JP2012123711A - アカウント管理システム - Google Patents

アカウント管理システム Download PDF

Info

Publication number
JP2012123711A
JP2012123711A JP2010275565A JP2010275565A JP2012123711A JP 2012123711 A JP2012123711 A JP 2012123711A JP 2010275565 A JP2010275565 A JP 2010275565A JP 2010275565 A JP2010275565 A JP 2010275565A JP 2012123711 A JP2012123711 A JP 2012123711A
Authority
JP
Japan
Prior art keywords
account
authentication
user
application
account management
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2010275565A
Other languages
English (en)
Inventor
Kaoru Eto
馨 江藤
Ryohei Nakawada
良平 中和田
Akira Omori
晃 大森
Hiroshi Nishinomiya
浩志 西野宮
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
HC Networks Ltd
Original Assignee
Hitachi Cable Networks Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Cable Networks Ltd filed Critical Hitachi Cable Networks Ltd
Priority to JP2010275565A priority Critical patent/JP2012123711A/ja
Publication of JP2012123711A publication Critical patent/JP2012123711A/ja
Pending legal-status Critical Current

Links

Images

Abstract

【課題】アカウント情報を管理するネットワークを介して不正なユーザアカウントの登録を防止するとともに、正規のユーザがこのネットワークを介して新規のユーザアカウントを申請することができる。
【解決手段】アカウント管理装置1による申請アカウントの認証が成功した場合、作業端末4は、これにのみアクセス可能な限定VLANに設定される。新規ユーザ12aは、アカウント管理装置1へアクセスして新規のユーザアカウントを申請すると、これを管理者14が審査する。管理者14は、申請を承認すると、新規のユーザアカウントとして、アカウントデータ28が作成される。また、アカウント管理装置1によるユーザアカウントの認証が成功した場合、作業端末4は、共用サーバ8と同じ全体VLANに設定される。
【選択図】図1

Description

本発明は、アカウント管理システムに関する。
従来、ネットワーク内に配置された作業端末を利用するユーザのアカウント情報を管理する手法として、ユーザごとに割り当てた作業者IDに認証情報や作業IDを関連付けて管理する先行技術が知られている(例えば、特許文献1参照。)。
この先行技術では、ネットワーク内に作業端末、申請端末、アカウント制御情報格納装置、承認端末、及びメンテナンス対象装置が配置されており、アカウント制御情報格納装置には、予め作業者IDが登録されている。ユーザがメンテナンス対象装置に対して作業を実施する場合、ユーザは、予め申請端末からアカウント制御情報格納装置に対して作業情報を申請する。申請された作業情報は、承認端末を用いて管理者に審査される。審査の結果、管理者に承認された場合、作業情報は、申請したユーザの作業者IDに対応付けられてアカウント制御情報格納装置に登録される。そして登録後、ユーザが自己の作業者IDを用いてメンテナンス対象装置にアクセスすると、アカウント制御情報格納装置に登録された作業情報に関する作業を行うことができる。
上記の先行技術によれば、メンテナンス対象装置へアクセスする作業者及び作業情報を効率的に管理することができるものと考えられる。
特開2009−258820号公報
しかしながら、上記の先行技術には、メンテナンス対象装置をはじめ、作業端末や申請端末、アカウント制御情報格納装置、承認端末等に対して充分なセキュリティが図られていないという問題がある。すなわち先行技術では、各種の端末及び装置が全て同一のネットワーク内に配置されており、これらの端末は常にアクセスできる状態にある。このため、管理者やユーザになりすました第三者の不正なアクセスやアカウント情報の改ざん等、セキュリティに関する脅威を排除することができない。
また、新規の作業者IDをアカウント制御情報格納装置へ登録する場合、上記の管理者による審査や承認のステップが行われない。このため極端な場合は、ユーザになりすました第三者が申請端末を操作して不正な作業者IDをアカウント制御情報格納装置へ登録することができてしまう。
そこで本発明は、アカウント情報を管理するネットワークを介して不正なユーザアカウントの登録を防止するとともに、正規のユーザがこのネットワークを介して新規のユーザアカウントを申請することができる技術の提供を課題とする。
上記の課題を解決するために本発明のアカウント管理システムは、予め複数のVLAN(Virtual Local Area Network)が設定されたネットワーク内で複数のユーザによる作業の対象として共用される共用サーバと、ネットワークに接続され、所定のアカウントの認証を行う機能を有したアカウント管理装置と、ネットワーク上で少なくともアカウント管理装置が属する特定のVLAN内でアカウント管理装置にアカウントの認証を要求し、受信した認証の結果を転送する認証スイッチと、認証スイッチを介してネットワークに接続され、認証スイッチから転送された認証の結果を受信する作業端末とを備え、アカウント管理装置は、アカウントと特定のVLANに対応するVLAN識別情報とが相互に対応付けられたアカウントデータを記憶する記憶部と、認証スイッチによる認証の要求に対してアカウントの認証に成功した場合、認証結果とともにVLAN識別情報を応答する認証応答部とを有し、認証スイッチは、認証応答部から受信したVLAN識別情報に基づいて、作業端末を特定のVLANに接続するVLAN設定部を有する。
本発明のアカウント管理システムによれば、作業端末を利用するユーザは、アカウント管理装置によるアカウントの認証に成功しなければ共用サーバへアクセスすることができない。このため、アカウント管理システムのネットワーク内におけるセキュリティを強化することができる。
本実施形態のアカウント管理システムの構成例を概略的に示す図である。 アカウント管理装置の機能的な構成を概略的に示すブロック図である。 認証スイッチの機能的な構成を概略的に示すブロック図である。 申請アカウントに基づく認証処理を示す図である。 新規ユーザアカウントの申請処理を示す図である。 新規ユーザアカウントの登録処理を示す図である。 新規ユーザアカウントの認証処理を示す図である。 新規ユーザアカウントの申請処理及び登録処理を示すフローチャートである。
以下、本発明の実施形態について図面を参照しながら説明する。図1は、本実施形態のアカウント管理システムの構成例を概略的に示す図である。なお、本実施形態のアカウント管理システムは、アカウント管理装置1、認証スイッチ2、作業端末4、管理端末6、及び共用サーバ8により実現される。
アカウント管理装置1、認証スイッチ2、作業端末4、管理端末6、及び共用サーバ8は、例えば、LAN(Local Area Netowork)に代表されるネットワーク10に接続されている。また、ネットワーク10には、図示しない複数のVLAN(Vertual LAN:仮想ネットワーク)が規定されており、ネットワーク10内で共通のVLANに接続された機器同士が相互に通信を行うことができる。
〔アカウント管理装置〕
アカウント管理装置1は、所定のネットワーク認証方式によりユーザアカウント、申請アカウント、及び管理者アカウントを認証するためのサーバである。アカウント管理装置1は、上記のネットワーク認証方式として、例えば、WEBブラウザを介して上記のアカウントを認証する認証方式(WEB認証)や、IEEE(Institute of Electrical and Electronic Engineers)802.1X規格に基づく認証方式、RADIUS(Remote Authentication Dial In User Service)プロトコルに基づく認証方式等を用いて、作業端末4及び管理端末6から送信されたユーザアカウント、申請アカウント、及び管理者アカウントを認証する。
ここで、ユーザアカウントは、作業端末4を操作するユーザ12を識別するために用いられる認証情報である。また、申請アカウントは、ユーザアカウントが付与されていない新規ユーザ12aが新規のユーザアカウントを申請する際に用いられる認証情報である。管理者アカウントは、管理者特権としてアカウント管理装置1へアクセスするために用いられる認証情報である。なお、アカウント管理装置1の機能的な構成については、図2を用いてさらに詳しく後述する。
〔認証スイッチ〕
認証スイッチ2は、例えばOSI(Open Systems Interconnection)参照モデルのレイヤ2及びレイヤ3等のデータ転送機能を備えたスイッチングハブである。また認証スイッチ2は、申請アカウント及びユーザアカウントを認証する機能を備えている。
認証スイッチ2は、申請アカウント及びユーザアカウントを認証する機能として、例えば、WEB認証機能を備えており、作業端末4がネットワーク10に配置されたアカウント管理装置1や共用サーバ8への接続を要求した場合、作業端末4に対してアカウントを要求する。また認証スイッチ2は、作業端末4が応答したアカウントに基づいてアカウント管理装置1により実行された認証の結果を作業端末4に通知する。このとき、認証スイッチ2は、認証結果に応じて作業端末4を上記のVLANに接続したり、ネットワーク10への接続を遮断したりする。なお、認証スイッチ2の機能的な構成については、図3を参照してさらに詳しく後述する。
〔作業端末、管理端末〕
作業端末4及び管理端末6は、例えばPC(Personal Computer)やワークステーション等、所定のユーザが操作を行いデータを送受信する装置である。本実施形態では、ユーザ12又は新規ユーザ12aにより操作される端末を作業端末4として規定し、管理者14により操作される端末を管理端末6として規定することとする。作業端末4及び管理端末6は、それぞれアカウント管理装置1によるユーザアカウント、申請アカウント、及び管理者アカウントの認証が成功した場合に、アカウント管理装置1や共用サーバ8へアクセス可能なVLAN(限定VLAN)へ接続される。
〔共用サーバ〕
共用サーバ8は、ユーザ12による作業の対象として、予め複数のVLANが設定されたネットワーク10内で複数のユーザ12による作業の対象として共用される一般的なサーバ機器である。ユーザ12は、作業端末4からネットワーク10を介して共用サーバ8へアクセスして所定の作業を行うことができるが、予めアカウント管理装置1によるユーザアカウントを用いた認証が成功しなければ共用サーバ8へアクセスすることができない。
また本実施形態において、ユーザアカウントが与えられていない新規ユーザ12aが作業端末4を介して共用サーバ8へアクセスするためには、予め新規ユーザ12aが新たにユーザアカウントをアカウント管理装置1へ申請し、これがアカウント管理装置1に登録される必要がある。さらに、アカウント管理装置1に登録された新規のユーザアカウントが管理者14により承認されなければ、新規ユーザ12aは共用サーバ8へアクセスすることができない。なお、新規のユーザアカウントをアカウント管理装置1に申請する手法、及び新規ユーザ12aがアカウント管理装置1や共用サーバ8へアクセスする手法については、図4〜8を用いてさらに詳しく後述する。
図2は、アカウント管理装置1の機能的な構成を概略的に示すブロック図である。なお、図2中に示す実線の矢印は、データの転送方向を表している。
アカウント管理装置1は、記憶部16、認証応答部18、申請受付部20、アカウント管理部22、入出力部24により構成されている。また、認証応答部18、申請受付部20、及びアカウント管理部22は、それぞれソフトウェアにより実現されることが好ましい。
〔記憶部〕
記憶部16は、新規ユーザ12aにより申請された新規のユーザアカウントに関するユーザ情報を申請データ26として記憶する。また申請データ26の他に、記憶部16は、ユーザアカウント、申請アカウント、及び管理者アカウントにそれぞれ対応するVLAN ID(VLAN識別情報)をアカウントデータ28として記憶している。なお、記憶部16は、メモリや補助記憶装置等の記憶媒体により構成されていることが好ましい。
ユーザアカウント、申請アカウント、及び管理者アカウントに対応するVLAN IDは、それぞれのアカウントに応じて作業端末4及び管理端末6からアクセスすることができるVLANの範囲を示している。本実施形態において、申請アカウントに対応するVLAN ID(限定VLAN識別情報)は、作業端末4がネットワーク10上でアカウント管理装置1のみにアクセスが可能なVLAN(限定VLAN)に対応する識別情報である。また、ユーザアカウントに対応するVLAN ID(全体VLAN識別情報)は、作業端末4がアカウント管理装置1以外のネットワーク10に接続された装置(例えば、共用サーバ8)へアクセス可能なVLAN(全体VLAN)を示す。なお、管理者アカウントに対応するVLAN IDは、上記の全体VLAN、もしくは、限定VLANのいずれに対応するものであってもよい。
また、アカウントデータ28として記憶部16に記憶された申請アカウント、ユーザアカウント、及び管理者アカウントには、例えばユーザIDとこれに対応するパスワードや、生体認証、電子証明書等、所定の認証方式によりユーザ12や新規ユーザ12a、管理者14を特定するための認証情報が含まれている。
〔認証応答部〕
認証応答部18では、記憶部16に記憶されたアカウントデータ28に基づいて、ユーザ12、新規ユーザ12a、及び管理者14により入力されたユーザアカウント、申請アカウント、及び管理者アカウントの認証を行う。また認証応答部18は、認証スイッチ2や、作業端末4、管理端末6等の外部装置から受けた認証結果の要求に対して、認証結果を応答する。本実施形態において、認証応答部18は、認証が成功した場合、認証結果とともにVLAN IDを認証スイッチ2へ向けて通知する。一方、認証に失敗した場合、認証応答部18は、認証結果のみを認証スイッチ2へ通知する。
〔申請受付部〕
申請受付部20は、新規ユーザ12aにより入力された新規のユーザアカウントに関するユーザ情報を申請データ26として登録したり、記憶部16に登録された申請データ26の編集や削除をしたりする機能、入力されたユーザ情報が所定の様式に従って行われているか否かを判断する機能、及び、ユーザ情報を申請データ26として登録した場合、これを外部へ通知する機能を備えている。申請データ26の登録、編集、及び削除は、認証応答部18にて申請アカウントに基づく認証が成功した場合に、新規ユーザ12aが作業端末4を操作することで実行可能となる。
〔アカウント管理部〕
アカウント管理部22は、アカウントデータ28を作成したり、アカウントデータ28の編集や削除をしたりする機能、管理者14により行われた申請データ26の承認もしくは却下の決定を記憶部16に反映する機能、及び審査結果を通知する機能を備えている。これらの機能は、認証応答部18にて管理者アカウントに基づく認証が成功した場合に、管理者14が管理端末6を操作することで実行可能となる。
入出力部24は、図示しない複数のポートを備えており、各ポートには、図1中に示す認証スイッチ2、管理端末6、及び共用サーバ8が接続されている。入出力部24は、例えば、認証スイッチ2や管理端末6から転送されたデータを認証応答部18や、申請受付部20、アカウント管理部22に転送する。また、認証応答部18や、申請受付部20、アカウント管理部22から転送されたデータを認証スイッチ2や管理端末6へ送信する。
図3は、認証スイッチ2の機能的な構成を概略的に示すブロック図である。なお、実線で示す矢印は、データの転送方向を表している。
認証スイッチ2は、一般的なフレームやパケットを転送する機能のほかに、WEB認証部30、アカウント認証部32、VLAN設定部としてのVLAN切替部34、接続遮断部36、及び入出力部38を備えている。
WEB認証部30は、WEBブラウザを介してユーザアカウントや申請アカウントの認証を行う一般的なWEB認証の機能を備えている。WEB認証部30では、作業端末4からネットワーク10への接続を要求された場合、作業端末4に対して上記のアカウントを要求する。また、作業端末4に入力されたユーザアカウントや申請アカウントをアカウント管理装置1の認証応答部18へ転送する。
例えば、WEB認証部30は、作業端末4の図示しないディスプレイに表示されたWEBブラウザに対して、ユーザアカウントや申請アカウントを入力させるための認証用ページを送信する。このとき、ユーザ12や新規ユーザ12aは、作業端末4のディスプレイに表示された認証用ページにユーザアカウントや申請アカウントを入力する。作業端末4の認証用ページに入力されたユーザアカウントや申請アカウントは、認証スイッチ2のアカウント認証部32へ送信される。
アカウント認証部32は、上記の認証用ページに入力されたユーザアカウントや申請アカウントをアカウント管理装置1の認証応答部18へ転送する。また、アカウント認証部32は、認証応答部18により行われた認証の結果を受信し、その認証の結果を作業端末4へ転送する。
〔VLAN設定部〕
VLAN切替部34は、認証応答部18によるユーザアカウントや申請アカウントの認証が成功した場合、これを示す認証結果を受信した時に認証応答部18から送信されたVLAN IDを作業端末4が接続されたポートに設定する。一方、接続遮断部36は、認証応答部18によるユーザアカウントや申請アカウントの認証が失敗した場合、これを示す認証結果を受信した時に作業端末4が接続されたポートを遮断(シャットダウン)する。
入出力部38は、図示しない複数のポートを備えており、各ポートには、図1中に示すアカウント管理装置1、作業端末4、管理端末6、及び共用サーバ8が接続されている。入出力部38は、例えば、WEB認証部30から送信された認証用ページを作業端末4へ送信したり、作業端末4から送信されたユーザアカウントや申請アカウントをWEB認証部30へ転送したりする。また、入出力部38は、作業端末4から送信された認証要求をアカウント認証部32へ転送したり、アカウント認証部32から転送された認証結果を作業端末4へ転送したりする。入出力部38はまた、VLAN切替部34により図示しないポートにVLANが設定されたり、接続遮断部36によりポートが遮断(シャットダウン)されたりする。
〔申請アカウントに基づく認証〕
図4は、申請アカウントに基づく認証処理を示す図である。申請アカウントは、ユーザアカウントが付与されていないユーザに対して予め管理者により付与される。なお、図4中の実線で示す矢印は、申請アカウントや認証結果の転送方向を表している。また、図4中に破線で囲まれた線は、新規ユーザ12aが申請アカウントを用いてアクセス可能な限定VLAN40を表している。
認証スイッチ2は、作業端末4に対してアカウントを要求する。作業端末4は、新規ユーザ12aが入力した申請アカウントを認証スイッチ2へ送信する。認証スイッチ2は、受信した申請アカウントをアカウント管理装置1へ転送する。
アカウント管理装置1の認証応答部18は、認証スイッチ2から受信した申請アカウントの認証を行う。具体的には、新規ユーザ12aにより作業端末4に入力された申請アカウントと、アカウントデータ28として記憶部16に記憶された申請アカウントとを照合する。認証応答部18は、照合した結果、上記の申請アカウントが一致する場合に認証成功と判断し、一致しない場合に認証失敗と判断する。認証応答部18は、認証結果を認証スイッチ2に対して送信する。このとき、認証応答部18は、認証成功と判断した場合、申請アカウントに対応付けられた限定VLAN40を示すVLAN IDを認証結果と合わせて認証スイッチ2に対して送信する。一方、認証失敗と判断した場合、認証応答部18は、認証結果のみを認証スイッチ2に対して送信する。
認証スイッチ2は、アカウント管理装置1から受信した認証結果を作業端末4へ転送する。また、受信した認証結果が認証成功を示す場合、認証スイッチ2は、受信した限定VLAN40を示すVLAN IDを作業端末4が接続されたポートに設定する。このとき、作業端末4は、限定VLAN40内において、認証スイッチ2を介してアカウント管理装置1に対してのみアクセスが可能な状態となる。
一方、受信した認証結果が認証失敗を示す場合、認証スイッチ2は、作業端末4が接続されたポートを遮断(シャットダウン)する。このとき、作業端末4は、ネットワーク10から切り離され、アカウント管理装置1や共用サーバ8に対してアクセス不可能な状態となる。
〔新規ユーザアカウントの申請〕
図5は、新規ユーザアカウントの申請処理を示す図である。図4中のアカウント管理装置1によって申請アカウントの認証が成功すると、新規ユーザ12aは、アカウント管理装置1に新規のユーザアカウントを申請することができる。
新規ユーザ12aは、アカウント管理装置1の申請受付部20へアクセスするために申請アカウントを作業端末4に入力する。入力された申請アカウントは、認証スイッチ2を介してアカウント管理装置1へ転送されて認証される。アカウント管理装置1による申請アカウントの認証が成功すると、新規ユーザ12aは、アカウント管理装置1の申請受付部20にログインすることができる。
申請受付部20にログインすると新規ユーザ12aは、ユーザアカウントの申請に関するユーザ情報を入力する。アカウント管理装置1の申請受付部20は、入力されたユーザ情報が所定の様式に従っている場合、これを申請データ26として記憶部16に登録する。一方、所定の様式に従っていない場合、アカウント管理装置1の申請受付部20は、登録を拒否する旨を作業端末4へ通知する。
また新規ユーザ12aは、作業端末4を操作して登録された申請データ26の内容を編集したり、不要な情報を削除したりすることができる。このときアカウント管理装置1の申請受付部20は、新規ユーザ12aにより行われた編集や削除を申請データ26に反映する。
申請受付部20は、新規ユーザ12aによる申請データ26の登録が完了した場合、登録が完了した旨を管理者14に対して通知する。
〔新規ユーザアカウントの登録〕
図6は、新規ユーザアカウントの登録処理を示す図である。管理者14は、図5中に示すアカウント管理装置1の申請受付部20から登録完了の通知を受信すると、申請データ26の内容を審査する。
管理者14は、管理端末6に管理者アカウントを入力してアカウント管理装置1へアクセスする。アカウント管理装置1による管理者アカウントの認証が成功すると、管理者14は、アカウント管理装置1のアカウント管理部22へログインすることができる。管理者14は、アカウント管理部22へログインすると申請データ26の審査を行う。
例えば、管理者14は、管理端末6の図示しないディスプレイに表示された申請データ26を参照して、申請データ26の内容に不備があるか否かを審査したり、不正なユーザ情報であるか否かを審査したりする。管理者14は、申請データ26を新たなユーザアカウントとして承認する場合、申請データ26を新たなユーザアカウントとしてアカウントデータ28の作成を行う。このとき、ユーザアカウントに対応付けて全体VLANを示すVLAN IDも作成する。また、アカウント管理部22は申請データ26を削除する。
管理者14による審査が終了すると、アカウント管理部22は、新規ユーザ12aに対して審査結果を通知する。なお、アカウント管理部22が新規ユーザ12aに審査結果を通知する手法としては、認証スイッチ2や、作業端末4、共用サーバ8等が接続されていない他のネットワークを介して電子メールやFAX(ファクシミリ)等により通知することが好ましい。
〔新規のユーザアカウントの認証〕
図7は、新規のユーザアカウントの認証処理を示す図である。図6中に示すアカウント管理装置1から申請データ26がユーザアカウントとして承認された旨の審査結果を受領すると、新規ユーザ12aは、承認されたユーザアカウントを用いて共用サーバ8へアクセスすることができる。なお、図7中に示す破線は、全体VLAN42を表している。
〔認証前〕
アカウント管理装置1によるユーザアカウントの認証が行われる前の作業端末4は、少なくともネットワーク10に接続されているのみでVLANが設定されていない状態か、もしくは、限定VLAN40に設定されている状態である。例えば、管理者14による申請データ26の審査が行われている間、新規ユーザ12aが作業端末4の電源を落としたり、アカウント管理装置1からログアウトした場合、作業端末4が接続されていた限定VLAN40は解除された状態である。一方、アカウント管理装置1へのログイン状態が維持されている場合、作業端末4は限定VLAN40に接続された状態である。
〔認証時〕
新規ユーザ12aは、共用サーバ8へアクセスするために、管理者14により承認されたユーザアカウントを作業端末4に入力する。入力されたユーザアカウントは、認証スイッチ2を介してアカウント管理装置1へ転送され、アカウント管理装置1により認証される。アカウント管理装置1は、認証スイッチ2へ認証結果やVLAN IDを送信する。認証スイッチ2は、受信した認証結果を作業端末4へ転送する。また、VLAN IDを受信した場合、認証スイッチ2は、これを作業端末4が接続されたポートに設定する。
具体的には、新規ユーザ12aは、認証スイッチ2のWEB認証部30から送信され、作業端末4のディスプレイに表示された認証用ページにユーザアカウントを入力する。入力されたユーザアカウントは、認証スイッチ2を介してアカウント管理装置1へ転送され、アカウント管理装置1の認証応答部18によりユーザアカウントの認証が行われる。
認証応答部18は、入力されたユーザアカウント及び、アカウントデータ28として登録されたユーザアカウントを照合する。これらのユーザアカウントが相互に一致する場合、認証応答部18は、認証が成功したものと判断する。一方、ユーザアカウントが相互に一致しない場合、認証が失敗したものと判断する。
認証に成功した場合、認証応答部18は、認証結果とともに全体VLAN42を示すVLAN IDを認証スイッチ2へ通知する。一方、認証に失敗した場合、認証応答部18は、認証結果のみを認証スイッチ2へ通知する。
〔認証後〕
認証スイッチ2は、アカウント管理装置1から受信した認証結果を作業端末4へ転送する。また、ユーザアカウントの認証の成功により全体VLAN42を示すVLAN IDを受信した場合、認証スイッチ2は、作業端末4が接続されたポートにこれを設定する。これにより、作業端末4は、アカウント管理装置1以外のネットワーク10に接続された装置(例えば、共用サーバ8)へアクセス可能な全体VLAN42に接続される。
一方、認証に失敗した旨を示す認証結果を受信した場合、認証スイッチ2は、作業端末4が接続されているポートを遮断する。これにより、作業端末4はネットワーク10から切り離される。
新規ユーザ12aは、作業端末4が全体VLAN42に接続されると、全体VLAN42内の共用サーバ8へアクセスすることができる。
図8は、新規ユーザアカウントの申請処理及び登録処理を示すフローチャートである。以下、手順を追って説明する。
〔申請アカウントの認証〕
ステップS10:作業端末4は、新規ユーザ12aにより入力された申請アカウントを認証スイッチ2へ送信する。また、認証スイッチ2は、受信した申請アカウントをアカウント管理装置1へ転送する(ステップS12)。
ステップS14:アカウント管理装置1の認証応答部18は、受信した申請アカウントの認証を行う。認証応答部18は、申請アカウントの認証結果を認証スイッチ2へ送信する(ステップS16)。なお、認証応答部18は、認証に成功した場合、認証結果とともに申請アカウントに対応付けて記憶部16に登録された限定VLAN40を示すVLAN IDを送信する。
ステップS18:認証スイッチ2は、アカウント管理装置1から受信した認証結果を作業端末4へ転送する。また認証スイッチ2は、アカウント管理装置1による認証が成功した場合、受信した限定VLAN40を示すVLAN IDを作業端末4が接続されたポートに設定する。このとき、作業端末4は、アカウント管理装置1のみにアクセス可能な限定VLAN40に接続される。一方、上記の認証が失敗した場合、認証スイッチ2は、作業端末4が接続されたポートを遮断する。これより、作業端末4はネットワーク10から切り離される。
〔新規ユーザアカウントの申請〕
ステップS20:申請アカウントの認証が成功した場合、新規ユーザ12aは、再度作業端末4に申請アカウントを入力してアカウント管理装置1の申請受付部20へログインする。新規ユーザ12aは、申請受付部20へログインすると、ユーザアカウントの申請に関するユーザ情報を入力する。
ステップS22:アカウント管理装置1の申請受付部20は、新規ユーザ12aにより入力された情報が、所定の様式に従って入力されているか否かを判断する。申請受付部20は、ユーザ情報が所定の様式に従って入力されていると判断した場合、これを申請データ26として登録することを許可し、記憶部16に登録する。一方、所定の様式に従って入力されていない場合、申請受付部20は、申請データ26として登録することを拒否する。
ステップS24:アカウント管理装置1の申請受付部20は、上記の判断結果を作業端末4へ通知する。
〔申請データの審査〕
ステップS26:アカウント管理装置1の申請受付部20は、新規ユーザ12aにより入力されたユーザ情報を申請データ26として記憶部16に登録した場合、登録した旨を管理者14へ通知する。
ステップS28:管理者14は、アカウント管理装置1の申請受付部20から通知された判断結果を受信すると、管理端末6に管理者アカウントを入力してアカウント管理装置1のアカウント管理部22へログインする。
ステップS30:アカウント管理装置1のアカウント管理部22へログインすると、管理者14は、管理端末6を介して申請データ26の内容を参照することができる。
ステップS32:管理者14は、申請データ26の内容を審査する。
ステップS34:管理者14は、申請データ26の内容に不備が無ければこれを承認する。アカウント管理装置1のアカウント管理部22は、承認された申請データ26をアカウントデータ28として記憶部16に作成する。一方、管理者14は申請データ26の内容に不備があればこれを却下する。
ステップS36:アカウント管理装置1のアカウント管理部22は、管理者14による審査の結果を電子メールやFAX等、他のネットワークを介して新規ユーザ12aへ通知する。
〔申請データが却下された場合〕
ステップS38:管理者14により申請データ26が却下された場合、新規ユーザ12aは、申請したユーザアカウントを用いて共用サーバ8へアクセスすることができない。このとき、新規ユーザ12aは、ステップS20からステップS24の手順に沿って、再度、ユーザアカウントを申請することができる。そして、管理者14によりステップS28〜ステップS34の手順に基づいて申請データ26の審査が行われる。
〔申請データが承認された場合〕
ステップS40:管理者14による審査の結果、申請データ26が新たなユーザアカウントとして承認された場合、新規ユーザ12aは、共用サーバ8へアクセスすることが可能となる。このとき、新規ユーザ12aはまず、承認されたユーザアカウントを作業端末4に入力する。
ステップS42:認証スイッチ2は、入力されたユーザアカウントをアカウント管理装置1へ転送する。
ステップS44:アカウント管理装置1は、新規ユーザ12aにより入力されたユーザアカウントの認証を行う。
ステップS46:アカウント管理装置1は、認証結果を認証スイッチ2へ送信する。ユーザアカウントの認証に成功した場合、アカウント管理装置1は、認証結果とともに全体VLAN42を示すVLAN IDを認証スイッチ2へ送信する。一方、ユーザアカウントの認証に失敗した場合、アカウント管理装置1は、認証結果のみを認証スイッチ2へ送信する。
ステップS48:認証スイッチ2は、アカウント管理装置1から受信した認証結果を作業端末4へ転送する。認証スイッチ2は、アカウント管理装置1によるユーザアカウントの認証が成功したことにより全体VLAN42を示すVLAN IDを受信した場合、これを作業端末4が接続されているポートに設定する。一方、ユーザアカウントの認証に失敗した旨を示す認証結果を受信した場合、認証スイッチ2は、作業端末4が接続されたポートを遮断して作業端末4をネットワーク10から切り離す。
ステップ50:アカウント管理装置1によるユーザアカウントの認証に成功すると、作業端末4は、共用サーバ8と同じ全体VLAN42に接続される。このとき、新規ユーザ12aは、作業端末4を介して共用サーバ8へアクセスすることができる。
このように、本発明のアカウント管理システムによれば、アカウントに応じて作業端末が接続されるVLANの範囲を制限することができる。
また、記憶部16には、申請アカウント及びユーザアカウントに対応してVLAN IDがそれぞれ対応付けて記憶されている。このため、認証スイッチ2は、認証結果とともにアカウントに対応するVLAN IDを受信した場合、このVLANを作業端末4が接続されたポートに自動設定することができる。これにより、作業端末4を介して行われる不正なアクセスに対して、セキュリティの強化を図ることができる。
また、アカウント管理装置1による申請アカウントの認証が成功した場合、認証スイッチ2は、一時的にアカウント管理装置1にのみアクセス可能な限定VLAN40に作業端末4を接続する。さらに、新規ユーザ12aは、申請アカウントの認証が成功した場合に限り、アカウント管理装置にログインすることができる。このとき、新規ユーザ12aがアカウント管理装置1に対して行える作業は、新規のユーザアカウントの申請に関する作業のみであり、すでにアカウントデータ28として登録されたユーザアカウント、申請アカウント、及び管理者アカウントの作成、編集、削除を行うことはできない。このため、申請アカウントを知らない不正なユーザが勝手にユーザアカウントを改ざんしたり、新たにユーザアカウントを登録したりすることを防止している。
また、新規ユーザ12aによる新規のユーザアカウントの申請が行われた場合、管理者14により申請データ26の審査が行われ、承認された申請データ26のみがユーザアカウントとして認められる。また、作業端末4は、アカウント管理装置1によるユーザアカウントの認証が成功して初めて全体VLAN42に接続される。このため、不正なネットワークへのアクセスに対するセキュリティの強化を図ることができる。
また、申請アカウントには、ユーザIDとそのパスワード、生体認証、及び電子証明書が含まれており、様々な認証手法に対応している。このため、アカウント管理装置1が実装している認証手法に応じて、申請アカウントの認証を行うことができる。
また本発明は、上述した第1実施形態に限定されることなく種々の変形が可能である。例えば、管理端末6の代わりにアカウント管理装置1のアカウント管理部22を用いて、これが管理者14により承認された申請データ26を新規のユーザアカウントとしてアカウントデータ28の作成を自動的に行ってもよい。
また、1台のアカウント管理装置1に備えられた申請受付部20、アカウント管理部22、申請データ26、及びアカウントデータ28を複数の装置に分けて配置し、これらの装置が相互に連動してユーザアカウント、申請アカウント、及び管理者アカウントを管理してもよい。あるいは、複数のアカウント管理装置1を用いて、上記のアカウントを管理してもよい。
1 アカウント管理装置
2 認証スイッチ
4 作業端末
6 管理端末
8 共用サーバ
10 LAN
12 ユーザ
12a 新規ユーザ
14 管理者
18 認証応答部
20 申請受付部
22 アカウント管理部
26 申請データ
28 アカウントデータ
40 限定VLAN
42 全体VLAN

Claims (5)

  1. 予め複数のVLAN(Virtual Local Area Network)が設定されたネットワーク内で複数のユーザによる作業の対象として共用される共用サーバと、
    前記ネットワークに接続され、所定のアカウントの認証を行う機能を有したアカウント管理装置と、
    前記ネットワーク上で少なくとも前記アカウント管理装置が属する特定のVLAN内で前記アカウント管理装置に前記アカウントの認証を要求し、受信した認証の結果を転送する認証スイッチと、
    前記認証スイッチを介して前記ネットワークに接続され、前記認証スイッチから転送された認証の結果を受信する作業端末とを備え、
    前記アカウント管理装置は、
    前記アカウントと前記特定のVLANに対応するVLAN識別情報とが相互に対応付けられたアカウントデータを記憶する記憶部と、
    前記認証スイッチによる認証の要求に対して前記アカウントの認証に成功した場合、認証結果とともに前記VLAN識別情報を応答する認証応答部とを有し、
    前記認証スイッチは、
    前記認証応答部から受信した前記VLAN識別情報に基づいて、前記作業端末を前記特定のVLANに接続するVLAN設定部を有する、
    アカウント管理システム。
  2. 請求項1に記載のアカウント管理システムにおいて、
    前記アカウント管理装置の記憶部は、
    前記アカウントとして、新規のユーザアカウントを申請する際に用いられる申請アカウントを予め記憶し、前記アカウントデータとして、前記ネットワーク上で前記アカウント管理装置のみにアクセスが可能な限定VLANに対応する限定VLAN識別情報を前記申請アカウントに対応付けて予め記憶していることを特徴とするアカウント管理システム。
  3. 請求項1又は2に記載のアカウント管理システムにおいて、
    前記アカウント管理装置の記憶部は、
    前記アカウントとして、前記作業端末を操作するユーザを識別するためのユーザアカウントを予め記憶し、前記アカウントデータとして、前記ネットワーク上で前記共用サーバへのアクセスが可能な全体VLANに対応する全体VLAN識別情報を前記ユーザアカウントに対応付けて予め記憶していることを特徴とするアカウント管理システム。
  4. 請求項2又は3に記載のアカウント管理システムにおいて、
    前記ネットワークに接続され、申請された新規のユーザアカウントについて審査を行う管理者により操作される管理端末をさらに備え、
    前記アカウント管理装置は、
    前記認証応答部による前記申請アカウントの認証が成功した場合、前記ユーザに対して新規のユーザアカウントに関するユーザ情報の登録、編集、及び削除を許可する申請受付部をさらに有し、
    前記アカウント管理装置の記憶部は、
    前記ユーザにより登録された前記ユーザ情報を申請データとして新たに記憶し、これを審査した前記管理者が承認した場合、前記申請データに基づく前記アカウントデータとして新たに記憶することを特徴とするアカウント管理システム。
  5. 請求項2から4のいずれかに記載のアカウント管理システムにおいて、
    前記申請アカウントは、
    ユーザIDとそのパスワード、生体認証、及び電子証明書のうち、少なくともいずれか一つを含んでおり、
    前記アカウント管理装置の認証応答部は、
    前記ユーザIDとそのパスワード、前記生体認証、及び前記電子証明書に基づいて前記申請アカウントの認証を行うことを特徴とするアカウント管理システム。
JP2010275565A 2010-12-10 2010-12-10 アカウント管理システム Pending JP2012123711A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2010275565A JP2012123711A (ja) 2010-12-10 2010-12-10 アカウント管理システム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2010275565A JP2012123711A (ja) 2010-12-10 2010-12-10 アカウント管理システム

Publications (1)

Publication Number Publication Date
JP2012123711A true JP2012123711A (ja) 2012-06-28

Family

ID=46505064

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2010275565A Pending JP2012123711A (ja) 2010-12-10 2010-12-10 アカウント管理システム

Country Status (1)

Country Link
JP (1) JP2012123711A (ja)

Similar Documents

Publication Publication Date Title
CN112073400B (zh) 一种访问控制方法、系统、装置及计算设备
JP6656157B2 (ja) ネットワーク接続自動化
CN102195957B (zh) 一种资源共享方法、装置及系统
US20190281046A1 (en) System and method for transferring device identifying information
US20070143408A1 (en) Enterprise to enterprise instant messaging
US20110153854A1 (en) Session migration between network policy servers
US7587588B2 (en) System and method for controlling network access
CN1846421B (zh) 计算机网络安全系统及用于防止计算机网络资源的未授权访问的方法
CN101136746A (zh) 一种认证方法及系统
CN101986598B (zh) 认证方法、服务器及系统
CN109067937A (zh) 终端准入控制方法、装置、设备、系统及存储介质
CN101166173A (zh) 一种单点登录系统、装置及方法
JP2006053923A5 (ja)
TWI759908B (zh) 產生授權允許名單的方法與利用其之資安系統
JP2017152880A (ja) 認証システム、鍵処理連携方法、および、鍵処理連携プログラム
CN114244568A (zh) 基于终端访问行为的安全接入控制方法、装置和设备
CN102571874A (zh) 一种分布式系统中的在线审计方法及装置
CN101094226A (zh) 管理网络安全框架及其信息处理方法
CN101001148A (zh) 一种设备安全管理维护的方法及装置
US11165773B2 (en) Network device and method for accessing a data network from a network component
EP1830512A1 (en) A method and system for realizing the domain authentication and network authority authentication
JP7099198B2 (ja) 管理装置、管理システム及びプログラム
JPH0779243A (ja) ネットワーク接続装置およびネットワーク接続方法
JP2008003879A (ja) グループ参加管理方法及びシステム並びにプログラム
CN115967623B (zh) 设备管理方法、装置、电子设备及存储介质