JP2014192611A - Authentication device - Google Patents
Authentication device Download PDFInfo
- Publication number
- JP2014192611A JP2014192611A JP2013064871A JP2013064871A JP2014192611A JP 2014192611 A JP2014192611 A JP 2014192611A JP 2013064871 A JP2013064871 A JP 2013064871A JP 2013064871 A JP2013064871 A JP 2013064871A JP 2014192611 A JP2014192611 A JP 2014192611A
- Authority
- JP
- Japan
- Prior art keywords
- authentication
- layer
- address
- received packet
- communication device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Small-Scale Networks (AREA)
Abstract
Description
本発明は、通信装置の認証技術に関する。 The present invention relates to an authentication technique for a communication device.
例えば、ある企業の企業内ネットワークと、他の企業の企業内ネットワークとを仮想プライベート・ネットワーク(VPN)で接続して、企業間で情報の交換を行う場合を考える。この場合、異なる企業内ネットワークに接続する任意の通信装置間での通信を許可するのではなく、特定の通信装置間でのみVPNを経由した通信を許可する様に制御する必要がある。このため、ある通信装置がVPN経由での通信を要求した場合、当該通信装置がVPN経由での通信を許可されているかについて認証を行う必要がある。 For example, consider a case where a company's corporate network and another company's corporate network are connected by a virtual private network (VPN) to exchange information between the companies. In this case, it is necessary to perform control so as to allow communication via a VPN only between specific communication devices, instead of permitting communication between arbitrary communication devices connected to different corporate networks. For this reason, when a certain communication device requests communication via VPN, it is necessary to authenticate whether the communication device is permitted to communicate via VPN.
ここで、例えば、特許文献1は、通信装置がインターネット・プロトコル(IP)アドレスを要求した際に、暫定的なIPアドレスを付与し、その後、通信装置からの通信が発生した際、認証画面を通信装置に表示して、通信装置のユーザからの入力に基づき認証を行う構成を開示している。また、非特許文献1は、認証装置が、新たに接続された通信装置からイーサネット(登録商標)フレームを受信した際に、事前に通信装置に保存しておく認証情報等に基づき認証処理を行う構成を開示している。 Here, for example, Patent Document 1 gives a temporary IP address when a communication device requests an Internet Protocol (IP) address, and then displays an authentication screen when communication from the communication device occurs. A configuration is disclosed in which authentication is performed based on an input from a user of a communication device that is displayed on the communication device. Further, in Non-Patent Document 1, when an authentication device receives an Ethernet (registered trademark) frame from a newly connected communication device, authentication processing is performed based on authentication information stored in the communication device in advance. The configuration is disclosed.
しかしながら、特許文献1に記載の構成は、IPアドレス付与後に認証処理を進めるため、広域イーサネット(登録商標)サービスのようなイーサネット(登録商標)網を利用して企業内ネットワーク間をVPN経由で接続している場合には利用できない。また、非特許文献1に記載の構成は、認証対象の通信装置と認証装置とが、直接、イーサネット(登録商標)フレームといったレイヤ2フレームを送受信できる状態を前提としており、認証対象の通信装置と認証装置間にレイヤ2フレームを終端するルータが存在する場合には適用できない。 However, in the configuration described in Patent Document 1, in order to proceed with the authentication process after the IP address is assigned, the enterprise networks are connected via VPN using an Ethernet network such as a wide area Ethernet service. Not available if you are. In addition, the configuration described in Non-Patent Document 1 is based on the premise that the authentication target communication device and the authentication device can directly transmit and receive a layer 2 frame such as an Ethernet (registered trademark) frame. This is not applicable when there is a router that terminates the layer 2 frame between the authentication devices.
本発明は、上記問題に鑑み、ネットワーク構成に依存せずにネットワークに接続している通信装置の認証を行う認証装置を提供するものである。 In view of the above problems, the present invention provides an authentication device that authenticates a communication device connected to a network without depending on the network configuration.
本発明の一態様によると、ネットワークに接続する1つ以上の通信装置の認証装置であって、第1のレイヤのアドレスと、前記第1のレイヤの上位レイヤである第2のレイヤのアドレスとの対応関係を示す対応情報を保持し、受信パケットの第1のレイヤのアドレスが前記対応情報に含まれていない場合、前記受信パケットの第1のレイヤのアドレスを使用する通信装置に、当該通信装置の第2のレイヤのアドレスを問い合わせて前記対応情報を更新する更新手段と、前記対応情報に、前記受信パケットの第1のレイヤに対応する第2のレイヤのアドレスとして、前記受信パケットの第2のレイヤのアドレスが含まれている場合、前記受信パケットの送信元の通信装置と第1のレイヤのパケットを送受信して行う第1の認証処理を実行し、前記対応情報に、前記受信パケットの第1のレイヤに対応する第2のレイヤのアドレスとして、前記受信パケットの第2のレイヤのアドレスが含まれていない場合、前記第1の認証処理とは異なる第2の認証処理を実行する制御手段と、を備えていることを特徴とする。 According to one aspect of the present invention, there is provided an authentication device for one or more communication devices connected to a network, wherein an address of a first layer and an address of a second layer, which is an upper layer of the first layer, If the correspondence information indicating the correspondence relationship of the received packet is not included in the correspondence information, the communication device using the first layer address of the received packet is notified to the communication device. Updating means for inquiring the address of the second layer of the device and updating the correspondence information; and as the second layer address corresponding to the first layer of the received packet in the correspondence information, If a second layer address is included, a first authentication process is performed by transmitting and receiving a first layer packet to and from a communication device that is a transmission source of the received packet. When the correspondence information does not include the address of the second layer of the received packet as the address of the second layer corresponding to the first layer of the received packet, the second authentication process is different from the first authentication process. And a control means for executing the second authentication process.
ネットワーク構成に依存せずにネットワークに接続している通信装置の認証を行うことができる。 Authentication of a communication device connected to the network can be performed without depending on the network configuration.
以下、本発明の例示的な実施形態について図面を参照して説明する。なお、以下の各図においては、実施形態の説明に必要ではない構成要素については図から省略する。 Hereinafter, exemplary embodiments of the present invention will be described with reference to the drawings. In the following drawings, components that are not necessary for the description of the embodiments are omitted from the drawings.
図3は、本実施形態による認証装置1を含む例示的なシステム構成図である。なお、図3において、ネットワーク5は、例えば、VPNであり、認証装置1は、端末41、42が、VPNであるネットワーク5経由で他の企業内ネットワークと通信が可能であるか否かを認証して、他の企業内ネットワークと通信が可能な端末のみの通信を許可する。より具体的には、他の企業内ネットワークと通信が可能な端末からのパケットのみをネットワーク5側に転送する。またL2SWは、レイヤ2フレームの転送装置であり、ルータ3はIPパケットの転送装置である。なお、例えば、VPNがインターネット上に構成されている場合、認証装置1は、端末41及び42がインターネットにアクセスする際の転送装置としても機能する。この場合、例えば、端末41がVPN経由で通信できないものであっても、認証装置1は、インターネットのアクセスは許可する。
FIG. 3 is an exemplary system configuration diagram including the authentication device 1 according to the present embodiment. In FIG. 3, the
図3の構成においては、端末41からのレイヤ2フレームは、認証装置1に届くが、端末42からのレイヤ2フレームは、ルータ3で終端されるため認証装置1には届かない。なお、端末42からのIPパケットは、認証装置1には届く。本実施形態は、端末41及び42の両方を認証可能とする。なお、図3の構成は、一例であり、認証装置1の設置位置は、図3に示す様な、ネットワーク5と企業内ネットワークとの境界に限定されない。また、本実施形態では、異なる企業内ネットワークに接続されている端末間の通信を例にしているが、本発明は、同じ企業内の異なるネットワークに接続されている端末間の通信にも適用できる。
In the configuration of FIG. 3, the layer 2 frame from the
図1は、本実施形態による認証装置1の概略的な構成図である。送受信部11は、パケットの送受信を行い、アドレス解決プロトコル(ARP)情報保持部14は、MACアドレスとIPアドレスの対応関係を示すARPテーブルを保持する。制御部12は、認証装置1における処理の全体の制御を行い、認証情報管理部13は、認証済情報を管理し、保持する。なお、認証済情報とは、既に認証された通信装置のMACアドレス又はIPアドレスを含む情報である。
FIG. 1 is a schematic configuration diagram of an authentication device 1 according to the present embodiment. The transmission /
以下、図2を用いて認証装置1が実行する認証処理について説明する。認証装置1の制御部12は、S11でパケットを受信すると、受信パケットの送信元MACアドレスか、送信元IPアドレスのいずれかが認証情報管理部13が保持する認証済情報に含まれているかを判定する。受信パケットの送信元MACアドレス又は送信元IPアドレスが認証済情報に含まれていると、受信パケットの送信元の端末は既に認証済みであるため、S13で、受信パケットを転送する。一方、受信パケットの送信元MACアドレスと送信元IPアドレスの両方が認証済情報に含まれていない場合、制御部12は、S14において、ARPテーブルに送信元MACアドレスが存在するかを判定する。存在しない場合には、S15で、送信元MACアドレスを使用している装置に対して、当該装置のIPアドレスを問い合わせるARP解決処理を実行し、ARPテーブルに、送信元MACアドレスを使用している装置と、当該装置のIPアドレスをARPテーブルに追加してS16に進む。一方、S14において存在する場合には、そのままS16に進む。
Hereinafter, an authentication process executed by the authentication device 1 will be described with reference to FIG. When receiving the packet in S11, the
S16において、制御部12は、受信パケットの送信元MACアドレスと送信元IPアドレスの組が、ARPテーブルのMACアドレスとIPアドレスの組と一致するかを判定する。S16において一致することは、受信パケットの送信元の端末と認証装置1とがレイヤ2のレベルで接続していること、つまり、受信パケットの送信元の端末と認証装置1とが直接レイヤ2フレームの送受信を行えることを示している。一方、S16において一致しないことは、受信パケットの送信元の端末と認証装置1とが、ルータ3を介してレイヤ3のレベルで接続していることを示している。このため、制御部12は、S16において一致する場合、S17で、非特許文献1に記載の認証処理を受信パケットの送信元の端末との間で行い、S18で認証が成功か不成功かを判断する。なお、非特許文献1に記載の認証に必要な情報は、予め、認証装置1に保存しておくものとする。しかしながら、認証に必要な情報を、外部の装置に保存しておき、制御部12は、受信パケットの送信元の端末から受け取った認証情報を、当該外部の装置に転送して、当該外部の装置から認証結果を受け取る構成であっても良い。
In S16, the
S18で認証が成功すると、制御部12は、S27で、受信パケットのMACアドレスを認証済情報に追加して受信パケットの転送を行う。一方、S18で認証が成功しないことは、受信パケットの送信元の端末が認証されていない端末である場合と、非特許文献1に記載の認証処理を実装していない場合の2通りの可能性がある。したがって、制御部12は、S18での認証が不成功であると、S19で受信パケットが動的ホスト構成プロトコル(DHCP)によるIPアドレスの割り当て要求であるかを判定する。IPアドレス要求の場合、制御部12は、S20で、DHCPで規定する認証処理を受信パケットの送信元の端末との間で行い、S21で認証が成功か不成功かを判断する。なお、送信元の端末の認証のための情報の保存と、受信パケットの送信元の端末から受信する認証情報との比較については、S17と同様に、認証装置1が行っても、外部の装置が行っても良い。
If the authentication is successful in S18, the
S21で認証が成功すると、制御部12は、S27で、受信パケットのMACアドレスを認証済情報に追加する。なお、この場合、受信パケットは、IPアドレスの割り当て要求であったため、受信パケットの転送の必要はない。一方、S21で認証が成功しないと、制御部12は、S25で処理を終了する。
If the authentication is successful in S21, the
また、S16で、受信パケットの送信元MACアドレスと送信元IPアドレスの組が、ARPテーブルのMACアドレスとIPアドレスの組と一致しないことは、上述したように、受信パケットの送信元の端末と認証装置1とが、ルータ3を介してレイヤ3のレベルで接続していることを示している。したがって、S16で一致しない場合、制御部12は、S22で受信パケットがHTTPに従うメッセージを含むパケット(以下、HTTPパケットと呼ぶ。)であるかを判定し、HTTPパケットである場合、制御部12は、S23で受信パケットの送信元の端末に、ログイン画面を表示してログイン処理による認証を行わせてS24で認証が成功か不成功かを判定する。具体的には、例えば、S23で受信パケットの送信元の端末に表示するログイン画面により当該端末のユーザに、アカウント名とパスワードの組を入力させて送信元の端末から認証情報を取得して認証を行う。なお、送信元の端末の認証のための情報の保存と、受信パケットの送信元の端末から受信する認証情報との比較については、S17と同様に、認証装置1が行っても、外部の装置が行っても良い。
In S16, the combination of the source MAC address and the source IP address of the received packet does not match the pair of the MAC address and the IP address in the ARP table, as described above. It shows that the authentication apparatus 1 is connected at the layer 3 level via the router 3. Therefore, if they do not match in S16, the
S24での認証が成功すると、制御部12は、S27で、受信パケットのIPアドレスを認証済情報に追加して、受信パケットの転送を行う。一方、S24での認証が不成功であると、制御部12は、S26で受信パケットを廃棄して処理を終了する。
If the authentication in S24 is successful, the
また、S19で、受信パケットがIPアドレスの割り当て要求ではないことは、これは、例えば、受信パケットの送信元端末が静的IPアドレスを使用している可能性がある。この場合、制御部12は、既に説明した様に、S22からS24の処理を実行し、ログイン画面を使用しての認証を行う。なお、S19での処理が"Nо"の場合において、S24で認証が成功すると、S27では、受信パケットのMACアドレスを認証済情報に追加して、受信パケットの転送を行う。これは、S19での処理を行ったことは、認証装置1と受信パケットの送信元の端末は、ルータ3を介することなく接続しているからである。なお、認証装置1は、認証が終了するまで、受信パケットをバッファしておき、認証成功後には、バッファした受信パケットを転送する。このことで無駄なパケットの再送を防ぐことができる。
In S19, the fact that the received packet is not an IP address assignment request may mean that the source terminal of the received packet is using a static IP address, for example. In this case, as described above, the
以上の構成により、ネットワーク内の認証装置1と、認証対象の通信装置である端末との間の構成に拘わらず認証を行うことができる。 With the above configuration, authentication can be performed regardless of the configuration between the authentication device 1 in the network and the terminal that is the communication device to be authenticated.
Claims (7)
第1のレイヤのアドレスと、前記第1のレイヤの上位レイヤである第2のレイヤのアドレスとの対応関係を示す対応情報を保持し、受信パケットの第1のレイヤのアドレスが前記対応情報に含まれていない場合、前記受信パケットの第1のレイヤのアドレスを使用する通信装置に、当該通信装置の第2のレイヤのアドレスを問い合わせて前記対応情報を更新する更新手段と、
前記対応情報に、前記受信パケットの第1のレイヤに対応する第2のレイヤのアドレスとして、前記受信パケットの第2のレイヤのアドレスが含まれている場合、前記受信パケットの送信元の通信装置と第1のレイヤのパケットを送受信して行う第1の認証処理を実行し、前記対応情報に、前記受信パケットの第1のレイヤに対応する第2のレイヤのアドレスとして、前記受信パケットの第2のレイヤのアドレスが含まれていない場合、前記第1の認証処理とは異なる第2の認証処理を実行する制御手段と、
を備えていることを特徴とする認証装置。 An authentication device for one or more communication devices connected to a network,
Correspondence information indicating a correspondence relationship between the address of the first layer and the address of the second layer that is an upper layer of the first layer is held, and the address of the first layer of the received packet is included in the correspondence information. If not included, an update unit that inquires the communication device that uses the address of the first layer of the received packet for the address of the second layer of the communication device and updates the correspondence information;
When the correspondence information includes the address of the second layer of the received packet as the address of the second layer corresponding to the first layer of the received packet, the communication device that is the transmission source of the received packet And a first authentication process performed by transmitting and receiving the first layer packet, and the correspondence information includes the second layer address corresponding to the first layer of the received packet as the second layer address corresponding to the first layer of the received packet. Control means for executing a second authentication process different from the first authentication process when the address of the second layer is not included;
An authentication device comprising:
前記制御手段は、前記第1の認証処理で認証が成功すると前記受信パケットの送信元の通信装置の第1のレイヤのアドレスを前記認証済情報に追加し、前記第2の認証処理で認証が成功すると前記受信パケットの送信元の通信装置の第2のレイヤのアドレスを前記認証済情報に追加し、前記受信パケットの第1のレイヤのアドレス又は第2のレイヤのアドレスが前記認証済情報に含まれている場合、前記第1の認証処理及び前記第2の認証処理を実行することなく認証成功と判断することを特徴とする請求項1に記載の認証装置。 A management unit for managing authenticated information indicating the address of the first layer or the address of the second layer of the authenticated communication device;
When the authentication is successful in the first authentication process, the control unit adds the address of the first layer of the communication device that is the transmission source of the received packet to the authenticated information, and the authentication is performed in the second authentication process. If successful, the second layer address of the communication device that is the transmission source of the received packet is added to the authenticated information, and the first layer address or the second layer address of the received packet is added to the authenticated information. 2. The authentication apparatus according to claim 1, wherein if it is included, the authentication is determined to be successful without executing the first authentication process and the second authentication process.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2013064871A JP2014192611A (en) | 2013-03-26 | 2013-03-26 | Authentication device |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2013064871A JP2014192611A (en) | 2013-03-26 | 2013-03-26 | Authentication device |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2014192611A true JP2014192611A (en) | 2014-10-06 |
Family
ID=51838534
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2013064871A Pending JP2014192611A (en) | 2013-03-26 | 2013-03-26 | Authentication device |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2014192611A (en) |
-
2013
- 2013-03-26 JP JP2013064871A patent/JP2014192611A/en active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US20210385154A1 (en) | Multipath data transmission method and device | |
CN110800331B (en) | Network verification method, related equipment and system | |
CN112997454B (en) | Connecting to home local area network via mobile communication network | |
WO2015101125A1 (en) | Network access control method and device | |
EP3032859B1 (en) | Access control method and system, and access point | |
WO2017114362A1 (en) | Packet forwarding method, device and system | |
KR101640209B1 (en) | Apparatus and method for supporting portable mobile VPN service | |
US20120246473A1 (en) | Encryption information transmitting terminal | |
WO2017167249A1 (en) | Private network access method, device and system | |
WO2013040957A1 (en) | Single sign-on method and system, and information processing method and system | |
JP2023052288A (en) | Method, system, and program for relay | |
JP2012070225A (en) | Network relay device and transfer control system | |
JP2010187314A (en) | Network relay apparatus with authentication function, and terminal authentication method employing the same | |
JP6076276B2 (en) | Communication system and communication method | |
Nguyen et al. | An SDN-based connectivity control system for Wi-Fi devices | |
JP2008199497A (en) | Gateway device and authentication processing method | |
JP2014192611A (en) | Authentication device | |
JP5622088B2 (en) | Authentication system, authentication method | |
EP3264710B1 (en) | Securely transferring the authorization of connected objects | |
JP5864453B2 (en) | Communication service providing system and method | |
KR20150060050A (en) | Network device and method of forming tunnel of network device | |
JP5947763B2 (en) | COMMUNICATION SYSTEM, COMMUNICATION METHOD, AND COMMUNICATION PROGRAM | |
US10708188B2 (en) | Application service virtual circuit | |
WO2022053055A1 (en) | Method for accessing broadband access server, server, and storage medium | |
JP2015095847A (en) | Network apparatus, terminal, system, and control method |