JP2008077364A - Cooperation control apparatus - Google Patents
Cooperation control apparatus Download PDFInfo
- Publication number
- JP2008077364A JP2008077364A JP2006255103A JP2006255103A JP2008077364A JP 2008077364 A JP2008077364 A JP 2008077364A JP 2006255103 A JP2006255103 A JP 2006255103A JP 2006255103 A JP2006255103 A JP 2006255103A JP 2008077364 A JP2008077364 A JP 2008077364A
- Authority
- JP
- Japan
- Prior art keywords
- parameter
- unit
- authentication
- information
- user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
Description
本発明は、セキュリティ管理領域における入出を管理する入出管理システムと、セキュリティ管理領域に設けられた端末装置のアクセス制限を行うネットワーク認証システムとを連携させた連携制御装置に関する。 The present invention relates to a linkage control apparatus that links an entry / exit management system that manages entry / exit in a security management area and a network authentication system that restricts access to terminal devices provided in the security management area.
機密情報を扱うことの多い企業や、企業内の特定の部署などでは、機密情報を扱う従事者の入出を管理する入出管理システムを適用することで、機密情報の漏洩を事前に防止するようにしている。 In companies that frequently handle confidential information or specific departments within the company, it is possible to prevent leakage of confidential information in advance by applying an entry / exit management system that manages the entry / exit of workers handling confidential information. ing.
入出管理システムは、一般に、ユーザに与えられたIC(Integrated Circuit)カードに組み込まれたユーザID(IDentification)や、生体情報(指紋、虹彩、声紋など)といった、ユーザを一意に特定する被認証情報を用いることで、入出を希望するユーザに対する個人認証を行う。そして、登録された正当なユーザであることが認証された場合には、例えば、施錠されたドアを解錠することで、機密情報を扱うセキュリティ管理領域内への入場が許可される。 Generally, an entry / exit management system is a user ID (IDentification) incorporated in an IC (Integrated Circuit) card given to a user or biometric information (fingerprint, iris, voiceprint, etc.) to be authenticated information that uniquely identifies the user. Is used to perform personal authentication for users who wish to enter and exit. When it is authenticated that the user is a registered legitimate user, for example, entry into the security management area that handles confidential information is permitted by unlocking the locked door.
ところで、上述した機密情報は、入退室管理システムとは別のネットワークにて構築されたネットワーク認証システムによって管理がなされており、セキュリティ管理領域内に設けられた端末装置からネットワークにアクセスすることにより利用可能となる。端末装置を用いてネットワークにアクセスする場合には、ネットワーク認証システムによって、上述した入出管理システムにおける個人認証と同様の認証処理が要求されることになる。 By the way, the above-mentioned confidential information is managed by a network authentication system constructed in a network different from the entrance / exit management system, and is used by accessing the network from a terminal device provided in the security management area. It becomes possible. When accessing a network using a terminal device, the network authentication system requires an authentication process similar to the personal authentication in the above-described entry / exit management system.
そこで、このような入出管理システムと、ネットワーク認証システムとの連携が求められており、機密情報を扱うセキュリティ管理領域内への入室時のユーザ認証の処理と、入室後の端末装置を利用するユーザ認証の処理とを関連付ける手法が考案されている(例えば、特許文献1、特許文献2参照。)。 Therefore, cooperation between such an entry / exit management system and a network authentication system is required, and user authentication processing at the time of entering a security management area that handles confidential information and a user who uses a terminal device after entering the room A technique for associating with authentication processing has been devised (see, for example, Patent Document 1 and Patent Document 2).
また、特許文献1、特許文献2で考慮されていなかった、入場してから端末装置へログオンするまでの時間経過によって生ずる問題への対処、退場における端末装置のログオフ忘れへの対処を実現する手法も考案されている(例えば、特許文献3参照。)。
ところで、入退室管理システムとネットワーク認証システムとを連携させる場合、その制御装置には、これを動作させるための種々の動作パラメータを設定する必要がある。しかしながら、これらの動作パラメータの設定に不備が存在した場合には、動作不具合を引き起こす虞があり、システム間の連携に不具合が生じる可能性がある。 By the way, when the entrance / exit management system and the network authentication system are linked, it is necessary to set various operating parameters for operating the control device. However, if there is a deficiency in the setting of these operation parameters, there is a risk of causing a malfunction, which may cause a malfunction in the cooperation between systems.
本発明は、このような事情に鑑みてなされたものであり、動作パラメータの設定に不備がある場合でも、これに伴う動作不具合が発生しうる状況を未然に抑制することにある。 The present invention has been made in view of such circumstances, and it is intended to suppress a situation in which an operation failure associated therewith may occur even when there is an incomplete setting of operation parameters.
かかる課題を解決するために、本発明は、ユーザを一意に特定する第1の被認証情報に基づいたユーザ認証の処理結果に応じて、セキュリティ管理領域におけるユーザの入出を管理する入出管理システムと、セキュリティ管理領域に設けられた端末装置を処理対象として、ユーザを一意に特定する第2の被認証情報に基づいた認証サーバによるユーザ認証の処理結果に応じて、ネットワークへのアクセスを制限するネットワーク認証システムとを相互に連携させる連携制御装置を提供する。この連携制御装置は、領域管理手段と、端末認証手段と、パラメータ設定手段と、パラメータチェック手段と、動作モード設定手段とを有している。ここで、領域管理手段は、入出管理システムから送信される、セキュリティ管理領域におけるユーザの状態変化を示す入出情報に基づいて、セキュリティ管理領域におけるユーザの滞在状態を管理する。端末認証手段は、ユーザから端末装置を介して認証サーバに対してなされる、第2の被認証情報を用いたネットワークへのアクセス要求を中継するとともに、領域管理手段において管理されているユーザの滞在状態に基づいて、ユーザに対する端末装置の利用認証を行う。パラメータ設定手段は、領域管理手段と端末認証手段とを動作させるために必要な動作パラメータを設定する。パラメータチェック手段は、パラメータ設定手段によって設定される動作パラメータに設定不備があるか否かを判断する。動作モード設定手段は、それぞれが異なる複数の動作モードの中から、パラメータチェック手段による判断結果に応じた動作モードを選択し、この選択された動作モードに基づいて、領域管理手段および端末認証手段の動作状態を管理する。 In order to solve such a problem, the present invention provides an entry / exit management system for managing entry / exit of a user in a security management area according to a result of a user authentication process based on first authenticated information for uniquely identifying a user. A network that restricts access to a network according to a result of user authentication processing by an authentication server based on second authenticated information that uniquely identifies a user, with a terminal device provided in the security management area as a processing target Provided is a cooperative control device that cooperates with an authentication system. This cooperation control apparatus includes an area management unit, a terminal authentication unit, a parameter setting unit, a parameter check unit, and an operation mode setting unit. Here, the area management means manages the staying state of the user in the security management area based on the incoming / outgoing information indicating the change in the state of the user in the security management area, transmitted from the entry / exit management system. The terminal authentication unit relays a request for access to the network using the second authenticated information, which is made from the user to the authentication server via the terminal device, and the stay of the user managed by the area management unit Based on the state, the terminal device is authenticated for use by the user. The parameter setting means sets operation parameters necessary for operating the area management means and the terminal authentication means. The parameter check means determines whether or not the operation parameter set by the parameter setting means has a setting defect. The operation mode setting unit selects an operation mode according to the determination result by the parameter check unit from a plurality of different operation modes, and based on the selected operation mode, the region management unit and the terminal authentication unit Manage operating status.
また、本発明において、複数の動作モードは、領域管理手段および端末認証手段の少なくとも一方の動作を停止させる動作停止モードと、領域管理手段および端末認証手段をそれぞれ動作させる通常運用モードとを含むことが好ましい。この場合、動作モード設定手段は、パラメータチェック手段によって動作パラメータに設定不備があると判断された場合には、動作停止モードを選択し、パラメータチェック手段によって動作パラメータに設定不備がないと判断された場合には、通常運用モードを選択することが望ましい。 In the present invention, the plurality of operation modes include an operation stop mode for stopping the operation of at least one of the area management means and the terminal authentication means, and a normal operation mode for operating the area management means and the terminal authentication means, respectively. Is preferred. In this case, the operation mode setting unit selects the operation stop mode when the parameter check unit determines that the operation parameter is deficient in setting, and the parameter check unit determines that the operation parameter is not deficient in setting. In some cases, it is desirable to select the normal operation mode.
また、本発明において、動作パラメータは、入出管理システムおよびネットワーク認証システムと通信するために用いる動作パラメータを含む基本通信情報と、領域管理手段がセキュリティ管理領域におけるユーザの滞在状態を管理するために用いる動作パラメータを含む領域管理情報と、端末認証手段がユーザに対する端末装置の利用認証を行うために用いる動作パラメータを含む端末認証情報とを含むことが好ましい。この場合、パラメータチェック手段は、基本通信情報、領域管理情報および端末認証情報のいずれに設定不備となる動作パラメータが存在するかを特定することが望ましい。 In the present invention, the operation parameter is used for basic communication information including an operation parameter used for communicating with the entry / exit management system and the network authentication system, and for the area management means to manage the staying state of the user in the security management area. It is preferable to include area management information including operation parameters, and terminal authentication information including operation parameters used by the terminal authentication unit to authenticate use of the terminal device with respect to the user. In this case, it is desirable that the parameter check means specifies whether there is an operation parameter that is incompletely set in basic communication information, area management information, or terminal authentication information.
また、本発明において、動作停止モードは、領域管理手段および端末認証手段の両方の動作を停止させる運用停止モードを含むことが好ましい。この場合、動作モード設定手段は、パラメータチェック手段によって、基本通信情報に設定不備があると判断された場合、または、領域管理情報と端末認証情報との両方に設定不備があると判断された場合に、運用停止モードを選択することが望ましい。 In the present invention, the operation stop mode preferably includes an operation stop mode in which the operations of both the area management unit and the terminal authentication unit are stopped. In this case, the operation mode setting means is determined by the parameter checking means that the basic communication information is incompletely set, or the area management information and the terminal authentication information are both incompletely set. In addition, it is desirable to select the operation stop mode.
また、本発明において、動作停止モードは、端末認証手段を動作させて、領域管理手段の動作を停止させる領域管理停止モードを含むことが好ましい。この場合、動作モード設定手段は、パラメータチェック手段によって、領域管理情報および端末認証情報のうち、領域管理情報に設定不備があると判断された場合に、領域管理停止モードを選択することが望ましい。 In the present invention, the operation stop mode preferably includes a region management stop mode in which the terminal authentication unit is operated to stop the operation of the region management unit. In this case, it is desirable that the operation mode setting unit selects the region management stop mode when the parameter check unit determines that the region management information is incompletely set in the region management information and the terminal authentication information.
また、本発明において、動作停止モードは、領域管理手段を動作させて、端末認証手段の動作を停止させる端末認証停止モードを含むことが望ましい。この場合、動作モード設定手段は、パラメータチェック手段によって、領域管理情報および端末認証情報のうち、端末認証情報に設定不備があると判断された場合に、端末認証停止モードを選択する。 In the present invention, it is desirable that the operation stop mode includes a terminal authentication stop mode in which the area management unit is operated to stop the operation of the terminal authentication unit. In this case, the operation mode setting unit selects the terminal authentication stop mode when the parameter check unit determines that the terminal authentication information is incompletely set in the area management information and the terminal authentication information.
また、本発明において、パラメータチェック手段は、パラメータ設定手段によって設定される動作パラメータが存在しない場合に、動作パラメータの設定不備を判断する未設定チェック処理と、パラメータ設定手段によって設定される動作パラメータに整合性がない場合に、動作パラメータの設定不備を判断する整合性チェック処理とを実行することが好ましい。 Further, in the present invention, the parameter check means includes an unset check process for determining deficiencies in the setting of the operation parameter and an operation parameter set by the parameter setting means when there is no operation parameter set by the parameter setting means. In the case where there is no consistency, it is preferable to execute a consistency check process for determining an operation parameter setting deficiency.
また、本発明において、整合性チェック処理は、パラメータ設定手段によって設定される動作パラメータが予め規定された条件を具備するか否かを判断するパラメータ条件チェック処理と、パラメータ設定手段によって設定される動作パラメータ同士に矛盾があるか否かを判断するパラメータ関係チェック処理とを含むことが好ましい。 In the present invention, the consistency check process includes a parameter condition check process for determining whether or not an operation parameter set by the parameter setting unit has a predetermined condition, and an operation set by the parameter setting unit. It is preferable to include a parameter relationship check process for determining whether there is a contradiction between parameters.
さらに、本発明において、パラメータチェック手段は、動作停止モードにおいて、パラメータ設定手段によって設定された動作パラメータに設定不備がないことを条件に、再起動を許可することが好ましい。 Furthermore, in the present invention, it is preferable that the parameter check unit permits the restart in the operation stop mode on condition that the operation parameter set by the parameter setting unit is not incompletely set.
本発明によれば、動作パラメータの設定不備に伴い動作不具合が発生し得るようなシチュエーションを抑制することができる。これにより、動作パラメータの設定不備に伴う動作不具合を発生する状況を未然に抑制することができる。 According to the present invention, it is possible to suppress a situation in which an operation failure may occur due to incomplete setting of operation parameters. As a result, it is possible to suppress a situation in which an operation failure occurs due to an operation parameter setting defect.
また、本発明によれば、領域管理手段および端末認証手段の少なくとも一方に動作不具合が発生し得るような状況を未然に抑制することができる。また、領域管理手段または端末認証手段において動作不具合が発生し得ないような状況で、これら双方の手段が動作されるので、入出管理システムとネットワーク認証システムとに対する連携の信頼性の向上を図ることができる。 Further, according to the present invention, it is possible to suppress a situation in which an operation failure may occur in at least one of the area management unit and the terminal authentication unit. In addition, since both of these means are operated in a situation where no operation failure can occur in the area management means or terminal authentication means, the reliability of cooperation between the entry / exit management system and the network authentication system should be improved. Can do.
また、本発明によれば、動作不具合が発生し得る対象手段を有効に特定することができる。 Further, according to the present invention, it is possible to effectively identify target means that can cause an operation failure.
また、本発明によれば、基本通信情報、または、領域管理情報および端末認証情報の両方に設定不備がある場合には、運用停止モードが選択されるので、領域管理手段および端末認証手段の両方の動作に不具合が発生し得る状況を抑制することができる。これにより、システムに発生し得る不具合を未然に抑制することができる。 Further, according to the present invention, when the basic communication information or both the area management information and the terminal authentication information are imperfectly set, the operation stop mode is selected, so both the area management means and the terminal authentication means It is possible to suppress a situation in which a malfunction may occur in the operation. Thereby, the malfunction which may generate | occur | produce in a system can be suppressed beforehand.
また、本発明によれば、領域管理手段の動作に不具合が発生し得る状況を抑制することができる。また、動作に不具合が発生し得る状況ではない、端末認証手段のみを動作させることで、システムに発生し得る不具合を未然に抑制しつつ、不完全ながらも連携制御の機能を実現させることができる。 Further, according to the present invention, it is possible to suppress a situation in which a problem may occur in the operation of the area management unit. In addition, by operating only the terminal authentication means, which is not a situation where malfunctions may occur in operation, it is possible to realize the function of cooperation control even though it is incomplete while suppressing problems that may occur in the system. .
また、本発明によれば、端末認証手段の動作に不具合が発生し得る状況を抑制することができる。また、動作に不具合が発生し得る状況ではない、領域管理手段のみを動作させることで、システムに発生し得る不具合を未然に抑制しつつ、不完全ながらも連携制御の機能を実現させることができる。 Further, according to the present invention, it is possible to suppress a situation in which a malfunction may occur in the operation of the terminal authentication unit. In addition, by operating only the area management means, which is not a situation where malfunctions may occur in operation, it is possible to realize the function of cooperation control even though it is incomplete while suppressing problems that may occur in the system. .
また、本発明によれば、動作パラメータの未設定や不整合といった種々の原因による動作パラメータの設定不備を有効に判断することができる。また、不整合といったケースでは、設定不備の原因を容易に特定することができる。 In addition, according to the present invention, it is possible to effectively determine the setting failure of the operation parameter due to various causes such as non-setting or mismatching of the operation parameter. Further, in the case of inconsistency, the cause of the setting failure can be easily identified.
さらに、本発明によれば、再度同様の設定不備が繰り返されるといった事態の発生を抑制することができる。 Furthermore, according to the present invention, it is possible to suppress the occurrence of a situation in which the same setting defect is repeated again.
図1は、本発明の第1の実施形態にかかるネットワーク管理システム1の全体構成を示す概念図である。ネットワーク管理システム1は、設備系システム10と、ネットワーク認証システム20とが連携制御装置30によって相互に接続されて構成されている。
FIG. 1 is a conceptual diagram showing the overall configuration of a network management system 1 according to the first embodiment of the present invention. The network management system 1 is configured by connecting an
設備系システム10は、セキュリティレベルの低い領域から、機密情報などを扱うセキュリティレベルの高い領域(セキュリティ管理領域)へのユーザの入出を管理する入出管理システムである。
The
設備系システム10としては、セキュリティ管理領域への入出を管理する形態であればどのようなものであってもよいが、例えば、図1に示すように、セキュリティ管理領域を障壁などで隔て、認証処理に応じて入出(入退室)を認める形態を適用することができる。
The
設備系システム10は、セキュリティ管理領域への入室を希望する全てのユーザに対してユーザ認証を行い、予め登録された正当なユーザのみに対して認証を許可し、これにより、セキュリティ管理領域への入室を許可する。また、設備系システム10は、セキュリティ管理領域から退室を希望するユーザに対してユーザ認証を行い、予め登録された正当なユーザのみに対して認証を許可し、これにより、セキュリティ管理領域からの退室を許可する。セキュリティ管理領域は、電気的な作用により施錠、解錠することができる電気錠を備える扉(ドア)を備えている。
The
設備系システム10は、入室用カードリーダ11と、退室用カードリーダ12と、入退室コントロールユニット13とを主体に構成されている。
The
入室用カードリーダ11は、セキュリティ管理領域の外側の扉近傍に設けられており、ユーザが所有する、例えば非接触のICカード(Integrated Circuit)2の半導体メモリ内に格納された情報を読み取る。入室用カードリーダ11によって読み取られた情報は、入退室コントロールユニット13に対して送信される。
The
退室用カードリーダ12は、セキュリティ管理領域の内側の扉近傍に設けられており、ユーザが所有するICカード2の半導体メモリ内に格納された情報を読み取る。退室用カードリーダ12によって読み取られた情報は、入退室コントロールユニット13に対して送信される。
The
入退室コントロールユニット13は、入室用カードリーダ11から取得した情報のうち、ICカード2のカードIDに基づいてユーザ認証を行う。入退室コントロールユニット13は、認証処理によって、入室を希望するユーザ(ICカード2の保持者)が、正当なユーザであると判断した場合には(認証許可)、施錠されていた電気錠を解錠する。これにより、セキュリティ管理領域へのユーザの入室が許可される。一方、入退室コントロールユニット13は、認証処理によって、入室を希望するユーザが正当なユーザでないと判断した場合には(認証不許可)、電気錠を施錠したままにする。これにより、セキュリティ管理領域へのユーザの入室が許可されない。ここで、カードIDは、ユーザを一意に特定する被認証情報であり、入退室コントロールユニット13は、正当なユーザに関するカードIDが記述されたデータベースを予め保持し、このデータベースを参照して、認証処理を行う。
The entrance /
また、入退室コントロールユニット13は、退室用カードリーダ12から取得した情報のうち、ICカード2のカードIDに基づいてユーザ認証を行う。入退室コントロールユニット13は、認証処理によって、退室を希望するユーザが正当なユーザであると判断した場合には(認証許可)、施錠されていた電気錠を解錠する。これにより、セキュリティ管理領域からのユーザの退室が許可される。一方、入退室コントロールユニット13は、認証処理によって、退室を希望するユーザが正当なユーザでないと判断した場合には(認証不許可)、電気錠を施錠したままにする。これにより、セキュリティ管理領域からのユーザの退室が許可されない。
Further, the entrance /
このようなユーザ認証を経て、セキュリティ管理領域におけるユーザの状態が変化した場合、入退室コントロールユニット13は、ICカード2のカードIDと、解錠した扉に固有の扉IDと、入室か退室かを示す情報と、入退室操作が行われた時刻(入退室時刻)と含む入退室情報を連携制御装置30に送信する。なお、入室か退室かを示す情報は、例えば、入室用カードリーダ11又は退室用カードリーダ12をそれぞれ一意に特定する機器IDで示すようにしてもよい。
When the user status in the security management area changes after such user authentication, the entrance /
ネットワーク認証システム20は、セキュリティ管理領域内に構築されたネットワークを管理しており、このネットワークには複数の端末装置21が中継装置22を介して接続されている。また、このネットワークにおいて、中継装置22は、認証サーバ23とも接続されている。
The
ネットワーク認証システム20は、端末装置21のそれぞれを処理対象として、この端末装置21を用いてネットワークへアクセスを希望する全てのユーザに対してユーザ認証を行い、認証許可されたユーザのみに対して、ネットワークへのアクセスを許可する。ネットワーク認証システム20において、複数の端末装置21から送信されるネットワークへのアクセス要求は、中継装置22および認証サーバ23によって認証処理される。
The
具体的には、ネットワーク認証システム20は、IEEE(米国電気電子技術者協会)802.1Xで策定されたLAN(Local Area Network)スイッチや無線LANアクセス・ポイントに接続するユーザを認証する技術を用いて、端末装置21からのアクセス要求であるネットワーク接続要求に応じた認証処理を行う。IEEE802.1Xは、LANの利用の可否を制御するEthernet(登録商標)上のプロトコルである。また、ユーザの認証には、認証用プロトコルとしてRADIUS(Remote Authentication Dial-In-User-Service)を用いた通信により、認証すべきユーザを集中管理することができるRADIUSサーバが用いられる。
Specifically, the
端末装置21は、セキュリティ管理領域に入室したユーザによって使用可能な、いわゆるPC(Personal Computer)であり、中継装置22、認証サーバ23と情報のやり取りを行う。この端末装置21は、ネットワークへの接続を要求するためのサプリカントと呼ばれる認証クライアント・ソフトウェアを保持している。
The
中継装置22は、例えば、複数の端末装置21に対して有線で接続され、認証サーバ23と端末装置21との間の認証処理を中継する。中継装置22は、RADIUSサーバに対するRADIUSクライアントとして機能する認証装置であり、RADIUSサーバとの通信には、認証用プロトコルとしてRADIUSを用いた通信を行う。中継装置22は、IEEE802.1X、RADIUSに対応したLANスイッチなどであり、認証サーバ23と連携してポート22a毎に端末装置21をネットワークへ接続する。
The
認証サーバ23は、RADIUS認証におけるRADIUSサーバであり、ネットワークへの接続を要求するユーザに関する情報を保持する図示しないユーザ情報記憶部を備え、RADIUSクライアントである中継装置22を介して端末装置21の認証処理を行い、認証結果に応じてネットワークへのアクセスの可否を通知する。
The
認証サーバ23が備える図示しないユーザ情報記憶部は、ユーザをネットワークにおいて一意に特定するための被認証情報であるアカウントIDとアカウントIDに対応するパスワードとを関連付けて保持している。
A user information storage unit (not shown) included in the
ネットワーク認証システム20による実際の認証手順は、EAP(Extensible Authentication Protocol)によって規定される。ネットワーク認証システム20では、IEEE802.1Xで使用できる様々なEAP、例えば、EAP−MD5(EAP−Message Digest alogorithm5)、PEAP(Protected-EAP)といった認証処理にユーザID(アカウントID)とパスワードとを入力することが要求されるEAPや、デジタル電子証明書を使って認証するEAP−TLS(EAP-Transport Layer Security)などを利用できる。
The actual authentication procedure by the
連携制御装置30は、ネットワーク認証システム20の中継装置22と認証サーバ23との間で、認証処理時にやり取りされる認証用のパケットを経由するように設けられ、設備系システム10とネットワーク認証システム20とを連携制御する。
The
連携制御装置30は、設備系システム10から送信される入退室情報を用いて、セキュリティ管理領域への入室といった設備系システム10におけるユーザの滞在状態(在室状態)を管理し、この在室状態に応じて、端末装置21から中継装置22を介して認証サーバ23へとアクセス要求として送信されるネットワーク認証要求を通過させるのか、それとも通過させずに拒否してしまうのかを判断することにより、認証サーバ23によるユーザ認証の前提として、ユーザに対する端末装置21の利用認証を行う。
Using the entrance / exit information transmitted from the
また、連携制御装置30は、ユーザに対してネットワークへの接続が既に認証されている状態において、設備系システム10から送信される入退室情報を用いて、セキュリティ管理領域からの退室といった設備系システム10におけるユーザの在室状態を管理し、この在室状態に応じて、端末装置21に接続されたネットワークを切断するといった制御を行うことができる。
Further, the
図2は、連携制御装置30の構成を示すブロック図である。連携制御装置30は、外部システムI/F(インターフェース)31と、領域管理部32と、内部データベース33と、ネットワークI/F(インターフェース)34と、端末認証部35と、設定I/F(インターフェース)と、パラメータ設定部37と、パラメータチェック部38と、動作モード設定部39とを備えている。
FIG. 2 is a block diagram illustrating a configuration of the
外部システムI/F31は、設備系システム10と連携制御装置30とを接続するための通信インターフェースである。外部システムI/F31を介した設備系システム10と連携制御装置30との通信は、例えば、Ethernet(登録商標)などの通信規格を利用することができる。また、外部システムI/F31を介した設備系システム10と連携制御装置30との通信は、TCP/IPベースの通信に限らず、非IPのフィールドバスなどを利用することもできる。
The external system I /
領域管理部32は、外部システムI/F31を介して、入退室コントロールユニット13から送信された入退室情報を内部データベース33へ記憶、或いは、入退室情報に基づいて内部データベース33を更新し、これにより、セキュリティ管理領域におけるユーザの滞在状態(在室状態)を管理する。
The
内部データベース33は、連携制御装置30、具体的には、領域管理部32と端末認証部35とを動作させるために必要な各種動作パラメータを記憶するデータベースであり、ユーザ情報記憶部33Aと、在室状態記憶部33Bと、認証状態記憶部33Cと、システム情報記憶部33Dと、設定情報記憶部33Eとを備えている。
The
ユーザ情報記憶部33Aは、設備系システム10においてユーザを一意に特定するための被認証情報であるカードID(予め登録されたユーザによって保持され、設備系システム10の入退室時に使用されるICカード2のカードID)毎に、アカウントIDと、在室可能時間と、在室可能時刻とを関係付けて記憶している。ユーザ情報記憶部33Aに記憶される動作パラメータは、後述するパラメータ設定部37によって設定される。これらの動作パラメータは、静的情報であり、パラメータ設定部37によって、一旦設定されると新たなユーザ登録やシステム変更などがあるまで変更されず保持される。
The user
図3は、ユーザ情報記憶部33Aで記憶保持している情報とその内容との一例を示す説明図である。アカウントIDは、ユーザをネットワークにおいて一意に特定するための被認証情報である。設備系システム10からカードIDが通知された場合、領域管理部32は、ユーザ情報記憶部33Aを参照することでカードIDに対応するアカウントIDを取得し、取得したアカウントIDに基づき在室状態記憶部33Bの更新処理などを実行する。
FIG. 3 is an explanatory diagram showing an example of information stored and held in the user
在室可能時間は、このアカウントIDで特定されるユーザに許された、セキュリティ管理領域に継続して在室することができる時間を示す。この在室可能時間は、ユーザが現在までにどのくらいセキュリティ管理領域に在室しているかを示す在室経過時間と比較され、この在室経過時間が、在室可能時間を超えた場合には、端末認証部35によって、例えば、ユーザが利用する端末装置21に対するネットワーク接続が切断されたり、ネットワークへのアクセス要求が認証不許可とされたりする。在室経過時間は、後述する在室状態記憶部33Bに記憶されている在室開始時刻を参照することで、領域管理部32によって求められる。
The occupancy time indicates the time allowed to continue in the security management area permitted by the user specified by this account ID. This occupancy time is compared with the occupancy time that indicates how long the user has been in the security management area so far, and if this occupancy time exceeds the occupancy time, For example, the
在室可能時刻は、このアカウントIDで特定されるユーザに許された、セキュリティ管理領域に在室することができる時間帯を示しており、在室開始時刻と、在室終了時刻との組によって構成されている。この在室可能時刻は、現在の時刻と比較され、現在の時刻が、在室可能時刻の範囲外である場合には、端末認証部35によって、例えば、ユーザが利用する端末装置21に対するネットワーク接続が切断されたり、ネットワークへのアクセス要求が認証不許可とされたりする。
The occupancy time indicates a time zone in which the user specified by this account ID is allowed to stay in the security management area, and depends on a set of occupancy start time and occupancy end time. It is configured. This occupancy time is compared with the current time, and if the current time is outside the occupancy time range, the
在室状態記憶部33Bは、ユーザをネットワークにおいて一意に特定するための被認証情報であるアカウントID毎に、在室部屋番号と、在室開始時刻とを関係付けて記憶している。在室状態記憶部33Bに記憶される動作パラメータは、動的情報であり、設備系システム10において管理されているユーザの状態変化に応じて領域管理部32により随時更新されていく。
The occupancy
図4は、在室状態記憶部33Bに記憶される情報とその内容との一例を示す説明図である。在室部屋番号は、ユーザが、現在、在室しているセキュリティ管理領域を特定する番号(部屋ID)である。領域管理部32は、ユーザの状態変化があった際に設備系システム10から送信される入退室情報から、ユーザが現在セキュリティ管理領域に在室しているのか否かを特定して、ユーザが在室の場合には、セキュリティ管理領域を特定する部屋IDを在室部屋番号として、在室状態記憶部33Bに記憶させる。
FIG. 4 is an explanatory diagram showing an example of information stored in the occupancy
在室開始時刻は、設備系システム10より状態変化があった際に送信される入退室情報から特定される、セキュリティ管理領域への入室時刻であり、セキュリティ管理領域に在室が開始された時刻を示している。この在室開始時刻は、ネットワーク認証時などにおいて、セキュリティ管理領域における在室可能時間との比較に用いられる。
The occupancy start time is the entry time to the security management area specified from the entry / exit information transmitted when there is a state change from the
認証状態記憶部33Cは、ユーザをネットワークにおいて一意に特定するための被認証情報であるアカウントID毎に、中継装置IDと、中継装置ポート番号とを関連付けて記憶している。認証状態記憶部33Cに記憶される情報は、動的情報であり、ネットワーク認証システム20で管理されているユーザのネットワーク認証状態などに応じて、端末認証部35により随時更新されていく。
The authentication
図5は、認証状態記憶部33Cに記憶される情報とその内容との一例を示す説明図である。中継装置IDは、セキュリティ管理領域内に設けられた複数の端末装置21のうち、このアカウントIDで特定されるユーザに対する認証が許可された端末装置21が接続する中継装置22のIPアドレスを示す。端末認証部35は、中継装置22および認証サーバ23においてネットワークへのアクセス要求が認証許可された場合には、ユーザに対する認証が許可された端末装置21が接続する中継装置22のIPアドレスを、中継装置IDとして認証状態記憶部33Cに記憶させる。また、端末認証部35は、ユーザに対する認証が許可された端末装置21に対するネットワーク接続が切断されたことを条件として、該当する中継装置IDを認証状態記憶部33Cから削除する。
FIG. 5 is an explanatory diagram showing an example of information stored in the authentication
中継装置ポート番号は、セキュリティ管理領域内に設けられた複数の端末のうち、このアカウントIDで特定されるユーザに対する認証が許可された端末装置21が接続する中継装置22のポート22aの番号を示す。端末認証部35は、中継装置22および認証サーバ23においてネットワークへのアクセス要求が認証許可された場合には、ユーザに対する認証が許可された端末装置21が接続する中継装置22のポート22aの番号を、中継装置ポート番号として、認証状態記憶部33Cに記憶させる。また、端末認証部35は、ユーザに対する認証が許可された端末装置21に対するネットワーク接続が切断されたことを条件として、該当する中継装置ポート番号を認証状態記憶部33Cから削除する。
The relay device port number indicates the number of the
システム情報記憶部33Dは、設備系システム10のセキュリティ管理領域を一意に特定するための識別番号である部屋ID毎に、入室扉IDと、退室扉IDと、中継装置IDとを関係付けて記憶している。システム情報記憶部33Dに記憶される動作パラメータは、後述するパラメータ設定部37によって設定される。これらの動作パラメータは、静的情報であり、パラメータ設定部37によって一旦設定されるとシステム変更などがあるまで変更されずに保持される。
The system
図6は、システム情報記憶部33Dで記憶保持している情報とその内容との一例を示す説明図である。入室扉IDは、設備系システム10のセキュリティ管理領域に設けられた入口扉のIDであり、例えば、入口扉と1対1で対応している設備系システム10の入室用カードリーダ11の機器IDを使用することができる。退室扉IDは、設備系システム10のセキュリティ管理領域に設けられた出口扉のIDであり、例えば、出口扉と1対1で対応している設備系システム10の退室用カードリーダ12の機器IDを使用することができる。入室扉ID、退室扉IDは、セキュリティ管理領域に設けられている扉の数に応じて、複数設定することができる。
FIG. 6 is an explanatory diagram showing an example of information stored and held in the system
中継装置IDは、このセキュリティ管理領域に設置されている中継装置22を識別するためのIDであり、例えば、中継装置22のIPアドレスを用いることができる。この中継装置IDは、セキュリティ管理領域に設定された中継装置22の数に応じて、複数設定することができる。
The relay device ID is an ID for identifying the
設定情報記憶部33Eは、設備系システム10と、ネットワーク認証システム20との通信に必要となる動作パラメータを含む基本通信情報を記憶している。なお、基本通信情報の詳細については後述する。また、設定情報記憶部33Eには、管理者のIDやパスワード、通信関連詳細コンフィグデータ、SNMPエージェント機能設定データ、ログ機能設定データといった任意に設定可能な動作パラメータを記憶させることができる。
The setting
ネットワークI/F34は、連携制御装置30と、中継装置22および認証サーバ23との間で通信を行うための通信インターフェースである。ネットワークI/F34は、Ethernet(登録商標)やTCP/IPスタックに相当する。
The network I /
端末認証部35は、ユーザから端末装置21を介して認証サーバ23に対してなされる、アカウントIDを用いたネットワークへのアクセス要求を受信した場合に、領域管理部32において管理されているユーザの在室状態に基づいて、認証サーバ23によるユーザ認証(RADIUS認証)の前提として、ユーザに対する端末装置の利用認証を行う。
When the
具体的には、この端末認証部35は、端末装置21と、中継装置22および認証サーバ23との間で行われるRADIUS認証に関連する処理を実行する。そのため、端末認証部35は、RADIUS認証において中継装置22、認証サーバ23間で送受信されるRADIUSパケットを中継する。また、端末認証部35は、RADIUSの規格で定義されている認証符号の再計算を行う機能も有している。この際、端末認証部35は、内部データベース33の設定情報記憶部33Eに記憶される、RADIUS通信の正当性を確認するために必要となる中継装置22、認証サーバ23それぞれで保持される秘密共有鍵と、通信相手先のIPアドレスと対応関係を、必要に応じて参照する。
Specifically, the
また、端末認証部35は、中継装置22から送信されるネットワーク認証要求のRADIUSパケットに含まれる情報と、内部データベース33に記憶されている情報とを用いて認証処理(ユーザに対する端末装置の利用認証)を行い、ネットワーク認証要求を認証サーバ23へと転送するのか、それとも拒否するのかを判断する。端末認証部35は、拒否応答する場合には、拒否応答パケットを生成し中継装置22に送信する。
Further, the
設定I/F36は、管理者が用いる管理端末40と連携制御装置30とを接続するたもの通信インターフェースである。設定I/F36を介した管理端末40と連携制御装置30との通信は、例えば、Ethernet(登録商標)などの通信規格を利用することができる。システムの管理者は、管理端末40を用いて、内部データベース33に記憶されている静的情報などを、HTTP(S)サーバやTelnetなどを利用して外部から管理することができる。
The setting I /
パラメータ設定部37は、設定I/F36を介して、管理端末40から送信された情報に基づいて、動作パラメータを設定する。具体的には、パラメータ設定部37は、管理端末40から送信された動作パラメータを所定のデータ形式に変換して内部データベース33へ記憶される。なお、パラメータ設定部37によって設定される動作パラメータは、内部データベース33に記憶される前に、パラメータチェック部38によって動作パラメータの不備がチェックされており、このチェックをパスした動作パラメータのみが内部データベース33に記憶される。
The
パラメータ設定部37によって設定されている動作パラメータとしては、代表的には、基本通信情報と、領域管理情報と、端末認証情報とが挙げられる。
The operation parameters set by the
図7は、基本通信情報に含まれるパラメータ情報と動作パラメータとの一例を示す説明図である。基本通信情報は、設備系システム10とネットワーク認証システム20との通信に必要となる動作パラメータを含んでいる。基本通信情報に含まれる動作パラメータとしては、連携制御装置30のネットワーク認証システム20側のアドレス情報であるIPアドレスおよびサブネットマスク、連携制御装置30の設備系システム10側のアドレス情報であるIPアドレスおよびサブネットマスクが挙げられる。また、これ以外にも、認証サーバ23の設定情報であるIPアドレスおよび共有鍵、入退室コントロールユニット13の設定情報であるIPアドレス、および、中継装置22の設定情報であるIPアドレスおよび共有鍵などが挙げられる。
FIG. 7 is an explanatory diagram showing an example of parameter information and operation parameters included in the basic communication information. The basic communication information includes operation parameters necessary for communication between the
図8は、領域管理情報に含まれるパラメータ情報と動作パラメータとの一例を示す説明図である。領域管理情報は、領域管理部32がセキュリティ管理領域におけるユーザの在室状態を管理するために用いる動作パラメータを含んでおり、部屋ID、入口扉IDおよび出口扉ID、ユーザ名称、カードIDなどがこれに該当する。
FIG. 8 is an explanatory diagram showing an example of parameter information and operation parameters included in the area management information. The area management information includes operation parameters used by the
部屋IDは、セキュリティ管理領域毎に設定される動作パラメータであり、個々のセキュリティ管理領域を特定するための設定情報である。入口扉IDおよび出口扉IDは、部屋ID毎に設定される動作パラメータであり、個々のセキュリティ管理領域に対応するドアを特定するための設定情報である。また、ユーザ名称は、個々のユーザを特定するための設定情報である。なお、ユーザ名称自体は、連携制御装置30において、実質的な動作パラメータとして機能するものでないが、管理者によるユーザの特定といったように、副的な動作パラメータとして機能する。カードIDは、ユーザ毎に設定される動作パラメータであり、個々のユーザに対応するICカード2を特定するための設定情報である。
The room ID is an operation parameter set for each security management area, and is setting information for specifying each security management area. The entrance door ID and the exit door ID are operation parameters set for each room ID, and are setting information for specifying a door corresponding to each security management area. The user name is setting information for identifying individual users. Note that the user name itself does not function as a substantial operation parameter in the
図9は、端末認証情報に含まれるパラメータ情報と動作パラメータとの一例を示す説明図である。端末認証情報は、端末認証部35がユーザに対する端末装置21の利用認証を行うために用いる動作パラメータを含んでおり、中継領域IDと、アカウントIDなどがこれに該当する。
FIG. 9 is an explanatory diagram showing an example of parameter information and operation parameters included in the terminal authentication information. The terminal authentication information includes operation parameters used by the
中継領域IDは、中継装置22毎に設定される動作パラメータであり、中継装置22が設置されるセキュリティ管理領域を特定するための設定情報である。この中継領域IDは、上述したセキュリティ管理領域の設定情報である部屋IDと対応している。アカウントIDは、ユーザ(例えば、カードID)毎に設定される動作パラメータであり、ユーザ(カードID)に対応するユーザアカウントを識別するための設定情報である。
The relay area ID is an operation parameter set for each
パラメータ設定部37は、管理端末40から送信された情報のうち、基本通信情報を、内部データベース33の設定情報記憶部33Eに記憶させる。
The
また、パラメータ設定部37は、管理端末40から送信された情報のうち、領域管理情報および端末認証情報を、内部データベース33のユーザ情報記憶部33Aまたはシステム情報記憶部33Dに記憶させる。
In addition, the
具体的には、パラメータ設定部37は、領域管理情報である部屋IDを、システム情報記憶部33Dの部屋IDとして記憶させる。そして、パラメータ設定部37は、この部屋IDと対応する、領域管理情報である入口扉IDおよび出口扉IDを、システム情報記憶部33Dの入口扉IDおよび出口扉IDに部屋IDとして記憶させる。また、パラメータ設定部37は、この部屋IDと対応する、端末認証情報である中継領域IDに設置される中継装置22(例えば、基本通信情報である中継装置22のIPアドレス)を、システム情報記憶部33Dの中継装置IDとして記憶させる。これにより、システム情報記憶部33Dには、セキュリティ管理領域毎に、その部屋IDと、入口扉IDおよび出口扉IDと、中継装置IDとが関連付けられた状態となる。
Specifically, the
また、パラメータ設定部37は、領域管理情報であるカードIDを、ユーザ情報記憶部33AのカードIDとして記憶させる。そして、パラメータ設定部37は、このカードIDに対応する、端末認証情報であるアカウントIDを、ユーザ情報記憶部33AのアカウントIDに記憶させる。なお、本実施形態では、ユーザ情報記憶部33Aの在室可能時間および在室可能時刻については、必須の領域管理情報(動作パラメータ)として扱っていないが、これを必須の領域管理情報(動作パラメータ)として扱う場合には、パラメータ設定部37は、領域管理情報である在室可能時間および在室可能時刻を、ユーザ情報記憶部33Aの在室可能時間および在室可能時刻に記憶させる。これにより、ユーザ情報記憶部33Aには、カードID毎に、アカウントIDと、在室可能時間と、在室可能時刻とが関連付けられた状態となる。
The
パラメータチェック部38は、パラメータ設定部37によって設定される動作パラメータに設定不備があるか否かを判断する(パラメータチェック処理)。具体的には、パラメータチェック部38は、パラメータ設定部37によって設定される動作パラメータが存在しない場合に、動作パラメータの設定不備を判断する未設定チェック処理と、パラメータ設定部37によって設定される動作パラメータに整合性がない場合に、動作パラメータの設定不備を判断する整合性チェック処理とを実行する。なお、これらの処理の詳細については後述する。
The parameter check unit 38 determines whether or not the operation parameter set by the
動作モード設定部39は、それぞれが異なる複数の動作モードの中から、パラメータチェック部38によるチェック結果に応じた動作モードを選択する。そして、動作モード設定部39は、選択された動作モードに基づいて、領域管理部32および端末認証部35の動作状態を管理する。本実施形態において、動作モード設定部39によって選択可能な動作モードは、領域管理部32および端末認証部35をそれぞれ動作させる通常運用モードと、領域管理部32および端末認証部35の少なくとも一方の動作を停止させる動作停止モードとである。
The operation
動作停止モードは、さらに細分化されており、運用停止モードと、領域管理停止モードと、端末認証停止モードとを含んでいる。ここで、運用停止モードは、領域管理部32および端末認証部35の両方の動作を停止させるモードである。領域管理停止モードは、端末認証部35を動作させるものの、領域管理部32の動作を停止させるモードである。端末認証停止モードは、領域管理部32を動作させるものの、端末認証部35の動作を停止させるモードである。
The operation stop mode is further subdivided and includes an operation stop mode, an area management stop mode, and a terminal authentication stop mode. Here, the operation stop mode is a mode in which the operations of both the
図10は、本実施形態の連携制御装置30による動作を示すタイミングチャートである。
FIG. 10 is a timing chart illustrating an operation performed by the
まず、ステップS1において、管理端末40よりパラメータ設定部37に対して動作パラメータの設定要求がなされると、ステップS2において、パラメータ設定部37は、管理端末40からの情報に基づいて、動作パラメータの設定を行う。
First, when an operation parameter setting request is made to the
動作パラメータの設定時、パラメータチェック部38は、パラメータ設定部37によって設定される動作パラメータの不備をチェックし、このチェック結果によって、動作パラメータに不備がないと判断された場合に、各種動作パラメータを内部データベース33に記憶させ、動作パラメータの設定が完了する。なお、パラメータチェック部38によるパラメータチェック処理については、後述する。
When setting the operation parameters, the parameter check unit 38 checks for deficiencies in the operation parameters set by the
動作パラメータが設定された状態において、ユーザが、ネットワークが構築されているセキュリティ管理領域へと、入退室コントロールユニット13によって管理された扉から入室する。具体的には、ユーザは、入室用カードリーダ11にICカード2を翳す。これに応じて、入退室コントロールユニット13は、ICカード2の半導体メモリに格納されている情報を読み取り、カードIDを認証して施錠された扉の電気錠を解錠する。そして、入退室コントロールユニット13は、ICカード2のカードIDと、解錠した扉を一意に特定する入室扉ID、入室であることを示す情報と、入退室時刻とを入退室情報として連携制御装置30に送信する。
In a state where the operation parameters are set, the user enters the security management area where the network is constructed from the door managed by the entrance /
ステップS3において、連携制御装置30の領域管理部32は、外部システムI/F31を介して設備系システム10から入退出情報を受信すると、この入退室情報を内部データベース33の在室状態記憶部33Bに記憶させ、セキュリティ管理領域におけるユーザの現在の在室状態を記憶(更新)する(ステップS4)。
In step S3, when the
具体的には、領域管理部32は、入退室コントロールユニット13から送信されたICカード2のカードIDを用いて、ユーザ情報記憶部33Aを検索し、このカードIDに対応付けて記憶されているアカウントIDを取得する。また、領域管理部32は、入退室コントロールユニット13から送信された入室扉IDを用いて、システム情報記憶部33Dを検索し、この入室扉IDに対応付けられているセキュリティ管理領域を特定する部屋IDを取得する。そして、領域管理部32は、ユーザ情報記憶部33Aから取得したアカウントIDと対応付けて、取得した部屋IDを在室部屋番号として在室状態記憶部33Bに記憶させる。また、領域管理部32は、入退室コントロールユニット13から送信された入退室情報が、入室を示す情報である場合には、入退室情報に含まれる入退室時刻を在室開始時刻として在室状態記憶部33Bに記憶させる。
Specifically, the
セキュリティ管理領域に入室したユーザは、端末装置21から中継装置22を介して、IEEE802.1Xの手順に従い、アクセス要求としてネットワーク認証要求を送信することで端末装置21のネットワークへの接続を試みる。初期状態では、端末装置21とネットワークと間の接続は、中継装置22によって切断されているため、端末装置21は、中継装置22としか通信を行うことができない。
A user who has entered the security management area attempts to connect the
まず、ユーザは、ネットワークに接続するために、端末装置21からアカウントID及びパスワードを入力し中継装置22へ認証用のパケットであるネットワーク認証要求を送信する。
First, in order to connect to the network, the user inputs an account ID and a password from the
端末装置21は、ネットワーク認証要求をEAPメッセージの入ったMAC(Media Access Control)フレームとして中継装置22へ送信する。このとき、アカウントIDは平文で、パスワードはハッシュ化された状態で送信される。
The
中継装置22は、MACフレームからEAPメッセージを取り出し、IPパケットに乗せ換え、連携制御装置30へと送信をする。具体的には、中継装置22は、IPの上位層のUDPを利用して、中継装置22から取り出したEAPメッセージをRADIUSパケットのデータ部分に格納して連携制御装置30へと送信する。
The
中継装置22と認証サーバ23とのRADIUS認証処理における認証シーケンスにおいて、中継装置22からネットワーク認証要求として送信される最初のRADIUSパケットのEAPメッセージにのみ、平文のアカウントIDであるEAP−Type=Identityデータが存在する。RADIUSパケットには、このアカウントIDの他に、中継装置22の情報として中継装置22のIPアドレス、端末装置21が接続された中継装置22のポート番号などがRADIUS属性情報として記述されている。
In the authentication sequence in the RADIUS authentication process between the
ステップS5において、端末認証部35は、ネットワークI/F34を介してネットワーク認証要求のRADIUSパケット受信し、受信したネットワーク認証要求のRADIUSパケットのEAPメッセージに添付されたIdentityデータ(ネットワーク認証要求を行ったユーザのアカウントID)を取得する。また、端末認証部35は、ネットワーク認証要求を行った端末装置21が接続する中継装置22のIPアドレス、および、端末装置21が接続された中継装置22のポート番号を取得する。
In step S5, the
ステップS6において、端末認証部35は、取得した情報のうち、アカウントIDおよび中継装置22のIPアドレスを領域管理部32に送信することにより、領域管理部32に対してユーザの在室判定を要求する。
In step S <b> 6, the
ユーザの在室判定を受信した領域管理部32は、まず、取得したアカウントIDをキーとして、ユーザ情報記憶部33Aに格納されている在室可能時間および在室可能時刻と、在室状態記憶部33Bに格納されている在室部屋番号および在室開始時刻とを検索する。また、領域管理部32は、取得した中継装置22のIPアドレスをキーとして、システム情報記憶部33Dに格納されている部屋IDを検索する。この部屋IDは、ネットワーク認証要求を送信した中継装置22が設置されているセキュリティ管理領域を示している。
The
領域管理部32は、以下に示す(1)〜(3)の条件を具備している場合には、ユーザがセキュリティ管理領域に正当に在室しているとの判定行い、この判定結果を端末認証部35に対して送信する。一方、以下に示す(a)〜(c)のいずれか一つの条件を具備していない場合には、在室判定を行わず、この判定結果を端末認証部35に対して送信する。
When the following conditions (1) to (3) are satisfied, the
(1)在室状態記憶部33Bから取得した在室部屋番号と、システム情報記憶部33Dから取得した部屋IDとを比較して、セキュリティ管理領域にユーザが存在し、このセキュリティ管理領域からネットワーク認証要求がなされていること
(2)ユーザ情報記憶部33Aから取得した在室可能時間と在室経過時間とを比較して、ユーザが在室可能時間を超えてセキュリティ管理領域に在室していないこと
(3)ユーザ情報記憶部33Aから取得した在室可能時刻と現在の時刻とを比較して、ユーザがセキュリティ管理領域に在室することが可能な時間帯であること
ステップS7において、端末認証部35は、在室判定の判定結果として、領域管理部32からユーザの正当な在室を判断した場合には、ユーザに対する端末装置21の利用認証を許可すべく、ネットワーク認証要求を認証サーバ23へと送信(転送)する。具体的には、端末認証部35は、ネットワークI/F34を介して、ネットワーク認証要求を認証サーバ23へ送信する。
(1) The occupancy room number acquired from the occupancy
これに対して、ステップS8において、端末認証部35は、在室判定の判定結果として、領域管理部32からユーザの正当な在室を判断しない場合には、ユーザに対する端末装置21の利用認証を不許可すべく、認証拒否パケットを中継装置22へと送信する。具体的には、端末認証部35は、認証サーバ23へのネットワーク認証要求の送信を拒否し、拒否応答パケットを生成して、ネットワークI/F34を介して中継装置22へ送信する。中継装置22は、送信された拒否応答パケットに基づき、端末装置21にネットワーク認証要求を拒否したことを示す拒否応答を通知する。
On the other hand, in step S8, if the
認証サーバ23へネットワーク認証要求が送信されたことに応じて、EAPメッセージが添付された認証サーバ23から送信されるパケットである認証応答、端末装置21から送信されるパケットである認証要求をやり取りすることで、ユーザのネットワーク上での認証処理が実行される。
In response to the transmission of the network authentication request to the
具体的には、認証サーバ23は、ネットワーク認証要求に添付されたアカウントIDをキーとして、図示しないユーザ情報記憶部に格納されている情報との照合処理を行う。認証サーバ23は、送信されたアカウントIDに関連付けられてユーザ情報記憶部に格納されている対象となるユーザのパスワードを所定のハッシュ関数でハッシュ化し、ネットワーク認証要求に添付されたハッシュ化されているパスワードと比較をし、ハッシュ化されたパスワード同士が一致するかどうか確認をする。このとき、連携制御装置30の端末認証部35は、端末装置21と認証サーバ23との認証要求、認証応答に対して何も施さずにスルーする。中継装置22は、上述したようなEAPメッセージの乗せ換えだけを行う中継装置として機能する。
Specifically, the
認証サーバ23は、この認証サーバ23による認証がなされたことを示す認証許可通知、認証されなかったことを示す認証不許可通知のいずれかを、連携制御装置30の端末認証部35を介して中継装置22に送信する。中継装置22は、認証サーバ23から認証許可通知を受け取った場合には、端末装置21とネットワークとの回線を開放する。これにより、ユーザは、端末装置21を介してネットワークへアクセスすることができネットワーク上の他の端末装置21との通信が可能となる。
The
一方、中継装置22は、認証サーバ23から認証不許可通知を受け取った場合には、端末装置21とネットワークとの回線を開放せずに、認証不許可である旨を通知するメッセージを端末装置21に送信する。
On the other hand, when the
また、認証サーバ23から認証許可通知を受け取った場合、端末認証部35は、ネットワークの認証結果を内部データベース33の認証状態記憶部33Cに記憶させる。認証状態記憶部33Cに記憶させる情報としては、例えば、アカウントID、端末装置21が接続されている中継装置22を一意に特定する機器ID(IPアドレス)、ネットワークへの接続が開放されている中継装置22のポート番号などである。
When receiving an authentication permission notification from the
このような一連の認証シーケンスを前提として、以下、連携制御装置30による動作モードの設定手順について説明する。図11は、連携制御装置30の動作モード設定部39によって設定される動作モードの遷移状態を示す説明図である。この動作モードは、パラメータ設定部37の動作パラメータの設定に応じて実行されるパラメータチェック部38によるチェック結果に応じて、動作モード設定部39によって設定される。
Based on such a series of authentication sequences, the operation mode setting procedure by the
連携制御装置30が起動されて、図10のステップS2に示すように、パラメータ設定部37が動作パラメータを設定するにあたり、パラメータチェック部38は、パラメータチェック処理を実行する。このパラメータチェック処理は、種々の動作パラメータのそれぞれを対象として実行される処理であり、上述した未設定チェック処理と、整合性チェック処理とが含まれる。
When the
[未設定チェック処理]
この未設定チェック処理において、パラメータチェック部38は、パラメータ設定部37によって設定される動作パラメータを参照し、動作パラメータとして値が設定されているか否かを判断し、動作パラメータとして何ら値が設定されていない場合に、動作パラメータの設定不備(パラメータ未設定)を判断する。なお、種々の動作パラメータの中には、必ずしも初期的に設定されている必要のない動作パラメータも存在するため、動作パラメータのそれぞれに対して重み付けを行っておき、必須となる動作パラメータについて何ら値が入力されていない場合にのみ、動作パラメータの設定不備を判断してもよい。
[Unset check processing]
In this unset check process, the parameter check unit 38 refers to the operation parameter set by the
[整合性チェック処理]
この整合性チェック処理において、パラメータチェック部38は、パラメータ設定部37によって設定される動作パラメータを参照し、パラメータ条件チェック処理と、パラメータ関係チェック処理とを行う。
[Consistency check processing]
In this consistency check process, the parameter check unit 38 refers to the operation parameters set by the
パラメータ条件チェック処理は、パラメータ設定部37によって設定される動作パラメータが予め規定された条件を具備するか否かを判断する。動作パラメータには、そのパラメータの性質によって、パラメータとして設定可能な条件が予め決まっていものがある。例えば、IPアドレスやサブネットマスクは0〜255の範囲の値であること、共有鍵は半角英数字、かつ、上限文字数以下であること、部屋IDはセキュリティ管理領域の設定数を超えないことといった如くである。パラメータチェック部38は、パラメータ設定部37によって設定される種々の動作パラメータを処理対象として、パラメータ条件チェック処理を行い、動作パラメータが条件を具備しない場合には、該当する動作パラメータの設定不備を判断する。
In the parameter condition check process, it is determined whether or not the operation parameter set by the
パラメータ関係チェック処理は、パラメータ設定部37によって設定される動作パラメータに整合性があるか否かを判断する。パラメータチェック部38は、パラメータ設定部37によって設定される動作パラメータ間の関係、および、パラメータ設定部37によって設定される動作パラメータと、内部データベース33に記憶されている動作パラメータとの間の関係に対して、パラメータ関係チェックを行う。
In the parameter relationship check process, it is determined whether or not the operation parameters set by the
パラメータ関係チェックは、重複チェックと、リンク関係チェックとが存在する。重複チェックでは、本来固有であるべき動作パラメータが互いに重複しているか否かが判断される。例えば、IPアドレス、アカウントIDまたはカードIDは、それぞれが個別にユニークな値でなければならいといった如くである。 The parameter relationship check includes a duplication check and a link relationship check. In the overlap check, it is determined whether or not the operation parameters that should be inherently overlap each other. For example, the IP address, account ID, or card ID must each be a unique value.
リンク関係チェックでは、互いに関連付けられる動作パラメータ同士に矛盾が生じていないか否かが判断される。例えば、システム情報記憶部33Dの動作パラメータの設定において、部屋IDと対応しない入口扉IDおよび出口扉IDを設定することはできない、部屋IDと対応しない中継領域IDを付与された中継装置IDを設定することはできないといった如くである。
In the link relation check, it is determined whether or not there is a contradiction between the operation parameters associated with each other. For example, in the operation parameter setting of the system
パラメータチェック部38は、パラメータ設定部37によって設定される種々の動作パラメータを処理対象として、パラメータ関係チェック処理を行い、動作パラメータに整合性がない場合には、該当する動作パラメータの設定不備を判断する。
The parameter check unit 38 performs a parameter relation check process on various operation parameters set by the
このようなパラメータチェック処理が行われると、パラメータチェック部38は、基本通信情報、領域管理情報、および、端末認証情報のいずれに該当する動作パラメータに設定不備があるか否かを特定する。動作モード設定部39は、図11に示すように、パラメータチェック処理の処理結果に応じて、以下のように動作モードを設定する。
When such a parameter check process is performed, the parameter check unit 38 specifies whether the operation parameter corresponding to any of the basic communication information, the area management information, and the terminal authentication information has a setting defect. As shown in FIG. 11, the operation
(a)基本通信情報、領域管理情報および端末認証情報に設定不備がない場合
動作モード設定部39は、通常運用モードを選択する。このモードでは、領域管理部32および端末認証部35をそれぞれが動作するため、図10に示す一連の動作のように、設備系システム10とネットワーク認証システム20との連携が連携制御装置30によって実行される。
(A) When basic communication information, area management information, and terminal authentication information are not incompletely set The operation
(b)基本通信情報に設定不備があると判断された場合、または、領域管理情報と端末認証情報との両方に設定不備があると判断された場合
動作モード設定部39は、運用停止モードを選択する。このモードでは、領域管理部32および端末認証部35の両方の動作が停止されるので、設備系システム10およびネットワーク認証システム20は連携制御装置30によって連携されることなく、それぞれが個別にその機能を実行する。なお、ネットワーク認証システム20において、中継装置22は、認証時のRADIUSパケットを、プライマリに設定されたIPアドレス(連携制御装置30のIPアドレス)に従って、連携制御装置30を経由して認証サーバ23へと送信するが、連携制御装置30の端末認証部35が動作を停止している場合には、認証時のRADIUSパケットを、セカンダリに設定されたIPアドレス(認証サーバ23のIPアドレス)に従って、連携制御装置30を経由して認証サーバ23へと送信する。これにより、連携制御装置30を介さずとも、ネットワーク認証システム20での認証処理が実行される。
(B) When it is determined that the basic communication information has a setting defect, or when it is determined that both the area management information and the terminal authentication information have a setting defect. The operation
(c)領域管理情報のみに設定不備があるとチェックされた場合
動作モード設定部39は、領域管理停止モードを選択する。このモードでは、端末認証部35のみが動作した状態で、領域管理部32の動作が停止されるので、ネットワーク認証システム20と連携制御装置30との間の関係のみ、図10に示す動作処理が実行され、設備系システム10は単独でその機能を実行する。
(C) When it is checked that only the area management information has a setting deficiency The operation
(d)端末認証情報のみに設定不備があるとチェックされた場合
動作モード設定部39は、端末認証停止モードを選択する。このモードでは、領域管理部32のみが動作した状態で、端末認証部35の動作が停止されるので、設備系システム10と連携制御装置30との間の関係のみ、図10に示す動作処理が実行され、ネットワーク認証システム20は単独でその機能を実行する。
(D) When it is checked that only terminal authentication information has a setting defect The operation
運用停止モード、領域管理モードまたは端末認証停止モードを選択中には、図12に示すように、管理者は、管理端末40により、現在の動作モードを確認することができる。
While the operation stop mode, the area management mode, or the terminal authentication stop mode is selected, the administrator can check the current operation mode with the
そして、運用停止モード、領域管理モードまたは端末認証停止モードが設定されている最中に、管理端末40よりパラメータ設定部37に対して設定不備に対する動作パラメータの設定要求がなされると、パラメータ設定部37が動作パラメータを設定する。この際、パラメータチェック部38は、上述したパラメータチェック処理を実行し、設定される動作パラメータに設定不備がないこと条件に、パラメータ設定部37に対して設定を許可し、連携制御装置30の再起動を許可する。新たに設定された動作パラメータは、連携制御装置30の再起動後に有効となる。
When the operation terminal mode, the area management mode, or the terminal authentication stop mode is set, if the
このように本実施形態によれば、設定される動作パラメータの設定不備の判断結果に応じて動作モードが選択され、これに応じて、領域管理部32および端末認証部35の動作状態が管理される。そのため、動作パラメータの設定不備に伴って動作不具合を発生し得るようなシチュエーションを抑制することができるので、このような状況を未然に抑制することができる。
As described above, according to the present embodiment, the operation mode is selected according to the determination result of the setting defect of the operation parameter to be set, and the operation states of the
また、本実施形態によれば、動作パラメータに設定不備があると判断された場合には、動作停止モードが選択されるので、領域管理部32および端末認証部35の少なくとも一方の動作を停止させることができる。そのため、領域管理部32および端末認証部35の少なくとも一方に動作不具合が発生し得るような状況を未然に抑制することができる。また、動作パラメータに設定不備がないと判断された場合には、通常運用モードが選択されるので、領域管理部32および端末認証部35の双方が動作される。これにより、領域管理部32または端末認証部35において動作不具合が発生し得ないような状況で、領域管理部32および端末認証部35が動作されるので、設備系システム10とネットワーク認証システム20とに対する連携の信頼性の向上を図ることができる。
Further, according to the present embodiment, when it is determined that there is a setting defect in the operation parameter, the operation stop mode is selected, so that the operation of at least one of the
また、本実施形態によれば、パラメータチェック部38によって、基本通信情報、領域管理情報および端末認証情報のいずれに設定不備となる動作パラメータが存在するか特定することができる。これにより、動作不具合が発生し得る対象部位を有効に特定することができる。 Further, according to the present embodiment, the parameter check unit 38 can identify whether there is an operation parameter that is incompletely set in basic communication information, area management information, or terminal authentication information. As a result, it is possible to effectively identify a target portion where an operation failure may occur.
また、本実施形態によれば、基本通信情報、または、領域管理情報および端末認証情報の両方に設定不備がある場合には、運用停止モードが選択される。そのため、領域管理部32および端末認証部35の両方の動作に不具合が発生し得る状況を抑制することができる。これにより、システムに発生し得る不具合を未然に抑制することができる。
Further, according to the present embodiment, when the basic communication information, or both the area management information and the terminal authentication information are imperfectly set, the operation stop mode is selected. For this reason, it is possible to suppress a situation in which a malfunction may occur in the operations of both the
また、本実施形態によれば、領域管理情報のみに設定不備がある場合には、領域管理停止モードが選択されるので、領域管理部32の動作に不具合が発生し得る状況を抑制することができる。また、動作に不具合が発生し得る状況ではない、端末認証部35のみを動作させることで、システムに発生し得る不具合を未然に抑制しつつ、不完全ながらも連携制御の機能を実現させることができる。例えば、内部データベース33には、ネットワーク認証システム20におけるユーザのネットワーク認証状態が反映されているので、領域管理情報が再設定され、領域管理部32の動作を再開させたとしても、システム間の連携を有効に実現することができる。
Further, according to the present embodiment, when there is a setting defect only in the area management information, the area management stop mode is selected, so that it is possible to suppress a situation in which a malfunction may occur in the operation of the
また、本実施形態によれば、端末認証情報のみに設定不備がある場合には、端末認証停止モードが選択されるので、端末認証部35の動作に不具合が発生し得る状況を抑制することができる。また、動作に不具合が発生し得る状況ではない、領域管理部32のみを動作させることで、システムに発生し得る不具合を未然に抑制しつつ、不完全ながらも連携制御の機能を実現させることができる。例えば、内部データベース33には、設備系システム10におけるユーザの状態変化が反映されているので、端末認証情報が再設定され、端末認証部35の動作を再開させたとしても、システム間の連携を有効に実現することができる。
In addition, according to the present embodiment, when only the terminal authentication information has a setting defect, the terminal authentication stop mode is selected, so that it is possible to suppress a situation in which a malfunction may occur in the operation of the
また、本実施形態によれば、パラメータチェック部38によって、未設定チェック処理と、整合性チェック処理とを実行することにより、多面的に動作パラメータの設定不備を判断することができるので、種々の原因による動作パラメータの設定不備を有効に判断することができる。また、これにより、設定不備の原因を容易に特定することができる。 In addition, according to the present embodiment, the parameter check unit 38 can perform non-setting check processing and consistency check processing to determine operation parameter setting deficiencies in various ways. It is possible to determine effectively that the setting of the operation parameter due to the cause is inadequate. This also makes it possible to easily identify the cause of the setting failure.
また、本実施形態によれば、整合性チェック処理が、パラメータ条件チェック処理と、パラメータ関係チェック処理とを含むことにより、多面的に動作パラメータの設定不備を判断することができるので、種々の原因による動作パラメータの設定不備を有効に判断することができる。また、これにより、設定不備の原因を容易に特定することができる。 Further, according to the present embodiment, since the consistency check process includes the parameter condition check process and the parameter relation check process, it is possible to determine the setting deficiency of the operation parameter from various aspects. It is possible to effectively determine that the operation parameters are not set correctly. This also makes it possible to easily identify the cause of the setting failure.
さらに、本実施形態によれば、設定された動作パラメータが有効となる再起動を、設定される動作パラメータに設定不備がないことを条件に許可することで、再起動前に生じていた設定不備が再度繰り返されるといった事態の発生を抑制することができる。 Furthermore, according to the present embodiment, the setting deficiency that occurred before the restart is permitted by permitting the restart in which the set operation parameter is valid on the condition that the set operation parameter has no setting deficiency. Can be prevented from being repeated again.
1 ネットワーク管理システム
2 ICカード
10 設備系システム
11 入室用カードリーダ
12 退室用カードリーダ
13 入退室コントロールユニット
20 ネットワーク認証システム
21 端末装置
22 中継装置
22a ポート
23 認証サーバ
30 連携制御装置
31 外部システムI/F
32 領域管理部
33 内部データベース
33A ユーザ情報記憶部
33B 在室状態記憶部
33C 認証状態記憶部
33D システム情報記憶部
33E 設定情報記憶部
34 ネットワークI/F
35 端末認証部
36 設定I/F
37 パラメータ設定部
38 パラメータチェック部
39 動作モード設定部
40 管理端末
DESCRIPTION OF SYMBOLS 1
32
35
37 Parameter setting section 38
Claims (9)
前記セキュリティ管理領域に設けられた端末装置を処理対象として、ユーザを一意に特定する第2の被認証情報に基づいた認証サーバによるユーザ認証の処理結果に応じて、ネットワークへのアクセスを制限するネットワーク認証システムと
を相互に連携させる連携制御装置において、
前記入出管理システムから送信される、前記セキュリティ管理領域におけるユーザの状態変化を示す入出情報に基づいて、前記セキュリティ管理領域におけるユーザの滞在状態を管理する領域管理手段と、
ユーザから前記端末装置を介して前記認証サーバに対してなされる、前記第2の被認証情報を用いたネットワークへのアクセス要求を中継するとともに、前記領域管理手段において管理されているユーザの滞在状態に基づいて、ユーザに対する前記端末装置の利用認証を行う端末認証手段と、
前記領域管理手段と前記端末認証手段とを動作させるために必要な動作パラメータを設定するパラメータ設定手段と、
前記パラメータ設定手段によって設定される動作パラメータに設定不備があるか否かを判断するパラメータチェック手段と、
それぞれが異なる複数の動作モードの中から、前記パラメータチェック手段による判断結果に応じた動作モードを選択し、当該選択された動作モードに基づいて、前記領域管理手段および端末認証手段の動作状態を管理する動作モード設定手段と
を有することを特徴とする連携制御装置。 An entry / exit management system that manages the entry / exit of the user in the security management area in accordance with the processing result of the user authentication based on the first authenticated information for uniquely identifying the user;
A network that restricts access to a network according to a result of user authentication processing by an authentication server based on second authenticated information that uniquely identifies a user, with a terminal device provided in the security management area as a processing target In the linkage control device that links the authentication system with each other,
Area management means for managing the staying state of the user in the security management area based on the entering / exiting information indicating the change in the state of the user in the security management area, transmitted from the entry / exit management system;
The user's staying state managed by the area management means while relaying the access request to the network using the second authenticated information made to the authentication server from the user via the terminal device Terminal authentication means for authenticating the use of the terminal device for the user,
Parameter setting means for setting operation parameters necessary for operating the area management means and the terminal authentication means;
Parameter checking means for determining whether or not the operation parameter set by the parameter setting means has a setting defect;
An operation mode corresponding to the determination result by the parameter check unit is selected from a plurality of different operation modes, and the operation state of the area management unit and the terminal authentication unit is managed based on the selected operation mode. And an operation mode setting means.
前記動作モード設定手段は、前記パラメータチェック手段によって前記動作パラメータに設定不備があると判断された場合には、前記動作停止モードを選択し、前記パラメータチェック手段によって前記動作パラメータに設定不備がないと判断された場合には、通常運用モードを選択することを特徴とする請求項1に記載された連携制御装置。 The plurality of operation modes include an operation stop mode for stopping operation of at least one of the area management means and the terminal authentication means, and a normal operation mode for operating the area management means and the terminal authentication means, respectively.
The operation mode setting means selects the operation stop mode when the parameter check means determines that the operation parameter is incompletely set, and the parameter check means does not have the operation parameter incompletely set. 2. The cooperation control apparatus according to claim 1, wherein when the determination is made, the normal operation mode is selected.
前記入出管理システムおよび前記ネットワーク認証システムと通信するために用いる動作パラメータを含む基本通信情報と、
前記領域管理手段が前記セキュリティ管理領域におけるユーザの滞在状態を管理するために用いる動作パラメータを含む領域管理情報と、
前記端末認証手段がユーザに対する前記端末装置の利用認証を行うために用いる動作パラメータを含む端末認証情報とを含み、
前記パラメータチェック手段は、前記基本通信情報、前記領域管理情報および前記端末認証情報のいずれに設定不備となる動作パラメータが存在するかを判断することを特徴とする請求項2に記載された連携制御装置。 The operating parameters are:
Basic communication information including operating parameters used to communicate with the entry / exit management system and the network authentication system;
Area management information including operation parameters used by the area management means to manage the staying state of the user in the security management area;
Terminal authentication information including operation parameters used by the terminal authentication means to perform use authentication of the terminal device for a user,
3. The cooperative control according to claim 2, wherein the parameter check unit determines whether any of the basic communication information, the area management information, or the terminal authentication information includes an operation parameter that is not set correctly. apparatus.
前記動作モード設定手段は、前記パラメータチェック手段によって、前記基本通信情報に設定不備があると判断された場合、または、前記領域管理情報と前記端末認証情報との両方に設定不備があると判断された場合に、前記運用停止モードを選択することを特徴とする請求項3に記載された連携制御装置。 The operation stop mode includes an operation stop mode for stopping the operations of both the area management unit and the terminal authentication unit,
The operation mode setting unit determines that the parameter check unit determines that the basic communication information has a setting failure, or determines that both the area management information and the terminal authentication information have a setting failure. The cooperation control device according to claim 3, wherein the operation stop mode is selected when the operation is stopped.
前記動作モード設定手段は、前記パラメータチェック手段によって、前記領域管理情報および前記端末認証情報のうち、前記領域管理情報に設定不備があると判断された場合に、前記領域管理停止モードを選択することを特徴とする請求項3または4に記載された連携制御装置。 The operation stop mode includes an area management stop mode in which the terminal authentication unit is operated to stop the operation of the area management unit,
The operation mode setting means selects the area management stop mode when the parameter check means determines that the area management information is incompletely set in the area management information and the terminal authentication information. The cooperation control device according to claim 3 or 4, characterized by the above-mentioned.
前記動作モード設定手段は、前記パラメータチェック手段によって、前記領域管理情報および前記端末認証情報のうち、前記端末認証情報に設定不備があると判断された場合に、前記端末認証停止モードを選択することを特徴とする請求項3から5のいずれか一項に記載された連携制御装置。 The operation stop mode includes a terminal authentication stop mode in which the area management unit is operated to stop the operation of the terminal authentication unit,
The operation mode setting means selects the terminal authentication stop mode when the parameter check means determines that the terminal authentication information is incompletely set in the area management information and the terminal authentication information. The cooperation control device according to any one of claims 3 to 5, wherein
前記パラメータ設定手段によって設定される前記動作パラメータが存在しない場合に、前記動作パラメータの設定不備を判断する未設定チェック処理と、
前記パラメータ設定手段によって設定される前記動作パラメータに整合性がない場合に、前記動作パラメータの設定不備を判断する整合性チェック処理と
を実行することを特徴とする請求項1から6のいずれか一項に記載された連携制御装置。 The parameter check means includes
When the operation parameter set by the parameter setting means does not exist, unset check processing for determining the setting deficiency of the operation parameter;
7. A consistency check process for determining incomplete setting of the operation parameter when the operation parameter set by the parameter setting unit is inconsistent. The cooperation control apparatus described in the item.
前記パラメータ設定手段によって設定される前記動作パラメータが予め規定された条件を具備するか否かを判断するパラメータ条件チェック処理と、
前記パラメータ設定手段によって設定される前記動作パラメータ同士に矛盾があるか否かを判断するパラメータ関係チェック処理と
を含むことを特徴とする請求項7に記載された連携制御装置。 The consistency check process includes:
A parameter condition check process for determining whether or not the operation parameter set by the parameter setting means has a predetermined condition;
The cooperative control apparatus according to claim 7, further comprising: a parameter relationship check process for determining whether or not there is a contradiction between the operation parameters set by the parameter setting unit.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2006255103A JP2008077364A (en) | 2006-09-20 | 2006-09-20 | Cooperation control apparatus |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2006255103A JP2008077364A (en) | 2006-09-20 | 2006-09-20 | Cooperation control apparatus |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2008077364A true JP2008077364A (en) | 2008-04-03 |
Family
ID=39349356
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2006255103A Pending JP2008077364A (en) | 2006-09-20 | 2006-09-20 | Cooperation control apparatus |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2008077364A (en) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2011243073A (en) * | 2010-05-20 | 2011-12-01 | Kyocera Mita Corp | Authentication program, program set, authentication method, authentication device, and software expiration date change device |
-
2006
- 2006-09-20 JP JP2006255103A patent/JP2008077364A/en active Pending
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2011243073A (en) * | 2010-05-20 | 2011-12-01 | Kyocera Mita Corp | Authentication program, program set, authentication method, authentication device, and software expiration date change device |
US8732843B2 (en) | 2010-05-20 | 2014-05-20 | Kyocera Document Solutions Inc. | Software validity period changing apparatus, method, and installation package |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR101314445B1 (en) | Unified network and physical premises access control server | |
JP6604921B2 (en) | Method and apparatus for increasing the reliability of a monitoring system | |
CN100591011C (en) | Identification method and system | |
US9237139B2 (en) | Controlling access to a secure resource based on user credentials and location | |
JP4174535B2 (en) | Authentication system and authentication method for authenticating wireless terminal | |
US20070162748A1 (en) | Apparatus for Encrypted Communication on Network | |
CN105915550B (en) | A kind of Portal/Radius authentication method based on SDN | |
JP2006343880A (en) | Network management system | |
US11165773B2 (en) | Network device and method for accessing a data network from a network component | |
JP4752436B2 (en) | Cooperation control apparatus and network management system | |
EP1927254B1 (en) | Method and a device to suspend the access to a service | |
JP2006343886A (en) | Network management system | |
JP4882511B2 (en) | Cooperation control device | |
CN101631078A (en) | Message control method and access equipment in endpoint admission defense | |
JP2008077364A (en) | Cooperation control apparatus | |
JP4894431B2 (en) | Cooperation control device | |
JP4018584B2 (en) | Wireless connection device authentication method and wireless connection device | |
CN101616087A (en) | Be associated to the router of safety means | |
CN104581723A (en) | Application method and device for networking information data of client equipment | |
JP5170982B2 (en) | Entrance / exit information device | |
JP4797685B2 (en) | Cooperation control apparatus and network management system | |
JP2005165418A (en) | Log-in authentication system | |
JP4894432B2 (en) | Cooperation control device | |
JP2005086656A (en) | Authentication discrimination bridge, program, wireless lan communication system, and wireless lan communication method | |
JP2007087321A (en) | Use authentication system for electronic device |