JP7507138B2 - Network system and server device - Google Patents

Network system and server device Download PDF

Info

Publication number
JP7507138B2
JP7507138B2 JP2021200569A JP2021200569A JP7507138B2 JP 7507138 B2 JP7507138 B2 JP 7507138B2 JP 2021200569 A JP2021200569 A JP 2021200569A JP 2021200569 A JP2021200569 A JP 2021200569A JP 7507138 B2 JP7507138 B2 JP 7507138B2
Authority
JP
Japan
Prior art keywords
login
authentication
account
server
log
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2021200569A
Other languages
Japanese (ja)
Other versions
JP2023086211A (en
Inventor
雅人 伊藤
ひより 宮嶋
Original Assignee
エイチ・シー・ネットワークス株式会社
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by エイチ・シー・ネットワークス株式会社 filed Critical エイチ・シー・ネットワークス株式会社
Priority to JP2021200569A priority Critical patent/JP7507138B2/en
Publication of JP2023086211A publication Critical patent/JP2023086211A/en
Application granted granted Critical
Publication of JP7507138B2 publication Critical patent/JP7507138B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明は、ネットワークシステムおよびサーバ装置に関する。 The present invention relates to a network system and a server device.

特許文献1には、不正通信をより確実に遮断することが可能なネットワークシステムが示される。当該ネットワークシステムにおいて、ログ管理サーバは、認証サーバまたは認証スイッチからの認証許可ログと、DHCPサーバからのDHCPログとを受信し、認証許可の対象となるアカウントID(MACアドレス)とIPアドレスとの対応関係を端末管理DBに登録する。ログ管理サーバは、不正通信検知装置からの不正通信検知ログを受信した場合に、不正通信を行ったIPアドレスに対応するアカウントID(MACアドレス)を、端末管理DBに基づいて特定し、特定したアカウントIDを対象とする認証拒否命令を認証サーバへ送信する。 Patent Document 1 shows a network system that can more reliably block unauthorized communications. In this network system, a log management server receives an authentication permission log from an authentication server or authentication switch and a DHCP log from a DHCP server, and registers the correspondence between the account ID (MAC address) and IP address that are the subject of authentication permission in a terminal management DB. When the log management server receives an unauthorized communication detection log from an unauthorized communication detection device, it identifies the account ID (MAC address) that corresponds to the IP address that performed the unauthorized communication based on the terminal management DB, and transmits an authentication refusal command targeting the identified account ID to the authentication server.

特開2017-204697公報JP 2017-204697 A

例えば、RADIUS(Remote Authentication Dial In User Service)機能を有する認証クライアントは、ユーザからの情報端末を介したネットワークへのログイン要求に応じて、認証サーバに問い合わせ通信を行うことでログインの許可/拒否を定めることができる。加えて、RADIUSアカウンティング機能を有する認証クライアントは、ログインを許可したユーザ毎に、ネットワークへの送受信オクテット数や接続時間等を記録することができる。 For example, an authentication client with RADIUS (Remote Authentication Dial In User Service) functionality can determine whether to permit or deny a login by making an inquiry to an authentication server in response to a login request from a user to the network via an information terminal. In addition, an authentication client with RADIUS accounting functionality can record the number of octets sent and received to the network, the connection time, etc., for each user permitted to log in.

一方、ユーザの中には、ネットワークを定常的に利用する一般ユーザや、ネットワークを一時的に利用するゲストユーザ等が含まれ得る。前述したようなRADIUSアカウンティング機能を有する、または、それと等価な機能、例えばセッションタイムアウトの設定機能を有する認証クライアントを用いると、例えば、ゲストユーザ毎に、ネットワークへの接続時間を制限すること等が可能となる。しかしながら、RADIUSアカウンティング機能等を有しない認証クライアントを用いる場合、ユーザによるネットワークへの接続時間を制限することが困難となり得る。 On the other hand, users may include general users who regularly use the network, and guest users who temporarily use the network. If an authentication client with the aforementioned RADIUS accounting function or an equivalent function, such as a session timeout setting function, is used, it becomes possible to limit the network connection time for each guest user, for example. However, if an authentication client without a RADIUS accounting function is used, it may be difficult to limit the user's connection time to the network.

本発明の目的の一つは、認証クライアントの機能に依らず、ユーザによるネットワークへの接続時間を制限することが可能なネットワークシステムおよびサーバ装置を提供することにある。 One of the objectives of the present invention is to provide a network system and server device that can limit the time a user can connect to the network, regardless of the functionality of the authentication client.

本発明の前記並びにその他の目的と新規な特徴は、本明細書の記述及び添付図面から明らかになるであろう。 The above and other objects and novel features of the present invention will become apparent from the description of this specification and the accompanying drawings.

本願において開示される発明のうち、代表的な実施の形態の概要を簡単に説明すれば、次のとおりである。 A brief overview of a representative embodiment of the invention disclosed in this application is as follows:

一実施の形態によるネットワークシステムは、ネットワークへのログインの許可/拒否を判定する認証サーバと、情報端末からのアカウントを含んだログイン要求に応じて、当該アカウントからのネットワークへのログインの許可/拒否を、認証サーバへの問い合わせ通信によって定める認証クライアントと、ログ管理サーバと、を有する。認証クライアントは、認証サーバへの問い合わせ通信によってログインが許可された際に、許可によってログイン状態となったアカウントであるログインアカウントと、ログイン時間とを含んだ認証結果ログをログ管理サーバへ送信する。ログ管理サーバは、認証クライアントからのログインアカウントとログイン時間とをログデータベースに登録する。そして、ログ管理サーバは、ログインアカウントのログイン時間からの経過時間を監視し、当該経過時間が、予め定められた制限時間に達した場合に、当該ログインアカウントからのネットワークへの通信を遮断するための通信遮断命令を、認証クライアントへ送信する。 A network system according to one embodiment has an authentication server that determines whether to permit or deny login to the network from an account in response to a login request from an information terminal that includes the account, an authentication client that determines whether to permit or deny login to the network from the account by querying the authentication server, and a log management server. When login is permitted by the query to the authentication server, the authentication client transmits to the log management server an authentication result log that includes the login account, which is the account that entered a logged-in state as a result of the permission, and the login time. The log management server registers the login account and login time from the authentication client in a log database. The log management server then monitors the elapsed time since the login time of the login account, and when the elapsed time reaches a predetermined time limit, transmits a communication cutoff command to the authentication client to cut off communication to the network from the login account.

本願において開示される発明のうち、代表的な実施の形態によって得られる効果を簡単に説明すると、認証クライアントの機能に依らず、ユーザによるネットワークへの接続時間を制限することが可能になる。 The effect of a representative embodiment of the invention disclosed in this application can be briefly explained as making it possible to limit the time a user is connected to a network, regardless of the functionality of the authentication client.

本発明の実施の形態1によるネットワークシステムにおいて、主要部の構成例および動作例を示す概略図である。1 is a schematic diagram showing a configuration example and an operation example of a main part in a network system according to a first embodiment of the present invention; 図1に示されるネットワークシステムの主要部の処理内容の一例を示すシーケンス図である。2 is a sequence diagram showing an example of processing contents of a main part of the network system shown in FIG. 1 . 図1におけるログ管理サーバの主要部の構成例を示す概略図である。2 is a schematic diagram showing a configuration example of a main part of a log management server appearing in FIG. 1; 実施の形態2によるネットワークシステムにおいて、図1におけるログ管理サーバの主要部の構成例を示す概略図である。10 is a schematic diagram showing a configuration example of a main part of a log management server in a network system according to a second embodiment of the present invention; FIG. 図4におけるログDBおよび対象判別情報の構成例を示す概略図である。5 is a schematic diagram showing an example of the configuration of a log DB and target determination information in FIG. 4 . 図4における経過時間監視部の処理内容の一例を示すフロー図である。5 is a flowchart showing an example of processing contents of an elapsed time monitoring unit in FIG. 4.

以下、本発明の実施の形態を図面に基づいて詳細に説明する。なお、実施の形態を説明するための全図において、同一の部材には原則として同一の符号を付し、その繰り返しの説明は省略する。 The following describes in detail an embodiment of the present invention with reference to the drawings. In all drawings used to explain the embodiment, the same components are generally designated by the same reference numerals, and repeated explanations will be omitted.

(実施の形態1)
<ネットワークシステムの概略>
図1は、本発明の実施の形態1によるネットワークシステムにおいて、主要部の構成例および動作例を示す概略図である。図1に示すネットワークシステムは、イントラネット網等のネットワーク10と、ネットワーク10に接続される認証スイッチSW、無線LANコントローラWLC、ログ管理サーバ15、認証サーバ16、ディレクトリサーバ17およびアプリケーションサーバ18等を備える。ネットワーク10は、例えば、OSI参照モデルのレイヤ3(L3)のネットワークであり、ルータやL3スイッチ等を含む。 (Embodiment 1)
<Network system overview>
Fig. 1 is a schematic diagram showing an example of the configuration and operation of the main parts of a network system according to a first embodiment of the present invention. The network system shown in Fig. 1 includes a network 10 such as an intranet network, and an authentication switch SW, a wireless LAN controller WLC, a log management server 15, an authentication server 16, a directory server 17, and an application server 18, which are connected to the network 10. The network 10 is, for example, a Layer 3 (L3) network of the OSI reference model, and includes a router, an L3 switch, and the like.

認証スイッチSWおよび無線LANコントローラWLCは、例えば、RADIUSクライアントといった認証クライアントSW/WLCである。認証スイッチSWは、例えば、OSI参照モデルのレイヤ2(L2)の中継処理を担うL2スイッチであり、ポートP1,…,Pnを備える。ポートP1には、ユーザ11aによって利用される情報端末TM10が有線で接続され、ポートPnには、ネットワーク管理者12によって利用される管理端末TMmが有線で接続される。無線LANコントローラWLCは、無線通信のアクセスポイントの機能とL2スイッチの機能とを備える。無線LANコントローラWLCには、ユーザ11bによって利用される情報端末TM20が無線で接続される。 The authentication switch SW and the wireless LAN controller WLC are, for example, authentication client SW/WLC such as a RADIUS client. The authentication switch SW is, for example, an L2 switch that handles relay processing of Layer 2 (L2) of the OSI reference model, and has ports P1, ..., Pn. An information terminal TM10 used by user 11a is connected by wire to port P1, and a management terminal TMm used by the network administrator 12 is connected by wire to port Pn. The wireless LAN controller WLC has the function of a wireless communication access point and the function of an L2 switch. An information terminal TM20 used by user 11b is connected wirelessly to the wireless LAN controller WLC.

認証サーバ16は、例えば、コンピュータ装置で実現されるRADIUSサーバ等であり、ネットワーク10へのログインの許可/拒否を判定する。具体的には、認証サーバ16は、メモリ22に保持される認証データベース(DBと略す)23を有し、認証DB23に基づいてログインの許可/拒否を判定する。認証DB23は、アカウントACN毎に、ログインの許可/拒否の情報を保持する。さらに、この例では、認証DB23は、アカウントACN毎に、ネットワーク10の利用に伴う制限時間LLTの情報を保持する。認証DB23の各情報は、予め、ネットワーク管理者12によって登録される。 The authentication server 16 is, for example, a RADIUS server implemented by a computer device, and determines whether to permit or deny login to the network 10. Specifically, the authentication server 16 has an authentication database (abbreviated as DB) 23 stored in memory 22, and determines whether to permit or deny login based on the authentication DB 23. The authentication DB 23 holds information on whether to permit or deny login for each account ACN. Furthermore, in this example, the authentication DB 23 holds information on the time limit LLT associated with use of the network 10 for each account ACN. Each piece of information in the authentication DB 23 is registered in advance by the network administrator 12.

アカウントACNは、例えば、パスワード認証に対応するユーザID/パスワードや、MACアドレス認証に対応するMACアドレス等である。図1に示される例では、2個のアカウントACNとして、情報端末TM10のMACアドレス“MA10”と、ユーザ11bのユーザID“UID2”/パスワード“PW2”とが登録されている。当該2個のアカウントACNからのネットワーク10へのログインは、共に許可される。 The account ACN is, for example, a user ID/password corresponding to password authentication, or a MAC address corresponding to MAC address authentication. In the example shown in FIG. 1, the MAC address "MA10" of the information terminal TM10 and the user ID "UID2"/password "PW2" of the user 11b are registered as two account ACNs. Login to the network 10 from both of these account ACNs is permitted.

制限時間LLTは、ネットワーク10の利用可能期間や、利用可能時刻を表す。図1に示される例では、アカウントACN“MA10”は、ログイン後、3時間まで利用可能であり、アカウントACN“UID2”は、ログイン時間を問わず、時刻“h3:m3:s3”まで利用可能である。なお、認証DB23は、ここでは、認証サーバ16内に設けられるが、アクティブディレクトリサーバやLDAP(Lightweight Directory Access Protocol)サーバといったディレクトリサーバ17に設けられてもよい。この場合、認証サーバ16は、当該ディレクトリサーバ17と連携しながらログインの許可/拒否を判定する。 The time limit LLT indicates the period during which the network 10 can be used and the time when it can be used. In the example shown in FIG. 1, the account ACN "MA10" can be used for up to three hours after login, and the account ACN "UID2" can be used until the time "h3:m3:s3" regardless of the login time. Note that the authentication DB 23 is provided in the authentication server 16 here, but may also be provided in a directory server 17 such as an active directory server or an LDAP (Lightweight Directory Access Protocol) server. In this case, the authentication server 16 determines whether to permit or deny login in cooperation with the directory server 17.

認証クライアントSW/WLCは、情報端末からのアカウントACNを含んだログイン要求LRQに応じて、当該アカウントACNからのネットワーク10へのログインの許可/拒否を、認証サーバ16への問い合わせ通信によって定める。具体例として、認証スイッチSWは、情報端末TM10からのアカウントACN“MA10”を含んだログイン要求LRQに応じて、“MA10”を含んだログイン判定要求ARQを認証サーバ16へ送信する。認証サーバ16は、“MA10”を対象に、ログインの許可/拒否を判定する。 In response to a login request LRQ including an account ACN from an information terminal, the authentication client SW/WLC determines whether to permit or deny login to the network 10 from that account ACN by sending an inquiry to the authentication server 16. As a specific example, in response to a login request LRQ including the account ACN "MA10" from the information terminal TM10, the authentication switch SW sends a login determination request ARQ including "MA10" to the authentication server 16. The authentication server 16 determines whether to permit or deny login for "MA10".

図1に示される例では、認証サーバ16は、認証DB23の登録内容に基づいて、“MA10”からのログインを許可と判定する。そして、認証スイッチSWは、認証サーバ16から、ログインの許可/拒否の判定結果、ここでは許可の判定結果を含んだログイン判定応答ARSを受信する。この場合、ログインが許可された情報端末TM10は、認証スイッチSWを介してネットワーク10を利用できる。その結果、情報端末TM10は、例えば、ネットワーク10に接続されたアプリケーションサーバ18等との通信が可能となる。 In the example shown in FIG. 1, the authentication server 16 determines that login from "MA10" is permitted based on the registered contents of the authentication DB 23. The authentication switch SW then receives a login determination response ARS from the authentication server 16, which includes the result of the determination of whether the login is permitted/rejected, in this case, the result of the determination of permission. In this case, the information terminal TM10 that is permitted to log in can use the network 10 via the authentication switch SW. As a result, the information terminal TM10 can communicate with, for example, an application server 18 connected to the network 10.

また、認証クライアントSW/WLCは、認証サーバ16への問い合わせ通信によってログインが許可された際に、ログインアカウントACNaと、ログイン時間LTと、認証クライアントの識別子(ID)CIDとを含んだ認証結果ログLGをログ管理サーバ15へ送信する。ログインアカウントACNaは、ログインの許可によってログイン状態となったアカウントである。 When login is permitted by an inquiry communication to the authentication server 16, the authentication client SW/WLC transmits an authentication result log LG, which includes the login account ACNa, the login time LT, and the authentication client identifier (ID) CID, to the log management server 15. The login account ACNa is the account that is in a logged-in state due to login permission.

ログイン時間LTは、例えば、認証クライアントSW/WLCまたは認証サーバ16の時刻情報に基づいて定められる。認証クライアントの識別子CIDは、例えば、認証結果ログLGの送信元IPアドレスによって定められる。具体例として、認証スイッチSWは、情報端末TM10のログインアカウントACNa“MA10”と、ログイン時間LT“h1:m1:s1”と、認証スイッチSWのIPアドレス“IPA1”とを含む認証結果ログLGをログ管理サーバ15へ送信する。 The login time LT is determined, for example, based on the time information of the authentication client SW/WLC or the authentication server 16. The authentication client identifier CID is determined, for example, by the source IP address of the authentication result log LG. As a specific example, the authentication switch SW transmits the authentication result log LG, which includes the login account ACNa "MA10" of the information terminal TM10, the login time LT "h1:m1:s1", and the IP address "IPA1" of the authentication switch SW, to the log management server 15.

ログ管理サーバ(サーバ装置)15は、コンピュータ装置で実現され、その機能の一つとして、認証結果ログLGを含め、ネットワーク10上で生じた各種ログを収集する。ログは、例えば、syslogや、SNMP(Simple Network Management Protocol) Trap等で通知されるログである。ログ管理サーバ15は、メモリ20に保持されるログDB21を有する。 The log management server (server device) 15 is realized by a computer device, and one of its functions is to collect various logs generated on the network 10, including the authentication result log LG. The logs are, for example, logs notified by syslog or SNMP (Simple Network Management Protocol) Trap. The log management server 15 has a log DB 21 stored in memory 20.

ログDB21は、ログインアカウントACNaと、ログイン時間LTと、ログインアカウントACNaの送信元である認証クライアントの識別子CIDと、の対応関係を保持し、加えて制限時間LLTとの対応関係を保持する。ログ管理サーバ15は、認証クライアントSW/WLCからの認証結果ログLGを受信した場合、認証結果ログLGに含まれるログインアカウントACNaとログイン時間LTと認証クライアントの識別子CIDとをログDB21に登録する。また、ログ管理サーバ15は、認証サーバ16と通信することで、ログインアカウントACNaの制限時間LLTを認証サーバ16から取得し、ログDB21に登録する。 The log DB21 holds the correspondence between the login account ACNa, the login time LT, and the identifier CID of the authentication client that is the sender of the login account ACNa, and also holds the correspondence with the time limit LLT. When the log management server 15 receives an authentication result log LG from the authentication client SW/WLC, it registers the login account ACNa, the login time LT, and the identifier CID of the authentication client contained in the authentication result log LG in the log DB21. In addition, the log management server 15 communicates with the authentication server 16 to obtain the time limit LLT of the login account ACNa from the authentication server 16 and registers it in the log DB21.

図1に示される例では、ログ管理サーバ15は、認証スイッチSWからの認証結果ログLGを受信し、ログインアカウントACNa“MA10”と、ログイン時間LT“h1:m1:s1”と、認証スイッチSWのIPアドレス“IPA1”とをログDB21に登録する。また、ログ管理サーバ15は、認証サーバ16から、“MA10”に対応する制限時間LLT“3hr”を取得し、ログDB21に登録する。 In the example shown in FIG. 1, the log management server 15 receives the authentication result log LG from the authentication switch SW, and registers the login account ACNa "MA10", the login time LT "h1:m1:s1", and the IP address "IPA1" of the authentication switch SW in the log DB 21. The log management server 15 also obtains the time limit LLT "3hr" corresponding to "MA10" from the authentication server 16, and registers it in the log DB 21.

なお、無線LANコントローラWLCが情報端末TM20からユーザID“UID2”/パスワード“PW2”を含むログイン要求LRQを受けた場合も、同様の処理が行われる。その結果、ログDB21には、ログインアカウントACNa“UID2”と、ログイン時間LT“h2:m2:s2”と、制限時間LLT“h3:m3:s3”と、無線LANコントローラWLCのIPアドレス“IPA2”との対応関係が登録される。 The same process is performed when the wireless LAN controller WLC receives a login request LRQ including the user ID "UID2"/password "PW2" from the information terminal TM20. As a result, the log DB21 registers the correspondence between the login account ACNa "UID2", the login time LT "h2:m2:s2", the time limit LLT "h3:m3:s3", and the IP address "IPA2" of the wireless LAN controller WLC.

ここで、ログ管理サーバ15は、ログDB21に基づいて、各ログインアカウントACNaのログイン時間LTからの経過時間を監視し、当該経過時間が、予め定められた制限時間LLTに達した場合に、認証クライアントSW/WLCへ通信遮断命令CBを送信する。通信遮断命令CBは、当該ログインアカウントACNaからのネットワーク10への通信を遮断するための命令である。また、通信遮断命令CBの宛先となる認証クライアントSW/WLCは、ログDB21における認証クライアントの識別子CIDに基づいて定められる。 The log management server 15 monitors the time that has elapsed since the login time LT of each login account ACNa based on the log DB 21, and when the elapsed time reaches a predetermined time limit LLT, transmits a communication cutoff command CB to the authentication client SW/WLC. The communication cutoff command CB is a command to cut off communication from the login account ACNa to the network 10. The authentication client SW/WLC that is the destination of the communication cutoff command CB is determined based on the identifier CID of the authentication client in the log DB 21.

認証クライアントSW/WLCは、通信遮断命令CBを受けて、通信遮断命令CBに含まれるログインアカウントACNaからのネットワーク10への通信を遮断する。言い換えれば、認証クライアントSW/WLCは、当該ログインアカウントACNaを強制的にログアウトさせる。 The authentication client SW/WLC receives the communication cutoff command CB and cuts off communication to the network 10 from the login account ACNa included in the communication cutoff command CB. In other words, the authentication client SW/WLC forcibly logs out the login account ACNa.

図1に示される例では、ログ管理サーバ15は、ログインアカウントACNa“MA10”を対象に、ログイン時間LT“h1:m1:s1”から3時間経過した場合に、IPアドレスIPA1を宛先とするIPパケット等を用いて、“MA10”の通信遮断命令CBを送信する。また、ログ管理サーバ15は、ログインアカウントACNa“UID2”を対象に、時間“h3:m3:s3”に到達した場合に、IPアドレスIPA2を宛先とするIPパケット等を用いて、“UID2”の通信遮断命令CBを送信する。 In the example shown in FIG. 1, the log management server 15 sends a communication cutoff command CB for login account ACNa "MA10" using an IP packet or the like destined for IP address IPA1 when three hours have passed since login time LT "h1:m1:s1". Also, the log management server 15 sends a communication cutoff command CB for login account ACNa "UID2" using an IP packet or the like destined for IP address IPA2 when time "h3:m3:s3" has been reached.

図2は、図1に示されるネットワークシステムの主要部の処理内容の一例を示すシーケンス図である。図2において、情報端末TMは、認証クライアントSW/WLC、すなわち認証スイッチSWまたは無線LANコントローラWLCへアカウントACNを含んだログイン要求LRQを送信する(ステップS101)。これに応じて、認証クライアントSW/WLCは、アカウントACNを含むログイン判定要求ARQを、認証サーバ16へ送信する(ステップS102)。 Figure 2 is a sequence diagram showing an example of the processing contents of the main parts of the network system shown in Figure 1. In Figure 2, the information terminal TM transmits a login request LRQ including the account ACN to the authentication client SW/WLC, i.e., the authentication switch SW or the wireless LAN controller WLC (step S101). In response, the authentication client SW/WLC transmits a login determination request ARQ including the account ACN to the authentication server 16 (step S102).

認証サーバ16は、この例では、認証DB23に基づいて、ログイン判定要求ARQに含まれるアカウントACNからのログインを許可と判定し、許可の判定結果を含んだログイン判定応答ARSを認証クライアントSW/WLCへ送信する(ステップS103)。これにより、認証クライアントSW/WLCは、当該アカウントACN、すなわちログインアカウントACNaからのネットワーク10へのログインを許可する(ステップS104)。 In this example, the authentication server 16 determines, based on the authentication DB 23, that the login from the account ACN included in the login determination request ARQ is permitted, and transmits a login determination response ARS including the result of the permission determination to the authentication client SW/WLC (step S103). As a result, the authentication client SW/WLC permits login to the network 10 from the account ACN, i.e., the login account ACNa (step S104).

具体的には、認証クライアントSW/WLCは、例えば、当該ログインアカウントACNaの送信元となる情報端末TMを対象に、パケットフィルタ等を用いて、当該情報端末TMのMACアドレスを送信元とするフレームの中継を許可する。その結果、情報端末TMは、ネットワーク10の利用が可能となる(ステップS1)。この際に、図1に示したように、ログインアカウントACNaがユーザID“UID2”の場合、認証クライアントSW/WLCは、ステップS101において、予め“UID2”と情報端末TM20のMACアドレス“MA20”との対応関係を保持しておけばよい。 Specifically, the authentication client SW/WLC uses a packet filter or the like to allow the relay of frames whose source is the MAC address of the information terminal TM, which is the source of the login account ACNa. As a result, the information terminal TM becomes able to use the network 10 (step S1). At this time, as shown in FIG. 1, if the login account ACNa is the user ID "UID2", the authentication client SW/WLC need only hold in advance in step S101 the correspondence between "UID2" and the MAC address "MA20" of the information terminal TM20.

また、認証クライアントSW/WLCは、ステップS104の処理に伴い、ログ管理サーバ15へ認証結果ログLGを送信する(ステップS105)。認証結果ログLGには、ログインアカウントACNaと、ログイン時間LTと、認証クライアントの識別子CID、例えばIPアドレスとが含まれる。ログ管理サーバ15は、これらの情報(ACNa,LT,CID)をログDB21に登録する(ステップS106)。 In addition, in conjunction with the processing of step S104, the authentication client SW/WLC transmits an authentication result log LG to the log management server 15 (step S105). The authentication result log LG includes the login account ACNa, the login time LT, and the identifier CID of the authentication client, for example, an IP address. The log management server 15 registers this information (ACNa, LT, CID) in the log DB 21 (step S106).

さらに、ログ管理サーバ15は、ログインアカウントACNaに対応する制限時間LLTを認証サーバ16から取得し(ステップS107)、ログDB21に登録する(ステップS108)。なお、この例では、ログ管理サーバ15は、ステップS105でログインアカウントACNaを受信したのちに、当該ログインアカウントACNaに対応する制限時間LLTを認証サーバ16から取得している。 Furthermore, the log management server 15 acquires the time limit LLT corresponding to the login account ACNa from the authentication server 16 (step S107) and registers it in the log DB 21 (step S108). Note that in this example, after receiving the login account ACNa in step S105, the log management server 15 acquires the time limit LLT corresponding to the login account ACNa from the authentication server 16.

ただし、例えば、ログ管理サーバ15は、図1に示した認証DB23におけるアカウントACNと制限時間LLTとの対応関係を定期的に取得し、当該対応関係をメモリ20に保持することで、当該対応関係に基づいて、ログDB21に登録する制限時間LLTを定めてもよい。また、ここでは、ネットワーク管理者12は、アカウントACN毎の制限時間LLTを、認証サーバ16に登録したが、代わりに、ログ管理サーバ15に登録してもよい。この場合、ステップS107の処理は不要となる。ただし、認証に関する情報を一元管理する、すなわち、ネットワーク管理を効率化するという観点では、認証サーバ16に制限時間LLTを登録する方が望ましい。 However, for example, the log management server 15 may periodically obtain the correspondence between the account ACN and the time limit LLT in the authentication DB 23 shown in FIG. 1, and store the correspondence in the memory 20, and determine the time limit LLT to be registered in the log DB 21 based on the correspondence. Also, here, the network administrator 12 registered the time limit LLT for each account ACN in the authentication server 16, but may instead register it in the log management server 15. In this case, the processing of step S107 is unnecessary. However, from the viewpoint of centrally managing information related to authentication, that is, making network management more efficient, it is preferable to register the time limit LLT in the authentication server 16.

ステップS108ののち、ログ管理サーバ15は、ログDB21に登録されたログインアカウントACNaを対象に、ログイン時間LTからの経過時間を監視する(ステップS109)。そして、ログ管理サーバ15は、経過時間が制限時間LLTに達した場合、当該ログインアカウントACNaの通信遮断命令CBを認証クライアントSW/WLCへ送信する(ステップS110)。 After step S108, the log management server 15 monitors the time elapsed from the login time LT for the login account ACNa registered in the log DB 21 (step S109). Then, when the elapsed time reaches the time limit LLT, the log management server 15 sends a communication cutoff command CB for the login account ACNa to the authentication client SW/WLC (step S110).

認証クライアントSW/WLCは、通信遮断命令CBを受信し、当該通信遮断命令CBに含まれるログインアカウントACNaからのネットワーク10へ通信を遮断する(ステップS111)。具体的には、認証クライアントSW/WLCは、当該ログインアカウントACNaの送信元となる情報端末TMを対象に、パケットフィルタ等を用いて、当該情報端末TMのMACアドレスを送信元とするフレームの中継を遮断する。その結果、情報端末TMは、ネットワーク10を利用できなくなる(ステップS2)。すなわち、ステップS101に戻り、再度のログイン要求LRQが必要とされる状態になる。 The authentication client SW/WLC receives the communication cutoff command CB and cuts off communication to the network 10 from the login account ACNa included in the communication cutoff command CB (step S111). Specifically, the authentication client SW/WLC uses a packet filter or the like to target the information terminal TM that is the sender of the login account ACNa and cuts off relay of frames whose sender is the MAC address of the information terminal TM. As a result, the information terminal TM cannot use the network 10 (step S2). In other words, the process returns to step S101, and another login request LRQ is required.

なお、ステップS111の処理が行われたのちのログイン要求LRQに対する許可/拒否は、例えば、認証サーバ16の登録内容に基づいて定められればよい。具体的には、認証サーバ16において、例えば、ログインを1回限り許可、制限無く許可、時間指定で許可等の制約を設ければよい。また、制限時間LLTに達する前にログアウトが行われた場合、ログ管理サーバ15は、ログアウトされた旨を表すログを受信する。この場合、当該ログアウトされたアカウントACNは、ログDB21におけるログインアカウントACNaから除外され、制限時間LLTの監視対象から除外される。 The permission/rejection of the login request LRQ after the processing of step S111 may be determined based on the registration contents of the authentication server 16, for example. Specifically, the authentication server 16 may set restrictions such as permitting login only once, permitting without restrictions, permitting at a specified time, etc. Furthermore, if a logout occurs before the time limit LLT is reached, the log management server 15 receives a log indicating that the user has been logged out. In this case, the logged-out account ACN is excluded from the login accounts ACNa in the log DB 21, and is excluded from the targets for monitoring the time limit LLT.

<ログ管理サーバ(サーバ装置)の詳細>
図3は、図1におけるログ管理サーバの主要部の構成例を示す概略図である。図3に示すログ管理サーバ(サーバ装置)15は、ログDB21を保持するメモリ20に加えて、ログ受信部25と、制限時間取得部26と、経過時間監視部27と、通信遮断命令送信部28とを備える。メモリ20は、例えば、HDD(Hard Disk Drive)やSSD(Solid State Drive)等の不揮発性メモリと、DRAM(Dynamic Random Access Memory)やSRAM(Static RAM)等の揮発性メモリとの組み合わせで構成される。 <Details of the log management server (server device)>
Fig. 3 is a schematic diagram showing an example of the configuration of the main part of the log management server in Fig. 1. The log management server (server device) 15 shown in Fig. 3 includes a log receiving unit 25, a time limit acquiring unit 26, an elapsed time monitoring unit 27, and a communication cutoff command transmitting unit 28, in addition to a memory 20 that holds a log DB 21. The memory 20 is configured, for example, by combining a non-volatile memory such as a hard disk drive (HDD) or a solid state drive (SSD) with a volatile memory such as a dynamic random access memory (DRAM) or a static RAM (SRAM).

ログ受信部25、制限時間取得部26、経過時間監視部27および通信遮断命令送信部28は、例えば、プロセッサがメモリ20に格納された所定のプログラムを実行することで実現される。ログ受信部25は、図2のステップS105,S106に示したように、認証クライアントSW/WLCからの認証結果ログLGを受信し、ログの情報をログDB21に登録する。制限時間取得部26は、図2のステップ107,S108に示したように、認証サーバ16からログインアカウントACNaの制限時間を取得し、ログDB21に登録する。 The log receiving unit 25, the time limit acquiring unit 26, the elapsed time monitoring unit 27 and the communication cutoff command sending unit 28 are realized, for example, by the processor executing a predetermined program stored in the memory 20. As shown in steps S105 and S106 of FIG. 2, the log receiving unit 25 receives the authentication result log LG from the authentication client SW/WLC and registers the log information in the log DB 21. As shown in steps 107 and S108 of FIG. 2, the time limit acquiring unit 26 acquires the time limit of the login account ACNa from the authentication server 16 and registers it in the log DB 21.

経過時間監視部27は、図2のステップS109に示したように、ログDB21に基づいて、ログインアカウントACNaにおけるログイン時間LTからの経過時間を監視し、経過時間が制限時間LLTに達したか否かを判定する。通信遮断命令送信部28は、図2のステップS110に示したように、経過時間監視部27の監視結果に基づいて、制限時間LLTに達したログインアカウントACNaの通信遮断命令CBを、ログDB21に基づいて得られる認証クライアントSW/WLCへ送信する。 2, the elapsed time monitoring unit 27 monitors the elapsed time from the login time LT for the login account ACNa based on the log DB 21, and determines whether the elapsed time has reached the time limit LLT. As shown in step S110 of FIG. 2, the communication cutoff command sending unit 28 sends a communication cutoff command CB for the login account ACNa that has reached the time limit LLT to the authentication client SW/WLC obtained based on the log DB 21 based on the monitoring result of the elapsed time monitoring unit 27.

<実施の形態1の主要な効果>
以上、実施の形態1のネットワークシステムおよびサーバ装置を用いることで、認証クライアントSW/WLCの機能に依らず、ユーザによるネットワーク10への接続時間を制限することが可能になる。具体的には、認証クライアントSW/WLCがRADIUSアカウンティング機能やセッションタイムアウトの設定機能を有しない場合であっても、ログ管理サーバ15が、ログDB21に基づいて制限時間LLTを監視することで、ユーザによるネットワーク10への接続時間を制限できるようになる。その結果、RADIUSアカウンティング機能等に対応しない既存の認証クライアントSW/WLCを交換する必要性がなくなるため、コストの増大を抑制できる。 <Major Effects of First Embodiment>
As described above, by using the network system and server device of the first embodiment, it becomes possible to limit the connection time of a user to the network 10, regardless of the function of the authentication client SW/WLC. Specifically, even if the authentication client SW/WLC does not have a RADIUS accounting function or a session timeout setting function, the log management server 15 can limit the connection time of a user to the network 10 by monitoring the time limit LLT based on the log DB 21. As a result, there is no need to replace an existing authentication client SW/WLC that does not support a RADIUS accounting function or the like, and therefore an increase in costs can be suppressed.

(実施の形態2)
<ログ管理サーバ(サーバ装置)の詳細>
図4は、実施の形態2によるネットワークシステムにおいて、図1におけるログ管理サーバの主要部の構成例を示す概略図である。図4に示すログ管理サーバ15aは、図3に示した構成例と比較して、次の点が異なっている。1点目の相違点として、ログDB21aの登録内容が異なる。2点目の相違点として、メモリ20内に対象判別情報30が追加される。3点目の相違点として、経過時間監視部27aの処理内容が若干異なる。4点目の相違点として、事前通知送信部31が追加される。事前通知送信部31は、例えば、プロセッサがメモリ20に格納された所定のプログラムを実行することで実現される。 (Embodiment 2)
<Details of the log management server (server device)>
Fig. 4 is a schematic diagram showing a configuration example of the main part of the log management server in Fig. 1 in a network system according to a second embodiment. The log management server 15a shown in Fig. 4 differs from the configuration example shown in Fig. 3 in the following points. The first difference is that the registered contents of the log DB 21a are different. The second difference is that target discrimination information 30 is added to the memory 20. The third difference is that the processing contents of the elapsed time monitoring unit 27a are slightly different. The fourth difference is that a prior notification transmission unit 31 is added. The prior notification transmission unit 31 is realized, for example, by a processor executing a predetermined program stored in the memory 20.

図5は、図4におけるログDBおよび対象判別情報の構成例を示す概略図である。図5に示すログDB21aは、図1の構成例と比較して、さらに、ログインアカウントACNa毎のMACアドレスMA、IPアドレスIPA、メールアドレスMLAおよび事前通知送信情報35が追加されている。認証クライアントSW/WLCは、例えば、図2に示されるステップS101において、ログインアカウントACNa毎のMACアドレスMAを取得することができる。認証クライアントSW/WLCは、図2に示されるステップS105において、当該MACアドレスMAを含んだ認証結果ログLGを送信すればよい。 Figure 5 is a schematic diagram showing an example of the configuration of the log DB and target discrimination information in Figure 4. Compared to the example configuration in Figure 1, the log DB 21a shown in Figure 5 further includes a MAC address MA, an IP address IPA, an email address MLA, and advance notification transmission information 35 for each login account ACNa. For example, the authentication client SW/WLC can obtain the MAC address MA for each login account ACNa in step S101 shown in Figure 2. The authentication client SW/WLC can transmit an authentication result log LG including the MAC address MA in step S105 shown in Figure 2.

ログインアカウントACNa毎のIPアドレスIPAは、例えば、特許文献1に示されるように、ログ管理サーバ15aが、ネットワーク10に接続される図示しないDHCP(Dynamic Host Configuration Protocol)サーバから、MACアドレスとIPアドレスとの対応関係を表すDHCPログを受信することで取得され得る。ログインアカウントACNa毎のメールアドレスMLAは、特に、アクティブディレクトリ等のディレクトリサーバ17によって保持される場合が多い。この場合、認証クライアントSW/WLCは、認証サーバ16から当該メールアドレスMLAを含んだログイン判定応答ARSを受信し、当該メールアドレスMLAを含んだ認証結果ログLGを送信すればよい。 As shown in Patent Document 1, for example, the IP address IPA for each login account ACNa can be obtained by the log management server 15a receiving a Dynamic Host Configuration Protocol (DHCP) log that indicates the correspondence between MAC addresses and IP addresses from a DHCP server (not shown) connected to the network 10. The email address MLA for each login account ACNa is often held by a directory server 17, particularly an active directory. In this case, the authentication client SW/WLC receives a login determination response ARS that includes the email address MLA from the authentication server 16, and transmits an authentication result log LG that includes the email address MLA.

ログDB21a内のMACアドレスMAまたはIPアドレスIPAは、例えば、ログ管理サーバ15が、図2に示されるステップS110において通信遮断命令CBを送信する際に、遮断対象となるログインアカウントACNaと等価な情報として送信され得る。例えば、認証クライアントSW/WLCは、通信を遮断する際に、パケットフィルタ等に、MACアドレスMAまたはIPアドレスIPAを設定する場合が多い。MACアドレスMAまたはIPアドレスIPAを含んだ通信遮断命令CBを用いると、このような場合に容易に対応することが可能になる。メールアドレスMLAおよび事前通知送信情報35は、後述する事前通知送信部31で用いられる。 The MAC address MA or IP address IPA in the log DB 21a may be transmitted as information equivalent to the login account ACNa to be blocked, for example, when the log management server 15 transmits a communication blocking command CB in step S110 shown in FIG. 2. For example, the authentication client SW/WLC often sets the MAC address MA or IP address IPA in a packet filter or the like when blocking communication. Using a communication blocking command CB that includes the MAC address MA or IP address IPA makes it easy to deal with such cases. The email address MLA and advance notification transmission information 35 are used by the advance notification transmission unit 31, which will be described later.

図5に示す対象判別情報30は、認証クライアントSW/WLCが通信遮断命令CBの送信対象であるか非送信対象であるかを表す情報である。対象判別情報30は、予め、ネットワーク管理者12によって定められる。例えば、図1において、認証スイッチSWは、RADIUSアカウンティング機能等を有しておらず、無線LANコントローラWLCは、RADIUSアカウンティング機能等を有している場合を仮定する。この場合、無線LANコントローラWLCでは、RADIUSアカウンティング機能等を用いて、ログインアカウントACNa毎の制限時間LLTを管理したい場合がある。 The target determination information 30 shown in FIG. 5 is information indicating whether the authentication client SW/WLC is a target or non-target for sending a communication cutoff command CB. The target determination information 30 is determined in advance by the network administrator 12. For example, in FIG. 1, it is assumed that the authentication switch SW does not have a RADIUS accounting function, and the wireless LAN controller WLC has a RADIUS accounting function. In this case, the wireless LAN controller WLC may want to use the RADIUS accounting function, etc. to manage the time limit LLT for each login account ACNa.

ただし、この場合、ログ管理サーバ15による制限時間LLTの管理も併用すると、無線LANコントローラWLCにおいて、重複する通信遮断命令が生じ、これらのタイムラグも生じ得るため、意図しない制御が行われるおそれがある。そこで、対象判別情報30が設けられる。図5に示される例では、認証クライアントの識別子CID毎に対象/非対象が定められ、IPアドレスIPA1を有する認証スイッチSWが対象に、IPアドレスIPA2を有する無線LANコントローラWLCが非対象に定められる。 However, in this case, if the log management server 15 also uses the management of the time limit LLT, duplicate communication cutoff commands may occur in the wireless LAN controller WLC, and a time lag may occur between them, which may result in unintended control. Therefore, target determination information 30 is provided. In the example shown in FIG. 5, target/non-target is determined for each authentication client identifier CID, and the authentication switch SW having IP address IPA1 is determined as a target, and the wireless LAN controller WLC having IP address IPA2 is determined as a non-target.

ログ管理サーバ15a、具体的には、経過時間監視部27aは、対象判別情報30に基づいて、非送信対象の認証クライアント、図5に示される例では無線LANコントローラWLCからのログインアカウントACNaに対しては、経過時間の監視を行わない。これに伴い、ログ管理サーバ15a、具体的には、通信遮断命令送信部28は、非送信対象の認証クライアントである無線LANコントローラWLCには、通信遮断命令CBを送信しない。 The log management server 15a, specifically the elapsed time monitoring unit 27a, does not monitor the elapsed time for the authentication client that is not a transmission target, that is, the login account ACNa from the wireless LAN controller WLC in the example shown in FIG. 5, based on the target determination information 30. Accordingly, the log management server 15a, specifically the communication cutoff command sending unit 28, does not send the communication cutoff command CB to the wireless LAN controller WLC that is the authentication client that is not a transmission target.

事前通知送信部31は、ログイン時間LTからの経過時間が制限時間LLTに達する前に、対象のログインアカウントACNaを有するユーザへ、制限時間LLTが迫っていることを表す事前通知を送信する。具体的には、例えば、経過時間監視部27aは、制限時間LLTに達したログインアカウントACNaの有無に加えて、それよりも前の予め定められた時間である事前通知時間に達したログインアカウントACNaの有無も監視する。 The advance notification sending unit 31 sends an advance notification indicating that the time limit LLT is approaching to the user who has the target login account ACNa before the time elapsed from the login time LT reaches the time limit LLT. Specifically, for example, the elapsed time monitoring unit 27a monitors not only whether or not there is a login account ACNa that has reached the time limit LLT, but also whether or not there is a login account ACNa that has reached the advance notification time, which is a predetermined time before that.

事前通知送信部31は、経過時間監視部27aの監視結果に基づいて、事前通知時間に達したログインアカウントACNaを有するユーザへ、例えば、メールを用いて事前通知を送信する。この際のメールアドレスMLAは、ログDB21aに基づいて定められる。また、事前通知送信部31は、事前通知を送信した場合、ログDB21a内の事前通知送信情報35に、送信済を登録する。 Based on the monitoring result of the elapsed time monitoring unit 27a, the advance notification sending unit 31 sends an advance notification, for example by email, to the user whose login account ACNa has reached the advance notification time. The email address MLA at this time is determined based on the log DB 21a. Furthermore, when the advance notification sending unit 31 has sent an advance notification, it registers that the advance notification has been sent in the advance notification sending information 35 in the log DB 21a.

図6は、図4における経過時間監視部の処理内容の一例を示すフロー図である。経過時間監視部27aは、図6の処理を所定の制御周期で繰り返し実行する。まず、経過時間監視部27aは、ログDB21aに登録されるログインアカウントACNaが監視対象であるか否かを対象判別情報30に基づいて判別し、監視対象のログインアカウントACNa毎にログイン時間LTからの経過時間を監視する(ステップS201)。そして、経過時間監視部27aは、経過時間が事前通知時間に達したログインアカウントACNaの有無を判定する(ステップS202)。 Figure 6 is a flow diagram showing an example of the processing contents of the elapsed time monitoring unit in Figure 4. The elapsed time monitoring unit 27a repeatedly executes the processing of Figure 6 at a predetermined control period. First, the elapsed time monitoring unit 27a determines whether or not a login account ACNa registered in the log DB 21a is a monitoring target based on the target determination information 30, and monitors the elapsed time from the login time LT for each login account ACNa to be monitored (step S201). Then, the elapsed time monitoring unit 27a determines whether or not there is a login account ACNa whose elapsed time has reached the advance notification time (step S202).

事前通知時間に達したログインアカウントACNaが有る場合(ステップS202:Yes)、経過時間監視部27aは、当該ログインアカウントACNaの経過時間が制限時間LLTにも達したか否かを判定する(ステップS203)。経過時間が制限時間LLTにも達した場合(ステップS203:Yes)、経過時間監視部27aは、通信遮断命令送信部28へ、制限時間LLTに達したログインアカウントACNaを通知し、処理を終了する(ステップS204)。 If there is a login account ACNa that has reached the advance notification time (step S202: Yes), the elapsed time monitoring unit 27a determines whether the elapsed time of the login account ACNa has also reached the time limit LLT (step S203). If the elapsed time has reached the time limit LLT (step S203: Yes), the elapsed time monitoring unit 27a notifies the communication cutoff command sending unit 28 of the login account ACNa that has reached the time limit LLT, and ends the process (step S204).

一方、事前通知時間に達したが制限時間LLTには達していないログインアカウントACNaが有る場合(ステップS202:Yes、ステップS203:No)、経過時間監視部27aは、ログDB21aに基づいて、当該ログインアカウントACNaへの事前通知が送信済か未送信かを判定する(ステップS205)。事前通知が未送信の場合(ステップS205:Yes)、経過時間監視部27aは、事前通知送信部31へ、事前通知が未送信であるログインアカウントACNaを通知し、処理を終了する(ステップS206)。なお、経過時間監視部27aは、ステップS202において事前通知時間に達したログインアカウントACNaが無い場合(“No”の場合)や、ステップS205で事前通知を送信済の場合(“No”の場合)にも、処理を終了する。 On the other hand, if there is a login account ACNa for which the advance notification time has been reached but the time limit LLT has not been reached (step S202: Yes, step S203: No), the elapsed time monitoring unit 27a determines whether an advance notification has been sent or not to the login account ACNa based on the log DB 21a (step S205). If an advance notification has not been sent (step S205: Yes), the elapsed time monitoring unit 27a notifies the advance notification sending unit 31 of the login account ACNa for which an advance notification has not been sent, and ends the process (step S206). Note that the elapsed time monitoring unit 27a also ends the process if there is no login account ACNa for which the advance notification time has been reached in step S202 (if "No") or if an advance notification has been sent in step S205 (if "No").

<実施の形態2の主要な効果>
以上、実施の形態2のネットワークシステムおよびサーバ装置を用いることでも、実施の形態1で述べた各種効果と同様の効果が得られる。さらに、対象判別情報30を設けることで、RADIUSアカウンティング機能等を有する認証クライアントSW/WLCと、RADIUSアカウンティング機能等を有しない認証クライアントSW/WLCとが混在するネットワークシステムにおいて、制限時間LLTを不都合なく管理することができる。さらに、事前通知送信部31を設けることで、例えば、ユーザがネットワーク10を利用している途中で、予期せぬネットワーク遮断が生じるような事態を防止できる。 <Major Effects of the Second Embodiment>
As described above, the use of the network system and server device of the second embodiment can provide the same effects as those described in the first embodiment. Furthermore, by providing the target discrimination information 30, the time limit LLT can be managed smoothly in a network system in which authentication client SW/WLCs having a RADIUS accounting function and authentication client SW/WLCs not having a RADIUS accounting function are mixed. Furthermore, by providing the advance notification transmission unit 31, for example, it is possible to prevent a situation in which an unexpected network interruption occurs while a user is using the network 10.

以上、本発明者によってなされた発明を実施の形態に基づき具体的に説明したが、本発明は前記実施の形態に限定されるものではなく、その要旨を逸脱しない範囲で種々変更可能である。例えば、前述した実施の形態は、本発明を分かり易く説明するために詳細に説明したものであり、必ずしも説明した全ての構成を備えるものに限定されるものではない。また、ある実施の形態の構成の一部を他の実施の形態の構成に置き換えることが可能であり、また、ある実施の形態の構成に他の実施の形態の構成を加えることも可能である。また、各実施の形態の構成の一部について、他の構成の追加・削除・置換をすることが可能である。 The invention made by the inventor has been specifically described above based on the embodiments, but the present invention is not limited to the above-mentioned embodiments and can be modified in various ways without departing from the gist of the invention. For example, the above-mentioned embodiments have been described in detail to explain the invention in an easy-to-understand manner, and the invention is not necessarily limited to having all of the configurations described. It is also possible to replace part of the configuration of one embodiment with the configuration of another embodiment, and it is also possible to add the configuration of another embodiment to the configuration of one embodiment. It is also possible to add, delete, or replace part of the configuration of each embodiment with other configurations.

例えば、前述した各種プログラムは、非一時的な有形のコンピュータ可読記録媒体に格納された上で、コンピュータ装置に供給され得る。このような記録媒体として、例えば、ハードディスクドライブ等を代表とする磁気記録媒体、DVD(Digital Versatile Disc)やブルーレイディスク等を代表とする光記録媒体、フラッシュメモリ等を代表とする半導体メモリ等が挙げられる。 For example, the various programs described above can be stored in a non-transitory, tangible, computer-readable recording medium and then supplied to a computer device. Examples of such recording media include magnetic recording media such as hard disk drives, optical recording media such as DVDs (Digital Versatile Discs) and Blu-ray discs, and semiconductor memories such as flash memories.

10…ネットワーク、11a,11b…ユーザ、12…ネットワーク管理者、15,15a…ログ管理サーバ、16…認証サーバ、17…ディレクトリサーバ、18…アプリケーションサーバ、20,22…メモリ、21,21a…ログDB、23…認証DB、25…ログ受信部、26…制限時間取得部、27,27a…経過時間監視部、28…通信遮断命令送信部、30…対象判別情報、31…事前通知送信部、35…事前通知送信情報、ACN…アカウント、ACNa…ログインアカウント、ARQ…ログイン判定要求、ARS…ログイン判定応答、CB…通信遮断命令、CID…認証クライアントの識別子、IPA…IPアドレス、LG…認証結果ログ、LLT…制限時間、LRQ…ログイン要求、LT…ログイン時間、MA…MACアドレス、MLA…メールアドレス、P1~Pn…ポート、SW…認証スイッチ、TM,TM10,TM20…情報端末、TMm…管理端末、WLC…無線LANコントローラ 10...Network, 11a, 11b...User, 12...Network administrator, 15, 15a...Log management server, 16...Authentication server, 17...Directory server, 18...Application server, 20, 22...Memory, 21, 21a...Log DB, 23...Authentication DB, 25...Log receiving unit, 26...Time limit acquisition unit, 27, 27a...Elapsed time monitoring unit, 28...Communication cutoff command transmission unit, 30...Target discrimination information, 31...Advance notification transmission unit, 35...Advance notification transmission information, ACN...Account , ACNa...login account, ARQ...login judgment request, ARS...login judgment response, CB...communication cutoff command, CID...authentication client identifier, IPA...IP address, LG...authentication result log, LLT...time limit, LRQ...login request, LT...login time, MA...MAC address, MLA...email address, P1-Pn...port, SW...authentication switch, TM, TM10, TM20...information terminal, TMm...management terminal, WLC...wireless LAN controller

Claims (10)

ネットワークへのログインの許可/拒否を判定する認証サーバと、
情報端末からのアカウントを含んだログイン要求に応じて、前記アカウントからの前記ネットワークへのログインの許可/拒否を、前記認証サーバへの問い合わせ通信によって定める認証クライアントと、
ログデータベースを有するログ管理サーバと、
を有するネットワークシステムであって、
前記認証クライアントは、前記認証サーバへの問い合わせ通信によって前記ログインが許可された際に、許可によってログイン状態となった前記アカウントであるログインアカウントと、ログイン時間とを含んだ認証結果ログを前記ログ管理サーバへ送信し、
前記ログ管理サーバは、
前記認証クライアントからの前記ログインアカウントと前記ログイン時間とを前記ログデータベースに登録し、
前記ログインアカウントの前記ログイン時間からの経過時間を監視し、前記経過時間が、予め定められた制限時間に達した場合に、前記ログインアカウントからの前記ネットワークへの通信を遮断するための通信遮断命令を、前記認証クライアントへ送信する、
ネットワークシステム。 an authentication server that determines whether or not to permit login to the network;
an authentication client that, in response to a login request including an account from an information terminal, determines whether to permit or deny login to the network from the account by communicating an inquiry to the authentication server;
a log management server having a log database;
A network system having:
when the login is permitted by the inquiry communication to the authentication server, the authentication client transmits to the log management server an authentication result log including a login account, which is the account that has entered a logged-in state by the permission, and a login time;
The log management server includes:
registering the login account and the login time from the authentication client in the log database;
monitoring an elapsed time from the login time of the login account, and when the elapsed time reaches a predetermined time limit, transmitting a communication cutoff command to the authentication client for cutting off communication from the login account to the network;
Network system. 請求項1記載のネットワークシステムにおいて、
前記ログデータベースは、前記ログインアカウントと、前記ログイン時間と、前記ログインアカウントの送信元である前記認証クライアントの識別子と、の対応関係を保持し、
前記ログ管理サーバは、前記ログインアカウントの前記通信遮断命令を、前記ログデータベースに基づいて定められる前記認証クライアントへ送信する、
ネットワークシステム。 2. The network system according to claim 1,
the log database holds a correspondence relationship between the login account, the login time, and an identifier of the authenticated client that is a transmission source of the login account;
the log management server transmits the communication cutoff command for the login account to the authentication client determined based on the log database;
Network system. 請求項2記載のネットワークシステムにおいて、
前記認証サーバは、予め設定された、前記ログインアカウントの前記制限時間の情報を保持し、
前記ログデータベースは、前記ログインアカウントと、前記ログイン時間と、前記認証クライアントの識別子とに加えて、前記制限時間との対応関係を保持し、
前記ログ管理サーバは、前記認証サーバと通信することで、前記ログインアカウントの前記制限時間を前記認証サーバから取得し、前記ログデータベースに登録する、
ネットワークシステム。 3. The network system according to claim 2,
The authentication server holds information on the time limit of the login account that is set in advance,
the log database holds a correspondence relationship between the login account, the login time, the identifier of the authenticated client, and the time limit;
the log management server communicates with the authentication server to obtain the time limit of the login account from the authentication server and register the time limit in the log database;
Network system. 請求項1記載のネットワークシステムにおいて、
前記ログ管理サーバは、前記認証クライアントが前記通信遮断命令の送信対象であるか非送信対象であるかを表す対象判別情報を予め保持し、前記非送信対象の前記認証クライアントには前記通信遮断命令を送信しない、
ネットワークシステム。 2. The network system according to claim 1,
the log management server holds in advance target determination information indicating whether the authenticated client is a target or a non-target of the communication cutoff command, and does not transmit the communication cutoff command to the authenticated client that is not a target of the communication cutoff command;
Network system. 請求項1記載のネットワークシステムにおいて、
前記ログ管理サーバは、前記経過時間が前記制限時間に達する前に、前記ログインアカウントを有するユーザへ、前記制限時間が迫っていることを表す事前通知を送信する、
ネットワークシステム。 2. The network system according to claim 1,
the log management server transmits a prior notification to the user having the login account, before the elapsed time reaches the time limit, indicating that the time limit is approaching.
Network system. ネットワークへのログインの許可/拒否を判定する認証サーバと、情報端末からのアカウントを含んだログイン要求に応じて、前記アカウントからの前記ネットワークへのログインの許可/拒否を、前記認証サーバへの問い合わせ通信によって定める認証クライアントと、に接続され、ログデータベースを有するサーバ装置であって、
前記認証クライアントは、前記認証サーバへの問い合わせ通信によって前記ログインが許可された際に、許可によってログイン状態となった前記アカウントであるログインアカウントと、ログイン時間とを含んだ認証結果ログを前記サーバ装置へ送信し、
前記サーバ装置は、
前記認証クライアントからの前記ログインアカウントと前記ログイン時間とを前記ログデータベースに登録し、
前記ログインアカウントの前記ログイン時間からの経過時間を監視し、前記経過時間が、予め定められた制限時間に達した場合に、前記ログインアカウントからの前記ネットワークへの通信を遮断するための通信遮断命令を、前記認証クライアントへ送信する、
サーバ装置。 A server device having a log database connected to an authentication server which determines whether to permit/reject login to a network, and an authentication client which, in response to a login request including an account from an information terminal, determines whether to permit/reject login to the network from the account by communicating an inquiry to the authentication server, the server device comprising:
when the login is permitted by the inquiry communication to the authentication server, the authentication client transmits to the server device an authentication result log including a login account, which is the account that has been permitted to be in a logged-in state, and a login time;
The server device includes:
registering the login account and the login time from the authentication client in the log database;
monitoring an elapsed time from the login time of the login account, and when the elapsed time reaches a predetermined time limit, transmitting a communication cutoff command to the authentication client for cutting off communication from the login account to the network;
Server device. 請求項6記載のサーバ装置において、
前記ログデータベースは、前記ログインアカウントと、前記ログイン時間と、前記ログインアカウントの送信元である前記認証クライアントの識別子と、の対応関係を保持し、
前記サーバ装置は、前記ログインアカウントの前記通信遮断命令を、前記ログデータベースに基づいて定められる前記認証クライアントへ送信する、
サーバ装置。 7. The server device according to claim 6,
the log database holds a correspondence relationship between the login account, the login time, and an identifier of the authenticated client that is a transmission source of the login account;
the server device transmits the communication cutoff command for the login account to the authentication client determined based on the log database;
Server device. 請求項7記載のサーバ装置において、
前記認証サーバは、予め設定された、前記ログインアカウントの前記制限時間の情報を保持し、
前記ログデータベースは、前記ログインアカウントと、前記ログイン時間と、前記認証クライアントの識別子とに加えて、前記制限時間との対応関係を保持し、
前記サーバ装置は、前記認証サーバと通信することで、前記ログインアカウントの前記制限時間を前記認証サーバから取得し、前記ログデータベースに登録する、
サーバ装置。 8. The server device according to claim 7,
The authentication server holds information on the time limit of the login account that is set in advance,
the log database holds a correspondence relationship between the login account, the login time, the identifier of the authenticated client, and the time limit;
the server device communicates with the authentication server to obtain the time limit of the login account from the authentication server and registers the time limit in the log database;
Server device. 請求項6記載のサーバ装置において、
前記認証クライアントが前記通信遮断命令の送信対象であるか非送信対象であるかを表す対象判別情報を予め保持し、前記非送信対象の前記認証クライアントには前記通信遮断命令を送信しない、
サーバ装置。 7. The server device according to claim 6,
storing in advance target determination information indicating whether the authenticated client is a target or a non-target of the communication cutoff command, and not transmitting the communication cutoff command to the authenticated client that is not a target of the communication cutoff command;
Server device. 請求項6記載のサーバ装置において、
前記経過時間が前記制限時間に達する前に、前記ログインアカウントを有するユーザへ、前記制限時間が迫っていることを表す事前通知を送信する、
サーバ装置。
 7. The server device according to claim 6,
sending a prior notification indicating that the time limit is approaching to a user having the login account before the elapsed time reaches the time limit;
Server device.
JP2021200569A 2021-12-10 2021-12-10 Network system and server device Active JP7507138B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2021200569A JP7507138B2 (en) 2021-12-10 2021-12-10 Network system and server device

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2021200569A JP7507138B2 (en) 2021-12-10 2021-12-10 Network system and server device

Publications (2)

Publication Number Publication Date
JP2023086211A JP2023086211A (en) 2023-06-22
JP7507138B2 true JP7507138B2 (en) 2024-06-27

Family

ID=86850425

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2021200569A Active JP7507138B2 (en) 2021-12-10 2021-12-10 Network system and server device

Country Status (1)

Country Link
JP (1) JP7507138B2 (en)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004208199A (en) 2002-12-26 2004-07-22 Hitachi Kokusai Electric Inc Portable terminal
JP2004213476A (en) 2003-01-07 2004-07-29 Nri & Ncc Co Ltd Injustice access detection device
JP2012138692A (en) 2010-12-24 2012-07-19 Ntt Docomo Inc Base station, wireless communication system, and communication method
JP2017204697A (en) 2016-05-10 2017-11-16 エイチ・シー・ネットワークス株式会社 Network system and server device

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004208199A (en) 2002-12-26 2004-07-22 Hitachi Kokusai Electric Inc Portable terminal
JP2004213476A (en) 2003-01-07 2004-07-29 Nri & Ncc Co Ltd Injustice access detection device
JP2012138692A (en) 2010-12-24 2012-07-19 Ntt Docomo Inc Base station, wireless communication system, and communication method
JP2017204697A (en) 2016-05-10 2017-11-16 エイチ・シー・ネットワークス株式会社 Network system and server device

Also Published As

Publication number Publication date
JP2023086211A (en) 2023-06-22

Similar Documents

Publication Publication Date Title
JP6926317B2 (en) Session handling method and device
US7805525B2 (en) System and method for processing fibre channel (FC) layer service requests in an FC network
WO2021115449A1 (en) Cross-domain access system, method and device, storage medium, and electronic device
JP5943006B2 (en) COMMUNICATION SYSTEM, CONTROL DEVICE, COMMUNICATION METHOD, AND PROGRAM
US8230480B2 (en) Method and apparatus for network security based on device security status
JP5862577B2 (en) COMMUNICATION SYSTEM, CONTROL DEVICE, POLICY MANAGEMENT DEVICE, COMMUNICATION METHOD, AND PROGRAM
EP2234343B1 (en) Method, device and system for selecting service network
US20060109850A1 (en) IP-SAN network access control list generating method and access control list setup method
RU2526754C2 (en) System and method for selecting mobile device control functions
WO2012115058A1 (en) Communication system, database, control device, communication method and program
EP2571204B1 (en) Method for accessing instant messaging service system store server and instant messaging service system
JP2014511581A (en) Method, system, and computer-readable medium for screening Diameter messages in a Diameter signaling router (DSR) having a distributed message processor architecture
US20080184354A1 (en) Single sign-on system, information terminal device, single sign-on server, single sign-on utilization method, storage medium, and data signal
US10375076B2 (en) Network device location information validation for access control and information security
JP2008504776A (en) Method and system for dynamic device address management
JP6616733B2 (en) Network system and server device
US10320804B2 (en) Switch port leasing for access control and information security
US11190515B2 (en) Network device information validation for access control and information security
US10992643B2 (en) Port authentication control for access control and information security
US8769623B2 (en) Grouping multiple network addresses of a subscriber into a single communication session
JP5487116B2 (en) Method and apparatus for network roaming enterprise extension identity
JP7507138B2 (en) Network system and server device
CN112565182B (en) Data processing method, system, electronic device and gateway device
KR20150067037A (en) The methods and apparatuses of optimization for criteria of subscription in M2M Systems
US10659497B2 (en) Originator-based network restraint system for identity-oriented networks

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20230721

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20240227

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20240312

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20240611

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20240617

R150 Certificate of patent or registration of utility model

Ref document number: 7507138

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150