ネットワーク接続装置
【課題】ネットワーク接続装置のID、パスワードのセキュリティ上の管理を容易にし、保守時の盗難や機器廃棄の場合でも装置の情報を読み取られないネットワーク接続装置を提供する。
【解決手段】ネットワーク装置300であって、複数のポート3051〜3054と、前記ポート3051〜3054を介して通信を行う通信制御部と、前記ポート3051〜3054を介して接続される機器の識別情報、接続状態を記憶する記憶部304と、第1の機器からのログイン要求を受け付けた場合、前記記憶部304を参照し、特定の識別情報が示す第2の機器が前記ネットワーク装置300に接続されてるかに基づき、前記ネットワーク装置300へのログイン可否を判断するプロセッサを有する。
【解決手段】ネットワーク装置300であって、複数のポート3051〜3054と、前記ポート3051〜3054を介して通信を行う通信制御部と、前記ポート3051〜3054を介して接続される機器の識別情報、接続状態を記憶する記憶部304と、第1の機器からのログイン要求を受け付けた場合、前記記憶部304を参照し、特定の識別情報が示す第2の機器が前記ネットワーク装置300に接続されてるかに基づき、前記ネットワーク装置300へのログイン可否を判断するプロセッサを有する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、ネットワークシステムを構成するスイッチングハブ、ルータなどのネットワーク接続装置に係わり、特にネットワーク接続装置へのログイン制御に関する。
【背景技術】
【0002】
スイッチングハブやルータなどのネットワーク接続装置の各種設定や障害情報の調査は、
ネットワーク接続装置のシリアルポートに接続したコンソールPCからネットワーク接続装置にログインして行われる。ログインの際はログインIDとパスワードを入力するが、
複数のネットワーク接続装置を管理する場合には、各ネットワーク接続装置毎にログインIDとパスワードを変えることは困難であり同一のID、パスワードになりやすい。また、ネットワーク接続装置の障害時には保守先に機器を送付するため、セキュリティの観点からはその都度IDとパスワードを変更する必要があるが行われない場合がある。
【0003】
特に、ネットワーク接続機器に当初から設定されているIDとパスワードのままの場合には、盗難にあった場合にネットワーク接続装置内の情報を読み取られる恐れがある。また、ネットワーク接続装置を廃棄する場合にも設定内容の消去を行わないとネットワーク接続装置内の情報を読み取られる恐れがある。
【0004】
特許文献1にはネットワーク接続装置の保守作業におけるセキュリティ対策としては、保守対象のネットワーク接続装置から設定情報を保守ツールにより吸い上げてその後ネットワーク接続装置から消去する方法が提案されている。
【先行技術文献】
【特許文献】
【0005】
【特許文献1】特開2009-265715号公報
【発明の概要】
【発明が解決しようとする課題】
【0006】
しかし、保守ツールを利用した場合など管理者の作業量が増加し、負担となる可能性がある。また、保守専用のツールの開発により製品自体のコストが増大する恐れがある。また、仮に保守ツールなどによりデータを吸い出したとしてもそのデータそのものを紛失、盗難される恐れがある。
【0007】
本発明の目的は、ネットワーク接続装置のID、パスワードのセキュリティ上の管理を容易にし、保守時の盗難や機器廃棄の場合でも装置の情報を読み取られないネットワーク接続装置を提供することにある。
【課題を解決するための手段】
【0008】
前記の課題の少なくとも一部を達成するために、本発明に係わる装置は、複数のポートと、前記ポートを介して通信を行う通信制御部と、前記ポートを介して接続される機器の識別情報、接続状態を記憶する記憶部と、他の機器からのログイン要求を受け付けた場合、前記記憶部を参照し、特定の識別情報が示す機器の接続状態により前記ネットワーク装置へのログイン可否を判断するプロセッサを有することを特徴とする。
【発明の効果】
【0009】
本発明によれば、ネットワーク接続装置に接続されたネットワーク機器の情報によりネットワーク接続装置へのログインの許可/不許可を判断することにより、ネットワーク接続装置へのログインを制限することができ、機器内の情報を読み取られることを防止できる。
【図面の簡単な説明】
【0010】
【図1】LAN上の装置の接続関係の一例
【図2】LAN上の装置を取り外したイメージの一例
【図3】本発明に係るネットワーク接続装置の構成図の一例
【図4】本発明に係る認証対象設定テーブルの設定の一例
【図5】本発明に係る接続先機器情報テーブルの構成の一例
【図6】本発明に係るネットワーク接続装置の構成図の一例
【図7】本発明に係る接続先機器情報テーブルの構成の一例
【図8】本発明に係る認証対象設定テーブルの設定変更の一例
【図9】本発明に係るネットワーク接続装置の構成図の一例
【図10】本発明に係る接続先機器情報テーブルの構成の一例
【図11】本発明に係るログイン制御のフローチャートの一例
【図12】本発明に係る認証対象設定テーブルの設定変更の一例
【図13a】本発明に係る認証対象設定テーブルの構成の一例
【図13b】本発明に係る接続先機器情報テーブルの構成の一例
【図14a】本発明に係る認証対象設定テーブルの構成の一例
【図14b】本発明に係る接続先機器情報テーブルの構成の一例
【図15a】本発明に係る認証対象設定テーブルの構成の一例
【図15b】本発明に係る接続先機器情報テーブルの構成の一例
【図16a】本発明に係る認証対象設定テーブルの構成の一例
【図16b】本発明に係る接続先機器情報テーブルの構成の一例
【発明を実施するための形態】
【0011】
以下、図面を参照して本発明の実施例について説明する。
【実施例1】
【0012】
図1に企業などのネットワークシステムの一例を示す。GW100の上流はWANなどの他のネットワークに接続されている。GW100の下流にはスイッチであるSW1 101、SW2 102が接続されている。さらにSW1 101の下流にはSW3 103〜SW10 110までのスイッチが接続されている。SW2 102の下流にはSW11 111〜SW20 120までのスイッチが接続されている。
【0013】
ネットワーク管理者はこれらのSW1 101〜SW20 120の個別の設定等をする場合PCなどを使ってSWにログインして設定を行う。各SWにはログイン用のIDとパスワードが設定されていることが前提であるが、大量のSWを管理している場合等に、ネットワーク管理者がSWのIDとパスワードを出荷時のままにしておいたり、全て同じパスワードにしてしまう恐れがある。
【0014】
仮に図1のSW20 120を出荷時のIDとパスワードで管理していた場合、図2に示すようにSW20 120が廃棄や盗難されてネットワークから外れた場合に本来アクセス権のないはずの第三者がSW20 120のIDとパスワードを推測してログインできる可能性がある。もし運用時の設定等がSW20 120に残っていると企業内のネットワークの構成が外部に漏れるなど、セキュリティ上好ましくない。
【0015】
そこで、本実施例では運用しているネットワーク上の隣接装置との接続関係を認証に利用することにより、ネットワークから取り外した装置から情報が漏れることを防止する。
【0016】
図3は、本発明に係るネットワーク接続装置の構成の一例である。同図において、300はネットワーク接続装置を示し、CPU301、SW制御部302、メモリ303、不揮発メモリ304、入出力ポート3051、入出力ポート3052、入出力ポート3053、入出力ポート3054、シリアルポート306から構成される。また、不揮発性メモリ304内には後述する認証対象設定テーブル307、接続先機器情報テーブル308が格納されている。尚、入出力ポートの数は本実施例では説明のため4つのみであるが、実際は何個でもよい。
【0017】
SW−HUB310はネットワーク接続装置300に接続された上位のネットワークへの接続を行うネットワーク機器である。PC311、PC312はネットワーク接続装置300に接続されたネットワーク機器である。説明のための例としてPCにしているがPCに限られない。SW制御部302はCPU301からの制御で入出力ポート3051〜3054の入出力を行う。コンソールPC309は、シリアルポート306に接続されネットワーク接続装置300へログインしてネットワーク接続装置300の各種設定を行う。
【0018】
図4は、図3にも出てきた認証対象設定テーブル307の一例である。認証対象設定テーブル307はどの隣接装置を用いて認証を行うかを設定するテーブルである。以下図4のテーブルを認証対象設定テーブル400という。認証対象設定テーブル400は、グループ番号400a、MACアドレス400b、接続ポート400cを有する。グループ番号400aは認証に利用する機器をグループに纏めるために利用する。MACアドレス400bは認証に利用する機器のMACアドレスである。接続ポート400cは認証に利用する機器が接続される接続ポートを設定するが、接続ポートを認証の条件にしない場合は利用しなくてもよい。また接続ポート400c自体なくてもよい。
【0019】
図4の例だと、レコード401とレコード402は同じグループ番号400a「1」なので同じ認証グループである。よって、MACアドレス400bが「AAA」のものと「BBB」のものが両方接続されている場合ログイン可能という意味である。接続ポート400cは「any」となっており今回の設定では特に利用していない。すなわちどの接続ポートに接続されていてもよいということである。接続ポート400cを利用する設定は後述する。
【0020】
次に、図5に接続先機器情報テーブル308の一例を示す。接続先機器情報テーブル308はネットワーク接続装置が300の接続状態を表すテーブルである。認証対象設定テーブル307と併せて利用することにより隣接機器を用いた認証処理を行うことができる。以下図5のテーブルを接続先機器情報テーブル500という。接続先機器情報テーブル500は図3のネットワーク接続装置300の接続状態を表したものである。また、設定として図4の認証対象設定テーブル400を利用しているものとする。
【0021】
接続先機器情報テーブル500は、グループ番号500a、MACアドレス500b、接続ポート500c、接続時間500d、接続状況500e、比較対象500f、判定値500gから構成される。
【0022】
グループ番号500aは当該レコードのMACアドレスが認証対象設定テーブル307におけるいずれの認証グループに属しているかを示す。比較対象500fが「対象」の場合そのレコードのMACアドレスは認証の比較対象であることを示す。「非対象」の場合はそのレコードのMACアドレスは認証の比較対象ではないことを示す。認証対象設定テーブル307に登録されていないともいいかえられる。判定値500gは認証に必要な接続機器の数である。図4のグループ番号400aが「1」のMACアドレスは2つある。よって図5のグループ番号500aが「1」のレコードの判定値500gは「2」となる。
【0023】
ネットワーク接続装置300の接続ポート3051〜接続ポート1054間の通信は、SW制御部302によりポートに接続されたネットワーク機器のMACアドレスに基づいて行われる。
【0024】
本実施例では、SW制御部302が持つ接続されたネットワーク機の情報をCPU301により収集し、不揮発メモリ404内に接続先機器情報テーブル308を作成する。ここで、SW−HUB310のMACアドレスを「AAA」とし接続ポートが3051、PC311のMACアドレスを「BBB」とし接続ポートが3052、PC312のMACアドレスを「CCC」とし接続ポートが3053とする。
【0025】
接続先機器情報テーブル500の500bにはSW−HUB310およびPC311、PC312のMACアドレスが記録され、500cには接続ポートが記録される。また、500dには接続されてからの時間が、500eには現在の接続状況が記録される。これらの情報はCPU501により定期的に収集記録される。例えば、ARP(Address Resolution Protocol)などにより取得したMACアドレスを記録する。グループ番号500a、比較対象500f、判定値500gはレコードの登録時に図4の認証対象設定テーブル400を参照して格納される。
【0026】
図4,5の例では、認証対象設定テーブル400グループ番号「1」にMACアドレス「AAA」「BBB」が設定されている。また、接続先機器情報テーブル500では認証に用いられるグループ番号「1」に含まれるMACアドレス「AAA」「BBB」を持つ機器が両方とも接続されているため、ネットワーク接続装置300はログイン処理が可能となっている。
【0027】
尚、接続先機器情報テーブル500のグループ番号500a、比較対象500f、判定値500gは認証対象設定テーブル400を参照すればよいため無くても良い。含めておくと認証の判断の際に毎回認証対象設定テーブル400を参照しなくてすむ。
【0028】
また、図4の認証対象設定テーブル400用いることなく図5の接続先機器情報テーブル500のみで設定情報と状態情報を管理してもよい。
【0029】
その場合、ネットワーク管理者は認証に必要な機器の接続が完了した時点でコンソールPC309から接続先機器情報テーブル500のグループ番号500aおよび比較対象500f、判定値500gの情報を設定し、ネットワーク接続装置300のログイン動作をログイン制御状態に設定する。例えばSW−HUB107のみを認証に利用する場合、SW−HUB107のMACアドレス「AAA」が比較対象となり、グループ番号500aを例えば「1」に設定し、比較対象500fに「対象」と設定し、SW−HUB107の1台のみなので判定値を1に設定する。MACアドレス500b、接続ポート500c、接続時間500d、接続状況500eはARPなどにより自動的に設定される。
【0030】
図4の認証対象設定テーブル400への設定はネットワークへ接続前でも後でも可能である。図5の接続先機器情報テーブル500のみで設定情報と状態情報を管理する場合は、ネットワークに接続して認証に必要な機器が接続されて接続先機器情報テーブル500に接続された機器のMACアドレスが設定された後に可能となる。
【0031】
次に、図6に本発明に係るネットワーク接続装置の他の接続状態を示す。図6によると、SW−HUB310のみがネットワーク接続装置300に接続されている。認証対象設定テーブル400は図4のままである。
【0032】
この場合接続先機器情報テーブルは図7のようになる。以下図7のテーブルを接続先機器情報テーブル700とよぶ。接続先機器情報テーブル700を参照すると、レコード701をみると比較対象であるMACアドレス「AAA」のSW−HUB310は接続されているがそれ以外の機器は一切接続されていない。よって判定値「2」個分の認証対象の接続が無いためログイン処理できないことになる。
【0033】
次に認証グループを複数作った場合の説明をする。図8のテーブルは認証対象設定テーブルの一例であり、以下認証対象設定テーブル800と呼ぶ。認証対象設定テーブル800ではグループ番号が「1」「2」の二つ存在する。この場合、いずれかのグループの条件が満たされていればネットワーク接続装置300にログイン処理できる。すなわち、グループ番号「1」の条件であるMACアドレス「AAA」「BBB」の機器がネットワーク接続装置300に接続されているか、又は、グループ番号「2」の条件であるMACアドレス「CCC」の機器が接続されていればログイン処理が可能となる。
【0034】
このように複数のグループを設定することにより柔軟なログイン認証が可能となる。例えば、一つのグループで特定の隣接するネットワーク機器との接続関係を設定しておき、もう一つのグループでネットワーク管理者の管理用のPCのMACアドレスを設定する等が可能である。図8のレコード801のMACアドレス「CCC」が管理用のPCのMACアドレスとした場合、例えネットワーク接続装置300やその隣接機器が修理等の理由でネットワークから外された場合でも管理者だけは管理用のPCでログインすることができる。
【0035】
図9を用いて上記例を説明する。ネットワーク接続装置300にはSW−HUB310が接続ポート3051に接続され、管理者のコンソールPC309が接続ポート3053に接続されている。
【0036】
尚、W−HUB310のMACアドレスは「AAA」で、コンソールPC309のMACアドレスは「CCC」とする。
【0037】
図10に図9の接続状態を表す接続先機器情報テーブルを示す。以下接続先機器情報テーブル900という。接続先機器情報テーブル900を参照すると、グループ番号「1」のMACアドレス「AAA」が接続されているが判定値「2」を満たさないので認証条件を満たさない。
【0038】
一方で、グループ番号「2」のMACアドレス「CCC」が接続されており判定値「1」を満たすので認証条件を満たす。結果としてネットワーク接続装置300にログイン処理が可能となる。
【0039】
図9、図10からわかるようにコンソールPC309が接続ポートで接続されていれば認証処理の条件を満たすためネットワーク管理者はコンソールPC309を持ち歩けば常にネットワーク接続装置300にログイン処理が可能となる。しかし、第三者がネットワーク接続装置300をネットワークからはずした状態で利用しようとしてもコンソールPC309自体を入手しない限りはログインできない。
【0040】
以上のように、認証グループを複数設定することによりセキュリティと運用時の柔軟性を両立させることが可能となる。
【0041】
次に図11を用いてネットワーク接続装置300の認証フローを説明する。ネットワーク接続装置300の初期出荷状態ではログイン制御は通常状態であり、コンソールからのIDとパスワードの入力でログインできる。隣接接続機器との接続状態を用いた認証を行う場合はログインした状態で「ログイン制御モード」に設定する必要がある。「ログイン制御モード」に対して従来どおり隣接接続機器に関係なくコンソールからのIDとパスワードの入力でログインできる場合を「通常モード」という。
【0042】
以下、図11のフローチャートの処理を説明する。ネットワーク接続装置300にログインする場合に、S1100にて機器がログイン制御状態か判断し、ログイン制御状態でなければS1103でLogin処理を実行する。Login処理とは通常のコンソールからのIDとパスワードの入力でログインする処理である。代わりにハードウェア認証やIDとパスワードの入力をなくしても良い。
【0043】
ログイン制御状態であれば、S1101で比較対象として設定されているMACアドレスが接続状態にあるか接続先機器情報テーブル308により比較する。S1102において比較したMACアドレス数が判定値以上か判断する。判定は同一グループ番号のMACアドレス数とグループ番号の判定値により、どれか一つのグループ番号のMACアドレス数がそのグループ番号の判定値より多い場合には、一定数以上一致と判断する。一定数以上一致した場合には、S1103のLogin処理が実行される。S1104でログインが成功すればネットワーク接続装置300を操作することができる。接続されているMACアドレス数が判定値以下の場合や、ID、パスワードが一致せずLogin処理に失敗した場合にはS1100の処理にもどる。
【0044】
S1102またはS1104の処理でLogin処理に失敗した場合にはS1105のようにLoginに失敗した旨をユーザの操作する装置の画面に表示する。必要なければ表示しなくてもよい。
【0045】
以上のように、本発明では、S1102のログイン制御処理の条件を満たさない限り、通常のS1103の通常のログイン処理をさせないことにより情報流出の危険を減らすことができる。S1102のステップがあることにより仮に盗難にあって、IDとパスワードを推測されてもログインされる恐れがなくなる。
【0046】
次に、ネットワーク接続装置300を異なるネットワークに移す場合の処理について説明する。機器の移動や、保守のためにネットワーク管理装置を通常のネットワーク環境と異なる状況で動作させる場合には、異なる環境の接続機器のMACアドレスを登録することで通常のログイン処理が実行できる。図12に認証対象設定テーブルの変更例を示す。
【実施例2】
【0047】
別の実施例として、認証条件のMACアドレスを隣接接続機器の接続時間によって決定する方式について説明する。
【0048】
図13aに認証対象設定テーブルの例を示す。以下認証対象設定テーブル1300という。認証対象設定テーブル1300では、グループ番号「1」ではMACアドレスが「any」で、接続時間「1」となっている。これは接続時間が最も長い機器のMACアドレスを設定するという意味である。同様にグループ番号「2」ではMACアドレスが「any」で、接続時間「2」となっている。これは接続時間が2番目に長い機器のMACアドレスを設定するという意味である。
【0049】
図13bの接続先機器情報テーブル1301の例で説明すると、接続時間1302を参照し、接続時間が最も長い機器のMACアドレス「AAA」がグループ「1」に属し、接続時間が2番目に長い機器のMACアドレス「BBB」がグループ「2」に属している。この場合だとMACアドレス「AAA」か「BBB」のどちらかの機器が接続されている限りはネットワーク接続装置300にログイン処理可能である。
【0050】
本実施例の方式により長時間繋がれる可能性の高い上流装置などを自動的に認証対象とすることができる。
【実施例3】
【0051】
別の実施例として、認証条件をMACアドレスと接続ポートの組み合わせで決定する方式を説明する。
【0052】
図14aに認証対象設定テーブルの例を示す。以下認証対象設定テーブル1400という。に認証対象設定テーブル1400では各グループごとにMACアドレスと接続ポートの組み合わせを設定できる。
【0053】
図14bの接続先機器情報テーブル1401の例で説明すると、MACアドレスと接続ポートの組み合わせ1402を参照し、各グループに設定された認証条件を満たすかを確認する。
【実施例4】
【0054】
別の実施例として、認証条件をMACアドレスとIPアドレスの組み合わせで決定する方式を説明する。
【0055】
図15aに認証対象設定テーブルの例を示す。以下認証対象設定テーブル1500という。に認証対象設定テーブル1500では各グループごとにMACアドレスとIPアドレスの組み合わせを設定できる。
【0056】
図15bの接続先機器情報テーブル1501の例で説明すると、MACアドレス1502とIPアドレス1503の組み合わせを参照し、各グループに設定された認証条件を満たすかを確認する。
【実施例5】
【0057】
別の実施例として、認証条件をMACアドレスと接続ポートとIPアドレスの組み合わせで決定する方式を説明する。
【0058】
図16aに認証対象設定テーブルの例を示す。以下認証対象設定テーブル1600という。に認証対象設定テーブル1600では各グループごとにMACアドレスと接続ポートとIPアドレスの組み合わせを設定できる。
【0059】
図16bの接続先機器情報テーブル1601の例で説明すると、MACアドレスと接続ポートとIPアドレスの組み合わせ1602を参照し、各グループに設定された認証条件を満たすかを確認する。
【実施例6】
【0060】
別の実施例として、認証対象設定テーブルと接続先機器情報テーブルを外部の認証用のサーバに保有させても良い。この場合ネットワーク接続装置300はログイン要求があると認証用のサーバに認証してよいか問合せ、認証用のサーバは認証対象設定テーブルと接続先機器情報テーブルを参照して認証可否を返信する。
【0061】
また、認証用のサーバに認証対象設定テーブルのみを持たせ、接続先機器情報テーブルはネットワーク接続装置300に持たしても良い。この場合ネットワーク接続装置300はログイン要求があると認証用のサーバに認証対象設定テーブルの内容を問合せ、認証用のサーバは認証対象設定テーブルの内容を返信する。
【0062】
以上、本願発明を用いることにより、特別な機器を用意することなくネットワーク接続装置のセキュリティを向上させることが可能となる。また、本発明は実施例に記載された形態に限られるものではなく、発明の要旨を逸脱しない範囲で実施可能である。例えば各実施例で利用しないテーブルの属性がある場合はそれを取り除いても良いし、あっても良い。
【0063】
また、各実施例でのテーブルの設定例として実施例に記載したレイアウト以外のものを用いても良い。リレーショナルデータベース形式でなくとも、XMLやテキスト、バイナリなどいかなる形式で保有しても良い。
【0064】
また、コンソールPC等に表示する認証対象設定テーブルや接続先機器情報テーブルの設定を行う画面上の設定の一部または全ての情報を伏字や別の文字への置き換えをしてもよい。これにより、例えば設定したMACアドレスなどの一部を伏字にして画面に表示することにより画面の盗み見にも対応することができる。
【符号の説明】
【0065】
300:ネットワーク接続装置
301:CPU
302:SW制御部
303:メモリ
304:不揮発メモリ
305(3051,3052,3053,3054):入出力ポート
306:シリアルポート
307:認証対象設定テーブル
308:接続先機器情報テーブル
309:コンソールPC
310:SW−HUB
311:PC
312:PC
【技術分野】
【0001】
本発明は、ネットワークシステムを構成するスイッチングハブ、ルータなどのネットワーク接続装置に係わり、特にネットワーク接続装置へのログイン制御に関する。
【背景技術】
【0002】
スイッチングハブやルータなどのネットワーク接続装置の各種設定や障害情報の調査は、
ネットワーク接続装置のシリアルポートに接続したコンソールPCからネットワーク接続装置にログインして行われる。ログインの際はログインIDとパスワードを入力するが、
複数のネットワーク接続装置を管理する場合には、各ネットワーク接続装置毎にログインIDとパスワードを変えることは困難であり同一のID、パスワードになりやすい。また、ネットワーク接続装置の障害時には保守先に機器を送付するため、セキュリティの観点からはその都度IDとパスワードを変更する必要があるが行われない場合がある。
【0003】
特に、ネットワーク接続機器に当初から設定されているIDとパスワードのままの場合には、盗難にあった場合にネットワーク接続装置内の情報を読み取られる恐れがある。また、ネットワーク接続装置を廃棄する場合にも設定内容の消去を行わないとネットワーク接続装置内の情報を読み取られる恐れがある。
【0004】
特許文献1にはネットワーク接続装置の保守作業におけるセキュリティ対策としては、保守対象のネットワーク接続装置から設定情報を保守ツールにより吸い上げてその後ネットワーク接続装置から消去する方法が提案されている。
【先行技術文献】
【特許文献】
【0005】
【特許文献1】特開2009-265715号公報
【発明の概要】
【発明が解決しようとする課題】
【0006】
しかし、保守ツールを利用した場合など管理者の作業量が増加し、負担となる可能性がある。また、保守専用のツールの開発により製品自体のコストが増大する恐れがある。また、仮に保守ツールなどによりデータを吸い出したとしてもそのデータそのものを紛失、盗難される恐れがある。
【0007】
本発明の目的は、ネットワーク接続装置のID、パスワードのセキュリティ上の管理を容易にし、保守時の盗難や機器廃棄の場合でも装置の情報を読み取られないネットワーク接続装置を提供することにある。
【課題を解決するための手段】
【0008】
前記の課題の少なくとも一部を達成するために、本発明に係わる装置は、複数のポートと、前記ポートを介して通信を行う通信制御部と、前記ポートを介して接続される機器の識別情報、接続状態を記憶する記憶部と、他の機器からのログイン要求を受け付けた場合、前記記憶部を参照し、特定の識別情報が示す機器の接続状態により前記ネットワーク装置へのログイン可否を判断するプロセッサを有することを特徴とする。
【発明の効果】
【0009】
本発明によれば、ネットワーク接続装置に接続されたネットワーク機器の情報によりネットワーク接続装置へのログインの許可/不許可を判断することにより、ネットワーク接続装置へのログインを制限することができ、機器内の情報を読み取られることを防止できる。
【図面の簡単な説明】
【0010】
【図1】LAN上の装置の接続関係の一例
【図2】LAN上の装置を取り外したイメージの一例
【図3】本発明に係るネットワーク接続装置の構成図の一例
【図4】本発明に係る認証対象設定テーブルの設定の一例
【図5】本発明に係る接続先機器情報テーブルの構成の一例
【図6】本発明に係るネットワーク接続装置の構成図の一例
【図7】本発明に係る接続先機器情報テーブルの構成の一例
【図8】本発明に係る認証対象設定テーブルの設定変更の一例
【図9】本発明に係るネットワーク接続装置の構成図の一例
【図10】本発明に係る接続先機器情報テーブルの構成の一例
【図11】本発明に係るログイン制御のフローチャートの一例
【図12】本発明に係る認証対象設定テーブルの設定変更の一例
【図13a】本発明に係る認証対象設定テーブルの構成の一例
【図13b】本発明に係る接続先機器情報テーブルの構成の一例
【図14a】本発明に係る認証対象設定テーブルの構成の一例
【図14b】本発明に係る接続先機器情報テーブルの構成の一例
【図15a】本発明に係る認証対象設定テーブルの構成の一例
【図15b】本発明に係る接続先機器情報テーブルの構成の一例
【図16a】本発明に係る認証対象設定テーブルの構成の一例
【図16b】本発明に係る接続先機器情報テーブルの構成の一例
【発明を実施するための形態】
【0011】
以下、図面を参照して本発明の実施例について説明する。
【実施例1】
【0012】
図1に企業などのネットワークシステムの一例を示す。GW100の上流はWANなどの他のネットワークに接続されている。GW100の下流にはスイッチであるSW1 101、SW2 102が接続されている。さらにSW1 101の下流にはSW3 103〜SW10 110までのスイッチが接続されている。SW2 102の下流にはSW11 111〜SW20 120までのスイッチが接続されている。
【0013】
ネットワーク管理者はこれらのSW1 101〜SW20 120の個別の設定等をする場合PCなどを使ってSWにログインして設定を行う。各SWにはログイン用のIDとパスワードが設定されていることが前提であるが、大量のSWを管理している場合等に、ネットワーク管理者がSWのIDとパスワードを出荷時のままにしておいたり、全て同じパスワードにしてしまう恐れがある。
【0014】
仮に図1のSW20 120を出荷時のIDとパスワードで管理していた場合、図2に示すようにSW20 120が廃棄や盗難されてネットワークから外れた場合に本来アクセス権のないはずの第三者がSW20 120のIDとパスワードを推測してログインできる可能性がある。もし運用時の設定等がSW20 120に残っていると企業内のネットワークの構成が外部に漏れるなど、セキュリティ上好ましくない。
【0015】
そこで、本実施例では運用しているネットワーク上の隣接装置との接続関係を認証に利用することにより、ネットワークから取り外した装置から情報が漏れることを防止する。
【0016】
図3は、本発明に係るネットワーク接続装置の構成の一例である。同図において、300はネットワーク接続装置を示し、CPU301、SW制御部302、メモリ303、不揮発メモリ304、入出力ポート3051、入出力ポート3052、入出力ポート3053、入出力ポート3054、シリアルポート306から構成される。また、不揮発性メモリ304内には後述する認証対象設定テーブル307、接続先機器情報テーブル308が格納されている。尚、入出力ポートの数は本実施例では説明のため4つのみであるが、実際は何個でもよい。
【0017】
SW−HUB310はネットワーク接続装置300に接続された上位のネットワークへの接続を行うネットワーク機器である。PC311、PC312はネットワーク接続装置300に接続されたネットワーク機器である。説明のための例としてPCにしているがPCに限られない。SW制御部302はCPU301からの制御で入出力ポート3051〜3054の入出力を行う。コンソールPC309は、シリアルポート306に接続されネットワーク接続装置300へログインしてネットワーク接続装置300の各種設定を行う。
【0018】
図4は、図3にも出てきた認証対象設定テーブル307の一例である。認証対象設定テーブル307はどの隣接装置を用いて認証を行うかを設定するテーブルである。以下図4のテーブルを認証対象設定テーブル400という。認証対象設定テーブル400は、グループ番号400a、MACアドレス400b、接続ポート400cを有する。グループ番号400aは認証に利用する機器をグループに纏めるために利用する。MACアドレス400bは認証に利用する機器のMACアドレスである。接続ポート400cは認証に利用する機器が接続される接続ポートを設定するが、接続ポートを認証の条件にしない場合は利用しなくてもよい。また接続ポート400c自体なくてもよい。
【0019】
図4の例だと、レコード401とレコード402は同じグループ番号400a「1」なので同じ認証グループである。よって、MACアドレス400bが「AAA」のものと「BBB」のものが両方接続されている場合ログイン可能という意味である。接続ポート400cは「any」となっており今回の設定では特に利用していない。すなわちどの接続ポートに接続されていてもよいということである。接続ポート400cを利用する設定は後述する。
【0020】
次に、図5に接続先機器情報テーブル308の一例を示す。接続先機器情報テーブル308はネットワーク接続装置が300の接続状態を表すテーブルである。認証対象設定テーブル307と併せて利用することにより隣接機器を用いた認証処理を行うことができる。以下図5のテーブルを接続先機器情報テーブル500という。接続先機器情報テーブル500は図3のネットワーク接続装置300の接続状態を表したものである。また、設定として図4の認証対象設定テーブル400を利用しているものとする。
【0021】
接続先機器情報テーブル500は、グループ番号500a、MACアドレス500b、接続ポート500c、接続時間500d、接続状況500e、比較対象500f、判定値500gから構成される。
【0022】
グループ番号500aは当該レコードのMACアドレスが認証対象設定テーブル307におけるいずれの認証グループに属しているかを示す。比較対象500fが「対象」の場合そのレコードのMACアドレスは認証の比較対象であることを示す。「非対象」の場合はそのレコードのMACアドレスは認証の比較対象ではないことを示す。認証対象設定テーブル307に登録されていないともいいかえられる。判定値500gは認証に必要な接続機器の数である。図4のグループ番号400aが「1」のMACアドレスは2つある。よって図5のグループ番号500aが「1」のレコードの判定値500gは「2」となる。
【0023】
ネットワーク接続装置300の接続ポート3051〜接続ポート1054間の通信は、SW制御部302によりポートに接続されたネットワーク機器のMACアドレスに基づいて行われる。
【0024】
本実施例では、SW制御部302が持つ接続されたネットワーク機の情報をCPU301により収集し、不揮発メモリ404内に接続先機器情報テーブル308を作成する。ここで、SW−HUB310のMACアドレスを「AAA」とし接続ポートが3051、PC311のMACアドレスを「BBB」とし接続ポートが3052、PC312のMACアドレスを「CCC」とし接続ポートが3053とする。
【0025】
接続先機器情報テーブル500の500bにはSW−HUB310およびPC311、PC312のMACアドレスが記録され、500cには接続ポートが記録される。また、500dには接続されてからの時間が、500eには現在の接続状況が記録される。これらの情報はCPU501により定期的に収集記録される。例えば、ARP(Address Resolution Protocol)などにより取得したMACアドレスを記録する。グループ番号500a、比較対象500f、判定値500gはレコードの登録時に図4の認証対象設定テーブル400を参照して格納される。
【0026】
図4,5の例では、認証対象設定テーブル400グループ番号「1」にMACアドレス「AAA」「BBB」が設定されている。また、接続先機器情報テーブル500では認証に用いられるグループ番号「1」に含まれるMACアドレス「AAA」「BBB」を持つ機器が両方とも接続されているため、ネットワーク接続装置300はログイン処理が可能となっている。
【0027】
尚、接続先機器情報テーブル500のグループ番号500a、比較対象500f、判定値500gは認証対象設定テーブル400を参照すればよいため無くても良い。含めておくと認証の判断の際に毎回認証対象設定テーブル400を参照しなくてすむ。
【0028】
また、図4の認証対象設定テーブル400用いることなく図5の接続先機器情報テーブル500のみで設定情報と状態情報を管理してもよい。
【0029】
その場合、ネットワーク管理者は認証に必要な機器の接続が完了した時点でコンソールPC309から接続先機器情報テーブル500のグループ番号500aおよび比較対象500f、判定値500gの情報を設定し、ネットワーク接続装置300のログイン動作をログイン制御状態に設定する。例えばSW−HUB107のみを認証に利用する場合、SW−HUB107のMACアドレス「AAA」が比較対象となり、グループ番号500aを例えば「1」に設定し、比較対象500fに「対象」と設定し、SW−HUB107の1台のみなので判定値を1に設定する。MACアドレス500b、接続ポート500c、接続時間500d、接続状況500eはARPなどにより自動的に設定される。
【0030】
図4の認証対象設定テーブル400への設定はネットワークへ接続前でも後でも可能である。図5の接続先機器情報テーブル500のみで設定情報と状態情報を管理する場合は、ネットワークに接続して認証に必要な機器が接続されて接続先機器情報テーブル500に接続された機器のMACアドレスが設定された後に可能となる。
【0031】
次に、図6に本発明に係るネットワーク接続装置の他の接続状態を示す。図6によると、SW−HUB310のみがネットワーク接続装置300に接続されている。認証対象設定テーブル400は図4のままである。
【0032】
この場合接続先機器情報テーブルは図7のようになる。以下図7のテーブルを接続先機器情報テーブル700とよぶ。接続先機器情報テーブル700を参照すると、レコード701をみると比較対象であるMACアドレス「AAA」のSW−HUB310は接続されているがそれ以外の機器は一切接続されていない。よって判定値「2」個分の認証対象の接続が無いためログイン処理できないことになる。
【0033】
次に認証グループを複数作った場合の説明をする。図8のテーブルは認証対象設定テーブルの一例であり、以下認証対象設定テーブル800と呼ぶ。認証対象設定テーブル800ではグループ番号が「1」「2」の二つ存在する。この場合、いずれかのグループの条件が満たされていればネットワーク接続装置300にログイン処理できる。すなわち、グループ番号「1」の条件であるMACアドレス「AAA」「BBB」の機器がネットワーク接続装置300に接続されているか、又は、グループ番号「2」の条件であるMACアドレス「CCC」の機器が接続されていればログイン処理が可能となる。
【0034】
このように複数のグループを設定することにより柔軟なログイン認証が可能となる。例えば、一つのグループで特定の隣接するネットワーク機器との接続関係を設定しておき、もう一つのグループでネットワーク管理者の管理用のPCのMACアドレスを設定する等が可能である。図8のレコード801のMACアドレス「CCC」が管理用のPCのMACアドレスとした場合、例えネットワーク接続装置300やその隣接機器が修理等の理由でネットワークから外された場合でも管理者だけは管理用のPCでログインすることができる。
【0035】
図9を用いて上記例を説明する。ネットワーク接続装置300にはSW−HUB310が接続ポート3051に接続され、管理者のコンソールPC309が接続ポート3053に接続されている。
【0036】
尚、W−HUB310のMACアドレスは「AAA」で、コンソールPC309のMACアドレスは「CCC」とする。
【0037】
図10に図9の接続状態を表す接続先機器情報テーブルを示す。以下接続先機器情報テーブル900という。接続先機器情報テーブル900を参照すると、グループ番号「1」のMACアドレス「AAA」が接続されているが判定値「2」を満たさないので認証条件を満たさない。
【0038】
一方で、グループ番号「2」のMACアドレス「CCC」が接続されており判定値「1」を満たすので認証条件を満たす。結果としてネットワーク接続装置300にログイン処理が可能となる。
【0039】
図9、図10からわかるようにコンソールPC309が接続ポートで接続されていれば認証処理の条件を満たすためネットワーク管理者はコンソールPC309を持ち歩けば常にネットワーク接続装置300にログイン処理が可能となる。しかし、第三者がネットワーク接続装置300をネットワークからはずした状態で利用しようとしてもコンソールPC309自体を入手しない限りはログインできない。
【0040】
以上のように、認証グループを複数設定することによりセキュリティと運用時の柔軟性を両立させることが可能となる。
【0041】
次に図11を用いてネットワーク接続装置300の認証フローを説明する。ネットワーク接続装置300の初期出荷状態ではログイン制御は通常状態であり、コンソールからのIDとパスワードの入力でログインできる。隣接接続機器との接続状態を用いた認証を行う場合はログインした状態で「ログイン制御モード」に設定する必要がある。「ログイン制御モード」に対して従来どおり隣接接続機器に関係なくコンソールからのIDとパスワードの入力でログインできる場合を「通常モード」という。
【0042】
以下、図11のフローチャートの処理を説明する。ネットワーク接続装置300にログインする場合に、S1100にて機器がログイン制御状態か判断し、ログイン制御状態でなければS1103でLogin処理を実行する。Login処理とは通常のコンソールからのIDとパスワードの入力でログインする処理である。代わりにハードウェア認証やIDとパスワードの入力をなくしても良い。
【0043】
ログイン制御状態であれば、S1101で比較対象として設定されているMACアドレスが接続状態にあるか接続先機器情報テーブル308により比較する。S1102において比較したMACアドレス数が判定値以上か判断する。判定は同一グループ番号のMACアドレス数とグループ番号の判定値により、どれか一つのグループ番号のMACアドレス数がそのグループ番号の判定値より多い場合には、一定数以上一致と判断する。一定数以上一致した場合には、S1103のLogin処理が実行される。S1104でログインが成功すればネットワーク接続装置300を操作することができる。接続されているMACアドレス数が判定値以下の場合や、ID、パスワードが一致せずLogin処理に失敗した場合にはS1100の処理にもどる。
【0044】
S1102またはS1104の処理でLogin処理に失敗した場合にはS1105のようにLoginに失敗した旨をユーザの操作する装置の画面に表示する。必要なければ表示しなくてもよい。
【0045】
以上のように、本発明では、S1102のログイン制御処理の条件を満たさない限り、通常のS1103の通常のログイン処理をさせないことにより情報流出の危険を減らすことができる。S1102のステップがあることにより仮に盗難にあって、IDとパスワードを推測されてもログインされる恐れがなくなる。
【0046】
次に、ネットワーク接続装置300を異なるネットワークに移す場合の処理について説明する。機器の移動や、保守のためにネットワーク管理装置を通常のネットワーク環境と異なる状況で動作させる場合には、異なる環境の接続機器のMACアドレスを登録することで通常のログイン処理が実行できる。図12に認証対象設定テーブルの変更例を示す。
【実施例2】
【0047】
別の実施例として、認証条件のMACアドレスを隣接接続機器の接続時間によって決定する方式について説明する。
【0048】
図13aに認証対象設定テーブルの例を示す。以下認証対象設定テーブル1300という。認証対象設定テーブル1300では、グループ番号「1」ではMACアドレスが「any」で、接続時間「1」となっている。これは接続時間が最も長い機器のMACアドレスを設定するという意味である。同様にグループ番号「2」ではMACアドレスが「any」で、接続時間「2」となっている。これは接続時間が2番目に長い機器のMACアドレスを設定するという意味である。
【0049】
図13bの接続先機器情報テーブル1301の例で説明すると、接続時間1302を参照し、接続時間が最も長い機器のMACアドレス「AAA」がグループ「1」に属し、接続時間が2番目に長い機器のMACアドレス「BBB」がグループ「2」に属している。この場合だとMACアドレス「AAA」か「BBB」のどちらかの機器が接続されている限りはネットワーク接続装置300にログイン処理可能である。
【0050】
本実施例の方式により長時間繋がれる可能性の高い上流装置などを自動的に認証対象とすることができる。
【実施例3】
【0051】
別の実施例として、認証条件をMACアドレスと接続ポートの組み合わせで決定する方式を説明する。
【0052】
図14aに認証対象設定テーブルの例を示す。以下認証対象設定テーブル1400という。に認証対象設定テーブル1400では各グループごとにMACアドレスと接続ポートの組み合わせを設定できる。
【0053】
図14bの接続先機器情報テーブル1401の例で説明すると、MACアドレスと接続ポートの組み合わせ1402を参照し、各グループに設定された認証条件を満たすかを確認する。
【実施例4】
【0054】
別の実施例として、認証条件をMACアドレスとIPアドレスの組み合わせで決定する方式を説明する。
【0055】
図15aに認証対象設定テーブルの例を示す。以下認証対象設定テーブル1500という。に認証対象設定テーブル1500では各グループごとにMACアドレスとIPアドレスの組み合わせを設定できる。
【0056】
図15bの接続先機器情報テーブル1501の例で説明すると、MACアドレス1502とIPアドレス1503の組み合わせを参照し、各グループに設定された認証条件を満たすかを確認する。
【実施例5】
【0057】
別の実施例として、認証条件をMACアドレスと接続ポートとIPアドレスの組み合わせで決定する方式を説明する。
【0058】
図16aに認証対象設定テーブルの例を示す。以下認証対象設定テーブル1600という。に認証対象設定テーブル1600では各グループごとにMACアドレスと接続ポートとIPアドレスの組み合わせを設定できる。
【0059】
図16bの接続先機器情報テーブル1601の例で説明すると、MACアドレスと接続ポートとIPアドレスの組み合わせ1602を参照し、各グループに設定された認証条件を満たすかを確認する。
【実施例6】
【0060】
別の実施例として、認証対象設定テーブルと接続先機器情報テーブルを外部の認証用のサーバに保有させても良い。この場合ネットワーク接続装置300はログイン要求があると認証用のサーバに認証してよいか問合せ、認証用のサーバは認証対象設定テーブルと接続先機器情報テーブルを参照して認証可否を返信する。
【0061】
また、認証用のサーバに認証対象設定テーブルのみを持たせ、接続先機器情報テーブルはネットワーク接続装置300に持たしても良い。この場合ネットワーク接続装置300はログイン要求があると認証用のサーバに認証対象設定テーブルの内容を問合せ、認証用のサーバは認証対象設定テーブルの内容を返信する。
【0062】
以上、本願発明を用いることにより、特別な機器を用意することなくネットワーク接続装置のセキュリティを向上させることが可能となる。また、本発明は実施例に記載された形態に限られるものではなく、発明の要旨を逸脱しない範囲で実施可能である。例えば各実施例で利用しないテーブルの属性がある場合はそれを取り除いても良いし、あっても良い。
【0063】
また、各実施例でのテーブルの設定例として実施例に記載したレイアウト以外のものを用いても良い。リレーショナルデータベース形式でなくとも、XMLやテキスト、バイナリなどいかなる形式で保有しても良い。
【0064】
また、コンソールPC等に表示する認証対象設定テーブルや接続先機器情報テーブルの設定を行う画面上の設定の一部または全ての情報を伏字や別の文字への置き換えをしてもよい。これにより、例えば設定したMACアドレスなどの一部を伏字にして画面に表示することにより画面の盗み見にも対応することができる。
【符号の説明】
【0065】
300:ネットワーク接続装置
301:CPU
302:SW制御部
303:メモリ
304:不揮発メモリ
305(3051,3052,3053,3054):入出力ポート
306:シリアルポート
307:認証対象設定テーブル
308:接続先機器情報テーブル
309:コンソールPC
310:SW−HUB
311:PC
312:PC
【特許請求の範囲】
【請求項1】
ネットワーク装置であって、
複数のポートと、
前記ポートを介して通信を行う通信制御部と、
前記ポートを介して接続される機器の識別情報、接続状態を記憶する記憶部と、
第1の機器からのログイン要求を受け付けた場合、前記記憶部を参照し、特定の識別情報が示す第2の機器が前記ネットワーク装置に接続されてるかに基づき、前記ネットワーク装置へのログイン可否を判断するプロセッサを有することを特徴とするネットワーク装置。
【請求項2】
請求項1記載のネットワーク装置であって、
前記ネットワーク装置へのログイン可否の判断に利用する前記識別情報を複数設定できることを特徴とするネットワーク装置。
【請求項3】
請求項2記載のネットワーク装置であって、
前記ネットワーク装置へのログイン可否の判断に利用する前記識別情報の組み合わせにグループを設定し、複数のグループが設定されていた場合いずれかのグループが含む全ての前記識別情報が示す機器が接続されていれば前記ネットワーク装置へのログインを許可することを特徴とするネットワーク装置。
【請求項4】
請求項2記載のネットワーク装置であって、
前記記憶部は、前記接続される機器ごとに接続時間を記憶し、
前記プロセッサは、前記接続時間の長さに基づいて前記ネットワーク装置へのログイン可否を判断に利用する前記識別情報を選択することを特徴とするネットワーク装置。
【請求項5】
請求項1記載のネットワーク装置であって、
前記特定の識別情報が示す機器の接続状態により前記ネットワーク装置へのログイン可否を判断するログイン制御モードと、IDとパスワードのみでログイン可否を判断する通常モードとを切り替えられることを特徴とするネットワーク装置。
【請求項6】
請求項2記載のネットワーク装置であって、
前記プロセッサは、前記ネットワーク装置へのログイン可否の判断に利用する前記識別情報を設定する画面であって、前記ネットワーク装置へログインした機器に表示させる画面を生成し、前記識別情報の一部又は全てを他の文字に置き換えるまたは表示させないことを特徴とするネットワーク装置。
【請求項7】
請求項1記載のネットワーク装置であって、
前記識別情報はMACアドレスであり、
前記記憶部は、さらに前記ポートを介して接続される前記機器のIPアドレスを記憶し、
前記プロセッサは、前記MACアドレスと前記IPアドレスとの組み合わせにより特定される機器の接続状態により前記ネットワーク装置へのログイン可否を判断することを特徴とするネットワーク装置。
【請求項8】
請求項1記載のネットワーク装置であって、
前記識別情報はMACアドレスであり、
前記記憶部は、さらに前記機器が接続されるポートのポート識別子を記憶し、
前記プロセッサは、前記MACアドレスと前記ポート識別子との組み合わせにより特定される機器の接続状態により前記ネットワーク装置へのログイン可否を判断することを特徴とするネットワーク装置。
【請求項9】
請求項1記載のネットワーク装置であって、
前記識別情報はMACアドレスであり、
前記記憶部は、さらに前記ポートを介して接続される前記機器のIPアドレス、前記機器が接続されるポートのポート識別子を記憶し、
前記プロセッサは、前記MACアドレスと前記IPアドレスと前記ポート識別子との組み合わせにより特定される機器の接続状態により前記ネットワーク装置へのログイン可否を判断することを特徴とするネットワーク装置。
【請求項10】
請求項5記載のネットワーク装置であって、
前記ログイン制御モードでは、さらにIDとパスワードによるログイン認証を行うことを特徴とするネットワーク装置。
【請求項11】
ネットワーク装置であって、
IDとパスワードによる認証を行う第1の認証モードと、
隣接機器の接続状態による認証を行う第2の認証モードを有し、
第2の認証モードを設定された場合、他の機器からのログイン要求を受け付けると、前記隣接機器の接続状態を確認し、当該接続状態の結果に応じて前記ログイン要求を拒否するかを判断することを特徴とするネットワーク装置。
【請求項12】
請求項11記載のネットワーク装置であって、
前記接続状態の結果、前記ログイン要求を受け付ける判断をした場合、さらに、IDとパスワードの入力を受け付けることを特徴とするネットワーク装置。
【請求項13】
請求項11記載のネットワーク装置であって、
前記第2の認証モードでは、ログイン要求を受け付ける隣接機器の接続条件を複数設定できることを特徴とするネットワーク装置。
【請求項1】
ネットワーク装置であって、
複数のポートと、
前記ポートを介して通信を行う通信制御部と、
前記ポートを介して接続される機器の識別情報、接続状態を記憶する記憶部と、
第1の機器からのログイン要求を受け付けた場合、前記記憶部を参照し、特定の識別情報が示す第2の機器が前記ネットワーク装置に接続されてるかに基づき、前記ネットワーク装置へのログイン可否を判断するプロセッサを有することを特徴とするネットワーク装置。
【請求項2】
請求項1記載のネットワーク装置であって、
前記ネットワーク装置へのログイン可否の判断に利用する前記識別情報を複数設定できることを特徴とするネットワーク装置。
【請求項3】
請求項2記載のネットワーク装置であって、
前記ネットワーク装置へのログイン可否の判断に利用する前記識別情報の組み合わせにグループを設定し、複数のグループが設定されていた場合いずれかのグループが含む全ての前記識別情報が示す機器が接続されていれば前記ネットワーク装置へのログインを許可することを特徴とするネットワーク装置。
【請求項4】
請求項2記載のネットワーク装置であって、
前記記憶部は、前記接続される機器ごとに接続時間を記憶し、
前記プロセッサは、前記接続時間の長さに基づいて前記ネットワーク装置へのログイン可否を判断に利用する前記識別情報を選択することを特徴とするネットワーク装置。
【請求項5】
請求項1記載のネットワーク装置であって、
前記特定の識別情報が示す機器の接続状態により前記ネットワーク装置へのログイン可否を判断するログイン制御モードと、IDとパスワードのみでログイン可否を判断する通常モードとを切り替えられることを特徴とするネットワーク装置。
【請求項6】
請求項2記載のネットワーク装置であって、
前記プロセッサは、前記ネットワーク装置へのログイン可否の判断に利用する前記識別情報を設定する画面であって、前記ネットワーク装置へログインした機器に表示させる画面を生成し、前記識別情報の一部又は全てを他の文字に置き換えるまたは表示させないことを特徴とするネットワーク装置。
【請求項7】
請求項1記載のネットワーク装置であって、
前記識別情報はMACアドレスであり、
前記記憶部は、さらに前記ポートを介して接続される前記機器のIPアドレスを記憶し、
前記プロセッサは、前記MACアドレスと前記IPアドレスとの組み合わせにより特定される機器の接続状態により前記ネットワーク装置へのログイン可否を判断することを特徴とするネットワーク装置。
【請求項8】
請求項1記載のネットワーク装置であって、
前記識別情報はMACアドレスであり、
前記記憶部は、さらに前記機器が接続されるポートのポート識別子を記憶し、
前記プロセッサは、前記MACアドレスと前記ポート識別子との組み合わせにより特定される機器の接続状態により前記ネットワーク装置へのログイン可否を判断することを特徴とするネットワーク装置。
【請求項9】
請求項1記載のネットワーク装置であって、
前記識別情報はMACアドレスであり、
前記記憶部は、さらに前記ポートを介して接続される前記機器のIPアドレス、前記機器が接続されるポートのポート識別子を記憶し、
前記プロセッサは、前記MACアドレスと前記IPアドレスと前記ポート識別子との組み合わせにより特定される機器の接続状態により前記ネットワーク装置へのログイン可否を判断することを特徴とするネットワーク装置。
【請求項10】
請求項5記載のネットワーク装置であって、
前記ログイン制御モードでは、さらにIDとパスワードによるログイン認証を行うことを特徴とするネットワーク装置。
【請求項11】
ネットワーク装置であって、
IDとパスワードによる認証を行う第1の認証モードと、
隣接機器の接続状態による認証を行う第2の認証モードを有し、
第2の認証モードを設定された場合、他の機器からのログイン要求を受け付けると、前記隣接機器の接続状態を確認し、当該接続状態の結果に応じて前記ログイン要求を拒否するかを判断することを特徴とするネットワーク装置。
【請求項12】
請求項11記載のネットワーク装置であって、
前記接続状態の結果、前記ログイン要求を受け付ける判断をした場合、さらに、IDとパスワードの入力を受け付けることを特徴とするネットワーク装置。
【請求項13】
請求項11記載のネットワーク装置であって、
前記第2の認証モードでは、ログイン要求を受け付ける隣接機器の接続条件を複数設定できることを特徴とするネットワーク装置。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13a】
【図13b】
【図14a】
【図14b】
【図15a】
【図15b】
【図16a】
【図16b】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13a】
【図13b】
【図14a】
【図14b】
【図15a】
【図15b】
【図16a】
【図16b】
【公開番号】特開2012−108686(P2012−108686A)
【公開日】平成24年6月7日(2012.6.7)
【国際特許分類】
【出願番号】特願2010−256389(P2010−256389)
【出願日】平成22年11月17日(2010.11.17)
【出願人】(000005108)株式会社日立製作所 (27,607)
【Fターム(参考)】
【公開日】平成24年6月7日(2012.6.7)
【国際特許分類】
【出願日】平成22年11月17日(2010.11.17)
【出願人】(000005108)株式会社日立製作所 (27,607)
【Fターム(参考)】
[ Back to top ]