JP4894432B2 - Cooperation control device - Google Patents
Cooperation control device Download PDFInfo
- Publication number
- JP4894432B2 JP4894432B2 JP2006255102A JP2006255102A JP4894432B2 JP 4894432 B2 JP4894432 B2 JP 4894432B2 JP 2006255102 A JP2006255102 A JP 2006255102A JP 2006255102 A JP2006255102 A JP 2006255102A JP 4894432 B2 JP4894432 B2 JP 4894432B2
- Authority
- JP
- Japan
- Prior art keywords
- information
- user
- area
- management
- authentication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000000034 method Methods 0.000 claims description 42
- 230000008569 process Effects 0.000 claims description 32
- 238000012545 processing Methods 0.000 claims description 24
- 230000004044 response Effects 0.000 claims description 13
- 230000002159 abnormal effect Effects 0.000 claims description 3
- 238000010586 diagram Methods 0.000 description 13
- 238000004891 communication Methods 0.000 description 11
- 230000008859 change Effects 0.000 description 5
- 238000009434 installation Methods 0.000 description 5
- 238000012544 monitoring process Methods 0.000 description 5
- 238000012546 transfer Methods 0.000 description 4
- 239000004065 semiconductor Substances 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 2
- 230000002708 enhancing effect Effects 0.000 description 2
- 230000004888 barrier function Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 239000000284 extract Substances 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 230000007704 transition Effects 0.000 description 1
Images
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Description
本発明は、セキュリティ管理領域における入出を管理する入出管理システムと、セキュリティ管理領域に設けられた端末装置のアクセス制限を行うネットワーク認証システムとを連携させた連携制御装置に関する。 The present invention relates to a linkage control apparatus that links an entry / exit management system that manages entry / exit in a security management area and a network authentication system that restricts access to terminal devices provided in the security management area.
機密情報を扱うことの多い企業や、企業内の特定の部署などでは、機密情報を扱う従事者の入出を管理する入出管理システムを適用することで、機密情報の漏洩を事前に防止するようにしている。 In companies that frequently handle confidential information or specific departments within the company, it is possible to prevent leakage of confidential information in advance by applying an entry / exit management system that manages the entry / exit of workers handling confidential information. ing.
入出管理システムは、一般に、ユーザに与えられたIC(Integrated Circuit)カードに組み込まれたユーザID(IDentification)や、生体情報(指紋、虹彩、声紋など)といった、ユーザを一意に特定する被認証情報を用いることで、入出を希望するユーザに対する個人認証を行う。そして、登録された正当なユーザであることが認証された場合には、例えば、施錠されたドアを解錠することで、機密情報を扱うセキュリティ管理領域内への入場が許可される。 Generally, an entry / exit management system is a user ID (IDentification) incorporated in an IC (Integrated Circuit) card given to a user or biometric information (fingerprint, iris, voiceprint, etc.) to be authenticated information that uniquely identifies the user. Is used to perform personal authentication for users who wish to enter and exit. When it is authenticated that the user is a registered legitimate user, for example, entry into the security management area that handles confidential information is permitted by unlocking the locked door.
ところで、上述した機密情報は、入退室管理システムとは別のネットワークにて構築されたネットワーク認証システムによって管理がなされており、セキュリティ管理領域内に設けられた端末装置からネットワークにアクセスすることにより利用可能となることが多い。この場合、端末装置を用いてネットワークにアクセスする場合には、ネットワーク認証システムによって、上述した入出管理システムにおける個人認証と同様の認証処理が要求されることになる。 By the way, the above-mentioned confidential information is managed by a network authentication system constructed in a network different from the entrance / exit management system, and is used by accessing the network from a terminal device provided in the security management area. Often possible. In this case, when the terminal device is used to access the network, the network authentication system requires an authentication process similar to the personal authentication in the entry / exit management system described above.
そこで、このような入出管理システムと、ネットワーク認証システムとを連携させることでさらにセキュリティを高めることが可能である。そのため、機密情報を扱うセキュリティ管理領域内への入出時のユーザ認証の処理と、入室後の端末装置を利用するユーザ認証の処理とを関連付ける手法が考案されている(例えば、特許文献1、特許文献2参照。)。
Therefore, it is possible to further enhance security by linking such an entry / exit management system with a network authentication system. For this reason, a method has been devised that associates user authentication processing at the time of entering / exiting a security management area that handles confidential information with user authentication processing using the terminal device after entering the room (for example,
また、特許文献1、特許文献2で考慮されていなかった、入場してから端末装置へログオンするまでの時間経過によって生ずる問題への対処、退場における端末装置のログオフ忘れへの対処を実現する手法も考案されている(例えば、特許文献3参照。)。
ところで、各特許文献に開示された手法によれば、入出管理システムと、ネットワーク認証システムとを連携させる際に、各セキュリティ管理領域を個別に管理しており、複数のセキュリティ管理領域を一元的に管理することができないという問題がある。 By the way, according to the method disclosed in each patent document, when the entrance / exit management system and the network authentication system are linked, each security management area is individually managed, and a plurality of security management areas are unified. There is a problem that it cannot be managed.
本発明は、このような事情に鑑みてなされたものであり、複数の管理領域を対象として、入出管理システムとネットワーク認証システムとを連携させる際に、これらの管理領域を一元的に管理することを目的とする。 The present invention has been made in view of such circumstances, and when managing an entry / exit management system and a network authentication system for a plurality of management areas, these management areas are managed in an integrated manner. With the goal.
かかる課題を解決するために、本発明は、それぞれが異なる管理領域を個別の管理対象として、ユーザを一意に特定する第1の被認証情報に基づいたユーザ認証の処理結果に応じて、管理領域に入出するゲートにおけるユーザの通過を管理する複数の入出管理システムと、管理領域のそれぞれに設けられた端末装置を処理対象として、ユーザを一意に特定する第2の被認証情報に基づいた認証サーバによるユーザ認証の処理結果に応じて、ネットワークへのアクセスを制限するネットワーク認証システムとを相互に連携させる連携制御装置を提供する。ここで、連携制御装置は、ゲートを示すゲート情報と、このゲート通過後の管理領域を示す領域情報とを関連付けて記憶する領域情報記憶手段と、第1の被認証情報と、この第1の被認証情報によって特定されるユーザが滞在する管理領域の領域情報とを関連付けて記憶するユーザ情報記憶手段と、ユーザのゲート通過に応じて入出管理システムから送信される、ゲート情報と第1の被認証情報とを含む入退室情報を取得し、この取得したゲート情報と関連付けられる領域情報を領域記憶手段において検索し、この検索された領域情報と取得した第1の被認証情報とに基づいてユーザ情報記憶手段を更新することにより、ユーザの滞在状態を管理する領域管理手段と、領域管理手段によって管理されるユーザの滞在状態に基づいて、ユーザに対する端末装置の利用認証を行う端末認証手段とを有し、前記領域管理手段は、利用者が前記ゲート通過前に在室していた管理領域と、ゲート通過により特定される管理領域に基づいて、両者が対応するか否かを判断し、対応する場合には正常な入室であると判断し、対応しない場合には異常な入室であると判断する。 In order to solve such a problem, the present invention provides a management area according to a result of user authentication based on first authenticated information that uniquely identifies a user, with different management areas as individual management targets. A plurality of entry / exit management systems that manage the passage of users at gates entering / exiting and an authentication server based on second authenticated information that uniquely identifies a user with a terminal device provided in each of the management areas as a processing target In accordance with the result of the user authentication processing by the system, a cooperation control device is provided that mutually cooperates with a network authentication system that restricts access to the network. Here, the cooperation control device associates and stores the gate information indicating the gate and the area information indicating the management area after passing through the gate, the first authentication information, and the first authentication information. User information storage means for associating and storing area information of the management area where the user specified by the authenticated information stays, and gate information and the first object transmitted from the entrance / exit management system in response to the user's gate passing The entrance / exit information including the authentication information is acquired, the area information associated with the acquired gate information is searched in the area storage means, and the user is based on the searched area information and the acquired first authenticated information. By updating the information storage means, the area management means for managing the user's stay status, and the user's stay status managed by the area management means, And a terminal authentication unit for performing use authentication of the terminal device to said area management means comprises: a management area where the user had occupancy before the gate passage, based on the management area specified by the gate passage Then, it is determined whether or not the two correspond to each other. If the two correspond, it is determined that the room is in the normal room, and if the both do not correspond, it is determined that the room is in the abnormal room .
また、本発明の連携制御装置は、一つ以上の管理領域をグループ化することによって構成される管理ブロックを示すブロック情報と、このブロック情報によって特定される管理ブロックを構成する管理領域の領域情報とを関連付けて記憶するブロック情報記憶手段をさらに有している。この場合、ユーザ情報記憶手段は、第1の被認証情報と関連付けられる領域情報を、この領域情報によって特定される管理領域が含まれる管理ブロックのブロック情報を用いて記憶しており、領域管理手段は、取得したゲート情報から検索された領域情報と関連付けられるブロック情報を、ブロック情報記憶手段において検索し、この検索されたブロック情報と取得した第1の被認証情報とに基づいてユーザ情報記憶手段を更新することにより、管理ブロックをベースにユーザの滞在状態を管理し、端末認証手段は、領域管理手段によって管理される管理ブロックをベースとしたユーザの滞在状態に基づいて、ユーザに対する端末装置の利用認証を行う。 In addition, the cooperation control device of the present invention includes block information indicating a management block configured by grouping one or more management areas, and area information of a management area configuring a management block specified by the block information. Are further stored in association with each other. In this case, the user information storage means stores the area information associated with the first authenticated information using the block information of the management block including the management area specified by the area information, and the area management means The block information storage means searches the block information associated with the area information searched from the acquired gate information, and the user information storage means based on the searched block information and the acquired first authenticated information The terminal staying means manages the staying state of the user based on the management block, and the terminal authentication means manages the terminal device to the user based on the staying state of the user based on the management block managed by the area managing means. Perform user authentication.
また、本発明の連携制御装置は、管理領域が一つ以上の領域に分割されることによって定義される領域である管理エリアを示すエリア情報と、このエリア情報によって特定される管理エリアが含まれる管理領域の領域情報とを関連付けて記憶するエリア情報記憶手段と、第1の被認証情報に基づいて、この第1の被認証情報によって特定されるユーザが滞在する管理エリアを特定するエリア特定手段とをさらに有している。この場合、ユーザ情報記憶手段は、第1の被認証情報と関連付けられる領域情報を、この領域情報によって特定される管理領域を細分化した管理エリアのエリア情報を用いて記憶しており、領域管理手段は、取得したゲート情報から検索された領域情報と関連付けられるエリア情報を、エリア情報記憶手段において検索し、この検索されたエリア情報と、入退室情報である第1の認証情報とをエリア特定手段に送信することにより、ユーザが入場した管理領域を構成するいずれの管理エリアにユーザが滞在しているのかを特定させるとともに、エリア特定手段によって特定されたエリア情報と、取得した第1の被認証情報とに基づいてユーザ情報記憶手段を更新することにより、管理エリアをベースにユーザの滞在状態を管理し、端末認証手段は、領域管理手段によって管理される管理エリアをベースとしたユーザの滞在状態に基づいて、ユーザに対する端末装置の利用認証を行う。 In addition, the cooperative control device of the present invention includes area information indicating a management area that is an area defined by dividing the management area into one or more areas, and a management area specified by the area information. Area information storage means for storing the area information of the management area in association with each other, and area specifying means for specifying the management area where the user specified by the first authenticated information stays based on the first authenticated information And further. In this case, the user information storage means stores the area information associated with the first authenticated information using the area information of the management area obtained by subdividing the management area specified by the area information. The means searches the area information storage means for area information associated with the area information searched from the acquired gate information, and specifies the area information thus searched and the first authentication information as the entry / exit information. By transmitting to the means, it is possible to identify in which management area that constitutes the management area where the user has entered, the area information identified by the area identifying means, and the acquired first object. The terminal authentication unit manages the staying state of the user based on the management area by updating the user information storage unit based on the authentication information. Performs the use authentication of the terminal device for the user based on the staying state of the user based on the management area managed by the area management means.
また、本発明の連携制御装置は、第1の被認証情報と第2の被認証情報とを、ユーザ毎に関連付けて記憶する被認証情報記憶手段をさらに有し、端末認証手段は、ユーザから端末装置を介してなされる、第2の被認証情報を用いたネットワークへのアクセス要求を受信した場合、この第2の被認証情報に関連付けられた第1の被認証情報を、被認証情報記憶手段から検索するとともに、この検索された第1の被認証情報をキーとしてユーザ情報記憶手段から特定されるユーザの滞在状態に基づいて、ユーザに対する端末装置の利用認証を行うとともに、この利用認証の認証結果に応じて、認証サーバに対してアクセス要求を転送するか否かを判断する。 Moreover, the cooperation control apparatus of this invention further has a to-be-authenticated information storage means which associates and memorize | stores 1st to-be-authenticated information and 2nd to-be-authenticated information for every user, A terminal authentication means is from a user. When the access request to the network using the second authenticated information is received via the terminal device, the first authenticated information associated with the second authenticated information is stored in the authenticated information storage. The terminal device is authenticated for use based on the user's stay status specified from the user information storage means using the searched first authenticated information as a key, and the use authentication is performed. It is determined whether to transfer an access request to the authentication server according to the authentication result.
また、本発明の連携制御装置は、端末装置が接続される中継装置が設置された管理領域を示す領域情報と、中継装置のネットワークにおけるアドレス情報とを記憶する中継装置情報記憶手段をさらに有する。端末認証手段は、アクセス要求に含まれる、端末装置が接続する中継装置のアドレス情報に基づいて中継装置情報記憶手段を検索することにより、この中継装置のアドレス情報と関連付けられる領域情報を特定し、この特定された領域情報と、第1の被認証情報をキーとしてユーザ情報記憶手段から特定されるユーザの滞在状態とに基づいて、ユーザに対する端末装置の利用認証を行う。 In addition, the cooperation control apparatus of the present invention further includes a relay device information storage unit that stores area information indicating a management area in which the relay device to which the terminal device is connected is installed, and address information in the network of the relay device. The terminal authentication unit specifies the area information associated with the address information of the relay device by searching the relay device information storage unit based on the address information of the relay device connected to the terminal device included in the access request, Based on the specified area information and the stay state of the user specified from the user information storage unit using the first authenticated information as a key, the use authentication of the terminal device for the user is performed.
また、本発明の連携制御装置において、端末認証手段は、領域管理手段において管理されるユーザの滞在状態と、管理領域における滞在可能時間とに基づいて、ユーザに対する端末装置の利用認証を行う。 In the cooperation control device of the present invention, the terminal authentication unit authenticates the use of the terminal device to the user based on the stay state of the user managed by the area management unit and the stayable time in the management area.
本発明によれば、管理領域間の情報をリンクさせることができるので、複数の管理領域を一元的に管理することが可能となる。 According to the present invention, since information between management areas can be linked, a plurality of management areas can be managed in an integrated manner.
また、本発明によれば、複数の管理領域を一元的に管理することができるので、これにより、複数の管理領域で構成されるブロックを管理単位としてとして入出管理システムとネットワーク認証システムとの連携を図ることができる。これにより、大まかな領域を対象として管理を行うことができるので、システムの適用されるシチュエーションを拡大することができる。 In addition, according to the present invention, a plurality of management areas can be managed in a centralized manner, thereby enabling cooperation between an entry / exit management system and a network authentication system using a block composed of the plurality of management areas as a management unit. Can be achieved. As a result, management can be performed for a rough area, so that situations to which the system is applied can be expanded.
また、本発明によれば、複数の管理領域を一元的に管理することができるので、これにより、管理領域を細分化した複数の管理エリアをも一元的に管理することができる。そのため、複数の管理エリアで構成される管理領域を管理単位としてとして入出管理システムとネットワーク認証システムとの連携を図ることができる。これにより、詳細なエリアを設定して管理を行うことができるので、システムの適用されるシチュエーションを拡大することができる。 Furthermore, according to the present invention, a plurality of management areas can be managed in a centralized manner, whereby a plurality of management areas obtained by subdividing the management areas can also be managed in a unified manner. Therefore, cooperation between the entry / exit management system and the network authentication system can be achieved using a management area composed of a plurality of management areas as a management unit. Thereby, since a detailed area can be set and managed, the situation to which the system is applied can be expanded.
また、本発明によれば、ユーザに対する端末装置の利用認証のみならず、別のシステムである認証サーバを用いて認証処理を行うことで、多重に認証を行うことができるので、セキュリティを強化することができる。 In addition, according to the present invention, not only the use authentication of the terminal device for the user but also the authentication process using an authentication server which is another system can be performed in multiple authentications, thereby enhancing security. be able to.
また、本発明によれば、ユーザが在室している部屋と、端末装置を利用している部屋とが一致した場合にのみ、ユーザに対する端末装置の利用認証が許可されるので、セキュリティを強化することができる。 In addition, according to the present invention, only when the room where the user is in the room and the room where the terminal device is used is matched, the use authentication of the terminal device for the user is permitted, thereby enhancing security. can do.
さらに、本発明によれば、時間的な制限に加えることにより、ユーザによる不正な端末利用を抑制することができる。 Furthermore, according to the present invention, unauthorized use of the terminal by the user can be suppressed by adding to the time restriction.
(第1の実施形態)
図1は、本発明の第1の実施形態にかかるネットワーク管理システム1の全体構成を示すブロック図である。また、図2は、第1の実施形態にかかるネットワーク管理システム1の適用状態を例示する説明図である。なお、図2では、便宜上、ネットワーク管理システム1が簡略化して描かれている。ネットワーク管理システム1は、複数の設備系システム10と、ネットワーク認証システム20とが連携制御装置30によって相互に接続されて構成されている。
(First embodiment)
FIG. 1 is a block diagram showing the overall configuration of a
設備系システム10は、例えば、セキュリティレベルの低い領域から、機密情報などを扱うセキュリティレベルの高い領域(セキュリティ管理領域)へのユーザ(利用者)の入出を管理する、或いは、セキュリティ管理領域から他のセキュリティ管理領域へのユーザの入出を管理する入出管理システムである。設備系システム10は、異なるセキュリティ管理領域毎に、複数設けられている。
The
セキュリティ管理領域は、設備系システム10によってユーザの入出を管理することができる形態であればどのようなものであってもよいが、例えば、セキュリティ管理領域を障壁などで隔て、電気的な作用により施錠、解錠することができる電気錠を備える扉(ゲート)を備えている。
The security management area may be in any form as long as the
設備系システム10は、セキュリティ管理領域への入室を希望する全てのユーザに対してユーザ認証を行い、予め登録された正当なユーザのみに対して認証を許可し、これにより、セキュリティ管理領域のゲートの通過を許可する。また、設備系システム10は、セキュリティ管理領域から退室を希望するユーザに対してユーザ認証を行い、予め登録された正当なユーザのみに対して認証を許可し、これにより、セキュリティ管理領域のゲートの通過を許可する。
The
個々の設備系システム10は、管理対象となるセキュリティ管理領域のゲートに対応して設けられる一対のカードリーダ(入室用カードリーダ11および退室用カードリーダ12)と、入退室コントロールユニット13とを主体に構成されている。なお、設備系システム10は、セキュリティ管理領域が備えるゲート数に応じて、入室用カードリーダ11および退室用カードリーダ12のセットを複数備えている。
Each
入室用カードリーダ11は、セキュリティ管理領域の外側においてゲート近傍に設けられており、ユーザが所有する、例えば非接触のICカード(Integrated Circuit)2の半導体メモリ内に格納された情報を読み取る。入室用カードリーダ11によって読み取られた情報は、入退室コントロールユニット13に対して送信される。
The
退室用カードリーダ12は、セキュリティ管理領域の内側においてゲート近傍に設けられており、ユーザが所有するICカードの半導体メモリ内に格納された情報を読み取る。退室用カードリーダ12によって読み取られた情報は、入退室コントロールユニット13に対して送信される。
The leaving
入退室コントロールユニット13は、入室用カードリーダ11から取得した情報のうち、ICカードのカードIDに基づいてユーザ認証を行う。入退室コントロールユニット13は、認証処理によって、入室を希望するユーザ(ICカードの保持者)が、正当なユーザであると判断した場合には(認証許可)、施錠されていた電気錠を解錠する。これにより、ユーザがセキュリティ管理領域のゲートを通過すること可能となり、セキュリティ管理領域へのユーザの入室が許可される。一方、入退室コントロールユニット13は、認証処理によって、入室を希望するユーザが正当なユーザでないと判断した場合には(認証不許可)、電気錠を施錠したままにする。これにより、ユーザがセキュリティ管理領域のゲートを通過することが不可能なままとなり、セキュリティ管理領域へのユーザの入室が許可されない。ここで、カードIDは、ユーザを一意に特定する被認証情報であり、入退室コントロールユニット13は、正当なユーザに関するカードIDが記述されたデータベースを予め保持し、このデータベースを参照して、認証処理を行う。
The entrance /
また、入退室コントロールユニット13は、退室用カードリーダ12から取得した情報のうち、ICカードのカードIDに基づいてユーザ認証を行う。入退室コントロールユニット13は、認証処理によって、退室を希望するユーザが正当なユーザであると判断した場合には(認証許可)、施錠されていた電気錠を解錠する。これにより、ユーザがセキュリティ管理領域のゲートを通過すること可能となり、セキュリティ管理領域からのユーザの退室が許可される。一方、入退室コントロールユニット13は、認証処理によって、退室を希望するユーザが正当なユーザでないと判断した場合には(認証不許可)、電気錠を施錠したままにする。これにより、ユーザがセキュリティ管理領域のゲートを通過することが不可能なままとなり、セキュリティ管理領域からのユーザの退室が許可されない。
Further, the entrance /
このようなユーザ認証を経て、ユーザがセキュリティ管理領域のゲートを通過した場合、すなわち、セキュリティ管理領域におけるユーザの状態が変化した場合、入退室コントロールユニット13は、ICカードのカードIDと、入室操作または退室操作のいずれかが行われたことを示す操作情報と、解錠したゲートに固有のゲートIDと、入退室操作が行われた時刻(入退室時刻)と含む入退室情報を連携制御装置30に送信する。
When the user passes through the gate of the security management area through such user authentication, that is, when the state of the user in the security management area changes, the entrance /
ネットワーク認証システム20は、端末装置21のネットワークへのアクセスを制限する機能を担っている。個々のセキュリティ管理領域には、端末装置21が一つ以上設けられており、端末装置21は、セキュリティ管理領域に一つ以上設けられた中継装置22を介してネットワークに接続されている。このネットワークにおいて、個々の中継装置22は、認証サーバ23とも接続されている。
The
ネットワーク認証システム20は、セキュリティ管理領域のそれぞれに設けられる端末装置21を処理対象として、この端末装置21を用いてネットワークへアクセスを希望するユーザのユーザ認証を行い、認証許可されたユーザが使用する端末装置21のみネットワークへのアクセスを許可する。ネットワーク認証システム20において、端末装置21から送信されるネットワークへのアクセス要求は、中継装置22および認証サーバ23によって認証処理される。
The
具体的には、ネットワーク認証システム20は、IEEE(米国電気電子技術者協会)802.1Xで策定されたLAN(Local Area Network)スイッチや無線LANアクセス・ポイントに接続するユーザを認証する技術を用いて、端末装置21からのアクセス要求であるネットワーク接続要求に応じた認証処理を行う。IEEE802.1Xは、LANの利用の可否を制御するEthernet(登録商標)上のプロトコルである。また、ユーザの認証には、認証用プロトコルとしてRADIUS(Remote Authentication Dial-In-User-Service)を用いた通信により、認証すべきユーザを集中管理することができるRADIUSサーバが用いられる。
Specifically, the
端末装置21は、セキュリティ管理領域に入室したユーザによって使用可能な、いわゆるPC(Personal Computer)であり、中継装置22、認証サーバ23と情報のやり取りを行う。この端末装置21は、ネットワークへの接続を要求するためのサプリカントと呼ばれる認証クライアント・ソフトウェアを保持している。
The
中継装置22は、例えば、複数の端末装置21に対して有線で接続され、認証サーバ23と端末装置21との間の認証処理を中継する。中継装置22は、RADIUSサーバに対するRADIUSクライアントとして機能する認証装置であり、RADIUSサーバとの通信には、認証用プロトコルとしてRADIUSを用いた通信を行う。中継装置22は、IEEE802.1X、RADIUSに対応したLANスイッチなどであり、認証サーバ23と連携してポート22a毎に端末装置21をネットワークへ接続する。
The
認証サーバ23は、RADIUS認証におけるRADIUSサーバであり、ネットワークへの接続を要求するユーザに関する情報を保持する図示しないユーザ情報記憶部を備え、RADIUSクライアントである中継装置22を介して端末装置21の認証処理を行い、認証結果に応じてネットワークへのアクセスの可否を通知する。
The
認証サーバ23が備える図示しないユーザ情報記憶部は、ユーザをネットワークにおいて一意に特定するための被認証情報であるアカウントIDとアカウントIDに対応するパスワードとを関連付けて保持している。
A user information storage unit (not shown) included in the
ネットワーク認証システム20による実際の認証手順は、EAP(Extensible Authentication Protocol)によって規定される。ネットワーク認証システム20では、IEEE802.1Xで使用できる様々なEAP、例えば、EAP−MD5(EAP−Message Digest alogorithm5)、PEAP(Protected-EAP)といった認証処理にユーザID(アカウントID)とパスワードとを入力することが要求されるEAPや、デジタル電子証明書を使って認証するEAP−TLS(EAP-Transport Layer Security)などを利用できる。
The actual authentication procedure by the
連携制御装置30は、ネットワーク認証システム20の中継装置22と認証サーバ23との間で、認証処理時にやり取りされる認証用のパケットを経由するように設けられ、設備系システム10とネットワーク認証システム20とを連携制御する。
The
連携制御装置30は、設備系システム10から送信される入退室情報を用いて、セキュリティ管理領域への入室といったユーザの滞在状態(在室状態)を管理するとともに、この在室状態に応じて、端末装置21から中継装置22を介して認証サーバ23へとアクセス要求として送信されるネットワーク認証要求を通過させるのか、それとも通過させずに拒否してしまうのかを判断することにより、認証サーバ23によるユーザ認証の前提として、ユーザに対する端末装置21の利用認証を行う。
The
また、連携制御装置30は、設備系システム10から送信される入退室情報を用いて、セキュリティ管理領域からの退室といった在室状態を管理するとともに、ユーザに対してネットワークへの接続が既に許可されている場合には、この在室状態に応じて、端末装置21に接続されたネットワークを切断するといった制御を行うことができる。
Further, the
本実施形態の特徴の一つとして、連携制御装置30は、一つ以上のセキュリティ管理領域をグループ化することよって構成される管理ブロックをベースとして、利用者(ユーザ)の在室状態の管理および利用者(ユーザ)に対する端末装置21の利用認証を行う点にある。図2に示す例では、部屋Aおよび部屋Bで示される2つのセキュリティ管理領域が一つの管理ブロックαとしてまとめられている。
As one of the features of the present embodiment, the
図3は、連携制御装置30の構成を示すブロック図である。連携制御装置30は、外部システムI/F(インターフェース)31と、領域管理部32と、内部データベース33と、ネットワークI/F(インターフェース)34と、端末認証部35とを備えている。
FIG. 3 is a block diagram illustrating a configuration of the
外部システムI/F31は、設備系システム10と連携制御装置30とを接続するための通信インターフェースである。外部システムI/F31を介した設備系システム10と連携制御装置30との通信は、例えば、Ethernet(登録商標)などの通信規格を利用することができる。また、外部システムI/F31を介した設備系システム10と連携制御装置30との通信は、TCP/IPベースの通信に限らず、非IPのフィールドバスなどを利用することもできる。
The external system I /
領域管理部32は、外部システムI/F31を介して、入退室コントロールユニット13から送信された入退室情報を内部データベース33へ記憶、或いは、入退室情報に基づいて内部データベース33を更新し、これにより、管理ブロックをベースとして利用者の在室状態を管理する。
The
内部データベース33は、連携制御装置30、具体的には、領域管理部32と端末認証部35とを動作させるために必要な各種動作パラメータを記憶するデータベースである。
The
図4は、第1の実施形態にかかる内部データベース33の構成を概念的に示す説明図である。また、図5は、図2に示すネットワーク管理システム1を前提とした内部データベース33の構成を例示する説明図である。
FIG. 4 is an explanatory diagram conceptually showing the configuration of the
この内部データベース33は、利用者情報33A、部屋情報33B、ゲート情報33C、認証情報33D、アカウント情報33E、ブロック情報33F、中継装置情報33Gを主体に構成されている。
The
利用者情報33Aは、利用者番号と、在室可能時間と、入室時刻と、在室ブロック番号とが関連付けられて構成される情報であり、利用者の数に応じて複数用意される。利用者番号は、利用者を特定する情報(被認証情報)を示しており、本実施形態では、利用者がセキュリティ管理領域のゲートを通過する際に使用するICカードのカードIDがこれに該当する。在室可能時間は、利用者番号で特定される利用者が、管理ブロックにおいて継続して在室することができる時間を示す。入室時刻は、利用者番号で特定される利用者が管理ブロックへ入室した時刻を示す。在室ブロック番号は、利用者番号で特定される利用者が入室しているセキュリティ管理領域を含む管理ブロックを特定する情報を示す。この利用者情報33Aの在室ブロック番号は、これと対応するブロック情報33Fのブロック番号と互いに紐付けが行われている。なお、ブロック情報33Fのブロック番号については、後述する。
The
部屋情報33Bは、部屋番号と、ブロック番号とが関連付けられて構成される情報であり、セキュリティ管理領域の数に応じて複数用意される。部屋番号は、セキュリティ管理領域を特定する情報を示している。ブロック番号は、部屋番号で特定されるセキュリティ管理領域を含む管理ブロックを特定する情報を示している。この部屋情報33Bのブロック番号は、これと対応するブロック情報33Fのブロック番号と互いに紐付けが行われている。
The
ゲート情報33Cは、ゲート番号と、入側部屋番号と、退側部屋番号とが関連付けられて構成される情報であり、個々のセキュリティ管理領域が備えるゲートの数に応じて複数用意される。ゲート番号は、ゲートを特定する情報である。入側部屋番号は、ゲート番号によって特定されるゲートからセキュリティ管理領域に入室する際に操作する入室用カードリーダ11が設置されている側のセキュリティ管理領域の部屋番号を示す。また、退側部屋番号は、ゲート番号によって特定されるゲートからセキュリティ管理領域を退室する際に操作する退室用カードリーダが設置されている側のセキュリティ管理領域の部屋番号を示す。このゲート情報33Cの入側部屋番号または退側部屋番号は、これと対応する部屋情報33Bの部屋番号と互いに紐付けが行われている。
The
認証情報33Dは、利用者番号と、中継装置IPアドレスと、接続ポート番号とが関連付けられて構成される情報であり、ネットワーク認証システム20によって認証されている利用者の数に応じて複数用意される。利用者番号は、ネットワーク認証システム20によって認証されている利用者を特定する情報を示す。中継装置IPアドレスは、利用者番号によって特定される利用者が使用する端末装置21が接続されている中継装置22のアドレス情報であるIPアドレスを示す。接続ポート番号は、利用者番号によって特定される利用者が使用する端末装置21が接続されている中継装置22のポート番号を示す。この認証情報33Dの利用者番号は、これと対応する利用者情報33Aの利用者番号と互いに紐付けが行われている。また、認証情報33Dの中継装置IPアドレスは、これと対応する中継装置情報33Gの中継装置IPアドレスと互いに紐付けが行われている。
The
アカウント情報33Eは、アカウントIDと、利用者番号とが関連付けられて構成される情報であり、利用者の数に応じて複数用意される。アカウントIDは、ネットワーク認証システム20における認証処理時に使用される利用者のアカウント情報を示しており、ネットワークにおいて利用者を一意に特定する被認証情報として機能する。利用者番号は、アカウントIDを使用する利用者を特定する情報を示す。このアカウント情報33Eの利用者情報は、これと対応する利用者情報Aの利用者情報と互いに紐付けが行われている。
The
ブロック情報33Fは、ブロック番号と、在室可能時間と、利用可能開始時刻と、利用可能終了時刻とが関連付けられて構成される情報であり、設定される管理ブロックの数に応じて複数用意される。ブロック番号は、管理ブロックを特定する情報を示す。在室可能時間は、ブロック番号によって特定される管理ブロックにおいて、利用者が継続して在室することができる時間を示す。利用可能開始時間は、ブロック番号によって特定される管理ブロックに許される、利用者の在室開始時刻を示す。利用可能終了時間は、ブロック番号によって特定される管理ブロックに許される、利用者の在室終了時間を示す。
The
中継装置情報33Gは、中継装置IPアドレスと、設置ブロック番号とが関連付けられて構成される情報であり、設置される中継装置22の数に応じて複数用意される。中継装置IPアドレスは、中継装置22のIPアドレスを示す。設置ブロック番号は、中継装置IPアドレスによって特定される中継装置22が設置される管理ブロックを特定する情報を示す。この中継装置情報33Gの設置ブロック番号は、これと対応するブロック情報33Fのブロック番号と互いに紐付けが行われる。
The
これらの情報のうち、利用者情報33Aの一部(利用者番号および在室可能時間)と、部屋情報33Bと、ゲート情報33Cと、アカウント情報33Eと、ブロック情報33Fと、中継装置情報33Gとは、静的情報であり、一旦設定されると新たなユーザ登録やシステム変更などがあるまで変更されず保持される。一方、利用者情報33Aの一部(入室時刻および在室ブロック番号)は、動的情報であり、設備系システム10において管理されているユーザの状態変化に応じて領域管理部32により随時更新されていく。また、認証情報33Dも動的情報であり、ネットワーク認証システム20によるネットワークの認証状態に応じて端末認証部35により随時更新されていく。
Among these pieces of information, a part of the
ネットワークI/F34は、連携制御装置30と、中継装置22および認証サーバ23との間で通信を行うための通信インターフェースである。ネットワークI/F34では、Ethernet(登録商標)やTCP/IPスタックを利用できる。
The network I /
端末認証部35は、ユーザから端末装置21を介して認証サーバ23に対してなされる、アカウントIDを用いたネットワークへのアクセス要求を受信した場合に、領域管理部32において管理されているユーザの在室状態(利用者が滞在する管理ブロック)に基づいて、認証サーバ23によるユーザ認証(RADIUS認証)の前提として、ユーザに対する端末装置21の利用認証を行う。
When the
具体的には、この端末認証部35は、端末装置21と、中継装置22および認証サーバ23との間で行われるRADIUS認証に関連する処理を実行する。そのため、端末認証部35は、RADIUS認証において中継装置22、認証サーバ23間で送受信されるRADIUSパケットを中継する。また、端末認証部35は、RADIUSの規格で定義されている認証符号の再計算を行う機能も有している。
Specifically, the
また、端末認証部35は、中継装置22から送信されるネットワーク認証要求のRADIUSパケットに含まれる情報と、内部データベース33に記憶されている情報とを用い、利用者の滞在する管理ブロックと、ネットワーク認証要求がなされた中継装置22(端末装置21)が設定されている管理ブロックとが対応しているか否かを判断することにより、ユーザに対する端末装置21の利用認証を行う。そして、この利用認証の処理結果に応じて、ネットワーク認証要求を認証サーバ23へと転送するのか、それとも拒否するのかを判断する。端末認証部35は、拒否応答する場合には、拒否応答パケットを生成し中継装置22に送信する。
In addition, the
以下、第1の実施形態に係る連携制御装置30による動作を説明する。
Hereinafter, the operation by the
図6は、設備系システム10における利用者の状態変化に応じた連携制御装置30の処理手順を示すフローチャートである。このフローチャートに示す処理は、領域管理部32によって実行される。
FIG. 6 is a flowchart illustrating a processing procedure of the
まず、ユーザが、あるセキュリティ管理領域へと、入退室コントロールユニット13によって管理されたゲートから入室する。具体的には、ユーザは、入室用カードリーダ11にICカードを翳す。これに応じて、入退室コントロールユニット13は、ICカードの半導体メモリに格納されている情報を読み取り、カードIDを認証して施錠されたゲートの電気錠を解錠する。そして、入退室コントロールユニット13は、ICカードのカードID(利用者番号)と、入室用カードリーダ11が操作されたことを示す入室操作情報と、解錠したゲートを特定するゲート番号と、入退室時刻とを入退室情報として連携制御装置30に送信する。
First, a user enters a security management area from a gate managed by the entrance /
ステップS1において、連携制御装置30の領域管理部32は、外部システムI/F31を介して設備系システム10から入退室情報を受信する。
In step S <b> 1, the
ステップS2において、領域管理部32は、受信したゲート番号に基づいて内部データベース33を検索し、このゲート番号と対応するゲート情報33Cを特定する。
In step S2, the
ステップS3において、領域管理部32は、特定されたゲート情報33Cにおいて、入側部屋番号および退側部屋番号を特定する。また、領域管理部32は、特定された入側部屋番号と紐付けられている部屋番号を有する部屋情報33Bを検索し、この部屋情報33Bに含まれるブロック番号を特定するとともに、特定された退側部屋番号と紐付けられている部屋番号を有する部屋情報33Bを検索し、この部屋情報33Bに含まれるブロック番号を特定する。
In step S3, the
そして、領域管理部32は、入室操作情報を受信している場合には、入側部屋番号に基づいて特定されたブロック番号を、ゲート通過前にユーザが在室していた管理ブロックのブロック番号として特定する。また、領域管理部32は、退側部屋番号に基づいて特定されたブロック番号を、ゲート通過後にユーザが在室する管理ブロックのブロック番号として特定する。このステップS3において特定される管理ブロックのブロック番号は、利用者の実際の在室状態の遷移(管理ブロック間の移動)に相当する。
When the
なお、受信した入退室情報に、入室用カードリーダ11が操作されたことを示す入室操作情報に代えて、退室用カードリーダ12が操作されたことを示す退室操作情報が含まれているケースでは、領域管理部32は、退側部屋番号に基づいて特定されたブロック番号を、ゲート通過前にユーザが在室していた管理ブロックとして特定し、また、入側部屋番号に基づいて特定されたブロック番号を、ゲート通過後にユーザが在室する管理ブロックとして特定する。
In the case where the received entry / exit information includes exit operation information indicating that the
ステップS4において、領域管理部32は、受信した利用者番号に基づいて内部データベース33を検索し、この利用者番号と対応する利用者情報33Aを特定する。
In step S4, the
ステップS5において、領域管理部32は、特定された利用者情報33Aに含まれる在室ブロック番号を特定する。ステップS5において特定される在室ブロック番号は、領域管理部32において管理されているユーザの在室する管理ブロック(在室状態)に相当する。
In step S5, the
ステップS6において、領域管理部32は、ステップS3において特定される、ゲート通過前にユーザが在室していた管理ブロックのブロック番号と、ステップS4において特定される在室ブロック番号とを比較し、両者が対応するか否かを判断する。
In step S6, the
この比較によって、両者が対応することが判断された場合には、利用者によって正常な入室操作が行われたものとして、領域管理部32は、ステップS3において特定される、ゲート通過後にユーザが在室する管理ブロックのブロック番号によって、利用者情報33Aの在室ブロック番号を更新する(ステップS7)。また、この更新によって在室ブロック番号が変化する場合には、領域管理部32は、ステップS1において受信した入退室時刻によって、利用者情報33Aの入室時刻を更新する(ステップS7)。
If it is determined by the comparison that the two correspond, the
これに対して、上記の比較によって、両者が対応しないと判断された場合には、利用者によって異常な入室操作、具体的には、他の利用者に対して行われた認証処理による認証許可を利用して、利用者が管理ブロックに入退室(共連れ入退室)したものとして、領域管理部32は、設備系システム10(具体的には、入退室コントロールユニット13)に対して、警告を発するように指令を送信する。そして、領域管理部32は、ステップS3において特定される、ゲート通過後にユーザが在室する管理ブロックのブロック番号によって、利用者情報33Aの在室ブロック番号を更新する(ステップS7)。また、この更新によって在室ブロック番号が変化する場合には、領域管理部32は、ステップS1において受信した入退室時刻によって、利用者情報33Aの入室時刻を更新する(ステップS7)。
On the other hand, if it is determined by the above comparison that the two do not correspond to each other, an abnormal entry operation by the user, specifically, authentication permission by an authentication process performed for another user is permitted. The
なお、ユーザの退室操作についてもその処理手順は同一であり、その説明は省略する。 Note that the processing procedure for the user's leaving operation is the same, and a description thereof will be omitted.
図7は、ネットワーク認証システム20における認証処理に応じた連携制御装置30の処理手順を示すフローチャートである。このフローチャートに示す処理は、端末認証部35によって実行される。
FIG. 7 is a flowchart illustrating a processing procedure of the
セキュリティ管理領域に入室したユーザは、端末装置21から中継装置22を介して、IEEE802.1Xの手順に従い、アクセス要求としてネットワーク認証要求を送信することで端末装置21のネットワークへの接続を試みる。初期状態では、端末装置21とネットワークと間の接続は、中継装置22によって切断されているため、端末装置21は、中継装置22としか通信を行うことができない。
A user who has entered the security management area attempts to connect the
まず、ユーザは、ネットワークに接続するために、端末装置21からアカウントID及びパスワードを入力し中継装置22へ認証用のパケットであるネットワーク認証要求(アクセス要求)を送信する。
First, in order to connect to the network, the user inputs an account ID and password from the
端末装置21は、ネットワーク認証要求をEAPメッセージの入ったMAC(Media Access Control)フレームとして中継装置22へ送信する。このとき、アカウントIDは平文で、パスワードはハッシュ化された状態で送信される。
The
中継装置22は、MACフレームからEAPメッセージを取り出し、IPパケットに乗せ換え、連携制御装置30へと送信をする。具体的には、中継装置22は、IPの上位層のUDPを利用して、中継装置22から取り出したEAPメッセージをRADIUSパケットのデータ部分に格納して連携制御装置30へと送信する。
The
中継装置22と認証サーバ23とのRADIUS認証処理における認証シーケンスにおいて、中継装置22からネットワーク認証要求として送信される最初のRADIUSパケットのEAPメッセージにのみ、平文のアカウントIDであるEAP−Type=Identityデータが存在する。RADIUSパケットには、このアカウントIDの他に、中継装置22の情報として中継装置22のIPアドレス、端末装置21が接続された中継装置22のポート番号などがRADIUS属性情報として記述されている。
In the authentication sequence in the RADIUS authentication process between the
ステップS10において、端末認証部35は、ネットワークI/F34を介してネットワーク認証要求のRADIUSパケット受信し、受信したネットワーク認証要求のRADIUSパケットのEAPメッセージに添付されたIdentityデータ(ネットワーク認証要求を行ったユーザのアカウントID)を取得する。また、端末認証部35は、ネットワーク認証要求を行った端末装置21が接続する中継装置22のIPアドレス、および、端末装置21が接続された中継装置22のポート番号を取得する。
In step S10, the
ステップS11において、端末認証部35は、取得した情報のうち、中継装置22のIPアドレスに基づいて、内部データベース33を検索し、このIPアドレスと対応する中継装置情報33Gを特定する。そして、端末認証部35は、特定された中継装置情報33Gに含まれる設置ブロック番号を検索する。すなわち、この設置ブロック番号は、ネットワーク認証要求を行った端末装置21が接続する中継装置22が設置されている管理ブロックのブロック番号を示している。
In step S11, the
ステップS12において、端末認証部35は、取得した情報のうち、アカウントIDに基づいて、内部データベース33を検索し、このアカウントIDと対応するアカウント情報33Eを特定する。そして、端末認証部35は、特定されたアカウント情報33Eに含まれる利用者番号を特定する。
In step S12, the
また、端末認証部35は、アカウント情報33Eの利用者番号と紐付けられている利用者番号を有する利用者情報33Aを検索し、この利用者情報33Aにおいて、在室ブロック番号を特定する。上述したように、利用者情報33Aは、領域管理部32によって利用者の状態変化に応じて随時更新されており、そのブロック番号は、領域管理部32によって管理される利用者の在室する管理ブロック(在室状態)に相当する。
Further, the
ステップS13において、ステップS11において特定される、ネットワーク認証要求がなされた中継装置22が設置される管理ブロックのブロック番号と、ステップS12において特定される、領域管理部32によって管理される利用者の在室する管理ブロックのブロック番号とを比較し、ユーザの在室する管理ブロックと、ネットワーク認証要求がなされた管理ブロックとが一致するか否かが判定される。
In step S13, the block number of the management block in which the
このステップS13において肯定判定された場合には、ステップS14に進む。そして、ステップS14において、端末認証部35は、ユーザに対する端末装置21の利用認証を許可として、ネットワーク認証要求を認証サーバ23へと送信(転送)する。
If a positive determination is made in step S13, the process proceeds to step S14. In step S <b> 14, the
一方、ステップS14において否定判定された場合には、本処理を終了する。この場合、ユーザに対する端末装置21の利用認証を不許可として、認証拒否パケットを中継装置22へと送信する。具体的には、端末認証部35は、認証サーバ23へのネットワーク認証要求の送信を拒否し、拒否応答パケットを生成して、ネットワークI/F34を介して中継装置22へ送信する。中継装置22は、送信された拒否応答パケットに基づき、端末装置21にネットワーク認証要求を拒否したことを示す拒否応答を通知する。
On the other hand, if a negative determination is made in step S14, the present process is terminated. In this case, the use authentication of the
認証サーバ23へネットワーク認証要求が送信されたことに応じて、EAPメッセージが添付された認証サーバ23から送信されるパケットである認証応答、端末装置21から送信されるパケットである認証要求をやり取りすることで、ユーザのネットワーク上での認証処理が実行される。
In response to the transmission of the network authentication request to the
具体的には、認証サーバ23は、ネットワーク認証要求に添付されたアカウントIDをキーとして、図示しないユーザ情報記憶部に格納されている情報との照合処理を行う。認証サーバ23は、送信されたアカウントIDに関連付けられてユーザ情報記憶部に格納されている対象となるユーザのパスワードを所定のハッシュ関数でハッシュ化し、ネットワーク認証要求に添付されたハッシュ化されているパスワードと比較をし、ハッシュ化されたパスワード同士が一致するかどうか確認をする。このとき、連携制御装置30の端末認証部35は、端末装置21と認証サーバ23との認証要求、認証応答に対して何も施さずにスルーする。中継装置22は、上述したようなEAPメッセージの乗せ換えだけを行う中継装置として機能する。
Specifically, the
認証サーバ23は、この認証サーバ23による認証がなされたことを示す認証許可通知、認証されなかったことを示す認証不許可通知のいずれかを、連携制御装置30の端末認証部35へと送信する。
The
端末認証部35が認証許可通知を受信した場合には、ステップS15の外部認証許可判定において肯定判定されるため、ステップS16に進む。ステップS16において、端末認証部35は、認証情報33Dを更新する。具体的には、端末認証部35は、先の検索された利用者番号に基づいて、内部データベース33を検索し、この利用者番号に対応する認証情報33Dを特定する。そして、端末認証部35は、取得した中継装置22のIPアドレスおよび中継装置22のポート番号に基づいて、検索された認証情報33Dの中継装置IPアドレスおよび接続ポート番号を更新する。また、端末認証部35は受信した認証許可通知を中継装置22に送信する。中継装置22は、認証サーバ23から認証許可通知を受け取った場合には、端末装置21とネットワークとの回線を開放する。これにより、ユーザは、端末装置21を介してネットワークへアクセスすることができネットワーク上の他の端末装置21との通信が可能となる。
When the
これに対して、端末認証部35が認証不許可通知を受信した場合には、ステップS15の外部認証許可判定において否定判定されるため、本ルーチンを抜ける。この場合、端末認証部35は、受信した認証不許可通知を中継装置22に送信する。中継装置22は、認証サーバ23から認証不許可通知を受け取った場合には、端末装置21とネットワークとの回線を開放せずに、認証不許可である旨を通知するメッセージを端末装置21に送信する。
On the other hand, when the
図8は、連携制御装置30による不正在室判定の処理手順を示すフローチャートである。このフローチャートに示す処理は、領域管理部32によって実行されており、利用者情報33Aに記述されている利用者の全てを処理対象として実行されている。
FIG. 8 is a flowchart illustrating a processing procedure of unauthorized occupancy determination by the
まず、ステップS20において、領域管理部32は、利用者情報33Aにおいて、利用者番号に関連付けられた在室可能時間、入室時刻およびブロック番号を取得する。なお、入室時刻およびブロック番号が存在しない場合には、この利用者番号によって特定される利用者が管理ブロックに入室していないと判断し、本処理を終了する。
First, in step S20, the
領域管理部32は、この利用者情報33Aの在室ブロック番号と紐付けられているブロック番号を有するブロック情報33Fを検索し、このブロック情報33Fにおいて、在室可能時間、利用可能開始時間および利用可能終了時間を特定する。
The
ステップS21において、領域管理部32は、現在の時刻と、利用可能開始時間から利用可能終了時間までの範囲であるか否かを判定する。このステップS21において肯定判定された場合には、ステップS22に進む。一方、ステップS21において否定判定された場合には、ステップS25に進む。
In step S <b> 21, the
ステップS22において、領域管理部32は、利用者情報33Aから特定される入室時刻から現在までの経過時間が、ブロック情報33Fから特定される在室可能時間を超過していないか否かを判定する。このステップS22において肯定判定された場合には、ステップS23に進む。一方、ステップS22において否定判定された場合には、ステップS25に進む。
In step S22, the
ステップS23において、領域管理部32は、利用者情報33Aから特定される入室時刻から現在までの経過時間が、利用者情報33Aから特定される在室可能時間を超過していないか否かを判定する。このステップS23において肯定判定された場合には、ステップS24に進む。一方、ステップS23において否定判定された場合には、ステップS25に進む。
In step S23, the
ステップS24において、領域管理部32は、所定の時間(例えば、1分)待機した後に、上述したステップS21の処理に戻る。
In step S24, the
ステップS25において、領域管理部32は、利用者の不正在室、すなわち、管理ブロックに設定された利用可能時間の範囲を外れた時間にユーザが在室している、または、管理ブロックに設定された在室可能時間を超過してユーザが在室している、または、ユーザに設定された管理ブロックの在室可能時間を超過してユーザが在室しているとの判定を行う。不正在室の判定結果は、例えば、該当する利用者を示す利用者番号を有する利用者情報33Aに不正在室として記録される。
In step S25, the
このような処理によって利用者情報33Aに不正在室が記録された場合、端末認証部35は、その処理過程において、利用者情報33Aに不正在室の記録を特定した場合、管理ブロックの比較を行うことなく、利用者に対する端末装置21の利用認証を不許可とする。これにより、不正に在室する利用者に対して、認証サーバ23による認証を行う前に、端末装置21の利用を制限することができる。
When an unauthorized occupancy room is recorded in the
なお、本実施形態では、領域管理部32が不正在室判定を行っているが、例えば、端末認証部35がアクセス要求を行った利用者を対象として、図8に示すような処理を行い、不正在室の場合には、利用者に対する端末装置21の利用認証を不許可としてもよい。
In the present embodiment, the
このように本実施形態によれば、セキュリティ管理領域間の情報をリンクさせることができるので、複数のセキュリティ管理領域を一元的に管理することが可能となる。 Thus, according to the present embodiment, information between security management areas can be linked, so that a plurality of security management areas can be managed in an integrated manner.
また、本実施形態によれば、複数のセキュリティ管理領域を一元的に管理することができるので、これにより、複数のセキュリティ管理領域で構成されるブロックを管理単位としてとして入出管理システムとネットワーク認証システムとの連携を図ることができる。これにより、大まかな領域を対象として管理を行うことができるので、システムの適用されるシチュエーションを拡大することができる。 In addition, according to the present embodiment, a plurality of security management areas can be managed in an integrated manner, so that an entry / exit management system and a network authentication system can be managed by using blocks composed of the plurality of security management areas as management units. Can be linked. As a result, management can be performed for a rough area, so that situations to which the system is applied can be expanded.
また、本実施形態によれば、ユーザに対する端末装置21の利用認証のみならず、認証サーバ23を用いて認証処理を行うことで、セキュリティを強化することができる。
Moreover, according to this embodiment, not only the use authentication of the
また、本実施形態によれば、ユーザが在室しているセキュリティ管理領域と、端末装置21を利用しているセキュリティ管理領域とが一致した場合にのみ、ユーザに対する端末装置21の利用認証が許可されるので、セキュリティを強化することができる。
Further, according to the present embodiment, only when the security management area in which the user is present matches the security management area in which the
さらに、本発明によれば、時間的な制限に加えることにより、ユーザによる不正な端末装置21の利用を抑制することができる。
Furthermore, according to the present invention, unauthorized use of the
(第2の実施形態)
図9は、第2の実施形態にかかるネットワーク管理システム1が適用された状態を例示する説明図である。なお、同図に示すネットワーク管理システム1では、便宜上、システム構成の一部に関する図示が省略されている。
(Second Embodiment)
FIG. 9 is an explanatory diagram illustrating a state in which the
第2の実施形態にかかるネットワーク管理システムが、第1の実施形態のそれと相違する点は、連携制御装置30が、セキュリティ管理領域を一つ以上の管理エリアに分割した上で、この管理エリアをベースとして、利用者の在室状態の管理および利用者に対する端末装置21の利用認証を行う点にある。なお、第2の実施形態を説明するにあたり、上述した第1の実施形態と同様の構成については同一の参照符号を引用し、その詳細な説明は省略する。
The network management system according to the second embodiment differs from that of the first embodiment in that the
図10は、第2の実施形態にかかる連携制御装置30の構成を示すブロック図である。この連携制御装置30は、第1の実施形態にかかる内部データベース33に代えて内部データベース36を有するとともに、エリア特定部37をさらに有している。
FIG. 10 is a block diagram illustrating a configuration of the
内部データベース36は、連携制御装置30、具体的には、領域管理部32と端末認証部35とを動作させるために必要な各種動作パラメータを記憶するデータベースである。
The
図11は、第2の実施形態にかかる内部データベース36の構成を概念的に示す説明図である。また、図12は、図9に示すネットワーク管理システム1を前提とした内部データベース36の構成を例示する説明図である。
FIG. 11 is an explanatory diagram conceptually showing the structure of the
この内部データベース36は、利用者情報36A、部屋情報36B、ゲート情報36C、認証情報36D、アカウント情報36E、エリア情報36F、中継装置情報36Gを主体に構成されている。これらの各情報36A〜36Gは、管理ブロックに該当する項目が管理エリアに変更されている以外、基本的に、第1の実施形態における内部データベース33の各情報33A〜33Gと対応する。ただし、同図に示すように、内部データベース36では、滞在可能時間、利用可能開始時間および利用可能終了時間が、部屋情報36Bに関連付けられている。なお、これらの項目については、第1の実施形態の内部データベース33と同様に、エリア情報36Fに関連付けてもよい。
The
エリア特定部37は、利用者情報に基づいて、この利用者情報によって特定されるユーザが滞在する管理エリアを特定する。各管理エリアには、例えば、RFIDといった手法を採用した監視センサ38がそれぞれ設けられており、この監視センサ38が、非接触のICカードとの無線通信により、ICカードからカードIDを取得して、これをエリア特定部37に対して出力する。個々の監視センサ38には、機器を識別するためのID(機器ID)が付与されており、エリア特定部37は、機器IDと、これが設置される管理エリアを特定するエリア番号との対応関係を保持している。そのため、エリア特定部37は、ある利用者番号が特定された監視センサ38の機器IDに基づいて、ユーザが在室するエリア番号を特定することができる。
The
このような構成の連携制御装置30において、領域管理部32は、外部システムI/F31を介して、入退室コントロールユニット13から送信された入退室情報と、エリア特定部37によって特定される利用者の滞在する管理エリアとを内部データベース33へ記憶、或いは、これらの情報に基づいて内部データベース33を更新し、これにより、管理エリアをベースとしてユーザの在室状態を管理する。
In the
また、端末認証部35は、ユーザから端末装置21を介して認証サーバ23に対してなされる、アカウントIDを用いたネットワークへのアクセス要求を受信した場合に、領域管理部32において管理されているユーザの在室状態(利用者が滞在する管理エリア)に基づいて、認証サーバ23によるユーザ認証(RADIUS認証)の前提として、ユーザに対する端末装置21の利用認証を行う。
Further, the
具体的には、この端末認証部35は、端末装置21と、中継装置22および認証サーバ23との間で行われるRADIUS認証に関連する処理を実行する。そのため、端末認証部35は、RADIUS認証において中継装置22、認証サーバ23間で送受信されるRADIUSパケットを中継する。また、端末認証部35は、RADIUSの規格で定義されている認証符号の再計算を行う機能も有している。
Specifically, the
また、端末認証部35は、中継装置22から送信されるネットワーク認証要求のRADIUSパケットに含まれる情報と、内部データベース36に記憶されている情報とを用い、利用者の滞在する管理エリアと、ネットワーク認証要求がなされた中継装置22(端末装置21)が設定されている管理エリアとが対応しているか否かを判断することにより、ユーザに対する端末装置21の利用認証を行う。そして、この利用認証の処理結果に応じて、ネットワーク認証要求を認証サーバ23へと転送するのか、それとも拒否するのかを判断する。端末認証部35は、拒否応答する場合には、拒否応答パケットを生成し中継装置22に送信する。
In addition, the
第2の実施形態にかかる連携制御装置30による動作は、基本的に、図6〜図8に示す処理のように、第1の実施形態におけるそれと基本的に同じであり、管理ブロックおよびブロック番号を、管理エリアおよびエリア番号と読み替えることによって理解される。なお、利用者が実際に滞在する管理エリアを特定する場合には、まず、第1の実施形態と同様に、領域管理部32が取得した入退室情報からユーザが入室したセキュリティ管理領域を特定する。そして、内部データベース36のエリア情報36Fを参照し、このセキュリティ管理領域に含まれる管理エリアのエリア番号を特定する。領域管理部32は、特定されたエリア情報と、入退室情報として取得した利用者情報とをエリア特定部37に送信することにより、利用者が入室した管理領域を構成するいずれの管理エリアにユーザが滞在しているのかを特定させればよい。
The operations performed by the
このように本実施形態によれば、複数のセキュリティ管理領域を一元的に管理することができるので、これにより、セキュリティ管理領域を細分化した複数の管理エリアをも一元的に管理することができる。そのため、複数の管理エリアで構成されるセキュリティ管理領域を管理単位としてとして設備系システムとネットワーク認証システム20との連携を図ることができる。これにより、詳細なエリアを設定して管理を行うことができるので、システムの適用されるシチュエーションを拡大することができる。
As described above, according to the present embodiment, a plurality of security management areas can be managed in a centralized manner, so that a plurality of management areas obtained by subdividing the security management areas can also be managed in a centralized manner. . Therefore, cooperation between the facility system and the
1 ネットワーク管理システム
10 設備系システム
11 入室用カードリーダ
12 退室用カードリーダ
13 入退室コントロールユニット
20 ネットワーク認証システム
21 端末装置
22 中継装置
22a ポート
23 認証サーバ
30 連携制御装置
31 外部システムI/F
32 領域管理部
33 内部データベース
33A 利用者情報
33B 部屋情報
33C ゲート情報
33D 認証情報
33E アカウント情報
33F ブロック情報
33G 中継装置情報
34 ネットワークI/F
35 端末認証部
36 内部データベース
36A 利用者情報
36B 部屋情報
36C ゲート情報
36D 認証情報
36E アカウント情報
36F エリア情報
36F ブロック情報
36G 中継装置情報
37 エリア特定部
38 監視センサ
DESCRIPTION OF
32
35
Claims (6)
前記管理領域のそれぞれに設けられた端末装置を処理対象として、ユーザを一意に特定する第2の被認証情報に基づいた認証サーバによるユーザ認証の処理結果に応じて、ネットワークへのアクセスを制限するネットワーク認証システムと
を相互に連携させる連携制御装置において、
前記ゲートを示すゲート情報と、当該ゲート通過後の管理領域を示す領域情報とを関連付けて記憶する領域情報記憶手段と、
前記第1の被認証情報と、当該第1の被認証情報によって特定されるユーザが滞在する管理領域の領域情報とを関連付けて記憶するユーザ情報記憶手段と、
ユーザのゲート通過に応じて前記入出管理システムから送信される、ゲート情報と前記第1の被認証情報とを含む入退室情報を取得し、当該取得したゲート情報と関連付けられる前記領域情報を前記領域記憶手段において検索し、当該検索された領域情報と前記取得した第1の被認証情報とに基づいて前記ユーザ情報記憶手段を更新することにより、ユーザの滞在状態を管理する領域管理手段と、
前記領域管理手段によって管理されるユーザの滞在状態に基づいて、ユーザに対する前記端末装置の利用認証を行う端末認証手段と、を有し、
前記領域管理手段は、利用者が前記ゲート通過前に在室していた管理領域と、ゲート通過により特定される管理領域に基づいて、両者が対応するか否かを判断し、対応する場合には正常な入室であると判断し、対応しない場合には異常な入室であると判断すること
を特徴とする連携制御装置。 Managing each user's passage at the gate entering and exiting the management area according to the result of the user authentication process based on the first authenticated information that uniquely identifies the user, with different management areas as individual management targets Multiple access control systems,
Limiting access to the network according to the result of the user authentication process by the authentication server based on the second authenticated information that uniquely identifies the user, with the terminal device provided in each of the management areas as a processing target In cooperative control devices that link network authentication systems with each other,
Area information storage means for associating and storing gate information indicating the gate and area information indicating a management area after passing through the gate;
User information storage means for storing the first authenticated information in association with the area information of the management area where the user specified by the first authenticated information stays;
Acquires entrance / exit information including gate information and the first authenticated information transmitted from the entrance / exit management system in response to a user's gate passage, and the area information associated with the acquired gate information is An area management means for managing a staying state of the user by searching in the area storage means and updating the user information storage means based on the searched area information and the acquired first authenticated information;
Terminal authentication means for performing use authentication of the terminal device for the user based on the staying state of the user managed by the area management means,
The area management means determines whether or not both correspond based on the management area where the user was present before passing through the gate and the management area specified by passing through the gate. Is determined to be a normal entrance, and if it does not correspond, it is determined to be an abnormal entrance .
前記ユーザ情報記憶手段は、前記第1の被認証情報と関連付けられる前記領域情報を、当該領域情報によって特定される管理領域が含まれる前記管理ブロックのブロック情報を用いて記憶しており、
前記領域管理手段は、前記取得したゲート情報から検索された前記領域情報と関連付けられる前記ブロック情報を、前記ブロック情報記憶手段において検索し、当該検索されたブロック情報と前記取得した第1の被認証情報とに基づいて前記ユーザ情報記憶手段を更新することにより、前記管理ブロックをベースにユーザの滞在状態を管理し、
前記端末認証手段は、前記領域管理手段によって管理される前記管理ブロックをベースとしたユーザの滞在状態に基づいて、ユーザに対する前記端末装置の利用認証を行うことを特徴とする請求項1に記載された連携制御装置。 Block information that associates and stores block information indicating a management block configured by grouping one or more of the management areas and area information of the management area that configures the management block specified by the block information A storage means;
The user information storage means stores the area information associated with the first authentication information using block information of the management block including a management area specified by the area information,
The area management means searches the block information storage means for the block information associated with the area information searched from the acquired gate information, and acquires the searched block information and the acquired first authenticated object. By updating the user information storage means based on the information, the user's stay status is managed based on the management block,
The terminal authentication unit performs use authentication of the terminal device for a user based on a stay state of the user based on the management block managed by the area management unit. Cooperation control device.
前記第1の被認証情報に基づいて、当該第1の被認証情報によって特定されるユーザが滞在する管理エリアを特定するエリア特定手段とをさらに有し、
前記ユーザ情報記憶手段は、前記第1の被認証情報と関連付けられる前記領域情報を、当該領域情報によって特定される管理領域を細分化した前記管理エリアのエリア情報を用いて記憶しており、
前記領域管理手段は、前記取得したゲート情報から検索された前記領域情報と関連付けられる前記エリア情報を、前記エリア情報記憶手段において検索し、当該検索されたエリア情報と、前記入退室情報である第1の認証情報とを前記エリア特定手段に送信することにより、ユーザが入場した管理領域を構成するいずれの管理エリアにユーザが滞在しているのかを特定させるとともに、前記エリア特定手段によって特定された前記エリア情報と、前記取得した第1の被認証情報とに基づいて前記ユーザ情報記憶手段を更新することにより、前記管理エリアをベースにユーザの滞在状態を管理し、
前記端末認証手段は、前記領域管理手段によって管理される前記管理エリアをベースとしたユーザの滞在状態に基づいて、ユーザに対する前記端末装置の利用認証を行うことを特徴とする請求項1に記載された連携制御装置。 Associating area information indicating a management area, which is an area defined by dividing the management area into one or more areas, and area information of the management area including the management area specified by the area information Area information storage means for storing
Based on the first authenticated information, further comprising an area specifying means for specifying a management area where a user specified by the first authenticated information stays,
The user information storage means stores the area information associated with the first authentication information using area information of the management area obtained by subdividing a management area specified by the area information,
The area management means searches the area information storage means for the area information associated with the area information searched from the acquired gate information, and includes the searched area information and the entry / exit information. By transmitting the authentication information of 1 to the area specifying means, it is possible to specify in which management area constituting the management area where the user has entered, and the area specifying means specified by the area specifying means. By updating the user information storage means based on the area information and the acquired first authenticated information, the user's stay state is managed based on the management area,
The terminal authentication unit performs use authentication of the terminal device for a user based on a staying state of the user based on the management area managed by the area management unit. Cooperation control device.
前記端末認証手段は、ユーザから前記端末装置を介してなされる、前記第2の被認証情報を用いたネットワークへのアクセス要求を受信した場合、当該第2の被認証情報に関連付けられた前記第1の被認証情報を、前記被認証情報記憶手段から検索するとともに、当該検索された第1の被認証情報をキーとして前記ユーザ情報記憶手段から特定されるユーザの滞在状態に基づいて、ユーザに対する前記端末装置の利用認証を行うとともに、当該利用認証の認証結果に応じて、前記認証サーバに対して前記アクセス要求を転送するか否かを判断することを特徴とする請求項1から3のいずれか一項に記載された連携制御装置。 Further comprising authenticated information storage means for storing the first authenticated information and the second authenticated information in association with each user;
When the terminal authenticating unit receives a request for access to the network using the second authenticated information, which is made from a user through the terminal device, the terminal authenticating unit associates the second authenticated information with the second authenticated information. The first authenticated information is searched from the authenticated information storage unit, and based on the staying state of the user specified from the user information storage unit using the searched first authenticated information as a key, 4. The terminal device according to any one of claims 1 to 3, wherein user authentication of the terminal device is performed, and whether or not the access request is transferred to the authentication server is determined according to an authentication result of the user authentication. The cooperation control apparatus described in any one item.
前記端末認証手段は、前記アクセス要求に含まれる、端末装置が接続する中継装置のアドレス情報に基づいて前記中継装置情報記憶手段を検索することにより、当該中継装置のアドレス情報と関連付けられる前記領域情報を特定し、当該特定された領域情報と、前記第1の被認証情報をキーとして前記ユーザ情報記憶手段から特定されるユーザの滞在状態とに基づいて、ユーザに対する前記端末装置の利用認証を行うことを特徴とする請求項4に記載された連携制御装置。 A relay device information storage unit for storing region information indicating the management region where the relay device to which the terminal device is connected is installed, and address information in the network of the relay device;
The terminal authentication unit searches the relay device information storage unit based on address information of the relay device to which the terminal device is connected, and is included in the access request, so that the region information associated with the address information of the relay device And authenticating the use of the terminal device for the user based on the specified area information and the stay status of the user specified from the user information storage means using the first authenticated information as a key The cooperation control apparatus according to claim 4, wherein
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2006255102A JP4894432B2 (en) | 2006-09-20 | 2006-09-20 | Cooperation control device |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2006255102A JP4894432B2 (en) | 2006-09-20 | 2006-09-20 | Cooperation control device |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2008077363A JP2008077363A (en) | 2008-04-03 |
JP4894432B2 true JP4894432B2 (en) | 2012-03-14 |
Family
ID=39349355
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2006255102A Expired - Fee Related JP4894432B2 (en) | 2006-09-20 | 2006-09-20 | Cooperation control device |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP4894432B2 (en) |
Family Cites Families (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2001175601A (en) * | 1999-12-15 | 2001-06-29 | Business Pooto Syst:Kk | Guarantee system for uniqueness of access right |
JP3474548B2 (en) * | 2001-04-09 | 2003-12-08 | アライドテレシス株式会社 | Collective building |
JP4044393B2 (en) * | 2002-08-27 | 2008-02-06 | 株式会社山武 | Entrance / exit management system and entrance / exit management method |
JP4500585B2 (en) * | 2004-05-20 | 2010-07-14 | 株式会社日立製作所 | Authentication system and authentication server |
JP4453570B2 (en) * | 2005-02-15 | 2010-04-21 | パナソニック電工株式会社 | Cooperation control device |
-
2006
- 2006-09-20 JP JP2006255102A patent/JP4894432B2/en not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
JP2008077363A (en) | 2008-04-03 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP7051766B2 (en) | Self-provisioning access control | |
US10089804B2 (en) | Method and apparatus for increasing reliability in monitoring systems | |
JP4174535B2 (en) | Authentication system and authentication method for authenticating wireless terminal | |
KR100885227B1 (en) | Authentication network system | |
US8549584B2 (en) | Physical security triggered dynamic network authentication and authorization | |
US9237139B2 (en) | Controlling access to a secure resource based on user credentials and location | |
KR100680637B1 (en) | Authentication system using biological information | |
US20070050634A1 (en) | Service authentication system, server, network equipment, and method for service authentication | |
JP2006343880A (en) | Network management system | |
CN109660514A (en) | A kind of implementation method of smart machine system, smart machine control method and system | |
US11165773B2 (en) | Network device and method for accessing a data network from a network component | |
JP4752436B2 (en) | Cooperation control apparatus and network management system | |
US8590015B2 (en) | Method and device to suspend the access to a service | |
JP2006343886A (en) | Network management system | |
JP4882511B2 (en) | Cooperation control device | |
JP4752547B2 (en) | Printing machine management device | |
JP4894431B2 (en) | Cooperation control device | |
CN103220265B (en) | Industrial automation system and the method protected to it | |
JP4894432B2 (en) | Cooperation control device | |
JP5170982B2 (en) | Entrance / exit information device | |
JP2005232754A (en) | Security management system | |
JP4797685B2 (en) | Cooperation control apparatus and network management system | |
JP2008077364A (en) | Cooperation control apparatus | |
JP5087373B2 (en) | Equipment management device | |
JP5871348B1 (en) | Terminal management apparatus, terminal management system, terminal management method, and terminal management program |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20090420 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20110823 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20110824 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20111024 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20111129 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20111212 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20150106 Year of fee payment: 3 |
|
LAPS | Cancellation because of no payment of annual fees |