知財求人 - 知財ポータルサイト「IP Force」
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2024-06-19
(45)【発行日】2024-06-27
(54)【発明の名称】ネットワークシステムおよびサーバ装置
(51)【国際特許分類】
G06F 21/45 20130101AFI20240620BHJP
G06F 21/31 20130101ALI20240620BHJP
【FI】
G06F21/45
G06F21/31
【請求項の数】
10
(21)【出願番号】P 2021200569
(22)【出願日】2021-12-10
(65)【公開番号】P2023086211
(43)【公開日】2023-06-22
【審査請求日】2023-07-21
(73)【特許権者】
【識別番号】300059979
【氏名又は名称】エイチ・シー・ネットワークス株式会社
(74)【代理人】
【識別番号】110002066
【氏名又は名称】弁理士法人筒井国際特許事務所
(72)【発明者】
【氏名】伊藤 雅人
(72)【発明者】
【氏名】宮嶋 ひより
【審査官】上島 拓也
(56)【参考文献】
【文献】特開平10-240687(JP,A)
【文献】特開2017-204697(JP,A)
【文献】特開2004-213476(JP,A)
【文献】特開2012-138692(JP,A)
【文献】特開2004-208199(JP,A)
(58)【調査した分野】(Int.Cl.,DB名)
G06F 21/45
G06F 21/31
(57)【特許請求の範囲】
【請求項1】
ネットワークへのログインの許可/拒否を判定する認証サーバと、情報端末からのアカウントを含んだログイン要求に応じて、前記アカウントからの前記ネットワークへのログインの許可/拒否を、前記認証サーバへの問い合わせ通信によって定める認証クライアントと、
ログデータベースを有するログ管理サーバと、
を有するネットワークシステムであって、
前記認証クライアントは、前記認証サーバへの問い合わせ通信によって前記ログインが許可された際に、許可によってログイン状態となった前記アカウントであるログインアカウントと、ログイン時間とを含んだ認証結果ログを前記ログ管理サーバへ送信し、
前記ログ管理サーバは、
前記認証クライアントからの前記ログインアカウントと前記ログイン時間とを前記ログデータベースに登録し、
前記ログインアカウントの前記ログイン時間からの経過時間を監視し、前記経過時間が、予め定められた制限時間に達した場合に、前記ログインアカウントからの前記ネットワークへの通信を遮断するための通信遮断命令を、前記認証クライアントへ送信する、
ネットワークシステム。
【請求項2】
請求項1記載のネットワークシステムにおいて、前記ログデータベースは、前記ログインアカウントと、前記ログイン時間と、前記ログインアカウントの送信元である前記認証クライアントの識別子と、の対応関係を保持し、
前記ログ管理サーバは、前記ログインアカウントの前記通信遮断命令を、前記ログデータベースに基づいて定められる前記認証クライアントへ送信する、
ネットワークシステム。
【請求項3】
請求項2記載のネットワークシステムにおいて、前記認証サーバは、予め設定された、前記ログインアカウントの前記制限時間の情報を保持し、
前記ログデータベースは、前記ログインアカウントと、前記ログイン時間と、前記認証クライアントの識別子とに加えて、前記制限時間との対応関係を保持し、
前記ログ管理サーバは、前記認証サーバと通信することで、前記ログインアカウントの前記制限時間を前記認証サーバから取得し、前記ログデータベースに登録する、
ネットワークシステム。
【請求項4】
請求項1記載のネットワークシステムにおいて、前記ログ管理サーバは、前記認証クライアントが前記通信遮断命令の送信対象であるか非送信対象であるかを表す対象判別情報を予め保持し、前記非送信対象の前記認証クライアントには前記通信遮断命令を送信しない、
ネットワークシステム。
【請求項5】
請求項1記載のネットワークシステムにおいて、前記ログ管理サーバは、前記経過時間が前記制限時間に達する前に、前記ログインアカウントを有するユーザへ、前記制限時間が迫っていることを表す事前通知を送信する、
ネットワークシステム。
【請求項6】
ネットワークへのログインの許可/拒否を判定する認証サーバと、情報端末からのアカウントを含んだログイン要求に応じて、前記アカウントからの前記ネットワークへのログインの許可/拒否を、前記認証サーバへの問い合わせ通信によって定める認証クライアントと、に接続され、ログデータベースを有するサーバ装置であって、前記認証クライアントは、前記認証サーバへの問い合わせ通信によって前記ログインが許可された際に、許可によってログイン状態となった前記アカウントであるログインアカウントと、ログイン時間とを含んだ認証結果ログを前記サーバ装置へ送信し、
前記サーバ装置は、
前記認証クライアントからの前記ログインアカウントと前記ログイン時間とを前記ログデータベースに登録し、
前記ログインアカウントの前記ログイン時間からの経過時間を監視し、前記経過時間が、予め定められた制限時間に達した場合に、前記ログインアカウントからの前記ネットワークへの通信を遮断するための通信遮断命令を、前記認証クライアントへ送信する、
サーバ装置。
【請求項7】
請求項6記載のサーバ装置において、前記ログデータベースは、前記ログインアカウントと、前記ログイン時間と、前記ログインアカウントの送信元である前記認証クライアントの識別子と、の対応関係を保持し、
前記サーバ装置は、前記ログインアカウントの前記通信遮断命令を、前記ログデータベースに基づいて定められる前記認証クライアントへ送信する、
サーバ装置。
【請求項8】
請求項7記載のサーバ装置において、前記認証サーバは、予め設定された、前記ログインアカウントの前記制限時間の情報を保持し、
前記ログデータベースは、前記ログインアカウントと、前記ログイン時間と、前記認証クライアントの識別子とに加えて、前記制限時間との対応関係を保持し、
前記サーバ装置は、前記認証サーバと通信することで、前記ログインアカウントの前記制限時間を前記認証サーバから取得し、前記ログデータベースに登録する、
サーバ装置。
【請求項9】
請求項6記載のサーバ装置において、前記認証クライアントが前記通信遮断命令の送信対象であるか非送信対象であるかを表す対象判別情報を予め保持し、前記非送信対象の前記認証クライアントには前記通信遮断命令を送信しない、
サーバ装置。
【請求項10】
請求項6記載のサーバ装置において、前記経過時間が前記制限時間に達する前に、前記ログインアカウントを有するユーザへ、前記制限時間が迫っていることを表す事前通知を送信する、
サーバ装置。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、ネットワークシステムおよびサーバ装置に関する。
【背景技術】
【0002】
特許文献1には、不正通信をより確実に遮断することが可能なネットワークシステムが示される。当該ネットワークシステムにおいて、ログ管理サーバは、認証サーバまたは認証スイッチからの認証許可ログと、DHCPサーバからのDHCPログとを受信し、認証許可の対象となるアカウントID(MACアドレス)とIPアドレスとの対応関係を端末管理DBに登録する。ログ管理サーバは、不正通信検知装置からの不正通信検知ログを受信した場合に、不正通信を行ったIPアドレスに対応するアカウントID(MACアドレス)を、端末管理DBに基づいて特定し、特定したアカウントIDを対象とする認証拒否命令を認証サーバへ送信する。
【先行技術文献】
【特許文献】
【0003】
【文献】特開2017-204697公報
【発明の概要】
【発明が解決しようとする課題】
【0004】
例えば、RADIUS(Remote Authentication Dial In User Service)機能を有する認証クライアントは、ユーザからの情報端末を介したネットワークへのログイン要求に応じて、認証サーバに問い合わせ通信を行うことでログインの許可/拒否を定めることができる。加えて、RADIUSアカウンティング機能を有する認証クライアントは、ログインを許可したユーザ毎に、ネットワークへの送受信オクテット数や接続時間等を記録することができる。
【0005】
一方、ユーザの中には、ネットワークを定常的に利用する一般ユーザや、ネットワークを一時的に利用するゲストユーザ等が含まれ得る。前述したようなRADIUSアカウンティング機能を有する、または、それと等価な機能、例えばセッションタイムアウトの設定機能を有する認証クライアントを用いると、例えば、ゲストユーザ毎に、ネットワークへの接続時間を制限すること等が可能となる。しかしながら、RADIUSアカウンティング機能等を有しない認証クライアントを用いる場合、ユーザによるネットワークへの接続時間を制限することが困難となり得る。
【0006】
本発明の目的の一つは、認証クライアントの機能に依らず、ユーザによるネットワークへの接続時間を制限することが可能なネットワークシステムおよびサーバ装置を提供することにある。
【0007】
本発明の前記並びにその他の目的と新規な特徴は、本明細書の記述及び添付図面から明らかになるであろう。
【課題を解決するための手段】
【0008】
本願において開示される発明のうち、代表的な実施の形態の概要を簡単に説明すれば、次のとおりである。
【0009】
一実施の形態によるネットワークシステムは、ネットワークへのログインの許可/拒否を判定する認証サーバと、情報端末からのアカウントを含んだログイン要求に応じて、当該アカウントからのネットワークへのログインの許可/拒否を、認証サーバへの問い合わせ通信によって定める認証クライアントと、ログ管理サーバと、を有する。認証クライアントは、認証サーバへの問い合わせ通信によってログインが許可された際に、許可によってログイン状態となったアカウントであるログインアカウントと、ログイン時間とを含んだ認証結果ログをログ管理サーバへ送信する。ログ管理サーバは、認証クライアントからのログインアカウントとログイン時間とをログデータベースに登録する。そして、ログ管理サーバは、ログインアカウントのログイン時間からの経過時間を監視し、当該経過時間が、予め定められた制限時間に達した場合に、当該ログインアカウントからのネットワークへの通信を遮断するための通信遮断命令を、認証クライアントへ送信する。
【発明の効果】
【0010】
本願において開示される発明のうち、代表的な実施の形態によって得られる効果を簡単に説明すると、認証クライアントの機能に依らず、ユーザによるネットワークへの接続時間を制限することが可能になる。
【図面の簡単な説明】
【0011】
【図1】本発明の実施の形態1によるネットワークシステムにおいて、主要部の構成例および動作例を示す概略図である。
【発明を実施するための形態】
【0012】
以下、本発明の実施の形態を図面に基づいて詳細に説明する。なお、実施の形態を説明するための全図において、同一の部材には原則として同一の符号を付し、その繰り返しの説明は省略する。
【0013】
(実施の形態1)
<ネットワークシステムの概略>
図1は、本発明の実施の形態1によるネットワークシステムにおいて、主要部の構成例および動作例を示す概略図である。図1に示すネットワークシステムは、イントラネット網等のネットワーク10と、ネットワーク10に接続される認証スイッチSW、無線LANコントローラWLC、ログ管理サーバ15、認証サーバ16、ディレクトリサーバ17およびアプリケーションサーバ18等を備える。ネットワーク10は、例えば、OSI参照モデルのレイヤ3(L3)のネットワークであり、ルータやL3スイッチ等を含む。
<ネットワークシステムの概略>
図1は、本発明の実施の形態1によるネットワークシステムにおいて、主要部の構成例および動作例を示す概略図である。図1に示すネットワークシステムは、イントラネット網等のネットワーク10と、ネットワーク10に接続される認証スイッチSW、無線LANコントローラWLC、ログ管理サーバ15、認証サーバ16、ディレクトリサーバ17およびアプリケーションサーバ18等を備える。ネットワーク10は、例えば、OSI参照モデルのレイヤ3(L3)のネットワークであり、ルータやL3スイッチ等を含む。
【0014】
認証スイッチSWおよび無線LANコントローラWLCは、例えば、RADIUSクライアントといった認証クライアントSW/WLCである。認証スイッチSWは、例えば、OSI参照モデルのレイヤ2(L2)の中継処理を担うL2スイッチであり、ポートP1,…,Pnを備える。ポートP1には、ユーザ11aによって利用される情報端末TM10が有線で接続され、ポートPnには、ネットワーク管理者12によって利用される管理端末TMmが有線で接続される。無線LANコントローラWLCは、無線通信のアクセスポイントの機能とL2スイッチの機能とを備える。無線LANコントローラWLCには、ユーザ11bによって利用される情報端末TM20が無線で接続される。
【0015】
認証サーバ16は、例えば、コンピュータ装置で実現されるRADIUSサーバ等であり、ネットワーク10へのログインの許可/拒否を判定する。具体的には、認証サーバ16は、メモリ22に保持される認証データベース(DBと略す)23を有し、認証DB23に基づいてログインの許可/拒否を判定する。認証DB23は、アカウントACN毎に、ログインの許可/拒否の情報を保持する。さらに、この例では、認証DB23は、アカウントACN毎に、ネットワーク10の利用に伴う制限時間LLTの情報を保持する。認証DB23の各情報は、予め、ネットワーク管理者12によって登録される。
【0016】
アカウントACNは、例えば、パスワード認証に対応するユーザID/パスワードや、MACアドレス認証に対応するMACアドレス等である。図1に示される例では、2個のアカウントACNとして、情報端末TM10のMACアドレス“MA10”と、ユーザ11bのユーザID“UID2”/パスワード“PW2”とが登録されている。当該2個のアカウントACNからのネットワーク10へのログインは、共に許可される。
【0017】
制限時間LLTは、ネットワーク10の利用可能期間や、利用可能時刻を表す。図1に示される例では、アカウントACN“MA10”は、ログイン後、3時間まで利用可能であり、アカウントACN“UID2”は、ログイン時間を問わず、時刻“h3:m3:s3”まで利用可能である。なお、認証DB23は、ここでは、認証サーバ16内に設けられるが、アクティブディレクトリサーバやLDAP(Lightweight Directory Access Protocol)サーバといったディレクトリサーバ17に設けられてもよい。この場合、認証サーバ16は、当該ディレクトリサーバ17と連携しながらログインの許可/拒否を判定する。
【0018】
認証クライアントSW/WLCは、情報端末からのアカウントACNを含んだログイン要求LRQに応じて、当該アカウントACNからのネットワーク10へのログインの許可/拒否を、認証サーバ16への問い合わせ通信によって定める。具体例として、認証スイッチSWは、情報端末TM10からのアカウントACN“MA10”を含んだログイン要求LRQに応じて、“MA10”を含んだログイン判定要求ARQを認証サーバ16へ送信する。認証サーバ16は、“MA10”を対象に、ログインの許可/拒否を判定する。
【0019】
図1に示される例では、認証サーバ16は、認証DB23の登録内容に基づいて、“MA10”からのログインを許可と判定する。そして、認証スイッチSWは、認証サーバ16から、ログインの許可/拒否の判定結果、ここでは許可の判定結果を含んだログイン判定応答ARSを受信する。この場合、ログインが許可された情報端末TM10は、認証スイッチSWを介してネットワーク10を利用できる。その結果、情報端末TM10は、例えば、ネットワーク10に接続されたアプリケーションサーバ18等との通信が可能となる。
【0020】
また、認証クライアントSW/WLCは、認証サーバ16への問い合わせ通信によってログインが許可された際に、ログインアカウントACNaと、ログイン時間LTと、認証クライアントの識別子(ID)CIDとを含んだ認証結果ログLGをログ管理サーバ15へ送信する。ログインアカウントACNaは、ログインの許可によってログイン状態となったアカウントである。
【0021】
ログイン時間LTは、例えば、認証クライアントSW/WLCまたは認証サーバ16の時刻情報に基づいて定められる。認証クライアントの識別子CIDは、例えば、認証結果ログLGの送信元IPアドレスによって定められる。具体例として、認証スイッチSWは、情報端末TM10のログインアカウントACNa“MA10”と、ログイン時間LT“h1:m1:s1”と、認証スイッチSWのIPアドレス“IPA1”とを含む認証結果ログLGをログ管理サーバ15へ送信する。
【0022】
ログ管理サーバ(サーバ装置)15は、コンピュータ装置で実現され、その機能の一つとして、認証結果ログLGを含め、ネットワーク10上で生じた各種ログを収集する。ログは、例えば、syslogや、SNMP(Simple Network Management Protocol) Trap等で通知されるログである。ログ管理サーバ15は、メモリ20に保持されるログDB21を有する。
【0023】
ログDB21は、ログインアカウントACNaと、ログイン時間LTと、ログインアカウントACNaの送信元である認証クライアントの識別子CIDと、の対応関係を保持し、加えて制限時間LLTとの対応関係を保持する。ログ管理サーバ15は、認証クライアントSW/WLCからの認証結果ログLGを受信した場合、認証結果ログLGに含まれるログインアカウントACNaとログイン時間LTと認証クライアントの識別子CIDとをログDB21に登録する。また、ログ管理サーバ15は、認証サーバ16と通信することで、ログインアカウントACNaの制限時間LLTを認証サーバ16から取得し、ログDB21に登録する。
【0024】
図1に示される例では、ログ管理サーバ15は、認証スイッチSWからの認証結果ログLGを受信し、ログインアカウントACNa“MA10”と、ログイン時間LT“h1:m1:s1”と、認証スイッチSWのIPアドレス“IPA1”とをログDB21に登録する。また、ログ管理サーバ15は、認証サーバ16から、“MA10”に対応する制限時間LLT“3hr”を取得し、ログDB21に登録する。
【0025】
なお、無線LANコントローラWLCが情報端末TM20からユーザID“UID2”/パスワード“PW2”を含むログイン要求LRQを受けた場合も、同様の処理が行われる。その結果、ログDB21には、ログインアカウントACNa“UID2”と、ログイン時間LT“h2:m2:s2”と、制限時間LLT“h3:m3:s3”と、無線LANコントローラWLCのIPアドレス“IPA2”との対応関係が登録される。
【0026】
ここで、ログ管理サーバ15は、ログDB21に基づいて、各ログインアカウントACNaのログイン時間LTからの経過時間を監視し、当該経過時間が、予め定められた制限時間LLTに達した場合に、認証クライアントSW/WLCへ通信遮断命令CBを送信する。通信遮断命令CBは、当該ログインアカウントACNaからのネットワーク10への通信を遮断するための命令である。また、通信遮断命令CBの宛先となる認証クライアントSW/WLCは、ログDB21における認証クライアントの識別子CIDに基づいて定められる。
【0027】
認証クライアントSW/WLCは、通信遮断命令CBを受けて、通信遮断命令CBに含まれるログインアカウントACNaからのネットワーク10への通信を遮断する。言い換えれば、認証クライアントSW/WLCは、当該ログインアカウントACNaを強制的にログアウトさせる。
【0028】
図1に示される例では、ログ管理サーバ15は、ログインアカウントACNa“MA10”を対象に、ログイン時間LT“h1:m1:s1”から3時間経過した場合に、IPアドレスIPA1を宛先とするIPパケット等を用いて、“MA10”の通信遮断命令CBを送信する。また、ログ管理サーバ15は、ログインアカウントACNa“UID2”を対象に、時間“h3:m3:s3”に到達した場合に、IPアドレスIPA2を宛先とするIPパケット等を用いて、“UID2”の通信遮断命令CBを送信する。
【0029】
図2は、図1に示されるネットワークシステムの主要部の処理内容の一例を示すシーケンス図である。図2において、情報端末TMは、認証クライアントSW/WLC、すなわち認証スイッチSWまたは無線LANコントローラWLCへアカウントACNを含んだログイン要求LRQを送信する(ステップS101)。これに応じて、認証クライアントSW/WLCは、アカウントACNを含むログイン判定要求ARQを、認証サーバ16へ送信する(ステップS102)。
【0030】
認証サーバ16は、この例では、認証DB23に基づいて、ログイン判定要求ARQに含まれるアカウントACNからのログインを許可と判定し、許可の判定結果を含んだログイン判定応答ARSを認証クライアントSW/WLCへ送信する(ステップS103)。これにより、認証クライアントSW/WLCは、当該アカウントACN、すなわちログインアカウントACNaからのネットワーク10へのログインを許可する(ステップS104)。
【0031】
具体的には、認証クライアントSW/WLCは、例えば、当該ログインアカウントACNaの送信元となる情報端末TMを対象に、パケットフィルタ等を用いて、当該情報端末TMのMACアドレスを送信元とするフレームの中継を許可する。その結果、情報端末TMは、ネットワーク10の利用が可能となる(ステップS1)。この際に、図1に示したように、ログインアカウントACNaがユーザID“UID2”の場合、認証クライアントSW/WLCは、ステップS101において、予め“UID2”と情報端末TM20のMACアドレス“MA20”との対応関係を保持しておけばよい。
【0032】
また、認証クライアントSW/WLCは、ステップS104の処理に伴い、ログ管理サーバ15へ認証結果ログLGを送信する(ステップS105)。認証結果ログLGには、ログインアカウントACNaと、ログイン時間LTと、認証クライアントの識別子CID、例えばIPアドレスとが含まれる。ログ管理サーバ15は、これらの情報(ACNa,LT,CID)をログDB21に登録する(ステップS106)。
【0033】
さらに、ログ管理サーバ15は、ログインアカウントACNaに対応する制限時間LLTを認証サーバ16から取得し(ステップS107)、ログDB21に登録する(ステップS108)。なお、この例では、ログ管理サーバ15は、ステップS105でログインアカウントACNaを受信したのちに、当該ログインアカウントACNaに対応する制限時間LLTを認証サーバ16から取得している。
【0034】
ただし、例えば、ログ管理サーバ15は、図1に示した認証DB23におけるアカウントACNと制限時間LLTとの対応関係を定期的に取得し、当該対応関係をメモリ20に保持することで、当該対応関係に基づいて、ログDB21に登録する制限時間LLTを定めてもよい。また、ここでは、ネットワーク管理者12は、アカウントACN毎の制限時間LLTを、認証サーバ16に登録したが、代わりに、ログ管理サーバ15に登録してもよい。この場合、ステップS107の処理は不要となる。ただし、認証に関する情報を一元管理する、すなわち、ネットワーク管理を効率化するという観点では、認証サーバ16に制限時間LLTを登録する方が望ましい。
【0035】
ステップS108ののち、ログ管理サーバ15は、ログDB21に登録されたログインアカウントACNaを対象に、ログイン時間LTからの経過時間を監視する(ステップS109)。そして、ログ管理サーバ15は、経過時間が制限時間LLTに達した場合、当該ログインアカウントACNaの通信遮断命令CBを認証クライアントSW/WLCへ送信する(ステップS110)。
【0036】
認証クライアントSW/WLCは、通信遮断命令CBを受信し、当該通信遮断命令CBに含まれるログインアカウントACNaからのネットワーク10へ通信を遮断する(ステップS111)。具体的には、認証クライアントSW/WLCは、当該ログインアカウントACNaの送信元となる情報端末TMを対象に、パケットフィルタ等を用いて、当該情報端末TMのMACアドレスを送信元とするフレームの中継を遮断する。その結果、情報端末TMは、ネットワーク10を利用できなくなる(ステップS2)。すなわち、ステップS101に戻り、再度のログイン要求LRQが必要とされる状態になる。
【0037】
なお、ステップS111の処理が行われたのちのログイン要求LRQに対する許可/拒否は、例えば、認証サーバ16の登録内容に基づいて定められればよい。具体的には、認証サーバ16において、例えば、ログインを1回限り許可、制限無く許可、時間指定で許可等の制約を設ければよい。また、制限時間LLTに達する前にログアウトが行われた場合、ログ管理サーバ15は、ログアウトされた旨を表すログを受信する。この場合、当該ログアウトされたアカウントACNは、ログDB21におけるログインアカウントACNaから除外され、制限時間LLTの監視対象から除外される。
【0038】
<ログ管理サーバ(サーバ装置)の詳細>
図3は、図1におけるログ管理サーバの主要部の構成例を示す概略図である。図3に示すログ管理サーバ(サーバ装置)15は、ログDB21を保持するメモリ20に加えて、ログ受信部25と、制限時間取得部26と、経過時間監視部27と、通信遮断命令送信部28とを備える。メモリ20は、例えば、HDD(Hard Disk Drive)やSSD(Solid State Drive)等の不揮発性メモリと、DRAM(Dynamic Random Access Memory)やSRAM(Static RAM)等の揮発性メモリとの組み合わせで構成される。
図3は、図1におけるログ管理サーバの主要部の構成例を示す概略図である。図3に示すログ管理サーバ(サーバ装置)15は、ログDB21を保持するメモリ20に加えて、ログ受信部25と、制限時間取得部26と、経過時間監視部27と、通信遮断命令送信部28とを備える。メモリ20は、例えば、HDD(Hard Disk Drive)やSSD(Solid State Drive)等の不揮発性メモリと、DRAM(Dynamic Random Access Memory)やSRAM(Static RAM)等の揮発性メモリとの組み合わせで構成される。
【0039】
ログ受信部25、制限時間取得部26、経過時間監視部27および通信遮断命令送信部28は、例えば、プロセッサがメモリ20に格納された所定のプログラムを実行することで実現される。ログ受信部25は、図2のステップS105,S106に示したように、認証クライアントSW/WLCからの認証結果ログLGを受信し、ログの情報をログDB21に登録する。制限時間取得部26は、図2のステップ107,S108に示したように、認証サーバ16からログインアカウントACNaの制限時間を取得し、ログDB21に登録する。
【0040】
経過時間監視部27は、図2のステップS109に示したように、ログDB21に基づいて、ログインアカウントACNaにおけるログイン時間LTからの経過時間を監視し、経過時間が制限時間LLTに達したか否かを判定する。通信遮断命令送信部28は、図2のステップS110に示したように、経過時間監視部27の監視結果に基づいて、制限時間LLTに達したログインアカウントACNaの通信遮断命令CBを、ログDB21に基づいて得られる認証クライアントSW/WLCへ送信する。
【0041】
<実施の形態1の主要な効果>
以上、実施の形態1のネットワークシステムおよびサーバ装置を用いることで、認証クライアントSW/WLCの機能に依らず、ユーザによるネットワーク10への接続時間を制限することが可能になる。具体的には、認証クライアントSW/WLCがRADIUSアカウンティング機能やセッションタイムアウトの設定機能を有しない場合であっても、ログ管理サーバ15が、ログDB21に基づいて制限時間LLTを監視することで、ユーザによるネットワーク10への接続時間を制限できるようになる。その結果、RADIUSアカウンティング機能等に対応しない既存の認証クライアントSW/WLCを交換する必要性がなくなるため、コストの増大を抑制できる。
以上、実施の形態1のネットワークシステムおよびサーバ装置を用いることで、認証クライアントSW/WLCの機能に依らず、ユーザによるネットワーク10への接続時間を制限することが可能になる。具体的には、認証クライアントSW/WLCがRADIUSアカウンティング機能やセッションタイムアウトの設定機能を有しない場合であっても、ログ管理サーバ15が、ログDB21に基づいて制限時間LLTを監視することで、ユーザによるネットワーク10への接続時間を制限できるようになる。その結果、RADIUSアカウンティング機能等に対応しない既存の認証クライアントSW/WLCを交換する必要性がなくなるため、コストの増大を抑制できる。
【0042】
(実施の形態2)
<ログ管理サーバ(サーバ装置)の詳細>
図4は、実施の形態2によるネットワークシステムにおいて、図1におけるログ管理サーバの主要部の構成例を示す概略図である。図4に示すログ管理サーバ15aは、図3に示した構成例と比較して、次の点が異なっている。1点目の相違点として、ログDB21aの登録内容が異なる。2点目の相違点として、メモリ20内に対象判別情報30が追加される。3点目の相違点として、経過時間監視部27aの処理内容が若干異なる。4点目の相違点として、事前通知送信部31が追加される。事前通知送信部31は、例えば、プロセッサがメモリ20に格納された所定のプログラムを実行することで実現される。
<ログ管理サーバ(サーバ装置)の詳細>
図4は、実施の形態2によるネットワークシステムにおいて、図1におけるログ管理サーバの主要部の構成例を示す概略図である。図4に示すログ管理サーバ15aは、図3に示した構成例と比較して、次の点が異なっている。1点目の相違点として、ログDB21aの登録内容が異なる。2点目の相違点として、メモリ20内に対象判別情報30が追加される。3点目の相違点として、経過時間監視部27aの処理内容が若干異なる。4点目の相違点として、事前通知送信部31が追加される。事前通知送信部31は、例えば、プロセッサがメモリ20に格納された所定のプログラムを実行することで実現される。
【0043】
図5は、図4におけるログDBおよび対象判別情報の構成例を示す概略図である。図5に示すログDB21aは、図1の構成例と比較して、さらに、ログインアカウントACNa毎のMACアドレスMA、IPアドレスIPA、メールアドレスMLAおよび事前通知送信情報35が追加されている。認証クライアントSW/WLCは、例えば、図2に示されるステップS101において、ログインアカウントACNa毎のMACアドレスMAを取得することができる。認証クライアントSW/WLCは、図2に示されるステップS105において、当該MACアドレスMAを含んだ認証結果ログLGを送信すればよい。
【0044】
ログインアカウントACNa毎のIPアドレスIPAは、例えば、特許文献1に示されるように、ログ管理サーバ15aが、ネットワーク10に接続される図示しないDHCP(Dynamic Host Configuration Protocol)サーバから、MACアドレスとIPアドレスとの対応関係を表すDHCPログを受信することで取得され得る。ログインアカウントACNa毎のメールアドレスMLAは、特に、アクティブディレクトリ等のディレクトリサーバ17によって保持される場合が多い。この場合、認証クライアントSW/WLCは、認証サーバ16から当該メールアドレスMLAを含んだログイン判定応答ARSを受信し、当該メールアドレスMLAを含んだ認証結果ログLGを送信すればよい。
【0045】
ログDB21a内のMACアドレスMAまたはIPアドレスIPAは、例えば、ログ管理サーバ15が、図2に示されるステップS110において通信遮断命令CBを送信する際に、遮断対象となるログインアカウントACNaと等価な情報として送信され得る。例えば、認証クライアントSW/WLCは、通信を遮断する際に、パケットフィルタ等に、MACアドレスMAまたはIPアドレスIPAを設定する場合が多い。MACアドレスMAまたはIPアドレスIPAを含んだ通信遮断命令CBを用いると、このような場合に容易に対応することが可能になる。メールアドレスMLAおよび事前通知送信情報35は、後述する事前通知送信部31で用いられる。
【0046】
図5に示す対象判別情報30は、認証クライアントSW/WLCが通信遮断命令CBの送信対象であるか非送信対象であるかを表す情報である。対象判別情報30は、予め、ネットワーク管理者12によって定められる。例えば、図1において、認証スイッチSWは、RADIUSアカウンティング機能等を有しておらず、無線LANコントローラWLCは、RADIUSアカウンティング機能等を有している場合を仮定する。この場合、無線LANコントローラWLCでは、RADIUSアカウンティング機能等を用いて、ログインアカウントACNa毎の制限時間LLTを管理したい場合がある。
【0047】
ただし、この場合、ログ管理サーバ15による制限時間LLTの管理も併用すると、無線LANコントローラWLCにおいて、重複する通信遮断命令が生じ、これらのタイムラグも生じ得るため、意図しない制御が行われるおそれがある。そこで、対象判別情報30が設けられる。図5に示される例では、認証クライアントの識別子CID毎に対象/非対象が定められ、IPアドレスIPA1を有する認証スイッチSWが対象に、IPアドレスIPA2を有する無線LANコントローラWLCが非対象に定められる。
【0048】
ログ管理サーバ15a、具体的には、経過時間監視部27aは、対象判別情報30に基づいて、非送信対象の認証クライアント、図5に示される例では無線LANコントローラWLCからのログインアカウントACNaに対しては、経過時間の監視を行わない。これに伴い、ログ管理サーバ15a、具体的には、通信遮断命令送信部28は、非送信対象の認証クライアントである無線LANコントローラWLCには、通信遮断命令CBを送信しない。
【0049】
事前通知送信部31は、ログイン時間LTからの経過時間が制限時間LLTに達する前に、対象のログインアカウントACNaを有するユーザへ、制限時間LLTが迫っていることを表す事前通知を送信する。具体的には、例えば、経過時間監視部27aは、制限時間LLTに達したログインアカウントACNaの有無に加えて、それよりも前の予め定められた時間である事前通知時間に達したログインアカウントACNaの有無も監視する。
【0050】
事前通知送信部31は、経過時間監視部27aの監視結果に基づいて、事前通知時間に達したログインアカウントACNaを有するユーザへ、例えば、メールを用いて事前通知を送信する。この際のメールアドレスMLAは、ログDB21aに基づいて定められる。また、事前通知送信部31は、事前通知を送信した場合、ログDB21a内の事前通知送信情報35に、送信済を登録する。
【0051】
図6は、図4における経過時間監視部の処理内容の一例を示すフロー図である。経過時間監視部27aは、図6の処理を所定の制御周期で繰り返し実行する。まず、経過時間監視部27aは、ログDB21aに登録されるログインアカウントACNaが監視対象であるか否かを対象判別情報30に基づいて判別し、監視対象のログインアカウントACNa毎にログイン時間LTからの経過時間を監視する(ステップS201)。そして、経過時間監視部27aは、経過時間が事前通知時間に達したログインアカウントACNaの有無を判定する(ステップS202)。
【0052】
事前通知時間に達したログインアカウントACNaが有る場合(ステップS202:Yes)、経過時間監視部27aは、当該ログインアカウントACNaの経過時間が制限時間LLTにも達したか否かを判定する(ステップS203)。経過時間が制限時間LLTにも達した場合(ステップS203:Yes)、経過時間監視部27aは、通信遮断命令送信部28へ、制限時間LLTに達したログインアカウントACNaを通知し、処理を終了する(ステップS204)。
【0053】
一方、事前通知時間に達したが制限時間LLTには達していないログインアカウントACNaが有る場合(ステップS202:Yes、ステップS203:No)、経過時間監視部27aは、ログDB21aに基づいて、当該ログインアカウントACNaへの事前通知が送信済か未送信かを判定する(ステップS205)。事前通知が未送信の場合(ステップS205:Yes)、経過時間監視部27aは、事前通知送信部31へ、事前通知が未送信であるログインアカウントACNaを通知し、処理を終了する(ステップS206)。なお、経過時間監視部27aは、ステップS202において事前通知時間に達したログインアカウントACNaが無い場合(“No”の場合)や、ステップS205で事前通知を送信済の場合(“No”の場合)にも、処理を終了する。
【0054】
<実施の形態2の主要な効果>
以上、実施の形態2のネットワークシステムおよびサーバ装置を用いることでも、実施の形態1で述べた各種効果と同様の効果が得られる。さらに、対象判別情報30を設けることで、RADIUSアカウンティング機能等を有する認証クライアントSW/WLCと、RADIUSアカウンティング機能等を有しない認証クライアントSW/WLCとが混在するネットワークシステムにおいて、制限時間LLTを不都合なく管理することができる。さらに、事前通知送信部31を設けることで、例えば、ユーザがネットワーク10を利用している途中で、予期せぬネットワーク遮断が生じるような事態を防止できる。
以上、実施の形態2のネットワークシステムおよびサーバ装置を用いることでも、実施の形態1で述べた各種効果と同様の効果が得られる。さらに、対象判別情報30を設けることで、RADIUSアカウンティング機能等を有する認証クライアントSW/WLCと、RADIUSアカウンティング機能等を有しない認証クライアントSW/WLCとが混在するネットワークシステムにおいて、制限時間LLTを不都合なく管理することができる。さらに、事前通知送信部31を設けることで、例えば、ユーザがネットワーク10を利用している途中で、予期せぬネットワーク遮断が生じるような事態を防止できる。
【0055】
以上、本発明者によってなされた発明を実施の形態に基づき具体的に説明したが、本発明は前記実施の形態に限定されるものではなく、その要旨を逸脱しない範囲で種々変更可能である。例えば、前述した実施の形態は、本発明を分かり易く説明するために詳細に説明したものであり、必ずしも説明した全ての構成を備えるものに限定されるものではない。また、ある実施の形態の構成の一部を他の実施の形態の構成に置き換えることが可能であり、また、ある実施の形態の構成に他の実施の形態の構成を加えることも可能である。また、各実施の形態の構成の一部について、他の構成の追加・削除・置換をすることが可能である。
【0056】
例えば、前述した各種プログラムは、非一時的な有形のコンピュータ可読記録媒体に格納された上で、コンピュータ装置に供給され得る。このような記録媒体として、例えば、ハードディスクドライブ等を代表とする磁気記録媒体、DVD(Digital Versatile Disc)やブルーレイディスク等を代表とする光記録媒体、フラッシュメモリ等を代表とする半導体メモリ等が挙げられる。
【符号の説明】
【0057】
10…ネットワーク、11a,11b…ユーザ、12…ネットワーク管理者、15,15a…ログ管理サーバ、16…認証サーバ、17…ディレクトリサーバ、18…アプリケーションサーバ、20,22…メモリ、21,21a…ログDB、23…認証DB、25…ログ受信部、26…制限時間取得部、27,27a…経過時間監視部、28…通信遮断命令送信部、30…対象判別情報、31…事前通知送信部、35…事前通知送信情報、ACN…アカウント、ACNa…ログインアカウント、ARQ…ログイン判定要求、ARS…ログイン判定応答、CB…通信遮断命令、CID…認証クライアントの識別子、IPA…IPアドレス、LG…認証結果ログ、LLT…制限時間、LRQ…ログイン要求、LT…ログイン時間、MA…MACアドレス、MLA…メールアドレス、P1~Pn…ポート、SW…認証スイッチ、TM,TM10,TM20…情報端末、TMm…管理端末、WLC…無線LANコントローラ
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】