JP2014192611A - Authentication device - Google Patents

Authentication device Download PDF

Info

Publication number
JP2014192611A
JP2014192611A JP2013064871A JP2013064871A JP2014192611A JP 2014192611 A JP2014192611 A JP 2014192611A JP 2013064871 A JP2013064871 A JP 2013064871A JP 2013064871 A JP2013064871 A JP 2013064871A JP 2014192611 A JP2014192611 A JP 2014192611A
Authority
JP
Japan
Prior art keywords
authentication
layer
address
received packet
communication device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2013064871A
Other languages
Japanese (ja)
Inventor
Takahiro Miyamoto
崇弘 宮本
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
KDDI Corp
Original Assignee
KDDI Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by KDDI Corp filed Critical KDDI Corp
Priority to JP2013064871A priority Critical patent/JP2014192611A/en
Publication of JP2014192611A publication Critical patent/JP2014192611A/en
Pending legal-status Critical Current

Links

Images

Landscapes

  • Small-Scale Networks (AREA)

Abstract

PROBLEM TO BE SOLVED: To provide an authentication device that authenticates a communication device connected with a network without relying on a network configuration.SOLUTION: An authentication device holds correspondence information indicating correspondence relation between an address in a first layer and an address in a second layer, an upper-level layer of the first layer. If the address in the first layer of a received packet is not included in the correspondence information, the authentication device inquires of a communication device using the address in the first layer of the received packet the address in the second layer of the communication device to update the correspondence information. If the correspondence information includes the address in the second layer of the received packet as an address in the second layer corresponding to the first layer of the received packet, the authentication device performs first authentication processing that is performed by transmitting and receiving a packet in the first layer to/from a communication device of the transmission source of the received packet. Otherwise, the authentication device performs second authentication processing different from the first authentication processing.

Description

本発明は、通信装置の認証技術に関する。   The present invention relates to an authentication technique for a communication device.

例えば、ある企業の企業内ネットワークと、他の企業の企業内ネットワークとを仮想プライベート・ネットワーク(VPN)で接続して、企業間で情報の交換を行う場合を考える。この場合、異なる企業内ネットワークに接続する任意の通信装置間での通信を許可するのではなく、特定の通信装置間でのみVPNを経由した通信を許可する様に制御する必要がある。このため、ある通信装置がVPN経由での通信を要求した場合、当該通信装置がVPN経由での通信を許可されているかについて認証を行う必要がある。   For example, consider a case where a company's corporate network and another company's corporate network are connected by a virtual private network (VPN) to exchange information between the companies. In this case, it is necessary to perform control so as to allow communication via a VPN only between specific communication devices, instead of permitting communication between arbitrary communication devices connected to different corporate networks. For this reason, when a certain communication device requests communication via VPN, it is necessary to authenticate whether the communication device is permitted to communicate via VPN.

ここで、例えば、特許文献1は、通信装置がインターネット・プロトコル(IP)アドレスを要求した際に、暫定的なIPアドレスを付与し、その後、通信装置からの通信が発生した際、認証画面を通信装置に表示して、通信装置のユーザからの入力に基づき認証を行う構成を開示している。また、非特許文献1は、認証装置が、新たに接続された通信装置からイーサネット(登録商標)フレームを受信した際に、事前に通信装置に保存しておく認証情報等に基づき認証処理を行う構成を開示している。   Here, for example, Patent Document 1 gives a temporary IP address when a communication device requests an Internet Protocol (IP) address, and then displays an authentication screen when communication from the communication device occurs. A configuration is disclosed in which authentication is performed based on an input from a user of a communication device that is displayed on the communication device. Further, in Non-Patent Document 1, when an authentication device receives an Ethernet (registered trademark) frame from a newly connected communication device, authentication processing is performed based on authentication information stored in the communication device in advance. The configuration is disclosed.

特開2005−286558公報JP 2005-286558 A

IEEE802.1XIEEE802.1X

しかしながら、特許文献1に記載の構成は、IPアドレス付与後に認証処理を進めるため、広域イーサネット(登録商標)サービスのようなイーサネット(登録商標)網を利用して企業内ネットワーク間をVPN経由で接続している場合には利用できない。また、非特許文献1に記載の構成は、認証対象の通信装置と認証装置とが、直接、イーサネット(登録商標)フレームといったレイヤ2フレームを送受信できる状態を前提としており、認証対象の通信装置と認証装置間にレイヤ2フレームを終端するルータが存在する場合には適用できない。   However, in the configuration described in Patent Document 1, in order to proceed with the authentication process after the IP address is assigned, the enterprise networks are connected via VPN using an Ethernet network such as a wide area Ethernet service. Not available if you are. In addition, the configuration described in Non-Patent Document 1 is based on the premise that the authentication target communication device and the authentication device can directly transmit and receive a layer 2 frame such as an Ethernet (registered trademark) frame. This is not applicable when there is a router that terminates the layer 2 frame between the authentication devices.

本発明は、上記問題に鑑み、ネットワーク構成に依存せずにネットワークに接続している通信装置の認証を行う認証装置を提供するものである。   In view of the above problems, the present invention provides an authentication device that authenticates a communication device connected to a network without depending on the network configuration.

本発明の一態様によると、ネットワークに接続する1つ以上の通信装置の認証装置であって、第1のレイヤのアドレスと、前記第1のレイヤの上位レイヤである第2のレイヤのアドレスとの対応関係を示す対応情報を保持し、受信パケットの第1のレイヤのアドレスが前記対応情報に含まれていない場合、前記受信パケットの第1のレイヤのアドレスを使用する通信装置に、当該通信装置の第2のレイヤのアドレスを問い合わせて前記対応情報を更新する更新手段と、前記対応情報に、前記受信パケットの第1のレイヤに対応する第2のレイヤのアドレスとして、前記受信パケットの第2のレイヤのアドレスが含まれている場合、前記受信パケットの送信元の通信装置と第1のレイヤのパケットを送受信して行う第1の認証処理を実行し、前記対応情報に、前記受信パケットの第1のレイヤに対応する第2のレイヤのアドレスとして、前記受信パケットの第2のレイヤのアドレスが含まれていない場合、前記第1の認証処理とは異なる第2の認証処理を実行する制御手段と、を備えていることを特徴とする。   According to one aspect of the present invention, there is provided an authentication device for one or more communication devices connected to a network, wherein an address of a first layer and an address of a second layer, which is an upper layer of the first layer, If the correspondence information indicating the correspondence relationship of the received packet is not included in the correspondence information, the communication device using the first layer address of the received packet is notified to the communication device. Updating means for inquiring the address of the second layer of the device and updating the correspondence information; and as the second layer address corresponding to the first layer of the received packet in the correspondence information, If a second layer address is included, a first authentication process is performed by transmitting and receiving a first layer packet to and from a communication device that is a transmission source of the received packet. When the correspondence information does not include the address of the second layer of the received packet as the address of the second layer corresponding to the first layer of the received packet, the second authentication process is different from the first authentication process. And a control means for executing the second authentication process.

ネットワーク構成に依存せずにネットワークに接続している通信装置の認証を行うことができる。   Authentication of a communication device connected to the network can be performed without depending on the network configuration.

一実施形態による認証装置の概略的な構成図。1 is a schematic configuration diagram of an authentication device according to an embodiment. FIG. 一実施形態による認証装置での処理を示すフローチャート。The flowchart which shows the process in the authentication apparatus by one Embodiment. 一実施形態によるシステム構成図。The system block diagram by one Embodiment.

以下、本発明の例示的な実施形態について図面を参照して説明する。なお、以下の各図においては、実施形態の説明に必要ではない構成要素については図から省略する。   Hereinafter, exemplary embodiments of the present invention will be described with reference to the drawings. In the following drawings, components that are not necessary for the description of the embodiments are omitted from the drawings.

図3は、本実施形態による認証装置1を含む例示的なシステム構成図である。なお、図3において、ネットワーク5は、例えば、VPNであり、認証装置1は、端末41、42が、VPNであるネットワーク5経由で他の企業内ネットワークと通信が可能であるか否かを認証して、他の企業内ネットワークと通信が可能な端末のみの通信を許可する。より具体的には、他の企業内ネットワークと通信が可能な端末からのパケットのみをネットワーク5側に転送する。またL2SWは、レイヤ2フレームの転送装置であり、ルータ3はIPパケットの転送装置である。なお、例えば、VPNがインターネット上に構成されている場合、認証装置1は、端末41及び42がインターネットにアクセスする際の転送装置としても機能する。この場合、例えば、端末41がVPN経由で通信できないものであっても、認証装置1は、インターネットのアクセスは許可する。   FIG. 3 is an exemplary system configuration diagram including the authentication device 1 according to the present embodiment. In FIG. 3, the network 5 is, for example, a VPN, and the authentication apparatus 1 authenticates whether or not the terminals 41 and 42 can communicate with other corporate networks via the network 5 that is a VPN. Thus, only the terminals that can communicate with other corporate networks are permitted. More specifically, only packets from terminals that can communicate with other corporate networks are transferred to the network 5 side. The L2SW is a layer 2 frame transfer device, and the router 3 is an IP packet transfer device. For example, when the VPN is configured on the Internet, the authentication device 1 also functions as a transfer device when the terminals 41 and 42 access the Internet. In this case, for example, even if the terminal 41 cannot communicate via VPN, the authentication device 1 permits access to the Internet.

図3の構成においては、端末41からのレイヤ2フレームは、認証装置1に届くが、端末42からのレイヤ2フレームは、ルータ3で終端されるため認証装置1には届かない。なお、端末42からのIPパケットは、認証装置1には届く。本実施形態は、端末41及び42の両方を認証可能とする。なお、図3の構成は、一例であり、認証装置1の設置位置は、図3に示す様な、ネットワーク5と企業内ネットワークとの境界に限定されない。また、本実施形態では、異なる企業内ネットワークに接続されている端末間の通信を例にしているが、本発明は、同じ企業内の異なるネットワークに接続されている端末間の通信にも適用できる。   In the configuration of FIG. 3, the layer 2 frame from the terminal 41 reaches the authentication device 1, but the layer 2 frame from the terminal 42 does not reach the authentication device 1 because it is terminated at the router 3. Note that the IP packet from the terminal 42 reaches the authentication device 1. In the present embodiment, both the terminals 41 and 42 can be authenticated. The configuration of FIG. 3 is an example, and the installation position of the authentication device 1 is not limited to the boundary between the network 5 and the corporate network as shown in FIG. In this embodiment, communication between terminals connected to different intra-company networks is taken as an example. However, the present invention can also be applied to communication between terminals connected to different networks within the same company. .

図1は、本実施形態による認証装置1の概略的な構成図である。送受信部11は、パケットの送受信を行い、アドレス解決プロトコル(ARP)情報保持部14は、MACアドレスとIPアドレスの対応関係を示すARPテーブルを保持する。制御部12は、認証装置1における処理の全体の制御を行い、認証情報管理部13は、認証済情報を管理し、保持する。なお、認証済情報とは、既に認証された通信装置のMACアドレス又はIPアドレスを含む情報である。   FIG. 1 is a schematic configuration diagram of an authentication device 1 according to the present embodiment. The transmission / reception unit 11 transmits / receives a packet, and the address resolution protocol (ARP) information holding unit 14 holds an ARP table indicating the correspondence between the MAC address and the IP address. The control unit 12 controls the entire processing in the authentication device 1, and the authentication information management unit 13 manages and holds the authenticated information. The authenticated information is information including the MAC address or IP address of a communication device that has already been authenticated.

以下、図2を用いて認証装置1が実行する認証処理について説明する。認証装置1の制御部12は、S11でパケットを受信すると、受信パケットの送信元MACアドレスか、送信元IPアドレスのいずれかが認証情報管理部13が保持する認証済情報に含まれているかを判定する。受信パケットの送信元MACアドレス又は送信元IPアドレスが認証済情報に含まれていると、受信パケットの送信元の端末は既に認証済みであるため、S13で、受信パケットを転送する。一方、受信パケットの送信元MACアドレスと送信元IPアドレスの両方が認証済情報に含まれていない場合、制御部12は、S14において、ARPテーブルに送信元MACアドレスが存在するかを判定する。存在しない場合には、S15で、送信元MACアドレスを使用している装置に対して、当該装置のIPアドレスを問い合わせるARP解決処理を実行し、ARPテーブルに、送信元MACアドレスを使用している装置と、当該装置のIPアドレスをARPテーブルに追加してS16に進む。一方、S14において存在する場合には、そのままS16に進む。   Hereinafter, an authentication process executed by the authentication device 1 will be described with reference to FIG. When receiving the packet in S11, the control unit 12 of the authentication device 1 determines whether either the transmission source MAC address or the transmission source IP address of the received packet is included in the authenticated information held by the authentication information management unit 13. judge. If the transmission source MAC address or the transmission source IP address of the received packet is included in the authenticated information, the terminal of the transmission source of the reception packet has already been authenticated, and the reception packet is transferred in S13. On the other hand, when both the transmission source MAC address and the transmission source IP address of the received packet are not included in the authenticated information, the control unit 12 determines whether the transmission source MAC address exists in the ARP table in S14. If it does not exist, in step S15, ARP resolution processing for inquiring about the IP address of the device is executed for the device using the source MAC address, and the source MAC address is used in the ARP table. The device and the IP address of the device are added to the ARP table, and the process proceeds to S16. On the other hand, when it exists in S14, it progresses to S16 as it is.

S16において、制御部12は、受信パケットの送信元MACアドレスと送信元IPアドレスの組が、ARPテーブルのMACアドレスとIPアドレスの組と一致するかを判定する。S16において一致することは、受信パケットの送信元の端末と認証装置1とがレイヤ2のレベルで接続していること、つまり、受信パケットの送信元の端末と認証装置1とが直接レイヤ2フレームの送受信を行えることを示している。一方、S16において一致しないことは、受信パケットの送信元の端末と認証装置1とが、ルータ3を介してレイヤ3のレベルで接続していることを示している。このため、制御部12は、S16において一致する場合、S17で、非特許文献1に記載の認証処理を受信パケットの送信元の端末との間で行い、S18で認証が成功か不成功かを判断する。なお、非特許文献1に記載の認証に必要な情報は、予め、認証装置1に保存しておくものとする。しかしながら、認証に必要な情報を、外部の装置に保存しておき、制御部12は、受信パケットの送信元の端末から受け取った認証情報を、当該外部の装置に転送して、当該外部の装置から認証結果を受け取る構成であっても良い。   In S16, the control unit 12 determines whether the combination of the transmission source MAC address and the transmission source IP address of the received packet matches the combination of the MAC address and the IP address of the ARP table. The coincidence in S16 is that the terminal of the received packet and the authentication device 1 are connected at the layer 2 level, that is, the terminal of the received packet and the authentication device 1 are directly connected to the layer 2 frame. It shows that can be sent and received. On the other hand, the fact that they do not match in S16 indicates that the terminal of the transmission source of the received packet and the authentication device 1 are connected at the layer 3 level via the router 3. Therefore, if they match in S16, the control unit 12 performs the authentication process described in Non-Patent Document 1 with the transmission source terminal of the received packet in S17, and determines whether the authentication is successful or unsuccessful in S18. to decide. Note that information necessary for authentication described in Non-Patent Document 1 is stored in the authentication device 1 in advance. However, information necessary for authentication is stored in an external device, and the control unit 12 transfers the authentication information received from the terminal that is the transmission source of the received packet to the external device. The configuration may be such that the authentication result is received from.

S18で認証が成功すると、制御部12は、S27で、受信パケットのMACアドレスを認証済情報に追加して受信パケットの転送を行う。一方、S18で認証が成功しないことは、受信パケットの送信元の端末が認証されていない端末である場合と、非特許文献1に記載の認証処理を実装していない場合の2通りの可能性がある。したがって、制御部12は、S18での認証が不成功であると、S19で受信パケットが動的ホスト構成プロトコル(DHCP)によるIPアドレスの割り当て要求であるかを判定する。IPアドレス要求の場合、制御部12は、S20で、DHCPで規定する認証処理を受信パケットの送信元の端末との間で行い、S21で認証が成功か不成功かを判断する。なお、送信元の端末の認証のための情報の保存と、受信パケットの送信元の端末から受信する認証情報との比較については、S17と同様に、認証装置1が行っても、外部の装置が行っても良い。   If the authentication is successful in S18, the control unit 12 adds the MAC address of the received packet to the authenticated information and transfers the received packet in S27. On the other hand, there are two possibilities that the authentication is not successful in S18: the case where the terminal that is the source of the received packet is an unauthenticated terminal, and the case where the authentication process described in Non-Patent Document 1 is not implemented. There is. Therefore, if the authentication in S18 is unsuccessful, the control unit 12 determines in S19 whether the received packet is an IP address allocation request based on the dynamic host configuration protocol (DHCP). In the case of an IP address request, the control unit 12 performs authentication processing defined by DHCP with the terminal that is the transmission source of the received packet in S20, and determines whether authentication is successful or unsuccessful in S21. Note that the storage of information for authentication of the transmission source terminal and the comparison between the authentication information received from the transmission source terminal of the received packet may be performed by the authentication device 1 as in the case of S17. May go.

S21で認証が成功すると、制御部12は、S27で、受信パケットのMACアドレスを認証済情報に追加する。なお、この場合、受信パケットは、IPアドレスの割り当て要求であったため、受信パケットの転送の必要はない。一方、S21で認証が成功しないと、制御部12は、S25で処理を終了する。   If the authentication is successful in S21, the control unit 12 adds the MAC address of the received packet to the authenticated information in S27. In this case, since the received packet is an IP address assignment request, there is no need to transfer the received packet. On the other hand, if the authentication is not successful in S21, the control unit 12 ends the process in S25.

また、S16で、受信パケットの送信元MACアドレスと送信元IPアドレスの組が、ARPテーブルのMACアドレスとIPアドレスの組と一致しないことは、上述したように、受信パケットの送信元の端末と認証装置1とが、ルータ3を介してレイヤ3のレベルで接続していることを示している。したがって、S16で一致しない場合、制御部12は、S22で受信パケットがHTTPに従うメッセージを含むパケット(以下、HTTPパケットと呼ぶ。)であるかを判定し、HTTPパケットである場合、制御部12は、S23で受信パケットの送信元の端末に、ログイン画面を表示してログイン処理による認証を行わせてS24で認証が成功か不成功かを判定する。具体的には、例えば、S23で受信パケットの送信元の端末に表示するログイン画面により当該端末のユーザに、アカウント名とパスワードの組を入力させて送信元の端末から認証情報を取得して認証を行う。なお、送信元の端末の認証のための情報の保存と、受信パケットの送信元の端末から受信する認証情報との比較については、S17と同様に、認証装置1が行っても、外部の装置が行っても良い。   In S16, the combination of the source MAC address and the source IP address of the received packet does not match the pair of the MAC address and the IP address in the ARP table, as described above. It shows that the authentication apparatus 1 is connected at the layer 3 level via the router 3. Therefore, if they do not match in S16, the control unit 12 determines in S22 whether the received packet is a packet including a message conforming to HTTP (hereinafter referred to as an HTTP packet). If the packet is an HTTP packet, the control unit 12 In step S23, a login screen is displayed on the terminal that is the transmission source of the received packet, and authentication by login processing is performed. Specifically, for example, the login screen displayed on the terminal of the transmission source of the received packet in S23 allows the user of the terminal to input the account name and password pair, and obtains authentication information from the terminal of the transmission source for authentication. I do. Note that the storage of information for authentication of the transmission source terminal and the comparison between the authentication information received from the transmission source terminal of the received packet may be performed by the authentication device 1 as in the case of S17. May go.

S24での認証が成功すると、制御部12は、S27で、受信パケットのIPアドレスを認証済情報に追加して、受信パケットの転送を行う。一方、S24での認証が不成功であると、制御部12は、S26で受信パケットを廃棄して処理を終了する。   If the authentication in S24 is successful, the control unit 12 adds the IP address of the received packet to the authenticated information and transfers the received packet in S27. On the other hand, if the authentication in S24 is unsuccessful, the control unit 12 discards the received packet in S26 and ends the process.

また、S19で、受信パケットがIPアドレスの割り当て要求ではないことは、これは、例えば、受信パケットの送信元端末が静的IPアドレスを使用している可能性がある。この場合、制御部12は、既に説明した様に、S22からS24の処理を実行し、ログイン画面を使用しての認証を行う。なお、S19での処理が"Nо"の場合において、S24で認証が成功すると、S27では、受信パケットのMACアドレスを認証済情報に追加して、受信パケットの転送を行う。これは、S19での処理を行ったことは、認証装置1と受信パケットの送信元の端末は、ルータ3を介することなく接続しているからである。なお、認証装置1は、認証が終了するまで、受信パケットをバッファしておき、認証成功後には、バッファした受信パケットを転送する。このことで無駄なパケットの再送を防ぐことができる。   In S19, the fact that the received packet is not an IP address assignment request may mean that the source terminal of the received packet is using a static IP address, for example. In this case, as described above, the control unit 12 performs the processing from S22 to S24 and performs authentication using the login screen. If the process at S19 is “Nо” and the authentication is successful at S24, the MAC address of the received packet is added to the authenticated information and the received packet is transferred at S27. This is because the processing in S 19 is performed because the authentication device 1 and the terminal that is the transmission source of the received packet are connected without going through the router 3. The authentication device 1 buffers the received packet until the authentication is completed, and transfers the buffered received packet after successful authentication. This prevents unnecessary packet retransmission.

以上の構成により、ネットワーク内の認証装置1と、認証対象の通信装置である端末との間の構成に拘わらず認証を行うことができる。   With the above configuration, authentication can be performed regardless of the configuration between the authentication device 1 in the network and the terminal that is the communication device to be authenticated.

Claims (7)

ネットワークに接続する1つ以上の通信装置の認証装置であって、
第1のレイヤのアドレスと、前記第1のレイヤの上位レイヤである第2のレイヤのアドレスとの対応関係を示す対応情報を保持し、受信パケットの第1のレイヤのアドレスが前記対応情報に含まれていない場合、前記受信パケットの第1のレイヤのアドレスを使用する通信装置に、当該通信装置の第2のレイヤのアドレスを問い合わせて前記対応情報を更新する更新手段と、
前記対応情報に、前記受信パケットの第1のレイヤに対応する第2のレイヤのアドレスとして、前記受信パケットの第2のレイヤのアドレスが含まれている場合、前記受信パケットの送信元の通信装置と第1のレイヤのパケットを送受信して行う第1の認証処理を実行し、前記対応情報に、前記受信パケットの第1のレイヤに対応する第2のレイヤのアドレスとして、前記受信パケットの第2のレイヤのアドレスが含まれていない場合、前記第1の認証処理とは異なる第2の認証処理を実行する制御手段と、
を備えていることを特徴とする認証装置。 An authentication device for one or more communication devices connected to a network,
Correspondence information indicating a correspondence relationship between the address of the first layer and the address of the second layer that is an upper layer of the first layer is held, and the address of the first layer of the received packet is included in the correspondence information. If not included, an update unit that inquires the communication device that uses the address of the first layer of the received packet for the address of the second layer of the communication device and updates the correspondence information;
When the correspondence information includes the address of the second layer of the received packet as the address of the second layer corresponding to the first layer of the received packet, the communication device that is the transmission source of the received packet And a first authentication process performed by transmitting and receiving the first layer packet, and the correspondence information includes the second layer address corresponding to the first layer of the received packet as the second layer address corresponding to the first layer of the received packet. Control means for executing a second authentication process different from the first authentication process when the address of the second layer is not included;
An authentication device comprising: 認証済の通信装置の第1のレイヤのアドレス又は第2のレイヤのアドレスを示す認証済情報を管理する管理手段をさらに備えており、
前記制御手段は、前記第1の認証処理で認証が成功すると前記受信パケットの送信元の通信装置の第1のレイヤのアドレスを前記認証済情報に追加し、前記第2の認証処理で認証が成功すると前記受信パケットの送信元の通信装置の第2のレイヤのアドレスを前記認証済情報に追加し、前記受信パケットの第1のレイヤのアドレス又は第2のレイヤのアドレスが前記認証済情報に含まれている場合、前記第1の認証処理及び前記第2の認証処理を実行することなく認証成功と判断することを特徴とする請求項1に記載の認証装置。 A management unit for managing authenticated information indicating the address of the first layer or the address of the second layer of the authenticated communication device;
When the authentication is successful in the first authentication process, the control unit adds the address of the first layer of the communication device that is the transmission source of the received packet to the authenticated information, and the authentication is performed in the second authentication process. If successful, the second layer address of the communication device that is the transmission source of the received packet is added to the authenticated information, and the first layer address or the second layer address of the received packet is added to the authenticated information. 2. The authentication apparatus according to claim 1, wherein if it is included, the authentication is determined to be successful without executing the first authentication process and the second authentication process. 前記制御手段は、前記第1の認証処理での認証が不成功である場合、前記受信パケットの送信元の通信装置と前記第2の認証処理を実行し、前記第1の認証処理が不成功となった後の前記第2の認証処理で認証が成功となった場合には、認証が成功した通信装置の第1のレイヤのアドレスを前記認証済情報に追加することを特徴とする請求項2に記載の認証装置。   When the authentication in the first authentication process is unsuccessful, the control unit executes the second authentication process with the communication device that is the transmission source of the received packet, and the first authentication process is unsuccessful. When the authentication is successful in the second authentication process after becoming, the address of the first layer of the communication device that has been successfully authenticated is added to the authenticated information. 2. The authentication device according to 2. 前記第2の認証処理は、受信パケットが所定のプロトコルに従うメッセージを含む場合に実行することを特徴とする請求項1から3のいずれか1項に記載の認証装置。   4. The authentication apparatus according to claim 1, wherein the second authentication process is executed when a received packet includes a message according to a predetermined protocol. 5. 前記第1の認証処理は、IEEE802.1Xによる認証処理と、通信装置に第2のレイヤのアドレスを割り当てる際に行う認証処理を含む、ことを特徴とする請求項1から4のいずれか1項に記載の認証装置。   5. The method according to claim 1, wherein the first authentication process includes an authentication process based on IEEE802.1X and an authentication process performed when assigning a second layer address to the communication apparatus. The authentication device described in 1. 前記第2の認証処理は、前記受信パケットの送信元の通信装置に認証画面を表示して、当該通信装置のユーザに認証情報を入力させる処理を含む、ことを特徴とする請求項1から5のいずれか1項に記載の認証装置。   6. The second authentication process includes a process of displaying an authentication screen on a communication device that is a transmission source of the received packet and allowing a user of the communication device to input authentication information. The authentication device according to any one of the above. 前記受信パケットが、前記認証装置以外の通信装置宛のものである場合、前記制御手段は、当該通信装置の認証が終了するまで前記受信パケットを保持する、ことを特徴とする請求項1から6のいずれか1項に記載の認証装置。   The control unit holds the received packet until authentication of the communication device is completed when the received packet is addressed to a communication device other than the authentication device. The authentication device according to any one of the above.
JP2013064871A 2013-03-26 2013-03-26 Authentication device Pending JP2014192611A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2013064871A JP2014192611A (en) 2013-03-26 2013-03-26 Authentication device

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2013064871A JP2014192611A (en) 2013-03-26 2013-03-26 Authentication device

Publications (1)

Publication Number Publication Date
JP2014192611A true JP2014192611A (en) 2014-10-06

Family

ID=51838534

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2013064871A Pending JP2014192611A (en) 2013-03-26 2013-03-26 Authentication device

Country Status (1)

Country Link
JP (1) JP2014192611A (en)

Similar Documents

Publication Publication Date Title
US20210385154A1 (en) Multipath data transmission method and device
CN110800331B (en) Network verification method, related equipment and system
CN112997454B (en) Connecting to home local area network via mobile communication network
WO2015101125A1 (en) Network access control method and device
EP3032859B1 (en) Access control method and system, and access point
WO2017114362A1 (en) Packet forwarding method, device and system
KR101640209B1 (en) Apparatus and method for supporting portable mobile VPN service
US20120246473A1 (en) Encryption information transmitting terminal
WO2017167249A1 (en) Private network access method, device and system
WO2013040957A1 (en) Single sign-on method and system, and information processing method and system
JP2023052288A (en) Method, system, and program for relay
JP2012070225A (en) Network relay device and transfer control system
JP2010187314A (en) Network relay apparatus with authentication function, and terminal authentication method employing the same
JP6076276B2 (en) Communication system and communication method
Nguyen et al. An SDN-based connectivity control system for Wi-Fi devices
JP2008199497A (en) Gateway device and authentication processing method
JP2014192611A (en) Authentication device
JP5622088B2 (en) Authentication system, authentication method
EP3264710B1 (en) Securely transferring the authorization of connected objects
JP5864453B2 (en) Communication service providing system and method
KR20150060050A (en) Network device and method of forming tunnel of network device
JP5947763B2 (en) COMMUNICATION SYSTEM, COMMUNICATION METHOD, AND COMMUNICATION PROGRAM
US10708188B2 (en) Application service virtual circuit
WO2022053055A1 (en) Method for accessing broadband access server, server, and storage medium
JP2015095847A (en) Network apparatus, terminal, system, and control method