ネットワーク管理方法、ネットワーク管理プログラム、ネットワークシステム及び中継機器
【課題】簡易でかつセキュリティの高いMACアドレスベースVLANを形成することである。
【解決手段】ネットワーク管理方法は、ネットワーク管理装置100が、ネットワーク機器100を認証するための認証アカウントを予め格納するステップと、中継機器200が、ネットワーク機器100においてユーザにユーザアカウントの入力を促すよう指示するステップと、中継機器200が、ネットワーク機器300から、ユーザアカウント及びネットワーク機器300の機器識別情報を取得するステップと、中継機器200が、ネットワーク管理装置100に、ユーザアカウント及び機器識別情報を送信するステップと、ネットワーク管理装置100が、認証アカウント及びユーザアカウントに基づいて、ネットワーク機器300の認証を行う第1の認証ステップと、第1の認証ステップにおいて、ネットワーク機器300が認証された場合に、ネットワーク管理装置100が、機器識別情報を認証機器識別情報として格納するステップとを含む。
【解決手段】ネットワーク管理方法は、ネットワーク管理装置100が、ネットワーク機器100を認証するための認証アカウントを予め格納するステップと、中継機器200が、ネットワーク機器100においてユーザにユーザアカウントの入力を促すよう指示するステップと、中継機器200が、ネットワーク機器300から、ユーザアカウント及びネットワーク機器300の機器識別情報を取得するステップと、中継機器200が、ネットワーク管理装置100に、ユーザアカウント及び機器識別情報を送信するステップと、ネットワーク管理装置100が、認証アカウント及びユーザアカウントに基づいて、ネットワーク機器300の認証を行う第1の認証ステップと、第1の認証ステップにおいて、ネットワーク機器300が認証された場合に、ネットワーク管理装置100が、機器識別情報を認証機器識別情報として格納するステップとを含む。
【発明の詳細な説明】
【技術分野】
【0001】
本発明はネットワーク管理方法、ネットワーク管理プログラム、ネットワークシステム及び中継機器に関する。特に本発明は、簡易でかつセキュリティの高いMAC(Media Access Control)アドレスベースVLAN(Virtual Local Area Network)を形成することができる、ネットワーク管理方法、ネットワーク管理プログラム、ネットワークシステム及び中継機器に関する。
【背景技術】
【0002】
従来において、MACアドレスベースVLANを構築するネットワーク管理装置又は中継機器は、MACアドレスとVLANグループとが対応づけられて格納されるデータベースを有し、ネットワーク機器から受信した受信パケット内の送信元MACアドレスに基づいてネットワーク機器のVLANグループを認識し、ネットワーク機器のVLANグループを設定するシステムが知られている。このようなシステムを開示するものとしては、例えば特許第3784269号公報がある。
【先行技術文献】
【特許文献】
【0003】
【特許文献1】特許第3784269号公報
【発明の概要】
【発明が解決しようとする課題】
【0004】
ここで、このようなシステムを管理又は使用する者にとっては、可能な限り人為的処理を発生させずに、かつ、外部からの不正なアクセスを防止した高いセキュリティを実現することが重要である。
【0005】
そこで本発明は、上記の課題を解決することのできるネットワーク管理方法、ネットワーク管理プログラム、ネットワークシステム及び中継機器を提供することを目的とする。この目的は特許請求の範囲における独立項に記載の特徴の組み合わせにより達成される。また従属項は本発明の更なる有利な具体例を規定する。
【課題を解決するための手段】
【0006】
本発明の一態様に係るネットワーク管理方法は、ネットワーク機器と、当該ネットワーク機器を管理するネットワーク管理装置と、前記ネットワーク機器と前記ネットワーク管理装置とを接続する中継機器とを備えるコンピュータネットワークにおけるネットワーク管理方法であって、前記ネットワーク管理装置が、前記ネットワーク機器を認証するための認証アカウントを予め格納するステップと、前記中継機器が、前記ネットワーク機器においてユーザにユーザアカウントの入力を促すよう指示するステップと、前記中継機器が、前記ネットワーク機器から、前記ユーザアカウント及び当該ネットワーク機器の機器識別情報を取得するステップと、前記中継機器が、前記ネットワーク管理装置に、前記ユーザアカウント及び前記機器識別情報を送信するステップと、前記ネットワーク管理装置が、前記認証アカウント及び前記ユーザアカウントに基づいて、前記ネットワーク機器の認証を行う第1の認証ステップと、前記第1の認証ステップにおいて、前記ネットワーク機器が認証された場合に、前記ネットワーク管理装置が、前記機器識別情報を認証機器識別情報として格納するステップとを含む。
【0007】
かかる態様によれば、ネットワーク機器が認証アカウント及びユーザアカウントに基づいて認証されることを条件として、ネットワーク管理装置が機器識別情報を格納するので、ネットワーク機器の機器識別情報を予め登録する手間が省けるだけでなく、機器識別情報を格納するまでの間において、許可していない不正な進入を防止することができる。したがって、簡易でかつセキュリティの高いネットワーク管理方法を提供することができる。
【0008】
上記方法において、前記機器識別情報を格納するステップの後に、前記中継機器が、前記ネットワーク機器から当該ネットワーク機器の機器識別情報である被認証機器識別情報を取得するステップと、前記中継機器が、前記ネットワーク管理装置に、前記被認証機器識別情報を送信するステップと、前記ネットワーク管理装置が、前記認証機器識別情報及び前記被認証機器識別情報に基づいて、前記ネットワーク機器の認証を行う第2の認証ステップとをさらに含んでもよい。
【0009】
上記方法において、前記被認証機器識別情報を取得するステップの前に、前記ネットワーク機器が前記中継機器に、前記ネットワーク管理装置において前記第2の認証ステップを行うよう要求するステップをさらに含んでもよい。
【0010】
上記方法において、前記認証アカウントを予め格納するステップは、前記認証アカウントを所定のVLANグループに対応づけて格納することを含み、前記第2の認証ステップの後に、前記第2の認証ステップにおいて、前記ネットワーク機器が認証された場合に、前記ネットワーク管理装置が、前記ネットワーク機器に当該ネットワーク機器に対応するVLANグループを設定するステップをさらに含んでもよい。
【0011】
上記方法において、前記中継機器がユーザに指示するステップは、前記ネットワーク機器が前記中継機器に、前記ネットワーク管理装置において前記第1の認証ステップを行うよう要求した場合に行われてもよい。
【0012】
上記方法において、前記認証アカウントは、複数のユーザにおいて共有されるアカウントであってもよい。
【0013】
上記方法において、前記機器識別情報は、前記ネットワーク機器のMACアドレスであってもよい。
【0014】
本発明の一態様に係るネットワーク管理プログラムは、いずれかの上記ネットワーク管理方法をコンピュータに実行させるものである。
【0015】
本発明の一態様に係るネットワークシステムは、ネットワーク機器と、当該ネットワーク機器を管理するネットワーク管理装置と、前記ネットワーク機器と前記ネットワーク管理装置とを接続する中継機器とを備え、前記中継機器は、前記ネットワーク機器においてユーザにユーザアカウントの入力を促すよう指示する指示部と、前記ネットワーク機器から、前記ユーザアカウント及び当該ネットワーク機器の機器識別情報を取得する取得部と、前記中継機器が、前記ネットワーク管理装置に、前記ユーザアカウント及び前記機器識別情報を送信する送信部とを備え、前記ネットワーク管理装置は、前記ネットワーク機器を認証するための認証アカウントを予め格納する認証アカウント記憶部と、前記認証アカウント及び前記ユーザアカウントに基づいて、前記ネットワーク機器の認証を行う第1の認証実行部と、前記第1の認証実行部において、前記ネットワーク機器が認証された場合に、前記ネットワーク管理装置が、前記機器識別情報を認証機器識別情報として格納する認証機器識別情報記憶部とを備える。
【0016】
かかる態様によれば、ネットワーク機器が認証アカウント及びユーザアカウントに基づいて認証されることを条件として、ネットワーク管理装置が機器識別情報を格納するので、ネットワーク機器の機器識別情報を予め登録する手間が省けるだけでなく、機器識別情報を格納するまでの間において、許可していない不正な進入を防止することができる。したがって、簡易でかつセキュリティの高いネットワークシステムを提供することができる。
【0017】
上記システムにおいて、前記中継機器の前記取得部は、前記ネットワーク機器から当該ネットワーク機器の機器識別情報である被認証機器識別情報を取得し、前記ネットワーク管理装置は、前記認証機器識別情報及び前記被認証機器識別情報に基づいて、前記ネットワーク機器の認証を行う第2の認証実行部とをさらに備えてもよい。
【0018】
本発明の一態様に係る中継機器は、ネットワーク機器と当該ネットワーク機器を管理するネットワーク管理装置とを接続する中継機器であって、前記ネットワーク機器を認証するための認証アカウントを予め格納する認証アカウント記憶部と、前記ネットワーク機器においてユーザにユーザアカウントの入力を促すよう指示する指示部と、前記ネットワーク機器から、前記ユーザアカウント及び当該ネットワーク機器の機器識別情報を取得する取得部と、前記認証アカウント及び前記ユーザアカウントに基づいて、前記ネットワーク機器の認証を行う第1の認証実行部と、前記第1の認証実行部において、前記ネットワーク機器が認証された場合に、前記機器識別情報を認証機器識別情報として格納する認証機器識別情報記憶部とを備える。
【0019】
かかる態様によれば、ネットワーク機器が認証アカウント及びユーザアカウントに基づいて認証されることを条件として、中継機器が機器識別情報を格納するので、ネットワーク機器の機器識別情報を予め登録する手間が省けるだけでなく、機器識別情報を格納するまでの間において、許可していない不正な進入を防止することができる。したがって、簡易でかつセキュリティの高い中継機器を提供することができる。
【0020】
上記中継機器において、前記取得部は、前記ネットワーク機器から当該ネットワーク機器の機器識別情報である被認証機器識別情報を取得し、前記中継機器が、前記認証機器識別情報及び前記被認証機器識別情報に基づいて、前記ネットワーク機器の認証を行う第2の認証実行部をさらに備えてもよい。
【図面の簡単な説明】
【0021】
【図1】本発明の一実施形態に係るネットワークシステムを示す図である。
【図2】本発明の一実施形態に係るネットワーク管理装置のハードウェアの構成を示す図である。
【図3】本発明の一実施形態に係るネットワークシステムの構成を示す図である。
【図4】本発明の一実施形態に係るネットワーク管理方法を説明するためのシーケンス図である。
【図5】本発明の一実施形態に係るネットワーク管理装置に格納されるデータベースを示す図である。
【図6】本発明の一実施形態に係るネットワーク管理方法のフロー図である。
【図7】本発明の一実施形態に係るネットワーク管理方法のフロー図である。
【図8】本発明の他の実施形態に係る中継機器の構成を示す図である。
【発明を実施するための形態】
【0022】
以下、図面を参照しつつ、発明の実施形態を通じて本発明を説明するが、以下の実施形態は特許請求の範囲に係る発明を限定するものではなく、また、実施形態の中で説明されている特徴の組み合わせのすべてが発明の解決手段に必須であるとは限らない。
【0023】
図1は、本発明の一実施形態に係るコンピュータネットワークシステムを示す図である。本実施形態に係るコンピュータネットワークシステム1000は、ネットワークにおいて通信を行うネットワーク機器300a、300b、300c及び300dと、ネットワーク機器300a〜dを管理するネットワーク管理装置100と、ネットワーク機器300a〜dとネットワーク管理装置100とを接続する中継機器200a及び200bとを備える。
【0024】
ネットワーク機器300a〜dは例えば汎用のコンピュータ端末であってもよい。また、ネットワーク機器300a〜dは、自らが中継機器200a及び200b又はネットワーク管理装置100にアクセスする(例えば認証の要求を行う)ことができる機器であってもよいし、自らは中継機器200a及び200b又はネットワーク管理装置100にアクセスすることができない機器(例えばネットワークプリンタ等)であってもよい。
【0025】
ネットワーク管理装置100は、中継機器200a及び200bを介して、ネットワーク機器300a〜dからの機器識別情報の一例であるMACアドレスを受信する。また、ネットワーク管理装置100は、中継機器200a及び200bを介してネットワーク機器300a〜dに入力されたユーザアカウントを受信し、また中継機器200a及び200bを介して認証結果の通知をネットワーク機器300a〜dに送信する。
【0026】
ネットワーク管理装置100は、ネットワーク機器300a〜dのVLANグループを設定する。このとき、ネットワーク管理装置100は、ネットワーク機器300a〜dが接続された中継機器200a及び200bの接続ポート201a、203a、201b及び203bを、ネットワーク機器300a〜dのそれぞれが属すべきVLANグループに設定することにより、ネットワーク機器300a〜dがそれぞれのVLANグループにおいて通信することを可能にする。
【0027】
中継機器200a及び200bは、ネットワーク機器300a〜dと無線で通信を行う無線中継機器であってもよい。無線中継機器により構成されたコンピュータネットワークシステムにおいて、MACアドレスベースVLANを形成することにより、ネットワーク機器は、ネットワーク機器の使用場所を移動された場合においても、ネットワーク機器の設定が変更されることなく、所定のVLANグループにおける通信が可能である。
【0028】
また、図1に示す例とは別に、ネットワーク管理装置100と中継機器200a及び200bとを接続する他の中継機器、又は、中継機器200a及び200bとネットワーク機器300a〜dとを接続する他の中継機器が存在してもよい。
【0029】
また、例えば中継機器200aの接続ポート201a及び203aが複数のVLAN、例えばVLAN1及びVLAN2において通信できるように設定することにより、中継機器200aに接続されたネットワーク機器300a及び300bがVLAN1又はVLAN2において通信することを可能としてもよい。
【0030】
また、本実施形態によるコンピュータネットワークシステムは、イーサネットフレームにVLANを識別するタグを付加し、タグの情報に基づいてVLANを分割するタギングVLAN、又は任意の接続ポートを複数のVLANグループに所属させるマルチプルVLANを、本実施形態のMACアドレスベースVLANと組み合わせて用いてもよい。
【0031】
図2は、本実施形態に係るネットワーク管理装置100のハードウェア構成を示す図である。ネットワーク管理装置100には、例えば図2に示すようなCPU1011、ROM102、RAM103、通信I/F104、表示装置105、入力装置106、HDD107、FDドライブ108及びCD−ROMドライブ109を備えるコンピュータを適用することができる。
【0032】
ネットワーク管理装置100は、例えばCPU102が、上記したROM104、RAM106、外部記憶装置108などに記憶された又はネットワークを介してダウンロードされた所定のプログラム(本実施形態に係るネットワーク管理方法を規定したプログラム)を実行することにより、システム1000を後述の各種機能ブロック又は各種ステップとして機能させることができる。CPU102が実行するプログラムは、FD108a、CD−ROM109a等の記録媒体に格納された又はネットワークを介してROM102又はRAM103等のメモリにダウンロードされた所定のプログラム(本実施形態に係るネットワーク管理方法を規定したプログラム)を実行することにより、システム1000を後述の各種機能ブロック又は各種ステップとして機能させることができる。格納された又はダウンロードされたプログラムは圧縮されていても非圧縮であってもよい。プログラムは記録媒体又はメモリからHDD107にインストールされ、RAM103に読み出されてCPU101により実行される。なお、本実施形態に係るネットワーク管理方法を規定したプログラムがコンピュータに働きかけてCPU101に行わせる処理は、それぞれ本実施形態のシステム又は方法における、対応する部材の機能及び動作と同一である。
【0033】
図2に示した、記録媒体の一例としてのFD108a、CD−ROM109aには、本出願で説明する全ての実施形態におけるシステム1000の動作の一部又は全ての機能を格納することができる。
【0034】
これらのプログラムは記録媒体から直接RAMに読み出されて実行されても、一旦ハードディスクドライブにインストールされた後にRAMに読み出されて実行されてもよい。更に、上記プログラムは単一の記録媒体に格納されても複数の記録媒体に格納されてもよい。また、符号化した形態で格納されていてもよい。
【0035】
記録媒体としては、FD、CD−ROMの他にも、DVD、PD等の光学記録媒体、MD等の光磁気記録媒体、テープ媒体、磁気記録媒体、ICカードやミニチュアーカードなどの半導体メモリ等を用いることができる。また、専用通信ネットワークやインターネットに接続されたサーバシステムに設けたハードディスクまたはRAM等の格納装置を記録媒体として使用し、通信網を介してプログラムをシステムに提供してもよい。このような記録媒体は、システムを製造するためのみに使用されるものであり、そのような記録媒体の業としての製造および販売等が本出願に基づく特許権の侵害を構成することは明らかである。
【0036】
図3は、本実施形態に係るシステム1000の構成を示す図である。図3に示す例においては、ネットワーク管理装置100は、中継機器200との間で必要なデータ送受信を行い、本実施形態に係るネットワーク管理方法を実行するために必要な制御を行う制御部110と、ユーザが入力するユーザアカウントに対する認証を行うための認証アカウントを予め格納する認証アカウント記憶部120と、ネットワーク機器300の被認証機器識別情報に対する認証を行うための認証機器識別情報を格納する認証機器識別情報記憶部130とを備える。制御部110は、各記憶部からデータを読み出し又は各記憶部へデータを書き込むことができるように構成されている。
【0037】
認証アカウント記憶部120は、管理者により決められた所定の認証アカウントを格納する。この認証アカウントは、複数のネットワーク機器300の複数の機器識別情報ごとに対応し得るものであってもよい。すなわち、1つの認証アカウントについて複数の機器識別情報が対応し得るように設定してもよい。また、認証アカウントは、認証アカウント記憶部120に、ネットワーク機器300が属するべき所定のVLANグループに対応づけられて格納されてもよい。この場合、認証アカウント記憶部120は、ユーザID、パスワード及びVLANIDがそれぞれ対応づけられたデータベースを有していてもよい。認証アカウントをネットワーク機器が属するべきVLANグループごとに登録することにより、ユーザがログインしたユーザアカウントごとにネットワーク機器にVLANが割り当てられるので、VLANグループの管理が容易になる。なお、認証アカウントは、複数のユーザで共有されてもよいし、ユーザ単位で決められてもよい。
【0038】
認証機器識別情報記憶部130は、ネットワーク機器の機器識別情報の一例であるMACアドレスを格納する。認証機器識別情報記憶部130に格納されるMACアドレスは、ネットワーク機器300の認証に用いられるので認証MACアドレスと呼ぶことができる。認証機器識別情報記憶部130は、認証MACアドレスに基づいてユーザID及びパスワードを生成してもよい。認証機器識別情報記憶部130は、認証MACアドレスを認証アカウントに対応づけて格納してもよい。この場合、認証MACアドレスは、認証アカウントに直接的に対応づけられて格納されてもよいし、認証アカウントに間接的、すなわち認証アカウントに対応づけられているVLANIDに対応づけられて格納されてもよい。
【0039】
中継機器200は、ネットワーク機器300においてユーザにユーザアカウントの入力を促すよう指示する指示部210を備える。指示部210は、ネットワーク機器300が中継機器200に、ネットワーク管理装置100において認証アカウント及びユーザアカウントに基づく認証を行うよう要求した場合に処理を行う。具体的には、中継機器200は当該中継機器200にネットワーク機器300からアクセス(例えばWebブラウザによるアクセス)があった場合、ネットワーク機器300にログイン表示を送る。すなわち、中継機器200は、ネットワーク機器300においてユーザにWeb認証を行うよう指示する。
【0040】
また、中継機器200は、ネットワーク機器300から、ユーザが入力したユーザアカウント及びネットワーク機器300の機器識別情報を取得する取得部212と、ネットワーク管理装置100に、ユーザが入力したユーザアカウント及びネットワーク機器300の機器識別情報を送信する送信部214とをさらに備える。
【0041】
一方、ネットワーク管理装置100の第1の認証実行部112は、ネットワーク機器300に入力されたユーザアカウント、及び、認証アカウント記憶部120に予め格納された認証アカウントに基づいて第1の認証を行う。具体的には、予め格納されている所定の認証アカウントを認証アカウント記憶部120から読み出し、当該認証アカウントと、ネットワーク機器300に入力されたユーザアカウントとが対応するか否かを認証する。その結果、両者のアカウントが対応すると判断した場合には、予め管理者が認めた正当なアクセスであると判断して、ネットワーク機器300のMACアドレスを中継機器200を介して受信し、当該MACアドレスを認証MACアドレスとして認証機器識別情報記憶部130に格納する。このとき、認証MACアドレスは認証アカウントに対応づけて格納される。また、第1の認証実行部112は、認証成立の場合には、その旨を中継機器200及びネットワーク機器300に通知する。
【0042】
他方、ネットワーク管理装置100の第2の認証実行部114は、ネットワーク機器300が中継機器200に、ネットワーク管理装置100において認証MACアドレス及び被認証MACアドレスに基づいて認証を行うよう要求した場合に処理を行う。言い換えれば、第2の認証実行部114は、ネットワーク機器300からネットワーク管理装置100にアクセス(例えば任意のプロトコルによるアクセス)があった場合、ネットワーク機器300についていわゆるMACアドレスベース認証を実行する。その結果、両者のMACアドレスが対応すると判断した場合には、正当なアクセスであると判断して、認証成立の旨を中継機器200及びネットワーク機器300に通知する。そして、ネットワーク機器300に被認証MACアドレスに対応づけられたVLANグループを設定し、当該VLANグループに基づいて以後の通信を許可する。
【0043】
本実施形態に係るシステムによれば、ユーザがアカウントのログインを行い、ログインされたネットワーク機器のMACアドレスをMACアドレスベース認証の認証MACアドレスとして格納することにより、以後、ユーザがMACアドレスを入力することなく、自動でMACアドレスベース認証を実行することができる。これにより、ネットワーク管理者は、ネットワーク管理装置にネットワーク機器のMACアドレスを予め登録することなく、簡易にMACアドレスベースVLANを形成することができる。他方、ネットワーク機器のMACアドレスの格納は、アカウントのログインにより認証されることが条件となるため、VLANへの許可していない不正な進入を防ぐことができる。すなわち、MACアドレスをMACアドレスベース認証の認証MACアドレスとして格納するまでの間のセキュリティを向上させることができる。
【0044】
また、ネットワーク管理者は、例えば複数ユーザで共有されるアカウントを認証アカウントとしてネットワーク管理装置に登録するので足りるため、ユーザごとのアカウントやMACアドレスを登録及び管理する必要がなく、簡易なシステムを構築することができる。
【0045】
また、認証アカウントをVLANグループごとに設定することにより、Web認証等でユーザがログインしたユーザアカウントに応じて、MACアドレスベース認証によりダイナミックVLANでVLANを設定することができる。
【0046】
次に図4〜図7を参照して、本発明の一実施形態に係るネットワーク管理方法について説明する。ここで、図4は、本発明の一実施形態に係るネットワーク管理方法を説明するためのシーケンス図である。また、図5は、本発明の一実施形態に係るネットワーク管理装置に格納されるデータベースを示す図である。また、図6及び図7は、図4のシーケンス図の一部のフロー図である。以下、上記したシステム1000を適用して、本実施形態のネットワーク管理方法を実行した場合を例として説明する。なお、以下に説明する各ステップ(符号が付されたステップのみならず、当該符号が付されたステップの部分的なステップを含む)は処理内容に矛盾を生じない範囲で任意に順番を変更して又は並列に実行することができる。
【0047】
まず、ネットワーク管理装置100は、ユーザが入力するユーザアカウントに対する認証を行うための認証アカウントを予め格納する(S100)。
【0048】
次に、ユーザが所定のネットワーク機器300を用いて、当該ネットワーク機器300から中継機器200に、認証アカウント及びユーザアカウントに基づいて認証するよう要求する(S101)。具体的には、ユーザが、ネットワーク機器300によってネットワーク上の中継機器200にWebブラウザでアクセスする。次に、中継機器200は、ネットワーク機器300からの要求に基づいて、ネットワーク機器300においてユーザにアカウントの入力を促すよう、当該ネットワーク機器300に指示する(S103)。この場合、中継機器200がネットワーク機器300にユーザアカウントを入力してログインするためのログイン表示を送ってもよい。なお、ステップS103は、上記した中継機器200の指示部210によって行うことができる。
【0049】
次に、ユーザは、ネットワーク機器300のログイン表示に従い、ユーザアカウントを入力する(S105)。具体的には、ユーザは、予め管理者から知得したユーザID及びパスワードをネットワーク機器300に入力する。中継機器200は、ネットワーク機器300から、ユーザアカウント及びネットワーク機器300の機器識別情報の一例であるMACアドレスを取得し、また、ユーザアカウント及びMACアドレスをネットワーク管理装置100に送信する(S107)。ネットワーク管理装置100の取得部212及び送信部214が、ユーザアカウント及びMACアドレスの取得及び送信を行ってもよい。ここで、ネットワーク管理装置100が取得するMACアドレスは、ステップS101で要求があったネットワーク機器のMACアドレスであってもよいし、あるいはステップS101で要求があったネットワーク機器とは異なるネットワーク機器のMACアドレスであってもよい。後者の場合、自らが中継機器200又はネットワーク管理装置100にアクセスできない機器に対しても、本実施形態に係るネットワーク管理方法を適用することが可能となる。
【0050】
次に、図4及び図6に示すように、ネットワーク管理装置100は、中継機器200を介してネットワーク機器300から取得したユーザアカウント、及び、認証アカウント記憶部120に予め格納された認証アカウントに基づいて第1の認証を行う(S109)。これにより、ネットワーク機器300が認証された場合、ネットワーク管理装置100は、当該ネットワーク機器300のMACアドレスを認証MACアドレスとして認証機器識別情報記憶部130に格納する(S111)。また、認証成立である旨を中継機器200及びネットワーク機器300に通知する(S113)。他方、ネットワーク機器300が認証されなかった場合、ネットワーク管理装置100は、管理者に認められていない不正なアクセスであると判断して、当該ネットワーク機器300のMACアドレスを格納することなく、認証不成立である旨を中継機器200及びネットワーク機器300に通知する(S114)。なお、かかる第1の認証は、例えば上記した第1の認証実行部112により行うことができる。
【0051】
認証MACアドレスは、認証アカウントに対応づけられて認証アカウント記憶部120に格納される。この場合、ネットワーク管理装置100は、認証アカウント記憶部120及び認証機器識別情報記憶部130によって、認証アカウント及び認証MACアドレスを対応づけたデータベース140を生成してもよい(図5参照)。かかるデータベース140は、図5に示すように、ユーザID、パスワード及びVLANIDの各フィールドを有する。ここで、VLANIDフィールドはVLANの種類を識別する情報を格納し、ユーザIDフィールドはネットワーク機器のユーザの識別情報であるユーザ識別情報を格納し、パスワードフィールドはユーザ識別情報で識別されるユーザを認証するためのパスワードを格納するものである。ユーザIDフィールドには、システムの管理者によって予め登録される認証アカウント(例えば「Aaa」)と、認証アカウント及びユーザアカウントに基づいて行われる第1の認証時に格納される認証MACアドレスが(例えば「xx:xx:xx:xx:xx:xx」)として格納されている。システムの管理者によって予め登録される認証アカウントには、VLANグループ(例えばVLAN1又はVLAN2)が設定されており、当該VLANグループに対応づけて認証MACアドレスが格納されている。
【0052】
本実施形態に係る方法によれば、ネットワーク機器において入力されたユーザID及びパスワードを、予め登録されたユーザID及びパスワードを用いて認証し、認証されたネットワーク機器が有するMACアドレスを登録することができる。そのため、ネットワーク管理者は、複雑な文字列であるMACアドレスをデータベースに登録する代わりに、ユーザID及びパスワードを登録することによって、MACアドレスベースVLANを形成することができる。
【0053】
次に、ユーザは、認証アカウント及びユーザアカウントに基づく第1の認証が成立した旨の通知を受けたネットワーク機器300において、ログアウト又は再起動を行う(S115)。そして、ユーザがネットワーク機器300を用いて、当該ネットワーク機器300から中継機器200及びネットワーク管理装置100にMACアドレスベース認証をするよう要求する。具体的には、ユーザが、ネットワーク機器300によってネットワーク上の中継機器200及びネットワーク管理装置100に任意のプロトコルでアクセスする。これにより、中継機器200は、例えば取得部212によってネットワーク機器300から当該ネットワーク機器300の被認証MACアドレスを取得し、例えば送信部214によって当該被認証MACアドレスをネットワーク管理装置100に送信する。ここで、ネットワーク管理装置100に送信される被認証MACアドレスは、ステップS117で要求があったネットワーク機器のMACアドレスであってもよいし、あるいはステップS117で要求があったネットワーク機器とは異なるネットワーク機器のMACアドレスであってもよい。
【0054】
次に、図4及び図7に示すように、ネットワーク管理装置100は、中継機器200を介して受信したネットワーク機器300の被認証MACアドレス、及び、認証アカウント記憶部120に格納された認証MACアドレスに基づいて第2の認証を行う(S123)。これにより、ネットワーク機器300が認証された場合、ネットワーク管理装置100は、認証成立である旨を中継機器200及びネットワーク機器300に通知し、図5に示した認証MACアドレスに対応づけられたVLANを設定する(S125)。こうして、以後、ユーザが認証されたネットワーク機器300を用いてVLANにより通信すると(S127)、ネットワーク管理装置100によってかかる通信が許可される。他方、ネットワーク機器300が認証されなかった場合、ネットワーク管理装置100は、管理者に認められていない不正なアクセスであると判断して、認証不成立である旨を中継機器200及びネットワーク機器300に通知する(S126)。こうして、VLANへの許可していない不正な進入を防ぐことができる。なお、かかる第2の認証は、例えば上記した第2の認証実行部114により行うことができる。
【0055】
なお、ネットワーク機器がVLANにおいて通信が可能な有効期限が予め定められており、ネットワーク管理装置100は、予め定められた有効期限が経過したネットワーク機器の認証MACアドレスをデータベースから削除してもよい。また、ネットワーク機器のユーザが登録削除の申請を行うことによって、ネットワーク管理者が、登録削除の申請が行われたネットワーク機器のMACアドレスをデータベースから削除してもよい。これによれば、ユーザがVLANの再設定を要求する場合には、再度、ユーザアカウント及び認証アカウントに基づく認証を受けることが必要となるのでセキュリティをさらに向上させることができる。
【0056】
本実施形態に係るネットワーク管理方法によれば、ユーザがアカウントのログインを行い、ログインされたネットワーク機器のMACアドレスをMACアドレスベース認証の認証MACアドレスとして格納することにより、以後、ユーザがMACアドレスを入力することなく、自動でMACアドレスベース認証を実行することができる。これにより、ネットワーク管理者は、ネットワーク管理装置にネットワーク機器のMACアドレスを予め登録することがないため、簡易にMACアドレスベースVLANを形成することができる。他方、ネットワーク機器のMACアドレスの格納は、アカウントのログインにより認証されたことが条件となるため、VLANへの許可していない不正な進入を防ぐことができる。すなわち、MACアドレスをMACアドレスベース認証の認証MACアドレスとして格納するまでの間のセキュリティを向上させることができる。
【0057】
また、ユーザにおいてネットワーク機器を変更する必要が生じた場合、変更後のネットワーク機器において、ユーザアカウント及び認証アカウントに基づく第1の認証と、認証MACアドレス及び被認証MACアドレスに基づく第2の認証を行えば足りるので、管理者への通信許可のための申請や管理者のアカウント登録の手間がなく、簡易かつセキュリティの高い方法でシステムを利用することができる。
【0058】
なお、上記した本実施形態に係るシステム又は方法の変形例として、MACアドレス詐称を防止するため、中継機器200のDHCP(Dynamic Host Configuration Protocol)スヌーピング機能を合わせて適用してもよい。すなわち、中継機器200又はネットワーク管理装置100の制御部110が、DHCPフレームを監視し、正しいDHCPサーバが割り当てたIPアドレス及びMACアドレスの組を備える通信のみを許可してもよい。
【0059】
また、本実施形態に係るユーザアカウント及び認証アカウントに基づく第1の認証が認証成功であったときに、認証されたネットワーク機器のウィルスチェックや資産情報収集及び管理を行ってもよい。この場合、認証MACアドレスに基づいて割り振られるVLANグループとして、ウィルスチェック用VLANグループ又は資産情報管理用VLANグループを予め設定し、ウィルスチェック又は資産情報管理が求められるネットワーク機器に対して、MACアドレスベース認証によりかかる目的に応じたVLANグループを割り振ってもよい。
【0060】
次に、本発明の他の実施形態に係る中継機器について説明する。図8に示すように、本例において中継機器500は、ネットワーク機器300とネットワーク管理装置400とを接続して設けられており、上記した第1の認証実行部112、第2の認証実行部114、認証アカウント記憶部120及び認証機器識別情報記憶部130のそれぞれと同様の機能を備える機能ブロックを内蔵する。すなわち、中継機器500は、上記した指示部210及び取得部212に加えて、第1の認証実行部516及び第2の認証実行部518を含む制御部510と、認証アカウント記憶部520と、認証機器識別情報記憶部530とを備える。それらの機能ブロックの構成及び動作については、当該機能ブロックがネットワーク管理装置400ではなく中継機器500に内蔵されている点及びこれに伴うデータ送信元及び送信先が変更する点を除いて、既に説明した内容を適用することができる。
【0061】
本例においても既に説明したとおり、簡易でかつセキュリティの高いシステム及び方法を提供することができる。
【0062】
上記発明の実施形態を通じて説明された実施例や応用例は、用途に応じて適宜に組み合わせて、又は変更若しくは改良を加えて用いることができ、本発明は上述した実施形態の記載に限定されるものではない。そのような組み合わせ又は変更若しくは改良を加えた形態も本発明の技術的範囲に含まれ得ることが、特許請求の範囲の記載から明らかである。
【符号の説明】
【0063】
100・・・ネットワーク管理装置
112・・・第1の認証実行部
114・・・第2の認証実行部
120・・・認証アカウント記憶部
130・・・認証機器識別情報記憶部
200・・・中継機器
210・・・指示部
212・・・取得部
214・・・送信部
300・・・ネットワーク機器
400・・・ネットワーク管理装置
500・・・中継機器
516・・・第1の認証実行部
518・・・第2の認証実行部
520・・・認証アカウント記憶部
530・・・認証機器識別情報記憶部
【技術分野】
【0001】
本発明はネットワーク管理方法、ネットワーク管理プログラム、ネットワークシステム及び中継機器に関する。特に本発明は、簡易でかつセキュリティの高いMAC(Media Access Control)アドレスベースVLAN(Virtual Local Area Network)を形成することができる、ネットワーク管理方法、ネットワーク管理プログラム、ネットワークシステム及び中継機器に関する。
【背景技術】
【0002】
従来において、MACアドレスベースVLANを構築するネットワーク管理装置又は中継機器は、MACアドレスとVLANグループとが対応づけられて格納されるデータベースを有し、ネットワーク機器から受信した受信パケット内の送信元MACアドレスに基づいてネットワーク機器のVLANグループを認識し、ネットワーク機器のVLANグループを設定するシステムが知られている。このようなシステムを開示するものとしては、例えば特許第3784269号公報がある。
【先行技術文献】
【特許文献】
【0003】
【特許文献1】特許第3784269号公報
【発明の概要】
【発明が解決しようとする課題】
【0004】
ここで、このようなシステムを管理又は使用する者にとっては、可能な限り人為的処理を発生させずに、かつ、外部からの不正なアクセスを防止した高いセキュリティを実現することが重要である。
【0005】
そこで本発明は、上記の課題を解決することのできるネットワーク管理方法、ネットワーク管理プログラム、ネットワークシステム及び中継機器を提供することを目的とする。この目的は特許請求の範囲における独立項に記載の特徴の組み合わせにより達成される。また従属項は本発明の更なる有利な具体例を規定する。
【課題を解決するための手段】
【0006】
本発明の一態様に係るネットワーク管理方法は、ネットワーク機器と、当該ネットワーク機器を管理するネットワーク管理装置と、前記ネットワーク機器と前記ネットワーク管理装置とを接続する中継機器とを備えるコンピュータネットワークにおけるネットワーク管理方法であって、前記ネットワーク管理装置が、前記ネットワーク機器を認証するための認証アカウントを予め格納するステップと、前記中継機器が、前記ネットワーク機器においてユーザにユーザアカウントの入力を促すよう指示するステップと、前記中継機器が、前記ネットワーク機器から、前記ユーザアカウント及び当該ネットワーク機器の機器識別情報を取得するステップと、前記中継機器が、前記ネットワーク管理装置に、前記ユーザアカウント及び前記機器識別情報を送信するステップと、前記ネットワーク管理装置が、前記認証アカウント及び前記ユーザアカウントに基づいて、前記ネットワーク機器の認証を行う第1の認証ステップと、前記第1の認証ステップにおいて、前記ネットワーク機器が認証された場合に、前記ネットワーク管理装置が、前記機器識別情報を認証機器識別情報として格納するステップとを含む。
【0007】
かかる態様によれば、ネットワーク機器が認証アカウント及びユーザアカウントに基づいて認証されることを条件として、ネットワーク管理装置が機器識別情報を格納するので、ネットワーク機器の機器識別情報を予め登録する手間が省けるだけでなく、機器識別情報を格納するまでの間において、許可していない不正な進入を防止することができる。したがって、簡易でかつセキュリティの高いネットワーク管理方法を提供することができる。
【0008】
上記方法において、前記機器識別情報を格納するステップの後に、前記中継機器が、前記ネットワーク機器から当該ネットワーク機器の機器識別情報である被認証機器識別情報を取得するステップと、前記中継機器が、前記ネットワーク管理装置に、前記被認証機器識別情報を送信するステップと、前記ネットワーク管理装置が、前記認証機器識別情報及び前記被認証機器識別情報に基づいて、前記ネットワーク機器の認証を行う第2の認証ステップとをさらに含んでもよい。
【0009】
上記方法において、前記被認証機器識別情報を取得するステップの前に、前記ネットワーク機器が前記中継機器に、前記ネットワーク管理装置において前記第2の認証ステップを行うよう要求するステップをさらに含んでもよい。
【0010】
上記方法において、前記認証アカウントを予め格納するステップは、前記認証アカウントを所定のVLANグループに対応づけて格納することを含み、前記第2の認証ステップの後に、前記第2の認証ステップにおいて、前記ネットワーク機器が認証された場合に、前記ネットワーク管理装置が、前記ネットワーク機器に当該ネットワーク機器に対応するVLANグループを設定するステップをさらに含んでもよい。
【0011】
上記方法において、前記中継機器がユーザに指示するステップは、前記ネットワーク機器が前記中継機器に、前記ネットワーク管理装置において前記第1の認証ステップを行うよう要求した場合に行われてもよい。
【0012】
上記方法において、前記認証アカウントは、複数のユーザにおいて共有されるアカウントであってもよい。
【0013】
上記方法において、前記機器識別情報は、前記ネットワーク機器のMACアドレスであってもよい。
【0014】
本発明の一態様に係るネットワーク管理プログラムは、いずれかの上記ネットワーク管理方法をコンピュータに実行させるものである。
【0015】
本発明の一態様に係るネットワークシステムは、ネットワーク機器と、当該ネットワーク機器を管理するネットワーク管理装置と、前記ネットワーク機器と前記ネットワーク管理装置とを接続する中継機器とを備え、前記中継機器は、前記ネットワーク機器においてユーザにユーザアカウントの入力を促すよう指示する指示部と、前記ネットワーク機器から、前記ユーザアカウント及び当該ネットワーク機器の機器識別情報を取得する取得部と、前記中継機器が、前記ネットワーク管理装置に、前記ユーザアカウント及び前記機器識別情報を送信する送信部とを備え、前記ネットワーク管理装置は、前記ネットワーク機器を認証するための認証アカウントを予め格納する認証アカウント記憶部と、前記認証アカウント及び前記ユーザアカウントに基づいて、前記ネットワーク機器の認証を行う第1の認証実行部と、前記第1の認証実行部において、前記ネットワーク機器が認証された場合に、前記ネットワーク管理装置が、前記機器識別情報を認証機器識別情報として格納する認証機器識別情報記憶部とを備える。
【0016】
かかる態様によれば、ネットワーク機器が認証アカウント及びユーザアカウントに基づいて認証されることを条件として、ネットワーク管理装置が機器識別情報を格納するので、ネットワーク機器の機器識別情報を予め登録する手間が省けるだけでなく、機器識別情報を格納するまでの間において、許可していない不正な進入を防止することができる。したがって、簡易でかつセキュリティの高いネットワークシステムを提供することができる。
【0017】
上記システムにおいて、前記中継機器の前記取得部は、前記ネットワーク機器から当該ネットワーク機器の機器識別情報である被認証機器識別情報を取得し、前記ネットワーク管理装置は、前記認証機器識別情報及び前記被認証機器識別情報に基づいて、前記ネットワーク機器の認証を行う第2の認証実行部とをさらに備えてもよい。
【0018】
本発明の一態様に係る中継機器は、ネットワーク機器と当該ネットワーク機器を管理するネットワーク管理装置とを接続する中継機器であって、前記ネットワーク機器を認証するための認証アカウントを予め格納する認証アカウント記憶部と、前記ネットワーク機器においてユーザにユーザアカウントの入力を促すよう指示する指示部と、前記ネットワーク機器から、前記ユーザアカウント及び当該ネットワーク機器の機器識別情報を取得する取得部と、前記認証アカウント及び前記ユーザアカウントに基づいて、前記ネットワーク機器の認証を行う第1の認証実行部と、前記第1の認証実行部において、前記ネットワーク機器が認証された場合に、前記機器識別情報を認証機器識別情報として格納する認証機器識別情報記憶部とを備える。
【0019】
かかる態様によれば、ネットワーク機器が認証アカウント及びユーザアカウントに基づいて認証されることを条件として、中継機器が機器識別情報を格納するので、ネットワーク機器の機器識別情報を予め登録する手間が省けるだけでなく、機器識別情報を格納するまでの間において、許可していない不正な進入を防止することができる。したがって、簡易でかつセキュリティの高い中継機器を提供することができる。
【0020】
上記中継機器において、前記取得部は、前記ネットワーク機器から当該ネットワーク機器の機器識別情報である被認証機器識別情報を取得し、前記中継機器が、前記認証機器識別情報及び前記被認証機器識別情報に基づいて、前記ネットワーク機器の認証を行う第2の認証実行部をさらに備えてもよい。
【図面の簡単な説明】
【0021】
【図1】本発明の一実施形態に係るネットワークシステムを示す図である。
【図2】本発明の一実施形態に係るネットワーク管理装置のハードウェアの構成を示す図である。
【図3】本発明の一実施形態に係るネットワークシステムの構成を示す図である。
【図4】本発明の一実施形態に係るネットワーク管理方法を説明するためのシーケンス図である。
【図5】本発明の一実施形態に係るネットワーク管理装置に格納されるデータベースを示す図である。
【図6】本発明の一実施形態に係るネットワーク管理方法のフロー図である。
【図7】本発明の一実施形態に係るネットワーク管理方法のフロー図である。
【図8】本発明の他の実施形態に係る中継機器の構成を示す図である。
【発明を実施するための形態】
【0022】
以下、図面を参照しつつ、発明の実施形態を通じて本発明を説明するが、以下の実施形態は特許請求の範囲に係る発明を限定するものではなく、また、実施形態の中で説明されている特徴の組み合わせのすべてが発明の解決手段に必須であるとは限らない。
【0023】
図1は、本発明の一実施形態に係るコンピュータネットワークシステムを示す図である。本実施形態に係るコンピュータネットワークシステム1000は、ネットワークにおいて通信を行うネットワーク機器300a、300b、300c及び300dと、ネットワーク機器300a〜dを管理するネットワーク管理装置100と、ネットワーク機器300a〜dとネットワーク管理装置100とを接続する中継機器200a及び200bとを備える。
【0024】
ネットワーク機器300a〜dは例えば汎用のコンピュータ端末であってもよい。また、ネットワーク機器300a〜dは、自らが中継機器200a及び200b又はネットワーク管理装置100にアクセスする(例えば認証の要求を行う)ことができる機器であってもよいし、自らは中継機器200a及び200b又はネットワーク管理装置100にアクセスすることができない機器(例えばネットワークプリンタ等)であってもよい。
【0025】
ネットワーク管理装置100は、中継機器200a及び200bを介して、ネットワーク機器300a〜dからの機器識別情報の一例であるMACアドレスを受信する。また、ネットワーク管理装置100は、中継機器200a及び200bを介してネットワーク機器300a〜dに入力されたユーザアカウントを受信し、また中継機器200a及び200bを介して認証結果の通知をネットワーク機器300a〜dに送信する。
【0026】
ネットワーク管理装置100は、ネットワーク機器300a〜dのVLANグループを設定する。このとき、ネットワーク管理装置100は、ネットワーク機器300a〜dが接続された中継機器200a及び200bの接続ポート201a、203a、201b及び203bを、ネットワーク機器300a〜dのそれぞれが属すべきVLANグループに設定することにより、ネットワーク機器300a〜dがそれぞれのVLANグループにおいて通信することを可能にする。
【0027】
中継機器200a及び200bは、ネットワーク機器300a〜dと無線で通信を行う無線中継機器であってもよい。無線中継機器により構成されたコンピュータネットワークシステムにおいて、MACアドレスベースVLANを形成することにより、ネットワーク機器は、ネットワーク機器の使用場所を移動された場合においても、ネットワーク機器の設定が変更されることなく、所定のVLANグループにおける通信が可能である。
【0028】
また、図1に示す例とは別に、ネットワーク管理装置100と中継機器200a及び200bとを接続する他の中継機器、又は、中継機器200a及び200bとネットワーク機器300a〜dとを接続する他の中継機器が存在してもよい。
【0029】
また、例えば中継機器200aの接続ポート201a及び203aが複数のVLAN、例えばVLAN1及びVLAN2において通信できるように設定することにより、中継機器200aに接続されたネットワーク機器300a及び300bがVLAN1又はVLAN2において通信することを可能としてもよい。
【0030】
また、本実施形態によるコンピュータネットワークシステムは、イーサネットフレームにVLANを識別するタグを付加し、タグの情報に基づいてVLANを分割するタギングVLAN、又は任意の接続ポートを複数のVLANグループに所属させるマルチプルVLANを、本実施形態のMACアドレスベースVLANと組み合わせて用いてもよい。
【0031】
図2は、本実施形態に係るネットワーク管理装置100のハードウェア構成を示す図である。ネットワーク管理装置100には、例えば図2に示すようなCPU1011、ROM102、RAM103、通信I/F104、表示装置105、入力装置106、HDD107、FDドライブ108及びCD−ROMドライブ109を備えるコンピュータを適用することができる。
【0032】
ネットワーク管理装置100は、例えばCPU102が、上記したROM104、RAM106、外部記憶装置108などに記憶された又はネットワークを介してダウンロードされた所定のプログラム(本実施形態に係るネットワーク管理方法を規定したプログラム)を実行することにより、システム1000を後述の各種機能ブロック又は各種ステップとして機能させることができる。CPU102が実行するプログラムは、FD108a、CD−ROM109a等の記録媒体に格納された又はネットワークを介してROM102又はRAM103等のメモリにダウンロードされた所定のプログラム(本実施形態に係るネットワーク管理方法を規定したプログラム)を実行することにより、システム1000を後述の各種機能ブロック又は各種ステップとして機能させることができる。格納された又はダウンロードされたプログラムは圧縮されていても非圧縮であってもよい。プログラムは記録媒体又はメモリからHDD107にインストールされ、RAM103に読み出されてCPU101により実行される。なお、本実施形態に係るネットワーク管理方法を規定したプログラムがコンピュータに働きかけてCPU101に行わせる処理は、それぞれ本実施形態のシステム又は方法における、対応する部材の機能及び動作と同一である。
【0033】
図2に示した、記録媒体の一例としてのFD108a、CD−ROM109aには、本出願で説明する全ての実施形態におけるシステム1000の動作の一部又は全ての機能を格納することができる。
【0034】
これらのプログラムは記録媒体から直接RAMに読み出されて実行されても、一旦ハードディスクドライブにインストールされた後にRAMに読み出されて実行されてもよい。更に、上記プログラムは単一の記録媒体に格納されても複数の記録媒体に格納されてもよい。また、符号化した形態で格納されていてもよい。
【0035】
記録媒体としては、FD、CD−ROMの他にも、DVD、PD等の光学記録媒体、MD等の光磁気記録媒体、テープ媒体、磁気記録媒体、ICカードやミニチュアーカードなどの半導体メモリ等を用いることができる。また、専用通信ネットワークやインターネットに接続されたサーバシステムに設けたハードディスクまたはRAM等の格納装置を記録媒体として使用し、通信網を介してプログラムをシステムに提供してもよい。このような記録媒体は、システムを製造するためのみに使用されるものであり、そのような記録媒体の業としての製造および販売等が本出願に基づく特許権の侵害を構成することは明らかである。
【0036】
図3は、本実施形態に係るシステム1000の構成を示す図である。図3に示す例においては、ネットワーク管理装置100は、中継機器200との間で必要なデータ送受信を行い、本実施形態に係るネットワーク管理方法を実行するために必要な制御を行う制御部110と、ユーザが入力するユーザアカウントに対する認証を行うための認証アカウントを予め格納する認証アカウント記憶部120と、ネットワーク機器300の被認証機器識別情報に対する認証を行うための認証機器識別情報を格納する認証機器識別情報記憶部130とを備える。制御部110は、各記憶部からデータを読み出し又は各記憶部へデータを書き込むことができるように構成されている。
【0037】
認証アカウント記憶部120は、管理者により決められた所定の認証アカウントを格納する。この認証アカウントは、複数のネットワーク機器300の複数の機器識別情報ごとに対応し得るものであってもよい。すなわち、1つの認証アカウントについて複数の機器識別情報が対応し得るように設定してもよい。また、認証アカウントは、認証アカウント記憶部120に、ネットワーク機器300が属するべき所定のVLANグループに対応づけられて格納されてもよい。この場合、認証アカウント記憶部120は、ユーザID、パスワード及びVLANIDがそれぞれ対応づけられたデータベースを有していてもよい。認証アカウントをネットワーク機器が属するべきVLANグループごとに登録することにより、ユーザがログインしたユーザアカウントごとにネットワーク機器にVLANが割り当てられるので、VLANグループの管理が容易になる。なお、認証アカウントは、複数のユーザで共有されてもよいし、ユーザ単位で決められてもよい。
【0038】
認証機器識別情報記憶部130は、ネットワーク機器の機器識別情報の一例であるMACアドレスを格納する。認証機器識別情報記憶部130に格納されるMACアドレスは、ネットワーク機器300の認証に用いられるので認証MACアドレスと呼ぶことができる。認証機器識別情報記憶部130は、認証MACアドレスに基づいてユーザID及びパスワードを生成してもよい。認証機器識別情報記憶部130は、認証MACアドレスを認証アカウントに対応づけて格納してもよい。この場合、認証MACアドレスは、認証アカウントに直接的に対応づけられて格納されてもよいし、認証アカウントに間接的、すなわち認証アカウントに対応づけられているVLANIDに対応づけられて格納されてもよい。
【0039】
中継機器200は、ネットワーク機器300においてユーザにユーザアカウントの入力を促すよう指示する指示部210を備える。指示部210は、ネットワーク機器300が中継機器200に、ネットワーク管理装置100において認証アカウント及びユーザアカウントに基づく認証を行うよう要求した場合に処理を行う。具体的には、中継機器200は当該中継機器200にネットワーク機器300からアクセス(例えばWebブラウザによるアクセス)があった場合、ネットワーク機器300にログイン表示を送る。すなわち、中継機器200は、ネットワーク機器300においてユーザにWeb認証を行うよう指示する。
【0040】
また、中継機器200は、ネットワーク機器300から、ユーザが入力したユーザアカウント及びネットワーク機器300の機器識別情報を取得する取得部212と、ネットワーク管理装置100に、ユーザが入力したユーザアカウント及びネットワーク機器300の機器識別情報を送信する送信部214とをさらに備える。
【0041】
一方、ネットワーク管理装置100の第1の認証実行部112は、ネットワーク機器300に入力されたユーザアカウント、及び、認証アカウント記憶部120に予め格納された認証アカウントに基づいて第1の認証を行う。具体的には、予め格納されている所定の認証アカウントを認証アカウント記憶部120から読み出し、当該認証アカウントと、ネットワーク機器300に入力されたユーザアカウントとが対応するか否かを認証する。その結果、両者のアカウントが対応すると判断した場合には、予め管理者が認めた正当なアクセスであると判断して、ネットワーク機器300のMACアドレスを中継機器200を介して受信し、当該MACアドレスを認証MACアドレスとして認証機器識別情報記憶部130に格納する。このとき、認証MACアドレスは認証アカウントに対応づけて格納される。また、第1の認証実行部112は、認証成立の場合には、その旨を中継機器200及びネットワーク機器300に通知する。
【0042】
他方、ネットワーク管理装置100の第2の認証実行部114は、ネットワーク機器300が中継機器200に、ネットワーク管理装置100において認証MACアドレス及び被認証MACアドレスに基づいて認証を行うよう要求した場合に処理を行う。言い換えれば、第2の認証実行部114は、ネットワーク機器300からネットワーク管理装置100にアクセス(例えば任意のプロトコルによるアクセス)があった場合、ネットワーク機器300についていわゆるMACアドレスベース認証を実行する。その結果、両者のMACアドレスが対応すると判断した場合には、正当なアクセスであると判断して、認証成立の旨を中継機器200及びネットワーク機器300に通知する。そして、ネットワーク機器300に被認証MACアドレスに対応づけられたVLANグループを設定し、当該VLANグループに基づいて以後の通信を許可する。
【0043】
本実施形態に係るシステムによれば、ユーザがアカウントのログインを行い、ログインされたネットワーク機器のMACアドレスをMACアドレスベース認証の認証MACアドレスとして格納することにより、以後、ユーザがMACアドレスを入力することなく、自動でMACアドレスベース認証を実行することができる。これにより、ネットワーク管理者は、ネットワーク管理装置にネットワーク機器のMACアドレスを予め登録することなく、簡易にMACアドレスベースVLANを形成することができる。他方、ネットワーク機器のMACアドレスの格納は、アカウントのログインにより認証されることが条件となるため、VLANへの許可していない不正な進入を防ぐことができる。すなわち、MACアドレスをMACアドレスベース認証の認証MACアドレスとして格納するまでの間のセキュリティを向上させることができる。
【0044】
また、ネットワーク管理者は、例えば複数ユーザで共有されるアカウントを認証アカウントとしてネットワーク管理装置に登録するので足りるため、ユーザごとのアカウントやMACアドレスを登録及び管理する必要がなく、簡易なシステムを構築することができる。
【0045】
また、認証アカウントをVLANグループごとに設定することにより、Web認証等でユーザがログインしたユーザアカウントに応じて、MACアドレスベース認証によりダイナミックVLANでVLANを設定することができる。
【0046】
次に図4〜図7を参照して、本発明の一実施形態に係るネットワーク管理方法について説明する。ここで、図4は、本発明の一実施形態に係るネットワーク管理方法を説明するためのシーケンス図である。また、図5は、本発明の一実施形態に係るネットワーク管理装置に格納されるデータベースを示す図である。また、図6及び図7は、図4のシーケンス図の一部のフロー図である。以下、上記したシステム1000を適用して、本実施形態のネットワーク管理方法を実行した場合を例として説明する。なお、以下に説明する各ステップ(符号が付されたステップのみならず、当該符号が付されたステップの部分的なステップを含む)は処理内容に矛盾を生じない範囲で任意に順番を変更して又は並列に実行することができる。
【0047】
まず、ネットワーク管理装置100は、ユーザが入力するユーザアカウントに対する認証を行うための認証アカウントを予め格納する(S100)。
【0048】
次に、ユーザが所定のネットワーク機器300を用いて、当該ネットワーク機器300から中継機器200に、認証アカウント及びユーザアカウントに基づいて認証するよう要求する(S101)。具体的には、ユーザが、ネットワーク機器300によってネットワーク上の中継機器200にWebブラウザでアクセスする。次に、中継機器200は、ネットワーク機器300からの要求に基づいて、ネットワーク機器300においてユーザにアカウントの入力を促すよう、当該ネットワーク機器300に指示する(S103)。この場合、中継機器200がネットワーク機器300にユーザアカウントを入力してログインするためのログイン表示を送ってもよい。なお、ステップS103は、上記した中継機器200の指示部210によって行うことができる。
【0049】
次に、ユーザは、ネットワーク機器300のログイン表示に従い、ユーザアカウントを入力する(S105)。具体的には、ユーザは、予め管理者から知得したユーザID及びパスワードをネットワーク機器300に入力する。中継機器200は、ネットワーク機器300から、ユーザアカウント及びネットワーク機器300の機器識別情報の一例であるMACアドレスを取得し、また、ユーザアカウント及びMACアドレスをネットワーク管理装置100に送信する(S107)。ネットワーク管理装置100の取得部212及び送信部214が、ユーザアカウント及びMACアドレスの取得及び送信を行ってもよい。ここで、ネットワーク管理装置100が取得するMACアドレスは、ステップS101で要求があったネットワーク機器のMACアドレスであってもよいし、あるいはステップS101で要求があったネットワーク機器とは異なるネットワーク機器のMACアドレスであってもよい。後者の場合、自らが中継機器200又はネットワーク管理装置100にアクセスできない機器に対しても、本実施形態に係るネットワーク管理方法を適用することが可能となる。
【0050】
次に、図4及び図6に示すように、ネットワーク管理装置100は、中継機器200を介してネットワーク機器300から取得したユーザアカウント、及び、認証アカウント記憶部120に予め格納された認証アカウントに基づいて第1の認証を行う(S109)。これにより、ネットワーク機器300が認証された場合、ネットワーク管理装置100は、当該ネットワーク機器300のMACアドレスを認証MACアドレスとして認証機器識別情報記憶部130に格納する(S111)。また、認証成立である旨を中継機器200及びネットワーク機器300に通知する(S113)。他方、ネットワーク機器300が認証されなかった場合、ネットワーク管理装置100は、管理者に認められていない不正なアクセスであると判断して、当該ネットワーク機器300のMACアドレスを格納することなく、認証不成立である旨を中継機器200及びネットワーク機器300に通知する(S114)。なお、かかる第1の認証は、例えば上記した第1の認証実行部112により行うことができる。
【0051】
認証MACアドレスは、認証アカウントに対応づけられて認証アカウント記憶部120に格納される。この場合、ネットワーク管理装置100は、認証アカウント記憶部120及び認証機器識別情報記憶部130によって、認証アカウント及び認証MACアドレスを対応づけたデータベース140を生成してもよい(図5参照)。かかるデータベース140は、図5に示すように、ユーザID、パスワード及びVLANIDの各フィールドを有する。ここで、VLANIDフィールドはVLANの種類を識別する情報を格納し、ユーザIDフィールドはネットワーク機器のユーザの識別情報であるユーザ識別情報を格納し、パスワードフィールドはユーザ識別情報で識別されるユーザを認証するためのパスワードを格納するものである。ユーザIDフィールドには、システムの管理者によって予め登録される認証アカウント(例えば「Aaa」)と、認証アカウント及びユーザアカウントに基づいて行われる第1の認証時に格納される認証MACアドレスが(例えば「xx:xx:xx:xx:xx:xx」)として格納されている。システムの管理者によって予め登録される認証アカウントには、VLANグループ(例えばVLAN1又はVLAN2)が設定されており、当該VLANグループに対応づけて認証MACアドレスが格納されている。
【0052】
本実施形態に係る方法によれば、ネットワーク機器において入力されたユーザID及びパスワードを、予め登録されたユーザID及びパスワードを用いて認証し、認証されたネットワーク機器が有するMACアドレスを登録することができる。そのため、ネットワーク管理者は、複雑な文字列であるMACアドレスをデータベースに登録する代わりに、ユーザID及びパスワードを登録することによって、MACアドレスベースVLANを形成することができる。
【0053】
次に、ユーザは、認証アカウント及びユーザアカウントに基づく第1の認証が成立した旨の通知を受けたネットワーク機器300において、ログアウト又は再起動を行う(S115)。そして、ユーザがネットワーク機器300を用いて、当該ネットワーク機器300から中継機器200及びネットワーク管理装置100にMACアドレスベース認証をするよう要求する。具体的には、ユーザが、ネットワーク機器300によってネットワーク上の中継機器200及びネットワーク管理装置100に任意のプロトコルでアクセスする。これにより、中継機器200は、例えば取得部212によってネットワーク機器300から当該ネットワーク機器300の被認証MACアドレスを取得し、例えば送信部214によって当該被認証MACアドレスをネットワーク管理装置100に送信する。ここで、ネットワーク管理装置100に送信される被認証MACアドレスは、ステップS117で要求があったネットワーク機器のMACアドレスであってもよいし、あるいはステップS117で要求があったネットワーク機器とは異なるネットワーク機器のMACアドレスであってもよい。
【0054】
次に、図4及び図7に示すように、ネットワーク管理装置100は、中継機器200を介して受信したネットワーク機器300の被認証MACアドレス、及び、認証アカウント記憶部120に格納された認証MACアドレスに基づいて第2の認証を行う(S123)。これにより、ネットワーク機器300が認証された場合、ネットワーク管理装置100は、認証成立である旨を中継機器200及びネットワーク機器300に通知し、図5に示した認証MACアドレスに対応づけられたVLANを設定する(S125)。こうして、以後、ユーザが認証されたネットワーク機器300を用いてVLANにより通信すると(S127)、ネットワーク管理装置100によってかかる通信が許可される。他方、ネットワーク機器300が認証されなかった場合、ネットワーク管理装置100は、管理者に認められていない不正なアクセスであると判断して、認証不成立である旨を中継機器200及びネットワーク機器300に通知する(S126)。こうして、VLANへの許可していない不正な進入を防ぐことができる。なお、かかる第2の認証は、例えば上記した第2の認証実行部114により行うことができる。
【0055】
なお、ネットワーク機器がVLANにおいて通信が可能な有効期限が予め定められており、ネットワーク管理装置100は、予め定められた有効期限が経過したネットワーク機器の認証MACアドレスをデータベースから削除してもよい。また、ネットワーク機器のユーザが登録削除の申請を行うことによって、ネットワーク管理者が、登録削除の申請が行われたネットワーク機器のMACアドレスをデータベースから削除してもよい。これによれば、ユーザがVLANの再設定を要求する場合には、再度、ユーザアカウント及び認証アカウントに基づく認証を受けることが必要となるのでセキュリティをさらに向上させることができる。
【0056】
本実施形態に係るネットワーク管理方法によれば、ユーザがアカウントのログインを行い、ログインされたネットワーク機器のMACアドレスをMACアドレスベース認証の認証MACアドレスとして格納することにより、以後、ユーザがMACアドレスを入力することなく、自動でMACアドレスベース認証を実行することができる。これにより、ネットワーク管理者は、ネットワーク管理装置にネットワーク機器のMACアドレスを予め登録することがないため、簡易にMACアドレスベースVLANを形成することができる。他方、ネットワーク機器のMACアドレスの格納は、アカウントのログインにより認証されたことが条件となるため、VLANへの許可していない不正な進入を防ぐことができる。すなわち、MACアドレスをMACアドレスベース認証の認証MACアドレスとして格納するまでの間のセキュリティを向上させることができる。
【0057】
また、ユーザにおいてネットワーク機器を変更する必要が生じた場合、変更後のネットワーク機器において、ユーザアカウント及び認証アカウントに基づく第1の認証と、認証MACアドレス及び被認証MACアドレスに基づく第2の認証を行えば足りるので、管理者への通信許可のための申請や管理者のアカウント登録の手間がなく、簡易かつセキュリティの高い方法でシステムを利用することができる。
【0058】
なお、上記した本実施形態に係るシステム又は方法の変形例として、MACアドレス詐称を防止するため、中継機器200のDHCP(Dynamic Host Configuration Protocol)スヌーピング機能を合わせて適用してもよい。すなわち、中継機器200又はネットワーク管理装置100の制御部110が、DHCPフレームを監視し、正しいDHCPサーバが割り当てたIPアドレス及びMACアドレスの組を備える通信のみを許可してもよい。
【0059】
また、本実施形態に係るユーザアカウント及び認証アカウントに基づく第1の認証が認証成功であったときに、認証されたネットワーク機器のウィルスチェックや資産情報収集及び管理を行ってもよい。この場合、認証MACアドレスに基づいて割り振られるVLANグループとして、ウィルスチェック用VLANグループ又は資産情報管理用VLANグループを予め設定し、ウィルスチェック又は資産情報管理が求められるネットワーク機器に対して、MACアドレスベース認証によりかかる目的に応じたVLANグループを割り振ってもよい。
【0060】
次に、本発明の他の実施形態に係る中継機器について説明する。図8に示すように、本例において中継機器500は、ネットワーク機器300とネットワーク管理装置400とを接続して設けられており、上記した第1の認証実行部112、第2の認証実行部114、認証アカウント記憶部120及び認証機器識別情報記憶部130のそれぞれと同様の機能を備える機能ブロックを内蔵する。すなわち、中継機器500は、上記した指示部210及び取得部212に加えて、第1の認証実行部516及び第2の認証実行部518を含む制御部510と、認証アカウント記憶部520と、認証機器識別情報記憶部530とを備える。それらの機能ブロックの構成及び動作については、当該機能ブロックがネットワーク管理装置400ではなく中継機器500に内蔵されている点及びこれに伴うデータ送信元及び送信先が変更する点を除いて、既に説明した内容を適用することができる。
【0061】
本例においても既に説明したとおり、簡易でかつセキュリティの高いシステム及び方法を提供することができる。
【0062】
上記発明の実施形態を通じて説明された実施例や応用例は、用途に応じて適宜に組み合わせて、又は変更若しくは改良を加えて用いることができ、本発明は上述した実施形態の記載に限定されるものではない。そのような組み合わせ又は変更若しくは改良を加えた形態も本発明の技術的範囲に含まれ得ることが、特許請求の範囲の記載から明らかである。
【符号の説明】
【0063】
100・・・ネットワーク管理装置
112・・・第1の認証実行部
114・・・第2の認証実行部
120・・・認証アカウント記憶部
130・・・認証機器識別情報記憶部
200・・・中継機器
210・・・指示部
212・・・取得部
214・・・送信部
300・・・ネットワーク機器
400・・・ネットワーク管理装置
500・・・中継機器
516・・・第1の認証実行部
518・・・第2の認証実行部
520・・・認証アカウント記憶部
530・・・認証機器識別情報記憶部
【特許請求の範囲】
【請求項1】
ネットワーク機器と、当該ネットワーク機器を管理するネットワーク管理装置と、前記ネットワーク機器と前記ネットワーク管理装置とを接続する中継機器とを備えるコンピュータネットワークにおけるネットワーク管理方法であって、
前記ネットワーク管理装置が、前記ネットワーク機器を認証するための認証アカウントを予め格納するステップと、
前記中継機器が、前記ネットワーク機器においてユーザにユーザアカウントの入力を促すよう指示するステップと、
前記中継機器が、前記ネットワーク機器から、前記ユーザアカウント及び当該ネットワーク機器の機器識別情報を取得するステップと、
前記中継機器が、前記ネットワーク管理装置に、前記ユーザアカウント及び前記機器識別情報を送信するステップと、
前記ネットワーク管理装置が、前記認証アカウント及び前記ユーザアカウントに基づいて、前記ネットワーク機器の認証を行う第1の認証ステップと、
前記第1の認証ステップにおいて、前記ネットワーク機器が認証された場合に、前記ネットワーク管理装置が、前記機器識別情報を認証機器識別情報として格納するステップと
を含む、ネットワーク管理方法。
【請求項2】
前記機器識別情報を格納するステップの後に、
前記中継機器が、前記ネットワーク機器から当該ネットワーク機器の機器識別情報である被認証機器識別情報を取得するステップと、
前記中継機器が、前記ネットワーク管理装置に、前記被認証機器識別情報を送信するステップと、
前記ネットワーク管理装置が、前記認証機器識別情報及び前記被認証機器識別情報に基づいて、前記ネットワーク機器の認証を行う第2の認証ステップと
をさらに含む、請求項1記載のネットワーク管理方法。
【請求項3】
前記被認証機器識別情報を取得するステップの前に、
前記ネットワーク機器が前記中継機器に、前記ネットワーク管理装置において前記第2の認証ステップを行うよう要求するステップをさらに含む、請求項2記載のネットワーク管理方法。
【請求項4】
前記認証アカウントを予め格納するステップは、前記認証アカウントを所定のVLANグループに対応づけて格納することを含み、
前記第2の認証ステップの後に、
前記第2の認証ステップにおいて、前記ネットワーク機器が認証された場合に、前記ネットワーク管理装置が、前記ネットワーク機器に当該ネットワーク機器に対応するVLANグループを設定するステップをさらに含む、請求項2又は3記載のネットワーク管理方法。
【請求項5】
前記中継機器がユーザに指示するステップは、前記ネットワーク機器が前記中継機器に、前記ネットワーク管理装置において前記第1の認証ステップを行うよう要求した場合に行われる、請求項1から4のいずれかに記載のネットワーク管理方法。
【請求項6】
前記認証アカウントは、複数のユーザにおいて共有されるアカウントである、請求項1から5のいずれかに記載のネットワーク管理方法。
【請求項7】
前記機器識別情報は、前記ネットワーク機器のMACアドレスである、請求項1から6のいずれかに記載のネットワーク管理方法。
【請求項8】
請求項1から7のいずれかに記載のネットワーク管理方法をコンピュータに実行させるネットワーク管理プログラム。
【請求項9】
ネットワーク機器と、
当該ネットワーク機器を管理するネットワーク管理装置と、
前記ネットワーク機器と前記ネットワーク管理装置とを接続する中継機器と
を備え、
前記中継機器は、
前記ネットワーク機器においてユーザにユーザアカウントの入力を促すよう指示する指示部と、
前記ネットワーク機器から、前記ユーザアカウント及び当該ネットワーク機器の機器識別情報を取得する取得部と、
前記中継機器が、前記ネットワーク管理装置に、前記ユーザアカウント及び前記機器識別情報を送信する送信部と
を備え、
前記ネットワーク管理装置は、
前記ネットワーク機器を認証するための認証アカウントを予め格納する認証アカウント記憶部と、
前記認証アカウント及び前記ユーザアカウントに基づいて、前記ネットワーク機器の認証を行う第1の認証実行部と、
前記第1の認証実行部において、前記ネットワーク機器が認証された場合に、前記ネットワーク管理装置が、前記機器識別情報を認証機器識別情報として格納する認証機器識別情報記憶部と
を備える、ネットワークシステム。
【請求項10】
前記中継機器の前記取得部は、前記ネットワーク機器から当該ネットワーク機器の機器識別情報である被認証機器識別情報を取得し、
前記ネットワーク管理装置は、前記認証機器識別情報及び前記被認証機器識別情報に基づいて、前記ネットワーク機器の認証を行う第2の認証実行部と
をさらに備える、請求項9記載のネットワークシステム。
【請求項11】
ネットワーク機器と当該ネットワーク機器を管理するネットワーク管理装置とを接続する中継機器であって、
前記ネットワーク機器を認証するための認証アカウントを予め格納する認証アカウント記憶部と、
前記ネットワーク機器においてユーザにユーザアカウントの入力を促すよう指示する指示部と、
前記ネットワーク機器から、前記ユーザアカウント及び当該ネットワーク機器の機器識別情報を取得する取得部と、
前記認証アカウント及び前記ユーザアカウントに基づいて、前記ネットワーク機器の認証を行う第1の認証実行部と、
前記第1の認証実行部において、前記ネットワーク機器が認証された場合に、前記機器識別情報を認証機器識別情報として格納する認証機器識別情報記憶部と
を備える、中継機器。
【請求項12】
前記取得部は、前記ネットワーク機器から当該ネットワーク機器の機器識別情報である被認証機器識別情報を取得し、
前記中継機器が、前記認証機器識別情報及び前記被認証機器識別情報に基づいて、前記ネットワーク機器の認証を行う第2の認証実行部をさらに備える、請求項11記載の中継機器。
【請求項1】
ネットワーク機器と、当該ネットワーク機器を管理するネットワーク管理装置と、前記ネットワーク機器と前記ネットワーク管理装置とを接続する中継機器とを備えるコンピュータネットワークにおけるネットワーク管理方法であって、
前記ネットワーク管理装置が、前記ネットワーク機器を認証するための認証アカウントを予め格納するステップと、
前記中継機器が、前記ネットワーク機器においてユーザにユーザアカウントの入力を促すよう指示するステップと、
前記中継機器が、前記ネットワーク機器から、前記ユーザアカウント及び当該ネットワーク機器の機器識別情報を取得するステップと、
前記中継機器が、前記ネットワーク管理装置に、前記ユーザアカウント及び前記機器識別情報を送信するステップと、
前記ネットワーク管理装置が、前記認証アカウント及び前記ユーザアカウントに基づいて、前記ネットワーク機器の認証を行う第1の認証ステップと、
前記第1の認証ステップにおいて、前記ネットワーク機器が認証された場合に、前記ネットワーク管理装置が、前記機器識別情報を認証機器識別情報として格納するステップと
を含む、ネットワーク管理方法。
【請求項2】
前記機器識別情報を格納するステップの後に、
前記中継機器が、前記ネットワーク機器から当該ネットワーク機器の機器識別情報である被認証機器識別情報を取得するステップと、
前記中継機器が、前記ネットワーク管理装置に、前記被認証機器識別情報を送信するステップと、
前記ネットワーク管理装置が、前記認証機器識別情報及び前記被認証機器識別情報に基づいて、前記ネットワーク機器の認証を行う第2の認証ステップと
をさらに含む、請求項1記載のネットワーク管理方法。
【請求項3】
前記被認証機器識別情報を取得するステップの前に、
前記ネットワーク機器が前記中継機器に、前記ネットワーク管理装置において前記第2の認証ステップを行うよう要求するステップをさらに含む、請求項2記載のネットワーク管理方法。
【請求項4】
前記認証アカウントを予め格納するステップは、前記認証アカウントを所定のVLANグループに対応づけて格納することを含み、
前記第2の認証ステップの後に、
前記第2の認証ステップにおいて、前記ネットワーク機器が認証された場合に、前記ネットワーク管理装置が、前記ネットワーク機器に当該ネットワーク機器に対応するVLANグループを設定するステップをさらに含む、請求項2又は3記載のネットワーク管理方法。
【請求項5】
前記中継機器がユーザに指示するステップは、前記ネットワーク機器が前記中継機器に、前記ネットワーク管理装置において前記第1の認証ステップを行うよう要求した場合に行われる、請求項1から4のいずれかに記載のネットワーク管理方法。
【請求項6】
前記認証アカウントは、複数のユーザにおいて共有されるアカウントである、請求項1から5のいずれかに記載のネットワーク管理方法。
【請求項7】
前記機器識別情報は、前記ネットワーク機器のMACアドレスである、請求項1から6のいずれかに記載のネットワーク管理方法。
【請求項8】
請求項1から7のいずれかに記載のネットワーク管理方法をコンピュータに実行させるネットワーク管理プログラム。
【請求項9】
ネットワーク機器と、
当該ネットワーク機器を管理するネットワーク管理装置と、
前記ネットワーク機器と前記ネットワーク管理装置とを接続する中継機器と
を備え、
前記中継機器は、
前記ネットワーク機器においてユーザにユーザアカウントの入力を促すよう指示する指示部と、
前記ネットワーク機器から、前記ユーザアカウント及び当該ネットワーク機器の機器識別情報を取得する取得部と、
前記中継機器が、前記ネットワーク管理装置に、前記ユーザアカウント及び前記機器識別情報を送信する送信部と
を備え、
前記ネットワーク管理装置は、
前記ネットワーク機器を認証するための認証アカウントを予め格納する認証アカウント記憶部と、
前記認証アカウント及び前記ユーザアカウントに基づいて、前記ネットワーク機器の認証を行う第1の認証実行部と、
前記第1の認証実行部において、前記ネットワーク機器が認証された場合に、前記ネットワーク管理装置が、前記機器識別情報を認証機器識別情報として格納する認証機器識別情報記憶部と
を備える、ネットワークシステム。
【請求項10】
前記中継機器の前記取得部は、前記ネットワーク機器から当該ネットワーク機器の機器識別情報である被認証機器識別情報を取得し、
前記ネットワーク管理装置は、前記認証機器識別情報及び前記被認証機器識別情報に基づいて、前記ネットワーク機器の認証を行う第2の認証実行部と
をさらに備える、請求項9記載のネットワークシステム。
【請求項11】
ネットワーク機器と当該ネットワーク機器を管理するネットワーク管理装置とを接続する中継機器であって、
前記ネットワーク機器を認証するための認証アカウントを予め格納する認証アカウント記憶部と、
前記ネットワーク機器においてユーザにユーザアカウントの入力を促すよう指示する指示部と、
前記ネットワーク機器から、前記ユーザアカウント及び当該ネットワーク機器の機器識別情報を取得する取得部と、
前記認証アカウント及び前記ユーザアカウントに基づいて、前記ネットワーク機器の認証を行う第1の認証実行部と、
前記第1の認証実行部において、前記ネットワーク機器が認証された場合に、前記機器識別情報を認証機器識別情報として格納する認証機器識別情報記憶部と
を備える、中継機器。
【請求項12】
前記取得部は、前記ネットワーク機器から当該ネットワーク機器の機器識別情報である被認証機器識別情報を取得し、
前記中継機器が、前記認証機器識別情報及び前記被認証機器識別情報に基づいて、前記ネットワーク機器の認証を行う第2の認証実行部をさらに備える、請求項11記載の中継機器。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【公開番号】特開2010−283607(P2010−283607A)
【公開日】平成22年12月16日(2010.12.16)
【国際特許分類】
【出願番号】特願2009−135338(P2009−135338)
【出願日】平成21年6月4日(2009.6.4)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.イーサネット
【出願人】(396008347)アライドテレシスホールディングス株式会社 (38)
【Fターム(参考)】
【公開日】平成22年12月16日(2010.12.16)
【国際特許分類】
【出願日】平成21年6月4日(2009.6.4)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.イーサネット
【出願人】(396008347)アライドテレシスホールディングス株式会社 (38)
【Fターム(参考)】
[ Back to top ]