互に連携させる連携制御装置とを備え、
    前記連携制御装置は、少なくとも前記出入管理システムによる第1の被認証情報に基づく認証処理結果に応じたユーザの高度セキュリティレベル領域に対する現在の出入状態と、前記第2の被認証情報とを関連付けて記憶する記憶手段と、
    前記第2の被認証情報を用いて、前記ユーザからなされるネットワークへのアクセス要求に応じて、前記記憶手段に記憶されている前記第2の被認証情報と関連付けられたユーザの高度セキュリティレベル領域に対する現在の出入状態に基づき、認証処理をする認証処理手段と、
    ユーザの操作に応じて、当該連携制御装置の動作モードを切り替えるよう指示する動作切替手段と、
    前記動作切替手段が操作されたことに応じて、前記認証処理手段によって認証された場合に、前記第2の被認証情報によるネットワークへのアクセス要求を前記ネットワーク認証システムの認証サーバに送信し、前記認証処理手段によって認証されなかった場合に、前記第2の被認証情報によるネットワークへのアクセス要求を前記ネットワーク認証システムの認証サーバに送信することなく拒否する通常動作モード、
    又は、前記ユーザからなされる前記第2の被認証情報によるネットワークへのアクセス要求を、無条件に前記ネットワーク認証システムの認証サーバに送信する第1メンテナンスモードで動作するよう制御する制御手段とを有すること
    を特徴とするネットワーク管理システム。
  6. 前記動作切換手段によって第1メンテナンスモードへ切り替えるよう指示されたことに応じて、
    前記連携制御装置の制御手段は、前記認証処理手段による認証処理を実行させることなく、前記ユーザからなされる前記第2の被認証情報によるネットワークへのアクセス要求を認証サーバに送信すること
    を特徴とする請求項5記載のネットワーク管理システム。
  7. 前記動作切替手段によって第1メンテナンスモードへ切り替えるよう指示されたことに応じて、
    前記連携制御装置の制御手段は、前記記憶手段に記憶されている前記第2の被認証情報と関連付けられたユーザの高度セキュリティレベル領域に対する現在の出入状態を、前記認証処理手段で必ず認証されるように変更すること
    を特徴とする請求項5記載のネットワーク管理システム。
  8. 前記動作切替手段が操作されたことに応じて、
    前記連携制御装置の制御手段は、前記通常動作モード、前記第1メンテナンスモード、又は、前記ユーザからなされる前記第2の被認証情報によるネットワークへのアクセス要求を全て破棄する第2メンテナンスモードで動作するよう制御すること
    を特徴とする請求項5乃至請求項7のいずれか1項に記載のネットワーク管理システム。
JP2006045953A 2006-02-22 2006-02-22 連携制御装置及びネットワーク管理システム Expired - Fee Related JP4797685B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2006045953A JP4797685B2 (ja) 2006-02-22 2006-02-22 連携制御装置及びネットワーク管理システム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2006045953A JP4797685B2 (ja) 2006-02-22 2006-02-22 連携制御装置及びネットワーク管理システム

Publications (2)

Publication Number Publication Date
JP2007226474A true JP2007226474A (ja) 2007-09-06
JP4797685B2 JP4797685B2 (ja) 2011-10-19

Family

ID=38548244

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006045953A Expired - Fee Related JP4797685B2 (ja) 2006-02-22 2006-02-22 連携制御装置及びネットワーク管理システム

Country Status (1)

Country Link
JP (1) JP4797685B2 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010097471A (ja) * 2008-10-17 2010-04-30 Nippon Steel Corp プロセス制御システム

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002041469A (ja) * 2000-07-21 2002-02-08 Toshiba Corp 電子機器管理システムおよび電子機器管理方法
JP2004302875A (ja) * 2003-03-31 2004-10-28 Tec Engineering Kk 入退室管理システム、入退室管理サーバ及び入退室管理方法
JP2004355318A (ja) * 2003-05-29 2004-12-16 Art:Kk コンピュータ利用管理システム、コンピュータ利用管理方法、視聴覚機器利用管理システムおよび視聴覚機器利用管理方法

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002041469A (ja) * 2000-07-21 2002-02-08 Toshiba Corp 電子機器管理システムおよび電子機器管理方法
JP2004302875A (ja) * 2003-03-31 2004-10-28 Tec Engineering Kk 入退室管理システム、入退室管理サーバ及び入退室管理方法
JP2004355318A (ja) * 2003-05-29 2004-12-16 Art:Kk コンピュータ利用管理システム、コンピュータ利用管理方法、視聴覚機器利用管理システムおよび視聴覚機器利用管理方法

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010097471A (ja) * 2008-10-17 2010-04-30 Nippon Steel Corp プロセス制御システム

Also Published As

Publication number Publication date
JP4797685B2 (ja) 2011-10-19

Similar Documents

Publication Publication Date Title
US7325246B1 (en) Enhanced trust relationship in an IEEE 802.1x network
KR101314445B1 (ko) 통합된 네트워크 및 물리적 구내 접근 제어 서버
CN100591011C (zh) 一种认证方法及系统
US20060070116A1 (en) Apparatus and method for authenticating user for network access in communication system
US20070288998A1 (en) System and method for biometric authentication
US11165569B2 (en) Method and device for securely operating a field device
CN101695022B (zh) 一种服务质量管理方法及装置
US11245523B2 (en) Method for implementing client side credential control to authorize access to a protected device
JP2006343880A (ja) ネットワーク管理システム
JP4752436B2 (ja) 連携制御装置及びネットワーク管理システム
CN115085961B (zh) 在自动化设施的通信网络中对设备的认证
US11165773B2 (en) Network device and method for accessing a data network from a network component
EP1927254B1 (en) Method and a device to suspend the access to a service
JP2006343886A (ja) ネットワーク管理システム
JP4882511B2 (ja) 連携制御装置
JP4797685B2 (ja) 連携制御装置及びネットワーク管理システム
WO2022145966A1 (ko) 공개키 기반 구조를 이용한 출입 통제 시스템
JP5170982B2 (ja) 入退室情報装置
JP4200347B2 (ja) ロック制御システム
JP4894431B2 (ja) 連携制御装置
JP4768547B2 (ja) 通信装置の認証システム
JP2008077364A (ja) 連携制御装置
JP4894432B2 (ja) 連携制御装置
JP4839754B2 (ja) 電子機器の利用認証システム
JP2005086656A (ja) 認証判定ブリッジ、プログラム、無線lan通信システム及び無線lan通信方法

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20081113

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20110629

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20110705

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20110718

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140812

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees