JP4892745B2 - Apparatus and method for authenticating connection of authentication switch - Google Patents

Apparatus and method for authenticating connection of authentication switch Download PDF

Info

Publication number
JP4892745B2
JP4892745B2 JP2008080246A JP2008080246A JP4892745B2 JP 4892745 B2 JP4892745 B2 JP 4892745B2 JP 2008080246 A JP2008080246 A JP 2008080246A JP 2008080246 A JP2008080246 A JP 2008080246A JP 4892745 B2 JP4892745 B2 JP 4892745B2
Authority
JP
Japan
Prior art keywords
authentication
switch
connection
information
password
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2008080246A
Other languages
Japanese (ja)
Other versions
JP2009239427A (en
Inventor
正一 花澤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Fielding Ltd
Original Assignee
NEC Fielding Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Fielding Ltd filed Critical NEC Fielding Ltd
Priority to JP2008080246A priority Critical patent/JP4892745B2/en
Publication of JP2009239427A publication Critical patent/JP2009239427A/en
Application granted granted Critical
Publication of JP4892745B2 publication Critical patent/JP4892745B2/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Description

本発明の認証スイッチの接続を認証する方式は、それを有する認証スイッチが不正にネットワークから取り外され、別のスイッチに交換されることを防止する認証スイッチの接続を認証する装置及びその方法に関する。   The method for authenticating the connection of the authentication switch according to the present invention relates to an apparatus and method for authenticating the connection of the authentication switch that prevents the authentication switch having the connection from being illegally removed from the network and replaced with another switch.

ネットワーク認証はIEEE802.1x認証機能を用いて、認証スイッチに接続する端末であるパソコンに実装されたIEEE802.1xサプリカントソフトが認証を実行し、認証をパスしたパソコンだけがネットワークに接続できる仕組みである。   Network authentication uses the IEEE802.1x authentication function, and the IEEE802.1x supplicant software installed in the personal computer that is the terminal connected to the authentication switch executes the authentication, and only the personal computer that passes the authentication can connect to the network. is there.

IEEE802.1xサプリカントソフトはパソコンにインストールされるもので、スイッチ同士の接続を認証するような仕組みではなかった。このため、従来の方法では不正なスイッチに交換されるとネットワークに接続できてしまうという問題点があった。   The IEEE 802.1x supplicant software is installed on a personal computer and is not a mechanism for authenticating the connection between switches. For this reason, the conventional method has a problem in that it can be connected to a network if it is replaced with an unauthorized switch.

従来のIEEE802.1x認証の仕組みではパソコンが接続されるスイッチをIEEE802.1x認証用スイッチにすることで不正なパソコンが接続されることを防止する機能であるが、パソコンに隣接するIEEE802.1x認証用スイッチが不正スイッチへ交換されることを防止することはできなかった。また不正スイッチに交換されたことを通報する手段も無かった。   In the conventional IEEE802.1x authentication mechanism, a switch to which a personal computer is connected is used as an IEEE802.1x authentication switch to prevent unauthorized personal computers from being connected. It was not possible to prevent the switch for use from being replaced with an unauthorized switch. There was also no way to report that the switch was replaced by an unauthorized switch.

そのため、IEEE802.1x認証以外の認証方式をサポートする特許文献1と、IEEE802.x準拠の認証スイッチを有するシステムにおいて、認証スイッチを運用する技術に関する特許文献2と、スイッチ間で認証情報を交換し、この交換した認証情報に基づいて認証を行う特許文献3に係る技術がある。
特開2007−267315号公報 特開2007−049709号公報 特開2007−306369号公報 For this reason, Patent Document 1 that supports an authentication method other than IEEE 802.1x authentication, IEEE802. In a system having an x-compliant authentication switch, there is a technique related to Patent Document 2 regarding a technique for operating an authentication switch and Patent Document 3 for exchanging authentication information between the switches and performing authentication based on the exchanged authentication information. .
JP 2007-267315 A JP 2007-049709 A JP 2007-306369 A

しかしながら、特許文献1にはIEEE802.1x認証以外の認証方式をサポートするマルチ認証機能スイッチが記載されているがマルチ認証スイッチ自体を不正に交換されることを防止することについての記述は無い。   However, Patent Document 1 describes a multi-authentication function switch that supports an authentication method other than IEEE 802.1x authentication, but there is no description about preventing the multi-authentication switch itself from being exchanged illegally.

特許文献2は、認証スイッチを他のスイッチへ交換された場合、クライアントの認証を行うことができなくなるが、「認証スイッチの不正交換」と言う脆弱点を防止する手段がないという問題がある。   Japanese Patent Application Laid-Open No. 2004-151867 has a problem that, when an authentication switch is exchanged with another switch, the client cannot be authenticated, but there is no means for preventing a vulnerability called “illegal exchange of authentication switch”.

特許文献3は、無線機器間での相互認証にはIDコードの設定が必須ではあるものの、ポート毎で相互認証の実行/非実行を選択可能ではないという問題がある。   Patent Document 3 has a problem that although mutual ID authentication between wireless devices requires setting of an ID code, execution / non-execution of mutual authentication cannot be selected for each port.

本発明は上記に鑑みてなされたもので、認証スイッチが不正に交換されることを防止し、交換された場合に通報し得る認証スイッチの接続を認証する装置及びその方法を得ることを目的とする。   The present invention has been made in view of the above, and an object of the present invention is to provide an apparatus and method for authenticating connection of an authentication switch that can prevent an authentication switch from being illegally exchanged and that can be notified when the authentication switch is exchanged. To do.

上述の課題を解決するため、本発明に係る認証スイッチの接続を認証する装置は、IEEE802.1x認証機能を有する第一の認証スイッチと、前記第一の認証スイッチに接続可能に設けられた第二の認証スイッチと、前記第一の認証スイッチに接続される端末とを有し、前記第一の認証スイッチは、前記第一の認証スイッチのIDと、前記第一の認証スイッチのパスワードと、前記第一の認証スイッチの接続認証を有効にするポート番号と、を含む第一の認証情報を記憶し、前記第二の認証スイッチは、前記第二の認証スイッチのIDと、前記第二の認証スイッチのパスワードと、前記第二の認証スイッチの接続認証を有効にするポート番号と、を含む第二の認証情報を記憶し、前記第一の認証スイッチは、前記第二の認証スイッチから前記第二の認証情報を、前記第二の認証スイッチは、前記第一の認証スイッチから前記第一の認証情報を、それぞれ取得して予め記憶手段に保存し、前記第一の認証スイッチは、前記保存した前記第二の認証情報と現在の接続相手の認証情報とを比較して、前記第二の認証スイッチは、前記保存した第一の認証情報と現在の接続相手の認証情報とを比較してそれぞれ接続認証を行い、その接続認証結果に基づいて接続を要求してきた前記端末のパケット転送可否を判定することを特徴とする。 In order to solve the above-described problem, an apparatus for authenticating connection of an authentication switch according to the present invention includes a first authentication switch having an IEEE 802.1x authentication function and a first authentication switch that is connectable to the first authentication switch. A second authentication switch and a terminal connected to the first authentication switch, the first authentication switch includes an ID of the first authentication switch, a password of the first authentication switch, wherein a port number to enable the first authentication switch connection authentication, stores the first authentication information including the second authentication switch of the ID of the second authentication switch, the second Storing second authentication information including a password of the authentication switch and a port number for enabling connection authentication of the second authentication switch , wherein the first authentication switch is connected to the second authentication switch; The second authentication information, the second authentication switch acquires the first authentication information from the first authentication switch, respectively, and stores the first authentication information in a storage unit in advance, and the first authentication switch includes: The second authentication switch compares the stored second authentication information with the current connection partner authentication information, and the second authentication switch compares the stored first authentication information with the current connection partner authentication information. Then, connection authentication is performed, and based on the connection authentication result, it is determined whether or not the terminal that has requested connection can transfer the packet .

上述の課題を解決するため、本発明に係る認証スイッチの接続を認証する方法は、IEEE802.1x認証機能を有する第一の認証スイッチと、前記第一の認証スイッチに接続可能に設けられた第二の認証スイッチと、前記第一の認証スイッチに接続される端末とを有するシステムにおいて、前記第一の認証スイッチが、前記第一の認証スイッチのIDと、前記第一の認証スイッチのパスワードと、前記第一の認証スイッチの接続認証を有効にするポート番号と、を含む第一の認証情報を記憶する手順と、前記第二の認証スイッチが、前記第二の認証スイッチのIDと、前記第二の認証スイッチのパスワードと、前記第二の認証スイッチの接続認証を有効にするポート番号と、を含む第二の認証情報を記憶する手順と、前記第一の認証スイッチが、前記第二の認証スイッチから前記第二の認証情報を取得して保存する手順と、前記第二の認証スイッチが、前記第一の認証スイッチから前記第一の認証情報を取得して保存する手順と、前記第一の認証スイッチが、前記保存した前記第二の認証情報と現在の接続相手の認証情報とを比較して、前記第二の認証スイッチが、前記保存した第一の認証情報と現在の接続相手の認証情報とを比較してそれぞれ接続認証を行い、その接続認証結果に基づいて接続を要求してきた前記端末のパケット転送可否を判定する手順と、を含むことを特徴とする。 In order to solve the above-described problem , a method for authenticating connection of an authentication switch according to the present invention includes a first authentication switch having an IEEE 802.1x authentication function and a first authentication switch that is connectable to the first authentication switch. In a system having two authentication switches and a terminal connected to the first authentication switch, the first authentication switch includes an ID of the first authentication switch and a password of the first authentication switch. , and port number to enable the connection authentication of the first authentication switch, a procedure of the first authentication information memorize including, the second authentication switch of the ID of the second authentication switch, wherein the second authentication switch password, and port number to enable the connection authentication of the second authentication switch, a procedure of the second remembers the authentication information including the first authentication Sui Pitch is, the procedure for saving acquires the second authentication information from the second authentication switch, the second authentication switch obtains the first authentication information from the first authentication switch a step of storing Te, the first authentication switch, by comparing the stored authentication information of the second authentication information and the current connection destination, the second authentication switch is first obtained by the storage The authentication information of the current connection partner and the authentication information of the current connection partner, respectively, and performing connection authentication, and determining the packet transfer availability of the terminal that has requested connection based on the connection authentication result. Features.

第一のスイッチは第二のスイッチから第二の認証情報を、第二のスイッチは第一のスイッチから第一の認証情報を、それぞれ取得し、前記第一のスイッチ及び前記第二のスイッチは、第一の認証情報及び第二の認証情報に基づいて接続要求をそれぞれ判定し、該判定の結果を端末にそれぞれ通報することにより、不正なスイッチが接続されたことを接続認証機能部5が通報することで、認証スイッチが不正に交換されることを防止し、交換された場合に通報し得る認証スイッチの接続を認証する装置及びその方法を得ることができる。   The first switch acquires the second authentication information from the second switch, the second switch acquires the first authentication information from the first switch, and the first switch and the second switch The connection authentication function unit 5 determines that an unauthorized switch has been connected by determining connection requests based on the first authentication information and the second authentication information and reporting the determination results to the terminals. By reporting, it is possible to prevent the authentication switch from being illegally exchanged, and to obtain an apparatus and method for authenticating the connection of the authentication switch that can be notified when the authentication switch is exchanged.

次に、本発明の実施の形態について図面を参照して詳細に説明する。図1は、本発明の実施の形態に係る認証スイッチの接続を認証する装置の全体の構成を示す図である。   Next, embodiments of the present invention will be described in detail with reference to the drawings. FIG. 1 is a diagram showing an overall configuration of an apparatus for authenticating connection of an authentication switch according to an embodiment of the present invention.

この図1において、本発明の実施の形態に係る認証スイッチの接続を認証する装置は、IEEE802.1x認証パソコン1と、パソコン2と、IEEE802.1x認証スイッチ3と、スイッチ6と、認証サーバ7とから構成される。   In FIG. 1, an apparatus for authenticating connection of an authentication switch according to an embodiment of the present invention includes an IEEE 802.1x authentication personal computer 1, a personal computer 2, an IEEE 802.1x authentication switch 3, a switch 6, and an authentication server 7. It consists of.

IEEE802.1x認証スイッチ3は、他のスイッチと接続の認証を行う接続認証機能部4と、外部に接続されている機器との情報の入出力に使用するI/O(入出力部)8、9とを有し、スイッチ6は、認証情報の入出力を行う接続認証機能部5と、外部に接続されている機器との情報の入出力に使用するI/O10、11とを有している。   The IEEE802.1x authentication switch 3 includes a connection authentication function unit 4 that performs connection authentication with other switches, and an I / O (input / output unit) 8 that is used for input / output of information between devices connected to the outside. The switch 6 includes a connection authentication function unit 5 that inputs and outputs authentication information, and I / Os 10 and 11 that are used to input and output information to and from externally connected devices. Yes.

続いて図2を用いて、本発明の実施の形態に係る本発明の実施の形態に係るIEEE802.1x認証スイッチ3と、スイッチ6との詳細な構成を説明する。   Next, a detailed configuration of the IEEE 802.1x authentication switch 3 according to the embodiment of the present invention and the switch 6 according to the embodiment of the present invention will be described with reference to FIG.

図2に示すように、IEEE802.1x認証スイッチ3は、接続認証機能部4と、I/O8、9とを有し、このうち接続認証機能部4は、スイッチ6との認証情報の交換で使用する認証情報入出力部13と、認証情報を設定する認証情報設定手段15と、設定された認証情報及びスイッチ6と交換した認証情報を記憶する記憶装置16と、接続要求に係る認証情報と記憶装置16に記憶されている認証情報とを比較し、認証結果を判定する認証判定手段14と、認証判定手段14に基づいてI/O8からI/O9間の接続を行う接続部12と、認証結果を表示させる認証結果表示手段17、認証結果を通報する認証結果通報手段18と、を備える。   As shown in FIG. 2, the IEEE 802.1x authentication switch 3 includes a connection authentication function unit 4 and I / Os 8 and 9. Of these, the connection authentication function unit 4 exchanges authentication information with the switch 6. Authentication information input / output unit 13 to be used, authentication information setting means 15 for setting authentication information, a storage device 16 for storing the set authentication information and authentication information exchanged with the switch 6, and authentication information relating to a connection request An authentication determination unit 14 that compares the authentication information stored in the storage device 16 and determines an authentication result; a connection unit 12 that performs a connection between the I / O 8 and the I / O 9 based on the authentication determination unit 14; An authentication result display unit 17 for displaying the authentication result and an authentication result report unit 18 for reporting the authentication result are provided.

又、図2において、スイッチ6は、接続認証機能部5と、I/O10、11とを有し、このうち接続認証機能部5は、接続認証機能部4と同様に、接続部19、認証情報入出力部20、認証判定手段21、認証情報設定手段22、記憶装置23、認証結果表示手段24及び認証結果通報手段25を備える。   In FIG. 2, the switch 6 includes a connection authentication function unit 5 and I / Os 10 and 11. Of these, the connection authentication function unit 5 is similar to the connection authentication function unit 4, the connection unit 19, the authentication. An information input / output unit 20, an authentication determination unit 21, an authentication information setting unit 22, a storage device 23, an authentication result display unit 24, and an authentication result notification unit 25 are provided.

まず、IEEE802.1x認証スイッチ3及びスイッチ6は、自身のスイッチID、パスワード及び接続認証を有効にするポート番号を設定し、記憶装置16、23にそれぞれ保存する。   First, the IEEE 802.1x authentication switch 3 and the switch 6 set their switch ID, password, and port number for enabling connection authentication, and store them in the storage devices 16 and 23, respectively.

次に、IEEE802.1x認証スイッチ3及びスイッチ6は、記憶装置16、23にそれぞれ保存している自身のスイッチIDと自分のパスワードの情報とを、認証情報入出力部13及び認証情報入出力部20により交換し合う。   Next, the IEEE 802.1x authentication switch 3 and the switch 6 send their own switch ID and their password information stored in the storage devices 16 and 23 to the authentication information input / output unit 13 and the authentication information input / output unit, respectively. 20 to exchange each other.

接続認証機能部4は、上述の交換により取得したスイッチ6のスイッチID及びパスワードと、自身のスイッチID、パスワード及び接続認証を有効にするポート番号とを、図3に示した認証情報26の形式で記憶装置16に記憶する。ここで、図3は本発明の実施の形態に係る認証情報の一例を示す図である。   The connection authentication function unit 4 uses the switch ID and password of the switch 6 acquired by the exchange described above, and the switch ID, password, and port number for validating connection authentication in the format of the authentication information 26 shown in FIG. Is stored in the storage device 16. Here, FIG. 3 is a diagram showing an example of authentication information according to the embodiment of the present invention.

図3において、認証情報26は、「自分のスイッチID」としてIEEE802.1x認証スイッチ3のスイッチID1と、「自分のパスワード」としてIEEE802.1x認証スイッチ3のパスワード1と、「接続認証を有効にするポート番号」としてI/O9のポート番号と、接続相手であるスイッチ6のスイッチIDとしてスイッチID2と、接続相手であるスイッチ6のパスワードとしてパスワード2と、の情報を含んでいる。   In FIG. 3, the authentication information 26 includes the switch ID 1 of the IEEE 802.1x authentication switch 3 as “your switch ID”, the password 1 of the IEEE 802.1x authentication switch 3 as “your password”, and “validate connection authentication”. The port number of the I / O 9, the switch ID of the switch 6 as the connection partner, the switch ID 2, and the password 2 as the password of the switch 6 as the connection partner are included.

同様に、接続認証機能部5は、認証情報27を設定して、記憶装置23に記憶する。   Similarly, the connection authentication function unit 5 sets authentication information 27 and stores it in the storage device 23.

図3において、認証情報27は、「自分のスイッチID」としてスイッチ6のスイッチID2と、「自分のパスワード」としてスイッチ6のパスワード2と、「接続認証を有効にするポート番号」としてI/O10のポート番号と、接続相手であるIEEE802.1x認証スイッチ3のスイッチIDとしてスイッチID1と、接続相手であるIEEE802.1x認証スイッチ3のパスワードとしてパスワード1と、の情報を含んでいる。   In FIG. 3, authentication information 27 includes switch ID 2 of switch 6 as “your switch ID”, password 2 of switch 6 as “your password”, and I / O 10 as “port number for enabling connection authentication”. Of the port ID, switch ID 1 as the switch ID of the IEEE 802.1x authentication switch 3 that is the connection partner, and password 1 as the password of the IEEE 802.1x authentication switch 3 that is the connection partner.

続いて、認証判定手段14及び認証判定手段21は、自身が記憶している認証情報26及び認証情報27と、相手のスイッチID、パスワード及びこの相手が指定してきたポート番号等の情報と、を基に図4のフローチャートの処理を行う。ここで、図4は、認証判定手段14が接続を認証し、パケットの転送を許可する手順を示したフローチャートである。   Subsequently, the authentication determination unit 14 and the authentication determination unit 21 store the authentication information 26 and authentication information 27 stored therein, and information such as the switch ID and password of the partner and the port number specified by the partner. Based on the processing shown in the flowchart of FIG. Here, FIG. 4 is a flowchart showing a procedure in which the authentication determination unit 14 authenticates the connection and permits packet transfer.

まず、ステップS101では、接続相手が指定してきたI/Oポートが接続認証を有効にするポート番号(以下、「認証対象ポート」)か否かを認証情報26に基づいて判断する。認証情報26において認証対象ポートはI/O9となるので、接続相手が指定してきたポート番号が例えばI/O8の場合、判定はNOとなり、認証を要しないポートと判断され、パケット転送を行う(ステップS102)。一方で、相手が指定してきたI/Oポートが認証対象ポートに該当する場合は、ステップS103に移行する。   First, in step S101, it is determined based on the authentication information 26 whether or not the I / O port designated by the connection partner is a port number for validating connection authentication (hereinafter referred to as “authentication target port”). Since the authentication target port in the authentication information 26 is I / O9, if the port number designated by the connection partner is, for example, I / O8, the determination is NO, it is determined that the port does not require authentication, and packet transfer is performed ( Step S102). On the other hand, when the I / O port designated by the partner corresponds to the authentication target port, the process proceeds to step S103.

ステップS103では、認証対象ポートから認証情報が入力されるか否かを判断する。認証対象ポートが例えばI/O9の場合、図2に示すように認証情報入出力部20よりI/O9を介して認証情報27は入力されているので、判定はYESとなり、手順はステップS104に移動する。   In step S103, it is determined whether authentication information is input from the authentication target port. For example, when the authentication target port is I / O9, the authentication information 27 is input from the authentication information input / output unit 20 via the I / O9 as shown in FIG. 2, so the determination is YES, and the procedure goes to step S104. Moving.

一方で、認証情報が入力されなかった場合には判定はNOとなるので、I/O9でのパケット転送を拒否、認証結果表示手段17で不正スイッチ接続である旨を表示し、認証結果通報手段18で不正スイッチ接続であることを認証サーバ7への接続を要求してきた端末に通報する(ステップS105)。   On the other hand, if the authentication information is not input, the determination is no. Therefore, the packet transfer at the I / O 9 is rejected, the authentication result display means 17 displays that the switch is invalid, and the authentication result notifying means. In step S105, the terminal that has requested connection to the authentication server 7 is notified of the unauthorized switch connection (step S105).

ステップS104では、認証対象ポートから入力された認証情報におけるスイッチIDの値が適正か否かを判断する。入力されたスイッチIDと記憶装置16が記憶している接続相手のスイッチIDの値が一致していれば判定はYESとなり、手順はステップS106に移動する。   In step S104, it is determined whether the value of the switch ID in the authentication information input from the authentication target port is appropriate. If the input switch ID matches the value of the switch ID of the connection partner stored in the storage device 16, the determination is yes, and the procedure moves to step S106.

一方で、スイッチIDが異なっていた場合には判定はNOとなるので、認証対象ポートでのパケット転送を拒否、認証結果表示手段17でスイッチIDミスマッチと表示し、認証結果通報手段18でスイッチIDミスマッチであることを認証サーバ7への接続を要求してきた端末に通報する(ステップS107)。   On the other hand, if the switch IDs are different, the determination is no. Therefore, packet transfer at the authentication target port is rejected, switch ID mismatch is displayed on the authentication result display means 17, and switch ID is displayed on the authentication result report means 18. A mismatch is notified to the terminal that has requested connection to the authentication server 7 (step S107).

ステップS106では、認証対象ポートから入力された認証情報におけるパスワードの値が適正か否かを判断する。入力されたパスワードと記憶装置16の接続相手のパスワードが一致していれば判定はYESとなるので、認証対象ポートでのパケット転送を許可し、認証結果表示手段17で認証OKと表示し、認証結果通報手段18で認証OKであることを認証サーバ7への接続を要求してきた端末に通報し(ステップS108)、一連の手続は終了する。   In step S106, it is determined whether or not the password value in the authentication information input from the authentication target port is appropriate. If the input password matches the password of the connection partner of the storage device 16, the determination is YES. Therefore, packet transfer at the authentication target port is permitted, authentication OK is displayed on the authentication result display means 17, and authentication is performed. The result notifying means 18 notifies the terminal that has requested connection to the authentication server 7 that the authentication is OK (step S108), and the series of procedures ends.

図4に示した一連の処理は、認証判定手段21が接続を認証し、パケットの転送を許可する場合も同様である。   The series of processes shown in FIG. 4 is the same when the authentication determination unit 21 authenticates the connection and permits packet transfer.

一方で、パスワードが異なっていた場合には判定はNOとなるので、認証対象ポートでのパケット転送を拒否、認証結果表示手段17でパスワードミスマッチと表示し、認証結果通報手段18でパスワードミスマッチであることを認証サーバ7への接続を要求してきた端末に通報する(ステップS109)。   On the other hand, if the passwords are different, the determination is no, so packet transfer at the authentication target port is rejected, password mismatch is displayed on the authentication result display means 17, and password mismatch is detected on the authentication result report means 18. This is reported to the terminal that has requested connection to the authentication server 7 (step S109).

ここで、図5は図1のIEEE802.1x認証スイッチ3を通常のスイッチであるスイッチ28に交換した場合を示す図である。この場合は、スイッチ6の接続認証機能部5においてパケット転送を拒否する判定を行うため、IEEE802.1x認証パソコンではないパソコン2の通信を防止することができる。   Here, FIG. 5 is a diagram illustrating a case where the IEEE 802.1x authentication switch 3 of FIG. 1 is replaced with a switch 28 which is a normal switch. In this case, since the connection authentication function unit 5 of the switch 6 determines to reject the packet transfer, it is possible to prevent communication of the personal computer 2 that is not an IEEE 802.1x-authenticated personal computer.

本発明は、認証によってクライアントからのアクセスの可否を判断するネットワーク環境での活用に適しており、ネットワークを活用しているあらゆる産業分野に利用できる。   INDUSTRIAL APPLICABILITY The present invention is suitable for use in a network environment that determines whether access from a client is possible by authentication, and can be used in any industrial field that uses a network.

本発明の実施の形態に係る認証スイッチの接続を認証する装置の全体の構成を示す図である。It is a figure which shows the whole structure of the apparatus which authenticates the connection of the authentication switch which concerns on embodiment of this invention. 本発明の実施の形態に係るスイッチの詳細な構成を説明する図である。It is a figure explaining the detailed structure of the switch which concerns on embodiment of this invention. 本発明の実施の形態に係る認証情報の一例を示す図である。It is a figure which shows an example of the authentication information which concerns on embodiment of this invention. 認証判定手段が接続を認証し、パケットの転送を許可する手順を示したフローチャートである。It is the flowchart which showed the procedure which an authentication determination means authenticates connection and permits transfer of a packet. 図1のIEEE802.1x認証スイッチを通常のスイッチに交換した場合を示す図である。It is a figure which shows the case where the IEEE802.1x authentication switch of FIG. 1 is replaced | exchanged for the normal switch.

符号の説明Explanation of symbols

1 IEEE802.1x認証パソコン
2 パソコン
3 IEEE802.1x認証スイッチ
4、5 接続認証機能部
6 スイッチ
7 認証サーバ
8、9、10、11 I/O
12 接続部
13 認証情報入出力部
14 認証判定手段
15 認証情報設定手段
16 記憶装置
17 認証結果表示手段
18 認証結果通報手段
19 接続部
20 認証情報入出力部
21 認証判定手段
22 認証情報設定手段
23 記憶装置
24 認証結果表示手段
25 認証結果通報手段
26、27 認証情報
28 スイッチ DESCRIPTION OF SYMBOLS 1 IEEE802.1x authentication personal computer 2 Personal computer 3 IEEE802.1x authentication switch 4, 5 Connection authentication function part 6 Switch 7 Authentication server 8, 9, 10, 11 I / O
DESCRIPTION OF SYMBOLS 12 Connection part 13 Authentication information input / output part 14 Authentication judgment means 15 Authentication information setting means 16 Storage device 17 Authentication result display means 18 Authentication result report means 19 Connection part 20 Authentication information input / output part 21 Authentication judgment means 22 Authentication information setting means 23 Storage device 24 Authentication result display means 25 Authentication result reporting means 26, 27 Authentication information 28 Switch

Claims (8)

IEEE802.1x認証機能を有する第一の認証スイッチと、前記第一の認証スイッチに接続可能に設けられた第二の認証スイッチと、前記第一の認証スイッチに接続される端末とを有し、
前記第一の認証スイッチは、前記第一の認証スイッチのIDと、前記第一の認証スイッチのパスワードと、前記第一の認証スイッチの接続認証を有効にするポート番号と、を含む第一の認証情報を記憶し、
前記第二の認証スイッチは、前記第二の認証スイッチのIDと、前記第二の認証スイッチのパスワードと、前記第二の認証スイッチの接続認証を有効にするポート番号と、を含む第二の認証情報を記憶し、
前記第一の認証スイッチは、前記第二の認証スイッチから前記第二の認証情報を、前記第二の認証スイッチは、前記第一の認証スイッチから前記第一の認証情報を、それぞれ取得して予め記憶手段に保存し、
前記第一の認証スイッチは、前記保存した前記第二の認証情報と現在の接続相手の認証情報とを比較して、前記第二の認証スイッチは、前記保存した第一の認証情報と現在の接続相手の認証情報とを比較してそれぞれ接続認証を行い、その接続認証結果に基づいて接続を要求してきた前記端末のパケット転送可否を判定することを特徴とする認証スイッチの接続を認証する装置。 A first authentication switch having an IEEE 802.1x authentication function; a second authentication switch provided to be connectable to the first authentication switch; and a terminal connected to the first authentication switch;
The first authentication switch of the ID of the first authentication switch, and the password of the first authentication switch, and a port number to enable the connection authentication of the first authentication switch, the first comprising Remember authentication information ,
The second authentication switch of the ID of the second authentication switch, the password of the second authentication switch, and the port number to enable the connection authentication of the second authentication switch, a second containing Remember authentication information ,
The first is authentication switch, the second the second authentication information from the authentication switch, said second authentication switch, the first authentication information from the first authentication switch, respectively to obtain Save in advance to storage means,
The first authentication switch compares the stored second authentication information with the current connection partner authentication information, and the second authentication switch compares the stored first authentication information with the current authentication information. A device for authenticating connection of an authentication switch, characterized in that connection authentication is performed by comparing with authentication information of a connection partner, and whether or not packet transfer is possible for the terminal that has requested connection based on the connection authentication result is determined. . 前記第一の認証スイッチは、外部に接続されている機器との情報の入出力に使用するI/O(入出力部)と、接続要求を認証する第一の接続認証機能部と、を備え、
前記第一の接続認証機能部は、
前記第一の認証情報を記憶する第一の認証情報設定手段と、
前記第二の認証スイッチから前記第二の認証情報を取得する第一の認証情報入出力部と、
前記第一の認証情報と前記第二の認証情報とを記憶する第一の記憶装置と、
前記第二の認証情報のスイッチID、パスワード及びポート番号と、現在の接続相手のスイッチID、パスワード及び前記現在の接続相手が指定してきたポート番号とをそれぞれ比較して接続認証を行う第一の認証判定手段と、
前記第一の認証判定手段での接続認証結果を表示する第一の認証結果表示手段と、
前記第一の認証判定手段での接続認証結果を接続を要求してきた端末に通報する第一の認証結果通報手段と、を有し、
前記第一の認証判定手段の接続認証結果に基づいて前記接続を要求してきた端末のパケット転送可否を判定する第一の接続判定部と、
前記第二の認証スイッチは、外部に接続されている機器との情報の入出力に使用するI/O(入出力部)と、接続要求を認証する第二の接続認証機能部と、を備え、
前記第二の接続認証機能部は、
前記第二の認証情報を記憶する第二の認証情報設定手段と、
前記第一の認証スイッチから前記第一の認証情報を取得する第二の認証情報入出力部と、 前記第一の認証情報と前記第二の認証情報とを記憶する第二の記憶装置と、
前記第一の認証情報のスイッチID、パスワード及びポート番号と、現在の接続相手のスイッチID、パスワード及び前記現在の接続相手が指定してきたポート番号とをそれぞれ比較して接続認証を行う第二の認証判定手段と、
前記第二の認証判定手段での接続認証結果を表示する第二の認証結果表示手段と、
前記第二の認証判定手段での接続認証結果を接続を要求してきた端末に通報する第二の認証結果通報手段と、
前記第二の認証判定手段の接続認証結果に基づいて前記接続を要求してきた端末のパケット転送可否を判定する第二の接続判定部と、
を有することを特徴とする請求項1に記載の認証スイッチの接続を認証する装置。 The first authentication switch includes an I / O (input / output unit) used for input / output of information with an externally connected device, and a first connection authentication function unit that authenticates a connection request. ,
The first connection authentication function unit
First authentication information setting means for storing the first authentication information;
A first authentication information input / output unit for obtaining the second authentication information from the second authentication switch;
A first storage device for storing the first authentication information and the second authentication information;
A first that performs connection authentication by comparing the switch ID, password, and port number of the second authentication information with the switch ID of the current connection partner, the password, and the port number specified by the current connection partner ; Authentication determination means;
A first authentication result display means for displaying the result of connection authentication at the first authentication decision means,
A first authentication result reporting means for reporting a connection authentication result in the first authentication determination means to a terminal that has requested connection ;
A first connection determination unit that determines whether or not the packet transfer of the terminal that has requested the connection based on a connection authentication result of the first authentication determination unit ;
The second authentication switch includes an I / O (input / output unit) used for input / output of information with an externally connected device, and a second connection authentication function unit that authenticates a connection request. ,
The second connection authentication function unit
Second authentication information setting means for storing the second authentication information;
A second authentication information input / output unit that acquires the first authentication information from the first authentication switch; a second storage device that stores the first authentication information and the second authentication information;
A second that performs connection authentication by comparing the switch ID, password, and port number of the first authentication information with the switch ID of the current connection partner, the password, and the port number specified by the current connection partner ; Authentication determination means;
A second authentication result display means for displaying the result of connection authentication at the second authentication decision means,
A second authentication result reporting means for reporting the connection authentication result in the second authentication determination means to the terminal that has requested connection ;
A second connection determination unit that determines whether or not packet transfer is possible for a terminal that has requested the connection based on a connection authentication result of the second authentication determination unit ;
The apparatus for authenticating the connection of the authentication switch according to claim 1. 前記第一の認証判定手段は、前記第一の認証スイッチの接続認証を有効にするポート番号と、前記第二の認証スイッチのIDと、前記第二の認証スイッチのパスワードと、を有する場合に前記端末のパケット転送を許可し、
前記第二の認証判定手段は、前記第二の認証スイッチの接続認証を有効にするポート番号と、前記第一の認証スイッチのIDと、前記第一の認証スイッチのパスワードと、を有する場合に前記端末のパケット転送を許可することを特徴とする請求項1又は2に記載の認証スイッチの接続を認証する装置。 Said first authentication determination unit, when having a port number to enable the connection authentication of the first authentication switch, the ID of the second authentication switch, and a password of the second authentication switch Allow packet transfer of the terminal ,
If the second authentication decision means, having a front Symbol port number to enable the second authentication switch connection authentication of the ID of the first authentication switch, and a password of the first authentication switch 3. The apparatus for authenticating connection of an authentication switch according to claim 1 or 2, wherein packet transfer of the terminal is permitted. 前記第一の記憶装置は、前記第一の認証情報と前記第二の認証情報とのうち、前記第一の認証スイッチのIDと、前記第一の認証スイッチのパスワードと、前記第一の認証スイッチの接続認証を有効にするポート番号と、前記第二の認証スイッチのIDと、前記第二の認証スイッチのパスワードと、を含む情報を記憶し、
前記第二の記憶装置は、前記第一の認証情報と前記第二の認証情報とのうち、前記第二の認証スイッチのIDと、前記第二の認証スイッチのパスワードと、前記第二の認証スイッチの接続認証を有効にするポート番号と、前記第一の認証スイッチのIDと、前記第一の認証スイッチのパスワードと、を含む情報を記憶することを特徴とする請求項1乃至3のいずれか1項に記載の認証スイッチの接続を認証する装置。 The first storage device, among said first authentication information and the second authentication information, the ID of the first authentication switch, and the password of the first authentication switch, the first authentication storing the port number to enable the connection authentication of the switch, the ID of the second authentication switch, and password of the second authentication switch, the information including,
Said second storage device, among said first authentication information and the second authentication information, the ID of the second authentication switch, and password of the second authentication switch, the second authentication and port number to enable the connection authentication of the switch, the ID of the first authentication switch any of claims 1 to 3, characterized in that stores information including the password of the first authentication switch A device for authenticating the connection of the authentication switch according to claim 1. IEEE802.1x認証機能を有する第一の認証スイッチと、前記第一の認証スイッチに接続可能に設けられた第二の認証スイッチと、前記第一の認証スイッチに接続される端末とを有するシステムにおいて、
前記第一の認証スイッチが、前記第一の認証スイッチのIDと、前記第一の認証スイッチのパスワードと、前記第一の認証スイッチの接続認証を有効にするポート番号と、を含む第一の認証情報を記憶する手順と、
前記第二の認証スイッチが、前記第二の認証スイッチのIDと、前記第二の認証スイッチのパスワードと、前記第二の認証スイッチの接続認証を有効にするポート番号と、を含む第二の認証情報を記憶する手順と、
前記第一の認証スイッチが、前記第二の認証スイッチから前記第二の認証情報を取得して保存する手順と、
前記第二の認証スイッチが、前記第一の認証スイッチから前記第一の認証情報を取得して保存する手順と、
前記第一の認証スイッチが、前記保存した前記第二の認証情報と現在の接続相手の認証情報とを比較して、前記第二の認証スイッチが、前記保存した第一の認証情報と現在の接続相手の認証情報とを比較してそれぞれ接続認証を行い、その接続認証結果に基づいて接続を要求してきた前記端末のパケット転送可否を判定する手順と、
を含むことを特徴とする認証スイッチの接続を認証する方法。 In a system having a first authentication switch having an IEEE 802.1x authentication function, a second authentication switch provided to be connectable to the first authentication switch, and a terminal connected to the first authentication switch ,
It said first authentication switch, the ID of the first authentication switch, said first authentication switch password, and port number to enable the connection authentication of the first authentication switch, the first comprising and procedures for the authentication information memorize,
The second authentication switch of the ID of the second authentication switch, the password of the second authentication switch, and the port number to enable the connection authentication of the second authentication switch, a second containing and procedures for the authentication information memorize,
The first authentication switch acquires and stores the second authentication information from the second authentication switch, and
The second authentication switch acquires and stores the first authentication information from the first authentication switch; and
The first authentication switch compares the stored second authentication information with the current connection partner authentication information, and the second authentication switch compares the stored first authentication information with the current authentication information. A procedure for performing connection authentication by comparing with authentication information of a connection partner, and determining whether or not to allow packet transfer of the terminal that has requested connection based on the connection authentication result;
A method for authenticating a connection of an authentication switch , comprising : 前記第一の認証スイッチが、前記保存した前記第二の認証情報と現在の接続相手の認証情報とを比較して接続認証を行う手順は、前記第二の認証情報のスイッチID、パスワード及びポート番号と、現在の接続相手のスイッチID、パスワード及び前記現在の接続相手が指定してきたポート番号とをそれぞれ比較して接続認証を行い、
前記二の認証スイッチが、前記保存した第一の認証情報と現在の接続相手の認証情報とを比較してそれぞれ接続認証を行う手順は、前記第一の認証情報のスイッチID、パスワード及びポート番号と、現在の接続相手のスイッチID、パスワード及び前記現在の接続相手が指定してきたポート番号とをそれぞれ比較して接続認証を行うことを特徴とする請求項5に記載の認証スイッチの接続を認証する方法。 In the procedure in which the first authentication switch performs the connection authentication by comparing the stored second authentication information with the authentication information of the current connection partner, the switch ID, the password, and the second authentication information Connection authentication is performed by comparing the port number with the switch ID and password of the current connection partner and the port number specified by the current connection partner,
In the procedure in which the second authentication switch compares the stored first authentication information with the authentication information of the current connection partner and performs connection authentication, respectively , the switch ID, password and port of the first authentication information 6. The authentication switch connection according to claim 5, wherein connection authentication is performed by comparing a number with a switch ID and password of a current connection partner and a port number designated by the current connection partner. How to authenticate. 前記第一の認証スイッチ及び前記第二の認証スイッチは、接続を許可する場合はその旨を、接続を許可しない場合はその旨を、表示する手順を、それぞれ更に備えることを特徴とする請求項5又は6に記載の認証スイッチの接続を認証する方法。 The said 1st authentication switch and said 2nd authentication switch are further provided with the procedure which displays that when connection is permitted, and when it does not permit connection, respectively. A method for authenticating connection of the authentication switch according to 5 or 6. 前記第一の認証スイッチ及び前記第二の認証スイッチは、接続を許可する場合はその旨を、接続を許可しない場合はその旨を、前記端末に通報する手順を、それぞれ更に備えることを特徴とする請求項5乃至7のいずれか1項に記載の認証スイッチの接続を認証する方法。 The first authentication switch and the second authentication switch further comprise a procedure for notifying the terminal when the connection is permitted and notifying the terminal when the connection is not permitted, respectively. A method for authenticating connection of an authentication switch according to any one of claims 5 to 7.
JP2008080246A 2008-03-26 2008-03-26 Apparatus and method for authenticating connection of authentication switch Expired - Fee Related JP4892745B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2008080246A JP4892745B2 (en) 2008-03-26 2008-03-26 Apparatus and method for authenticating connection of authentication switch

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2008080246A JP4892745B2 (en) 2008-03-26 2008-03-26 Apparatus and method for authenticating connection of authentication switch

Publications (2)

Publication Number Publication Date
JP2009239427A JP2009239427A (en) 2009-10-15
JP4892745B2 true JP4892745B2 (en) 2012-03-07

Family

ID=41252893

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2008080246A Expired - Fee Related JP4892745B2 (en) 2008-03-26 2008-03-26 Apparatus and method for authenticating connection of authentication switch

Country Status (1)

Country Link
JP (1) JP4892745B2 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102377774A (en) * 2010-08-24 2012-03-14 巴比禄股份有限公司 Network relay device and frame relaying control method

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5143199B2 (en) * 2010-08-24 2013-02-13 株式会社バッファロー Network relay device

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3996288B2 (en) * 1998-12-07 2007-10-24 株式会社日立製作所 Communication network system management method and information relay apparatus
JP2002123491A (en) * 2000-10-13 2002-04-26 Nippon Telegr & Teleph Corp <Ntt> Authentication proxy method, device and system
JP4109273B2 (en) * 2005-06-13 2008-07-02 株式会社日立製作所 Network connection system, network connection device and program
US7818580B2 (en) * 2005-08-09 2010-10-19 International Business Machines Corporation Control of port based authentication protocols and process to support transfer of connection information
JP4763377B2 (en) * 2005-08-10 2011-08-31 富士通株式会社 Subnet setting method, local area network system and management device
JP4714111B2 (en) * 2006-08-29 2011-06-29 株式会社日立製作所 Management computer, computer system and switch
JP5059473B2 (en) * 2007-04-18 2012-10-24 株式会社日立製作所 Network system, management computer and user terminal
JP4734374B2 (en) * 2008-06-04 2011-07-27 アラクサラネットワークス株式会社 Network relay device and network relay device method

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102377774A (en) * 2010-08-24 2012-03-14 巴比禄股份有限公司 Network relay device and frame relaying control method

Also Published As

Publication number Publication date
JP2009239427A (en) 2009-10-15

Similar Documents

Publication Publication Date Title
US10700861B2 (en) System and method for generating a recovery key and managing credentials using a smart blockchain contract
US10666642B2 (en) System and method for service assisted mobile pairing of password-less computer login
US8171534B2 (en) Two-way authentication using a combined code
JP5764203B2 (en) Password safe input system using password key movement value and password safe input method
CN109479049B (en) System, apparatus and method for key provisioning delegation
US8869252B2 (en) Methods, apparatuses, and computer program products for bootstrapping device and user authentication
EP2807794B1 (en) Network mediated multi-device shared authentication
JP4508033B2 (en) RADIO COMMUNICATION SYSTEM, TERMINAL, ITS STATUS NOTIFICATION METHOD, AND PROGRAM
EP2864923B1 (en) Secure user presence detection and authentication
KR20140009105A (en) One-time password authentication with infinite nested hash chains
JP5985107B2 (en) DEVICE CONTROL SYSTEM, DEVICE CONTROL DEVICE, DEVICE CONTROL METHOD, AND PROGRAM
JP2012530311A5 (en)
WO2017141618A1 (en) Information processing system, information processing device, server device, control method for information processing system and program
US20160087949A1 (en) Establishing secure digital relationship using symbology
JP2007074700A (en) Wireless communications system, terminal, method for reporting status of terminal, and program
US20150229627A1 (en) Communication apparatus, communication system, method of controlling communication apparatus, and storage medium
JP2007267315A (en) Multiple-authentication function switching apparatus
JP4892745B2 (en) Apparatus and method for authenticating connection of authentication switch
KR101316059B1 (en) Apparatus for verifying certificate and method thereof, and recording medium storing program for executing method of the same in computer
US9967248B1 (en) System for authenticating and processing service requests
JP6714551B2 (en) Authentication key sharing system and inter-terminal key copying method
US8104084B2 (en) Authorizing a user to a device
JP5612649B2 (en) PC access control method, module including the same, server, and system
JP2017135599A (en) Radio base station device, radio communication system, and control method of radio base device
Anagnostopoulos et al. AR-PUFs: Advanced security primitives for the Internet of Things and cyber-physical systems

Legal Events

Date Code Title Description
RD03 Notification of appointment of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7423

Effective date: 20100804

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20100804

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20110908

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20111107

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20111124

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20111201

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20150106

Year of fee payment: 3

LAPS Cancellation because of no payment of annual fees