ネットワークマネジメントシステム及びサーバ
【課題】外部からの不正アクセスによる設定変更等の危険を抑制する。
【解決手段】ネットワークマネジメントシステム1は、設定情報によりネットワーク間の通信を制御する1つ又は複数のネットワーク機器3と、所定のネットワーク機器3に対して、設定情報を操作するためにリモート接続し、設定情報に対してアクセスする1つ又は複数のクライアント端末4と、ユーザ毎のユーザアカウント、パスワード、及び設定情報に対する操作権限を示す操作制限情報と、ネットワーク機器3の機器情報とを記憶するデータベースを有するサーバ2とを備える。サーバ2は、クライアント端末4のリモート接続要求に基づき、データベースから操作制限情報を読み出し、操作権限を設定するようにネットワーク機器3を制御し、クライアント端末4からネットワーク機器3への操作を中継し、ネットワーク機器3への操作履歴を示す操作履歴情報をデータベースに保存する。
【解決手段】ネットワークマネジメントシステム1は、設定情報によりネットワーク間の通信を制御する1つ又は複数のネットワーク機器3と、所定のネットワーク機器3に対して、設定情報を操作するためにリモート接続し、設定情報に対してアクセスする1つ又は複数のクライアント端末4と、ユーザ毎のユーザアカウント、パスワード、及び設定情報に対する操作権限を示す操作制限情報と、ネットワーク機器3の機器情報とを記憶するデータベースを有するサーバ2とを備える。サーバ2は、クライアント端末4のリモート接続要求に基づき、データベースから操作制限情報を読み出し、操作権限を設定するようにネットワーク機器3を制御し、クライアント端末4からネットワーク機器3への操作を中継し、ネットワーク機器3への操作履歴を示す操作履歴情報をデータベースに保存する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、ネットワークマネジメントシステム及びサーバに関し、特に、クライアント端末からネットワーク機器に対する操作を管理するシステム及びサーバに関する。
【背景技術】
【0002】
従来、企業等では、複数のルータやスイッチ等のネットワーク機器により構成されるイントラネット等のネットワークを構築し、従業員は、LAN(Local Area Network)を介してネットワーク上に配置された企業業務支援システムやインターネットを介して外部から提供されるサービスを利用することができる。
【0003】
LANは、多数の従業員で共用される環境であるため、各種通信を中継するネットワーク機器に対して厳密なアクセス制限や操作制限を設定することにより、不正なアクセスや操作から保護する必要がある。これは、例えば、不正なアクセスによってこれらのネットワーク機器が操作された場合や、保守員の誤操作等によりネットワーク機器の設定が意図しないものに設定された場合に、企業業務支援システムや外部のインターネットからのサービスを利用することができなくなる危険性があるためである。
【0004】
そこで、近年では、このような脅威に対してネットワーク機器に対するアクセス制限や利用制限を課す様々な技術が提案されている。例えば、特許文献1には、操作を制限するためのポリシーをネットワークの管理者が事前に作成し、ネットワーク上に配置されたネットワーク機器に適用することにより、ユーザがネットワーク機器に対して直接アクセスした場合に一部の操作を制限する方法が記載されている。
【先行技術文献】
【特許文献】
【0005】
【特許文献1】特開2007−122366号公報
【発明の概要】
【発明が解決しようとする課題】
【0006】
しかしながら、特許文献1に記載の方法では、ネットワーク機器に対するアクセス制限や利用制限を設定した後、ネットワーク機器に対するアクセス管理が行われず、誰がどのような理由で操作を行ったのかを把握することができない。そのため、なりすまし等の不正なアクセスが行われた場合に、アクセスログの追跡や攻撃の事実を検知することができないという問題があった。
【0007】
また、通常、ネットワーク機器に対するアクセスは、ネットワークマネジメントシステムを介さずに直接行うことができるため、最新の設定や設定のバックアップ等を集中的に管理することができない。そのため、ネットワーク機器の設定を直ちに特定することができず、障害が発生した場合には、障害を復旧させるのに多大な時間を要するという問題があった。
【0008】
そこで、本発明は、上記従来の技術における問題点に鑑みてなされたものであって、外部からの不正アクセスやユーザの誤操作による設定変更等の脅威にさらされる危険を抑制することが可能なネットワークマネジメントシステム及びサーバを提供することを目的とする。
【課題を解決するための手段】
【0009】
上記目的を達成するため、本発明は、ネットワーク機器の設定情報の管理を行うネットワークマネジメントシステムであって、設定情報に基づきネットワーク間の通信を制御する1つ又は複数のネットワーク機器と、所定のネットワーク機器に対して、該ネットワーク機器の設定情報を操作するためにリモート接続し、前記ネットワーク機器の設定情報に対してアクセスする1つ又は複数のクライアント端末と、ユーザ毎に割り当てられたユーザアカウント及びパスワードと、前記ユーザ毎に割り当てられた、前記ネットワーク機器の設定情報に対する操作権限を示す操作制限情報と、前記ネットワーク機器に関する機器情報とを記憶する第1のデータベースを有するサーバとを備え、前記サーバは、前記クライアント端末による前記ネットワーク機器に対するリモート接続要求に基づき、前記第1のデータベースから前記操作制限情報を読み出し、読み出した前記操作制限情報に基づき、前記ネットワーク機器に対して、前記クライアント端末を操作するユーザに対する操作権限を設定するように制御し、前記クライアント端末から前記ネットワーク機器に対する操作を中継し、前記中継した操作に基づき、前記ネットワーク機器に対する操作の履歴を示す操作履歴情報を前記第1のデータベースに保存することを特徴とする。
【0010】
そして、本発明によれば、予め登録されたユーザに割り当てられたユーザアカウントに応じて、ネットワーク機器の設定情報に対する操作権限を設定し、与えられた権限以外の操作の実行を不可とするため、外部からの不正アクセスによる設定変更等の脅威にさらされる危険を抑制することができる。
【0011】
また、本発明によれば、クライアント端末によるネットワーク機器の設定情報に対する操作をサーバが中継し、設定情報に対する操作の履歴をサーバで管理するため、操作履歴を追跡することができる。
【0012】
上記ネットワークマネジメントシステムにおいて、前記サーバは、前記リモート接続が終了した際に、前記ネットワーク機器の設定情報を前記第1のデータベースに保存することができる。これにより、リモート接続の際に設定情報が変更された場合等における設定情報の履歴を追跡することができる。
【0013】
上記ネットワークマネジメントシステムにおいて、前記サーバは、前記リモート接続の際に前記サーバを中継することを示す情報と、前記ネットワーク機器に関する機器情報とが記述されたマクロファイルを生成し、前記クライアント端末は、前記マクロファイルに基づき、前記ネットワーク機器に対するリモート接続を行うことができる。これにより、ネットワーク機器へのログインに必要な機器情報を、マクロファイルに基づきクライアント端末が自動的に処理するため、クライアント端末を操作するユーザは、接続先のネットワーク機器の機器情報を意識することなくログインすることができる。
【0014】
上記ネットワークマネジメントシステムにおいて、前記サーバは、前記リモート接続が終了した際に、前記ネットワーク機器に設定された前記操作権限を解除するように前記ネットワーク機器を制御することができる。これにより、ユーザによるネットワーク機器の設定情報に対する操作時以外は、ネットワーク機器の設定情報に対して外部からアクセスできないため、外部からの不正アクセスによる設定変更等の脅威にさらされる危険を抑制することができる。
【0015】
上記ネットワークマネジメントシステムにおいて、前記操作履歴情報を記憶する第2のデータベースを有するログサーバをさらに備え、前記ログサーバは、前記クライアント端末から前記ネットワーク機器に対する操作を中継し、前記中継した操作に基づき、前記操作履歴情報を前記第2のデータベースに保存することができる。これにより、設定情報に対する操作の履歴をログサーバで管理するため、操作履歴を追跡することができる。また、サーバで行われる処理の一部をログサーバで行うため、サーバに対する負荷を軽減させることができる。
【0016】
上記ネットワークマネジメントシステムにおいて、前記ログサーバは、前記リモート接続が終了した際に、前記ネットワーク機器の設定情報を前記第2のデータベースに保存することができる。これにより、リモート接続の際に設定情報が変更された場合等における設定情報の履歴を追跡することができる。
【0017】
上記ネットワークマネジメントシステムにおいて、前記サーバは、前記リモート接続の際に前記ログサーバを中継することを示す情報と、前記ネットワーク機器に関する機器情報とが記述されたマクロファイルを生成し、前記クライアント端末は、前記マクロファイルに基づき、前記ネットワーク機器に対するリモート接続を行うことができる。これにより、ネットワーク機器へのログインに必要な機器情報を、マクロファイルに基づきクライアント端末が自動的に処理するため、クライアント端末を操作するユーザは、接続先のネットワーク機器の機器情報を意識することなくログインすることができる。
【0018】
上記ネットワークマネジメントシステムにおいて、前記ネットワーク機器に対するリモート接続を行う前記クライアント端末を操作するユーザの認証を行う認証サーバをさらに備え、前記サーバは、前記ユーザのユーザアカウントに基づきワンタイムパスワードを生成し、前記認証サーバは、前記ユーザアカウント及び前記ワンタイムパスワードを認証用アカウントとして登録することができる。これにより、ネットワーク機器に対する悪意のあるリモート接続を拒否することができ、セキュリティを向上させることができる。
【0019】
上記ネットワークマネジメントシステムにおいて、前記ワンタイムパスワードを、前記ユーザアカウント及びタイムスタンプを基のデータとしたハッシュ値とすることができる。
【0020】
また、本発明は、設定情報に基づきネットワーク間の通信を制御するネットワーク機器の設定情報の管理を行うサーバであって、ユーザ毎に割り当てられたユーザアカウント及びパスワードと、前記ユーザ毎に割り当てられた、ネットワーク機器の設定情報に対する操作権限を示す操作制限情報と、前記ネットワーク機器に関する機器情報とを記憶するデータベースを備え、所定のネットワーク機器に対して、該ネットワーク機器の設定情報を操作するためにリモート接続し、前記ネットワーク機器の設定情報に対してアクセスするクライアント端末による、前記ネットワーク機器に対するリモート接続要求に基づき、前記データベースから前記操作制限情報を読み出し、読み出した前記操作制限情報に基づき、前記ネットワーク機器に対して、前記クライアント端末を操作するユーザに対する操作権限を設定するように制御し、前記クライアント端末から前記ネットワーク機器に対する操作を中継し、前記中継した操作に基づき、前記ネットワーク機器に対する操作の履歴を示す操作履歴情報を前記データベースに保存することを特徴とする。本発明によれば、前記発明と同様に、外部からの不正アクセスによる設定変更等の脅威にさらされる危険を抑制することができる。
【発明の効果】
【0021】
以上のように、本発明によれば、外部からの不正アクセスやユーザの誤操作による設定変更等の脅威にさらされる危険を抑制することが可能になる。
【図面の簡単な説明】
【0022】
【図1】本発明にかかるネットワークマネジメントシステムの第1の実施形態を示すブロック図である。
【図2】サーバの構成の一例を示すブロック図である。
【図3】第1の実施形態によるネットワークマネジメントシステムにおける保守作業時の処理について説明するための略線図である。
【図4】本発明にかかるネットワークマネジメントシステムの第2の実施形態を示すブロック図である。
【図5】第2の実施形態によるネットワークマネジメントシステムにおける保守作業時の処理について説明するための略線図である。
【図6】本発明にかかるネットワークマネジメントシステムの第3の実施形態を示すブロック図である。
【図7】第3の実施形態によるネットワークマネジメントシステムにおける保守作業時の処理について説明するための略線図である。
【発明を実施するための形態】
【0023】
次に、本発明を実施するための形態について、図面を参照しながら詳細に説明する。
【0024】
図1は、本発明にかかるネットワークマネジメントシステムの第1の実施形態を示し、このネットワークマネジメントシステム1は、サーバ2、ネットワーク機器3A、3B、・・・、クライアント端末4A、・・・、4Nで構成され、各機器がイントラネットやLAN等のネットワーク5に接続される。この例では、ネットワーク機器3として、5台のネットワーク機器3A〜3Eが設けられる。尚、以下の説明において、ネットワーク機器3A、3B、・・・、及びクライアント端末4A、・・・、4Nを特に区別する必要がない場合には、単に「ネットワーク機器3」及び「クライアント端末4」とする。
【0025】
ネットワークマネジメントシステム1では、ユーザがクライアント端末4を操作することにより、ネットワーク機器3の保守作業が行われる。このとき、ネットワーク機器3には、サーバ2の制御により、ネットワーク機器3に対する操作制限がユーザの権限に応じて設定される。また、保守作業によるクライアント端末4からネットワーク機器3に対する操作は、サーバ2を経由して行われ、サーバ2は、ネットワーク機器3に対する操作の履歴を保存すると共に、保守作業によりネットワーク機器3に対して設定された最新の設定状態を保存する。
【0026】
サーバ2は、アクセス管理機能、機器構成管理機能、履歴管理機能及び権限管理機能を備える。アクセス管理機能は、ネットワークマネジメントシステム1にログインする際に用いるユーザアカウント及びパスワードをユーザ毎に予め登録し、ユーザがネットワークマネジメントシステム1にログインした時刻や、クライアント端末4からネットワーク機器3に対してリモート接続を行った時刻を管理する機能である。また、アクセス管理機能は、クライアント端末4で実行されるセッションの管理を行い、例えば、ネットワーク機器3に対するリモート接続の時刻に基づき、ネットワーク機器3に対して長時間接続した状態となっているセッションを切断する。
【0027】
機器構成管理機能は、ネットワークマネジメントシステム1に含まれるネットワーク機器3に関する機器情報を管理する機能である。機器情報には、ネットワーク機器3に固有な情報やリモート接続に必要な情報が含まれ、具体的には、例えば、各ネットワーク機器3のIP(Internet Protocol)アドレスや、リモート接続の際のユーザアカウント及びログインパスワードが含まれる。このリモート接続の際に用いられるログインパスワードは、ユーザがネットワーク機器3にリモート接続する度に生成される。
【0028】
また、機器構成管理機能では、ユーザのクライアント端末4に対する操作により、ネットワーク機器3に対してリモート接続要求が行われた場合に、クライアント端末4からネットワーク機器3に対するリモート接続に必要な情報を含むマクロファイルを作成する。マクロファイルには、例えば、クライアント端末4からネットワーク機器3に対してアクセスする際に、サーバ2を経由することを示す情報と、アクセス対象のネットワーク機器3に関する機器情報が記述される。
【0029】
履歴管理機能は、クライアント端末4がネットワーク機器3に対してリモート接続した際の通信を中継し、ユーザがネットワーク機器3に対して行った操作履歴の蓄積及び管理を行う機能である。また、履歴管理機能では、保守作業により設定されたネットワーク機器3の設定履歴の収集、蓄積及び管理を行う。
【0030】
権限管理機能は、ユーザがリモート接続可能なネットワーク機器3とのマッピング情報や、ユーザ毎に設定された操作権限に応じて実行可能なコマンドセットを管理する機能である。ネットワーク機器3の設定情報を操作するためのコマンドとしては、例えば、「参照」や「更新」がある。コマンドセットには、これらのコマンドのうち、所定の操作のみを実行できるようにコマンドが設定され、コマンドセットは、ユーザ毎に設定された操作権限を示す操作制限情報として、ユーザ毎に割り当てられるユーザアカウントと関連付けられて記憶される。尚、操作制限情報には、クライアント端末4からのリモート接続の際に、連続操作を許可する期間等の情報も含まれる。
【0031】
図2は、サーバ2の構成の一例を示す。サーバ2は、CPU(Central Processing Unit)11、ROM(Read Only Memory)12、RAM(Random Access Memory)13、通信制御部14及び記憶部15を備え、各部がバス10に接続される。
【0032】
CPU11は、ROM12に予め格納されたプログラムに従い、RAM13をワークメモリとしてサーバ2内の各部を制御する。また、CPU11は、上述したアクセス管理機能、機器構成管理機能、履歴管理機能及び権限管理機能を用いて、クライアント端末4によるネットワーク機器3の保守作業を制御する。
【0033】
通信制御部14は、図1に示すネットワーク5を介して接続されたネットワーク機器3及びクライアント端末4との通信を、所定のプロトコルに従い制御する。通信制御部14における通信制御は、CPU11の命令に基づきなされる。
【0034】
記憶部15は、各ユーザがネットワークマネジメントシステム1にログインするためのユーザアカウント及びパスワード、ネットワークマネジメントシステム1に含まれる各ネットワーク機器3の機器情報、ユーザ毎の操作制限情報、ネットワーク機器3に対する操作の履歴を示す操作履歴情報、及び各ネットワーク機器3の設定状態を示す設定情報が登録されたロール管理データベースを記憶する。ロール管理データベースでは、登録された各種情報のうち、ネットワークマネジメントシステム1にログインするためのパスワード及び操作制限情報がユーザアカウントに関連付けられて登録される。ロール管理データベースに登録された各種情報は、CPU11の制御に基づき読み出しや更新が行われる。
【0035】
説明は図1に戻り、ネットワーク機器3は、例えば、異なるネットワーク間を相互に接続して通信を制御するための機器であり、図示しないインターネット等の外部のネットワークに接続される。ネットワーク機器3としては、例えば、ルータやスイッチを用いることができる。ネットワーク機器3には、通信を制御するための設定が設定情報として予め登録されており、通常時には、この設定情報に対して外部からアクセスできないように設定されている。サーバ2から操作制限情報が供給された場合、ネットワーク機器3は、供給された操作制限情報に基づき、クライアント端末4を操作するユーザに対する操作権限を設定する。
【0036】
クライアント端末4は、例えばPC(Personal Computer)であり、リモート接続によりネットワーク機器3の設定情報にアクセスして保守作業を行う際に用いられる。クライアント端末4は、ユーザの操作によりネットワークマネジメントシステム1に対してログインし、ログインに成功した場合には、ユーザの操作によって保守作業の対象となるネットワーク機器3が選択され、選択されたネットワーク機器3に対してリモート接続を行い、ネットワーク機器3に設定された操作権限に応じて実行可能なコマンドを用いて保守作業を行う。
【0037】
次に、上記構成を有するネットワークマネジメントシステム1の動作について、図3を参照して説明する。図3は、クライアント端末4を用いてネットワーク機器3の保守作業を行う際の処理の流れの一例を示す。
【0038】
まず、図3に示す処理に先立ち、サーバ2は、ネットワークマネジメントシステム1を利用するためのユーザアカウント及びパスワードを予め登録する。また、サーバ2は、登録されたユーザアカウント毎にネットワーク機器3をリモート操作する際の操作権限を設定すると共に、各操作権限に対応するコマンドセットを操作制限情報として予め登録する。さらに、サーバ2は、ネットワークマネジメントシステム1に含まれる各ネットワーク機器3に関するIPアドレスや、リモート接続の際のユーザアカウント及びログインパスワードを含む機器情報を予め登録する。そして、サーバ2は、登録されたユーザアカウント、パスワード、操作制限情報及び機器情報を記憶部15に記憶されたロール管理データベースに登録する。
【0039】
所定のネットワーク機器3に対する保守作業を行う場合、クライアント端末4は、ユーザの操作により、予め登録されたユーザアカウント及びパスワードを用いてネットワークマネジメントシステム1に対するログインを行い(ステップS1)、ユーザアカウント及びパスワードからなるログイン情報をサーバ2に対して送信する(シーケンスSEQ1)。
【0040】
サーバ2は、クライアント端末4から受信したログイン情報に基づき、ユーザアカウントがロール管理データベースに予め登録されたユーザアカウントであるか否かの認証を行い(ステップS2)、認証結果に応じてログインの成功又は失敗を通知する(シーケンスSEQ2)。
【0041】
クライアント端末4は、ネットワークマネジメントシステム1へのログインが成功したことを示す通知を受信すると、例えば予め設けられた表示部に、ネットワークマネジメントシステム1に含まれるネットワーク機器3に関する情報をGUI(Graphical User Interface)として表示する。このとき、表示部には、ユーザが操作権限を有するネットワーク機器3に関する情報のみを表示し、操作権限のないネットワーク機器3に関する情報を表示しないようにすると好ましい。尚、ネットワークマネジメントシステム1へのログインが失敗したことを示す通知を受信した場合には、例えば、表示部にログインが失敗したことを表示する。
【0042】
ユーザの操作により、クライアント端末4の表示部に表示された各ネットワーク機器3のうち、リモート操作するネットワーク機器3が選択されると(ステップS3)、クライアント端末4は、選択されたネットワーク機器3に対するリモート接続要求をサーバ2に対して送信する(シーケンスSEQ3)。
【0043】
サーバ2は、クライアント端末4からのリモート接続要求を受信すると、要求を行ったユーザアカウントに対応する操作制限情報を記憶部15に記憶されたロール管理データベースから読み出す(ステップS4)。そして、読み出した操作制限情報をリモート操作の対象となるネットワーク機器3に対して送信する(シーケンスSEQ4)。
【0044】
ネットワーク機器3は、サーバ2から受信した操作制限情報に基づき、ユーザアカウントに対応する操作権限を設定し、操作権限の設定が完了したか否かを判断する(ステップS5)。判断の結果、操作権限の設定が完了した場合には、設定が完了したことを示す通知をサーバ2に送信する(シーケンスSEQ6)。一方、操作権限の設定が失敗した場合には、設定が失敗したことを示す通知をサーバ2に送信する(シーケンスSEQ5)。この場合、サーバ2は、ネットワーク機器3に対して操作制限情報を再度送信し、ネットワーク機器3は、ステップS5の処理を再度実行する。
【0045】
サーバ2は、ネットワーク機器3から設定完了の通知を受信すると、クライアント端末4からネットワーク機器3に対するリモート接続を行うための情報が記述されたマクロファイルを作成し(ステップS6)、クライアント端末4に対して送信する(シーケンスSEQ7)。作成されたマクロファイルには、上述したように、リモート接続の際にネットワーク機器3を経由することを示す情報と、ネットワーク機器3のIPアドレスやネットワーク機器3にリモート接続するためのユーザアカウント及びログインパスワードを含む機器情報とが記述される。
【0046】
クライアント端末4は、サーバ2から受信したマクロファイルに基づき、ネットワーク機器3に対してリモート接続するための処理を行い(ステップS7)、ネットワーク機器3にログインする(シーケンスSEQ8)。この場合、ネットワーク機器3へのログインに必要な機器情報は、マクロファイルに基づきクライアント端末4が自動的に処理するため、クライアント端末4を操作するユーザは、ネットワーク機器3にログインするためにユーザアカウントやログインパスワード等を入力する必要がなく、接続先のネットワーク機器3のIPアドレスやログインパスワードを意識することなくログインすることができる。
【0047】
クライアント端末4は、ユーザによるクライアント端末4に対する操作に応じた操作情報をネットワーク機器3に送信する(シーケンスSEQ9)。このとき、ネットワーク機器3に送信される操作情報は、サーバ2を中継して送信される。
【0048】
ネットワーク機器3は、サーバ2を介してクライアント端末4から受信した操作情報に応じて、設定情報に対する保守処理を行う(ステップS8)。保守処理では、クライアント端末4を操作するユーザのユーザアカウントに対応付けられた操作制限情報に含まれるコマンドのみが実行可能となる。
【0049】
サーバ2は、クライアント端末4からネットワーク機器3に対する操作を中継することにより受信した操作情報に基づき、ネットワーク機器3に対する操作の履歴を示す操作履歴情報を、タイムスタンプと共にロール管理データベースに保存する(ステップS9)。
【0050】
クライアント端末4によるネットワーク機器3の保守作業が終了すると、クライアント端末4は、リモート接続を終了し(ステップS10)、リモート接続を切断する(シーケンスSEQ10)。そして、ネットワーク機器3は、リモート接続が切断されたことを示す通知をサーバ2に送信する(シーケンスSEQ11)。
【0051】
サーバ2は、リモート接続切断の通知を受信すると、ネットワーク機器3に対する操作制限を解除するための通知をネットワーク機器3に送信する(シーケンスSEQ12)。ネットワーク機器3は、操作制限解除を示す通知に基づき、自身に設定されていた操作権限を解除する(ステップS11)。そして、ステップS8の保守処理によって更新された最新の設定情報をサーバ2に対して送信する(シーケンスSEQ13)。サーバ2は、ネットワーク機器3から受信した設定情報をロール管理データベースに保存する(ステップS12)。
【0052】
以上のように、第1の実施形態によれば、予め登録されたユーザに割り当てられたユーザアカウントに応じて、ネットワーク機器3の設定情報に対する操作権限を設定し、与えられた権限以外の操作の実行を不可とすると共に、ユーザによるネットワーク機器3の設定情報に対する操作時以外は、ネットワーク機器3の設定情報に対して外部からアクセスできないため、外部からの不正アクセスによる設定変更等の脅威にさらされる危険を抑制することができる。
【0053】
また、第1の実施形態によれば、クライアント端末4によるネットワーク機器3の設定情報に対する操作をサーバ2が中継し、設定情報に対する操作の履歴と、保守作業により更新された最新の設定情報とをサーバ2で管理するため、操作や設定の履歴を追跡することができる。
【0054】
さらに、第1の実施形態によれば、クライアント端末4からネットワーク機器3に対するリモート接続時に、ネットワーク機器3の設定情報に対する操作権限をユーザ毎に設定するため、ユーザの誤操作によるネットワーク機器3の設定変更等を防ぐことができる。
【0055】
さらにまた、第1の実施形態によれば、ネットワーク機器3の設定情報へアクセスするためのユーザアカウントやIPアドレス等の機器情報をマクロファイルに記述し、マクロファイルに基づきクライアント端末4からネットワーク機器3に対してリモート接続するため、ネットワーク機器3の機器情報を外部に対して広く開示することがなく、機器情報が悪用される危険を抑制することができる。
【0056】
次に、本発明の第2の実施形態について説明する。図4は、本発明にかかるネットワークマネジメントシステムの第2の実施形態を示し、このネットワークマネジメントシステム20は、第1の実施形態によるネットワークマネジメントシステム1の構成に加え、ログサーバ21を備える。ログサーバ21は、このネットワークマネジメントシステム20以外の他のシステムで使用されているログサーバを用いてもよいし、新たにログサーバを設けてもよい。尚、以下の説明において、上述して第1の実施形態と共通する部分には、同一の符号を付し、詳細な説明を省略する。
【0057】
ログサーバ21は、上述した第1の実施形態におけるサーバ2の履歴管理機能を備え、クライアント端末4がネットワーク機器3に対してリモート接続した際の通信を中継し、ユーザがネットワーク機器3に対して行った操作履歴の蓄積及び管理を行うと共に、保守作業により設定されたネットワーク機器3の設定履歴の収集、蓄積及び管理を行う。
【0058】
また、ログサーバ21は、サーバ2に設けられた記憶部15と同様の記憶部を備え、ログサーバ21にログインするためのユーザアカウント及びパスワード、各ネットワーク機器3の機器情報、ユーザ毎の操作制限情報、ネットワーク機器3に対する操作履歴情報、及び各ネットワーク機器3の設定情報が登録されたロール管理データベースを記憶する。
【0059】
次に、上記構成を有するネットワークマネジメントシステム20の動作について、図5を参照して説明する。図5は、クライアント端末4を用いてネットワーク機器3の保守作業を行う際の処理の流れの一例を示す。尚、図5において、図3に示す第1の実施形態と同様の処理を行うステップ及びシーケンスについては、図3と同一の符号を付し、詳細な説明を省略する。
【0060】
第1の実施形態と同様に、クライアント端末4は、サーバ2に対してログインし、操作対象のネットワーク機器3に対するリモート接続要求を行うことにより、ネットワーク機器3は、サーバ2の制御により操作権限を設定する(ステップS1〜S5、シーケンスSEQ1〜SEQ6)。
【0061】
サーバ2は、シーケンスSEQ6でネットワーク機器3から設定完了の通知を受信すると、クライアント端末4からネットワーク機器3に対するリモート接続を行うための情報が記述されたマクロファイルを作成し(ステップS21)、クライアント端末4に対して送信する(シーケンスSEQ7)。ここで、作成されたマクロファイルには、上述した第1の実施形態と異なり、リモート接続の際にログサーバ21を経由することを示す情報が記述される。
【0062】
クライアント端末4は、サーバ2から受信したマクロファイルに基づき、ネットワーク機器3に対してリモート接続するための処理を行い(ステップS7)、ネットワーク機器3にログインする(シーケンスSEQ8)。そして、クライアント端末4は、操作情報をネットワーク機器3に送信する(シーケンスSEQ21)。このとき、ネットワーク機器3に送信される操作情報は、ログサーバ21を中継して送信される。
【0063】
ログサーバ21は、ステップS8で行われるネットワーク機器3による保守処理(ステップS8)に対応して、クライアント端末4からネットワーク機器3に対する操作を中継することにより受信した操作情報に基づき、ネットワーク機器3に対する操作の履歴を示す操作履歴情報を、タイムスタンプと共にロール管理データベースに保存する(ステップS22)。
【0064】
クライアント端末4によるネットワーク機器3の保守作業が終了し、クライアント端末4によるリモート接続が終了してリモート接続を切断することにより、サーバ2からネットワーク機器3に対して操作制限解除を示す通知が送信され、ネットワーク機器3により設定されていた操作権限が解除される(ステップS10〜S11、シーケンスSEQ10〜SEQ12)。尚、シーケンスSEQ11におけるリモート接続が切断されたことを示す通知は、ログサーバ21から送信するようにしてもよい。
【0065】
そして、ネットワーク機器3は、ステップS8の保守処理によって更新された最新の設定情報をログサーバ21に対して送信する(シーケンスSEQ22)。ログサーバ21は、ネットワーク機器3から受信した設定情報をロール管理データベースに保存する(ステップS23)。
【0066】
以上のように、第2の実施形態によれば、クライアント端末4からネットワーク機器3に対するリモート接続時のネットワーク機器3に対する操作権限の設定等の制御をサーバ2で行い、保守作業におけるクライアント端末4のネットワーク機器3に対する操作の中継により得られる操作履歴情報やネットワーク機器3の設定情報の管理をログサーバ21で行うため、サーバ2に対する負荷を軽減させることができる。
【0067】
次に、本発明の第3の実施形態について説明する。図6は、本発明にかかるネットワークマネジメントシステムの第3の実施形態を示し、このネットワークマネジメントシステム30は、第1の実施形態によるネットワークマネジメントシステム1の構成に加え、認証サーバ31を備える。尚、以下の説明において、上述して第1の実施形態と共通する部分には、同一の符号を付し、詳細な説明を省略する。
【0068】
認証サーバ31は、例えば、認証プロトコルとしてRADIUS(Remote Authentication Dial In User Service)を用いた認証サーバである。RADIUSプロトコルは、AAA(Authentication,Authorization,Accounting;認証、承認、アカウンティング)モデルに基づいたプロトコルである。認証サーバ31は、クライアント端末4からネットワーク機器3に対するリモート接続の際に、リモート接続を行うユーザが登録された正規のユーザであるか否かの認証を行う。
【0069】
サーバ2は、クライアント端末4によるネットワーク機器3に対するリモート接続要求時に、所定の要領でワンタイムパスワードを生成し、ユーザアカウント及びワンタイムパスワードを認証用のアカウントとして認証サーバ31に登録する。ワンタイムパスワードは、例えば、クライアント端末4を操作するユーザのユーザアカウント及びタイムスタンプを基のデータとしたハッシュ値を用いることができる。
【0070】
ネットワーク機器3は、AAAモデルに基づく認証プロトコルの設定が施され、クライアント端末4からのリモート接続の際に認証サーバ31を認証サーバとして認証を行い、認証が許可された場合に限り、クライアント端末4による設定情報に対する保守処理が可能なように設定される。
【0071】
次に、上記構成を有するネットワークマネジメントシステム30の動作について、図7を参照して説明する。図7は、クライアント端末4を用いてネットワーク機器3の保守作業を行う際の処理の流れの一例を示す。尚、図7において、図3に示す第1の実施形態と同様の処理を行うステップ及びシーケンスについては、図3と同一の符号を付し、詳細な説明を省略する。
【0072】
第1の実施形態と同様に、クライアント端末4は、サーバ2に対してログインし、操作対象のネットワーク機器3に対するリモート接続要求を行うことにより、ネットワーク機器3は、サーバ2の制御により操作権限を設定する(ステップS1〜S5、シーケンスSEQ1〜SEQ6)。
【0073】
サーバ2は、シーケンスSEQ6でネットワーク機器3から設定完了の通知を受信すると、ユーザアカウント及びタイムスタンプを基のデータとしたハッシュ値をワンタイムパスワードとして生成する(ステップS31)。そして、サーバ2は、ユーザアカウント及び生成したワンタイムパスワードを暗号化し、認証サーバ31に対して送信する(シーケンスSEQ31)。認証サーバ31は、サーバ2から受信したユーザアカウント及び生成したワンタイムパスワードを認証用のアカウントとして登録する(ステップS32)。
【0074】
また、サーバ2は、第1の実施形態と同様に、マクロファイルを作成してクライアント端末4に送信し、クライアント端末4は、マクロファイルに基づきネットワーク機器3へのリモート接続を行う(ステップS6〜S7、シーケンスSEQ7〜SEQ8)。作成されたマクロファイルには、リモート接続の際にネットワーク機器3を経由することを示す情報及びネットワーク機器3に関する機器情報に加え、認証用アカウントが記述される。
【0075】
ネットワーク機器3は、リモート接続されると、リモート接続元のユーザアカウントに対する認証要求を認証用のアカウントと共に認証サーバ31に送信する(シーケンスSEQ32)。認証サーバ31は、ネットワーク機器3から受信した認証用のアカウントに基づき、リモート接続元のユーザが正規のユーザであるか否かの認証を行い(ステップS33)、認証結果に応じて認証の許可又は拒否をネットワーク機器3に通知する(シーケンスSEQ33)。
【0076】
認証サーバ31による認証が許可された場合、クライアント端末4は、ユーザによるクライアント端末4に対する操作に応じた操作情報を、サーバ2を中継してネットワーク機器3に送信する(シーケンスSEQ9)。
【0077】
以下、第1の実施形態と同様に、ネットワーク機器3は、クライアント端末4の操作に基づく保守処理を行うと共に、サーバ2は、クライアント端末4からネットワーク機器3に対する操作に応じた操作履歴情報をロール管理データベースに保存する(ステップS8〜S9)。そして、クライアント端末4によるリモート接続が終了すると、ネットワーク機器3は、自身に設定された操作権限を解除し、サーバ2は、ネットワーク機器3の設定情報をロール管理データベースに保存する(ステップS10〜S12、シーケンスSEQ10〜SEQ13)。
【0078】
また、サーバ2は、シーケンスSEQ11におけるリモート接続の切断を示す通知をネットワーク機器3から受信すると、認証サーバ31に対し、ステップS32で登録された認証用アカウントを削除するための削除要求を送信する(シーケンスSEQ34)。認証サーバ31は、サーバ2から受信した削除要求に基づき、対応する認証用アカウントを削除する(ステップS34)。
【0079】
以上のように、第3の実施形態によれば、クライアント端末4からネットワーク機器3に対するリモート接続を行う場合に、ネットワーク機器3によって認証サーバ31に認証用のアカウントが登録され、認証サーバ31を用いて認証を行う。これにより、例えば、ネットワークマネジメントシステム30に含まれるクライアント端末4ではないクライアント端末等からの不正なアクセスによりネットワーク機器3へのリモート接続が試みられた場合に、認証サーバ31には、このクライアント端末による認証用のアカウントが予め登録されていないため、リモート接続を行うことができない。従って、ネットワーク機器3に対する悪意のあるリモート接続を拒否することができ、セキュリティを向上させることができる。
【0080】
また、第3の実施形態によれば、認証サーバ31による認証に必要な認証用アカウントは、マクロファイルに基づきクライアント端末4が自動的に処理し、クライアント端末4を操作するユーザは、リモート接続を行う際に認証用アカウント等を入力する必要がないため、認証用アカウントを意識することなく、恰もシングルサインオンのようにしてネットワーク機器3にリモート接続することができる。
【0081】
以上、本発明の第1、第2及び第3の実施形態について説明したが、本発明は、上述した本発明の第1、第2及び第3の実施形態に限定されるものではなく、本発明の要旨を逸脱しない範囲内で様々な変形や応用が可能である。例えば、第2及び第3の実施形態を組み合わせ、認証サーバ31によるリモート接続の際の認証を行うと共に、操作履歴情報及びネットワーク機器3の設定情報をログサーバ21のロール管理データベースに保存するようにしてもよい。
【符号の説明】
【0082】
1、20、30 ネットワークマネジメントシステム
2 サーバ
3(3A、3B、3C、3D、3E) ネットワーク機器
4(4A、・・・、4N) クライアント端末
5 ネットワーク
10 バス
11 CPU
12 ROM
13 RAM
14 通信制御部
15 記憶部
21 ログサーバ
31 認証サーバ
【技術分野】
【0001】
本発明は、ネットワークマネジメントシステム及びサーバに関し、特に、クライアント端末からネットワーク機器に対する操作を管理するシステム及びサーバに関する。
【背景技術】
【0002】
従来、企業等では、複数のルータやスイッチ等のネットワーク機器により構成されるイントラネット等のネットワークを構築し、従業員は、LAN(Local Area Network)を介してネットワーク上に配置された企業業務支援システムやインターネットを介して外部から提供されるサービスを利用することができる。
【0003】
LANは、多数の従業員で共用される環境であるため、各種通信を中継するネットワーク機器に対して厳密なアクセス制限や操作制限を設定することにより、不正なアクセスや操作から保護する必要がある。これは、例えば、不正なアクセスによってこれらのネットワーク機器が操作された場合や、保守員の誤操作等によりネットワーク機器の設定が意図しないものに設定された場合に、企業業務支援システムや外部のインターネットからのサービスを利用することができなくなる危険性があるためである。
【0004】
そこで、近年では、このような脅威に対してネットワーク機器に対するアクセス制限や利用制限を課す様々な技術が提案されている。例えば、特許文献1には、操作を制限するためのポリシーをネットワークの管理者が事前に作成し、ネットワーク上に配置されたネットワーク機器に適用することにより、ユーザがネットワーク機器に対して直接アクセスした場合に一部の操作を制限する方法が記載されている。
【先行技術文献】
【特許文献】
【0005】
【特許文献1】特開2007−122366号公報
【発明の概要】
【発明が解決しようとする課題】
【0006】
しかしながら、特許文献1に記載の方法では、ネットワーク機器に対するアクセス制限や利用制限を設定した後、ネットワーク機器に対するアクセス管理が行われず、誰がどのような理由で操作を行ったのかを把握することができない。そのため、なりすまし等の不正なアクセスが行われた場合に、アクセスログの追跡や攻撃の事実を検知することができないという問題があった。
【0007】
また、通常、ネットワーク機器に対するアクセスは、ネットワークマネジメントシステムを介さずに直接行うことができるため、最新の設定や設定のバックアップ等を集中的に管理することができない。そのため、ネットワーク機器の設定を直ちに特定することができず、障害が発生した場合には、障害を復旧させるのに多大な時間を要するという問題があった。
【0008】
そこで、本発明は、上記従来の技術における問題点に鑑みてなされたものであって、外部からの不正アクセスやユーザの誤操作による設定変更等の脅威にさらされる危険を抑制することが可能なネットワークマネジメントシステム及びサーバを提供することを目的とする。
【課題を解決するための手段】
【0009】
上記目的を達成するため、本発明は、ネットワーク機器の設定情報の管理を行うネットワークマネジメントシステムであって、設定情報に基づきネットワーク間の通信を制御する1つ又は複数のネットワーク機器と、所定のネットワーク機器に対して、該ネットワーク機器の設定情報を操作するためにリモート接続し、前記ネットワーク機器の設定情報に対してアクセスする1つ又は複数のクライアント端末と、ユーザ毎に割り当てられたユーザアカウント及びパスワードと、前記ユーザ毎に割り当てられた、前記ネットワーク機器の設定情報に対する操作権限を示す操作制限情報と、前記ネットワーク機器に関する機器情報とを記憶する第1のデータベースを有するサーバとを備え、前記サーバは、前記クライアント端末による前記ネットワーク機器に対するリモート接続要求に基づき、前記第1のデータベースから前記操作制限情報を読み出し、読み出した前記操作制限情報に基づき、前記ネットワーク機器に対して、前記クライアント端末を操作するユーザに対する操作権限を設定するように制御し、前記クライアント端末から前記ネットワーク機器に対する操作を中継し、前記中継した操作に基づき、前記ネットワーク機器に対する操作の履歴を示す操作履歴情報を前記第1のデータベースに保存することを特徴とする。
【0010】
そして、本発明によれば、予め登録されたユーザに割り当てられたユーザアカウントに応じて、ネットワーク機器の設定情報に対する操作権限を設定し、与えられた権限以外の操作の実行を不可とするため、外部からの不正アクセスによる設定変更等の脅威にさらされる危険を抑制することができる。
【0011】
また、本発明によれば、クライアント端末によるネットワーク機器の設定情報に対する操作をサーバが中継し、設定情報に対する操作の履歴をサーバで管理するため、操作履歴を追跡することができる。
【0012】
上記ネットワークマネジメントシステムにおいて、前記サーバは、前記リモート接続が終了した際に、前記ネットワーク機器の設定情報を前記第1のデータベースに保存することができる。これにより、リモート接続の際に設定情報が変更された場合等における設定情報の履歴を追跡することができる。
【0013】
上記ネットワークマネジメントシステムにおいて、前記サーバは、前記リモート接続の際に前記サーバを中継することを示す情報と、前記ネットワーク機器に関する機器情報とが記述されたマクロファイルを生成し、前記クライアント端末は、前記マクロファイルに基づき、前記ネットワーク機器に対するリモート接続を行うことができる。これにより、ネットワーク機器へのログインに必要な機器情報を、マクロファイルに基づきクライアント端末が自動的に処理するため、クライアント端末を操作するユーザは、接続先のネットワーク機器の機器情報を意識することなくログインすることができる。
【0014】
上記ネットワークマネジメントシステムにおいて、前記サーバは、前記リモート接続が終了した際に、前記ネットワーク機器に設定された前記操作権限を解除するように前記ネットワーク機器を制御することができる。これにより、ユーザによるネットワーク機器の設定情報に対する操作時以外は、ネットワーク機器の設定情報に対して外部からアクセスできないため、外部からの不正アクセスによる設定変更等の脅威にさらされる危険を抑制することができる。
【0015】
上記ネットワークマネジメントシステムにおいて、前記操作履歴情報を記憶する第2のデータベースを有するログサーバをさらに備え、前記ログサーバは、前記クライアント端末から前記ネットワーク機器に対する操作を中継し、前記中継した操作に基づき、前記操作履歴情報を前記第2のデータベースに保存することができる。これにより、設定情報に対する操作の履歴をログサーバで管理するため、操作履歴を追跡することができる。また、サーバで行われる処理の一部をログサーバで行うため、サーバに対する負荷を軽減させることができる。
【0016】
上記ネットワークマネジメントシステムにおいて、前記ログサーバは、前記リモート接続が終了した際に、前記ネットワーク機器の設定情報を前記第2のデータベースに保存することができる。これにより、リモート接続の際に設定情報が変更された場合等における設定情報の履歴を追跡することができる。
【0017】
上記ネットワークマネジメントシステムにおいて、前記サーバは、前記リモート接続の際に前記ログサーバを中継することを示す情報と、前記ネットワーク機器に関する機器情報とが記述されたマクロファイルを生成し、前記クライアント端末は、前記マクロファイルに基づき、前記ネットワーク機器に対するリモート接続を行うことができる。これにより、ネットワーク機器へのログインに必要な機器情報を、マクロファイルに基づきクライアント端末が自動的に処理するため、クライアント端末を操作するユーザは、接続先のネットワーク機器の機器情報を意識することなくログインすることができる。
【0018】
上記ネットワークマネジメントシステムにおいて、前記ネットワーク機器に対するリモート接続を行う前記クライアント端末を操作するユーザの認証を行う認証サーバをさらに備え、前記サーバは、前記ユーザのユーザアカウントに基づきワンタイムパスワードを生成し、前記認証サーバは、前記ユーザアカウント及び前記ワンタイムパスワードを認証用アカウントとして登録することができる。これにより、ネットワーク機器に対する悪意のあるリモート接続を拒否することができ、セキュリティを向上させることができる。
【0019】
上記ネットワークマネジメントシステムにおいて、前記ワンタイムパスワードを、前記ユーザアカウント及びタイムスタンプを基のデータとしたハッシュ値とすることができる。
【0020】
また、本発明は、設定情報に基づきネットワーク間の通信を制御するネットワーク機器の設定情報の管理を行うサーバであって、ユーザ毎に割り当てられたユーザアカウント及びパスワードと、前記ユーザ毎に割り当てられた、ネットワーク機器の設定情報に対する操作権限を示す操作制限情報と、前記ネットワーク機器に関する機器情報とを記憶するデータベースを備え、所定のネットワーク機器に対して、該ネットワーク機器の設定情報を操作するためにリモート接続し、前記ネットワーク機器の設定情報に対してアクセスするクライアント端末による、前記ネットワーク機器に対するリモート接続要求に基づき、前記データベースから前記操作制限情報を読み出し、読み出した前記操作制限情報に基づき、前記ネットワーク機器に対して、前記クライアント端末を操作するユーザに対する操作権限を設定するように制御し、前記クライアント端末から前記ネットワーク機器に対する操作を中継し、前記中継した操作に基づき、前記ネットワーク機器に対する操作の履歴を示す操作履歴情報を前記データベースに保存することを特徴とする。本発明によれば、前記発明と同様に、外部からの不正アクセスによる設定変更等の脅威にさらされる危険を抑制することができる。
【発明の効果】
【0021】
以上のように、本発明によれば、外部からの不正アクセスやユーザの誤操作による設定変更等の脅威にさらされる危険を抑制することが可能になる。
【図面の簡単な説明】
【0022】
【図1】本発明にかかるネットワークマネジメントシステムの第1の実施形態を示すブロック図である。
【図2】サーバの構成の一例を示すブロック図である。
【図3】第1の実施形態によるネットワークマネジメントシステムにおける保守作業時の処理について説明するための略線図である。
【図4】本発明にかかるネットワークマネジメントシステムの第2の実施形態を示すブロック図である。
【図5】第2の実施形態によるネットワークマネジメントシステムにおける保守作業時の処理について説明するための略線図である。
【図6】本発明にかかるネットワークマネジメントシステムの第3の実施形態を示すブロック図である。
【図7】第3の実施形態によるネットワークマネジメントシステムにおける保守作業時の処理について説明するための略線図である。
【発明を実施するための形態】
【0023】
次に、本発明を実施するための形態について、図面を参照しながら詳細に説明する。
【0024】
図1は、本発明にかかるネットワークマネジメントシステムの第1の実施形態を示し、このネットワークマネジメントシステム1は、サーバ2、ネットワーク機器3A、3B、・・・、クライアント端末4A、・・・、4Nで構成され、各機器がイントラネットやLAN等のネットワーク5に接続される。この例では、ネットワーク機器3として、5台のネットワーク機器3A〜3Eが設けられる。尚、以下の説明において、ネットワーク機器3A、3B、・・・、及びクライアント端末4A、・・・、4Nを特に区別する必要がない場合には、単に「ネットワーク機器3」及び「クライアント端末4」とする。
【0025】
ネットワークマネジメントシステム1では、ユーザがクライアント端末4を操作することにより、ネットワーク機器3の保守作業が行われる。このとき、ネットワーク機器3には、サーバ2の制御により、ネットワーク機器3に対する操作制限がユーザの権限に応じて設定される。また、保守作業によるクライアント端末4からネットワーク機器3に対する操作は、サーバ2を経由して行われ、サーバ2は、ネットワーク機器3に対する操作の履歴を保存すると共に、保守作業によりネットワーク機器3に対して設定された最新の設定状態を保存する。
【0026】
サーバ2は、アクセス管理機能、機器構成管理機能、履歴管理機能及び権限管理機能を備える。アクセス管理機能は、ネットワークマネジメントシステム1にログインする際に用いるユーザアカウント及びパスワードをユーザ毎に予め登録し、ユーザがネットワークマネジメントシステム1にログインした時刻や、クライアント端末4からネットワーク機器3に対してリモート接続を行った時刻を管理する機能である。また、アクセス管理機能は、クライアント端末4で実行されるセッションの管理を行い、例えば、ネットワーク機器3に対するリモート接続の時刻に基づき、ネットワーク機器3に対して長時間接続した状態となっているセッションを切断する。
【0027】
機器構成管理機能は、ネットワークマネジメントシステム1に含まれるネットワーク機器3に関する機器情報を管理する機能である。機器情報には、ネットワーク機器3に固有な情報やリモート接続に必要な情報が含まれ、具体的には、例えば、各ネットワーク機器3のIP(Internet Protocol)アドレスや、リモート接続の際のユーザアカウント及びログインパスワードが含まれる。このリモート接続の際に用いられるログインパスワードは、ユーザがネットワーク機器3にリモート接続する度に生成される。
【0028】
また、機器構成管理機能では、ユーザのクライアント端末4に対する操作により、ネットワーク機器3に対してリモート接続要求が行われた場合に、クライアント端末4からネットワーク機器3に対するリモート接続に必要な情報を含むマクロファイルを作成する。マクロファイルには、例えば、クライアント端末4からネットワーク機器3に対してアクセスする際に、サーバ2を経由することを示す情報と、アクセス対象のネットワーク機器3に関する機器情報が記述される。
【0029】
履歴管理機能は、クライアント端末4がネットワーク機器3に対してリモート接続した際の通信を中継し、ユーザがネットワーク機器3に対して行った操作履歴の蓄積及び管理を行う機能である。また、履歴管理機能では、保守作業により設定されたネットワーク機器3の設定履歴の収集、蓄積及び管理を行う。
【0030】
権限管理機能は、ユーザがリモート接続可能なネットワーク機器3とのマッピング情報や、ユーザ毎に設定された操作権限に応じて実行可能なコマンドセットを管理する機能である。ネットワーク機器3の設定情報を操作するためのコマンドとしては、例えば、「参照」や「更新」がある。コマンドセットには、これらのコマンドのうち、所定の操作のみを実行できるようにコマンドが設定され、コマンドセットは、ユーザ毎に設定された操作権限を示す操作制限情報として、ユーザ毎に割り当てられるユーザアカウントと関連付けられて記憶される。尚、操作制限情報には、クライアント端末4からのリモート接続の際に、連続操作を許可する期間等の情報も含まれる。
【0031】
図2は、サーバ2の構成の一例を示す。サーバ2は、CPU(Central Processing Unit)11、ROM(Read Only Memory)12、RAM(Random Access Memory)13、通信制御部14及び記憶部15を備え、各部がバス10に接続される。
【0032】
CPU11は、ROM12に予め格納されたプログラムに従い、RAM13をワークメモリとしてサーバ2内の各部を制御する。また、CPU11は、上述したアクセス管理機能、機器構成管理機能、履歴管理機能及び権限管理機能を用いて、クライアント端末4によるネットワーク機器3の保守作業を制御する。
【0033】
通信制御部14は、図1に示すネットワーク5を介して接続されたネットワーク機器3及びクライアント端末4との通信を、所定のプロトコルに従い制御する。通信制御部14における通信制御は、CPU11の命令に基づきなされる。
【0034】
記憶部15は、各ユーザがネットワークマネジメントシステム1にログインするためのユーザアカウント及びパスワード、ネットワークマネジメントシステム1に含まれる各ネットワーク機器3の機器情報、ユーザ毎の操作制限情報、ネットワーク機器3に対する操作の履歴を示す操作履歴情報、及び各ネットワーク機器3の設定状態を示す設定情報が登録されたロール管理データベースを記憶する。ロール管理データベースでは、登録された各種情報のうち、ネットワークマネジメントシステム1にログインするためのパスワード及び操作制限情報がユーザアカウントに関連付けられて登録される。ロール管理データベースに登録された各種情報は、CPU11の制御に基づき読み出しや更新が行われる。
【0035】
説明は図1に戻り、ネットワーク機器3は、例えば、異なるネットワーク間を相互に接続して通信を制御するための機器であり、図示しないインターネット等の外部のネットワークに接続される。ネットワーク機器3としては、例えば、ルータやスイッチを用いることができる。ネットワーク機器3には、通信を制御するための設定が設定情報として予め登録されており、通常時には、この設定情報に対して外部からアクセスできないように設定されている。サーバ2から操作制限情報が供給された場合、ネットワーク機器3は、供給された操作制限情報に基づき、クライアント端末4を操作するユーザに対する操作権限を設定する。
【0036】
クライアント端末4は、例えばPC(Personal Computer)であり、リモート接続によりネットワーク機器3の設定情報にアクセスして保守作業を行う際に用いられる。クライアント端末4は、ユーザの操作によりネットワークマネジメントシステム1に対してログインし、ログインに成功した場合には、ユーザの操作によって保守作業の対象となるネットワーク機器3が選択され、選択されたネットワーク機器3に対してリモート接続を行い、ネットワーク機器3に設定された操作権限に応じて実行可能なコマンドを用いて保守作業を行う。
【0037】
次に、上記構成を有するネットワークマネジメントシステム1の動作について、図3を参照して説明する。図3は、クライアント端末4を用いてネットワーク機器3の保守作業を行う際の処理の流れの一例を示す。
【0038】
まず、図3に示す処理に先立ち、サーバ2は、ネットワークマネジメントシステム1を利用するためのユーザアカウント及びパスワードを予め登録する。また、サーバ2は、登録されたユーザアカウント毎にネットワーク機器3をリモート操作する際の操作権限を設定すると共に、各操作権限に対応するコマンドセットを操作制限情報として予め登録する。さらに、サーバ2は、ネットワークマネジメントシステム1に含まれる各ネットワーク機器3に関するIPアドレスや、リモート接続の際のユーザアカウント及びログインパスワードを含む機器情報を予め登録する。そして、サーバ2は、登録されたユーザアカウント、パスワード、操作制限情報及び機器情報を記憶部15に記憶されたロール管理データベースに登録する。
【0039】
所定のネットワーク機器3に対する保守作業を行う場合、クライアント端末4は、ユーザの操作により、予め登録されたユーザアカウント及びパスワードを用いてネットワークマネジメントシステム1に対するログインを行い(ステップS1)、ユーザアカウント及びパスワードからなるログイン情報をサーバ2に対して送信する(シーケンスSEQ1)。
【0040】
サーバ2は、クライアント端末4から受信したログイン情報に基づき、ユーザアカウントがロール管理データベースに予め登録されたユーザアカウントであるか否かの認証を行い(ステップS2)、認証結果に応じてログインの成功又は失敗を通知する(シーケンスSEQ2)。
【0041】
クライアント端末4は、ネットワークマネジメントシステム1へのログインが成功したことを示す通知を受信すると、例えば予め設けられた表示部に、ネットワークマネジメントシステム1に含まれるネットワーク機器3に関する情報をGUI(Graphical User Interface)として表示する。このとき、表示部には、ユーザが操作権限を有するネットワーク機器3に関する情報のみを表示し、操作権限のないネットワーク機器3に関する情報を表示しないようにすると好ましい。尚、ネットワークマネジメントシステム1へのログインが失敗したことを示す通知を受信した場合には、例えば、表示部にログインが失敗したことを表示する。
【0042】
ユーザの操作により、クライアント端末4の表示部に表示された各ネットワーク機器3のうち、リモート操作するネットワーク機器3が選択されると(ステップS3)、クライアント端末4は、選択されたネットワーク機器3に対するリモート接続要求をサーバ2に対して送信する(シーケンスSEQ3)。
【0043】
サーバ2は、クライアント端末4からのリモート接続要求を受信すると、要求を行ったユーザアカウントに対応する操作制限情報を記憶部15に記憶されたロール管理データベースから読み出す(ステップS4)。そして、読み出した操作制限情報をリモート操作の対象となるネットワーク機器3に対して送信する(シーケンスSEQ4)。
【0044】
ネットワーク機器3は、サーバ2から受信した操作制限情報に基づき、ユーザアカウントに対応する操作権限を設定し、操作権限の設定が完了したか否かを判断する(ステップS5)。判断の結果、操作権限の設定が完了した場合には、設定が完了したことを示す通知をサーバ2に送信する(シーケンスSEQ6)。一方、操作権限の設定が失敗した場合には、設定が失敗したことを示す通知をサーバ2に送信する(シーケンスSEQ5)。この場合、サーバ2は、ネットワーク機器3に対して操作制限情報を再度送信し、ネットワーク機器3は、ステップS5の処理を再度実行する。
【0045】
サーバ2は、ネットワーク機器3から設定完了の通知を受信すると、クライアント端末4からネットワーク機器3に対するリモート接続を行うための情報が記述されたマクロファイルを作成し(ステップS6)、クライアント端末4に対して送信する(シーケンスSEQ7)。作成されたマクロファイルには、上述したように、リモート接続の際にネットワーク機器3を経由することを示す情報と、ネットワーク機器3のIPアドレスやネットワーク機器3にリモート接続するためのユーザアカウント及びログインパスワードを含む機器情報とが記述される。
【0046】
クライアント端末4は、サーバ2から受信したマクロファイルに基づき、ネットワーク機器3に対してリモート接続するための処理を行い(ステップS7)、ネットワーク機器3にログインする(シーケンスSEQ8)。この場合、ネットワーク機器3へのログインに必要な機器情報は、マクロファイルに基づきクライアント端末4が自動的に処理するため、クライアント端末4を操作するユーザは、ネットワーク機器3にログインするためにユーザアカウントやログインパスワード等を入力する必要がなく、接続先のネットワーク機器3のIPアドレスやログインパスワードを意識することなくログインすることができる。
【0047】
クライアント端末4は、ユーザによるクライアント端末4に対する操作に応じた操作情報をネットワーク機器3に送信する(シーケンスSEQ9)。このとき、ネットワーク機器3に送信される操作情報は、サーバ2を中継して送信される。
【0048】
ネットワーク機器3は、サーバ2を介してクライアント端末4から受信した操作情報に応じて、設定情報に対する保守処理を行う(ステップS8)。保守処理では、クライアント端末4を操作するユーザのユーザアカウントに対応付けられた操作制限情報に含まれるコマンドのみが実行可能となる。
【0049】
サーバ2は、クライアント端末4からネットワーク機器3に対する操作を中継することにより受信した操作情報に基づき、ネットワーク機器3に対する操作の履歴を示す操作履歴情報を、タイムスタンプと共にロール管理データベースに保存する(ステップS9)。
【0050】
クライアント端末4によるネットワーク機器3の保守作業が終了すると、クライアント端末4は、リモート接続を終了し(ステップS10)、リモート接続を切断する(シーケンスSEQ10)。そして、ネットワーク機器3は、リモート接続が切断されたことを示す通知をサーバ2に送信する(シーケンスSEQ11)。
【0051】
サーバ2は、リモート接続切断の通知を受信すると、ネットワーク機器3に対する操作制限を解除するための通知をネットワーク機器3に送信する(シーケンスSEQ12)。ネットワーク機器3は、操作制限解除を示す通知に基づき、自身に設定されていた操作権限を解除する(ステップS11)。そして、ステップS8の保守処理によって更新された最新の設定情報をサーバ2に対して送信する(シーケンスSEQ13)。サーバ2は、ネットワーク機器3から受信した設定情報をロール管理データベースに保存する(ステップS12)。
【0052】
以上のように、第1の実施形態によれば、予め登録されたユーザに割り当てられたユーザアカウントに応じて、ネットワーク機器3の設定情報に対する操作権限を設定し、与えられた権限以外の操作の実行を不可とすると共に、ユーザによるネットワーク機器3の設定情報に対する操作時以外は、ネットワーク機器3の設定情報に対して外部からアクセスできないため、外部からの不正アクセスによる設定変更等の脅威にさらされる危険を抑制することができる。
【0053】
また、第1の実施形態によれば、クライアント端末4によるネットワーク機器3の設定情報に対する操作をサーバ2が中継し、設定情報に対する操作の履歴と、保守作業により更新された最新の設定情報とをサーバ2で管理するため、操作や設定の履歴を追跡することができる。
【0054】
さらに、第1の実施形態によれば、クライアント端末4からネットワーク機器3に対するリモート接続時に、ネットワーク機器3の設定情報に対する操作権限をユーザ毎に設定するため、ユーザの誤操作によるネットワーク機器3の設定変更等を防ぐことができる。
【0055】
さらにまた、第1の実施形態によれば、ネットワーク機器3の設定情報へアクセスするためのユーザアカウントやIPアドレス等の機器情報をマクロファイルに記述し、マクロファイルに基づきクライアント端末4からネットワーク機器3に対してリモート接続するため、ネットワーク機器3の機器情報を外部に対して広く開示することがなく、機器情報が悪用される危険を抑制することができる。
【0056】
次に、本発明の第2の実施形態について説明する。図4は、本発明にかかるネットワークマネジメントシステムの第2の実施形態を示し、このネットワークマネジメントシステム20は、第1の実施形態によるネットワークマネジメントシステム1の構成に加え、ログサーバ21を備える。ログサーバ21は、このネットワークマネジメントシステム20以外の他のシステムで使用されているログサーバを用いてもよいし、新たにログサーバを設けてもよい。尚、以下の説明において、上述して第1の実施形態と共通する部分には、同一の符号を付し、詳細な説明を省略する。
【0057】
ログサーバ21は、上述した第1の実施形態におけるサーバ2の履歴管理機能を備え、クライアント端末4がネットワーク機器3に対してリモート接続した際の通信を中継し、ユーザがネットワーク機器3に対して行った操作履歴の蓄積及び管理を行うと共に、保守作業により設定されたネットワーク機器3の設定履歴の収集、蓄積及び管理を行う。
【0058】
また、ログサーバ21は、サーバ2に設けられた記憶部15と同様の記憶部を備え、ログサーバ21にログインするためのユーザアカウント及びパスワード、各ネットワーク機器3の機器情報、ユーザ毎の操作制限情報、ネットワーク機器3に対する操作履歴情報、及び各ネットワーク機器3の設定情報が登録されたロール管理データベースを記憶する。
【0059】
次に、上記構成を有するネットワークマネジメントシステム20の動作について、図5を参照して説明する。図5は、クライアント端末4を用いてネットワーク機器3の保守作業を行う際の処理の流れの一例を示す。尚、図5において、図3に示す第1の実施形態と同様の処理を行うステップ及びシーケンスについては、図3と同一の符号を付し、詳細な説明を省略する。
【0060】
第1の実施形態と同様に、クライアント端末4は、サーバ2に対してログインし、操作対象のネットワーク機器3に対するリモート接続要求を行うことにより、ネットワーク機器3は、サーバ2の制御により操作権限を設定する(ステップS1〜S5、シーケンスSEQ1〜SEQ6)。
【0061】
サーバ2は、シーケンスSEQ6でネットワーク機器3から設定完了の通知を受信すると、クライアント端末4からネットワーク機器3に対するリモート接続を行うための情報が記述されたマクロファイルを作成し(ステップS21)、クライアント端末4に対して送信する(シーケンスSEQ7)。ここで、作成されたマクロファイルには、上述した第1の実施形態と異なり、リモート接続の際にログサーバ21を経由することを示す情報が記述される。
【0062】
クライアント端末4は、サーバ2から受信したマクロファイルに基づき、ネットワーク機器3に対してリモート接続するための処理を行い(ステップS7)、ネットワーク機器3にログインする(シーケンスSEQ8)。そして、クライアント端末4は、操作情報をネットワーク機器3に送信する(シーケンスSEQ21)。このとき、ネットワーク機器3に送信される操作情報は、ログサーバ21を中継して送信される。
【0063】
ログサーバ21は、ステップS8で行われるネットワーク機器3による保守処理(ステップS8)に対応して、クライアント端末4からネットワーク機器3に対する操作を中継することにより受信した操作情報に基づき、ネットワーク機器3に対する操作の履歴を示す操作履歴情報を、タイムスタンプと共にロール管理データベースに保存する(ステップS22)。
【0064】
クライアント端末4によるネットワーク機器3の保守作業が終了し、クライアント端末4によるリモート接続が終了してリモート接続を切断することにより、サーバ2からネットワーク機器3に対して操作制限解除を示す通知が送信され、ネットワーク機器3により設定されていた操作権限が解除される(ステップS10〜S11、シーケンスSEQ10〜SEQ12)。尚、シーケンスSEQ11におけるリモート接続が切断されたことを示す通知は、ログサーバ21から送信するようにしてもよい。
【0065】
そして、ネットワーク機器3は、ステップS8の保守処理によって更新された最新の設定情報をログサーバ21に対して送信する(シーケンスSEQ22)。ログサーバ21は、ネットワーク機器3から受信した設定情報をロール管理データベースに保存する(ステップS23)。
【0066】
以上のように、第2の実施形態によれば、クライアント端末4からネットワーク機器3に対するリモート接続時のネットワーク機器3に対する操作権限の設定等の制御をサーバ2で行い、保守作業におけるクライアント端末4のネットワーク機器3に対する操作の中継により得られる操作履歴情報やネットワーク機器3の設定情報の管理をログサーバ21で行うため、サーバ2に対する負荷を軽減させることができる。
【0067】
次に、本発明の第3の実施形態について説明する。図6は、本発明にかかるネットワークマネジメントシステムの第3の実施形態を示し、このネットワークマネジメントシステム30は、第1の実施形態によるネットワークマネジメントシステム1の構成に加え、認証サーバ31を備える。尚、以下の説明において、上述して第1の実施形態と共通する部分には、同一の符号を付し、詳細な説明を省略する。
【0068】
認証サーバ31は、例えば、認証プロトコルとしてRADIUS(Remote Authentication Dial In User Service)を用いた認証サーバである。RADIUSプロトコルは、AAA(Authentication,Authorization,Accounting;認証、承認、アカウンティング)モデルに基づいたプロトコルである。認証サーバ31は、クライアント端末4からネットワーク機器3に対するリモート接続の際に、リモート接続を行うユーザが登録された正規のユーザであるか否かの認証を行う。
【0069】
サーバ2は、クライアント端末4によるネットワーク機器3に対するリモート接続要求時に、所定の要領でワンタイムパスワードを生成し、ユーザアカウント及びワンタイムパスワードを認証用のアカウントとして認証サーバ31に登録する。ワンタイムパスワードは、例えば、クライアント端末4を操作するユーザのユーザアカウント及びタイムスタンプを基のデータとしたハッシュ値を用いることができる。
【0070】
ネットワーク機器3は、AAAモデルに基づく認証プロトコルの設定が施され、クライアント端末4からのリモート接続の際に認証サーバ31を認証サーバとして認証を行い、認証が許可された場合に限り、クライアント端末4による設定情報に対する保守処理が可能なように設定される。
【0071】
次に、上記構成を有するネットワークマネジメントシステム30の動作について、図7を参照して説明する。図7は、クライアント端末4を用いてネットワーク機器3の保守作業を行う際の処理の流れの一例を示す。尚、図7において、図3に示す第1の実施形態と同様の処理を行うステップ及びシーケンスについては、図3と同一の符号を付し、詳細な説明を省略する。
【0072】
第1の実施形態と同様に、クライアント端末4は、サーバ2に対してログインし、操作対象のネットワーク機器3に対するリモート接続要求を行うことにより、ネットワーク機器3は、サーバ2の制御により操作権限を設定する(ステップS1〜S5、シーケンスSEQ1〜SEQ6)。
【0073】
サーバ2は、シーケンスSEQ6でネットワーク機器3から設定完了の通知を受信すると、ユーザアカウント及びタイムスタンプを基のデータとしたハッシュ値をワンタイムパスワードとして生成する(ステップS31)。そして、サーバ2は、ユーザアカウント及び生成したワンタイムパスワードを暗号化し、認証サーバ31に対して送信する(シーケンスSEQ31)。認証サーバ31は、サーバ2から受信したユーザアカウント及び生成したワンタイムパスワードを認証用のアカウントとして登録する(ステップS32)。
【0074】
また、サーバ2は、第1の実施形態と同様に、マクロファイルを作成してクライアント端末4に送信し、クライアント端末4は、マクロファイルに基づきネットワーク機器3へのリモート接続を行う(ステップS6〜S7、シーケンスSEQ7〜SEQ8)。作成されたマクロファイルには、リモート接続の際にネットワーク機器3を経由することを示す情報及びネットワーク機器3に関する機器情報に加え、認証用アカウントが記述される。
【0075】
ネットワーク機器3は、リモート接続されると、リモート接続元のユーザアカウントに対する認証要求を認証用のアカウントと共に認証サーバ31に送信する(シーケンスSEQ32)。認証サーバ31は、ネットワーク機器3から受信した認証用のアカウントに基づき、リモート接続元のユーザが正規のユーザであるか否かの認証を行い(ステップS33)、認証結果に応じて認証の許可又は拒否をネットワーク機器3に通知する(シーケンスSEQ33)。
【0076】
認証サーバ31による認証が許可された場合、クライアント端末4は、ユーザによるクライアント端末4に対する操作に応じた操作情報を、サーバ2を中継してネットワーク機器3に送信する(シーケンスSEQ9)。
【0077】
以下、第1の実施形態と同様に、ネットワーク機器3は、クライアント端末4の操作に基づく保守処理を行うと共に、サーバ2は、クライアント端末4からネットワーク機器3に対する操作に応じた操作履歴情報をロール管理データベースに保存する(ステップS8〜S9)。そして、クライアント端末4によるリモート接続が終了すると、ネットワーク機器3は、自身に設定された操作権限を解除し、サーバ2は、ネットワーク機器3の設定情報をロール管理データベースに保存する(ステップS10〜S12、シーケンスSEQ10〜SEQ13)。
【0078】
また、サーバ2は、シーケンスSEQ11におけるリモート接続の切断を示す通知をネットワーク機器3から受信すると、認証サーバ31に対し、ステップS32で登録された認証用アカウントを削除するための削除要求を送信する(シーケンスSEQ34)。認証サーバ31は、サーバ2から受信した削除要求に基づき、対応する認証用アカウントを削除する(ステップS34)。
【0079】
以上のように、第3の実施形態によれば、クライアント端末4からネットワーク機器3に対するリモート接続を行う場合に、ネットワーク機器3によって認証サーバ31に認証用のアカウントが登録され、認証サーバ31を用いて認証を行う。これにより、例えば、ネットワークマネジメントシステム30に含まれるクライアント端末4ではないクライアント端末等からの不正なアクセスによりネットワーク機器3へのリモート接続が試みられた場合に、認証サーバ31には、このクライアント端末による認証用のアカウントが予め登録されていないため、リモート接続を行うことができない。従って、ネットワーク機器3に対する悪意のあるリモート接続を拒否することができ、セキュリティを向上させることができる。
【0080】
また、第3の実施形態によれば、認証サーバ31による認証に必要な認証用アカウントは、マクロファイルに基づきクライアント端末4が自動的に処理し、クライアント端末4を操作するユーザは、リモート接続を行う際に認証用アカウント等を入力する必要がないため、認証用アカウントを意識することなく、恰もシングルサインオンのようにしてネットワーク機器3にリモート接続することができる。
【0081】
以上、本発明の第1、第2及び第3の実施形態について説明したが、本発明は、上述した本発明の第1、第2及び第3の実施形態に限定されるものではなく、本発明の要旨を逸脱しない範囲内で様々な変形や応用が可能である。例えば、第2及び第3の実施形態を組み合わせ、認証サーバ31によるリモート接続の際の認証を行うと共に、操作履歴情報及びネットワーク機器3の設定情報をログサーバ21のロール管理データベースに保存するようにしてもよい。
【符号の説明】
【0082】
1、20、30 ネットワークマネジメントシステム
2 サーバ
3(3A、3B、3C、3D、3E) ネットワーク機器
4(4A、・・・、4N) クライアント端末
5 ネットワーク
10 バス
11 CPU
12 ROM
13 RAM
14 通信制御部
15 記憶部
21 ログサーバ
31 認証サーバ
【特許請求の範囲】
【請求項1】
ネットワーク機器の設定情報の管理を行うネットワークマネジメントシステムであって、
設定情報に基づきネットワーク間の通信を制御する1つ又は複数のネットワーク機器と、
所定のネットワーク機器に対して、該ネットワーク機器の設定情報を操作するためにリモート接続し、前記ネットワーク機器の設定情報に対してアクセスする1つ又は複数のクライアント端末と、
ユーザ毎に割り当てられたユーザアカウント及びパスワードと、前記ユーザ毎に割り当てられた、前記ネットワーク機器の設定情報に対する操作権限を示す操作制限情報と、前記ネットワーク機器に関する機器情報とを記憶する第1のデータベースを有するサーバとを備え、
前記サーバは、
前記クライアント端末による前記ネットワーク機器に対するリモート接続要求に基づき、前記第1のデータベースから前記操作制限情報を読み出し、
読み出した前記操作制限情報に基づき、前記ネットワーク機器に対して、前記クライアント端末を操作するユーザに対する操作権限を設定するように制御し、
前記クライアント端末から前記ネットワーク機器に対する操作を中継し、
前記中継した操作に基づき、前記ネットワーク機器に対する操作の履歴を示す操作履歴情報を前記第1のデータベースに保存することを特徴とするネットワークマネジメントシステム。
【請求項2】
前記サーバは、前記リモート接続が終了した際に、前記ネットワーク機器の設定情報を前記第1のデータベースに保存することを特徴とする請求項1に記載のネットワークマネジメントシステム。
【請求項3】
前記サーバは、前記リモート接続の際に前記サーバを中継することを示す情報と、前記ネットワーク機器に関する機器情報とが記述されたマクロファイルを生成し、
前記クライアント端末は、前記マクロファイルに基づき、前記ネットワーク機器に対するリモート接続を行うことを特徴とする請求項1又は2に記載のネットワークマネジメントシステム。
【請求項4】
前記サーバは、前記リモート接続が終了した際に、前記ネットワーク機器に設定された前記操作権限を解除するように前記ネットワーク機器を制御することを特徴とする請求項1、2又は3に記載のネットワークマネジメントシステム。
【請求項5】
前記操作履歴情報を記憶する第2のデータベースを有するログサーバをさらに備え、
前記ログサーバは、
前記クライアント端末から前記ネットワーク機器に対する操作を中継し、
前記中継した操作に基づき、前記操作履歴情報を前記第2のデータベースに保存することを特徴とする請求項1に記載のネットワークマネジメントシステム。
【請求項6】
前記ログサーバは、前記リモート接続が終了した際に、前記ネットワーク機器の設定情報を前記第2のデータベースに保存することを特徴とする請求項5に記載のネットワークマネジメントシステム。
【請求項7】
前記サーバは、前記リモート接続の際に前記ログサーバを中継することを示す情報と、前記ネットワーク機器に関する機器情報とが記述されたマクロファイルを生成し、
前記クライアント端末は、前記マクロファイルに基づき、前記ネットワーク機器に対するリモート接続を行うことを特徴とする請求項5又は6に記載のネットワークマネジメントシステム。
【請求項8】
前記ネットワーク機器に対するリモート接続を行う前記クライアント端末を操作するユーザの認証を行う認証サーバをさらに備え、
前記サーバは、前記ユーザのユーザアカウントに基づきワンタイムパスワードを生成し、
前記認証サーバは、前記ユーザアカウント及び前記ワンタイムパスワードを認証用アカウントとして登録することを特徴とする請求項1乃至7のいずれかに記載のネットワークマネジメントシステム。
【請求項9】
前記ワンタイムパスワードは、前記ユーザアカウント及びタイムスタンプを基のデータとしたハッシュ値からなることを特徴とする請求項8に記載のネットワークマネジメントシステム。
【請求項10】
設定情報に基づきネットワーク間の通信を制御するネットワーク機器の設定情報の管理を行うサーバであって、
ユーザ毎に割り当てられたユーザアカウント及びパスワードと、前記ユーザ毎に割り当てられた、ネットワーク機器の設定情報に対する操作権限を示す操作制限情報と、前記ネットワーク機器に関する機器情報とを記憶するデータベースを備え、
所定のネットワーク機器に対して、該ネットワーク機器の設定情報を操作するためにリモート接続し、前記ネットワーク機器の設定情報に対してアクセスするクライアント端末による、前記ネットワーク機器に対するリモート接続要求に基づき、前記データベースから前記操作制限情報を読み出し、
読み出した前記操作制限情報に基づき、前記ネットワーク機器に対して、前記クライアント端末を操作するユーザに対する操作権限を設定するように制御し、
前記クライアント端末から前記ネットワーク機器に対する操作を中継し、
前記中継した操作に基づき、前記ネットワーク機器に対する操作の履歴を示す操作履歴情報を前記データベースに保存することを特徴とするサーバ。
【請求項1】
ネットワーク機器の設定情報の管理を行うネットワークマネジメントシステムであって、
設定情報に基づきネットワーク間の通信を制御する1つ又は複数のネットワーク機器と、
所定のネットワーク機器に対して、該ネットワーク機器の設定情報を操作するためにリモート接続し、前記ネットワーク機器の設定情報に対してアクセスする1つ又は複数のクライアント端末と、
ユーザ毎に割り当てられたユーザアカウント及びパスワードと、前記ユーザ毎に割り当てられた、前記ネットワーク機器の設定情報に対する操作権限を示す操作制限情報と、前記ネットワーク機器に関する機器情報とを記憶する第1のデータベースを有するサーバとを備え、
前記サーバは、
前記クライアント端末による前記ネットワーク機器に対するリモート接続要求に基づき、前記第1のデータベースから前記操作制限情報を読み出し、
読み出した前記操作制限情報に基づき、前記ネットワーク機器に対して、前記クライアント端末を操作するユーザに対する操作権限を設定するように制御し、
前記クライアント端末から前記ネットワーク機器に対する操作を中継し、
前記中継した操作に基づき、前記ネットワーク機器に対する操作の履歴を示す操作履歴情報を前記第1のデータベースに保存することを特徴とするネットワークマネジメントシステム。
【請求項2】
前記サーバは、前記リモート接続が終了した際に、前記ネットワーク機器の設定情報を前記第1のデータベースに保存することを特徴とする請求項1に記載のネットワークマネジメントシステム。
【請求項3】
前記サーバは、前記リモート接続の際に前記サーバを中継することを示す情報と、前記ネットワーク機器に関する機器情報とが記述されたマクロファイルを生成し、
前記クライアント端末は、前記マクロファイルに基づき、前記ネットワーク機器に対するリモート接続を行うことを特徴とする請求項1又は2に記載のネットワークマネジメントシステム。
【請求項4】
前記サーバは、前記リモート接続が終了した際に、前記ネットワーク機器に設定された前記操作権限を解除するように前記ネットワーク機器を制御することを特徴とする請求項1、2又は3に記載のネットワークマネジメントシステム。
【請求項5】
前記操作履歴情報を記憶する第2のデータベースを有するログサーバをさらに備え、
前記ログサーバは、
前記クライアント端末から前記ネットワーク機器に対する操作を中継し、
前記中継した操作に基づき、前記操作履歴情報を前記第2のデータベースに保存することを特徴とする請求項1に記載のネットワークマネジメントシステム。
【請求項6】
前記ログサーバは、前記リモート接続が終了した際に、前記ネットワーク機器の設定情報を前記第2のデータベースに保存することを特徴とする請求項5に記載のネットワークマネジメントシステム。
【請求項7】
前記サーバは、前記リモート接続の際に前記ログサーバを中継することを示す情報と、前記ネットワーク機器に関する機器情報とが記述されたマクロファイルを生成し、
前記クライアント端末は、前記マクロファイルに基づき、前記ネットワーク機器に対するリモート接続を行うことを特徴とする請求項5又は6に記載のネットワークマネジメントシステム。
【請求項8】
前記ネットワーク機器に対するリモート接続を行う前記クライアント端末を操作するユーザの認証を行う認証サーバをさらに備え、
前記サーバは、前記ユーザのユーザアカウントに基づきワンタイムパスワードを生成し、
前記認証サーバは、前記ユーザアカウント及び前記ワンタイムパスワードを認証用アカウントとして登録することを特徴とする請求項1乃至7のいずれかに記載のネットワークマネジメントシステム。
【請求項9】
前記ワンタイムパスワードは、前記ユーザアカウント及びタイムスタンプを基のデータとしたハッシュ値からなることを特徴とする請求項8に記載のネットワークマネジメントシステム。
【請求項10】
設定情報に基づきネットワーク間の通信を制御するネットワーク機器の設定情報の管理を行うサーバであって、
ユーザ毎に割り当てられたユーザアカウント及びパスワードと、前記ユーザ毎に割り当てられた、ネットワーク機器の設定情報に対する操作権限を示す操作制限情報と、前記ネットワーク機器に関する機器情報とを記憶するデータベースを備え、
所定のネットワーク機器に対して、該ネットワーク機器の設定情報を操作するためにリモート接続し、前記ネットワーク機器の設定情報に対してアクセスするクライアント端末による、前記ネットワーク機器に対するリモート接続要求に基づき、前記データベースから前記操作制限情報を読み出し、
読み出した前記操作制限情報に基づき、前記ネットワーク機器に対して、前記クライアント端末を操作するユーザに対する操作権限を設定するように制御し、
前記クライアント端末から前記ネットワーク機器に対する操作を中継し、
前記中継した操作に基づき、前記ネットワーク機器に対する操作の履歴を示す操作履歴情報を前記データベースに保存することを特徴とするサーバ。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【公開番号】特開2012−221274(P2012−221274A)
【公開日】平成24年11月12日(2012.11.12)
【国際特許分類】
【出願番号】特願2011−87003(P2011−87003)
【出願日】平成23年4月11日(2011.4.11)
【出願人】(303013763)NECエンジニアリング株式会社 (651)
【Fターム(参考)】
【公開日】平成24年11月12日(2012.11.12)
【国際特許分類】
【出願日】平成23年4月11日(2011.4.11)
【出願人】(303013763)NECエンジニアリング株式会社 (651)
【Fターム(参考)】
[ Back to top ]