図1は、本発明の第1の実施形態にかかるネットワーク管理システムの構成を示すブロック図である。ネットワーク管理システム1は、設備系システム10と、ネットワーク認証システム20とが連携制御装置30によって相互に接続されて構成されている。
設備系システム10は、セキュリティレベルの低い領域(低度セキュリティレベル領域)から、機密情報などを扱うセキュリティレベルの高い領域(高度セキュリティレベル領域)への入退室を管理する入退室管理装置である。
ネットワーク認証システム20は、設備系システム10で管理される高度セキュリティレベル領域内に構築されたネットワークである。ネットワーク認証システム20では、例えば、機密情報などを管理しており、認証されたユーザに対してのみ、ネットワークに接続された情報端末装置からのログオンを認め、機密情報へのアクセスを許可する。
設備系システム10としては、上述した低度セキュリティレベル領域から、高度セキュリティレベル領域への出入を管理する形態であればどのようなものであってもよいが、例えば、図1に示すように、高度セキュリティレベル領域と低度セキュリティレベル領域とを扉などで隔て、認証処理に応じて各領域への移動を認める設備系システムを適用することができる。
設備系システム10は、高度セキュリティレベル領域への入室を希望するユーザ全てに対して認証処理を行い、あらかじめ登録された正当なユーザのみを認証して高度セキュリティレベル領域への入室を許可する。また、設備系システム10は、高度セキュリティレベル領域から退室を希望するユーザに対して認証処理を行い、高度セキュリティレベル領域からの退室を許可する。低度セキュリティレベル領域と、高度セキュリティレベル領域とは、電気的な作用により施錠、解錠することができる電気錠を備える扉(ドア)によって隔てられている。
具体的には、設備系システム10は、高度セキュリティレベル領域外に設けられた入室用カードリーダ11により、ユーザが所有する、例えば非接触のICカード(Integrated Circuit)2の半導体メモリ内に格納された情報を読み取る。この読み取った情報のうちの被認証情報であるカードIDに基づき正当なユーザであると認証された場合に、入退室コントロールユニット13の制御により施錠されていた電気錠を解錠することで、高度セキュリティレベル領域への入室が許可される。
また、設備系システム10は、高度セキュリティレベル領域からの退室時には、高度セキュリティレベル領域内に設けられた退室用カードリーダ12により、ICカード2の上述した情報を読み取る。この読み取った情報のうちの被認証情報であるカードIDに基づき正当なユーザであると認証された場合に、入退室コントロールユニット13の制御により施錠されていた電気錠を解錠することで、高度セキュリティレベル領域からの退室が許可される。
設備系システム10は、このような認証処理により、施錠された電気錠を解錠する場合には、ユーザが所有するICカード2に格納された情報のうち、ICカード2を一意に特定するカードIDと、解錠した扉に固有の扉IDと、入室か退室かを示す情報と、入退室操作が行われた時刻(すなわち、電気錠が解錠された時刻)を示す入退室時刻とを入退室情報として入退室コントロールユニット13から後述する連携制御装置30に送信する。また、入退室コントロールユニット13が備える図示しない入退室ログ記憶部には、ユーザによって入退室操作が行われる度に、これらの入退室情報が順次記憶される。入室か退室かを示す情報は、例えば、入室用カードリーダ11又は退室用カードリーダ12をそれぞれ一意に特定する機器IDで示すようにしてもよい。
ネットワーク認証システム20は、高度セキュリティレベル領域内に構築され、端末装置21n(nは、自然数。)からのネットワークへの接続を、認証装置22および認証サーバ23による認証処理に応じて許可する。なお、以下の記載において、個別の端末装置21nのみならず、複数の端末装置21nを総称する場合も、端末装置21nという。
具体的には、ネットワーク認証システム20は、IEEE(米国電気電子技術者協会)802.1Xで策定されたLAN(Local Area Network)スイッチや無線LANアクセス・ポイントに接続するユーザを認証する技術を用いて、端末装置21nからのアクセス要求であるネットワーク接続要求に応じた認証処理を行う。IEEE802.1Xは、LANの利用の可否を制御するEthernet(登録商標)上のプロトコルである。また、ユーザの認証には、認証用プロトコルとしてRADIUS(Remote Authentication Dial-In-User-Service)を用いた通信により、認証すべきユーザを集中管理することができるRADIUSサーバが用いられる。
端末装置21nは、高度セキュリティレベル領域に入室したユーザによって使用可能な、いわゆるPC(Personal Computer)であり、認証装置22、認証サーバ23と情報のやり取りをし、ネットワークへの接続を要求するためのサプリカントと呼ばれる認証クライアント・ソフトウェアを保持している。
認証装置22は、複数の端末装置21nに対して有線又は無線で接続され、認証サーバ23と端末装置21nとの認証処理を中継する中継装置として機能する。認証装置22は、RADIUSサーバに対するRADIUSクライアントとして機能し、RADIUSサーバとの通信には、認証用プロトコルとしてRADIUSを用いた通信を行う。認証装置22は、認証装置22a、22bのような、IEEE802.1X、RADIUSに対応したLANスイッチや無線LANアクセス・ポイントなどであり、認証サーバ23と連携してポート毎に端末装置21nをネットワークへ接続する。
認証サーバ23は、RADIUS認証におけるRADIUSサーバであり、端末装置21nを介して、ネットワークへの接続を要求するユーザに関する情報を保持する図示しないユーザ情報記憶部を備え、RADIUSクライアントである認証装置22を介して端末装置21nの認証処理を行い、認証結果に応じてネットワークへの接続の可否を通知する。認証サーバ23が備える図示しないユーザ情報記憶部は、ユーザをネットワークにおいて一意に特定するための被認証情報であるアカウントIDとアカウントIDに対応するパスワードを保持している。
ネットワーク認証システム20による実際の認証手順は、EAP(Extensible Authentication Protocol)によって規定される。ネットワーク認証システム20では、IEEE802.1Xで使用できる様々なEAP、例えば、EAP−MD5(EAP−Message Digest alogorithm5)、PEAP(Protected-EAP)といった認証処理にユーザID(アカウントID)とパスワードとを入力することが要求されるEAPや、デジタル電子証明書を使って認証するEAP−TLS(EAP-Transport Layer Security)などを利用できる。
図2は、連携制御装置30のシステム構成を示すブロック図である。連携制御装置30は、外部システムI/F(インターフェース)31と、情報変換部32と、内部データベース33と、ネットワークI/F(インターフェース)34と、RADIUS認証部35と、認証処理部36と、認証状態制御部37と、情報管理部38と、認証ログ記憶部39と、取得ログ記憶部40と、生存確認部41と、状態合わせ部43と、通信制御部42とを備えている。
連携制御装置30は、ネットワーク認証システム20の認証装置22と認証サーバ23との間で、認証処理時にやり取りされる認証用のパケットを経由するように設けられ、設備系システム10とネットワーク認証システム20とを連携制御する。
連携制御装置30は、設備系システム10から送信される情報を用いて、低度セキュリティレベル領域から高度セキュリティレベル領域への移動などといった設備系システム10におけるユーザの出入状態(在室状態)の変化を把握し、このユーザの出入状態の変化に応じて、端末装置21nから認証装置22を介して認証サーバ23へとアクセス要求として送信される認証用のパケットであるネットワーク認証要求を通過させるのか、それとも通過させずに認証サーバ23での認証の事前に拒否してしまうのかを判断することができる。
また、連携制御装置30は、ユーザがネットワークへの接続が既に認証されている状態において、設備系システム10から送信される情報を利用して、高度セキュリティレベル領域から低度セキュリティレベル領域への移動などといった設備系システム10におけるユーザの出入状態の変化を把握し、このユーザの出入状態の変化に応じて、強制的に再認証要求を行い、認証結果に応じて認証拒否や接続されたネットワークを切断するよう制御することができる。
外部システムI/F31は、設備系システム10と当該連携制御装置30とを接続するための通信インターフェースである。外部システムI/F31を介した設備系システム10と連携制御装置30との通信は、例えば、Ethernet(登録商標)などの通信規格を利用することができる。また、外部システムI/F31を介した設備系システム10と連携制御装置30との通信は、TCP/IPベースの通信に限らず、非IPのフィールドバスなどを利用することもできる。
情報変換部32は、外部システムI/F31を介して、連携制御装置30に入力された情報を所定のデータ形式に変換して内部データベース33へ格納させる。
内部データベース33は、連携制御装置30で利用する各種情報を記憶するデータベースであり、ユーザ毎に定義された静的な情報を記憶するユーザ情報記憶部33Aと、ユーザの現在の状態を示す動的な情報を記憶する認証状態記憶部33Bと、設備系システム10やネットワーク認証システム20に関連して定義された静的な情報を記憶するシステム情報記憶部33Cとを備えている。
ユーザ情報記憶部33Aは、ユーザをネットワークにおいて一意に特定するための被認証情報であるアカウントID毎に、あらかじめ登録されたユーザが保持しているICカード2のカードIDと、このユーザがネットワーク認証された際に、認証を維持できる時間を示した滞在可能時間情報とを関係付けて記憶している。ユーザ情報記憶部33Aに記憶された情報は、静的情報であり、一旦設定されると新たなユーザ登録やシステム変更などがあるまで変更されず保持される。ユーザ情報記憶部33Aの情報の更新処理は、後述する情報管理部38にて実行される。
図3は、ユーザ情報記憶部33Aで記憶保持している情報とその内容との一例を示す説明図である。カードIDは、設備系システム10の出入時に使用されるICカード2のカードIDである。情報変換部32は、設備系システム10からカードIDを通知された場合に、ユーザ情報記憶部33Aを参照することでアカウントIDを取得し、このアカウントIDに基づき認証状態記憶部33Bの更新処理などを実行する。また、1人のユーザが、ICカード2を複数枚所持している場合もあるため、このカードIDは、一つのアカウントIDに対して複数登録される場合もある。
滞在可能時間情報は、このアカウントIDで特定されるユーザに与えられた、ネットワーク認証を維持することが認められた時間を示す情報である。この滞在可能時間情報は、ネットワークの再認証時に、ユーザが現在までどれだけネットワークを使用したかを示す時間情報と比較され、ネットワーク使用時間が、滞在可能時間を超えた場合には、ネットワークへの再認証要求が無効とされる。ユーザが現在までどれだけネットワークを使用したかを示す時間情報は、認証状態記憶部33Bに記憶されているネットワーク認証が許可された時刻を示す後述する認証時刻情報から認証処理部36によって求められる。
認証状態記憶部33Bは、ユーザをネットワークにおいて一意に特定するための被認証情報であるアカウントID毎に、滞在中領域番号情報と、入り時刻情報と、認証時刻情報と、認証装置IDと、認証装置ポート番号情報とを関係付けて記憶している。認証状態記憶部33Bに記憶される情報は、動的情報であり、設備系システム10で管理されているユーザの出入状態、ネットワーク認証システム20で管理されているユーザのネットワーク認証状態などに応じて情報変換部32、認証処理部36により随時更新されていく。
図4は、認証状態記憶部33Bに記憶される情報とその内容との一例を示す説明図である。滞在中領域番号情報は、ユーザが、現在、滞在しているセキュリティレベル領域、例えば、高度セキュリティレベル領域、低度セキュリティレベル領域を特定する番号情報である。設備系システム10の各セキュリティレベル領域は、それぞれを一意に特定する識別番号が付与されている。情報変換部32は、設備系システム10において状態変化、すなわち、入退室操作を伴うセキュリティレベル領域間のユーザの移動があった際に通知される情報から、ユーザが現在どのセキュリティレベル領域にいるのかを特定して、そのセキュリティレベル領域を示す領域番号情報を滞在中領域番号情報として、認証状態記憶部33Bに記憶させる。換言すれば、この滞在中領域番号情報を参照することにより、セキュリティレベル領域におけるユーザの在室状態を把握することができる。
例えば、設備系システム10では、状態変化があった場合に、入退室コントロールユニット13から入室扉ID又は退室扉IDが送信される。情報変換部32は、この入室扉ID又は退室扉IDを用いて、後述するシステム情報記憶部33Cに入室扉ID、退室扉IDと関係付けて記憶されているセキュリティレベル領域を特定する領域番号情報を取得し、この領域番号情報を滞在中領域番号情報として、認証状態記憶部33Bに書き込む。ユーザ状態記憶部33Bに滞在中領域番号情報は、これが記憶されることにより、この滞在中領域番号情報に対応する高度セキュリティレベル領域に対して、ユーザが在室状態であることを意味する。
入り時刻情報は、滞在中領域番号情報として示されるセキュリティレベル領域での滞在が開始された時刻を示している。例えば、設備系システム10では、状態変化があった場合に、入退室コントロールユニット13から入退室時刻を含む入退室情報が送信される。情報変換部32は、この入退室時刻を入り時刻情報として、認証状態記憶部33Bに書き込む。
認証時刻情報は、ユーザのネットワーク認証が許可された時刻を示している。認証処理部36は、ネットワーク再認証時に、この認証時刻情報から、ユーザのネットワーク利用時間を求め、このネットワーク利用時間と、ユーザ毎に規定されている滞在可能時間情報又はセキュリティレベル領域毎に規定されている滞在可能時間情報との比較に使用する。
認証装置IDは、ネットワーク認証要求を送信したユーザが端末装置21nを介して接続している認証装置22のIPアドレスを示している。この認証装置IDは、SNMPによる強制切断処理時に使用される。
認証装置ポート番号情報は、ネットワーク認証要求を送信したユーザが端末装置21nを介して接続している認証装置22のポート番号を示している。この認証装置ポート番号情報は、SNMPによる強制切断処理時に使用される。
システム情報記憶部33Cは、設備系システム10の各セキュリティレベル領域をそれぞれ一意に特定するための識別番号である領域番号情報毎に、入室扉IDと、退室扉IDと、利用可能時刻情報と、滞在可能時間情報と、認証装置IDとを関係付けて記憶している。システム情報記憶部33Cに記憶された情報は、静的情報であり、一旦設定されるとシステム変更などがあるまで変更されずに保持される。システム情報記憶部33Cの情報更新処理は、後述する情報管理部38にて実行される。
図5は、システム情報記憶部33Cで記憶保持している情報とその内容との一例を示す説明図である。入室扉ID、退室扉IDは、設備系システム10のように扉によってセキュリティレベル領域が隔てられている設備系システム10に対応するために用意されている。
入室扉IDは、設備系システム10に設けられた入口扉のIDであり、入口扉と1対1で対応している設備系システム10の入室用カードリーダ11のIDを使用する。退室扉IDは、設備系システム10に設けられた出口扉のIDであり、出口扉と1対1で対応している設備系システム10の退室用カードリーダ12のIDを使用する。入室扉ID、退室扉IDは、セキュリティレベル領域に設けられている扉の数に応じて、複数設定することができる。
利用可能時刻情報は、このセキュリティレベル領域にて、ネットワークの利用が許可されている時間帯を示す情報である。具体的には、利用可能時刻情報は、ネットワークの利用が許可されている開始時刻情報と、終了時刻情報とを対にした時刻情報である。この利用可能時刻情報は、ネットワークの認証時、再認証時にて使用される。
滞在可能時間情報は、このセキュリティレベル領域にて、ネットワークの認証が認められる時間を示した情報である。滞在可能時間情報は、ネットワークの再認証時に、ユーザが現在までどれだけネットワークを使用したかを示す時間情報と比較され、ネットワーク使用時間が、滞在可能時間を超えた場合には、ネットワークへの再認証要求が無効とされる。このとき、当該システム情報記憶部33Cに記憶されている滞在可能時間情報、ユーザ情報記憶部33Aに記憶されている滞在可能時間情報のうち、いずれか時間の短い方が優先的に使用されることになる。
認証装置IDは、このセキュリティレベル領域に設置されている認証装置22のIPアドレスを示している。この認証装置IDは、セキュリティレベル領域に設定された認証装置22の数に応じて、複数設定することができる。
再び図2の参照するに、ネットワークI/F34は、連携制御装置30と、認証装置22、認証サーバ23との通信を行うための通信インターフェースである。ネットワークI/F34は、Ethernet(登録商標)やTCP/IPスタックに相当する。
RADIUS認証部35は、認証要求中継部35Aと、要求中継判断部35Bと、機器設定記憶部35Cとを備え、RADIUS認証に関連する処理を実行する。
認証要求中継部35Aは、RADIUS認証において認証装置22、認証サーバ23間で送受信されるRADIUSパケットを中継する。このとき、認証要求中継部35Aは、ネットワーク認証要求のRADIUSパケットに含まれるアカウントIDなど認証処理部36での認証処理に必要となる情報を取得する。またRADIUSの規格で定義されている認証符号の再計算を行う機能も有している。
要求中継判断部35Bは、認証処理部36でなされた認証判断に基づき、認証サーバ23に対してネットワーク認証要求を送信するか、ネットワーク認証要求を拒否するかの最終的な判断をする。要求中継判断部35Bは、拒否応答する場合には、拒否応答パケットを生成し認証装置22に送信する。
機器設定記憶部35Cは、RADIUS通信の正当性を確認するために必要となる認証装置22、認証サーバ23それぞれで保持される全ての秘密共有鍵を、通信相手のIPアドレスと対応付けて管理する。
認証処理部36は、認証装置22から送信されるネットワーク認証要求のRADIUSパケットに含まれるアカウントIDと、内部データベース33のユーザ情報記憶部33Aに記憶されている情報とを用いて認証処理をし、ネットワーク認証要求を認証サーバ23へと送信するのかどうかを判断する。
認証状態制御部37は、認証装置22が外部からの認証状態制御に対応している場合、ユーザの行動状態が変化したことに応じて、即座に認証状態をリセットするための要求を送信する。
この認証状態制御部37は、認証装置22が、MIB(Management Information Base)と呼ばれる管理情報データベースを保持している場合に動作する機能部である。具体的には、IETF(Internet Engineering Task Force )で標準化されたTCP/IPネットワーク環境での管理プロトコルであるSNMP (Simple Network Management Protocol)にて、上述した管理情報であるMIBを交換することで、当該認証状態制御部37により認証装置22を管理することができる。つまり、認証装置22にSNMPエージェントが与えられた場合に、認証状態制御部37は、SNMPマネージャとして機能する。例えば、MIBとしては、IEEE802.1xで規定されたものを使用することができる。
情報管理部38は、ユーザ情報記憶部33A、システム情報記憶部33Cに記憶されている静的情報や、機器設定記憶部35Cに記憶されている設定情報などを、HTTP(S)サーバやTelnetなどを利用して外部から管理することができる。
認証ログ記憶部39は、認証処理部36による認証処理結果や機器動作状態のログを記憶する。認証ログ記憶部39は、Syslog出力機能を有している。
取得ログ記憶部40は、設備系システム10から送信される入退室情報の取得のログを記憶する。この取得ログ記憶部40を参照することにより、最も直近に入退室情報を取得した時刻を把握することができる。なお、取得ログ記憶部40には、入退室情報を取得した一連の時刻が記憶されている必要はなく、最も直近に入退室情報を取得した時刻によって、従前に記憶されている時刻が更新されるような形態であってもよい。
生存確認部41は、所定周期で生存確認を行うことにより、設備系システム10に対する通信異常、すなわち、設備系システム10との通信が不可能なことを検出する。生存確認部41による生存確認の手法としては、例えば、設備系システム10から周期的に送信される生存確認信号に基づいて判断する手法が挙げられる。具体的には、生存確認部41は、生存の確認先である設備系システム10から生存確認信号が所定の待ち時間内に送信されてくるか否かを判断する。生存確認部41は、所定の待ち時間内に生存確認信号を取得した場合、設備系システム10に対する通信が可能なことを検出する。一方、所定の待ち時間内に生存確認信号を取得しなかった場合、設備系システム10に対する通信が不可能なことを検出する。
なお、生存確認の手法としては、生存確認部41から設備系システム10に対して生存確認信号を送信し、これに応答する生存確認応答を、所定の待ち時間の間に、設備系システム10から取得できなかった場合に、設備系システム10に対する通信が不可能なことを検出してもよい。
通信制御部42は、設備系システム10との間の通信接続の状態を制御する機能を担っている。この通信制御部42は、設備系システム10との間における通信接続を確立したり、また、その通信接続を切断したりすることができる。通信制御部42によって確立・切断される通信接続は論理的なコネクションである。また、通信制御部42は、設備系システム10との間の通信接続を確立させて状態で、その接続を開放することにより、設備系システム10から連携制御装置30への通信を許容することができる。
状態合わせ部43は、設備系システム10において管理されている入退室情報、すなわち、現在のセキュリティレベル領域におけるユーザの在室状態と、連携制御装置30側において管理されている入退室情報(具体的には、この入退室情報は内部データベース33の認証状態記憶部33Bに含まれている滞在中領域番号情報がこれに該当する)との状態が対応するように、状態合わせ処理を行う。具体的には、状態合わせ部43は、生存確認部41によって設備系システム10との通信が不可能なことが検出された後に、通信制御部42によって設備系システム10との間に通信可能な接続が確立された場合に、設備系システム10との通信が不可能だった期間に遡った入退室情報を設備系システム10に対して要求する。
後述するように、ネットワーク管理システム1において、連携制御装置30によって管理されるユーザの在室状態は、ネットワーク認証を行う上でも重要なものとなる。すなわち、連携制御装置30が管理するユーザの在室状態は、設備系システム10において管理されているセキュリティレベル領域におけるユーザの実際の在室状態との整合が図られている必要がある。そこで、以下、連携制御装置30による状態合わせ処理の手順について説明する。
図6は、第1の実施形態にかかる連携制御装置30によって実行される状態合わせ処理の動作を示すタイミングチャートである。まず、ユーザが、低度セキュリティレベル領域からネットワークが構築されている高度セキュリティレベル領域へと、設備系システム10によって管理された扉から入室するとする(入退室操作a)。具体的には、ユーザは、入室用カードリーダ11にICカード2を翳す。これに応じて、入退室コントロールユニット13は、ICカード2の半導体メモリに格納されている情報を読み取り、カードIDを認証して施錠された扉の電気錠を解錠する。
入退室コントロールユニット13は、ICカード2から読み取ったカードIDと、電気錠を解錠した扉を一意に特定する入室扉ID、入室であることを示す情報と、現在の時刻である操作時刻とを互いに関連付けた上で、この関連付けられた情報を入退室情報として図示しない入退室ログ記録部に記憶する。また、入退室コントロールユニット13は、連携制御装置30との間の通信接続が確立・開放されていることを前提に、ICカード2から読み取ったカードIDと、電気錠を解錠した扉を一意に特定する入室扉ID、入室であることを示す情報と、操作時刻とを入退室情報として、連携制御装置30に対して送信する。
このような一連の動作を前提として、ステップ1(S1)において、連携制御装置30は、外部システムI/F31を介して設備系システム10から入退室情報aを取得すると、これを認証処理で使用できるように変換し、内部データベース33の認証状態記憶部33Bに記憶させ、設備系システム10のセキュリティレベル領域におけるユーザの現在の在室状態を記憶する。
具体的には、情報変換部32は、入退室コントロールユニット13から送信されたICカード2のカードIDを用いて、ユーザ情報記憶部33Aを参照し、このカードIDに対応付けて記憶されているアカウントIDを取得する。また、情報変換部32は、入退室コントロールユニット13から送信された入室扉IDを用いて、システム情報記憶部33Cを参照し、この入室扉IDに対応付けて記憶されている高度セキュリティレベル領域を特定する領域番号情報を取得する。
そして、情報変換部32は、システム情報記憶部33Cから取得した領域番号情報を、ユーザが現在滞在している高度セキュリティレベル領域であることを示す滞在中領域番号情報として、ユーザ情報記憶部33Aから取得したアカウントIDと対応付けて、認証状態記憶部33Bに記憶させる。また、情報変換部32は、入退室コントロールユニット13から送信された操作時刻を、ユーザが高度セキュリティレベル領域での在室(滞在)を開始した入り時刻情報として、認証状態記憶部33Bに記憶させる。
また、連携制御装置30は、入退室情報aを取得した現在の時刻を、取得ログ記憶部40に記憶する。
なお、入室を例に説明を行ったが、ユーザが高度セキュリティレベル領域から退室したとしても、設備系システム10および連携制御装置30の動作は同じである。
ステップ2(S2)において、連携制御装置30の生存確認部41は、所定の実行周期に応じて設備系システム10から送信される生存確認を取得する。生存確認部41は、前回生存確認を取得した時点からカウントされている経過時間を参照し、所定の待ち時間の間に生存確認を取得しているか否かを判断する。この待ち時間は、設備系システム10から送信される生存確認の実行周期よりも大きな値に設定されている。
生存確認部41は、設備系システム10から取得した生存確認が、待ち時間の間に取得したことを判断すると、設備系システム10に対する通信が可能であることを検出する。生存確認部41によって通信が可能なことが検出された場合、連携制御装置30は、設備系システム10からの新たな入退室情報を取得すべく、待機する。
一方、ステップ3(S3)において、生存確認部41は、前回生存確認を取得した時点からカウントされている経過時間を参照し、この経過時間が所定の待ち時間に到達した場合には、設備系システムに対する通信が不可能であることを検出する。設備系システム10に対する通信が不可能なケースとしては、例えば、設備系システム10の故障等に起因してこれが正常に動作していないこと、ケーブルの損傷・接続不良等による設備系システム10と連携制御装置30との間の接続が物理的に切断されていることが考えられる。
生存確認部41によって通信が不可能なことが検出された場合、ステップ4(S4)において、通信制御部42は、設備系システム10との間に現在確立されている通信接続を切断した上で、設備系システム10に対して新たな通信接続の確立を要求する。設備系システム10と連携制御装置30との間の接続が物理的に切断されているケースでは、通信制御部42が、新たな接続の確立を設備系システム10に対して要求したとしても、設備系システム10がこれに応答しないため、設備系システム10と連携制御装置30との間の通信接続は確立されない。通信制御部42は、接続確立の要求にも拘わらず、設備系システム10がこれに応答しない場合には、所定の実行周期で、すなわち、所定の時間が経過した後に、通信接続の確立を再び要求する。
なお、設備系システム10と連携制御装置30との間の通信が不可能な期間であっても、設備系システム10は、セキュリティレベル領域におけるユーザの入退室を管理する。例えば、ユーザが、低度セキュリティレベル領域からネットワークが構築されている高度セキュリティレベル領域へと、入退室コントロールユニット13によって管理された扉から入室するとする(入退室操作b,c)。この場合、ステップ1と同様に、ICカード2から読み取ったカードIDと、電気錠を解錠した扉を一意に特定する入室扉ID、入室であることを示す情報と、現在の時刻である操作時刻とを互いに関連付けた上で、この関連付けられた情報を入退室情報として図示しない入退室ログ記録部に記憶する。なお、設備系システム10と連携制御装置30との間の通信接続が確立されていないため、設備系システム10による、連携制御装置30に対する入退室情報の送信は行われない。
ステップ5(S5)において、通信制御部42は、所定の実行周期の到来に応じて、接続確立の要求を行う。ケーブルの交換・再接続といったように、あるタイミングにおいて、設備系システム10と連携制御装置30との間の物理的な切断状態が復旧した場合には、設備系システム10がこれに応答するため、通信制御部42は、設備系システム10との間に新たな通信接続を確立する。そして、通信制御部42は、設備系システム10との間に通信可能な接続が確立したことを判断した上で、この通信接続を開放する。なお、通信制御部42は、設備系システム10に対して行った通信接続の確立要求の回数が、判定回数に到達した場合には、設備系システム10そのものに異常があるとの判断を行ってもよい。
ステップ6(S6)において、状態合わせ部43は、設備系システム10に対して状態あわせを要求する。この要求の前提として、状態合わせ部43は、取得ログ記憶部40を検索し、設備系システム10から入退室情報を取得した直近の取得時刻を特定する。状態合わせ部43は、この特定された取得時刻を状態合わせ時刻として設定すると、この状態合わせ時刻以降に該当する入退室情報を、設備系システム10に対して要求する。具体的には、状態合わせ部43は、入退室情報の送信要求とともに、状態合わせ時刻を設備系システム10に対して送信する。
設備系システム10において、入退室コントロールユニット13は、連携制御装置30から入退室情報の送信要求と、状態合わせ時刻を取得すると、状態合わせ時刻をキーとして、入退室ログ記憶部を参照し、この状態合わせ時刻よりも時間的に後の入退室操作b,cに応じて記憶された入退室情報b,cを検索する。入退室コントロールユニット13は、入退室ログ記憶部から入退室情報b,cをそれぞれ読み出すと、これを連携制御装置30に対してそれぞれ出力する。
ステップ7(S7)において、連携制御装置30は、外部システムI/F31を介して設備系システム10から入退室情報bを取得すると、これを認証処理で使用できるように変換し、内部データベース33の認証状態記憶部33Bに記憶させ、設備系システム10のセキュリティレベル領域におけるユーザの現在の在室状態を記憶する。また、ステップ8(S8)において、連携制御装置30は、外部システムI/F31を介して設備系システム10から入退室情報cを取得すると、これを認証処理で使用できるように変換し、内部データベース33の認証状態記憶部33Bに記憶させ、設備系システム10のセキュリティレベル領域におけるユーザの現在の在室状態を記憶する。
連携制御装置30は、このような状態合わせ処理によって、連携制御装置30が管理するセキュリティレベル領域におけるユーザの在室状態と、実際のセキュリティレベル領域におけるユーザの在室状態との整合を図ることを前提に、設備系システム10と、ネットワーク認証システム20との連携を以下に示すような動作によって行う。
図7は、連携制御装置30を用いたネットワーク管理システム1の基本処理動作を示すタイミングチャートである。高度セキュリティレベル領域に入室したユーザは、端末装置21nから認証装置22を介して、IEEE802.1Xの手順に従い、アクセス要求としてネットワーク認証要求を送信することでネットワークへの接続を試みる。初期状態では、端末装置21nとネットワーク間の回線は、認証装置22によって切断されているため、端末装置21nは、認証装置22との通信しか行うことができない。
まず、ステップ10(S10)において、ユーザは、ネットワークに接続するために、端末装置21nからアカウントID及びパスワードを入力し認証装置22へ認証用のパケットであるネットワーク認証要求を送信する。端末装置21nは、ネットワーク認証要求をEAPメッセージの入ったMAC(Media Access Control)フレームとして認証装置22へ送信する。このとき、アカウントIDは平文で、パスワードはハッシュ化された状態で送信される。
認証装置22は、MACフレームからEAPメッセージを取り出し、IPパケットに乗せ換え、連携制御装置30へと送信をする。具体的には、認証装置22は、IPの上位層のUDPを利用して、認証装置22から取り出したEAPメッセージをRADIUSパケットのデータ部分に格納して連携制御装置30へと送信する。
認証装置22と認証サーバ23とのRADIUS認証処理における認証シーケンスにおいて、認証装置22からネットワーク認証要求として送信される最初のRADIUSパケットのEAPメッセージにのみ、平文のアカウントIDであるEAP−Type=Identityデータが存在する。RADIUSパケットには、このアカウントIDの他に、認証装置22の情報として認証装置22のIPアドレス、端末装置21nが接続された認証装置22のポート番号などがRADIUS属性情報として記述されている。
ステップ11(S11)において、RADIUS認証部35の認証要求中継部35Aは、ネットワークI/F34を介して受信したネットワーク認証要求のRADIUSパケットのEAPメッセージに添付されたIdentityデータを取得して認証処理部36に出力する。また、認証要求中継部35Aは、受信したネットワーク認証要求のRADIUSパケットより認証装置22のIPアドレスを取得して認証処理部36に出力する。
ステップ12(S12)において、認証処理部36は、取得したIdentiyデータのアカウントIDをキーとして、内部データベース33の認証状態記憶部33Bに格納されているユーザの高度セキュリティレベル領域における現在の出入状態を示す情報である滞在中領域番号情報と、入り時刻情報とを要求する。また、認証処理部36は、取得した認証装置22のIPアドレスをキーとして、内部データベース33のシステム情報記憶部33Cに格納されている認証装置22の設置されている高度セキュリティレベル領域を特定する領域番号情報と、利用可能時刻情報とを要求する。この領域番号情報は、ネットワーク認証要求を送信した認証装置22が設置されている高度セキュリティレベル領域を示すことになる。
ステップ13(S13)において、認証処理部36は、認証状態記憶部33Bから取得したユーザの高度セキュリティレベル領域における現在の出入状態を示す情報である滞在中領域番号情報、入り時刻情報、システム情報記憶部33Cから取得した領域番号情報、利用可能時刻情報より、認証装置22から送信されたネットワーク認証要求を認証サーバ23へと転送してよいかどうかを判断する。
また、認証状態記憶部33Bから取得した情報より、該当するユーザが高度セキュリティレベル領域に存在し、既にネットワーク上での認証がなされていることが示されている場合には、ネットワーク認証要求をしてきたユーザは、不当なユーザであることが分かるため認証状態記憶部33Bの認証状態を認証中から切断中に書き換えるようにしてもよい。
ステップ14(S14)において、認証処理部36は、ユーザ情報記憶部33Aから取得したユーザの高度セキュリティレベル領域における現在の出入状態を示す情報である滞在中領域番号情報とシステム情報記憶部33Cから取得した領域番号情報とを比較して、高度セキュリティレベルにユーザが存在し、この高度セキュリティレベル領域からネットワーク認証要求がさなれたと確認でき、さらに、システム情報記憶部33Cから取得した利用可能時刻情報と現在の時刻とを比較して、この高度セキュリティレベル領域のネットワークを利用することが許可された時刻であることが確認できたことに応じて認証判断をRADIUS認証部35の要求中継判断部35Bに通知する。
ステップ15(S15)において、要求中継判断部35Bは、認証処理部36からの認証判断に応じて、認証サーバ23へネットワーク認証要求を送信する最終的な判断をし、ネットワークI/F34を介して、ネットワーク認証要求を認証サーバ23へ送信する。
ステップ16(S16)において、認証処理部36は、認証状態記憶部33Bから取得したユーザの高度セキュリティレベル領域における現在の出入状態を示す情報である滞在中領域番号情報とシステム情報記憶部33Cから取得した領域番号情報とを比較して、高度セキュリティレベル領域にユーザが存在することが確認できなかったり、ユーザが存在している高度セキュリティレベル領域からネットワーク認証要求が送信されていないことに応じて、又は、システム情報記憶部33Cから取得した利用可能時刻情報と現在の時刻とを比較して、この高度セキュリティレベル領域のネットワークを利用することが許可されていない時刻であることが確認できたことに応じて拒否判断をRADIUS認証部35の要求中継判断部35Bに通知する。
ステップ17(S17)において、要求中継判断部35Bは、認証処理部36からの拒否判断に応じて、認証サーバ23へのネットワーク認証要求の送信を拒否し、拒否応答パケットを生成して、ネットワークI/F34を介して認証装置22へ送信する。認証装置22は、送信された拒否応答パケットに基づき、端末装置21nにネットワーク認証要求を拒否したことを示す拒否応答を通知する。
ステップ18(S18)において、認証サーバ23へネットワーク認証要求が送信されたことに応じて、EAPメッセージが添付された認証サーバ23から送信される応答パケット、端末装置21nから送信される要求パケットをやり取りすることで、ユーザのネットワーク上での認証処理が実行される。
具体的には、認証サーバ23は、ネットワーク認証要求に添付されたアカウントIDをキーとして、図示しないユーザ情報記憶部に格納されている情報との照合処理を行う。認証サーバ23は、送信されたアカウントIDに関連付けられてユーザ情報記憶部に格納されている対象となるユーザのパスワードを所定のハッシュ関数でハッシュ化し、ネットワーク認証要求に添付されたハッシュ化されているパスワードと比較をし、ハッシュ化されたパスワード同士が一致するかどうか確認をする。
このとき、連携制御装置30の認証要求中継部35Aは、端末装置21nと認証サーバ23との要求パケット、応答パケットに対して何も施さずにスルーする。認証装置22は、上述したようなEAPメッセージの乗せ換えだけを行う中継装置として機能する。
ステップ19(S19)において、認証サーバ23は、当該認証サーバ23による認証がなされたことを示す認証許可通知、認証されなかったことを示す認証不許可通知のいずれかを、連携制御装置30のRADIUS認証部35を介して認証装置22に送信する。
認証装置22は、認証サーバ23から認証許可通知を受け取った場合には、端末装置21nとネットワークとの回線を開放する。これにより、ユーザは、端末装置21nを介してネットワークへアクセスすることができネットワーク上の他の端末装置との通信が可能となる。
認証装置22は、認証サーバ23から認証不許可通知を受け取った場合には、端末装置21nとネットワークとの回線を開放せずに、認証不許可である旨を通知するメッセージを端末装置21nに送信する。
ステップ20(S20)において、認証サーバ23から認証許可通知を受け取った場合、RADIUS認証部35の認証要求中継部35Aは、ネットワークの認証結果を内部データベース33の認証状態記憶部33Bに記憶させる。認証状態記憶部33Bに記憶させる情報としては、例えば、アカウントID、端末装置21nが接続されている認証装置22を一意に特定する機器ID、ネットワークへの接続が開放されているポート番号、認証が許可された認証時刻などである。
このようにして、連携制御装置30によって設備系システム10と、ネットワーク認証システム20とが相互に接続され連携されたネットワーク管理システム1では、検出される設備系システム10におけるユーザの高度セキュリティレベル領域における現在の出入状態に基づき、連携制御装置30が、端末装置21nからなされるネットワーク認証要求の正当性を認証サーバ23へ通知する前段で判断する。
これにより、既存のシステムに連携制御装置30を追加(アドオン)するだけで、設備系システム10と、ネットワーク認証システム20との連携を容易に図ることができるため、ネットワーク構築に労力をかけずに、高度セキュリティレベルへ不正に侵入したユーザのネットワークへの接続を排除することができるネットワーク管理システムを低コストで構築することができる。
また、連携制御装置30を設けることで、認証サーバ23において、端末装置21nから要求される疑わしいネットワーク認証要求に対する無駄な認証処理を実行する必要がないため、認証サーバ23の処理負荷、及びネットワークの負荷を大幅に低減することができる。
このように本実施形態によれば、設備系システム10との間に通信可能な接続が新たに確立されたことを条件として、連携制御装置30によって、その通信が不可能となっていた期間に遡った入退室情報が設備系システム10に対して要求される。これにより、通信が不可能な間に設備系システム10において管理されている入退室情報を、連携制御装置30側で取得することが可能となる。そのため、セキュリティレベル領域におけるユーザの現在の在室状態と、連携制御装置30側で管理している在室状態との整合を図ることが可能となる。
また、本実施形態によれば、入退室情報を設備系システム10から取得した時刻を記憶する取得ログ記憶部40を参照し、状態合わせ時刻が設定される。これにより、設備系システム10と連携制御装置30との間で通信が不可能だった期間に該当する入退室情報を取得することが可能となる。そのため、余分な情報を取得することなく、連携制御装置30において反映することができなかった情報のみを取得することができる。
なお、本実施形態では、入退室情報を設備系システム10から取得した時刻を記憶する取得ログ記憶部40を参照し、状態合わせ時刻を設定しているが本発明はこれに限定されない。例えば、連携制御装置30は、内部データベース33の在室状態、すなわち、認証状態記憶部33Bの滞在中状態領域番号情報または入り時刻情報が記憶(更新)された最後の時刻を、状態合わせ時刻として設定してもよい。
なお、設備系システム10との通信が不可能となってからの長時間が経過したといったケースでは、その間に設備系システム10において多くの入退室操作が行われている可能性がある。そのため、状態合わせ時刻まで遡って入退室情報を要求した場合に、膨大な量の入退室情報を処理しなければならず、連携制御装置30の処理負荷が増大してしまうことが考えられる。そこで、状態合わせ部43は、例えば、24時間といったように、予め基準期間を設定しておき、通信可能な接続が確立されたタイミングからこの基準期間まで遡った時刻(上限時刻)と、状態合わせ時刻とを比較する。そして、状態合わせ時刻が上限時刻よりも古い、すなわち、状態合わせ時刻が上限時刻よりも時間的に前に存在している場合には、上限時刻以降に該当する入退室情報を、設備系システム10に対して要求してもよい。これにより、連携制御装置30における状態合わせにともなって処理する入退室情報の量を制限することができるので、連携制御装置30の処理負荷を軽減することできる。
また、システム構成を簡素化するといった観点では、入退室情報を取得した時刻を記憶させなくてもよい。この場合、通信可能な接続が確立されてから、所定の期間遡った時刻(基準時刻)を状態合わせ時刻として設定してもよい。ただし、このケースでは、基準時刻以前に該当する入退室情報を連携制御装置30側に反映することはできないが、在室状態は最終的な状態が連携制御装置30側に反映されていればよいので、基準時刻以降にユーザが入退室操作を行っていれば、その状態を連携制御装置30側に反映することは可能である。
(第2の実施形態)
図8は、本発明の第2の実施形態にかかるネットワーク管理システムの構成を示すブロック図である。第2の実施形態にかかるネットワーク管理システム1が、第1の実施形態のそれと相違する点は、設備系システム10が、第1の高度セキュリティレベル領域の入退室を管理する第1の設備系システム10aと、この第1の高度セキュリティレベル領域とは異なる第2の高度セキュリティレベル領域の入退室を管理する第2の設備系システム10bとで構成されている。この第1および第2の設備系システム10a,10bは、個々の高度セキュリティレベル領域への入室を希望するユーザ全てに対して認証処理を行い、あらかじめ登録された正当なユーザのみを認証して高度セキュリティレベル領域への入室を許可する。また、第1および第2の設備系システム10a,10bは、個々の高度セキュリティレベル領域から退室を希望するユーザに対して認証処理を行い、高度セキュリティレベル領域からの退室を許可する。低度セキュリティレベル領域と、高度セキュリティレベル領域とは、電気的な作用により施錠、解錠することができる電気錠を備える扉(ドア)によって隔てられている。なお、個々の設備系システム10a,10b、ネットワーク認証システム20および連携制御装置30の構成については、第1の実施形態で詳述した通りであり、同一の符号を付することによってその詳細な説明は省略する。以下、本実施形態の特徴の一つである、第1および第2の設備系システム10a,10bに対する連携制御装置30による状態合わせ処理について説明する。
図9は、第2の実施形態にかかる連携制御装置30によって実行される状態合わせ処理の動作を示すタイミングチャートである。まず、ユーザが、低度セキュリティレベル領域からネットワークが構築されている第1の高度セキュリティレベル領域へと、第1の設備系システム10aによって管理された扉から入室するとする(入退室操作a)。具体的には、ユーザは、入室用カードリーダ11にICカード2を翳す。これに応じて、入退室コントロールユニット13は、ICカード2の半導体メモリに格納されている情報を読み取り、カードIDを認証して施錠された扉の電気錠を解錠する。
第1の設備系システム10aにおいて、入退室コントロールユニット13は、ICカード2から読み取ったカードIDと、電気錠を解錠した扉を一意に特定する入室扉ID、入室であることを示す情報と、現在の時刻である操作時刻とを互いに関連付けた上で、この関連付けられた情報を入退室情報として図示しない入退室ログ記録部に記憶する。また、入退室コントロールユニット13は、連携制御装置30との通信接続が確立・開放されていることを前提に、ICカード2から読み取ったカードIDと、電気錠を解錠した扉を一意に特定する入室扉ID、入室であることを示す情報と、操作時刻とを入退室情報として、連携制御装置30に対して送信する。
このような一連の動作を前提として、ステップ30(S30)において、連携制御装置30は、外部システムI/F31を介して第1の設備系システム10aから入退室情報aを取得すると、これを認証処理で使用できるように変換し、内部データベース33の認証状態記憶部33Bに記憶させ、設備系システム10の高度セキュリティレベル領域におけるユーザの現在の在室状態を記憶する。連携制御装置30は、入退室情報aを取得した現在の時刻を、取得ログ記憶部40に記憶する。なお、取得ログ記憶部40では、処理負荷の軽減の観点から、どちらの設備系システム10a,10bから入退室情報を取得したかまでは記憶されない。すなわち、入退室情報を単に取得した時刻のみが記憶されている。
ステップ31(S31)において、連携制御装置30の生存確認部41は、所定の実行周期に応じて第1の設備系システム10aおよび第2の設備系システム10bから送信される生存確認を取得する。生存確認部41は、第1の設備系システム10aからの生存確認と、第2の設備系システム10bの生存確認とのそれぞれを処理対象として、前回生存確認を取得した時点からカウントされている経過時間を参照し、所定の待ち時間の間に生存確認を取得しているか否かを判断する。この待ち時間は、第1および第2の設備系システム10a,10bから送信される生存確認の実行周期よりも大きな値に設定されている。なお、第1の設備系システム10aと、第2の設備系システム10bとから送信される生存確認は同期して行われる必要なく、連携制御装置30は、個々の設備系システム10a,10bに対して独立して生存確認を行うことができる。
生存確認部41は、第1の設備系システム10aおよび第2の設備系システム10bから取得した生存確認が、それぞれ待ち時間の間に取得したことを判断すると、第1の設備系システム10aおよび第2の設備系システム10bに対する通信が可能であることを検出する。生存確認部41によって通信が可能なことが検出された場合、連携制御装置30は、第1および第2の設備系システム10a,10bからの新たな入退室情報を取得すべく、待機する。
一方、ステップ32(S32)において、生存確認部41は、第1および第2の設備系システム10a,10bから送信される生存確認の一方または両方において、経過時間が待ち時間に到達した場合には、設備系システム10a,10bに対する通信が不可能であることを検出する。本実施形態では、例示的に、第2の設備系システム10bに対する通信が不可能であるとする。
生存確認部41によって通信が不可能なことが検出された場合、ステップ33(S33)において、通信制御部42は、第1の設備系システム10aおよび第2の設備系システム10bとの間に現在確立されている通信接続をそれぞれ切断する。そして、通信制御部42は、第1の設備系システム10aおよび第2の設備系システム10bのそれぞれに対して新たな通信接続の確立を要求する。例えば、接続が物理的に切断されているケースでは、通信制御部42が、新たな通信接続の確立を第2の設備系システム10bに対して要求したとしても、第2の設備系システム10bがこれに応答しないため、第2の設備系システム10bと連携制御装置30との間の接続は確立されない。一方、通信制御部42が、新たな通信接続の確立を第1の設備系システム10aに対して要求した場合、第1の設備系システム10aと連携制御装置30との間は物理的に接続しているため、第1の設備系システム10aがこれに応答し、通信制御部42は、第1の設備系システム10aとの間で接続を確立する。ただし、通信制御部42は、全ての設備系システムとの間で接続が確立されない限り、すなわち、第2の設備システム10aとの間で接続が確立されない限り、第1の設備系システム10aとの間で接続を確立したとしても、その接続は開放しない。通信制御部42は、接続確立の要求にも拘わらず、第2の設備系システム10bがこれに応答しない場合には、所定の実行周期で、すなわち、所定の時間が経過した後に、通信接続の確立要求を新たに実行する。
なお、このような状況であっても、第1の設備系システム10aおよび第2の設備系システム10bは、個々の高度セキュリティレベル領域へのユーザの入退室を管理する。例えば、ユーザが、低度セキュリティレベル領域からネットワークが構築されている第1の高度セキュリティレベル領域へと、第1の設備系システム10aの入退室コントロールユニット13によって管理された扉から入室するとする(入退室操作b)。この場合、ステップ1と同様に、第1の設備系システム10aでは、ICカード2から読み取ったカードIDと、電気錠を解錠した扉を一意に特定する入室扉ID、入室であることを示す情報と、現在の時刻である操作時刻とを互いに関連付けた上で、この関連付けられた情報を入退室情報bとして図示しない入退室ログ記録部に記憶する。
また、ユーザが、低度セキュリティレベル領域からネットワークが構築されている第2の高度セキュリティレベル領域へと、第2の設備系システム10bの入退室コントロールユニット13によって管理された扉から入室するとする(入退室操作b)。この場合、ステップ1と同様に、第2の設備系システム10bでは、ICカード2から読み取ったカードIDと、電気錠を解錠した扉を一意に特定する入室扉ID、入室であることを示す情報と、現在の時刻である操作時刻とを互いに関連付けた上で、この関連付けられた情報を入退室情報として図示しない入退室ログ記録部に記憶する。
なお、第2の設備系システム10bと連携制御装置30との間の接続が確立していないため、または、第1の設備系システム10aと連携制御装置30との間の接続が開放されていないため、連携制御装置30は、第1の設備系システム10aおよび第2の設備系システム10bから入退室情報b,cをそれぞれ取得することはない。
ステップ34(S34)において、通信制御部42は、所定の実行周期の到来に応じて、第2の設備系システム10bに対して接続確立の要求を行う。ケーブルの交換・再接続といったように、あるタイミングにおいて、第2の設備系システム10bと連携制御装置30との間の物理的な切断状態が復旧した場合には、第2の設備系システム10bがこれに応答するため、通信制御部42は、第2の設備系システム10bとの間で通信接続を確立する。そして、通信制御部42は、すべての設備系システム10a,10bとの間に通信可能な接続が確立したことを判断した上で、個々の接続を同期して開放する。
ステップ35(S35)において、状態合わせ部43は、第1および第2の設備系システム10a,bに対して状態あわせを要求する。この要求の前提として、状態合わせ部43は、取得ログ記憶部40を検索し、第1の設備系システム10aまたは第2の設備系システム10bから入退室情報を取得した直近の取得時刻を特定する。状態合わせ部43は、この特定された取得時刻を状態合わせ時刻として設定すると、この状態合わせ時刻以降に該当する入退室情報を、第1の設備系システム10aおよび第2の設備系システム10bに対してそれぞれ要求する。具体的には、状態合わせ部43は、入退室情報の送信要求とともに、状態合わせ時刻を第1の設備系システム10aおよび第2の設備系システム10bに対してそれぞれ送信する。
第1の設備系システム10aにおいて、入退室コントロールユニット13は、連携制御装置30から入退室情報の送信要求と、状態合わせ時刻を取得すると、状態合わせ時刻をキーとして、入退室ログ記憶部を参照し、この状態合わせ時刻よりも時間的に後の入退室操作bに応じて記憶された入退室情報bを検索する。入退室コントロールユニット13は、入退室ログ記憶部から入退室情報bを読み出すと、これを連携制御装置30に対して出力する。また、第2の設備系システム10bにおいて、入退室コントロールユニット13は、連携制御装置30から入退室情報の送信要求と、状態合わせ時刻を取得すると、状態合わせ時刻をキーとして、入退室ログ記憶部を参照し、この状態合わせ時刻よりも時間的に後の入退室操作cに応じて記憶された入退室情報cを検索する。入退室コントロールユニット13は、入退室ログ記憶部から入退室情報cを読み出すと、これを連携制御装置30に対して出力する。
ステップ36(S36)において、連携制御装置30は、外部システムI/F31を介して第1の設備系システム10aから入退室情報bを取得すると、これを認証処理で使用できるように変換し、内部データベース33の認証状態記憶部33Bに記憶させ、設備系システム10の高度セキュリティレベル領域におけるユーザの現在の在室状態を記憶する。また、ステップ37(S37)において、連携制御装置30は、外部システムI/F31を介して第2の設備系システム10bから入退室情報cを取得すると、これを認証処理で使用できるように変換し、内部データベース33の認証状態記憶部33Bに記憶させ、設備系システム10の高度セキュリティレベル領域におけるユーザの現在の在室状態を記憶する。
このように本実施形態によれば、第1の設備系システム10aおよび第2の設備系システム10bのすくなくとも一方との通信が不可能になった場合には、通信が可能な設備系システムを含む全ての設備系システム10a,10bとの通信接続が遮断される。そして、両者の設備系システム10a,10bとの間のそれぞれに通信可能な接続が確立したことを条件に、個々の設備系システム10a,10bに対して状態合わせ処理を行われる。
例えば、上述した実施形態のように、第1の設備系システム10aのみが異常となり、第1の設備系システム10aから入退室情報が取得できなくなっている状態において、第2の設備系システム10bから入退室情報を取得してしまうと、状態合わせ時刻は、この第2の設備系システム10bから取得した直近の取得時刻がこれに設定されてしまう。そのため、この状態合わせ時刻に基づいて状態合わせ処理を行った場合には、第1の設備系システム10aから取得する入退室情報に不備が生じてしまう可能性がある。
この点、本実施形態によれば、それぞれの設備系システム10a,10bの通信接続を遮断し、それぞれに通信可能な接続が確立した後に、状態合わせ処理を行うことにより、このような不都合を解消することができる。これにより、セキュリティレベル領域におけるユーザの現在の在室状態と、連携制御装置30側で管理している在室状態との整合を図ることが可能となる。
ところで、第1および第2の設備系システム10a,10bに対する入退室情報を取得した時刻をそれぞれ記憶しておき、通信が不可能となった第1の設備系システム10aに対して、対応する時刻を参照した上で、状態合わせ処理を行うことも考えられる。しかしながら、かかる手法によれば、入退室情報の送信元の設備系システム10aを特定する必要があり、処理が煩雑となるおそれがあるが、本実施形態によればこのような不都合を解消することができる。
なお、上述の実施の形態は本発明の一例である。このため、本発明は、上述の実施形態に限定されることはなく、この実施の形態以外であっても、本発明に係る技術的思想を逸脱しない範囲であれば、設計等に応じて種々の変更が可能であることは勿論である。
例えば、上述した第1または第2の実施形態では、高度セキュリティレベル領域と低度セキュリティレベル領域とを扉などで隔て、認証処理に応じて各領域への移動を認める設備系システムであるが、本発明はこれに限定されない。設備系システム10は、扉などを隔てた閉塞した領域のみならず、空間的に連通する高度セキュリティレベル領域と低度セキュリティレベル領域とにいるユーザを認識する設備系システムであってもよい。この設備系システムでは、低度セキュリティレベル領域である共用ゾーンや、高度セキュリティレベル領域である特定ゾーンに設置されたゾーン監視センサと、ユーザが所有する非接触のICカード2との無線通信により、ユーザが所有するICカード2からカードIDを取得し、認証用コントロールユニットで認証処理することで、各ゾーンに存在するユーザを認識する。なお、この設備系システムにおいて用いられるICカード2は、例えば、アクティブ対応のRFID(Radio Frequency IDentification)タグと同等の機能を有している。このような設備系システムでは、ユーザが所有するICカード2に格納された情報のうち、ICカード2を一意に特定する被認証情報であるカードIDと、カードIDを取得したゾーン監視センサを一意に特定する機器IDとを認証用コントロールユニットから後述する連携制御装置30に送信する。このような構成により、閉塞した領域への入退室のみならず、ある特定の領域への入退(入退室)を管理するシステムであってもよい。