(第1の実施形態)
図1は、本発明の第1の実施形態にかかるネットワーク管理システム1の全体構成を示す概念図である。ネットワーク管理システム1は、設備系システム10と、ネットワーク認証システム20とが連携制御装置30によって相互に接続されている。
設備系システム10は、セキュリティレベルの低い領域から、機密情報などを扱うセキュリティレベルの高い領域(セキュリティ管理領域)へのユーザの入出を管理する入出管理システムである。
設備系システム10としては、セキュリティ管理領域への入出を管理する形態であればどのようなものであってもよいが、例えば、図1に示すように、セキュリティ管理領域を障壁などで隔て、認証処理に応じて入出(入退室)を認める形態を適用することができる。
設備系システム10は、セキュリティ管理領域への入室を希望する全てのユーザに対してユーザ認証を行い、これにより、予め登録された正当なユーザのみに対して認証を許可し、セキュリティ管理領域への入室を許可する。また、設備系システム10は、セキュリティ管理領域から退室を希望する全てのユーザに対してユーザ認証を行い、これにより、予め登録された正当なユーザのみに対して認証を許可し、セキュリティ管理領域からの退室を許可する。セキュリティ管理領域は、電気的な作用により施錠、解錠することができる電気錠を備える扉(ドア)を備えている。
具体的には、設備系システム10は、入室用カードリーダ11と、退室用カードリーダ12と、入退室コントロールユニット13とを主体に構成されている。
入室用カードリーダ11は、セキュリティ管理領域の外側の扉近傍に設けられており、ユーザが所有する、例えば非接触のICカード(Integrated Circuit)2の半導体メモリ内に格納された情報を読み取る。入室用カードリーダ11によって読み取られた情報は、入退室コントロールユニット13に対して送信される。
退室用カードリーダ12は、セキュリティ管理領域の内側の扉近傍に設けられており、ユーザが所有するICカード2の半導体メモリ内に格納された情報を読み取る。退室用カードリーダ12によって読み取られた情報は、入退室コントロールユニット13に対して送信される。
入退室コントロールユニット13は、入室用カードリーダ11から取得した情報のうち、ICカード2のカードIDに基づいて認証処理を行う。入退室コントロールユニット13は、認証処理によって、入室を希望するユーザ(ICカード2の保持者)が、正当なユーザであると判断した場合には(認証許可)、施錠されていた電気錠を解錠する。これにより、セキュリティ管理領域へのユーザの入室が許可される。一方、入退室コントロールユニット13は、認証処理によって、入室を希望するユーザが正当なユーザでないと判断した場合には(認証不許可)、電気錠を施錠したままにする。これにより、セキュリティ管理領域へのユーザの入室が許可されない。ここで、カードIDは、ユーザを一意に特定する被認証情報であり、入退室コントロールユニット13は、正当なユーザに関するカードIDが記述されたデータベースを予め保持し、このデータベースを参照して、認証処理を行う。
また、入退室コントロールユニット13は、退室用カードリーダ12から取得した情報のうち、ICカード2のカードIDに基づいて認証処理を行う。入退室コントロールユニット13は、認証処理によって、退室を希望するユーザが正当なユーザであると判断した場合には(認証許可)、施錠されていた電気錠を解錠する。これにより、セキュリティ管理領域からのユーザの退室が許可される。一方、入退室コントロールユニット13は、認証処理によって、退室を希望するユーザが正当なユーザでないと判断した場合には(認証不許可)、電気錠を施錠したままにする。これにより、セキュリティ管理領域からのユーザの退室が許可されない。
入退室コントロールユニット13は、このような認証処理によって、セキュリティ管理領域に対するユーザの入退室を許可した場合には、ICカード2のカードIDと、解錠した扉に固有の扉IDと、入室か退室かを示す情報と、入退室操作が行われた時刻(入退室時刻)と含む入退室情報を連携制御装置30に送信する。なお、入室か退室かを示す情報は、例えば、入室用カードリーダ11又は退室用カードリーダ12をそれぞれ一意に特定する機器IDで示すようにしてもよい。
ネットワーク認証システム20は、セキュリティ管理領域内に構築されたネットワークを管理しており、このネットワークには複数の端末装置21が中継装置22を介して接続されている。また、このネットワークにおいて、中継装置22は、認証サーバ23とも接続されている。
ネットワーク認証システム20は、端末装置21のそれぞれを処理対象として、この端末装置21を用いてネットワークへアクセスを希望する全てのユーザに対してユーザ認証を行い、認証許可されたユーザのみに対して、端末装置21のネットワークへの接続を許可する。ネットワーク認証システム20において、複数の端末装置21から送信されるネットワークへのアクセス要求は、中継装置22および認証サーバ23によって認証処理される。
具体的には、ネットワーク認証システム20は、IEEE(米国電気電子技術者協会)802.1Xで策定されたLAN(Local Area Network)スイッチや無線LANアクセス・ポイントに接続するユーザを認証する技術を用いて、端末装置21からのアクセス要求であるネットワーク接続要求に応じた認証処理を行う。IEEE802.1Xは、LANの利用の可否を制御するEthernet(登録商標)上のプロトコルである。また、ユーザの認証には、認証用プロトコルとしてRADIUS(Remote Authentication Dial-In-User-Service)を用いた通信により、認証すべきユーザを集中管理することができるRADIUSサーバが用いられる。
端末装置21は、セキュリティ管理領域に入室したユーザによって使用可能な、いわゆるPC(Personal Computer)であり、中継装置22、認証サーバ23と情報のやり取りを行う。この端末装置21は、ネットワークへの接続を要求するためのサプリカントと呼ばれる認証クライアント・ソフトウェアを保持している。
中継装置22は、複数の端末装置21に対して有線で接続され、認証サーバ23と端末装置21との認証処理を中継する。中継装置22は、RADIUSサーバに対するRADIUSクライアントとして機能する認証装置であり、RADIUSサーバとの通信には、認証用プロトコルとしてRADIUSを用いた通信を行う。中継装置22は、IEEE802.1X、RADIUSに対応したLANスイッチなどであり、認証サーバ23と連携してポート22a毎に端末装置21をネットワークへ接続する。
認証サーバ23は、RADIUS認証におけるRADIUSサーバであり、端末装置21のネットワークへの接続を要求するユーザに関する情報を保持する図示しないユーザ情報記憶部を備え、RADIUSクライアントである中継装置22を介して端末装置21の認証処理を行い、認証結果に応じてネットワークへのアクセスの可否を通知する。
認証サーバ23が備える図示しないユーザ情報記憶部は、ユーザをネットワークにおいて一意に特定するための被認証情報であるアカウントIDとアカウントIDに対応するパスワードを保持している。
ネットワーク認証システム20による実際の認証手順は、EAP(Extensible Authentication Protocol)によって規定される。ネットワーク認証システム20では、IEEE802.1Xで使用できる様々なEAP、例えば、EAP−MD5(EAP−Message Digest alogorithm5)、PEAP(Protected-EAP)といった認証処理にユーザID(アカウントID)とパスワードとを入力することが要求されるEAPや、デジタル電子証明書を使って認証するEAP−TLS(EAP-Transport Layer Security)などを利用できる。
連携制御装置30は、ネットワーク認証システム20の中継装置22と認証サーバ23との間で、認証処理時にやり取りされる認証用のパケットを経由するように設けられ、設備系システム10とネットワーク認証システム20とを連携制御する。
連携制御装置30は、設備系システム10から送信される入退室情報を用いて、セキュリティ管理領域への入室といった設備系システム10におけるユーザの入出状態(入退室状態)の変化を把握し、この入退室状態に応じて、端末装置21から中継装置22を介して認証サーバ23へとアクセス要求として送信される認証用のパケットであるネットワーク認証要求を通過させるのか、それとも通過させずに認証サーバ23での認証の事前に拒否応答してしまうのかを判断する。
また、連携制御装置30は、ユーザがネットワークへの接続が既に認証されている状態において、設備系システム10から送信される入退室情報を利用して、セキュリティ管理領域からの退室といった設備系システム10におけるユーザの入退室状態の変化を把握し、この入退室状態に応じて、接続されたネットワークを切断するといった制御を行うことができる。
図2は、連携制御装置30の構成を示すブロック図である。連携制御装置30は、外部システムI/F(インターフェース)31と、内部データベース32と、ネットワークI/F(インターフェース)33と、RADIUS認証部34と、認証処理部35とを備えている。
外部システムI/F31は、設備系システム10と連携制御装置30とを接続するための通信インターフェースである。外部システムI/F31を介した設備系システム10と連携制御装置30との通信は、例えば、Ethernet(登録商標)などの通信規格を利用することができる。また、外部システムI/F31を介した設備系システム10と連携制御装置30との通信は、TCP/IPベースの通信に限らず、非IPのフィールドバスなどを利用することもできる。
内部データベース32は、連携制御装置30で利用する各種情報を記憶するデータベースであり、ユーザ毎に定義された静的な情報を記憶するユーザ情報記憶部32Aと、ユーザの現在の状態を示す動的な情報を記憶するユーザ在室状態記憶部32Bおよびユーザ認証状態記憶部32Cと、設備系システム10やネットワーク認証システム20に関連して定義された静的な情報を記憶するシステム情報記憶部32Dとを備えている。
ユーザ情報記憶部32Aは、ユーザをネットワークにおいて一意に特定するための被認証情報であるアカウントID毎に、カードIDと、在室可能時間と、在室可能時刻と、上限認証数とを関係付けて記憶している。ユーザ情報記憶部32Aに記憶された情報は、静的情報であり、一旦設定されると新たなユーザ登録やシステム変更などがあるまで変更されず保持される。
図3は、ユーザ情報記憶部32Aで記憶保持している情報とその内容との一例を示す説明図である。カードIDは、あらかじめ登録されたユーザによって保持され、設備系システム10の入退室時に使用されるICカード2のカードIDである。設備系システム10からカードIDが通知された場合、認証処理部35は、ユーザ情報記憶部32Aを参照することでカードIDに対応するアカウントIDを取得し、取得したアカウントIDに基づきユーザ在室状態記憶部32Bの更新処理などを実行する。また、1人のユーザが、ICカード2を複数枚所持している場合もあるため、このカードIDは、一つのアカウントIDに対して複数登録される場合もある。
在室可能時間は、このアカウントIDで特定されるユーザに許された、セキュリティ管理領域に継続して在室することができる時間を示す。この在室可能時間は、ユーザが現在までにどのくらいセキュリティ管理領域に在室しているかを示す在室経過時間と比較され、この在室経過時間が、在室可能時間を超えた場合には、認証処理部35によって、例えば、ユーザが利用する端末装置21について接続されたネットワークが切断されたり、ネットワークへのアクセス要求が認証不許可とされたりする。在室経過時間は、後述するユーザ在室状態記憶部32Bに記憶されている在室開始時刻を参照することで、認証処理部35によって求められる。
在室可能時刻は、このアカウントIDで特定されるユーザに許された、セキュリティ管理領域に在室することができる時間帯を示しており、在室開始時刻と、在室終了時刻との組によって構成されている。この在室可能時刻は、現在の時刻と比較され、この現在の時刻が、在室可能時刻の範囲外である場合には、認証処理部35によって、例えば、ユーザが利用する端末装置21について接続されたネットワークが切断されたり、ネットワークへのアクセス要求が認証不許可とされたりする。
上限認証数は、このアカウントIDで特定されるユーザに対する認証を許可することができる端末装置21の上限値である。この上限認証数は、ネットワークへのアクセス要求時に、ユーザの認証が許可されている端末装置21のカウント数と比較され、このカウント数が上限認証数よりも小さい場合には、認証処理部35によって、認証許可される。
ユーザ在室状態記憶部32Bは、ユーザをネットワークにおいて一意に特定するための被認証情報であるアカウントID毎に、在室部屋番号と、在室開始時刻とを関係付けて記憶している。ユーザ在室状態記憶部32Bに記憶される情報は、動的情報であり、設備系システム10で管理されているユーザの入退室状態に応じて認証処理部35により随時更新されていく。
図4は、ユーザ在室状態記憶部32Bに記憶される情報とその内容との一例を示す説明図である。在室部屋番号は、ユーザが、現在、在室しているセキュリティ管理領域を特定する部屋番号である。認証処理部35は、設備系システム10において状態変化があった際に通知される入退室情報から、ユーザが現在セキュリティ管理領域に在室しているのか否かを特定して、ユーザが在室の場合には、セキュリティ管理領域を示す部屋番号を在室部屋番号として、ユーザ在室状態記憶部32Bに記憶させる。
在室開始時刻は、設備系システム10より状態変化があった際に送信される入退室情報から特定される、セキュリティ管理領域への入室時刻であり、セキュリティ管理領域に在室が開始された時刻を示している。この在室開始時刻は、ネットワーク認証時などにおいて、セキュリティ管理領域における在室可能時間との比較に用いられる。
ユーザ認証状態記憶部32Cは、ユーザをネットワークにおいて一意に特定するための被認証情報であるアカウントID毎に、認証端末カウント数と、中継装置IDと、中継装置ポート番号とを関連付けて記憶している。ユーザ認証状態記憶部32Cに記憶される情報は、動的情報であり、ネットワーク認証システム20で管理されているユーザのネットワーク認証状態などに応じて認証処理部35により随時更新されていく。
図5は、ユーザ認証状態記憶部32Cに記憶される情報とその内容との一例を示す説明図である。認証端末カウント数は、セキュリティ管理領域内に設けられた複数の端末のうち、このアカウントIDで特定されるユーザに対する認証が許可された端末装置21の数(カウント数)を示す。認証処理部35は、中継装置22および認証サーバ23においてネットワークへのアクセス要求が認証許可された場合には、この認証端末カウント数をインクリメントさせ、中継装置22から端末装置21のネットワーク接続の遮断が通知された場合には、この認証端末カウント数をデクリメントさせる。
中継装置IDは、セキュリティ管理領域内に設けられた複数の端末装置21のうち、このアカウントIDで特定されるユーザに対する認証が許可された端末装置21が接続する中継装置22のIPアドレス(中継装置22に付与されたネットワーク固有の識別子)を示す。認証処理部35は、中継装置22および認証サーバ23においてネットワークへのアクセス要求が認証許可された場合には、ユーザに対する認証が許可された端末装置21が接続する中継装置22のIPアドレスを、中継装置IDとして、ユーザ認証状態記憶部32Cに記憶させる。また、認証処理部35は、中継装置22に接続する全ての端末装置21のうち、ユーザに対する認証が許可された端末装置21のすべてについてネットワーク接続が遮断されたことを条件として、該当する中継装置IDをユーザ認証状態記憶部32Cから削除する。中継装置IDは、セキュリティ管理領域に設定された中継装置22の数に応じて、複数設定することができる。
中継装置ポート番号は、セキュリティ管理領域内に設けられた複数の端末のうち、このアカウントIDで特定されるユーザに対する認証が許可された端末装置21が接続する中継装置22のポート22aの番号を示す。認証処理部35は、中継装置22および認証サーバ23においてネットワークへのアクセス要求が認証許可された場合には、ユーザに対する認証が許可された端末装置21が接続する中継装置22のポート22aの番号を、中継装置ポート番号として、ユーザ認証状態記憶部32Cに記憶させる。また、認証処理部35は、ユーザに対する認証が許可された端末装置21のネットワーク接続が遮断されたことを条件として、該当する中継装置ポート番号をユーザ認証状態記憶部32Cから削除する。中継装置ポート番号は、ユーザの認証が許可された端末装置21が接続する中継装置22のポート22aの数に応じて、複数設定することができる。
システム情報記憶部32Dは、設備系システム10のセキュリティ管理領域を一意に特定するための識別番号である部屋番号と、入室扉IDと、退室扉IDと、中継装置IDとを関係付けて記憶している。システム情報記憶部32Dに記憶された情報は、静的情報であり、一旦設定されるとシステム変更などがあるまで変更されずに保持される。
図6は、システム情報記憶部32Dで記憶保持している情報とその内容との一例を示す説明図である。
入室扉IDは、設備系システム10に設けられた入口扉のIDであり、入口扉と1対1で対応している設備系システム10の入室用カードリーダ11の機器IDを使用する。退室扉IDは、設備系システム10に設けられた出口扉のIDであり、出口扉と1対1で対応している設備系システム10の退室用カードリーダ12の機器IDを使用する。入室扉ID、退室扉IDは、セキュリティ管理領域に設けられている扉の数に応じて、複数設定することができる。
中継装置IDは、このセキュリティ管理領域に設置されている中継装置22のIPアドレスを示している。この中継装置IDは、セキュリティ管理領域に設定された中継装置22の数に応じて、複数設定することができる。
ネットワークI/F33は、連携制御装置30と、中継装置22および認証サーバ23との間で通信を行うための通信インターフェースである。ネットワークI/F34は、Ethernet(登録商標)やTCP/IPスタックに相当する。
RADIUS認証部34は、認証要求中継部34Aと、要求中継判断部34Bと、機器設定記憶部34Cとを備え、RADIUS認証に関連する処理を実行する。
認証要求中継部34Aは、RADIUS認証において中継装置22、認証サーバ23間で送受信されるRADIUSパケットを中継する。このとき、認証要求中継部34Aは、ネットワーク認証要求のRADIUSパケットに含まれるアカウントIDなど認証処理部35での認証処理に必要となる情報を取得する。またRADIUSの規格で定義されている認証符号の再計算を行う機能も有している。
要求中継判断部34Bは、認証処理部35でなされた認証判断に基づき、認証サーバ23に対してネットワーク認証要求を送信するか、ネットワーク認証要求を拒否するかの最終的な判断をする。要求中継判断部34Bは、拒否応答する場合には、拒否応答パケットを生成し中継装置22に送信する。
機器設定記憶部34Cは、RADIUS通信の正当性を確認するために必要となる中継装置22、認証サーバ23それぞれで保持される全ての秘密共有鍵を、通信相手のIPアドレスと対応付けて管理する。
認証処理部35は、中継装置22から送信されるネットワーク認証要求のRADIUSパケットに含まれる情報と、内部データベース32に記憶されている情報とを用いて認証処理を行い、ネットワーク認証要求を認証サーバ23へと転送するのか、それとも拒否するのかを判断する。
また、認証処理部35は、中継装置22が外部からの認証状態制御に対応している場合、ユーザの行動状態が変化したことに応じて、即座に認証状態をリセットするための要求を送信する。この場合、認証処理部35は、中継装置22が、MIB(Management Information Base)と呼ばれる管理情報データベースを保持している場合に動作する。具体的には、IETF(Internet Engineering Task Force )で標準化されたTCP/IPネットワーク環境での管理プロトコルであるSNMP (Simple Network Management Protocol)にて、上述した管理情報であるMIBを交換することで、認証処理部35により中継装置22を管理することができる。つまり、中継装置22にSNMPエージェントが与えられた場合に、認証処理部35は、SNMPマネージャとして機能する。例えば、MIBとしては、IEEE802.1xで規定されたものを使用することができる。
また、認証処理部35は、ユーザ情報記憶部32Aに記憶されている静的情報などを、HTTP(S)サーバやTelnetなどを利用して外部から管理することができる。
つぎに、本実施形態の特徴の一つである、ユーザに対する認証を許可することができる端末装置21の数を制限する処理(端末数制限処理)手順について説明する。図7は、本実施形態の連携制御装置30による端末数制限処理の手順を示すフローチャートである。なお、端末数制限処理の手順を説明するにあたり、図8に示すタイミングチャートを参照し、ユーザのセキュリティ管理領域への入室から、このセキュリティ管理領域に構築されたネットワークでのユーザ認証まで一連の手順とともに説明する。
まず、ユーザが、ネットワークが構築されているセキュリティ管理領域へと、入退室コントロールユニット13によって管理された扉から入室する。具体的には、ユーザは、入室用カードリーダ11にICカード2を翳す。これに応じて、入退室コントロールユニット13は、ICカード2の半導体メモリに格納されている情報を読み取り、カードIDを認証して施錠された扉の電気錠を解錠する。入退室コントロールユニット13は、ICカード2のカードIDと、解錠した扉を一意に特定する扉ID、入室であることを示す情報と、入退室時刻とを入退室情報として連携制御装置30に送信する。
図8に示すように、タイミングT1において、連携制御装置30は、外部システムI/F31を介して設備系システム10から入退出情報を取得すると、この入退室情報を認証処理で使用できるように変換した上で、内部データベース32のユーザ在室状態記憶部32Bに記憶させ、セキュリティ管理領域におけるユーザの現在の入退室状態を記憶する。
具体的には、認証処理部35は、入退室コントロールユニット13から送信されたICカード2のカードIDを用いて、ユーザ情報記憶部32Aを検索し、このカードIDに対応付けて記憶されているアカウントIDを取得する。また、認証処理部35は、入退室コントロールユニット13から送信された扉IDを用いて、システム情報記憶部32Dを検索し、この扉IDに対応付けられているセキュリティ管理領域を特定する部屋番号を取得する。そして、認証処理部35は、ユーザ情報記憶部32Aから取得したアカウントIDと対応付けて、取得した部屋番号を在室部屋番号としてユーザ在室状態記憶部32Bに記憶させる。また、認証処理部35は、入退室コントロールユニット13から送信された入退室情報が、入室を示す情報である場合には、入退室情報に含まれる入退室時刻を在室開始時刻としてユーザ在室状態記憶部32Bに記憶させる。
タイミングT2において、セキュリティ管理領域に入室したユーザは、端末装置21から中継装置22を介して、IEEE802.1Xの手順に従い、アクセス要求としてネットワーク認証要求を送信することで端末装置21のネットワークへの接続を試みる。初期状態では、端末装置21とネットワークと間の接続は、中継装置22によって切断されているため、端末装置21は、中継装置22としか通信を行うことができない。
まず、ユーザは、ネットワークに接続するために、端末装置21からアカウントID及びパスワードを入力し中継装置22へ認証用のパケットであるネットワーク認証要求を送信する。
端末装置21は、ネットワーク認証要求をEAPメッセージの入ったMAC(Media Access Control)フレームとして中継装置22へ送信する。このとき、アカウントIDは平文で、パスワードはハッシュ化された状態で送信される。
中継装置22は、MACフレームからEAPメッセージを取り出し、IPパケットに乗せ換え、連携制御装置30へと送信をする。具体的には、中継装置22は、IPの上位層のUDPを利用して、中継装置22から取り出したEAPメッセージをRADIUSパケットのデータ部分に格納して連携制御装置30へと送信する。
ここで、図7を参照するに、ステップS1において、RADIUS認証部34の認証要求中継部34Aは、ネットワーク認証要求であるRADIUSパケットを受信したか否かを判断している。認証要求中継部34Aがネットワーク認証要求を受信した場合には、ステップS2に進む。一方、認証要求中継部34Aがネットワーク認証要求を受信していない場合には、後述するステップS10に進む。
ステップS2において、認証要求中継部34Aは、RADIUSプロトコルに従ってハッシュ計算を行い、RADIUSパケットの認証を行う。これにより、受信したRADIUSパケットに対して、データに改編や改竄が加えられていないか、或いは、データが壊れていないかといった認証が行われる。このステップS2において肯定判定された場合には、後述するステップS3に進む。一方、ステップS2において否定判定された場合には、ステップS4に進み、認証要求中継部34Aはパケットを破棄する。
ステップS3において、認証要求中継部34Aは、受信したRADIUSパケットが、中継装置22と認証サーバ23とのRADIUS認証処理における認証シーケンスにおいて、一番目のパケットであるか否かを判断する。このRADIUS認証処理における認証シーケンスにおいて、中継装置22からネットワーク認証要求として送信される最初のRADIUSパケットのEAPメッセージにのみ、平文のアカウントIDであるEAP−Type=Identityデータが存在する。そのため、受信したRADIUSパケットにおいて、EAP−Type=Identityデータを検索することにより、一番目のパケットであるか否かを判断することができる。このステップS3において否定判定された場合には、ステップS5に進み、RADIUSパケットを認証サーバ23へと転送する。一方、ステップS3において肯定判定された場合には、ステップS6に進む。なお、RADIUSパケットには、このアカウントIDの他に、中継装置22の情報として中継装置22のIPアドレス、端末装置21が接続された中継装置22のポート番号、ネットワーク認証を行った端末装置21のMACアドレスなどがRADIUS属性情報として記述されている。
ステップS6において、ネットワーク認証要求を行ったユーザのアカウントIDが取得されると、これに続くステップS7において、ネットワーク認証要求を行った中継装置22のIPアドレスおよび端末装置21が接続された中継装置22のポート番号が取得される。
具体的には、図8のタイミングT3に示すように、RADIUS認証部34の認証要求中継部34Aは、ネットワークI/F34を介して受信したネットワーク認証要求のRADIUSパケットのEAPメッセージに添付されたIdentityデータ(アカウントID)を取得して認証処理部35に出力する。また、認証要求中継部34Aは、受信したネットワーク認証要求のRADIUSパケットより中継装置22のIPアドレス、端末装置21が接続された中継装置22のポート番号を取得して認証処理部35に出力する。
タイミングT4において、認証処理部35は、取得したIdentiyデータのアカウントIDをキーとして、ユーザ情報記憶部32Aに格納されている、在室可能時間、在室可能時刻および上限認証数と、ユーザ在室状態記憶部32Bに格納されている在室部屋番号および在室開始時刻と、ユーザ認証状態記憶部32Cに格納されている認証端末カウント数とを要求する。また、認証処理部35は、取得した中継装置22のIPアドレスをキーとして、システム情報記憶部32Dに格納されている部屋番号を要求する。この部屋番号は、ネットワーク認証要求を送信した中継装置22が設置されているセキュリティ管理領域を示している。
タイミングT5において、認証処理部35は、ユーザ情報記憶部32Aから在室可能時間、在室可能時刻および上限認証数を取得し、ユーザ在室状態記憶部32Bから在室部屋番号および在室開始時刻を取得し、ユーザ認証状態記憶部32Cから認証端末カウント数を取得するとともに、システム情報記憶部32Dから部屋番号を取得する。
再び図7を参照するに、ステップS8において、連携制御装置30の認証処理部35は、中継装置22から送信されたネットワーク認証要求を認証サーバ23へと転送するか否かを判断する。認証処理部35は、以下の条件を具備した場合に、ネットワーク認証要求を認証サーバ23へと転送する。
(1)ユーザがセキュリティ管理領域に在室していること
(2)この在室しているセキュリティ管理領域内の端末装置21(中継装置22)によってネットワーク認証要求がなされていること
(3)ユーザに対する認証が許可された端末装置21の数(認証端末カウント数)がユーザに対する認証を許可することができる端末装置21の上限値(条件認証カウント数)よりも小さいこと
(4)セキュリティ管理領域にユーザが在室している経過時間が在室可能時間を超えていないこと
(5)現在の時刻が在室可能時刻の範囲内であること
具体的には、認証処理部35は、以下の(a)〜(d)のすべてを確認できた場合には、ステップS8の肯定判定に続き、ステップS5に進む。
(a)ユーザ在室状態記憶部32Bから取得した在室部屋番号と、システム情報記憶部32Dから取得した部屋番号とを比較して、セキュリティ管理領域にユーザが存在し、このセキュリティ管理領域からネットワーク認証要求がなされていること
(b)ユーザ情報記憶部32Aから取得した上限認証数と、ユーザ認証状態記憶部32Cから取得した認証端末カウント数とを比較して、ユーザに認証されている端末装置21の数が上限認証カウント数よりも小さいこと
(c)ユーザ情報記憶部32Aから取得した在室可能時間と在室経過時間とを比較して、ユーザが在室可能時間を超えてセキュリティ管理領域に在室していないこと
(d)ユーザ情報記憶部32Aから取得した在室可能時刻と現在の時刻とを比較して、ユーザがセキュリティ管理領域に在室することが可能な時間帯であること
そして、ステップS5では、ネットワーク認証要求が認証サーバ23へと転送される。具体的には、図8のタイミングチャートに示すように、タイミングT6において、認証処理部35は、認証許可を示す認証判断をRADIUS認証部34の要求中継判断部34Bに通知する。そして、タイミングT7において、要求中継判断部34Bは、認証処理部35からの認証判断に応じて、認証サーバ23へネットワーク認証要求を送信する最終的な判断を行い、ネットワークI/F34を介して、ネットワーク認証要求を認証サーバ23へ送信する。
一方、認証処理部35は、上述した(a)〜(d)のいずれか一つでも確認がなされなかった場合には、ステップS8の否定判定に続き、ステップS9に進む。
ステップS9において、認証拒否パケットが中継装置22へと送信される。具体的には、図8のタイミングチャートに示すように、タイミングT8において、認証処理部35は、認証不許可を示す拒否判断をRADIUS認証部34の要求中継判断部34Bに通知する。そして、タイミングT9において、要求中継判断部34Bは、認証処理部35からの拒否判断に応じて、認証サーバ23へのネットワーク認証要求の送信を拒否し、拒否応答パケットを生成して、ネットワークI/F34を介して中継装置22へ送信する。中継装置22は、送信された拒否応答パケットに基づき、端末装置21にネットワーク認証要求を拒否したことを示す拒否応答を通知する。
タイミングT10において、認証サーバ23へネットワーク認証要求が送信されたことに応じて、EAPメッセージが添付された認証サーバ23から送信されるパケットである認証応答、端末装置21から送信されるパケットである認証要求をやり取りすることで、ユーザのネットワーク上での認証処理が実行される。
具体的には、認証サーバ23は、ネットワーク認証要求に添付されたアカウントIDをキーとして、図示しないユーザ情報記憶部に格納されている情報との照合処理を行う。認証サーバ23は、送信されたアカウントIDに関連付けられてユーザ情報記憶部に格納されている対象となるユーザのパスワードを所定のハッシュ関数でハッシュ化し、ネットワーク認証要求に添付されたハッシュ化されているパスワードと比較をし、ハッシュ化されたパスワード同士が一致するかどうか確認をする。このとき、連携制御装置30の認証要求中継部34Aは、端末装置21と認証サーバ23との認証要求、認証応答に対して何も施さずにスルーする。中継装置22は、上述したようなEAPメッセージの乗せ換えだけを行う中継装置として機能する。
再び図7を参照するに、ステップS10において、連携制御装置30のRADIUS認証部34の認証要求中継部34Aは、認証サーバ23からの認証応答を受信したか否かを判断している。認証要求中継部34Aが認証応答を受信した場合には、ステップS11に進む。一方、認証要求中継部34Aが認証応答を受信していない場合には、本ルーチンを抜ける。
ステップS11において、RADIUS認証部34は、RADIUSプロトコルに従ってハッシュ計算を行い、認証応答パケットの認証を行う。これにより、受信した認証応答パケットに対して、データに改編や改竄が加えられていないか、データが壊れていないかといったデータの認証が行われる。このステップS11において肯定判定された場合には、後述するステップS12に進む。一方、ステップS11において否定判定された場合には、ステップS13に進み、認証要求中継部34Aはパケットを破棄する。
ステップS12において、認証要求中継部34Aは、認証サーバ23からの認証応答にその認証結果が存在するか否かを判断する。ここで、図8のタイミングT11に示すように、認証サーバ23は、ネットワーク認証要求に対する認証処理が終了した場合には、認証応答として、認証サーバ23による認証がなされたことを示す認証許可通知、認証されなかったことを示す認証不許可通知のいずれかを認証結果として、連携制御装置30のRADIUS認証部34に送信している。したがって、認証応答に認証結果が存在する場合には、図7に示すステップS12において否定判定されるため、ステップS14に進み、認証サーバ23からの認証応答を中継装置22へと転送する。一方、認証応答に認証結果が存在しない場合には、ステップS12において否定判定されるため、ステップS15に進む。
ステップS15において、認証要求中継部34Aは、認証結果が認証許可通知であるか否かを判断する。このステップS15において否定判定された場合には、ステップS14に進み、認証要求中継部34Aは、認証サーバ23からのパケットである認証不許可通知を中継装置22へ転送する。中継装置22は、連携制御装置30を介して認証サーバ23から認証不許可通知を受け取った場合には、端末装置21とネットワークとの回線を開放せずに、認証不許可である旨を通知するメッセージを端末装置21に送信する。
一方、ステップS15において肯定判定された場合には、認証要求中継部34Aは、認証処理部35に対して認証許可である旨を通知した上で、ステップS16に進む。
ステップS16において、認証処理部35は、ユーザのアカウントIDをキーとして、ユーザ認証状態記憶部32Cの中継装置ポート番号を検索し、ネットワーク認証要求を行った端末装置21が接続された中継装置22のポート番号が記憶されているか否かを判断する。このステップS16において肯定判定された場合には、ステップS14に進み、認証要求中継部34Aは、認証許可通知を中継装置22へ転送する。一方、ステップS16において否定判定された場合には、ステップS17に進む。
ステップS17において、ユーザのアカウントIDと対応付けて、ネットワーク認証要求が送信された中継装置22のIPアドレスを、中継装置IDとしてユーザ認証状態記憶部32Cに記憶するとともに、ネットワーク認証要求を行った端末装置21が接続された中継装置22のポート番号を、中継装置ポート番号としてユーザ認証状態記憶部32Cに記憶する。これにより、図8のタイミングT12に示すように、ネットワークの認証結果が内部データベース32に記憶される。
そして、再び、図7を参照するに、ステップS17に続くステップS14において、認証要求中継部34Aは、認証許可通知を中継装置22へ転送する。
中継装置22は、認証サーバ23から認証許可通知を受け取った場合には、端末装置21とネットワークとの回線を開放する。これにより、ユーザは、端末装置21を介してネットワークへアクセスすることができ、ネットワーク上の他の端末装置との通信が可能となる。
このようにして、連携制御装置30によって設備系システム10と、ネットワーク認証システム20とが相互に接続され連携されたネットワーク管理システム1では、検出される設備系システム10におけるユーザの高度セキュリティレベル領域における現在の出入状態に基づき、連携制御装置30が、端末装置21からなされるネットワーク認証要求の正当性を認証サーバ23へ通知する前段で判断する。
本実施形態によれば、認証処理部35は、セキュリティ管理領域への入出状態と認証端末カウント数とに基づく認証結果が認証許可の場合に、アクセス要求を認証サーバ23に転送し、不許可の場合に、アクセス要求を認証サーバ23に転送しない。これにより、ユーザに対する認証が許可された端末装置21の数を制限することが可能となる。
また、本発明によれば、上限となる端末装置21の数を設定することができるので、利用することができる端末装置21の数を自在にコントロールすることができる。
また、本発明によれば、ネットワークの中継装置22をキーとして、端末装置21を特定することが可能となる。
(第2の実施形態)
ところで、セキュリティ管理領域へと入室し、上述したような連携制御装置30による認証、認証サーバ23による認証を経てネットワーク上で認証されるが、このユーザが、切断処理を実行せずにセキュリティ管理領域から退出してしまう事態が考えられる。
認証されたネットワークとの切断処理を実行せずにセキュリティ管理領域を離れてしまうと、セキュリティ管理領域にいる別のユーザによって不正にネットワークへアクセスされてしまう可能性が非常に高い。そこで、以下に示す手法により、ネットワークへの不正なアクセスを防止することができる。
例えば、ネットワーク管理システム1は、上述した図8に示すタイミングチャートのようにしてセキュリティ管理領域へ入室したユーザにより、中継装置22、連携制御装置30を介して端末装置21とネットワークとが接続されているとする。
まず、ユーザは、セキュリティ管理領域からセキュリティレベルの低い領域(例えば、廊下)へと入退室コントロールユニット13によって管理された扉から退室する。
具体的には、ユーザは、退室用カードリーダ12にICカード2を翳す。これに応じて、入退室コントロールユニット13は、ICカード2の半導体メモリに格納されている情報を読み取り、カードIDを認証して施錠された扉の電気錠を解錠する。
入退室コントロールユニット13は、ICカード2から読み取ったカードIDと、電気錠を解錠した扉を一意に特定する扉IDと、退室であることを示す情報と、入退室時刻とを入退室情報として連携制御装置30に送信する。
連携制御装置30は、外部システムI/F31を介して設備系システム10から送信される入退室情報を認証処理で使用できるように変換した上で、内部データベース32のユーザ在室状態記憶部32Bに記憶させ、設備系システム10のセキュリティ管理領域におけるユーザの現在の入退室状態を記憶する。
具体的には、認証処理部35は、入退室コントロールユニット13から送信された入退室情報が、退室を示す情報である場合には、ユーザ在室状態記憶部32Bにおいて、記憶されている在室部屋番号および在室開始時刻を削除する。
認証処理部35は、ユーザ在室状態記憶部32Bへの書き込みがあったことに応じて、内部データベース32を参照し、設備系システム10における状態が変化したユーザが、現在、ネットワーク上で認証中であるかどうかを判断する。具体的には、認証処理部35は、ユーザ認証状態記憶部32Cの中継装置ID、または、中継装置ポート番号を参照して、ネットワーク上で認証中であるかどうかを判断する。
ネットワーク上で認証中である場合、認証処理部35は、内部データベース32のユーザ認証状態記憶部32Cにおいて、該当するユーザのアカウントIDに対応付けて記憶されている中継装置IDおよび中継装置ポート番号を参照し、端末装置21が接続されている中継装置22のポート22aを閉じて、端末装置21をネットワークから切断する。そして、認証処理部35は、ユーザ認証状態記憶部32Cにおいて、記憶されている認証端末カウント数、中継装置ID、および、中継装置ポート番号を削除する。
このように本実施形態によれば、ユーザに対する認証が許可された端末装置21を特定する端末識別子が記憶されているので、ネットワークからの端末装置21の遮断といったアクセス制限を容易に行うことができる。
また、認証処理部35は、ユーザに許されているセキュリティ管理領域の在室可能時間が経過したこと、あるいは、セキュリティ管理領域に定められた在室可能時刻ではないことに応じて、上述の退室情報を取得したケースと同様に、内部データベース32のユーザ在室状態記憶部32Bの該当するユーザのセキュリティ管理領域における入退室状態を書き換え、ユーザに認証されている端末装置21をネットワークから切断することができる。
(第3の実施形態)
図9は、本発明の第3の実施形態にかかるネットワーク管理システム1の全体構成を示す概念図である。本実施形態にかかるネットワーク管理システム1が、第1または第2の実施形態のそれと相違する点は、端末装置21が、無線中継装置22A、或いは、中継装置22にハブ22Bを介してネットワークに接続されている点である。無線中継装置22Aは、複数の端末装置21に対して無線で接続され、認証サーバ23と端末装置21との認証処理を中継する。無線中継装置22Aは、有線の中継装置22と同様に、RADIUSサーバに対するRADIUSクライアントとして機能する認証装置である。
無線中継装置22Aは、第1の実施形態に示す中継装置22と同様の機能を担っているが、ユーザのネットワーク上での認証が許可されると、そのユーザが使用する端末装置21に対して、定期的に再認証を行う。この際、無線中継装置22Aでは、セキュリティ向上の観点から、端末装置21が接続するポート番号(仮想ポート番号)を変更する場合がある。そのため、同一の端末装置21による認証であっても、ポート番号が変更するため、その端末装置21を特定することができなくなってしまう。
また、中継装置22と端末装置21との間にハブ22Bを介在させた場合には、中継装置22の任意のポート22aに複数の端末装置21が接続されることなり、ポート番号による端末装置21の識別では、そのポート22aに複数接続するどの端末装置21からの認証であるのかを特定することができない。
そこで、本実施形態では、第1または第2の実施形態をベースに、以下に示すようなネットワーク管理システム1によってこのような問題に対処する。なお、第3の実施形態のシステム構成を説明するにあたり、第1または第2の実施形態と同一の構成については、同一の参照符号を引用し、その詳細については説明を省略する。
本実施形態の特徴の一つとして、図10に示すように、連携制御装置30は、第1の実施形態に示す構成に加えて、後述する端末検索部36と、ログ記録部37とを有している。
また、連携制御装置30の内部データベース32は、端末機器情報記憶部32Eをさらに有している。
端末機器情報記憶部32Eは、設備系システム10のセキュリティ管理領域を一意に特定するための識別番号である部屋番号と、端末装置固有IDとを関連づけて記憶している。端末機器情報記憶部32Eに記憶された情報は、静的情報であり、一旦設定されるとシステム変更などがあるまで変更されずに保持される。
図11は、端末機器情報記憶部32Eに記憶される情報とその内容との一例を示す説明図である。端末装置固有IDは、セキュリティ管理領域に設けられる端末装置21の機器固有の識別子であり、本実施形態では、MACアドレスがこれに該当する。端末装置固有IDは、セキュリティ管理領域に設けられる端末装置21の数に応じて、複数設定することができる。
なお、内部データベース32のユーザ認証状態記憶部32Cには、図12に示すように、ユーザをネットワークにおいて一意に特定するための被認証情報であるアカウントID毎に、上述した認証端末カウント数、中継装置IDおよび中継装置ポート番号とに加え、さらに、ユーザ端末固有IDが関連付けられている。
ユーザ端末固有IDは、ユーザに対する認証が許可された端末装置21の機器固有の識別番号であり、本実施形態では、MACアドレスがこれに該当する。認証処理部35は、中継装置22および認証サーバ23においてネットワークへのアクセス要求が認証許可された場合には、ユーザに対する認証が許可された端末装置21のMACアドレスを、ユーザ端末固有IDとして、ユーザ認証状態記憶部32Cに記憶させる。また、認証処理部35は、ユーザに対する認証が許可された端末装置21のネットワーク接続が遮断されたことを条件として、該当するユーザ端末固有IDをユーザ認証状態記憶部32Cから削除する。ユーザ端末固有IDは、セキュリティ管理領域に設定された端末装置21の数に応じて、複数設定することができる。
また、ユーザ認証状態記憶部32Cにおいて、認証端末カウント数は、端末装置21の機器固有の識別番号であるMACアドレスをベースとして行われる。
再び図10を参照するに、端末検索部36は、ネットワーク認証要求が許可された端末装置21のMACアドレスをキーとして、ユーザ認証状態記憶部32Cを検索し、当該端末装置21の認証状態を検索する。
ログ記録部37は、端末装置21によるネットワークへの不正なアクセスが行われた際に、このアクセスログを不正アクセスとして記憶する。
図11は、本実施形態の連携制御装置30による端末数制限処理の手順を示すフローチャートである。なお、基本的な処理手順については、第1の実施形態で述べたように、図7に示す処理手順と同一であり、同一の処理については同一のステップ番号を引用し、以下相違点について説明を行う。
上述したステップS7に続くステップS18において、ネットワーク認証要求として送信される最初のRADIUSパケットを参照し、ネットワーク認証要求を行った端末装置21のMACアドレスが取得される。
ステップS18に続くステップS19において、認証処理部35は、取得した中継装置22のIPアドレスをキーとして検索されたシステム情報記憶部32Dの部屋番号に基づいて、端末機器情報記憶部32Eを検索し、ステップS18において取得したMACアドレスが、セキュリティ管理領域に存在する端末装置21のMACアドレスとして登録されているか否かを判断する。このステップS19において肯定判定された場合には、ステップS20に進む。一方、ステップS19において否定判定された場合には、ステップS21に進む。
ステップS20において、認証処理部35は、中継装置22から送信されたネットワーク認証要求を認証サーバ23へと転送するか否かを判断する。認証処理部35は、第1の実施形態に示す(1)〜(5)の条件に加え、(6)の条件をさらに具備した場合に、ネットワーク認証要求を認証サーバ23へと転送する。
(1)ユーザがセキュリティ管理領域に在室していること
(2)この在室しているセキュリティ管理領域内の端末装置21(中継装置22)によってネットワーク認証要求がなされていること
(3)ユーザの認証が許可されている端末装置21の数(認証端末カウント数)がユーザに許可される上限認証カウント数よりも小さいこと
(4)セキュリティ管理領域にユーザが在室している経過時間が在室可能時間を超えていないこと
(5)現在の時刻が在室可能時刻の範囲内であること
(6)ネットワーク認証要求がなされた端末装置21と、すでにユーザに対する認証が許可された端末装置21が同一ではないこと
具体的には、認証処理部35は、以下の(a)〜(e)のすべてを確認できた場合には、ステップS20の肯定判定に続き、ステップS5に進む。
(a)ユーザ在室状態記憶部32Bから取得した在室部屋番号と、システム情報記憶部32Dから取得した部屋番号とを比較して、セキュリティ管理領域にユーザが存在し、このセキュリティ管理領域からネットワーク認証要求がなされていること
(b)ユーザ情報記憶部32Aから取得した上限認証数と、ユーザ認証状態記憶部32Cから取得した認証端末カウント数とを比較して、ユーザに認証されている端末装置21の数が上限認証カウント数よりも小さいこと
(c)ユーザ情報記憶部32Aから取得した在室可能時間と在室経過時間とを比較して、ユーザが在室可能時間を超えてセキュリティ管理領域に在室していないこと
(d)ユーザ情報記憶部32Aから取得した在室可能時刻と現在の時刻とを比較して、ユーザがセキュリティ管理領域に在室することが可能な時間帯であること
(e)ユーザ認証状態記憶部32Cに記憶されたユーザ端末固有IDと、ステップS18において取得したMACアドレスとを比較して、現在ネットワーク認証要求を行った端末装置21がすでにネットワーク認証が許可されていないこと
一方、認証処理部35は、上述した(a)〜(e)のいずれか一つでも確認がなされなかった場合には、ステップS20の否定判定に続き、ステップS9に進む。
これに対して、ステップS19の否定判定に続くステップS21では、ログ記録部37に不正アクセスログが記録される。
また、図13を参照するに、ステップS15における肯定判定に続くステップS22において、ユーザ認証状態記憶部32Cのユーザ端末固有IDを検索し、ステップS18において取得したMACアドレスが既に記憶されているか否かを判断する。ステップS22において肯定判定された場合には、ステップS23に進む。一方、ステップS22において否定判定された場合には、ステップS24に進む。
ステップS23において、ユーザのアカウントIDと対応付けて、ネットワーク認証要求が送信された中継装置22のIPアドレスによって、ユーザ認証状態記憶部32Cの中継装置IDを更新するとともに、ネットワーク認証要求を行った端末装置21が接続された中継装置22のポート番号によって、ユーザ認証状態記憶部32Cの中継装置ポート番号を更新する。
ステップS24において、ユーザのアカウントIDと対応付けて、ネットワーク認証要求が送信された中継装置22のIPアドレスを、中継装置IDとしてユーザ認証状態記憶部32Cに記憶し、ネットワーク認証要求を行った端末装置21が接続された中継装置22のポート番号を、中継装置ポート番号としてユーザ認証状態記憶部32Cに記憶するとともに、ネットワーク認証要求を行った端末装置21のMACアドレスを、ユーザ端末固有IDとしてユーザ認証状態記憶部32Cに記憶する。
このように本実施形態によれば、機器にユニークな識別子(MACアドレス)を用いることにより、ネットワークの構成如何に関わらず、端末装置21を有効に特定することができる。
また、本実施形態によれば、ネットワーク上において端末装置21を特定するネットワーク固有の情報が変更されたとしても、機器にユニークな識別子をキーとしてこれを更新することができるので、ネットワークのアクセス制限を有効に行うことができる。
さらに、本実施形態によれば、ネットワークに接続する端末装置21の機器固有の識別子をさらに用いて認証処理が行われるので、不正な端末装置21からのアクセス要求を認証サーバ23へと転送する以前に、拒否することが可能となる。