JP2010049331A - Management device, method, and program for network equipment - Google Patents
Management device, method, and program for network equipment Download PDFInfo
- Publication number
- JP2010049331A JP2010049331A JP2008210758A JP2008210758A JP2010049331A JP 2010049331 A JP2010049331 A JP 2010049331A JP 2008210758 A JP2008210758 A JP 2008210758A JP 2008210758 A JP2008210758 A JP 2008210758A JP 2010049331 A JP2010049331 A JP 2010049331A
- Authority
- JP
- Japan
- Prior art keywords
- management
- network device
- setting
- authentication information
- password
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Abstract
Description
本発明は、ネットワーク機器の管理装置、管理方法及び管理プログラムに関し、詳細には、ネットワークインフラ構築のためのネットワーク機器の管理装置、管理方法及び管理プログラムに関する。 The present invention relates to a network device management apparatus, management method, and management program, and more particularly to a network device management apparatus, management method, and management program for network infrastructure construction.
近年、社内LAN等のネットワークインフラの複雑化に伴って、これを構成するネットワーク機器の数も増加している。かかる多数のネットワーク機器を随時、ネットワークインフラの構築のために設定変更したり、保守を行うネットワーク機器管理者の労力も併せて増加している。 In recent years, with the complication of network infrastructure such as in-house LANs, the number of network devices constituting the same has increased. The labor of network device managers who change the settings of such a large number of network devices as needed for the construction of network infrastructure and maintain them is also increasing.
例えば、特許文献1では、ネットワーク機器の管理作業を軽減することを目的としたネットワーク機器が開示されている。詳細には、サービス提供側ネットワークとユーザ側ネットワークとを接続するネットワーク機器に、あらかじめユーザの認証情報とそのユーザの使用可能な設定変更コマンドを記憶させておく。ネットワーク機器は、ユーザの認証情報に対応して使用可能な設定変更コマンドの範囲内で設定変更を許容する。
特許文献1に開示のネットワーク機器のように、その設定変更をユーザに委ねることでネットワーク機器の管理者の労力は軽減される。その一方で、ネットワーク機器へのユーザの認証の厳格さを欠くとネットワークのセキュリティが低下する。特に、ネットワークインフラが大規模になってユーザ数が増加すると、セキュリティの低下はより深刻となる。また、ネットワーク管理者の意図しないネットワーク機器の設定変更が行われないように、該管理者はネットワーク機器の設定変更を常に監視していなければならない。逆に、このような設定変更を行われないようにユーザの設定変更条件を厳しく制限してしまうと、結局、管理者自身がネットワーク機器の管理を行っているのと労力が変わらないというジレンマを生じるのである。 Like the network device disclosed in Patent Document 1, by leaving the setting change to the user, the labor of the administrator of the network device is reduced. On the other hand, if the strictness of user authentication to network devices is lacking, the security of the network is lowered. In particular, when the network infrastructure becomes large and the number of users increases, the deterioration of security becomes more serious. Further, the administrator must always monitor the change of the network device setting so that the network device setting change not intended by the network administrator is not performed. Conversely, if the user's setting change conditions are severely limited so that such setting changes are not made, the dilemma that the administrator does not change the effort as if the administrator himself / herself manages the network equipment. It happens.
本発明はかかる状況に鑑みてなされたものであって、その目的は、ネットワーク機器の管理者の労力を軽減させて、なおかつ堅牢なセキュリティを維持するネットワーク機器管理装置、管理方法及び管理プログラムを提供することである。 The present invention has been made in view of such a situation, and an object of the present invention is to provide a network device management apparatus, a management method, and a management program that can reduce the labor of a network device administrator and maintain robust security. It is to be.
本発明によるネットワーク機器管理装置は、複数のネットワーク機器の設定を管理する設定管理手段を含むネットワーク機器管理装置であって、前記ネットワーク機器毎の設定を変更可能とする設定管理パスワードを定期的に更新しつつこれを記憶するパスワード管理手段と、前記設定管理手段に管理用コンピュータを接続するための認証情報を記憶する認証情報管理手段と、を含み、前記認証情報管理手段は前記認証情報を送信した前記管理用コンピュータだけに対して前記設定管理手段との接続を維持し、前記設定管理手段は、前記パスワード管理手段を介して前記管理用コンピュータによって前記ネットワーク機器の設定を変更可能とさせることを特徴とする。 The network device management apparatus according to the present invention is a network device management device including a setting management means for managing settings of a plurality of network devices, and periodically updates a setting management password that allows the setting of each network device to be changed. However, password management means for storing this, and authentication information management means for storing authentication information for connecting a management computer to the setting management means, wherein the authentication information management means transmits the authentication information The connection with the setting management unit is maintained only for the management computer, and the setting management unit allows the management computer to change the setting of the network device via the password management unit. And
上記構成によれば、ネットワーク機器を改造することなく、ネットワーク機器の設定管理パスワードを定期的に更新して堅牢なセキュリティを確保できる。その一方で、管理者は、認証情報を確認されることを条件に、設定管理パスワードをいちいち入力せずともネットワーク機器の設定の変更が可能であって、堅牢なセキュリティながら、管理者の労力を低減できる。 According to the above configuration, it is possible to ensure robust security by periodically updating the setting management password of the network device without modifying the network device. On the other hand, the administrator can change the settings of the network device without entering the settings management password one by one on the condition that the authentication information is confirmed. Can be reduced.
さらに、前記ネットワーク機器毎の設定の変更履歴を暗号化して記憶し、前記設定管理手段に接続した前記管理用コンピュータの求めに応じてこれに復号化して送信する変更履歴管理手段を有することを特徴としても良い。かかる構成によれば、認証情報を確認された管理用コンピュータのみで変更履歴を確認できて、ネットワーク機器の設定変更を監視し、不正などが行われていないかを確認できる。 Furthermore, it comprises change history management means for encrypting and storing a setting change history for each network device, and for decrypting and transmitting it in response to a request from the management computer connected to the setting management means. It is also good. According to such a configuration, the change history can be confirmed only by the management computer whose authentication information has been confirmed, the setting change of the network device can be monitored, and it can be confirmed whether fraud or the like has been performed.
また、前記認証情報管理手段は、前記管理用コンピュータに対して与えられた認証情報を記憶することを特徴としても良い。かかる構成によれば、特定の管理用コンピュータだけにネットワーク機器の設定変更を可能とさせて堅牢なセキュリティを確保できる。 Further, the authentication information management means may store authentication information given to the management computer. According to this configuration, it is possible to change the setting of the network device only to a specific management computer, and to ensure robust security.
また、前記認証情報管理手段は、前記管理用コンピュータを操作する操作者に対して与えられた認証情報を記憶することを特徴としても良い。かかる構成によれば、特定の操作者(管理者)だけにネットワーク機器の設定変更を可能とさせて堅牢なセキュリティを確保できる。 Further, the authentication information management means may store authentication information given to an operator who operates the management computer. According to such a configuration, only a specific operator (administrator) can change the setting of the network device to ensure robust security.
さらに、前記ネットワーク機器は、サーバを含むことを特徴としても良い。かかる構成によれば、ネットワーク機器と同様にサーバについても設定の変更が可能である。つまり、堅牢なセキュリティながら、管理者の労力を低減できる。 Furthermore, the network device may include a server. According to such a configuration, the setting of the server can be changed as with the network device. In other words, the administrator's effort can be reduced while maintaining robust security.
また、本発明による、ネットワーク機器管理方法は、複数のネットワーク機器の設定を管理するネットワーク機器管理方法であって、前記ネットワーク機器の設定を管理する設定管理手段に管理用コンピュータを接続するための認証情報を記憶する認証情報管理ステップと、定期的に自動更新されて記憶された前記ネットワーク機器毎の設定管理パスワードを使用して、前記認証情報を送信した前記管理用コンピュータによって、前記ネットワーク機器の設定を変更可能とさせるステップと、を含むことを特徴とする。 The network device management method according to the present invention is a network device management method for managing settings of a plurality of network devices, and authentication for connecting a management computer to a setting management means for managing the settings of the network devices. Authentication information management step for storing information, and setting of the network device by the management computer that has transmitted the authentication information using a setting management password for each network device that is automatically updated and stored periodically. And a step of making the changeable.
上記方法によれば、ネットワーク機器の設定管理パスワードを定期的に更新して堅牢なセキュリティが確保できる。その一方で、管理者は、認証情報を確認されることを条件に、設定管理パスワードをいちいち入力せずともネットワーク機器の設定を変更可能であって、堅牢なセキュリティながら、管理者の労力を低減できる。 According to the above method, robust security can be ensured by periodically updating the setting management password of the network device. On the other hand, the administrator can change the settings of the network device without entering the setting management password every time, as long as the authentication information is confirmed. it can.
また、前記ネットワーク機器管理方法は、前記ネットワーク機器毎の設定の変更履歴を暗号化して記憶するステップを更に含むことを特徴としても良い。さらに、前記認証情報を送信した前記管理用コンピュータの求めに応じて前記変更履歴は復号化されて返信されるステップを更に含むことを特徴としても良い。かかる方法によれば、認証情報を確認された管理用コンピュータのみで変更履歴を確認できて、ネットワーク機器の設定変更を監視し、不正などが行われていないかを確認できる。 The network device management method may further include a step of encrypting and storing a setting change history for each network device. Furthermore, the change history may be decrypted and returned in response to a request from the management computer that has transmitted the authentication information. According to such a method, the change history can be confirmed only by the management computer whose authentication information is confirmed, and the setting change of the network device can be monitored to check whether fraud or the like has been performed.
上記した方法において、前記ネットワーク機器は、サーバを含むことを特徴としても良い。かかる方法によれば、ネットワーク機器と同様にサーバについても設定の変更が可能である。つまり、堅牢なセキュリティながら、管理者の労力を低減できる。 In the above-described method, the network device may include a server. According to such a method, the setting of the server can be changed similarly to the network device. In other words, the administrator's effort can be reduced while maintaining robust security.
さらに、本発明によるネットワーク機器管理プログラムは、複数のネットワーク機器の設定を管理するためのネットワーク機器管理プログラムであって、前記ネットワーク機器毎の設定を変更可能とする設定管理パスワードを定期的に更新しつつこれを記憶するパスワード管理処理と、前記ネットワーク機器への接続を許容するための認証情報を記憶する認証情報管理処理と、前記設定管理パスワードを使用して、前記認証情報を送信した管理用コンピュータに前記ネットワーク機器の設定を変更可能とさせる設定管理処理と、を実行するルーチンを含むことを特徴とする。 Furthermore, a network device management program according to the present invention is a network device management program for managing settings of a plurality of network devices, and periodically updates a setting management password that allows the setting of each network device to be changed. However, a password management process for storing the authentication information, an authentication information management process for storing authentication information for permitting connection to the network device, and a management computer that transmits the authentication information using the setting management password And a setting management process for enabling the setting of the network device to be changed.
上記プログラムによれば、ネットワーク機器の設定管理パスワードを定期的に更新して堅牢なセキュリティが確保できる。その一方で、管理者は、認証情報を確認されることを条件に、設定管理パスワードをいちいち入力せずともネットワーク機器の設定を変更可能であって、堅牢なセキュリティながら、管理者の労力を低減できる。 According to the above program, it is possible to ensure robust security by periodically updating the setting management password of the network device. On the other hand, the administrator can change the settings of the network device without entering the setting management password every time, as long as the authentication information is confirmed. it can.
また、前記ネットワーク機器管理プログラムは、前記ネットワーク機器毎の設定の変更履歴を暗号化して記憶する処理と、前記認証情報を送信した前記管理用コンピュータの求めに応じて前記変更履歴を復号化して返信する処理と、を実行するルーチンを含むことを特徴としても良い。かかるプログラムによれば、認証情報を確認された管理用コンピュータのみで変更履歴を確認できて、ネットワーク機器の設定変更を監視し、不正などが行われていないかを確認できる。 The network device management program encrypts and stores the change history of the setting for each network device, and decrypts and returns the change history in response to a request from the management computer that has transmitted the authentication information. And a routine for executing the processing. According to such a program, the change history can be confirmed only by the management computer whose authentication information has been confirmed, the setting change of the network device can be monitored, and it can be confirmed whether fraud or the like has been performed.
上記したプログラムにおいて、前記ネットワーク機器は、サーバを含むことを特徴としても良い。かかる方法によれば、ネットワーク機器と同様にサーバについても設定の変更が可能である。つまり、堅牢なセキュリティながら、管理者の労力を低減できる。 In the above program, the network device may include a server. According to such a method, the setting of the server can be changed similarly to the network device. In other words, the administrator's effort can be reduced while maintaining robust security.
本発明の1つの実施例について、図1乃至図5を参照して詳細に説明する。 One embodiment of the present invention will be described in detail with reference to FIGS.
まず、本実施例のネットワーク機器管理装置を含むシステムについて説明する。 First, a system including the network device management apparatus of this embodiment will be described.
図1に示すように、管理用コンピュータ4はネットワーク3を介してサーバ2に接続可能である。また、サーバ2は、複数のネットワーク機器R(R1〜Rn)とLAN(Local Area Network)等の施設内ネットワークによって接続される。 As shown in FIG. 1, the management computer 4 can be connected to the server 2 via the network 3. In addition, the server 2 is connected to a plurality of network devices R (R1 to Rn) via an in-facility network such as a LAN (Local Area Network).
管理用コンピュータ4は、後述するように、ネットワーク機器Rを管理する管理者の操作するコンピュータである。管理用コンピュータ4には表示装置41及びキーボード42や図示しないマウス、スキャナなどの入力装置を含む。また図示しない後述する静脈や網膜といった生体情報等を認証情報として取り込む生体情報スキャナ等も含み得る。 As will be described later, the management computer 4 is a computer operated by an administrator who manages the network device R. The management computer 4 includes a display device 41, a keyboard 42, and input devices such as a mouse and a scanner (not shown). Further, a biometric information scanner or the like that captures biometric information such as veins and retinas, which will be described later, as authentication information (not shown) may be included.
ネットワーク3は、WAN(Wide Area Network)等の広域ネットワークである。なお、ネットワーク3は、インターネット等の公衆ネットワーク、又は社内LAN等の施設内ネットワークなどであってもよい。 The network 3 is a wide area network such as a WAN (Wide Area Network). The network 3 may be a public network such as the Internet or an in-facility network such as an in-house LAN.
ネットワーク機器Rは、ネットワークインフラを構築する機器であり、具体的にはリピータ、ハブ、ブリッジ、スイッチ、スイッチングハブ、ルータ、無線LANアクセスポイントなどの中継機である。また、ネットワークの末端等に据えられるストレージなどのほか、各種サーバ機器等が含まれ得る。ところで、ネットワーク機器Rは、外部コンピュータからこれにログインして、各種の機能毎にこれを許容したり、逆に制限したりするなど設定変更をすることができる。ここで、一般的に、ネットワーク機器Rに外部コンピュータからログインするためには、設定変更をすることを意図されない外部コンピュータからの不正なアクセスを防止するための、設定管理パスワードが必要となる。 The network device R is a device that constructs a network infrastructure, and is specifically a repeater such as a repeater, hub, bridge, switch, switching hub, router, or wireless LAN access point. In addition to storage installed at the end of the network, various server devices can be included. By the way, the network device R can log in to this from an external computer and change settings such as permitting or restricting various functions. Here, in general, in order to log in to the network device R from an external computer, a setting management password for preventing unauthorized access from an external computer that is not intended to change the setting is required.
サーバ2は、CPU101、ROM102、RAM103、通信手段6及び管理装置1を含み、システムバス100によって、これらの間で必要に応じて情報を交換できるように接続されている。 The server 2 includes a CPU 101, a ROM 102, a RAM 103, a communication unit 6, and a management device 1, and is connected by a system bus 100 so that information can be exchanged among them as necessary.
管理装置1は、図示しないCPUを有する設定管理手段11、認証情報管理手段12、パスワード管理手段13、変更履歴管理手段14及び記憶装置15を含む。 The management device 1 includes a setting management unit 11, an authentication information management unit 12, a password management unit 13, a change history management unit 14, and a storage device 15 having a CPU (not shown).
認証情報管理手段12は、あらかじめ記憶装置15に記憶させた後述する認証情報を送信してきた外部コンピュータ4に対してのみ設定管理手段11との接続を維持させ、これがない場合には接続を遮断する。ここで、認証情報は、管理用コンピュータ4に与えられた認証情報、及び/若しくは、ネットワーク機器Rを管理する管理者(操作者)個人に与えられた認証情報である。これにより、特定の管理用コンピュータ4及び/若しくは、特定の管理者のみが設定管理手段11に接続し得る。 The authentication information management means 12 maintains the connection with the setting management means 11 only for the external computer 4 that has transmitted authentication information, which will be described later, stored in advance in the storage device 15, and cuts off the connection if there is no such information. . Here, the authentication information is authentication information given to the management computer 4 and / or authentication information given to an administrator (operator) who manages the network device R. Thereby, only a specific management computer 4 and / or a specific administrator can connect to the setting management means 11.
管理者個人に与えられる認証情報としては、例えば、パスワード、ワンタイムパスワード、マトリクス認証、PIN(Personal Identification Number)コード、電子証明書、静脈若しくは網膜などの生体情報を用いた認証情報などがある。これらは管理用コンピュータ4の使用時に、キーボード42や図示しないマウス、スキャナなどの入力装置、静脈や網膜といった生体情報等を認証情報として取り込む生体情報スキャナ等によって管理用コンピュータ4に取り込まれ管理装置1に送られる。 Examples of the authentication information given to the individual administrator include a password, a one-time password, matrix authentication, a PIN (Personal Identification Number) code, an electronic certificate, and authentication information using biometric information such as a vein or retina. When the management computer 4 is used, these are taken into the management computer 4 by a keyboard 42, an input device such as a mouse and a scanner (not shown), a biometric information scanner such as a vein and retina as biometric information scanner, and the like. Sent to.
また、管理用コンピュータ4に与えられる認証情報としては、例えば、パスワード、ワンタイムパスワード及び個体識別符号などがある。これらはあらかじめ管理用コンピュータ4に与えられていて、そのまま管理装置1に送られる。 The authentication information given to the management computer 4 includes, for example, a password, a one-time password, and an individual identification code. These are given in advance to the management computer 4 and sent to the management apparatus 1 as they are.
パスワード管理手段13は、所定のタイムスケジュールに従って、あらかじめ記憶装置15に記憶されたネットワーク機器R1〜Rnの各々の設定管理パスワードを使って、これらにログインし、設定管理パスワードを更新する。更新後の設定管理パスワードは、記憶装置15に上書きする。また、この自動更新の履歴は、後述する変更履歴管理手段14によって暗号化させてパスワード更新ログとして記憶装置15に記憶される。また、パスワード管理手段13は、設定管理手段11に接続した管理用コンピュータ4に対して、ネットワーク機器R1〜Rnのうち所望とするネットワーク機器Rxにログインできるよう、対応するパスワードを管理用コンピュータ4に代わって、当該ネットワーク機器Rxに対して送信する。 The password management means 13 logs in to each of the network devices R1 to Rn stored in advance in the storage device 15 according to a predetermined time schedule, and updates the setting management password. The updated setting management password is overwritten in the storage device 15. The automatic update history is encrypted by a change history management unit 14 to be described later and stored in the storage device 15 as a password update log. Further, the password management unit 13 sends a corresponding password to the management computer 4 so that the management computer 4 connected to the setting management unit 11 can log in to the desired network device Rx among the network devices R1 to Rn. Instead, it transmits to the network device Rx.
変更履歴管理手段14は、ネットワーク機器R1〜Rnへの管理用コンピュータ4のログイン・ログアウトの時刻情報、設定変更内容情報などからなる操作ログを記憶装置15に暗号化して記憶させる。また、操作ログ及びパスワード更新ログの復号化も必要に応じて実行する。 The change history management unit 14 encrypts and stores an operation log including time information for login / logout of the management computer 4 to the network devices R1 to Rn, setting change content information, and the like in the storage device 15. In addition, the operation log and the password update log are decrypted as necessary.
記憶装置15は、上記した認証情報、設定管理パスワード、パスワード更新ログ、操作ログ及びタイムスケジュールの他、管理装置1を動作させるプログラム及び後述するネットワーク機器Rの機種名や型式番号等を含むプロフィール等を記憶する装置である。 The storage device 15 includes the above-described authentication information, setting management password, password update log, operation log, and time schedule, a program for operating the management device 1, and a profile including the model name and model number of the network device R to be described later. Is a device for storing.
設定管理手段11は、図示しないCPUを含み、上記した認証情報管理手段12、パスワード管理手段13及び変更履歴管理手段14の各手段を必要に応じて実行させる。設定管理手段11は、認証情報管理手段12によって接続を確立された管理用コンピュータ4から、ログインを所望するネットワーク機器Rxの選択情報を受け付ける。これに対応して、設定管理手段11は、管理用コンピュータ4に代わって、パスワード管理手段13を介してネットワーク機器Rxにログインし、管理用コンピュータ4とネットワーク機器Rxとの間を中継する。設定管理手段11は、管理用コンピュータ4とネットワーク機器Rxとの間におけるコマンドの送信の内容を記憶装置15に一時的に記憶させ、これを設定変更内容情報として変更履歴管理手段14に操作ログを作成させる。 The setting management unit 11 includes a CPU (not shown), and causes the above-described authentication information management unit 12, password management unit 13, and change history management unit 14 to be executed as necessary. The setting management unit 11 receives selection information of the network device Rx that is desired to be logged in from the management computer 4 that is connected by the authentication information management unit 12. In response to this, the setting management unit 11 logs in to the network device Rx via the password management unit 13 instead of the management computer 4 and relays between the management computer 4 and the network device Rx. The setting management unit 11 temporarily stores the contents of command transmission between the management computer 4 and the network device Rx in the storage device 15, and stores the operation log in the change history management unit 14 as setting change content information. Let it be created.
次に、図1乃至図5を参照してネットワーク機器管理方法について詳細に説明する。 Next, the network device management method will be described in detail with reference to FIGS.
まず、ネットワーク機器Rの設定管理パスワードの自動更新方法について説明する。 First, a method for automatically updating the setting management password of the network device R will be described.
特に、図2に示すように、設定管理手段11(図1参照)は、所定のタイムスケジュールに従って、パスワード管理手段13にパスワード更新ルーチンS1を実行させる。パスワード管理手段13では、まず、ネットワーク機器Rのうちの1つを対象に選び、これに対応する設定管理パスワードを記憶装置15から取得する(S10)。かかる設定管理パスワードを該ネットワーク機器Rxに送信してネットワーク機器Rxにログインする(S11)。これに続き、次のように、新しい設定管理パスワードを作成する(S12)。 In particular, as shown in FIG. 2, the setting management unit 11 (see FIG. 1) causes the password management unit 13 to execute a password update routine S1 according to a predetermined time schedule. In the password management means 13, first, one of the network devices R is selected as a target, and a setting management password corresponding to this is acquired from the storage device 15 (S10). The setting management password is transmitted to the network device Rx to log in to the network device Rx (S11). Subsequently, a new setting management password is created as follows (S12).
図3を更に併せて参照すると、ネットワーク機器Rの設定管理パスワードは、ネットワーク機器R毎の仕様に合わせて作成される。設定管理パスワードは、一般的に、アルファベット、数字及び記号からなり、所定の文字数以内で組み合わせて作成される。この設定管理パスワードは、仕様の範囲内において、あらかじめパスワード管理手段13に定められた方針、例えば、文字数を8文字にするとか、少なくともアルファベットと数字を混在させるなどに従って、公知のアルゴリズムを用いて作成される。 Referring also to FIG. 3, the setting management password for the network device R is created in accordance with the specifications for each network device R. The setting management password is generally composed of alphabets, numbers, and symbols, and is created by combining within a predetermined number of characters. This setting management password is created using a well-known algorithm in accordance with a policy predetermined in the password management means 13 within the specification range, for example, by setting the number of characters to 8 characters or mixing at least alphabets and numbers. Is done.
パスワード管理手段13は、ネットワーク機器Rxの設定管理パスワードを、作成された新しい設定管理パスワードに更新する(S13)。これとともに、パスワード管理手段13は、更新されたネットワーク機器Rxの設定管理パスワードを記憶装置15に上書きする(S14)。また、パスワード管理手段13は、変更履歴管理手段14を介して設定管理パスワードを更新した時刻を暗号化してパスワード更新ログとして記憶装置15に記憶させる(S15)。なお、パスワード更新ログは監査レポートとして必要に応じてまとめて復号化して出力できる(S16)。 The password management unit 13 updates the setting management password of the network device Rx to the created new setting management password (S13). At the same time, the password management means 13 overwrites the storage device 15 with the updated setting management password of the network device Rx (S14). Further, the password management unit 13 encrypts the time when the setting management password is updated via the change history management unit 14 and stores it in the storage device 15 as a password update log (S15). The password update log can be decrypted and output as an audit report as needed (S16).
以上により、ネットワーク機器R毎に設定された設定管理パスワードは、定期的に更新されるので、意図されない不正な外部コンピュータからネットワーク機器Rへアクセスされ、設定変更されることを防止できる。つまり、セキュリティを確保できる。 As described above, since the setting management password set for each network device R is periodically updated, access to the network device R from an unintended unauthorized external computer can be prevented from being changed. That is, security can be ensured.
次に、外部コンピュータによるネットワーク機器Rの設定変更方法について説明する。 Next, a method for changing the setting of the network device R by an external computer will be described.
図1及び図4を参照して、管理者はまず管理用コンピュータ4のキーボード42などの入力装置等を操作して管理用コンピュータ4を管理装置1へ接続するよう、接続要求操作を行う(S21)。管理用コンピュータ4に入力される、及び/若しくは、あらかじめ管理用コンピュータ4に入力されている上記した認証情報は、管理装置1へ向けて送信される(S22)。 Referring to FIGS. 1 and 4, the administrator first performs a connection request operation to connect the management computer 4 to the management apparatus 1 by operating an input device such as the keyboard 42 of the management computer 4 (S21). ). The above-described authentication information input to the management computer 4 and / or input to the management computer 4 in advance is transmitted to the management apparatus 1 (S22).
管理装置1の設定管理手段11は、認証情報管理手段12に対して、管理用コンピュータ4から送信された認証情報を記憶装置15に記憶している認証情報と照合させる。認証情報管理手段12は、これらが合致したときのみ、管理用コンピュータ4と設定管理手段11との接続を維持し、一方、合致しないときは接続を遮断する。更に、設定管理手段11は、ネットワーク機器R1〜Rnのプロフィール及び後述する管理画面を構成するために必要な情報を記憶装置15から呼び出して管理用コンピュータ4に返信する(S23)。 The setting management unit 11 of the management device 1 causes the authentication information management unit 12 to collate the authentication information transmitted from the management computer 4 with the authentication information stored in the storage device 15. The authentication information management means 12 maintains the connection between the management computer 4 and the setting management means 11 only when they match, and cuts off the connection when they do not match. Further, the setting management unit 11 calls the information necessary for configuring the profiles of the network devices R1 to Rn and the management screen described later from the storage device 15 and returns the information to the management computer 4 (S23).
図5を併せて参照すると、上記した設定管理手段11から返信された情報に基づいて管理用コンピュータ4は表示装置41に管理画面20を表示させる(S24)。管理画面20には、ネットワーク機器R1〜Rnのプロフィールの一覧21と、ネットワーク機器R1〜Rnの個々の設定内容の変更情報などからなる操作ログの情報を表示する操作ログ情報欄22及びパスワードの変更履歴などからなるパスワード更新ログの情報を表示する更新ログ情報欄23と、が含まれる。ここで、管理者は、管理画面20上においてポインタ25を操作してネットワーク機器R1〜Rnのうちログ情報を表示させたいネットワーク機器Rxを選択すると、この欄が反転表示される。このネットワーク機器Rxの選択に応じて、管理用コンピュータ4は情報要求信号を設定管理手段11へ送信する。かかる情報要求信号に応じて設定管理手段11は、変更履歴管理手段14に対して、記憶装置15から選択したネットワーク機器Rxに対応する操作ログ及びパスワード更新ログを呼び出させ、これを復号化させてログ情報として管理用コンピュータ4に返信させる。管理用コンピュータ4は管理画面20の操作ログ情報欄22及び更新ログ情報欄23にかかるログ情報を表示する。なお、パスワード更新ログ及び操作ログは、所定期間(例えば過去3年など)に亘って記憶装置15に暗号化して保存されるが、必要に応じて全部又はその一部を、変更履歴管理手段14によって復号化させて管理用コンピュータ4に送出する。 Referring also to FIG. 5, the management computer 4 displays the management screen 20 on the display device 41 based on the information returned from the setting management means 11 (S24). The management screen 20 includes an operation log information column 22 for displaying operation log information including a list 21 of profiles of the network devices R1 to Rn and change information of individual setting contents of the network devices R1 to Rn, and a password change. And an update log information field 23 for displaying password update log information including a history and the like. Here, when the administrator operates the pointer 25 on the management screen 20 to select the network device Rx for which log information is to be displayed among the network devices R1 to Rn, this field is highlighted. In response to the selection of the network device Rx, the management computer 4 transmits an information request signal to the setting management means 11. In response to the information request signal, the setting management unit 11 causes the change history management unit 14 to call the operation log and the password update log corresponding to the network device Rx selected from the storage device 15, and decrypts the operation log and the password update log. The log information is returned to the management computer 4. The management computer 4 displays log information related to the operation log information column 22 and the update log information column 23 of the management screen 20. The password update log and operation log are encrypted and stored in the storage device 15 for a predetermined period (for example, the past three years). To be sent to the management computer 4.
次に、特定のネットワーク機器Rxの設定変更を行う場合、管理者は、この特定のネットワーク機器Rxについて上記同様にポインタ25を操作して選択し(特に図5参照)、この欄を反転表示させる。続いて、ボタン24をポインタ25によって押下してコマンド入力画面を呼び出す(S25)。かかる操作によって管理用コンピュータ4は管理装置1に対してネットワーク機器Rxへの接続要求を送信する(S26)。管理装置1では、かかる接続要求を受けて、その設定管理手段11がパスワード管理手段13を介してネットワーク機器Rxに対応する設定管理パスワードを記憶装置15から呼び出し、これをネットワーク機器Rxに送信してログイン要求をする(S27)。かかるログイン要求に応じて、ネットワーク機器Rxは送信された設定管理パスワードとネットワーク機器Rxに設定された設定管理パスワードとの合致の確認を行う。これらが合致するなら、ネットワーク機器Rxはログインを許可し、管理装置1とネットワーク機器Rxとの接続が確立される(S28)。設定管理手段11は、クッキー情報を受けるなどしてログインしたことを確認したら、すなわち、管理用コンピュータ4に対してネットワーク機器Rxの設定変更を許容したら、コマンド入力画面を構成するために必要な情報を記憶装置15から呼び出して管理用コンピュータ4に送信する(S29)。送信された情報に基づいて管理用コンピュータ4は表示装置41に図示しないコマンド入力画面を管理画面20とは別に表示する(S30)。コマンド入力画面の表示により、管理者は設定管理手段11のネットワーク機器Rxへのログインを認識できる。 Next, when changing the setting of a specific network device Rx, the administrator selects the specific network device Rx by operating the pointer 25 in the same manner as described above (particularly, see FIG. 5), and this field is highlighted. . Subsequently, the button 24 is pressed by the pointer 25 to call a command input screen (S25). With this operation, the management computer 4 transmits a connection request to the network device Rx to the management apparatus 1 (S26). In response to the connection request, the management device 1 calls the setting management password corresponding to the network device Rx from the storage device 15 via the password management unit 13 and transmits it to the network device Rx. A login request is made (S27). In response to the login request, the network device Rx checks whether the transmitted setting management password matches the setting management password set in the network device Rx. If they match, the network device Rx permits login, and the connection between the management device 1 and the network device Rx is established (S28). When the setting management means 11 confirms that the user has logged in by receiving cookie information, that is, if the management computer 4 is allowed to change the setting of the network device Rx, the information necessary for configuring the command input screen Is transmitted from the storage device 15 to the management computer 4 (S29). Based on the transmitted information, the management computer 4 displays a command input screen (not shown) on the display device 41 separately from the management screen 20 (S30). By displaying the command input screen, the administrator can recognize the login of the setting management means 11 to the network device Rx.
なお、コマンド入力画面を構成するために必要な情報がネットワーク機器Rxにある場合には、管理装置1とネットワーク機器Rxとの接続(S28)の後に、ネットワーク機器Rxからコマンド入力画面を構成するために必要な情報が管理用コンピュータ4に送信されて、表示装置41にこれが表示される。 When the information necessary for configuring the command input screen is in the network device Rx, the command input screen is configured from the network device Rx after the connection between the management device 1 and the network device Rx (S28). Necessary information is transmitted to the management computer 4 and displayed on the display device 41.
コマンド入力画面を使用してネットワーク機器Rxの設定を変更するには、コマンド入力画面において、管理者はネットワーク機器Rxに実行させようとする設定変更のコマンドを管理用コンピュータ4から入力する(S31)。管理用コンピュータ4はこのコマンドを管理装置1に送信する(S32)。管理装置1では、設定管理手段11によってかかるコマンドをネットワーク機器Rxに転送する(S33)。ネットワーク機器Rxでは転送されたコマンドが実行される(S34)。コマンドの実行結果情報は管理装置1に向けて返信され(S35)、かかる情報が管理装置1の設定管理手段11によって管理用コンピュータ4に転送される(S36)。そして管理用コンピュータ4は転送された情報を図示しないコマンド入力画面に表示する(S37)。このように、管理者は、コマンド入力画面にコマンドを入力することによってネットワーク機器Rxの設定を変更することがきる。変更履歴管理手段14は、ネットワーク機器Rxの設定変更内容情報を操作ログとして暗号化して記憶装置15に記憶させる。 To change the setting of the network device Rx using the command input screen, the administrator inputs a setting change command to be executed by the network device Rx from the management computer 4 on the command input screen (S31). . The management computer 4 transmits this command to the management device 1 (S32). In the management apparatus 1, the setting management unit 11 transfers the command to the network device Rx (S33). In the network device Rx, the transferred command is executed (S34). The command execution result information is returned to the management apparatus 1 (S35), and the information is transferred to the management computer 4 by the setting management means 11 of the management apparatus 1 (S36). The management computer 4 displays the transferred information on a command input screen (not shown) (S37). Thus, the administrator can change the setting of the network device Rx by inputting a command on the command input screen. The change history management unit 14 encrypts the setting change content information of the network device Rx as an operation log and stores it in the storage device 15.
設定変更等の必要な操作が終了した後、管理者はコマンド入力画面を閉じると、これに対応するネットワーク機器Rxについての作業の終了指示(1)となる(S38)。この作業の終了指示(1)に応じて、管理用コンピュータ4は管理装置1に対して終了指示を送信する(S39)。管理装置1の設定管理手段11は送信された終了指示を受けてネットワーク機器Rxにログアウト要求をし(S40)、ネットワーク機器Rxからログアウトし、接続が切断される(S41)。 When the administrator closes the command input screen after completion of necessary operations such as setting changes, a work end instruction (1) for the network device Rx corresponding thereto is issued (S38). In response to this work end instruction (1), the management computer 4 transmits an end instruction to the management apparatus 1 (S39). In response to the transmitted termination instruction, the setting management unit 11 of the management apparatus 1 issues a logout request to the network device Rx (S40), logs out of the network device Rx, and is disconnected (S41).
ログアウト後、変更履歴管理手段14は、ネットワーク機器Rxに対するログアウトの時刻情報を操作ログとして暗号化して記憶装置15に記憶する(S42)。 After logout, the change history management means 14 encrypts logout time information for the network device Rx as an operation log and stores it in the storage device 15 (S42).
なお、複数のネットワーク機器Rに同時にログインすることもできて、この場合は、S25〜S42までの手順を繰り返す。 It is also possible to log in to a plurality of network devices R at the same time. In this case, the procedure from S25 to S42 is repeated.
全ての作業が終了すると、管理者は管理画面20を閉じる。これにより作業の終了指示(2)となる(S43)。作業の終了指示(2)に応じて、管理用コンピュータ4は、管理装置1との接続の切断を要求し(S44)、管理装置1との接続が切断される(S45)。 When all the operations are completed, the administrator closes the management screen 20. As a result, a work end instruction (2) is obtained (S43). In response to the work end instruction (2), the management computer 4 requests disconnection of the connection with the management apparatus 1 (S44), and the connection with the management apparatus 1 is disconnected (S45).
以上において、従来はネットワーク機器へのログインは管理者が設定管理パスワードを入力しながら行っていた。この場合、特に、ネットワーク機器の数が増加すると、管理者の設定管理パスワードの管理は大きな負担となってしまう。故に、設定管理パスワードを複数のネットワーク機器で共通としたり、設定管理パスワードを長期間に亘って更新することなくそのまま使い続けたりして、セキュリティを低下させることもあった。 As described above, conventionally, the administrator logs in the network device while inputting the setting management password. In this case, especially when the number of network devices increases, management of the setting management password by the administrator becomes a heavy burden. Therefore, the security may be lowered by making the setting management password common to a plurality of network devices or continuing to use the setting management password without updating it for a long period of time.
対して、本実施例では、ネットワーク機器R1〜Rnの各々に個別の設定管理パスワードが与えられて、さらに定期的にこれらが更新される。また、外部管理用コンピュータの設定管理手段11への接続は認証情報によって制限される。正当な管理者は、認証情報のみを外部管理用コンピュータから送信して、ネットワーク機器Rの設定管理パスワードを全く意識することなく、これに直接ログインしたと同様の操作ができる。よって、堅牢なセキュリティを確保しながら管理者の労力を低減できるのである。 On the other hand, in this embodiment, an individual setting management password is given to each of the network devices R1 to Rn, and these are updated periodically. Further, the connection to the setting management means 11 of the external management computer is restricted by the authentication information. A legitimate administrator can transmit only authentication information from the external management computer and can perform the same operation as logging in directly without being aware of the setting management password of the network device R. Therefore, the administrator's labor can be reduced while ensuring robust security.
また、変更履歴管理手段14により暗号化されて記憶装置15に記憶された操作ログ及びパスワード更新ログにより、ネットワーク機器Rの設定変更を監視し、不正などが行われていないかを確認できる。 In addition, the operation change and password update log encrypted by the change history management unit 14 and stored in the storage device 15 can be used to monitor the setting change of the network device R and confirm whether fraud or the like has been performed.
さらに、管理装置1は管理用コンピュータ4に対して与えられた認証情報を記憶して、管理用コンピュータ4だけに対して設定管理手段11を介してネットワーク機器の設定変更を可能とできて、堅牢なセキュリティを確保できる。 Furthermore, the management apparatus 1 can store authentication information given to the management computer 4 and can change the setting of the network device via the setting management means 11 only for the management computer 4. Secure security.
また、管理装置1は管理用コンピュータ4を操作する操作者(管理者)に対して与えられた認証情報を記憶して、かかる管理者だけに対してネットワーク機器の設定変更を可能とできて、堅牢なセキュリティを確保できる。このように管理者に与えられた認証情報であれば、管理者は、特定の管理用コンピュータ4のみならず、他の外部コンピュータからでもネットワーク機器Rの設定変更をし得る。 Further, the management device 1 can store authentication information given to an operator (administrator) who operates the management computer 4 and can change the setting of the network device only for the administrator. Robust security can be secured. If the authentication information is given to the administrator as described above, the administrator can change the setting of the network device R not only from the specific management computer 4 but also from another external computer.
以上、本発明による代表的実施例を説明したが、本発明は必ずしもこれに限定されるものではなく、当業者であれば、添付した請求項の範囲を逸脱することなく種々の代替実施例及び改変例を見出すことができる。例えば、ネットワーク機器Rxだけでなく、サーバ2の設定変更を設定管理装置1によって同様に行うこともできる。 Although exemplary embodiments according to the present invention have been described above, the present invention is not necessarily limited thereto, and those skilled in the art will recognize various alternative embodiments and various embodiments without departing from the scope of the appended claims. Modification examples can be found. For example, not only the network device Rx but also the setting change of the server 2 can be similarly performed by the setting management device 1.
1 管理装置
2 サーバ
3 ネットワーク
4 管理用コンピュータ
11 設定管理手段
12 認証情報管理手段
13 パスワード管理手段
14 変更履歴管理手段
15 記憶装置
20 管理画面
21 プロフィール
22 操作ログ情報欄
23 更新ログ情報欄
R ネットワーク機器
DESCRIPTION OF SYMBOLS 1 Management apparatus 2 Server 3 Network 4 Management computer 11 Setting management means 12 Authentication information management means 13 Password management means 14 Change history management means 15 Storage device 20 Management screen 21 Profile 22 Operation log information column 23 Update log information column R Network device
Claims (12)
前記ネットワーク機器毎の設定を変更可能とする設定管理パスワードを定期的に更新しつつこれを記憶するパスワード管理手段と、
前記設定管理手段に管理用コンピュータを接続するための認証情報を記憶する認証情報管理手段と、を含み、
前記認証情報管理手段は前記認証情報を送信した前記管理用コンピュータだけに対して前記設定管理手段との接続を維持し、前記設定管理手段は、前記パスワード管理手段を介して前記管理用コンピュータによって前記ネットワーク機器の設定を変更可能とさせることを特徴とするネットワーク機器管理装置。 A network device management apparatus including a setting management means for managing settings of a plurality of network devices,
Password management means for periodically updating a setting management password that enables the setting for each network device to be changed, and storing the password;
Authentication information management means for storing authentication information for connecting a management computer to the setting management means,
The authentication information management means maintains a connection with the setting management means only for the management computer that has transmitted the authentication information, and the setting management means is configured by the management computer via the password management means. A network device management apparatus characterized in that setting of a network device can be changed.
前記ネットワーク機器の設定を管理する設定管理手段に管理用コンピュータを接続するための認証情報を記憶する認証情報管理ステップと、
定期的に自動更新されて記憶された前記ネットワーク機器毎の設定管理パスワードを使用して、前記認証情報を送信した前記管理用コンピュータによって、前記ネットワーク機器の設定を変更可能とさせるステップと、を含むことを特徴とするネットワーク機器管理方法。 A network device management method for managing settings of a plurality of network devices,
An authentication information management step for storing authentication information for connecting a management computer to a setting management means for managing settings of the network device;
Using the setting management password for each network device that is automatically updated and stored periodically to allow the management computer that has transmitted the authentication information to change the setting of the network device. A network device management method.
前記ネットワーク機器毎の設定を変更可能とする設定管理パスワードを定期的に更新しつつこれを記憶するパスワード管理処理と、
前記ネットワーク機器への接続を許容するための認証情報を記憶する認証情報管理処理と、
前記設定管理パスワードを使用して、前記認証情報を送信した管理用コンピュータに前記ネットワーク機器の設定を変更可能とさせる設定管理処理と、を実行するルーチンを含むことを特徴とするネットワーク機器管理プログラム。 A network device management program for managing settings of a plurality of network devices,
A password management process that periodically updates a setting management password that enables the setting of each network device to be changed, and stores this;
Authentication information management processing for storing authentication information for allowing connection to the network device;
A network device management program, comprising: a routine that executes a setting management process that allows a management computer that has transmitted the authentication information to change the setting of the network device using the setting management password.
The network device management program according to claim 10 or 11, wherein the network device includes a server.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2008210758A JP2010049331A (en) | 2008-08-19 | 2008-08-19 | Management device, method, and program for network equipment |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2008210758A JP2010049331A (en) | 2008-08-19 | 2008-08-19 | Management device, method, and program for network equipment |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2010049331A true JP2010049331A (en) | 2010-03-04 |
Family
ID=42066383
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2008210758A Pending JP2010049331A (en) | 2008-08-19 | 2008-08-19 | Management device, method, and program for network equipment |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2010049331A (en) |
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2014095959A (en) * | 2012-11-08 | 2014-05-22 | Nec Corp | System setting information update device, system setting information update system, system setting information update method, and system setting information update program |
KR101449381B1 (en) | 2014-04-30 | 2014-10-10 | 영남대학교 산학협력단 | Device for password management |
JP2016201032A (en) * | 2015-04-13 | 2016-12-01 | 日本電信電話株式会社 | Terminal management system, terminal management apparatus, and terminal management method |
JP2020057429A (en) * | 2019-12-25 | 2020-04-09 | 株式会社野村総合研究所 | Access management method, access management device, and computer program |
WO2024024021A1 (en) * | 2022-07-28 | 2024-02-01 | 楽天モバイル株式会社 | Credential information management in network |
JP7470572B2 (en) | 2020-06-03 | 2024-04-18 | シャープ株式会社 | Information processing device |
WO2024142150A1 (en) * | 2022-12-26 | 2024-07-04 | 日本電信電話株式会社 | Communication system, setting method, and program |
WO2024142153A1 (en) * | 2022-12-26 | 2024-07-04 | 日本電信電話株式会社 | Communication system, setting monitoring method, and program |
-
2008
- 2008-08-19 JP JP2008210758A patent/JP2010049331A/en active Pending
Cited By (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2014095959A (en) * | 2012-11-08 | 2014-05-22 | Nec Corp | System setting information update device, system setting information update system, system setting information update method, and system setting information update program |
KR101449381B1 (en) | 2014-04-30 | 2014-10-10 | 영남대학교 산학협력단 | Device for password management |
WO2015167152A1 (en) * | 2014-04-30 | 2015-11-05 | 영남대학교 산학협력단 | Device for managing password |
CN106489151A (en) * | 2014-04-30 | 2017-03-08 | 岭南大学校产学协力团 | password management device |
JP2017521800A (en) * | 2014-04-30 | 2017-08-03 | インダストリー アカデミック コーオペレーション ファウンデーション オブ ヨンナム ユニバーシティIndustry Academic Cooperation Foundation Of Yeungnam University | Password management device |
JP2016201032A (en) * | 2015-04-13 | 2016-12-01 | 日本電信電話株式会社 | Terminal management system, terminal management apparatus, and terminal management method |
JP2020057429A (en) * | 2019-12-25 | 2020-04-09 | 株式会社野村総合研究所 | Access management method, access management device, and computer program |
JP7001665B2 (en) | 2019-12-25 | 2022-01-19 | 株式会社野村総合研究所 | Access control methods, access control devices and computer programs |
JP7470572B2 (en) | 2020-06-03 | 2024-04-18 | シャープ株式会社 | Information processing device |
WO2024024021A1 (en) * | 2022-07-28 | 2024-02-01 | 楽天モバイル株式会社 | Credential information management in network |
WO2024142150A1 (en) * | 2022-12-26 | 2024-07-04 | 日本電信電話株式会社 | Communication system, setting method, and program |
WO2024142153A1 (en) * | 2022-12-26 | 2024-07-04 | 日本電信電話株式会社 | Communication system, setting monitoring method, and program |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP2010049331A (en) | Management device, method, and program for network equipment | |
JP5236352B2 (en) | Application distribution control system, application distribution control method, information processing apparatus, and client terminal | |
JP6098636B2 (en) | Information processing apparatus, information processing system, information processing method, and program | |
EP4093075A1 (en) | System and methods to store, retrieve, manage, augment and monitor applications on appliances | |
CN111246539A (en) | Networking binding method of intelligent household appliance, intelligent household appliance and user terminal | |
CN103886242B (en) | Control system, information processor, terminal installation and control method | |
US8504819B2 (en) | Wireless LAN relay device, wireless communication system, and method for controlling wireless LAN relay device | |
EP2790350A1 (en) | Certificate distribution device and method for same, and computer program | |
CN112016068A (en) | Account control method, device, equipment and computer readable storage medium | |
US8001238B2 (en) | Method for real-time monitoring a remote control process by a third party and system thereof | |
JP4541028B2 (en) | Remote operation control program using Web server | |
US7962608B2 (en) | Monitoring systems and methods that incorporate instant messaging | |
EP3211522B1 (en) | Computer program for server | |
CN103763370B (en) | A kind of method, system and device for changing mobile terminal workspace screen-lock password | |
JP5474765B2 (en) | Robot control system | |
CN110602133A (en) | Intelligent contract processing method, block chain management device and storage medium | |
JP2017059873A (en) | Remote control device and control system | |
JP2006148182A (en) | Communication apparatus or communication system capable of being simply operated | |
JP6184316B2 (en) | Login relay server device, login relay method, and program | |
JPWO2018011874A1 (en) | Wireless relay device | |
JP2016029765A (en) | Communication system and router | |
JP5328828B2 (en) | Password management device, password management method, and password management system | |
JP2003296279A (en) | Authentication method, and client device, server device, and program thereof | |
JP2000194583A (en) | Monitor and control system and recording medium where program thereof is recorded | |
JP5004970B2 (en) | Method, information processing apparatus, and program for logging in to computer |