JP4455965B2 - 権限情報生成方法、通信装置、プログラム及び記録媒体 - Google Patents
権限情報生成方法、通信装置、プログラム及び記録媒体 Download PDFInfo
- Publication number
- JP4455965B2 JP4455965B2 JP2004272473A JP2004272473A JP4455965B2 JP 4455965 B2 JP4455965 B2 JP 4455965B2 JP 2004272473 A JP2004272473 A JP 2004272473A JP 2004272473 A JP2004272473 A JP 2004272473A JP 4455965 B2 JP4455965 B2 JP 4455965B2
- Authority
- JP
- Japan
- Prior art keywords
- information
- authority
- authority information
- user
- snmpv3
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
- 238000000034 method Methods 0.000 title claims description 71
- 238000004891 communication Methods 0.000 title claims description 57
- 238000006243 chemical reaction Methods 0.000 claims description 65
- 238000012545 processing Methods 0.000 claims description 47
- 238000013475 authorization Methods 0.000 claims description 9
- 238000007726 management method Methods 0.000 description 151
- 230000006870 function Effects 0.000 description 89
- 230000008569 process Effects 0.000 description 29
- 230000004044 response Effects 0.000 description 10
- 230000005540 biological transmission Effects 0.000 description 8
- 230000008859 change Effects 0.000 description 8
- 230000004048 modification Effects 0.000 description 8
- 238000012986 modification Methods 0.000 description 8
- 230000001276 controlling effect Effects 0.000 description 7
- 238000010586 diagram Methods 0.000 description 4
- 230000000694 effects Effects 0.000 description 4
- 230000002093 peripheral effect Effects 0.000 description 3
- 238000013478 data encryption standard Methods 0.000 description 2
- 238000003672 processing method Methods 0.000 description 2
- 230000000717 retained effect Effects 0.000 description 2
- 241000282414 Homo sapiens Species 0.000 description 1
- 125000002066 L-histidyl group Chemical group [H]N1C([H])=NC(C([H])([H])[C@](C(=O)[*])([H])N([H])[H])=C1[H] 0.000 description 1
- 108700010388 MIBs Proteins 0.000 description 1
- 238000004378 air conditioning Methods 0.000 description 1
- 230000005611 electricity Effects 0.000 description 1
- 230000001105 regulatory effect Effects 0.000 description 1
- 150000003839 salts Chemical class 0.000 description 1
- 238000005728 strengthening Methods 0.000 description 1
- XLYOFNOQVPJJNP-UHFFFAOYSA-N water Substances O XLYOFNOQVPJJNP-UHFFFAOYSA-N 0.000 description 1
Images
Landscapes
- Computer And Data Communications (AREA)
Description
この発明は、SNMP(シンプル・ネットワーク・マネジメント・プロトコル:Simple Network Management Protocol)を用いた通信装置の制御に使用する権限情報を生成する権限情報生成方法、SNMPによる制御が可能な通信装置、コンピュータに上記のような権限情報生成方法を実行させあるいはコンピュータを上記のような通信装置として機能させるためのプログラム、およびこのようなプログラムを記録したコンピュータ読取可能な記録媒体に関する。
従来から、ネットワークを介した通信が可能な通信装置において、ネットワーク機器管理プロトコルであるSNMPに対応させるようにすることが行われている。このような通信装置としては、例えば、プリンタやデジタル複合機といったオフィス機器が挙げられる。そして、このSNMPに対応している機器は、SNMPマネージャと呼ばれる管理ツールにより、外部装置からでもネットワークを介して設定の参照や変更を行うことが可能である。
このようなSNMPとしては、v1(バージョン1),v2(バージョン2)及びv3(バージョン3)が知られている。そして、v1及びv2については、ユーザという概念がなく、またデータの暗号化にも対応していないため、認証やセキュリティに関して高度な要求を満たすことは難しい。
なお、特許文献1には、SNMPv1を使用する場合に、コマンドに付す識別情報を暗号化して送受信し、この識別情報の一致/不一致に基づいてそのコマンドの実行可否を判断するようにすることが記載されている。このようにすれば、通常のSNMPv1の場合よりもセキュリティを向上させることができるが、このような方式であっても、ユーザという概念のないSNMPv1を用いているため、ユーザ毎のアクセス権限を設定するといったことは困難であった。
特開2003−122650号公報
なお、特許文献1には、SNMPv1を使用する場合に、コマンドに付す識別情報を暗号化して送受信し、この識別情報の一致/不一致に基づいてそのコマンドの実行可否を判断するようにすることが記載されている。このようにすれば、通常のSNMPv1の場合よりもセキュリティを向上させることができるが、このような方式であっても、ユーザという概念のないSNMPv1を用いているため、ユーザ毎のアクセス権限を設定するといったことは困難であった。
これに対し、SNMPv3では、セキュリティ機能の一部として、ユーザ認証モデル(User-based Security Model:USM)やアクセス制御モデル(View-based Access Control Model:VACM)が利用可能となっており、これらを用いることにより、ユーザの認証や、ユーザ毎のアクセス制御が可能となっている。
この点を、図20の概念図を用いて説明する。
一例として、図20に示すように、SNMPv3に対応しているネットワーク機器201に、ネットワーク機器201とネットワーク204を介して接続された端末装置202及び端末装置203からSNMPv3を用いてアクセスする場合について説明する。
この点を、図20の概念図を用いて説明する。
一例として、図20に示すように、SNMPv3に対応しているネットワーク機器201に、ネットワーク機器201とネットワーク204を介して接続された端末装置202及び端末装置203からSNMPv3を用いてアクセスする場合について説明する。
まず、ネットワーク機器201においては、SNMPを用いてアクセス可能な情報であるMIB(Management Information Base)情報について、管理者のみアクセス可能な範囲(A)、特にアクセス制限をしない(誰でもアクセスできる)範囲(B)等を定めることができる。また、ユーザID毎に、認証や通信の暗号化を行うか否かを定めることもできる。ここでは、管理者IDについては認証及び暗号化あり、ゲストIDについては認証及び暗号化なしが設定されているものとする。
そして、このような設定がなされている場合、管理者IDを持つユーザAが内容を暗号化したSNMPリクエストをネットワーク機器201に送信し、パスワードにて認証を受けた場合には、ネットワーク機器201に記憶している(A)と(B)のMIBの双方を取得することができる。しかし、ゲストIDでアクセスするユーザBの場合には、SNMPリクエストの暗号化やパスワードによる認証は不要であるものの、(B)の情報のみしか取得することができない。
このように、SNMPv3においては、ユーザに応じてMIB情報にアクセスを許可する範囲を定めることができる。図20では情報の取得を例として示したが、情報の変更についても同様なアクセス制御が可能である。
また、このようなSNMPの詳細については、IETF(Internet Engineering Task Force)が発行するRFC(Request For Comment)2570〜2575に記載されている。
このように、SNMPv3においては、ユーザに応じてMIB情報にアクセスを許可する範囲を定めることができる。図20では情報の取得を例として示したが、情報の変更についても同様なアクセス制御が可能である。
また、このようなSNMPの詳細については、IETF(Internet Engineering Task Force)が発行するRFC(Request For Comment)2570〜2575に記載されている。
ところで、近年では、デジタル複合機のような多様な機能を有する通信装置において、ユーザを登録して各ユーザ毎に機能の利用権限を定め、各ユーザにその権限の範囲内でのみ装置を利用させるようにすることが行われるようになっている。このような機能は、アクセスロール管理機能と呼ばれ、このような機能を実現するため、ユーザの認証や、ユーザ毎の利用権限の設定に係る機能を通信装置に設けることが行われるようになっている。そして、このような機能は、SNMPv3に対応した装置が登場する前から用いられており、SNMPv3とは異なるプロトコルを用いて実現されていた。
一方で、装置をSNMPv3に対応させる場合、上述のように、USMとVACMを用いることにより、ユーザ毎にアクセスを許可する情報の範囲を設定できることから、SNMPコマンドの実行可否の判断については、SNMPv3を用いてアクセスロール管理機能と似た機能を実現できるようにしたいという要求があった。
しかしながら、従来のSNMPv3を用いないアクセスロール管理に加え、SNMPv3でもアクセスロール管理を行うようにすると、これら2種類のアクセスロール管理に使用するためのユーザの認証情報や権限情報を、それぞれ管理する必要が生じてしまう。そして、この場合、装置全体としてどのユーザにどの機能の使用を許可しているのかを把握するのが困難である上、従来のアクセスロール管理とSNMPv3を用いたものとで別々にユーザの認証情報や権限情報を設定するのが面倒であるという問題もあった。
この発明は、このような問題を解決し、1つの通信装置に、SNMPv3を用いないアクセスロール管理機能と、SNMPv3を用いたアクセスコントロール機能とを並存させる場合であっても、双方のアクセスロール管理機能に係る各ユーザの認証情報や権限情報の管理や設定等を容易に行えるようにすることを目的とする。
この発明は、このような問題を解決し、1つの通信装置に、SNMPv3を用いないアクセスロール管理機能と、SNMPv3を用いたアクセスコントロール機能とを並存させる場合であっても、双方のアクセスロール管理機能に係る各ユーザの認証情報や権限情報の管理や設定等を容易に行えるようにすることを目的とする。
上記の目的を達成するため、この発明の権限情報生成方法は、SNMPv3を用いた制御に使用する権限情報を生成する権限情報生成方法において、データ処理機能を有する装置が、SNMPv3以外で管理している権限情報である第1の権限情報と、その第1の権限情報を上記SNMPv3を用いた制御に使用する権限情報である第2の権限情報に変換するための変換規則とを記憶し、上記第1の権限情報に含まれるユーザ名と、そのユーザ名と対応する権限情報とを、上記変換規則に従って変換して上記第2の権限情報を生成するようにしたものである。
このような権限情報生成方法において、上記第1の権限情報を、各ユーザ毎に、複数の権限についてその権限を許可するか否かを示す情報を含むものとするとよい。
さらに、上記変換規則に従って生成する第2の権限情報を、VACMテーブルにおいて、上記第1の権限情報中で定義されている全ての種類の権限と対応する内容の権限を示す権限グループが定義されているものとするとよい。
さらに、上記変換規則に従って生成する第2の権限情報を、VACMテーブルにおいて、上記第1の権限情報中で定義されている全ての種類の権限と対応する内容の権限を示す権限グループが定義されているものとするとよい。
あるいは、上記変換規則を、上記第1の権限情報中における情報の項目と、その項目の情報に基づいて生成する上記第2の権限情報中の項目との対応関係の規定を含むものとしてもよい。
さらに、上記変換規則に、上記第1の権限情報中の権限情報に基づいて上記第2の権限情報中のvacmGroupNameの項目の情報を定める旨の規定を含め、さらに、上記権限情報によって規定し得る権限の内容の各々について、その内容の権限を有するユーザについてvacmGroupNameの項目に設定すべき情報の定義を含むものとするとよい。
さらに、上記変換規則に、上記第1の権限情報中の権限情報に基づいて上記第2の権限情報中のvacmGroupNameの項目の情報を定める旨の規定を含め、さらに、上記権限情報によって規定し得る権限の内容の各々について、その内容の権限を有するユーザについてvacmGroupNameの項目に設定すべき情報の定義を含むものとするとよい。
また、上記の各権限情報生成方法において、上記データ処理機能を有する装置を、SNMPv3を用いて自身の制御を行う機能を有する装置とし、その装置が、起動時に自身が記憶している第1の権限情報から上記第2の権限情報を生成し、その生成した第2の権限情報を自身の制御に使用するようにするとよい。
さらに、上記第1及び第2の権限情報を、ユーザを認証するための認証情報を含むものとするとよい。
さらに、上記第1及び第2の権限情報を、ユーザを認証するための認証情報を含むものとするとよい。
また、この発明の通信装置は、SNMPv3以外で管理している権限情報である第1の権限情報と、その第1の権限情報をSNMPv3を用いた制御に使用する権限情報である第2の権限情報に変換するための変換規則とを記憶する記憶手段と、上記第1の権限情報に含まれるユーザ名と、そのユーザ名と対応する権限情報とを上記変換規則に従って変換して上記第2の権限情報を生成する変換手段とを有する通信装置である。
このような通信装置において、上記第1の権限情報を、各ユーザ毎に、複数の権限についてその権限を許可するか否かを示す情報を含むものとするとよい。
さらに、上記変換手段が生成する第2の権限情報を、VACMテーブルにおいて、上記第1の権限情報中で定義されている全ての種類の権限と対応する内容の権限を示す権限グループが定義されているものとするとよい。
さらに、上記変換手段が生成する第2の権限情報を、VACMテーブルにおいて、上記第1の権限情報中で定義されている全ての種類の権限と対応する内容の権限を示す権限グループが定義されているものとするとよい。
さらに、上記変換手段を、その通信装置の起動時に上記第2の権限情報を生成する手段とし、その生成した第2の権限情報をSNMPv3を用いた自身の制御に使用するようにするとよい。
さらに、上記第1及び第2の権限情報を、ユーザを認証するための認証情報を含むものとするとよい。
さらに、上記第1及び第2の権限情報を、ユーザを認証するための認証情報を含むものとするとよい。
また、この発明のプログラムは、コンピュータにSNMPv3を用いた制御に使用する権限情報を生成させるためのプログラムにおいて、上記コンピュータに、SNMPv3以外で管理している権限情報である第1の権限情報と、その第1の権限情報を上記SNMPv3を用いた制御に使用する権限情報である第2の権限情報に変換するための変換規則とを記憶する手順と、上記第1の権限情報に含まれるユーザ名と、そのユーザ名と対応する権限情報とを上記変換規則に従って変換して上記第2の権限情報を生成する手順とを実行させるためのプログラムを含めたものである。
このようなプログラムにおいて、上記第1の権限情報を、各ユーザ毎に、複数の権限についてその権限を許可するか否かを示す情報を含むものとするとよい。
さらに、上記変換規則に従って生成する第2の権限情報を、VACMテーブルにおいて、上記第1の権限情報中で定義されている全ての種類の権限と対応する内容の権限を示す権限グループが定義されているものとするとよい。
さらに、上記変換規則に従って生成する第2の権限情報を、VACMテーブルにおいて、上記第1の権限情報中で定義されている全ての種類の権限と対応する内容の権限を示す権限グループが定義されているものとするとよい。
あるいは、上記変換規則を、上記第1の権限情報中における情報の項目と、その項目の情報に基づいて生成する上記第2の権限情報中の項目との対応関係の規定を含むものとしてもよい。
さらに、上記変換規則を、上記第1の権限情報中の権限情報に基づいて上記第2の権限情報中のvacmGroupNameの項目の情報を定める旨の規定を含むものとし、さらに、上記権限情報によって規定し得る権限の内容の各々について、その内容の権限を有するユーザについてvacmGroupNameの項目に設定すべき情報の定義を含むものとするとよい。
また、上記の各プログラムにおいて、上記コンピュータに、SNMPv3を用いて通信装置の制御を行う機能と、自身の起動時に自身が記憶している第1の権限情報から上記第2の権限情報を生成し、その生成した第2の権限情報を上記通信装置の制御に使用する機能とを実現させるためのプログラムを更に含めるようにするとよい。
さらに、上記変換規則を、上記第1の権限情報中の権限情報に基づいて上記第2の権限情報中のvacmGroupNameの項目の情報を定める旨の規定を含むものとし、さらに、上記権限情報によって規定し得る権限の内容の各々について、その内容の権限を有するユーザについてvacmGroupNameの項目に設定すべき情報の定義を含むものとするとよい。
また、上記の各プログラムにおいて、上記コンピュータに、SNMPv3を用いて通信装置の制御を行う機能と、自身の起動時に自身が記憶している第1の権限情報から上記第2の権限情報を生成し、その生成した第2の権限情報を上記通信装置の制御に使用する機能とを実現させるためのプログラムを更に含めるようにするとよい。
また、この発明のプログラムは、コンピュータを、SNMPv3以外で管理している権限情報である第1の権限情報と、その第1の権限情報をSNMPv3を用いた制御に使用する権限情報である第2の権限情報に変換するための変換規則とを記憶する記憶手段と、上記第1の権限情報に含まれるユーザ名と、そのユーザ名と対応する権限情報とを、上記変換規則に従って変換して上記第2の権限情報を生成する変換手段として機能させるためのプログラムである。
このようなプログラムにおいて、上記第1の権限情報を、各ユーザ毎に、複数の権限についてその権限を許可するか否かを示す情報を含むものとするとよい。
さらに、上記変換手段が生成する第2の権限情報が、VACMテーブルにおいて、上記第1の権限情報中の権限情報により定義されている全ての種類の権限と対応する内容の権限を示す権限グループが定義されているものとするとよい。
さらに、上記変換手段が生成する第2の権限情報が、VACMテーブルにおいて、上記第1の権限情報中の権限情報により定義されている全ての種類の権限と対応する内容の権限を示す権限グループが定義されているものとするとよい。
さらに、上記変換手段を、上記コンピュータの起動時に上記第2の権限情報を生成する手段とし、上記コンピュータに、その生成した第2の権限情報をSNMPv3を用いた通信装置の制御に使用する機能を実現させるためのプログラムを更に含めるようにするとよい。
また、上記の各プログラムにおいて、上記第1及び第2の権限情報を、ユーザを認証するための認証情報を含むものとするとよい。
また、この発明の記録媒体は、上記のプログラムを記録したコンピュータ読取可能な記録媒体である。
また、上記の各プログラムにおいて、上記第1及び第2の権限情報を、ユーザを認証するための認証情報を含むものとするとよい。
また、この発明の記録媒体は、上記のプログラムを記録したコンピュータ読取可能な記録媒体である。
以上のようなこの発明の権限情報生成方法又は通信装置によれば、1つの通信装置に、SNMPv3を用いないアクセスロール管理機能と、SNMPv3を用いたアクセスロール管理機能とを並存させる場合であっても、双方のアクセスロール管理機能に係る各ユーザの認証情報や権限情報の管理や設定等を容易に行えるようにすることができる。
また、この発明のプログラムによれば、コンピュータに上記の権限情報生成方法を実行させ又はコンピュータを上記の通信装置として機能させてその特徴を実現し、同様な効果を得ることができる。
この発明の記録媒体によれば、上記のプログラムを記憶していないコンピュータにそのプログラムを読み出させて実行させ、上記の効果を得ることができる。
また、この発明のプログラムによれば、コンピュータに上記の権限情報生成方法を実行させ又はコンピュータを上記の通信装置として機能させてその特徴を実現し、同様な効果を得ることができる。
この発明の記録媒体によれば、上記のプログラムを記憶していないコンピュータにそのプログラムを読み出させて実行させ、上記の効果を得ることができる。
以下、この発明を実施するための最良の形態について、図面を参照して説明する。
まず、この発明の通信装置の実施形態であり、この発明の権限情報生成方法を実行する装置の一例であるネットワーク機器の構成について説明する。図1は、そのネットワーク機器の構成を、そのネットワーク機器にアクセス可能なPC(パーソナルコンピュータ)と共に示したブロック図である。
図1に示したネットワーク機器10は、コピー、プリンタ、スキャナ、ファクシミリ通信等の種々の機能を有する画像処理装置であるデジタル複合機であり、CPU11,ROM12,RAM13,NVRAM(不揮発性メモリ)14,HDD(ハードディスクドライブ)15,ネットワークI/F16,エンジン部17を備えている。
まず、この発明の通信装置の実施形態であり、この発明の権限情報生成方法を実行する装置の一例であるネットワーク機器の構成について説明する。図1は、そのネットワーク機器の構成を、そのネットワーク機器にアクセス可能なPC(パーソナルコンピュータ)と共に示したブロック図である。
図1に示したネットワーク機器10は、コピー、プリンタ、スキャナ、ファクシミリ通信等の種々の機能を有する画像処理装置であるデジタル複合機であり、CPU11,ROM12,RAM13,NVRAM(不揮発性メモリ)14,HDD(ハードディスクドライブ)15,ネットワークI/F16,エンジン部17を備えている。
CPU11は、ネットワーク機器10全体を統括制御する制御手段であり、ROM12やNVRAM14あるいはHDD15に記録された種々のプログラムを実行することにより、変換手段等の各手段として機能し、後述するようなこの実施形態の特徴に係る種々の機能を実現する。
ROM12は、不揮発性の記憶手段であり、CPU11が実行するプログラムや、固定的なパラメータ等を記憶する。ROM12を書き換え可能な記憶手段として構成し、これらのデータをアップデートできるようにしてもよい。
ROM12は、不揮発性の記憶手段であり、CPU11が実行するプログラムや、固定的なパラメータ等を記憶する。ROM12を書き換え可能な記憶手段として構成し、これらのデータをアップデートできるようにしてもよい。
RAM13は、一時的に使用するデータを記憶したり、CPU11のワークメモリとして使用したりする記憶手段である。後述するSNMPv3アクセス管理用情報のように、動的に生成するような情報の記憶領域も、このRAM13に用意するようにしている。
NVRAM14は、フラッシュメモリ等による書き換え可能な不揮発性記憶手段であり、CPU11が実行するプログラムや、装置の電源がOFFされた後でも保持しておく必要があるパラメータの値等を記憶する。
HDD15も、書き換え可能な記憶手段であり、CPU11が実行するプログラムや、装置の電源がOFFされた後でも保持しておく必要があるパラメータの値等を記憶する。また、HDD15には、比較的容量が大きかったり、頻繁に書き換えたりするデータを記憶させるようにしている。
NVRAM14は、フラッシュメモリ等による書き換え可能な不揮発性記憶手段であり、CPU11が実行するプログラムや、装置の電源がOFFされた後でも保持しておく必要があるパラメータの値等を記憶する。
HDD15も、書き換え可能な記憶手段であり、CPU11が実行するプログラムや、装置の電源がOFFされた後でも保持しておく必要があるパラメータの値等を記憶する。また、HDD15には、比較的容量が大きかったり、頻繁に書き換えたりするデータを記憶させるようにしている。
ネットワークインタフェース(I/F)16は、ネットワーク機器10をネットワーク30に接続するためのインタフェースであり、例えばイーサネット(登録商標)方式の通信を行うためのインタフェースである。そして、ネットワーク30を介して他の装置と通信を行う場合、このネットワークI/F16とCPU11とが通信手段として機能する。なお、ネットワーク30は、有線、無線を問わず種々の方式のものが使用可能であり、ネットワークI/F16は、ネットワーク30の規格や使用する通信プロトコル等に応じて適切なものを用意する。また、複数の規格に対応させて複数のネットワークI/F16を設けることも当然可能である。
エンジン部17は、画像形成部、画像読取部、ファクシミリ通信ユニット等であり、CPU11がこれらの動作を適切に制御することにより、ネットワーク機器10にコピー、プリント、スキャン、ファクシミリ通信等の種々の動作を実行させることができる。なお、この部分は、この実施形態の特徴とはあまり関係ないため、図示は簡単なものに留めている。
以上のようなネットワーク機器10は、ここでは、ネットワーク30を介して外部の端末装置であるPC20と通信可能としている。また、このネットワーク機器10は、後述するようにSNMPに対応しており、PC20から種々のクライアントを用いてアクセスすることにより、設定されているパラメータの値の参照や変更が可能である。
次に、図2に、ネットワーク機器10における、この実施形態の特徴に関連する部分の機能構成を示す。
図2に示すように、ネットワーク機器10は、機能管理部110,セキュリティ管理部120,機器アクセス管理部130,ネットワーク管理部140,設定機能部150,機器アクセス管理用情報記憶部160,SNMPv3アクセス管理用情報記憶部170,SNMP情報記憶部180を有している。なお、図2でこれらの各部を結ぶ矢印は、データの授受が可能であることを示すものであり、バス等の物理的な構成要素を示すものではない。
図2に示すように、ネットワーク機器10は、機能管理部110,セキュリティ管理部120,機器アクセス管理部130,ネットワーク管理部140,設定機能部150,機器アクセス管理用情報記憶部160,SNMPv3アクセス管理用情報記憶部170,SNMP情報記憶部180を有している。なお、図2でこれらの各部を結ぶ矢印は、データの授受が可能であることを示すものであり、バス等の物理的な構成要素を示すものではない。
また、図3に、機器アクセス管理用情報記憶部160,SNMPv3アクセス管理用情報記憶部170,SNMP情報記憶部180に記憶させる情報の種類及びこれらにアクセスする機能部を示す。
まず、この図3を用いて、図2に示した各部のうち、情報を記憶する記憶部の機能について説明する。
まず、この図3を用いて、図2に示した各部のうち、情報を記憶する記憶部の機能について説明する。
まず、機器アクセス管理用情報記憶部160には、各ユーザのユーザ名や、各ユーザを認証するための認証情報であるパスワード、および各ユーザに対する機能の利用権限を定めた権限情報を含む第1の権限情報である、機器アクセス管理用情報を記憶させる。このような情報は、ここではテーブル形式で記憶させるようにしており、このテーブルを「アクセス管理テーブル」と呼ぶことにする。なお、アクセス管理テーブルには、MIB情報として管理している設定データへのアクセスのような、SNMPv3で取り扱う機能に係る権限の情報と共に、プリント,コピー,FAX送信の実行等、SNMPv3では取り扱わない機能に係る権限の情報も記載し、これらを一括して管理するようにしている。このような機器アクセス管理用情報記憶部160は、ハードウェアとしてはNVRAM14あるいはHDD15に設けるとよい。
次に、SNMPv3アクセス管理用情報記憶部170には、SNMPv3を用いたアクセスロール制御に使用する第2の権限情報であるSNMPv3アクセス管理用情報として、USMテーブルやVACMテーブルを記憶させる。これらのテーブルに記憶させる情報の詳細については、後述する。また、テーブルに記憶させる情報の内容は、アクセス管理テーブルの内容から後述する変換規則に従って動的に生成するようにしている。このようなSNMPv3アクセス管理用情報記憶部170は、動的に生成する情報を記憶させる記憶部であるから、ハードウェアとしてはRAM13に設けるとよい。
また、SNMP情報記憶部180には、SNMPに関連した処理に使用する情報のうち、静的に設定しておく情報を記憶させるようにしている。このような情報としては、例えばコミュニティ(Community)やトラップ(TRAP)、あるいは通信に使用する下位プロトコルの情報(Protocol)が考えられる。このようなSNMP情報記憶部180は、ハードウェアとしてはRAM13に設けるとよい。
次に、図2に示した各部のうち、上述した各記憶部以外の部分について説明する。
機能管理部110は、ネットワーク機器10全体についてユーザに提供可能な機能の種類を把握し、また機能の提供に当たって設定すべき項目等の管理を行う機能を有する。また、これらの機能に関する情報の設定及び参照を行う機能も有する。この機能には、例えばネットワーク機器10に新たにアプリケーションを追加してFAX機能を追加する場合等、新たに機能が追加された場合に、アクセス管理テーブルにその機能の使用可否を設定するための領域を設けるような機能も含む。
セキュリティ管理部120は、ネットワーク機器10のセキュリティ全般に対して管理を行う機能を有する。また、セキュリティレベルを管理し、各管理部110〜140に対して設定されているセキュリティレベルに沿ったセキュリティチェックを促す機能を有する。
機能管理部110は、ネットワーク機器10全体についてユーザに提供可能な機能の種類を把握し、また機能の提供に当たって設定すべき項目等の管理を行う機能を有する。また、これらの機能に関する情報の設定及び参照を行う機能も有する。この機能には、例えばネットワーク機器10に新たにアプリケーションを追加してFAX機能を追加する場合等、新たに機能が追加された場合に、アクセス管理テーブルにその機能の使用可否を設定するための領域を設けるような機能も含む。
セキュリティ管理部120は、ネットワーク機器10のセキュリティ全般に対して管理を行う機能を有する。また、セキュリティレベルを管理し、各管理部110〜140に対して設定されているセキュリティレベルに沿ったセキュリティチェックを促す機能を有する。
機器アクセス管理部130は、機器アクセス管理用情報記憶部160に記憶しているアクセス管理テーブルを管理することにより、ユーザの登録/抹消や、各ユーザに対する権限の付与/取消等を行う機能を有する。また、ユーザがSNMP以外の手段によりネットワーク機器10の機能のうち権限管理の対象となっている機能を使用しようとした場合に、そのユーザをユーザIDやパスワード等により認証するとともに、そのユーザが利用権限を有するか否かに応じて使用可否を判断するアクセスロール管理を行う機能も有する。
なお、この機器アクセス管理部130が管理する利用権限には、プリント,コピー,FAX送信の実行等、SNMPv3では取り扱わない機能に係る権限も含む。また、アクセス管理テーブルの管理や使用可否の判断は、SNMPv3を利用しない方式により行うものであり、例えばネットワーク機器10を開発したメーカー独自の方式あるいはSNMPv3以外の規格に従った方式が考えられる。
なお、この機器アクセス管理部130が管理する利用権限には、プリント,コピー,FAX送信の実行等、SNMPv3では取り扱わない機能に係る権限も含む。また、アクセス管理テーブルの管理や使用可否の判断は、SNMPv3を利用しない方式により行うものであり、例えばネットワーク機器10を開発したメーカー独自の方式あるいはSNMPv3以外の規格に従った方式が考えられる。
ネットワーク管理部140は、ネットワークI/F16及びここを介した通信に使用するプロトコルの管理や制御を行う機能を有し、SNMPを用いた通信を行うためのプログラムであるSNMPデーモン141による通信,認証,権限管理等の機能も、このネットワーク管理部140の機能である。なお、SNMPデーモン141はSNMPv1〜v3のいずれにも対応しており、SNMPリクエストを受信した場合にそのパケットの内容に応じて適切なバージョンに対応した処理を行うことができる。
また、ネットワーク管理部140中のSNMPデーモン141は、変換機能部142を有しており、この変換機能部142が、ネットワーク機器10の起動時に、アクセス管理テーブルの内容を所定の変換規則に従って変換し、USMテーブルやVACMテーブルを生成する変換手段の機能を有する。また、変換機能部142は、アクセス管理テーブルの内容が変更された場合にも、同様にUSMテーブルやVACMテーブルの生成を行い、これらのテーブルにアクセス管理テーブルの最新の内容を反映させるようにしている。
また、SNMPデーモンは、SNMP情報記憶部180における設定を参照したり変更したりする機能も有する。
また、SNMPデーモンは、SNMP情報記憶部180における設定を参照したり変更したりする機能も有する。
設定機能部150は、ネットワークに関する設定を行う機能を有し、ネットワーク機器10の操作部からの設定指示の他、テルネット(Telnet)等により外部装置から受け付けた設定指示に応じて設定を行う機能を有する。ただし、図3に示したように、SNMPに関する情報で設定機能部150(ネットワーク管理部140以外)から変更可能なものは、SNMP情報記憶部180に記憶しているもののみとしている。
以上のような各部の機能により、ネットワーク機器10は、ネットワーク機器10に登録した各ユーザ(人間だけでなく、自動的にネットワーク機器10にアクセスする機能を有する装置等も含む、以下同じ)について、そのユーザを認証するための認証情報や、そのユーザに関して各機能についての利用権限を定めた権限情報をアクセス管理テーブルによって一元的に管理し、この情報を用いて、各ユーザが機能を利用した場合の許可/不許可を定めることができる。
また、アクセス管理テーブルの情報からSNMPで使用するUSMテーブルやVACMテーブルを生成することにより、SNMPv3以外の方式で管理しているアクセス管理テーブルにおける設定内容に従って、SNMPv3を用いた認証及び権限管理の処理を行うことができる。この点がこの実施形態の主要な特徴である。
そこで、次に、アクセス管理テーブルの情報からUSMテーブル及びVACMテーブルを生成する処理について、内容を単純化した具体例を用いて説明する。
また、アクセス管理テーブルの情報からSNMPで使用するUSMテーブルやVACMテーブルを生成することにより、SNMPv3以外の方式で管理しているアクセス管理テーブルにおける設定内容に従って、SNMPv3を用いた認証及び権限管理の処理を行うことができる。この点がこの実施形態の主要な特徴である。
そこで、次に、アクセス管理テーブルの情報からUSMテーブル及びVACMテーブルを生成する処理について、内容を単純化した具体例を用いて説明する。
まず、図4に、これらの各テーブルの関係を示す。
上述したように、機器アクセス管理用情報記憶部160に記憶されるアクセス管理テーブル161には、ユーザ名やパスワード等の認証情報162と、権限情報163とを対応させて記憶している。
一方、SNMPv3アクセス管理用情報記憶部170には、SNMPv3による認証及び権限管理を行うための情報として、上述のようにUSMテーブル171とVACMテーブル172を記憶している。そして、USMテーブル171の内容は主として認証情報162をもとに生成し、VACMテーブル172の内容は主として権限情報163をもとに生成する。図4における矢印は、このような関係を示すものである。
上述したように、機器アクセス管理用情報記憶部160に記憶されるアクセス管理テーブル161には、ユーザ名やパスワード等の認証情報162と、権限情報163とを対応させて記憶している。
一方、SNMPv3アクセス管理用情報記憶部170には、SNMPv3による認証及び権限管理を行うための情報として、上述のようにUSMテーブル171とVACMテーブル172を記憶している。そして、USMテーブル171の内容は主として認証情報162をもとに生成し、VACMテーブル172の内容は主として権限情報163をもとに生成する。図4における矢印は、このような関係を示すものである。
次に、図5に、アクセス管理テーブル161に記憶させる情報の例を示す。
この図に示すとおり、アクセス管理テーブルにおいては、ユーザ名(ユーザID)と対応させて、そのユーザがネットワーク機器10に認証を受ける際に使用する認証パスワード、そのユーザがSNMPパケットを暗号化する際に使用する暗号パスワード、そのユーザが許可されている権限の内容を示す権限情報等を記憶している。
この図に示すとおり、アクセス管理テーブルにおいては、ユーザ名(ユーザID)と対応させて、そのユーザがネットワーク機器10に認証を受ける際に使用する認証パスワード、そのユーザがSNMPパケットを暗号化する際に使用する暗号パスワード、そのユーザが許可されている権限の内容を示す権限情報等を記憶している。
このうち、認証パスワードは、SNMPv3以外の認証処理でもSNMPv3による認証処理でも共通に使用するパスワードであるが、暗号パスワードは、SNMPv3のみで使用するパスワードである。
なお、暗号パスワードは、SNMPv3パケットを暗号化するための鍵(のもとになるキー情報)を生成するために使用する。そして、暗号化されて転送されてきたパケットを、同じパスワードをもとに生成した鍵により復号化できれば、そのパケットの送信元が、正しい暗号パスワードを知っているユーザ(又は装置)であると判断できる。従って、この意味では、暗号パスワードも認証に使用するパスワードであると言える。
なお、暗号パスワードは、SNMPv3パケットを暗号化するための鍵(のもとになるキー情報)を生成するために使用する。そして、暗号化されて転送されてきたパケットを、同じパスワードをもとに生成した鍵により復号化できれば、そのパケットの送信元が、正しい暗号パスワードを知っているユーザ(又は装置)であると判断できる。従って、この意味では、暗号パスワードも認証に使用するパスワードであると言える。
次に、図6に、アクセス管理テーブル161の内容の具体例を示す。なお、この例は、アクセス管理テーブルにユーザA乃至ユーザEの5人のユーザに関する情報を記載した例であるが、図の下線を付した最上段の行の内容は、各列の情報がどのユーザに関するものかをわかりやすくするためのいわば表題であり、実際のテーブルには含まれていない。
図6から明らかなように、アクセス管理テーブルには、図5を用いて説明した通り、各ユーザについて、ユーザ名と対応させて、認証情報として認証パスワード及び暗号パスワードを記憶させる。ただし、ユーザによっては認証パスワードや暗号パスワードを設定しない場合もあるので、その場合には該当するパスワードがない旨の情報を記憶させる。
図6から明らかなように、アクセス管理テーブルには、図5を用いて説明した通り、各ユーザについて、ユーザ名と対応させて、認証情報として認証パスワード及び暗号パスワードを記憶させる。ただし、ユーザによっては認証パスワードや暗号パスワードを設定しない場合もあるので、その場合には該当するパスワードがない旨の情報を記憶させる。
また、権限情報については、各ユーザ毎に、複数の権限についてその権限を許可するか否かを示す情報を記憶させるようにしている。そしてここでは、SNMPを用いたMIB情報の設定に関する権限として、設定A,設定Bの権限を設けており、例えば、設定Aはアドレスや通信プロトコルのようなネットワークに関する設定を行う権限、設定Bは、システムリブートや使用する紙種のような機器管理に関する設定を行う権限とすることができる。そして、ユーザB,D,Eには設定Aの権限を許可し、ユーザC,D,Eには設定Bの権限を許可するようにしている。同様に、SNMPを用いたMIB情報の参照に関する権限として、参照A及び参照Bの権限を設け、これらについてもユーザ毎に権限の許可/不許可の情報を記憶させている。
なお、ここで挙げた例では、SNMPを用いたアクセスロール管理と関連するアクセス管理テーブル上の権限情報は以上の4項目のみであるが、他の機能の利用に関する権限許可/不許可を示す情報も共に記憶させるようにしている。例えば、機能使用A,機能使用B等の権限である。これらの全ての権限は、各ユーザについて独立に許可/不許可を設定できるようにして構わないが、ネットワーク機器10の用途や権限の特性等の理由により、ある権限を同時に許可できる人数に制限を設けたり、ユーザ1人が持てる権限の範囲に制限を設けたりすることは考えられる。
以上のようなアクセス管理テーブルにより、第1の権限情報を規定することができる。そして、機器アクセス管理部130は、このアクセス管理テーブルに記憶している情報に基づいて、SNMPv3以外の方式により、各ユーザに対してその有する権限の範囲内でのみネットワーク機器10の使用を許可するアクセスロール管理を行っている。
また、上述したように、SNMPデーモン141内に用意されたプログラムによって実現される変換機能部142の機能により、図6に示したようなアクセス管理テーブル内の情報に基づいてSNMPv3によるアクセスロール管理に使用するUSMテーブルやVACMテーブルを生成することができる。
また、上述したように、SNMPデーモン141内に用意されたプログラムによって実現される変換機能部142の機能により、図6に示したようなアクセス管理テーブル内の情報に基づいてSNMPv3によるアクセスロール管理に使用するUSMテーブルやVACMテーブルを生成することができる。
ここで、このようなUSMテーブルやVACMの生成方法について説明する前に、これらのテーブルの内容及びそこに記載されたデータの用途について、具体例を用いて説明する。なお、USMテーブル及びVACMテーブルは、MIBツリーとして表現されるデータであり、その形式自体は、SNMPの規格を定めるRFC2574及び2575に規定されている内容に従ったものである。しかし、この実施形態は、これらのテーブルに記憶させている情報の内容及びその生成工程に特徴を有するものである。
まず、図7に、変換機能部142が図6に示した情報から生成するUSMテーブルの例を示す。なお、この図においては、実際にMIBツリーとして表現されるデータのうち、この実施形態の特徴に関連するごく一部のみを示しており、ここに示したもの以外の情報をテーブルに記載することも当然あり得る。また、下線を付した要素は、その列のデータが何に関するデータであるかを示すための見出しであり、実際にテーブルに記憶させるデータを示すものではない。これらの点は、後述の図8についても同様である。
USMテーブルは、MIBツリーのうちsnmpUsmMIB以下の情報によって構成されるが、重要な情報としては、snmpUsmMIBの下位のusmMIBObjectの下位のusmUserの更に下位の、usmUserTableがある。
図7に示したのはこの部分であり、usmUserTableの下位(正確にはその下位のusmUserEntryのさらに下位)の情報として、各ユーザ毎に、usmUserName及びusmUserSecurityNameの項目にユーザ名の情報を記憶させるようにしている。ここでは、ユーザAからユーザEについて、それぞれアクセス管理テーブル上のユーザ名と同じユーザ名を記憶させている。なお、ここではusmUserName及びusmUserSecurityNameの項目に全く同じ情報を記憶させているが、これはUSMテーブルの仕様上の理由である。
図7に示したのはこの部分であり、usmUserTableの下位(正確にはその下位のusmUserEntryのさらに下位)の情報として、各ユーザ毎に、usmUserName及びusmUserSecurityNameの項目にユーザ名の情報を記憶させるようにしている。ここでは、ユーザAからユーザEについて、それぞれアクセス管理テーブル上のユーザ名と同じユーザ名を記憶させている。なお、ここではusmUserName及びusmUserSecurityNameの項目に全く同じ情報を記憶させているが、これはUSMテーブルの仕様上の理由である。
また、authKeyの項目には、SNMPv3による認証に使用する認証パスワードに相当する情報を記憶させるようにしている。ただし、SNMPv3で使用するのは、パスワードそのものではなく、パスワードをもとに生成したキーを、さらにMD5(Message Digest 5)やSHA−1(Secure Hash Algorithm 1)等のアルゴリズムによりハッシュ処理して得たデータである(パスワードからキーを生成する際にもハッシュ処理を利用する)ので、privKeyの項目に記憶させるのもこのデータである。実際には、図7に示すようなランダムな文字列となるが、図7に示したものは長さは実際のものと異なる。また、「−」は、該当するデータがないことを示す。
また、privKeyの項目には、暗号化されて送信されてくるSNMPv3パケットを復号化するための鍵を記憶させるようにしている。この鍵は、暗号パスワードと対応するものであり、上記の認証パスワードの場合と同様、パスワードをもとに生成したキーを、さらにハッシュ処理して得たデータとしている。
なお、これらのauthKey及びprivKeyの情報は、SNMPデーモン141からusmUserSecurityNameの情報をキーに検索可能な情報であるが、セキュリティを考慮してMIBツリー以外の場所に記憶するようにしている。従って、厳密にはUSMテーブルの一部とは言えない。図でこれらの項目の枠を破線で示しているのはこの意味である。
なお、これらのauthKey及びprivKeyの情報は、SNMPデーモン141からusmUserSecurityNameの情報をキーに検索可能な情報であるが、セキュリティを考慮してMIBツリー以外の場所に記憶するようにしている。従って、厳密にはUSMテーブルの一部とは言えない。図でこれらの項目の枠を破線で示しているのはこの意味である。
また、usmUserAuthProtocolの項目には、該当ユーザが認証処理を行うか否か及び、その認証の際に使用するハッシュ処理の方式を示す情報を記憶させており、usmUserPrivProtocolの項目には、該当ユーザが通信時のパケットの暗号化を行うか否か及び、その暗号化の際に使用する暗号方式を示す情報を記憶させている。
次に、図8に、変換機能部142が図6に示した情報から生成するVACMテーブルの例を示す。
VACMテーブルは、MIBツリーのうちsnmpVacmMIB以下の情報によって構成されるが、重要な情報としては、snmpVacmMIBの下位のvacmMIBObjectsの更に下位のvacmSecurityToGroupTableとvacmAccessTableがある。
図8に示したのはこの部分であり、まず、vacmSecurityToGroupTableの下位(正確にはその下位のvacmSecurityToGroupTableEntryのさらに下位)の情報として、各ユーザ毎に、vacmSecurityNameの項目にユーザ名の情報を記憶させると共に、及びvacmGroupNameの項目にそのユーザが有する権限と対応する権限グループの名称を記憶させるようにしている。
VACMテーブルは、MIBツリーのうちsnmpVacmMIB以下の情報によって構成されるが、重要な情報としては、snmpVacmMIBの下位のvacmMIBObjectsの更に下位のvacmSecurityToGroupTableとvacmAccessTableがある。
図8に示したのはこの部分であり、まず、vacmSecurityToGroupTableの下位(正確にはその下位のvacmSecurityToGroupTableEntryのさらに下位)の情報として、各ユーザ毎に、vacmSecurityNameの項目にユーザ名の情報を記憶させると共に、及びvacmGroupNameの項目にそのユーザが有する権限と対応する権限グループの名称を記憶させるようにしている。
また、vacmAccessTableの部分は、vacmGroupNameの項目に記載した各権限グループに関する情報を記憶する部分である。そして、vacmAccessTableの下位(正確にはその下位のvacmAccessEntryのさらに下位)のvacmAccessSecurityLevelの項目に、該当する権限グループに属するユーザについてパスワードによる認証及びパケットの暗号化を行うか否かを示す情報を、vacmAccessReadViewNameの項目に、同ユーザに対して参照アクセスを許可する範囲を定めるView(ビュー)の種類を示す情報を、vacmAccessWriteViewNameの項目に、同じく設定アクセスを許可する範囲を定めるViewの種類を示す情報を、それぞれ記憶させるようにしている。
次に、SNMPリクエストを受信した場合に以上説明したUSMテーブル及びVACMテーブルに記憶している情報を用いて行う認証及び権限管理の処理手順について説明する。
まず、図9にSNMPv3パケットの構成を示す。
外部装置がネットワーク機器10に対してSNMPリクエストを送信してくる場合、図9に示すように、その内容をSNMPメッセージの本文として記載した上、これにヘッダ及びセキュリティモデルにより使用するデータを付加して送信してくる。また、パケットの暗号化を行う場合には、上述したように暗号パスワードを基に生成した鍵により、メッセージ本文を暗号化して送信してくる。
まず、図9にSNMPv3パケットの構成を示す。
外部装置がネットワーク機器10に対してSNMPリクエストを送信してくる場合、図9に示すように、その内容をSNMPメッセージの本文として記載した上、これにヘッダ及びセキュリティモデルにより使用するデータを付加して送信してくる。また、パケットの暗号化を行う場合には、上述したように暗号パスワードを基に生成した鍵により、メッセージ本文を暗号化して送信してくる。
そして、セキュリティモデルにより使用するデータには、図9に示したような種々のデータが含まれるが、このうち主としてユーザ名(msgUserName),認証パスワードを基に生成したデータ(msgAuthentificationParameters),パケットの暗号化を行ったか否かを示す情報(msgPrivacyParameters)を使用してアクセスロール管理の処理を行う。なお、後2者の項目には、該当するパスワードを使用しない(認証や暗号化をしない)場合にはNULLが格納され、その旨が示される。また、パケットの暗号化を行っている場合、msgPrivacyParametersには、saltと呼ばれる情報が格納される。
ここで、図10に、SNMPリクエストを生成するSNMPクライアントにおけるパスワード入力画面の例を示す。
ユーザは、PC20等の端末装置において、SNMPクライアントと呼ばれるプログラムを実行し、必要事項を指定してSNMPリクエストの送信を指示することにより、SNMPリクエストをネットワーク機器10に送信することができる。そして、この際、SNMPクライアントは図10に示すようなパスワード入力画面60を表示して、ユーザにユーザ名及び認証パスワードと暗号パスワードの入力を要求する。
ユーザは、PC20等の端末装置において、SNMPクライアントと呼ばれるプログラムを実行し、必要事項を指定してSNMPリクエストの送信を指示することにより、SNMPリクエストをネットワーク機器10に送信することができる。そして、この際、SNMPクライアントは図10に示すようなパスワード入力画面60を表示して、ユーザにユーザ名及び認証パスワードと暗号パスワードの入力を要求する。
そして、ユーザが各入力欄61〜63に必要事項を入力してOKキーを押下すると、入力された情報をもとに、上記の「セキュリティモデルにより使用するデータ」を生成し、これを含むSNMPリクエストを生成してネットワーク機器10に送信する。なお、ここで入力するパスワードは、アクセス管理テーブルに登録されている状態のものと同じ、変換前のパスワードでよい。また、ユーザ名以外の欄は空欄で構わないが、その場合には該当するパスワードがないものとして取り扱う。
次に、図11に、上記の「セキュリティモデルにより使用するデータ」を用いて行うアクセスロール管理の処理手順の概略を示す。この図には、ネットワーク機器10がSNMPv3パケットを受信し、そのヘッダ情報から受信したパケットをSNMPv3により取り扱えばよいと判断した後の処理を示している。また、この処理は、SNMPデーモン141の提供する機能により行うものである。
図11に示すように、ネットワーク機器10がSNMPv3によりSNMPパケットを取り扱う場合、まずUSMテーブル中のusmUserTable及びその関連情報を参照して、受信したメッセージ中のユーザ名と対応するusmUserAuthProtocol及びusmUserPrivProtocolの情報を取得し、その内容に従って認証及び復号化の処理を行う。この処理に必要なネットワーク機器10側の認証情報は、該当ユーザについてのprivKey及びauthKeyの項目から取得する(S1)。そして、必要な認証及び復号化処理が成功した場合に以下の処理に進む。失敗したら、この時点でエラーとして取り扱う。
なお、ネットワーク機器10に登録されているユーザであれば、自身のユーザ名を記載したSNMPパケットを送信してくるはずである。例えば、図7等に示したユーザBであれば「UserB」、ユーザDであれば「UserD」等である。また、受信したメッセージ中のユーザ名がUSMテーブルに登録されていなければ認証失敗である。また、認証及び/又は復号化の処理が不要と判断した場合には、パケット側のmsgAuthentificationParametersやmsgPrivacyParametersに値が記載されていても無視するようにしてもよい。
ステップS1が問題なく終了した場合、次にVACMテーブル中のvacmSecurityToGroupTableの情報を参照し、vacmGroupNameの項目から、受信したメッセージ中のユーザ名と対応する権限グループ名の情報を取得する(S2)。上述のユーザBの場合には「userB」と対応する「netAdmin」、ユーザDと対応する「netmacAdmin」となる。
そして、権限グループ名が取得できると、VACMテーブル中のvacmAccessTableを参照し、vacmAccessReadViewName及びvacmAccessWriteViewNameの項目から、ステップS2で取得した権限グループ名と対応するView情報を取得する(S3)。例えば、ユーザBの場合には、「netAdmin」と対応するものであるから、ReadViewが「ALL」、WriteViewが「netView」となる。ユーザDの場合には、「netmacAdmin」と対応するものであるから、ReadViewが「ALL」、WriteViewが「netmacView」となる。なおこのとき、該当グループのvacmAccessSecurityLevelの情報を参照し、ステップS1でここに記載した種類の認証が行われていなかった場合には、認証が不十分であるとしてエラー処理を行う。
一方、ステップS3でView名が取得できると、View毎にアクセスを許可する情報の範囲を規定しているvacmViewTreeFamilyTableを参照し、取得したView情報をもとにアクセスを許可できる範囲を把握する(S4)。vacmViewTreeFamilyTableにおいては、例えば「ALL」のViewに対応させてMIBツリーの全ての範囲、「netView」に対応させて設定Aの権限を持つユーザに設定アクセスを許可できる範囲、「netmacView」に対応させて設定Aと設定Bの双方の権限を持つユーザに設定アクセスを許可できる範囲が設定されている。そして、受信したパケットに記載されていたリクエストによりアクセスを要求されている範囲がステップS4で把握した範囲内か否かに応じて、そのリクエストに係る動作を許可するか否かを判断することができる。なお、vacmViewTreeFamilyTableは、図8では図示を省略したが、MIBツリーにおいてsnmpVacmMIBよりも下位に位置する情報であり、この意味ではVACMテーブルの一部であると言える。
次に、図6に示したようなアクセス管理テーブルの内容をもとに図7に示したようなUSMテーブルや図8に示したようなVACMテーブルを生成する処理について説明する。
この処理は、ネットワーク機器10のCPU11がSNMPデーモン141を実行することによって行うものであり、アクセス管理テーブルに含まれるユーザ名や、そのユーザ名と対応する認証情報及び権限情報とを、所定の変換規則に従って変換して行うものである。
そこで、ここではUSMテーブルとVACMテーブルの生成処理について、この変換規則の内容を中心に説明することにする。
この処理は、ネットワーク機器10のCPU11がSNMPデーモン141を実行することによって行うものであり、アクセス管理テーブルに含まれるユーザ名や、そのユーザ名と対応する認証情報及び権限情報とを、所定の変換規則に従って変換して行うものである。
そこで、ここではUSMテーブルとVACMテーブルの生成処理について、この変換規則の内容を中心に説明することにする。
図12に、アクセス管理テーブル中の各情報について、その情報から生成するUSMテーブル又はVACMテーブル中の情報の種類を示す。この図は、上記の変換規則による規定を示すものであり、左側の列の情報をもとに右側の列の情報を生成することを示すものである。
この図からわかるように、まず、アクセス管理テーブル中の「ユーザ名」の情報からは、usmUserTable中のusmUserNameとusmUserSecurityName、およびvacmSecurityToGroupTable中のvacmSecurityNameの情報を生成するようにしている。なお、この部分については、テーブル内に必要な記憶領域を用意し、アクセス管理テーブル中の「ユーザ名」の内容と同じものを、その記憶領域に記憶させればよい。
この図からわかるように、まず、アクセス管理テーブル中の「ユーザ名」の情報からは、usmUserTable中のusmUserNameとusmUserSecurityName、およびvacmSecurityToGroupTable中のvacmSecurityNameの情報を生成するようにしている。なお、この部分については、テーブル内に必要な記憶領域を用意し、アクセス管理テーブル中の「ユーザ名」の内容と同じものを、その記憶領域に記憶させればよい。
また、USMテーブルやVACMテーブル中での各ユーザに関する情報の記憶位置を示すMIBインデックスには、その一部にユーザ名を示すコードを使用するようにしている。例えば、ユーザ名が「UserA」のユーザのusmUserSecurityNameのMIBインデックスは、「....usmUserSecurityName.12.0.0.1.111.2.0.116.255.254.120.28.198.5.85.115.101.114.65」としており、このうち最後の「85.115.101.114.65」が「UserA」を示すコードである。ユーザ名が「UserB」であれば、この部分は「85.115.101.114.66」となる。
次に、アクセス管理テーブル中の「認証パスワード」の情報からは、authKeyの情報及びusmUserTable中のusmUserAuthProtocolの情報を生成する。ただし、これらの項目については、「認証パスワード」の情報をそのまま記憶させるわけではない。authKeyについては、「認証パスワード」をもとに生成したキーをさらにハッシュ処理して得たデータを生成して記憶させる。また、usmUserAuthProtocolについては、アクセス管理テーブルにおける「認証パスワード」の登録有無や、ネットワーク機器10が対応しているハッシュ処理の方式に基づいて、usmNoAuthProtocol(認証処理なし)、usmHMACSHAAuthProtocol(SHA-1を用いた認証処理)、usmHMACMD5AuthProtocol(MD5を用いた認証処理)、のようなオブジェクト値を生成して記憶させるようにしている。
また、アクセス管理テーブル中の「暗号パスワード」の情報からは、privKeyの情報及びusmUserTable中のusmUserPrivProtocolの情報を生成する。これらの項目についても、「暗号パスワード」の情報をそのまま記憶させるわけではなく、privKeyについては、「暗号パスワード」をもとに生成したキーをさらにハッシュ処理して得たデータ、すなわちそのユーザが送信してくるSNMPリクエストを復号化するための鍵を生成して記憶させる。また、usmUserPrivProtocolについては、アクセス管理テーブルにおける「認証パスワード」の登録有無や、ネットワーク機器10が対応している暗号方式に基づいて、usmNoPrivProtocol(暗号化処理なし)、usmDESPrivProtocol(DES(Data Encryption Standard)を用いた暗号化処理)のようなオブジェクト値を生成して記憶させるようにしている。
また、アクセス管理テーブル中の「権限」の情報からは、vacmSecurityToGroupTable中のvacmGroupNameの情報を生成する。さらに、生成したvacmGroupNameの情報をもとに、vacmAccessTableの情報も生成する。
このうち、vacmGroupNameの情報としては、「権限」の情報中で、各ユーザについて、SNMPv3を用いてアクセスロール管理を行う範囲の権限、すなわちSNMPを用いたMIB情報の設定に関する各権限の有無を参照し、そのユーザが有する権限の内容に応じた権限グループ名を記憶させるようにしている。
そして、このような処理を可能とするため、アクセス管理テーブル中でSNMPv3を用いてアクセスロール管理を行う範囲の権限を示す情報によって規定し得る権限の内容の各々について、その内容の権限を有するユーザについてvacmGroupNameの項目に設定すべき権限グループ名の定義を用意している。なお、SNMPv3を用いてアクセスロール管理を行う範囲外の権限を示す情報については、権限グループの決定に影響を及ぼさないため、ここでは無視することができる。
このうち、vacmGroupNameの情報としては、「権限」の情報中で、各ユーザについて、SNMPv3を用いてアクセスロール管理を行う範囲の権限、すなわちSNMPを用いたMIB情報の設定に関する各権限の有無を参照し、そのユーザが有する権限の内容に応じた権限グループ名を記憶させるようにしている。
そして、このような処理を可能とするため、アクセス管理テーブル中でSNMPv3を用いてアクセスロール管理を行う範囲の権限を示す情報によって規定し得る権限の内容の各々について、その内容の権限を有するユーザについてvacmGroupNameの項目に設定すべき権限グループ名の定義を用意している。なお、SNMPv3を用いてアクセスロール管理を行う範囲外の権限を示す情報については、権限グループの決定に影響を及ぼさないため、ここでは無視することができる。
図13に、この権限グループの定義の規定例を示す。なお、この図においては、各内容の権限と対応する権限グループ名に加え、その権限グループに関してvacmAccessTableに登録する情報の内容も示している。「権限の内容」については、参考用に記載しておくとよいが、特に必要な情報ではない。
図6の説明において述べたように、このネットワーク機器10においては、SNMPv3を用いて権限制御を行う範囲の権限として、設定A,設定B,参照A,参照Bの4種の権限を用意し、そのそれぞれについて、権限の有無を設定できるようにしている。そして、図13においては、5つの組み合わせのみについて例を示しているが、4種の権限の有無の組み合わせによって規定し得る権限の内容は、24=16通りである。そこで、実際には、この16通りのそれぞれについて、対応する権限グループ名及びその内容を定義するようにしている。従って、n種の権限について権限の有無を設定できるようにした場合には、2n個の権限グループを定義することになる。
図6の説明において述べたように、このネットワーク機器10においては、SNMPv3を用いて権限制御を行う範囲の権限として、設定A,設定B,参照A,参照Bの4種の権限を用意し、そのそれぞれについて、権限の有無を設定できるようにしている。そして、図13においては、5つの組み合わせのみについて例を示しているが、4種の権限の有無の組み合わせによって規定し得る権限の内容は、24=16通りである。そこで、実際には、この16通りのそれぞれについて、対応する権限グループ名及びその内容を定義するようにしている。従って、n種の権限について権限の有無を設定できるようにした場合には、2n個の権限グループを定義することになる。
そして、VACMテーブルを生成する際には、各ユーザについて、アクセス管理テーブル中における設定A,設定B,参照A,参照Bの権限の規定内容に従って図13に示したテーブルを検索し、vacmGroupNameに登録すべき権限グループ名の情報を取得する。このとき、各ユーザが有する権限の情報は、最終的に全て揃えばよく、権限の種類毎にその権限を有するユーザの情報を収集するようにしてもよい。
また、あるグループ名が初めてVACMテーブルに登録された場合には、vacmAccessTableにその権限グループに関する情報を記憶する領域を用意し、vacmAccessSecurityLevel,vacmAccessReadViewName,vacmAccessWriteViewName等の情報を、図13に示したテーブルからコピーして登録する。1つのグループに2人以上のユーザが属することになる場合には、vacmAccessTableへの登録は一度だけでよい。
また、あるグループ名が初めてVACMテーブルに登録された場合には、vacmAccessTableにその権限グループに関する情報を記憶する領域を用意し、vacmAccessSecurityLevel,vacmAccessReadViewName,vacmAccessWriteViewName等の情報を、図13に示したテーブルからコピーして登録する。1つのグループに2人以上のユーザが属することになる場合には、vacmAccessTableへの登録は一度だけでよい。
このような処理を行うと、全てのユーザに関する情報を登録し終わった状態では、VACMテーブルにおいて、アクセス管理テーブル中の権限情報により定義されている全ての種類の権限と対応する内容の権限を示す権限グループが定義されていることになる。従って、完成したVACMテーブルの内容に基づいてSNMPv3を用いたアクセスロール制御を行うことにより、各ユーザにアクセス管理テーブルにおける定義内容と同じ権限を与える制御を行うことができる。
また、アクセス管理テーブルにおいて規定し得る全ての権限と対応する権限グループの定義を用意しておくようにしているので、アクセス管理テーブルにおいて、複数の権限の組み合わせにより権限の定義がなされていても、1ユーザが1つの権限グループにしか所属できないSNMPv3において、各ユーザにアクセス管理テーブルにおける定義内容と同じ権限を与える制御を行うことができる。
以上説明してきたような変換規則に従ったUSMテーブルやVACMテーブルの生成は、このネットワーク機器10においては、各項目に関する変換を行うためのプログラムコードをそれぞれ作成して記憶させておき、これをCPU11に実行させることにより行うようにしている。しかし、各項目についての変換規則の内容をテーブル等に記憶させ、これを逐次読み出させて内容に従った処理を行わせるようにしてもよい。
また、変換規則の説明に用いた図12及び図13においては、図6や図8に示した項目の範囲内でのみVACMテーブルに登録すべき情報の定義を示している。しかし、より詳細な情報に関する変換規則や定義を含めるようにしてよいことはもちろんである。また、図13に示した内容について、権限の内容と権限グループとの対応関係と、各権限グループeについてのvacmAccessTableの内容とを、別のテーブルで定義するようにしてもよい。また、全ての権限が「×」であるユーザに対しては、対応する権限グループを用意せず、このようなユーザをUSMテーブルやVACMテーブルに登録しないようにしてもよい。
さらに、vacmAccessReadViewNameやvacmAccessWriteViewNameの項目にView名を記憶させる場合、そのViewの内容をvacmViewTreeFamilyTableに記憶させる必要があるが、このために必要な各Viewの定義も、変換規則の一部として記憶させておくものとする。例えば、netmacViewの範囲として設定Aと設定Bの両方の権限を有するユーザに設定アクセスを許可する範囲を記載し、netViewの範囲として設定Bの権限を有するユーザに設定アクセスを許可する範囲を記載し、macViewの範囲として設定Aの権限を有するユーザに設定アクセスを許可する範囲を記載する、等である。
また、以上のようなUSMテーブルやVACMテーブルの生成は、まずネットワーク機器10の起動時に行い、生成したテーブルを用いてSNMPv3による認証及び権限管理の制御を行うようにしている。
図14に、この処理のフローチャートを示す。
ネットワーク機器10のCPU11は、所要の制御プログラムを実行することにより、ネットワーク機器10の起動時に図14のフローチャートに示す処理を開始する。そして、まずステップS11で、アクセス管理テーブルを読み出す。この読み出したアクセス管理テーブルは、SNMPv3以外での認証や権限管理の処理に利用できるようにする。
図14に、この処理のフローチャートを示す。
ネットワーク機器10のCPU11は、所要の制御プログラムを実行することにより、ネットワーク機器10の起動時に図14のフローチャートに示す処理を開始する。そして、まずステップS11で、アクセス管理テーブルを読み出す。この読み出したアクセス管理テーブルは、SNMPv3以外での認証や権限管理の処理に利用できるようにする。
そして、ステップS12では、図12及び図13を用いて説明したような変換規則に基づいて、ステップS11で読み出したアクセス管理テーブル上の情報から、図7及び図8に示したようなUSMテーブル及びVACMテーブルを構成するMIB情報を生成する。その後、ステップS13で、SNMPによる通信を開始し、ステップS12で生成したUSMテーブル及びVACMテーブル上のMIB情報に基づくアクセスロール管理を開始し、処理を終了する。
USMテーブルやVACMテーブルの内容は、アクセス管理テーブルの内容に応じて動的に生成されるものであるから、このように、機器の起動時には新たに生成し直すことが好ましい。そして、このようにすることにより、機器の起動時から、アクセス管理テーブルの内容に従ったSNMPv3によるアクセスロール管理の処理を行うことができる。
USMテーブルやVACMテーブルの内容は、アクセス管理テーブルの内容に応じて動的に生成されるものであるから、このように、機器の起動時には新たに生成し直すことが好ましい。そして、このようにすることにより、機器の起動時から、アクセス管理テーブルの内容に従ったSNMPv3によるアクセスロール管理の処理を行うことができる。
また、USMテーブルやVACMテーブルの内容は、アクセス管理テーブルの内容と整合している必要があるから、アクセス管理テーブルの内容が変更された場合にも、図14に示したものと同様な処理を行ってUSMテーブルやVACMテーブルを再度生成するようにするとよい。この処理は、SNMPデーモンの再起動処理に相当する。ただし、この場合には、アクセス管理テーブルは既に読み出されているので、ステップS11の処理は不要である。また、アクセス管理テーブル以外でも、USMテーブルやVACMテーブルの内容に影響を及ぼすような設定が変更された場合には、同様な取り扱いとするとよい。
ところで、アクセス管理テーブルの内容変更は、例えばネットワーク機器10の操作パネルから指示することができる。また、ネットワーク機器10にウェブサーバ機能を設け、PC20等の外部装置からのブラウザによるアクセスに応じてGUI(グラフィカル・ユーザ・インタフェース)を含むウェブ画面を提供し、そのGUIによって変更指示を受け付けるようにしてもよい。
図15及び図16に、このようなGUIの例を示す。
この図に示すGUI40は、最大5人のユーザA乃至ユーザEについて、SNMPv3を用いて権限制御を行う範囲の権限である設定A,設定B,参照A,参照Bの4種の権限の有無を設定すると共に、そのユーザの認証に使用するユーザ名、認証パスワード及び暗号パスワードの設定を受け付けるためのGUIである。そして、権限情報を変更する権限を有するユーザが表示を要求して認証を受けた場合のみ、要求元にこのような画面のデータを提供して表示させるようにしている。
この図に示すGUI40は、最大5人のユーザA乃至ユーザEについて、SNMPv3を用いて権限制御を行う範囲の権限である設定A,設定B,参照A,参照Bの4種の権限の有無を設定すると共に、そのユーザの認証に使用するユーザ名、認証パスワード及び暗号パスワードの設定を受け付けるためのGUIである。そして、権限情報を変更する権限を有するユーザが表示を要求して認証を受けた場合のみ、要求元にこのような画面のデータを提供して表示させるようにしている。
そして、画面上部の権限設定部41においては、各権限についてその権限を付与したいユーザのチェックボックスをONにすることにより、該当する権限をそのユーザに付与する設定を行うことができるようにしている。各チェックボックスは独立にON/OFFが可能であり、図15においては、図6に示した設定内容と対応するようにチェックボックスをONにした例を示している。
また、権限設定部41の下には、各ユーザ毎に認証情報設定部42を設けている。そして、ユーザ名入力部43にユーザ名を入力することにより、対応するユーザのユーザ名を設定することができる。また、パスワードについては、変更ボタン44を押下すると、図16に示すようなパスワード変更画面50がポップアップ表示され、パスワード入力欄51及び52に設定したいパスワードを入力してOKボタン53を押下することにより、GUI40で押下した変更ボタンと対応するパスワードを設定することができる。キャンセルキー54を押下した場合には、設定を行わずにGUI40に戻る。
また、権限設定部41の下には、各ユーザ毎に認証情報設定部42を設けている。そして、ユーザ名入力部43にユーザ名を入力することにより、対応するユーザのユーザ名を設定することができる。また、パスワードについては、変更ボタン44を押下すると、図16に示すようなパスワード変更画面50がポップアップ表示され、パスワード入力欄51及び52に設定したいパスワードを入力してOKボタン53を押下することにより、GUI40で押下した変更ボタンと対応するパスワードを設定することができる。キャンセルキー54を押下した場合には、設定を行わずにGUI40に戻る。
そして、ユーザが以上の各部を操作して必要な設定を行ったあと、適用ボタン46を押下すると、その内容がネットワーク機器10に送信され、ネットワーク機器10において、アクセス管理テーブルの内容が変更される。
また、更新ボタン45が押下された場合には、GUI40にネットワーク機器10における最新の登録内容が反映される。
また、更新ボタン45が押下された場合には、GUI40にネットワーク機器10における最新の登録内容が反映される。
このようなGUI40を用いることにより、図6に示したようなアクセス制御テーブルの内容を容易に設定することができる。そして、アクセス制御テーブルの内容を変更した場合には、その内容をUSMテーブルとVACMテーブルに反映させるようにしているので、SNMPv3を用いたアクセスロール管理の設定も同じく容易に行うことができると言える。なお、GUIとして、6人目以降のユーザを追加できるようにしたり、他の権限に関する設定を行えるようにした画面を用意してもよいことは、もちろんである。
以上説明してきたようなネットワーク機器10においては、従来から使用されてきたようなSNMPv3を用いないアクセスロール管理に使用する情報と、SNMPv3によるアクセスロール管理に使用する情報とを一元管理することができるため、双方のアクセスロール管理機能に係る各ユーザの認証情報や権限情報の管理や設定等を容易に行えるようにすることができる。
この場合において、SNMPv3では、1ユーザは1つの権限グループにしか所属できないという制約がある。しかし、上述したような変換規則を用意しておき、その変換規則に従ってUSMテーブルやVACMテーブルを生成するようにしたことにより、SNMPv3を用いないアクセスロール管理で、1ユーザが複数の権限を有するような設定が可能な場合であっても、容易にSNMPv3のフォーマット上の要求を満たすデータに変換することができる。
従って、旧来のアクセスロール管理の機能を最大限利用しながら、SNMPv3によるアクセスロール管理の内容を設定することができる。この場合において、認証や暗号化を行わず、制限された情報のみを参照することが可能な図13のgeneralのような権限グループを用意しておけば、重要な情報についてはセキュリティの向上を図りつつ、認証や暗号化に対応していないプリンタドライバ等にもSNMPを利用したネットワーク機器10の情報取得を可能とし、SNMPを利用したポートの生成等の機能を利用できるようにすることができる。
〔変形例:図17乃至図20〕
次に、上述した実施形態の変形例について説明する。この変形例は、SNMPv3に係るリクエストを受信した際、USMテーブルやVACMテーブルの内容に従ったアクセスロール管理の結果、リクエストに係る動作を許可してよいと判断した場合でも、所定の場合にはレスポンスに変更を加えて返すようにした点が、上述の実施形態の場合と異なるのみである。そこで、この変形例については、この点を中心に説明する。
次に、上述した実施形態の変形例について説明する。この変形例は、SNMPv3に係るリクエストを受信した際、USMテーブルやVACMテーブルの内容に従ったアクセスロール管理の結果、リクエストに係る動作を許可してよいと判断した場合でも、所定の場合にはレスポンスに変更を加えて返すようにした点が、上述の実施形態の場合と異なるのみである。そこで、この変形例については、この点を中心に説明する。
まず、図17に、この変形例のネットワーク機器が、SNMPv3に係るリクエストを受信した場合に行う処理のフローチャートを示す。
この変形例においては、ネットワーク機器10は、SNMPデーモンを実行することにより、SNMPv3に係るリクエストを受信すると、図17のフローチャートに示す処理を開始する。
この変形例においては、ネットワーク機器10は、SNMPデーモンを実行することにより、SNMPv3に係るリクエストを受信すると、図17のフローチャートに示す処理を開始する。
そして、まずステップS21で、USMテーブルやVACMテーブルの内容から、要求送信元のアクセス権限を把握する。この処理は、上述の実施形態において図11を用いて説明した処理と同じものでよい。
その後ステップS22で、ステップS21の結果に基づいてリクエストに係る動作を許可してよいか否か判断し、許可してよければステップS23に進む。上述の実施形態においては、この場合にはリクエストに係る動作を実行するようにしていたのであるが、この変形例においては、ステップS23で、リクエストの内容が情報の取得に係るものであるか否か判断する。
その後ステップS22で、ステップS21の結果に基づいてリクエストに係る動作を許可してよいか否か判断し、許可してよければステップS23に進む。上述の実施形態においては、この場合にはリクエストに係る動作を実行するようにしていたのであるが、この変形例においては、ステップS23で、リクエストの内容が情報の取得に係るものであるか否か判断する。
そして、情報の取得に係るものであれば、ステップS24に進み、情報をそのまま提供してよいか否か判断する。この判断基準としては、ユーザ名、権限グループ名、送信元IPアドレス等が考えらる。そして、MIBツリーの特定の領域については特定の条件を満たす送信元にしか情報を提供しない、あるいは特定の条件を満たす送信元には情報を提供しない、等の条件をNVRAM14等に予め設定しておくようにすることが考えられる。例えば、パスワードやキーに関する情報は、アクセス権限を有するユーザの中でも特に信頼の置けるユーザのみに許可する、あるいは特定の端末からアクセスしてきた場合のみ許可する、といった条件を設定することが考えられる。そして、この条件と、ステップS21における認証及び権限管理処理で得られる情報やSNMPリクエスト受信の際に取得できる情報とを比較することにより、このステップS24の判断を行うことができる。
そして、ステップS24で提供してよければ、ステップS25で要求された情報(ここではMIBの値)をそのままレスポンス領域に設定し、ステップS27でSNMPのレスポンス処理を行う。
また、ステップS24で提供すべきでないと判断すれば、ステップS26で要求された情報をマスクしてレスポンス領域に設定し、同じくレスポンスの処理を行う。ここで、マスク処理としては、例えばMIB値に代えて所定数の「*」のような記号を記載する、あるいは「NULL」を記載する、等が考えられる。
なお、ステップS23でNOであれば、そのままSNMPリクエストの内容に応じた処理を行ってレスポンスを返す。また、ステップS22でNOであれば、リクエストに係る動作を実行せずにレスポンスを返す。
また、ステップS24で提供すべきでないと判断すれば、ステップS26で要求された情報をマスクしてレスポンス領域に設定し、同じくレスポンスの処理を行う。ここで、マスク処理としては、例えばMIB値に代えて所定数の「*」のような記号を記載する、あるいは「NULL」を記載する、等が考えられる。
なお、ステップS23でNOであれば、そのままSNMPリクエストの内容に応じた処理を行ってレスポンスを返す。また、ステップS22でNOであれば、リクエストに係る動作を実行せずにレスポンスを返す。
以上のような処理を行うことにより、USMテーブルやVACMテーブルを用いたアクセスロール管理に加えてさらにきめの細かい管理が可能になり、一層のセキュリティ強化を図ることができる。
なお、ステップS24での判断に使用する情報として、MIB値を提供してよいか否かだけでなく、その他の処理、例えばMIB値に簡単な暗号化を施してレスポンス領域に設定するといった処理を行うようにする条件を定めるようにしてもよい。このようにすれば、一層きめの細かい管理が可能になる。
なお、ステップS24での判断に使用する情報として、MIB値を提供してよいか否かだけでなく、その他の処理、例えばMIB値に簡単な暗号化を施してレスポンス領域に設定するといった処理を行うようにする条件を定めるようにしてもよい。このようにすれば、一層きめの細かい管理が可能になる。
また、ここでは情報の提供の場合のみステップS24のような判断を行うようにしたが、情報の設定の場合にも同様な判断を行うようにしてもよい。
さらに、ここでは図17に示したような処理を上述した実施形態のネットワーク機器に適用する例について説明したが、ステップS21において使用するUSMテーブルやVACMテーブルは、アクセス管理テーブルをもとに生成されたものであることは必須ではない。そして、USMテーブルやVACMテーブルの内容をユーザが直接定義するようなネットワーク機器であっても、この処理による効果を得ることはできる。
以下に図17に示した処理のバリエーションをさらに2例説明するが、これらの点は、後述の例についても同様に当てはまる。
さらに、ここでは図17に示したような処理を上述した実施形態のネットワーク機器に適用する例について説明したが、ステップS21において使用するUSMテーブルやVACMテーブルは、アクセス管理テーブルをもとに生成されたものであることは必須ではない。そして、USMテーブルやVACMテーブルの内容をユーザが直接定義するようなネットワーク機器であっても、この処理による効果を得ることはできる。
以下に図17に示した処理のバリエーションをさらに2例説明するが、これらの点は、後述の例についても同様に当てはまる。
図18に、このバリエーションの1つを示す。
この処理においては、図17に示した処理のステップS24とステップS25の間にステップSAを挿入し、ステップS24でYESの場合でも、情報の暗号化が可能でない場合にはMIB値をマスクしてレスポンス領域に設定するようにしたものである。暗号化の可否は、受信したSNMPリクエストに係るパケットに暗号キーが含まれていたか否かに応じて判断することができる。このような処理を行うようにすれば、ネットワーク上に流すMIB情報には必ず暗号化を行うことができるので、より一層のセキュリティ強化を図ることができる。
この処理においては、図17に示した処理のステップS24とステップS25の間にステップSAを挿入し、ステップS24でYESの場合でも、情報の暗号化が可能でない場合にはMIB値をマスクしてレスポンス領域に設定するようにしたものである。暗号化の可否は、受信したSNMPリクエストに係るパケットに暗号キーが含まれていたか否かに応じて判断することができる。このような処理を行うようにすれば、ネットワーク上に流すMIB情報には必ず暗号化を行うことができるので、より一層のセキュリティ強化を図ることができる。
また、図19に、別のバリエーションを示す。
この処理においては、図18に示した処理のステップS23とステップS24の間にステップSBを挿入し、情報の提供を制限しないように設定されているホストからのSNMPリクエストについては、ステップS24やステップSAの判断を経ずに、ステップS25に進むようにしている。ステップSBの判断基準は、ステップS24の判断基準の場合と同様にNVRAM14に記憶させておけばよい。
この処理においては、図18に示した処理のステップS23とステップS24の間にステップSBを挿入し、情報の提供を制限しないように設定されているホストからのSNMPリクエストについては、ステップS24やステップSAの判断を経ずに、ステップS25に進むようにしている。ステップSBの判断基準は、ステップS24の判断基準の場合と同様にNVRAM14に記憶させておけばよい。
ユーザ環境によっては、セキュリティ管理が行き届いているホストからのアクセスについてはあまり認証や権限のチェックを強化せず、処理負荷を低減したいという要求もあるが、図19に示したような処理により、このような要求に応えることができる。
なお、図19においてステップSAを設けないようにすることも可能である。
以上で、SNMPv3に係るリクエストを受信した場合の処理に関する変形例の説明を終了する。
なお、図19においてステップSAを設けないようにすることも可能である。
以上で、SNMPv3に係るリクエストを受信した場合の処理に関する変形例の説明を終了する。
しかし、これら以外でも、上述した実施形態には様々な変形を適用可能である。例えば、ソフトウェアの構成や使用する通信プロトコル、データの形式、内容等が上述の実施形態で説明したものに限られないことはもちろんである。また、USMテーブルやVACMテーブルの生成を、これらのテーブルを制御に使用する機器自身で行うことは必須ではなく、外部の処理サーバ等に行わせるようにしてもよい。あるいは、アクセス管理テーブルを認証サーバ等で管理するようにし、必要に応じてそのアクセス管理テーブルからUSMテーブルやVACMテーブルを生成してネットワーク機器に転送し、制御に使用させるようにすることも考えられる。この場合には、これらの処理サーバや認証サーバもこの発明の通信装置の実施形態である。
また、この発明が、ネットワークを介して他の通信装置と適用可能な通信装置であれば、どのような通信装置にも適用可能であることはもちろんである。適用対象としては、例えば、プリンタ,FAX装置,デジタル複写機,スキャナ装置,デジタル複合機等の画像処理装置のほか、汎用コンピュータ,ネットワーク家電,自動販売機,医療機器,電源装置,空調システム,ガス・水道・電気等の計量システム,自動車,航空機等に通信機能を持たせた通信装置が考えられる。
また、この発明によるプログラムは、コンピュータを、上述したネットワーク機器10のような通信装置として機能させるためのプログラムであり、このようなプログラムをコンピュータに実行させることにより、上述したような効果を得ることができる。
このようなプログラムは、はじめからコンピュータに備えるROMあるいはHDD等の記憶手段に格納しておいてもよいが、記録媒体であるCD−ROMあるいはフレキシブルディスク,SRAM,EEPROM,メモリカード等の不揮発性記録媒体(メモリ)に記録して提供することもできる。そのメモリに記録されたプログラムをコンピュータにインストールしてCPUに実行させるか、CPUにそのメモリからこのプログラムを読み出して実行させることにより、上述した各手順を実行させることができる。
さらに、ネットワークに接続され、プログラムを記録した記録媒体を備える外部機器あるいはプログラムを記憶手段に記憶した外部機器からダウンロードして実行させることも可能である。
このようなプログラムは、はじめからコンピュータに備えるROMあるいはHDD等の記憶手段に格納しておいてもよいが、記録媒体であるCD−ROMあるいはフレキシブルディスク,SRAM,EEPROM,メモリカード等の不揮発性記録媒体(メモリ)に記録して提供することもできる。そのメモリに記録されたプログラムをコンピュータにインストールしてCPUに実行させるか、CPUにそのメモリからこのプログラムを読み出して実行させることにより、上述した各手順を実行させることができる。
さらに、ネットワークに接続され、プログラムを記録した記録媒体を備える外部機器あるいはプログラムを記憶手段に記憶した外部機器からダウンロードして実行させることも可能である。
以上説明してきたように、この発明の権限情報生成方法、通信装置、プログラム又は記録媒体によれば、1つの通信装置に、SNMPv3を用いないアクセスロール管理機能と、SNMPv3を用いたアクセスロール管理機能とを並存させる場合であっても、双方のアクセスロール管理機能に係る各ユーザの認証情報や権限情報の管理や設定等を容易に行えるようにすることができる。
従って、この発明を利用することにより、高いセキュリティと利便性を両立した通信装置を構成することができる。
従って、この発明を利用することにより、高いセキュリティと利便性を両立した通信装置を構成することができる。
10,201:ネットワーク機器、11:CPU、12:ROM、13:RAM、
14:NVRAM、15:HDD、16:ネットワークI/F、17:エンジン部、
18:システムバス、20:PC、30,204:ネットワーク、
110:機能管理部、120:セキュリティ管理部、130:機器アクセス管理部、
140:ネットワーク管理部、141:SNMPデーモン、142:変換機能部、
150:設定機能部、160:機器アクセス管理用情報記憶部、
161:アクセス管理テーブル、170:SNMPv3アクセス管理用情報記憶部、
171:USMテーブル、172:VACMテーブル、180:SNMP情報記憶部、
202,203:端末装置
14:NVRAM、15:HDD、16:ネットワークI/F、17:エンジン部、
18:システムバス、20:PC、30,204:ネットワーク、
110:機能管理部、120:セキュリティ管理部、130:機器アクセス管理部、
140:ネットワーク管理部、141:SNMPデーモン、142:変換機能部、
150:設定機能部、160:機器アクセス管理用情報記憶部、
161:アクセス管理テーブル、170:SNMPv3アクセス管理用情報記憶部、
171:USMテーブル、172:VACMテーブル、180:SNMP情報記憶部、
202,203:端末装置
Claims (24)
- SNMPv3を用いた制御に使用する権限情報を生成する権限情報生成方法であって、
データ処理機能を有する装置が、
SNMPv3以外で管理している権限情報である第1の権限情報と、該第1の権限情報を前記SNMPv3を用いた制御に使用する権限情報である第2の権限情報に変換するための変換規則とを記憶し、
前記第1の権限情報に含まれるユーザ名と、そのユーザ名と対応する権限情報とを、前記変換規則に従って変換して前記第2の権限情報を生成することを特徴とする権限情報生成方法。 - 請求項1記載の権限情報生成方法であって、
前記第1の権限情報は、各ユーザ毎に、複数の権限についてその権限を許可するか否かを示す情報を含むものであることを特徴とする権限情報生成方法。 - 請求項1又は2記載の権限情報生成方法であって、
前記変換規則に従って生成する第2の権限情報が、VACMテーブルにおいて、前記第1の権限情報中で定義されている全ての種類の権限と対応する内容の権限を示す権限グループが定義されているものであることを特徴とする権限情報生成方法。 - 請求項1又は2記載の権限情報生成方法であって、
前記変換規則は、前記第1の権限情報中における情報の項目と、その項目の情報に基づいて生成する前記第2の権限情報中の項目との対応関係の規定を含むものであることを特徴とする権限情報生成方法。 - 請求項4記載の権限情報生成方法であって、
前記変換規則が、前記第1の権限情報中の権限情報に基づいて前記第2の権限情報中のvacmGroupNameの項目の情報を定める旨の規定を含み、さらに、前記権限情報によって規定し得る権限の内容の各々について、その内容の権限を有するユーザについてvacmGroupNameの項目に設定すべき情報の定義を含むものであることを特徴とする権限情報生成方法。 - 請求項1乃至5のいずれか一項記載の権限情報生成方法であって、
前記データ処理機能を有する装置は、SNMPv3を用いて自身の制御を行う機能を有する装置であり、
該装置が、起動時に自身が記憶している第1の権限情報から前記第2の権限情報を生成し、該生成した第2の権限情報を自身の制御に使用するようにしたことを特徴とする権限情報生成方法。 - 請求項1乃至6のいずれか一項記載の権限情報生成方法であって、
前記第1及び第2の権限情報が、ユーザを認証するための認証情報を含むものであることを特徴とする権限情報生成方法。 - SNMPv3以外で管理している権限情報である第1の権限情報と、該第1の権限情報をSNMPv3を用いた制御に使用する権限情報である第2の権限情報に変換するための変換規則とを記憶する記憶手段と、
前記第1の権限情報に含まれるユーザ名と、そのユーザ名と対応する権限情報とを前記変換規則に従って変換して前記第2の権限情報を生成する変換手段とを有することを特徴とする通信装置。 - 請求項8記載の通信装置であって、
前記第1の権限情報は、各ユーザ毎に、複数の権限についてその権限を許可するか否かを示す情報を含むものであることを特徴とする通信装置。 - 請求項8又は9記載の通信装置であって、
前記変換手段が生成する第2の権限情報が、VACMテーブルにおいて、前記第1の権限情報中で定義されている全ての種類の権限と対応する内容の権限を示す権限グループが定義されているものであることを特徴とする通信装置。 - 請求項8乃至10のいずれか一項記載の通信装置であって、
前記変換手段は、当該通信装置の起動時に前記第2の権限情報を生成する手段であり、
該生成した第2の権限情報をSNMPv3を用いた自身の制御に使用するようにしたことを特徴とする通信装置。 - 請求項8乃至11のいずれか一項記載の通信装置であって、
前記第1及び第2の権限情報が、ユーザを認証するための認証情報を含むものであることを特徴とする通信装置。 - コンピュータにSNMPv3を用いた制御に使用する権限情報を生成させるためのプログラムであって、
前記コンピュータに、
SNMPv3以外で管理している権限情報である第1の権限情報と、該第1の権限情報を前記SNMPv3を用いた制御に使用する権限情報である第2の権限情報に変換するための変換規則とを記憶する手順と、
前記第1の権限情報に含まれるユーザ名と、そのユーザ名と対応する権限情報とを前記変換規則に従って変換して前記第2の権限情報を生成する手順とを実行させるためのプログラムを含むことを特徴とするプログラム。 - 請求項13記載のプログラムであって、
前記第1の権限情報は、各ユーザ毎に、複数の権限についてその権限を許可するか否かを示す情報を含むものであることを特徴とするプログラム。 - 請求項13又は14記載のプログラムであって、
前記変換規則に従って生成する第2の権限情報が、VACMテーブルにおいて、前記第1の権限情報中で定義されている全ての種類の権限と対応する内容の権限を示す権限グループが定義されているものであることを特徴とするプログラム。 - 請求項13又は14記載のプログラムであって、
前記変換規則は、前記第1の権限情報中における情報の項目と、その項目の情報に基づいて生成する前記第2の権限情報中の項目との対応関係の規定を含むものであることを特徴とするプログラム。 - 請求項16記載のプログラムであって、
前記変換規則が、前記第1の権限情報中の権限情報に基づいて前記第2の権限情報中のvacmGroupNameの項目の情報を定める旨の規定を含み、さらに、前記権限情報によって規定し得る権限の内容の各々について、その内容の権限を有するユーザについてvacmGroupNameの項目に設定すべき情報の定義を含むものであることを特徴とするプログラム。 - 請求項13乃至17のいずれか一項記載のプログラムであって、
前記コンピュータに、
SNMPv3を用いて通信装置の制御を行う機能と、
自身の起動時に自身が記憶している第1の権限情報から前記第2の権限情報を生成し、該生成した第2の権限情報を前記通信装置の制御に使用する機能とを実現させるためのプログラムを更に含むことを特徴とするプログラム。 - コンピュータを、
SNMPv3以外で管理している権限情報である第1の権限情報と、該第1の権限情報をSNMPv3を用いた制御に使用する権限情報である第2の権限情報に変換するための変換規則とを記憶する記憶手段と、
前記第1の権限情報に含まれるユーザ名と、そのユーザ名と対応する権限情報とを、前記変換規則に従って変換して前記第2の権限情報を生成する変換手段として機能させるためのプログラム。 - 請求項19記載のプログラムであって、
前記第1の権限情報は、各ユーザ毎に、複数の権限についてその権限を許可するか否かを示す情報を含むものであることを特徴とするプログラム。 - 請求項19又は20記載のプログラムであって、
前記変換手段が生成する第2の権限情報が、VACMテーブルにおいて、前記第1の権限情報中の権限情報により定義されている全ての種類の権限と対応する内容の権限を示す権限グループが定義されているものであることを特徴とするプログラム。 - 請求項19乃至21のいずれか一項記載のプログラムであって、
前記変換手段は、前記コンピュータの起動時に前記第2の権限情報を生成する手段であり、
前記コンピュータに、その生成した第2の権限情報をSNMPv3を用いた通信装置の制御に使用する機能を実現させるためのプログラムを更に含むことを特徴とするプログラム。 - 請求項13乃至22のいずれか一項記載のプログラムであって、
前記第1及び第2の権限情報が、ユーザを認証するための認証情報を含むものであることを特徴とするプログラム。 - 請求項13乃至23のいずれか一項記載のプログラムを記録したコンピュータ読み取り可能な記録媒体。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004272473A JP4455965B2 (ja) | 2004-09-17 | 2004-09-17 | 権限情報生成方法、通信装置、プログラム及び記録媒体 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004272473A JP4455965B2 (ja) | 2004-09-17 | 2004-09-17 | 権限情報生成方法、通信装置、プログラム及び記録媒体 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2006085643A JP2006085643A (ja) | 2006-03-30 |
| JP4455965B2 true JP4455965B2 (ja) | 2010-04-21 |
Family
ID=36164069
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2004272473A Expired - Lifetime JP4455965B2 (ja) | 2004-09-17 | 2004-09-17 | 権限情報生成方法、通信装置、プログラム及び記録媒体 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4455965B2 (ja) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101401381B1 (ko) | 2012-03-27 | 2014-05-30 | 계명대학교 산학협력단 | 뷰 기반의 아이이디 접근 제어 방법 및 시스템 |
Families Citing this family (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP5013838B2 (ja) | 2006-12-11 | 2012-08-29 | キヤノン株式会社 | ネットワーク管理システム、情報処理装置、および情報処理装置の制御方法 |
| JP4958674B2 (ja) * | 2007-07-26 | 2012-06-20 | 京セラドキュメントソリュ−ションズ株式会社 | データ送信制御プログラム及びデータ送信制御システム |
| JP5169082B2 (ja) * | 2007-09-04 | 2013-03-27 | 株式会社リコー | 情報処理装置、機器情報通信プログラム及び情報処理装置管理システム |
| JP4968021B2 (ja) | 2007-11-29 | 2012-07-04 | ブラザー工業株式会社 | 通信装置とコンピュータプログラム |
| JP2009245075A (ja) | 2008-03-31 | 2009-10-22 | Brother Ind Ltd | データ提供システムおよび通信装置 |
| JP4737302B2 (ja) | 2009-02-03 | 2011-07-27 | ブラザー工業株式会社 | 管理装置及びコンピュータプログラム |
| JP5383330B2 (ja) * | 2009-06-09 | 2014-01-08 | キヤノン株式会社 | デバイス管理装置、制御方法、及びプログラム |
| JP6228421B2 (ja) * | 2013-10-11 | 2017-11-08 | キヤノン株式会社 | 情報処理装置及びその制御方法、並びにプログラム |
| JP6410517B2 (ja) * | 2014-08-18 | 2018-10-24 | キヤノン株式会社 | 画像処理装置、情報処理方法及びプログラム |
| CN108073118B (zh) * | 2016-11-16 | 2020-05-19 | 浙江群实王网络科技有限公司 | 一种基于手机app的车体监控系统及方法 |
| JP6852386B2 (ja) * | 2016-12-26 | 2021-03-31 | ブラザー工業株式会社 | 通信装置 |
| JP6383476B2 (ja) * | 2017-10-16 | 2018-08-29 | キヤノン株式会社 | 情報処理装置及びその制御方法、並びにプログラム |
-
2004
- 2004-09-17 JP JP2004272473A patent/JP4455965B2/ja not_active Expired - Lifetime
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101401381B1 (ko) | 2012-03-27 | 2014-05-30 | 계명대학교 산학협력단 | 뷰 기반의 아이이디 접근 제어 방법 및 시스템 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2006085643A (ja) | 2006-03-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4821405B2 (ja) | ファイルアクセス制御装置及びファイル管理システム | |
| JP5968077B2 (ja) | 情報処理装置、その制御方法、プログラム、及び画像処理装置 | |
| JP6465542B2 (ja) | 情報処理装置、その制御方法及びプログラム | |
| JP4109874B2 (ja) | 情報処理装置、その制御方法、プログラム及び記録媒体 | |
| US9088566B2 (en) | Information processing system, information processing device, and relay server | |
| JP4455965B2 (ja) | 権限情報生成方法、通信装置、プログラム及び記録媒体 | |
| US20070124799A1 (en) | Authentication agent apparatus, authentication method, and program product therefor | |
| JP6198507B2 (ja) | 画像形成装置及びその制御方法、並びにプログラム | |
| JP2005284985A (ja) | ネットワーク対応機器、ネットワーク対応機器を保守する保守方法、プログラム、プログラムが記録された媒体及び保守システム | |
| JP2015075902A (ja) | 画像形成装置、その制御方法とプログラム | |
| JP5277810B2 (ja) | 処理装置とプログラム | |
| JP5272602B2 (ja) | 認証機能連携機器、認証機能連携システム及び認証機能連携プログラム | |
| JP2010074431A (ja) | 外部認証を用いた認証機能連携機器、認証機能連携システム及び認証機能連携プログラム | |
| JP5716390B2 (ja) | ネットワーク通信方法、ネットワーク通信システム、ネットワーク通信装置、及びそのプログラム | |
| JP2009080699A (ja) | 情報処理装置、情報処理システム、情報処理プログラム、画像形成装置、画像形成システムおよび画像形成プログラム | |
| US8156329B2 (en) | Network device management apparatus and control method thereof | |
| JP6333005B2 (ja) | 画像形成装置及びその制御方法とプログラム | |
| JP6136781B2 (ja) | 画像処理装置認証システム及びその画像処理装置 | |
| JP2006251996A (ja) | クライアント装置、画像処理システム、クライアント装置の制御方法、プログラム及び記録媒体 | |
| EP1854260B1 (en) | Access rights control in a device management system | |
| JP2007087384A (ja) | ネットワーク装置管理システム、方法およびプログラム | |
| JP4289817B2 (ja) | 情報管理装置及び方法 | |
| JP2019152965A (ja) | 情報処理装置およびプログラム | |
| JP5062082B2 (ja) | デバイス管理システム | |
| JP2006079359A (ja) | 通信装置、通信装置の制御方法、プログラム及び記録媒体 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20070216 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20090501 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20091117 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20100113 |
|
| RD02 | Notification of acceptance of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7422 Effective date: 20100113 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20100202 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20100204 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130212 Year of fee payment: 3 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 4455965 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130212 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140212 Year of fee payment: 4 |