JP6106558B2 - Communication system and authentication switch - Google Patents
Communication system and authentication switch Download PDFInfo
- Publication number
- JP6106558B2 JP6106558B2 JP2013178807A JP2013178807A JP6106558B2 JP 6106558 B2 JP6106558 B2 JP 6106558B2 JP 2013178807 A JP2013178807 A JP 2013178807A JP 2013178807 A JP2013178807 A JP 2013178807A JP 6106558 B2 JP6106558 B2 JP 6106558B2
- Authority
- JP
- Japan
- Prior art keywords
- authentication
- terminal
- switch
- information
- access point
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000004891 communication Methods 0.000 title claims description 73
- 238000000034 method Methods 0.000 claims description 65
- 238000012545 processing Methods 0.000 claims description 59
- 230000008569 process Effects 0.000 claims description 44
- 230000010365 information processing Effects 0.000 claims description 22
- 230000005540 biological transmission Effects 0.000 claims description 14
- 230000004044 response Effects 0.000 claims description 10
- 210000002320 radius Anatomy 0.000 description 58
- 230000006870 function Effects 0.000 description 11
- 238000010586 diagram Methods 0.000 description 8
- 238000012546 transfer Methods 0.000 description 7
- 230000001360 synchronised effect Effects 0.000 description 6
- 238000012217 deletion Methods 0.000 description 5
- 230000037430 deletion Effects 0.000 description 5
- 230000006399 behavior Effects 0.000 description 4
- 238000012790 confirmation Methods 0.000 description 2
- 238000012544 monitoring process Methods 0.000 description 2
- 241000287463 Phalacrocorax Species 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000002708 enhancing effect Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- HRULVFRXEOZUMJ-UHFFFAOYSA-K potassium;disodium;2-(4-chloro-2-methylphenoxy)propanoate;methyl-dioxido-oxo-$l^{5}-arsane Chemical compound [Na+].[Na+].[K+].C[As]([O-])([O-])=O.[O-]C(=O)C(C)OC1=CC=C(Cl)C=C1C HRULVFRXEOZUMJ-UHFFFAOYSA-K 0.000 description 1
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Mobile Radio Communication Systems (AREA)
Description
本発明は、認証処理を行う通信システム、またはスイッチ装置に関する。 The present invention relates to a communication system or a switch device that performs authentication processing.
通信ネットワークのセキュリティを高める手段として、有線ネットワーク、無線ネットワークを問わず、ネットワーク認証システムが用いられている。ネットワーク認証システムを構成するのは、PCやスマートデバイス等のユーザ端末、無線アクセスポイント、認証スイッチ、認証サーバである。認証の方式としては、無線ネットワークでは、無線アクセスポイントは、主にIEEE802.1X認証を使用して、認証サーバに対して認証情報が登録されているか問い合わせを行う。また、有線ネットワークの場合は、認証スイッチが、MACアドレス認証を使用して、認証情報が登録されているか問い合わせを行う。 Network authentication systems are used as means for enhancing the security of communication networks, regardless of whether they are wired networks or wireless networks. The network authentication system includes user terminals such as PCs and smart devices, wireless access points, authentication switches, and authentication servers. As a method of authentication, in a wireless network, a wireless access point mainly uses IEEE 802.1X authentication to inquire whether authentication information is registered with an authentication server. In the case of a wired network, the authentication switch uses MAC address authentication to inquire whether authentication information is registered.
特許文献1では、セキュリティをより強化するために、認証と同時にユーザ端末に対してアクセス制御やQoS制御を行う技術が開示されている。特許文献2は、認証処理の連携については、無線アクセスポイントからの認証パケットをスヌーピングし、認証スイッチにて認証するための方式が開示されている。特許文献3には、認証に関する情報として、端末装置登録情報エントリに端末識別子、認証フラグが開示されている。
Patent Document 1 discloses a technology for performing access control and QoS control on a user terminal simultaneously with authentication in order to further enhance security.
ここで、無線のユーザ端末の場合には、無線アクセスポイントで認証を行うが、有線のユーザ端末では認証スイッチが認証を行うため、認証シーケンスや認証に関連する設定、例えば再認証間隔や最大接続時間、が、無線ネットワークと有線ネットワークで別々に存在する。 Here, in the case of a wireless user terminal, authentication is performed by a wireless access point. However, since an authentication switch performs authentication in a wired user terminal, settings related to an authentication sequence and authentication, such as a re-authentication interval and a maximum connection Time exists separately for wireless and wired networks.
また無線アクセスポイントで認証サーバへ、問い合わせにより外部ネットワークへの認証を行ない、認証が成功した場合でも、外部ネットワークへの経路上の認証スイッチは、別途認証要求を行ない、認証サーバに対して認証情報が登録されているか問い合わせを行う。認証サーバは認証データベースを検索し、認証情報が登録されている場合には、認証成功通知を認証スイッチに通知し、その通知を受信した無線アクセスポイントまたは認証スイッチは、当該認証リクエストを送信したユーザ端末を認証済みとして、通信を可能とする。 In addition, the wireless access point authenticates to the external network by making an inquiry to the authentication server. Even if the authentication is successful, the authentication switch on the path to the external network makes a separate authentication request and sends authentication information to the authentication server. Inquire whether is registered. The authentication server searches the authentication database, and when authentication information is registered, notifies the authentication switch of a successful authentication, and the wireless access point or authentication switch that has received the notification sends the authentication request to the user who sent the authentication request. The terminal is authenticated, and communication is possible.
ユーザ端末のアクセスを制御するという課題にたいして、一つのシステムであれば同一のポリシーで運用管理を行う必要があるが、無線ネットワークと有線ネットワークで個別に構築するため、それぞれの機器でサポートする機能や仕様が異なる場合、同一のセキュリティーポリシーとする必要があり、ネットワーク構築や管理が煩雑になる。 For the problem of controlling access to user terminals, if it is a single system, it is necessary to perform operation management with the same policy, but since it is built separately in the wireless network and the wired network, the functions supported by each device and If the specifications are different, it is necessary to have the same security policy, and network construction and management become complicated.
特許文献1では、本方式を無線アクセスポイントに個別に設定した場合には、無線アクセスポイントの台数分の設定が必要となる。そのため、管理対象の無線アクセスポイントが数十台から数百台存在する大規模なネットワークでは、同一の設定変更を全ての機器に行う必要が生じるため、管理が煩雑になる要因となってしまう。さらに、無線アクセスポイントの台数が多い場合には、無線LANスイッチと呼ばれる集中運用管理装置が導入される場合もあるが、無線LANスイッチで認証処理までを行うと、無線LANスイッチの負荷が増大し、通信処理へ影響を及ぼす可能性も考えられる。 In Patent Document 1, when this method is individually set for wireless access points, it is necessary to set the number of wireless access points. Therefore, in a large-scale network where there are several tens to several hundreds of wireless access points to be managed, it is necessary to perform the same setting change for all devices, which causes management to become complicated. Furthermore, when there are many wireless access points, a centralized operation management device called a wireless LAN switch may be introduced. However, if authentication processing is performed with the wireless LAN switch, the load on the wireless LAN switch increases. There is also a possibility of affecting communication processing.
特許文献2では、認証サーバとの間で認証パケットが暗号化されている場合には、認証状態を判断することができない。また、認証スイッチにて認証を行った場合、端末が無線アクセスポイントを移動してしまった際に、古い認証情報を削除する必要がある。
In
また、特許文献3があるが、こちらは端末装置登録情報エントリとして、端末識別子、認証フラグのみであり、アクセス制御情報がないため、認証結果に基づく認証済み端末に対するアクセス制御ができない。また、認証済み端末のネットワークからの離脱に関する記述がない。 Further, although there is Patent Document 3, since this is only a terminal identifier and an authentication flag as a terminal device registration information entry, and there is no access control information, access control for an authenticated terminal based on an authentication result cannot be performed. In addition, there is no description about leaving the authenticated terminal from the network.
本発明では、通信システムにおける認証処理と認証状態の管理を分散し、各装置での認証処理負荷の軽減を目的とする。 An object of the present invention is to distribute authentication processing and authentication status management in a communication system, and reduce the authentication processing load in each device.
本発明の一態様では、端末の認証情報を管理する認証サーバと、無線で接続された第一の端末の第一の認証処理を行う通信ノードと、有線で接続された第二の端末の第二の認証処理を行う認証スイッチと、を備える通信システムで、第一の通信ノードは、第一の認証処理の結果、認証済となった第一の端末の認証端末登録情報を前記通信ノードから受信して認証端末登録テーブルに保持するとともに第二の端末について第二の認証処理を実行し、前記第二の認証処理の結果、認証済となった第二の端末の認証端末登録情報を認証端末登録テーブルに保持し、認証端末登録テーブルに登録された認証済の第一の端末または第二の端末に対し外部ネットワークへの通信を許可する。 In one aspect of the present invention, the authentication server and a first of the first row cormorants communication node an authentication process of the terminal connected by radio, a second terminal connected by wire to manage authentication information of the terminal An authentication switch for performing the second authentication process, wherein the first communication node transmits the authentication terminal registration information of the first terminal that has been authenticated as a result of the first authentication process to the communication The authentication terminal registration information of the second terminal that has been received from the node and held in the authentication terminal registration table and the second authentication process is executed for the second terminal, and has been authenticated as a result of the second authentication process. Is stored in the authentication terminal registration table, and communication to the external network is permitted to the authenticated first terminal or second terminal registered in the authentication terminal registration table.
より具体的な態様としては、認証スイッチは、認証サーバに対して端末の外部ネットワークへの通信可否を問い合わせ、その結果に応じて端末の認証状態を更新するだけでなく、無線端末と無線を介して接続される無線アクセスポイントによって認証された無線端末の認証情報を無線アクセスポイントから取得し、認証スイッチ自身では無線アクセスポイントによって認証された無線端末の外部ネットワークへの認証処理を行なうことなく、無線アクセスポイントの認証処理による認証情報を認証スイッチの認証状態を認証端末登録テーブルに登録し、無線端末から外部ネットワークへのアクセスを中継する。 As a more specific aspect, the authentication switch inquires of the authentication server whether the terminal can communicate with the external network, and not only updates the authentication state of the terminal according to the result, but also via the wireless terminal and the wireless communication. Authentication information of the wireless terminal authenticated by the wireless access point connected to the wireless access point is acquired from the wireless access point, and the authentication switch itself does not perform authentication processing to the external network of the wireless terminal authenticated by the wireless access point , Authentication information by the authentication process of the wireless access point is registered in the authentication terminal registration table with the authentication state of the authentication switch , and access from the wireless terminal to the external network is relayed.
その他の態様は、本明細書及び図面全体によって開示される。 Other aspects are disclosed throughout this specification and the drawings.
本発明の一態様により、認証処理が分散され、端末からネットワークへのアクセスの認証処理の効率がよくなる。 According to one embodiment of the present invention, authentication processing is distributed, and the efficiency of authentication processing for access from a terminal to a network is improved.
発明を実施するための形態を図面に基づいて説明する。 A mode for carrying out the invention will be described with reference to the drawings.
実施例1について説明を行う。実施例1では、無線アクセスポイントと認証スイッチ間での認証情報の同期を行うことにより、ユーザ端末のアクセス制御を認証スイッチで一括管理することが可能となり、管理者の負荷を軽減できるという利点があり、実施例1では、認証情報の同期を無線アクセスポイントから認証スイッチへHTTP(Hyper Text Transfer Protocol)のPOSTメソッドにより送信することで実現する。
無線アクセスポイントはユーザ端末が接続された場合、認証サーバへ認証可否を問い合わせる。認証サーバから認証成功通知を無線アクセスポイントが受信し、ユーザ端末の認証が成功した場合、無線アクセスポイントは認証成功情報を認証スイッチへHTTPS(Hyper Text Transfer Protocol Secure)を利用して通知し、認証スイッチとの間で認証成功情報の同期を行う。また、その際には無線アクセスポイントは、認証成功情報に付加情報としてアクセス制御を行う識別子を付加し、その識別子を用いることで、認証スイッチにて予め設定されているアクセス制御情報や、QoS情報とユーザ端末を紐付け、ユーザ端末単位でのアクセス制御やQoS制御を可能とする。
Example 1 will be described. In the first embodiment, by synchronizing the authentication information between the wireless access point and the authentication switch, the access control of the user terminal can be collectively managed by the authentication switch, and the burden on the administrator can be reduced. Yes, in the first embodiment, the synchronization of authentication information is realized by transmitting from the wireless access point to the authentication switch using the HTTP (Hyper Text Transfer Protocol) POST method.
When the user terminal is connected, the wireless access point inquires of the authentication server whether authentication is possible. When the wireless access point receives the authentication success notification from the authentication server and the user terminal is successfully authenticated, the wireless access point notifies the authentication switch of authentication success information using HTTPS (Hyper Text Transfer Protocol Secure). Synchronize authentication success information with the switch. In this case, the wireless access point adds an identifier for performing access control as additional information to the authentication success information, and by using the identifier, access control information or QoS information preset in the authentication switch is used. And user terminals are linked to enable access control and QoS control in units of user terminals.
無線アクセスポイントにてユーザ端末のログアウトを検知した場合は、無線アクセスポイントは認証スイッチにHTTPSを利用して端末ログアウト情報を通知する。認証スイッチでは、この情報を元にユーザ端末の認証成功情報を削除する。 When logout of the user terminal is detected by the wireless access point, the wireless access point notifies the authentication switch of terminal logout information using HTTPS. The authentication switch deletes the authentication success information of the user terminal based on this information.
本実施例によると、無線アクセスポイントから認証スイッチへHTTPSを用いて認証成功情報を通知するため、通信経路が暗号化され、また柔軟な付加情報の拡張が容易となる。 According to the present embodiment, since authentication success information is notified from the wireless access point to the authentication switch using HTTPS, the communication path is encrypted, and flexible additional information can be easily expanded.
図1はネットワークシステムの全体図である。図1のネットワークシステムはネットワーク115に認証スイッチ111が接続され、認証スイッチ111に無線アクセスポイント113及びスイッチングハブ112が接続され、無線アクセスポイント113には、無線を介して無線端末114が接続されている。ユーザのうち無線端末114は、無線通信により無線アクセスポイント113へ接続し無線アクセスポイント113で認証処理が行なわれ、認証スイッチ111を介してネットワーク115に接続される。また、スイッチングハブ112には、有線を介して端末118が接続されている。ユーザ端末のうち有線端末118は、有線通信によりスイッチングハブ112へ接続を行い、認証スイッチ111で、認証処理が行われ、通信を行う構成となっている。以下、ネットワークの構成要素について説明を行う。
FIG. 1 is an overall view of a network system. In the network system of FIG. 1, an
ユーザ端末のうち無線端末114はネットワーク115への通信を行うための無線通信デバイスであり、ユーザ端末のうち有線端末118は、外部のネットワーク115への通信を行うための有線通信デバイスである。認証サーバ110は、ユーザ端末(無線端末114及び有線端末118)がネットワークに接続する際にネットワーク認証を動作させる場合に機能する。認証サーバ110には予めユーザ端末(無線端末114及び有線端末118)やユーザの情報を登録しておき、認証サーバ110に登録されたユーザのみ正規ユーザとして判断しネットワークへの接続を許可し、登録されていないユーザ端末114及びユーザ端末118やユーザを不正ユーザと判断してネットワークへの接続を許可しないといった、セキュリティ機能を利用することが出来る。
Among the user terminals, the
スイッチングハブ112はユーザ端末118が有線通信を利用してネットワーク接続を行う場合の接続ポイントとして機能する。
The
認証スイッチ111は、CPU11、ポート12、メモリ13、認証端末登録テーブル14、認証情報処理部15、アクセス制御情報(ACL)テーブル16/QoS情報登録テーブル166を備えている。
ポート12は、無線AP113、スイッチングハブ112、認証サーバ110、外部ネットワーク115のいずれかに接続される。
パケット送受信部17は、ACL16、QoS166、FDB168の情報を保持し、ポート12を介して受信するパケットの出力可否、出力先の決定を行う、中継部である。
ACL16は、アクセス制御情報(ACL)の登録テーブルである。ACL16は、認証成功後のユーザ端末(無線端末114または有線端末118)がアクセスできるネットワークを制御するための条件が設定され、パケット送受信部17が、パケット中継時にされるフィルタの一つである。QoS166も、パケット送受信部17が、パケット中継時にされるフィルタの一つであり、認証成功後のユーザ端末のQoS制御を行うための条件が設定される。FDB(Forwarding Data Base)168は、受信したパケットを出力するポートを決定するための情報を保持し、端末のアドレス(MACアドレス、IPアドレス)とポートとの対応付けが保持される。パケット送受信部17は、FDB168を参照し、受信したパケットの宛先アドレスを参照し、対応するポート12からパケットを出力する。無線AP113のアドレスとポート12との対応付けや認証サーバ110とポート12との対応づけもFDB168に含まれていてもよい。認証スイッチ111から無線APに要求を送信する場合もFDB168を参照し、要求を出力するポートを特定してもよい。
The packet transmission /
The
認証スイッチ111はユーザ端末(無線端末114及び有線端末118)がネットワークへ接続する際に不正ユーザの接続を防止するためのネットワーク認証機能を備えている。認証スイッチ111で認証処理を行う際の動作を以下に説明する。
The
メモリ13は、認証端末登録テーブル14、認証情報処理部15を保持する。認証端末登録テーブル14は、認証処理済みのユーザ端末のMACアドレス、IPアドレスの組合せが記憶される。認証情報処理部15は、プログラムであり、CPU11が、当該プログラムを読み取り、認証情報処理部15を実行する。
The
認証スイッチ111では、認証機能の設定をポート12ごとに行う。認証機能の設定を行ったポート12で任意のパケットを受信すると受信パケットが認証されたユーザ端末からの通信であるか否かを、判断するために、認証情報処理部15において、パケットのヘッダ情報から送信元MACアドレス、送信元IPアドレスを読み取り、該当アドレスが認証端末登録テーブル14に登録されているか否かを確認する。
In the
認証情報処理部15は、該当アドレスが認証端末登録テーブル14に登録されていれば正規ユーザからの通信であると判断し、受信パケットをパケット送受信部17から宛先ネットワークのポートへ送信処理をおこない、該当アドレスが認証端末登録テーブル14に登録されていなければユーザ認証(MAC認証)を行うために該当ユーザ端末(無線端末114あるいは118)に対して認証情報の要求をおこなう。
If the corresponding address is registered in the authentication terminal registration table 14, the authentication
そして、認証スイッチ111がユーザ端末から認証情報を送信するパケットを受信すると、認証スイッチ111は認証サーバ110へ認証情報を転送し、認証を要求する。認証スイッチ111が認証サーバ110から認証成功の通知を受信した場合、該当ユーザを認証済みユーザとして認証端末登録テーブル14へ登録し、該当ユーザはネットワーク115へのアクセスが可能なる。認証スイッチ111が認証サーバ110から認証失敗の通知を受信した場合、該当ユーザを不正ユーザとみなし認証端末登録テーブル14へ登録は行わず、該当ユーザはネットワークへのアクセスが不可となる。なお、認証スイッチ111は、MACアドレスを用いて認証サーバ110へ認証可否を問い合わせるMACアドレス認証方式を用いてもよい。その場合は、認証サーバ110は、端末のMACアドレスやユーザの情報を事前に持っている。
When the
また、認証情報処理部15は、無線アクセスポイント(AP)113による認証処理の結果の通知を受けた場合も、認証端末登録テーブル14を更新し、無線AP(113)の認証処理で認証された端末の認証状態を認証済みとする。このように、認証情報処理部15は、認証端末登録テーブルを更新し、無線アクセスポイントでの認証結果や認証スイッチ自身での認証結果を用いて認証状態を管理する。その結果、認証スイッチ111は、認証サーバ110に認証要求をする処理をスキップし、更新された認証端末登録テーブル14を参照し端末からネットワーク115への通信を許可する。 無線アクセスポイント(AP)113は、ユーザ端末114が無線通信を利用してネットワーク接続を行う場合の接続ポイントとして機能する。また、無線アクセスポイント(AP)113は、IEEE802.1X認証のような認証方式を用いて、認証サーバ110へ認証可否の問合せを行ない、ネットワーク認証を行う。
The authentication
ユーザ端末114はネットワークに接続すると認証パケットを送信し、その認証パケットを受信した無線アクセスポイント113は、認証サーバに対して認証情報が登録されているか問い合わせを行う。認証サーバは認証データベースを検索し、認証情報が登録されている場合には、認証成功通知を無線アクセスポイントまたは認証スイッチに通知し、その通知を受信した無線アクセスポイントまたは認証スイッチは、当該認証リクエストを送信したユーザ端末を認証済みとして、通信を可能とする。
When the
無線AP113は、無線送受信部1110、パケット送受信部1120、CPU1160、メモリ1130を有する。メモリ1150は、CPU1160に接続される。メモリ1130は、認証端末登録テーブル1140と、認証情報登録部1150を有する。認証情報登録部1150は、プログラムであり、CPU1160によって読み出され実行される。認証情報登録部1150は、認証スイッチで認証登録をするのと同様に、無線AP113にアクセスする端末の認証可否について認証サーバに問合せ、その問合せ結果に応じて認証端末登録テーブル1140に認証可否を設定する。そして、認証可の場合は、無線AP113は、HTTP(HTTPS)のPOSTメソッドにより、認証スイッチ111に対して認証可の端末の情報を送信する。CPU1160は、メモリ1130に接続され、認証情報登録部1150を実行し、認証端末登録テーブル1140を更新または参照する。CPU1160は、パケット送受信部1120及び無線送受信部1110に接続され、それらを制御する。たとえば、CPU1160は、認証情報登録部1150の処理に従ったパケット送受信部における転送先アドレスや出力ポートの設定を行う。
The
無線送受信部1110は、無線端末114から送信された信号を無線でアンテナを介して受信し、無線端末114に信号を無線で送信する。パケット送受信部1120は、認証スイッチ111から送信されたパケットを受信し、無線送受信部1110を介してパケットを無線端末114に向けて送信する。また、パケット送受信部1120は、認証済みの無線端末114からのパケットをポート1170を介して認証スイッチ111へ送信する。認証済みでない無線端末114からのパケットについては、認証情報登録部1150の処理に従ってパケットが、認証スイッチ111に向けて送信される。
The wireless transmission /
また、無線APは、ポート1170を有し、認証スイッチ111や他のノードに有線ネットワークを介して接続される、ポート1170は、無線AP113が認証スイッチ111や認証サーバ110、ネットワーク115と通信するためのインターフェースである。また、無線AP113は、複数のポート1170を有する。それぞれのポート1170は一意の識別子が割り振られており、CPU1160により管理される。
The wireless AP has a
図2は、認証端末登録テーブル14の構成を示す。認証端末登録テーブル1140も同様の構成である。認証端末登録テーブル14は、ユーザ端末(無線端末114または有線端末118)のMACアドレス、IPアドレス、所属VLAN、アクセス制御をするための識別子、ユーザ名と認証状態の関連付けを示す。なお、認証スイッチ111や無線アクセスポイント113といったネットワーク機器は、図2で示すテーブルの形式に限らず、これらの情報を関連づけて保持してもよい。
FIG. 2 shows the configuration of the authentication terminal registration table 14. The authentication terminal registration table 1140 has the same configuration. The authentication terminal registration table 14 indicates the association between the MAC address, IP address, belonging VLAN, access control identifier, user name, and authentication state of the user terminal (
無線アクセスポイント113(認証情登録部1150)では、ユーザ端末(無線端末114)からの認証要求パケットを受信すると受信ポートの番号を認証端末登録テーブル1140へ記録し、認証要求パケットから、認証端末のMACアドレス、IPアドレス、所属VLAN番号、ユーザ名を読み取り認証端末登録テーブル1140へ記録する。 Upon receiving the authentication request packet from the user terminal (wireless terminal 114), the wireless access point 113 (authentication information registration unit 1150) records the reception port number in the authentication terminal registration table 1140, and from the authentication request packet, The MAC address, IP address, belonging VLAN number, and user name are read and recorded in the authentication terminal registration table 1140.
その際、識別子の欄は未記入、状態の欄は認証中として、認証要求パケットを認証サーバ110へ送信する。無線アクセスポイント113(認証情報登録部1150)は、認証サーバから認証結果通知を受信し、認証が成功していた場合、認証結果通知に記載されているユーザの識別子を読み取り、認証端末登録テーブル1140に、読み取った識別子を書き込み、状態を認証済みに変更し、更新する。そして、無線アクセスポイント113(認証情報登録部1150)は、無線アクセスポイントから認証スイッチへHTTPのPOSTメソッドにより、認証済みとなった端末のMACアドレス、IPアドレス、VLAN番号、ユーザ名、識別子を送信する。
At this time, the authentication request packet is transmitted to the
一方、認証スイッチ11(認証情報処理部15)は、認証端末登録テーブル14へ、無線アクセスポイントからのパケットを受信したポート番号と、POSTメソッドにより通知された情報を用いて認証端末登録テーブル14に登録し、他の認証情報はPOSTメソッドにより受信したパケットから読取ることにより、認証端末登録テーブル14に登録を行う。 On the other hand, the authentication switch 11 (authentication information processing unit 15) stores the authentication terminal registration table 14 in the authentication terminal registration table 14 using the port number that received the packet from the wireless access point and the information notified by the POST method. The other authentication information is registered in the authentication terminal registration table 14 by reading from the packet received by the POST method.
無線アクセスポイントが認証サーバから認証失敗の通知を受信した場合、認証状態が「認証中」となっていた該当ユーザ情報を認証端末登録テーブル1140から削除する。 When the wireless access point receives an authentication failure notification from the authentication server, the user information whose authentication status is “authenticating” is deleted from the authentication terminal registration table 1140.
実施例1では、無線アクセスポイント113で認証を行った場合、無線アクセスポイント113から認証スイッチ111に対してHTTPのPOSTメソッドを利用して認証情報を送信し、認証情報の同期を行う。図1において、認証スイッチ111は無線アクセスポイント113からHTTPのPOSTメソッドによって認証情報を受信すると、認証情報処理によって受信パケットから認証成功端末のMACアドレス、IPアドレス、所属VLAN、識別子、の情報を読取り、認証端末登録テーブル14のエントリに読み取った情報を登録する。また、認証端末登録テーブル14に登録するポート番号は、無線アクセスポイント113からHTTPパケットを受信したポート番号を登録し、認証状態を認証済みとして登録する。また、認証スイッチ111は、処理206により通知された認証情報を用いてACLテーブル16またはQoS登録テーブル166を更新する。
In the first embodiment, when authentication is performed at the
図1で示す形態のネットワークシステムにおいて、端末114が無線アクセスポイント113経由でネットワーク115にアクセスする形態では無線アクセスポイント113にて認証処理を実施すれば認証スイッチ111での認証サーバ116に問合せする認証処理は不要となる。また、有線で接続されるユーザ端末118がハブ112経由でネットワーク115にアクセスする形態では認証スイッチ111で認証処理を実施すればよい。従って、無線アクセスポイント113と認証スイッチ111いずれかで、認証サーバ110との問合せによる認証処理を実施すればよい。認証スイッチ111での認証処理については、上記に示したとおりである。
In the network system of the form shown in FIG. 1, in the form in which the terminal 114 accesses the
本実施例では、特に、無線アクセスポイント113にて認証処理を行い、認証成功情報を認証スイッチ111の認証成功情報と同期し、認証スイッチ111や認証サーバ110での負荷の軽減することを目的としている。そこで、以下、ユーザ端末114が無線アクセスポイント113経由で自分が属するドメインへログインする形態について説明する。
In the present embodiment, in particular, an authentication process is performed at the
図5は、本実施例における認証処理のシーケンス図である。 FIG. 5 is a sequence diagram of authentication processing in the present embodiment.
無線アクセスポイント113は、無線ユーザ端末 114からの任意のパケットを無線アクセスポイント113で受信すると、認証端末登録テーブル1140を参照し、無線アクセスポイント113(認証情報登録部1150)は受信した任意のパケットが認証済みのユーザ端末からのものか否かを識別する処理201を行う。
When the
無線アクセスポイント113(認証情報登録部1150)は、認証済みのユーザ端末からのパケットであると判断された場合には、端末の通信を許可し受信したパケットを認証スイッチに転送する。 If the wireless access point 113 (authentication information registration unit 1150) determines that the packet is from an authenticated user terminal, the wireless access point 113 (authentication information registration unit 1150) permits terminal communication and forwards the received packet to the authentication switch.
無線アクセスポイント113(認証情報登録部1150)は、処理201の結果、認証前のユーザ端末からのパケットであると判断された場合、ユーザ端末114に認証情報(ユーザID、パスワード)の要求処理202を行う。無線アクセスポイント113からの認証情報の要求を受信したユーザ端末114は、無線アクセスポイント113へ認証情報を送信する処理203を行う。ユーザ端末114から認証情報を受信した場合、無線アクセスポイント113(認証情報登録部1150)は、認証サーバ110 へ認証要求を送信する処理204を行う。
If the wireless access point 113 (authentication information registration unit 1150) determines that the packet is from the user terminal before authentication as a result of the
無線アクセスポイント113からの認証要求を受信した認証サーバ110は、認証要求中に含まれるユーザ情報が認証サーバ110内のユーザデータベースに予め登録されているか否かを識別し、登録されていた場合には認証結果を認証成功と判断し、また登録されていない場合には認証結果を認証失敗と判断し、無線アクセスポイント113へ認証結果を送信する処理205を行う。
The
無線アクセスポイント113(認証情報登録部1150)は、認証サーバ110から認証スイッチ111を介して認証結果を受信する。無線アクセスポイント113(認証情報登録部1150)は、認証結果を参照し、認証成功したか失敗したかを判定する。受信した認証結果が認証成功を示す場合、無線アクセスポイント113(認証情報登録部1150)は、メモリ1130内で管理している認証端末登録テーブル1140に認証成功となったユーザ端末の情報を登録する。そして、無線アクセスポイント113(認証情報登録部1150)は、認証成功情報を認証スイッチ111へHTTPのPOSTメソッドを利用して通知する処理206を行う。無線アクセスポイント113から認証スイッチ111へPOSTする認証情報は、ユーザ端末114のMACアドレス、IPアドレス、VLAN番号、ユーザ名、識別子、無線アクセスポイントでの認証状態である。
The wireless access point 113 (authentication information registration unit 1150) receives the authentication result from the
認証スイッチ111(認証情報処理部15)は、無線アクセスポイント113から認証成功情報を受信した場合、認証スイッチ111内のユーザ端末登録テーブル14に認証が成功した端末の情報を登録し、ユーザ端末の通信を許可する。
When the authentication switch 111 (authentication information processing unit 15) receives the authentication success information from the
認証スイッチ111にアクセス制御情報の登録テーブル16やQoS制御情報の登録テーブル166を予め設定しておく。処理206によるHTTPSのPOSTメソッドにより無線アクセスポイント113から通知された識別子を用いて、認証スイッチ111は、当該識別子に対応するユーザ端末の識別子とアクセス制御情報やQoS情報を紐付け、テーブル16(または166)を更新し、ユーザ端末単位でのアクセス制御やQoS制御を可能とする。
An access control information registration table 16 and a QoS control information registration table 166 are set in advance in the
無線アクセスポイント113は認証が成功したユーザ端末114のネットワーク115への通信を可能とするユーザ端末の通信許可およびユーザ端末への認証結果の応答処理207を行い、ユーザ端末114は自分が所属するドメインへのログインが可能となる。
The
図3.図4を用いて、認証スイッチ111が、処理206で受ける通知に含まれる認証情報を用いてテーブルを更新する例を説明する。
An example in which the
図3に示すアクセス制御情報(ACL)の登録テーブルは、認証成功後のユーザ端末がアクセスできるネットワークを制御するための条件を設定する。アクセス制御情報(ACL)の登録テーブル16の各エントリには、識別子、アクセス条件、制御する挙動の項目がある。識別子は、ユーザIDと関連付けされた情報であり、関連付けの情報は認証サーバに予め登録しておき、認証済みとなった端末については認証端末登録テーブル14で紐付けられた情報が管理される。そのため、識別子毎にアクセス制御の条件が設定され、ユーザ毎のアクセス制御が設定される。実施例であれば、識別子100に登録されたユーザは、認証成功後、宛先192.168.100.0/24への通信は許可されているが、それ以外のネットワークへはアクセスが制限される動作となる。
The access control information (ACL) registration table shown in FIG. 3 sets conditions for controlling a network that can be accessed by a user terminal after successful authentication. Each entry of the access control information (ACL) registration table 16 includes items of an identifier, an access condition, and a behavior to be controlled. The identifier is information associated with the user ID, the association information is registered in advance in the authentication server, and the information associated with the authentication terminal registration table 14 is managed for the authenticated terminal. Therefore, access control conditions are set for each identifier, and access control for each user is set. In the embodiment, the user registered in the
図3は、ACL16(アクセス制御情報テーブル)の一例を示す。ACL16は、識別子とアクセス条件とアクセス条件に合致した場合の制御する挙動との対応付けを保持する。「識別子」は、認証端末登録テーブル14で保持されるような他の情報とリンクさせるための、一意に識別可能な識別子である。リンク不要のエントリの場合は、当該識別子の欄は、空欄となる。また、「アクセス条件」は、パケットの宛先が設定される。そして、「制御する挙動」は、「アクセス条件」に合致したパケットに対してどのような制御をパケット送受信部17で行なうべきかが設定される。
FIG. 3 shows an example of the ACL 16 (access control information table). The
図4は、QoS166(QoS情報登録テーブル166)の例を示す。QoS情報登録テーブル166では、認証成功後のユーザ端末のQoS制御を行うための条件を設定する。図3と同様に、QoS166の各エントリには、識別子、アクセス条件、制御する挙動の項目がある。図3との違いは、アクセス制御情報(ACL)の登録テーブル16との違いは、アクセス条件の内容がQoSの条件で設定されるといった点である。実施例であれば、識別子300に登録されたユーザの宛先ネットワーク192.168.100.0への通信は、CoS値を5変更して通信を行う動作となる。
FIG. 4 shows an example of QoS 166 (QoS information registration table 166). In the QoS information registration table 166, conditions for performing QoS control of the user terminal after successful authentication are set. Similar to FIG. 3, each entry of the
また、図4のようなQoS情報を設定した場合、識別子200に紐付けられたユーザ端末から宛先ネットワーク192.168.200.0への通信では、認証スイッチ111で、CoS値の書き換え処理が行われ、また、識別子300に紐付けられたユーザ端末の宛先ネットワーク192.168.200.0への通信はDSCP値の書き換え処理が行われる。このように識別子を利用することにより、無線アクセスポイント113経由で認証処理を実施したユーザ端末にも認証スイッチ111に設定したアクセス制御情報やQoS情報を適用することが可能となり、設定情報の一元管理が可能となる。
When QoS information as shown in FIG. 4 is set, in the communication from the user terminal associated with the
認証スイッチ111は、アクセス制御情報やQoS制御情報を予め設定しておくことで、無線アクセスポイント113から認証スイッチ111へ通知された識別子を用いて、認証スイッチではユーザ端末の識別子とアクセス制御情報やQoS情報を紐付け、ユーザ端末単位でのアクセス制御やQoS制御を可能とする。
The
次に、認証成功となったユーザ端末114が自分の所属するドメインからログアウトする場合のシーケンスを説明する。無線アクセスポイント113 でユーザ端末114のログアウトを検知した場合、無線アクセスポイント113(認証情報登録部1150)内で管理しているユーザ端末登録テーブル1140からユーザ端末114の認証成功情報削除処理208を行う。そして、無線アクセスポイント113(認証情報登録部1150)は、認証スイッチ111へHTTPSのPOSTメソッドを利用してユーザ端末114のログアウト情報通知処理209を行う。
Next, a sequence when the
無線アクセスポイント113からログアウト情報を受信した認証スイッチ111(認証情報処理部15)は、認証スイッチ111内のユーザ端末登録テーブル14からユーザ端末114の認証成功情報を 削除する処理210を行い、ユーザ端末114のログアウト処理が完了する。 なお、ログアウトの検知は、無線アクセスポイント113は、定期的に無線端末114からのアクセス状況を監視し、所定の時間アクセスがない場合に、ログアウトと判定してもよい。なお、認証スイッチ111でも、無線アクセスポイント113と同様に、ログアウトの検知処理を行ない、認証端末登録テーブル14からログアウトしたと判定したユーザの情報の削除や、ACL16やQoS166のテーブルの更新を行ってもよい。 また、認証スイッチ111にて通信監視機能または管理者の設定によりによりユーザ端末のログアウトを検知した場合、認証スイッチにてログアウト処理を行なってもよい。この場合、認証スイッチ111から無線アクセスポイント113に対して、ユーザ端末のログアウト要求処理を行う。認証スイッチ111からのログアウト要求処理を受信した無線アクセスポイント113は該当ユーザ端末の認証情報を削除する。
Upon receiving the logout information from the
以上の実施例にて、無線アクセスポイントにて認証を行い、認証スイッチと無線アクセスポイントの認証成功情報の同期を行うことで、認証スイッチでの認証設定とアクセス制御、QoS制御の一元管理を可能とするものである。 In the above embodiment, authentication is performed at the wireless access point, and authentication success information at the authentication switch and access control and QoS control can be centrally managed by synchronizing the authentication success information between the authentication switch and the wireless access point. It is what.
図6は、実施例1において認証スイッチ111と無線アクセスポイント113との疎通性がなくなった場合のシーケンス図を示す。図6では、ネットワーク障害により認証スイッチ111と無線アクセスポイント113との疎通性がなくなった場合、認証スイッチ111は無線アクセスポイント113がネットワークから離脱したとみなし認証スイッチ111内の認証情報登録テーブル14から、無線アクセスポイント113から処理206に得られたユーザ端末の認証情報を削除する処理を行う。
FIG. 6 shows a sequence diagram when communication between the
また、認証スイッチ111が装置再起動した場合、認証スイッチ111内の認証情報登録テーブル14の登録情報は一掃される。この時、無線アクセスポイント113 内の認証情報登録テーブルは保持されたままとなるため、無線アクセスポイント113と認証スイッチ111間で認証状態に差異が発生し、無線アクセスポイント113配下で既にログイン処理が完了している端末がネットワーク115へアクセスできなくなる問題が発生する。そこで本実施例では、認証スイッチ111が 無線アクセスポイント113への疎通性確認処理302にて、無線アクセスポイントを再度確認したとき、認証スイッチ111から無線アクセスポイント113へ認証情報の要求処理303を行う。認証スイッチ111からの認証要求を受信した無線アクセスポイント113は、無線アクセスポイント113内の認証情報登録テーブルの情報に基づいて、HTTPSの POSTメソッドを利用して認証スイッチ111へ認証情報を送信する処理304を行う。
When the
無線アクセスポイント113から認証情報を受信した認証スイッチ111は、認証 スイッチ111内のユーザ端末登録テーブル14に認証情報を登録する処理305を行う。
The
以上説明したように、認証スイッチのポートがリンクダウンした場合や、認証スイッチが再起動した場合などに、認証成功情報が無線アクセスポイントと認証スイッチの間で不一致が生じる可能性がある。この場合、認証スイッチではポートがリンクダウンからリンクアップしたことを契機として、無線アクセスポイントへ認証成功情報の再送要求通知を行う。これにより、ユーザ端末が再度認証動作を行うのではなく、無線アクセスポイントと認証スイッチ間でのみ認証成功情報のやり取りを行うため、ユーザ端末に意識させることなく認証情報の同期を行うができる。 As described above, when the authentication switch port is linked down or when the authentication switch is restarted, there is a possibility that the authentication success information may not match between the wireless access point and the authentication switch. In this case, the authentication switch notifies the wireless access point of a request for retransmission of authentication success information when the port is linked up from link down. As a result, authentication success information is exchanged only between the wireless access point and the authentication switch instead of the user terminal performing the authentication operation again, so that authentication information can be synchronized without making the user terminal aware of it.
以上が実施例1の説明である。 The above is the description of the first embodiment.
実施例2は、無線アクセスポイントと認証スイッチ間での認証情報の同期を行うことにより、ユーザ端末のアクセス制御を認証スイッチで一括管理することが可能となり、管理者の負荷を軽減できるという利点があり、実施例2では、認証情報の同期を、認証スイッチをRADIUプロキシサーバとして動作させることにより実現する。 The second embodiment has an advantage that the authentication control is synchronized between the wireless access point and the authentication switch, so that the access control of the user terminals can be collectively managed by the authentication switch, and the burden on the administrator can be reduced. In the second embodiment, authentication information synchronization is realized by operating the authentication switch as a RADIUS proxy server.
無線アクセスポイント113にユーザ端末が接続された場合、認証可否をRADIUSプロトコルを使用して認証スイッチに問い合わせを行う。この場合、無線アクセスポイントと認証スイッチ間で通信経路は暗号化されている場合でも、認証スイッチが終端となるため、認証情報の判断が可能である。認証スイッチはRADIUSプロキシとして動作し、無線アクセスポイントの代理として認証サーバへ問い合わせを行う。認証サーバから認証成功通知を認証スイッチが受信し、ユーザ端末の認証が成功した場合、認証スイッチは認証成功情報を自身のユーザ端末登録テーブルへ格納し、認証情報に含まれる識別子と予め設定されているアクセス制御情報やQoS情報とユーザ端末を紐付けて、ユーザ端末単位でのアクセス制御やQoS制御を行う。また、無線アクセスポイントへも認証成功情報を転送する。無線アクセスポイントでも、認証成功情報をユーザ端末登録テーブルへ格納する。本実施例では、無線アクセスポイントから認証スイッチへRADIUSを用いて認証問い合わせを行うため、処理としては負荷が軽くなる。 If the wireless access point 1 13 the user terminal is connected, it queries the authentication switch authentication whether using the RADIUS protocol. In this case, even if the communication path is encrypted between the wireless access point and the authentication switch, the authentication switch is terminated, so that authentication information can be determined. The authentication switch operates as a RADIUS proxy and makes an inquiry to the authentication server as a proxy for the wireless access point. When the authentication switch receives the authentication success notification from the authentication server and the user terminal is successfully authenticated, the authentication switch stores the authentication success information in its own user terminal registration table and is preset with an identifier included in the authentication information. The access control information and QoS information that are present are associated with the user terminal, and access control and QoS control are performed in units of user terminals. Also, the authentication success information is transferred to the wireless access point. The wireless access point also stores authentication success information in the user terminal registration table. In this embodiment, since an authentication inquiry is made from the wireless access point to the authentication switch using RADIUS, the processing load is reduced.
図7は、実施例2におけるネットワーク構成である。図7で示すように、実施例2は実施例1と同様に、ユーザ端末114がネットワーク115にアクセスするために認証処理を必要とするネットワーク構成である。実施例2では無線アクセスポイント113と認証スイッチ117の認証情報を同期化する方式としてRADIUSプロキシサーバ機能を利用する。図7で示すように、認証スイッチ117の内部にRADIUプロキシサーバ18を有する構成を記載している。それ以外の認証スイッチ117の構成は、実施例1の認証スイッチ111の構成と同様である。
FIG. 7 shows a network configuration in the second embodiment. As shown in FIG. 7, the second embodiment is a network configuration that requires an authentication process for the
認証スイッチ(RADIUプロキシサーバ)117はRADIUプロキシサーバと動作する。そのため、無線アクセスポイント114は認証スイッチ(RADIUプロキシサーバ)117内のRADIUSプロキシサーバ18をRADIUSサーバと認識して動作し、認証スイッチ(RADIUプロキシサーバ)117に対して認証要求パケットを送信する。認証スイッチ(RADIUプロキシサーバ)117は、無線アクセスポイント113から認証要求パケットを受信した場合、認証情報処理部15により認証要求パケットから認証要求ユーザのMACアドレス、IPアドレス、所属VLAN、ユーザIDを読取り、認証端末登録テーブル14に登録を行う。その際、認証端末登録テーブル14のポート番号は認証要求パケットを受信したポート番号、識別子は未記入、認証状態は認証中、として登録する。認証情報処理部15による情報の登録処理が終了すると、認証要求パケットをRADIUSサーバ116へ転送する。RADIUSサーバからの認証結果通知パケットを認証スイッチ(RADIUSプロキシサーバ)117で受信し、認証情報処理部15で認証結果通知パケットの情報を読み取り、認証結果が認証成功であった場合、認証端末登録テーブル14に該当ユーザの識別子の記載と、認証状態を「認証済み」に更新する。また、認証結果が認証失敗であった場合、認証端末登録テーブル14に登録されている該当ユーザのエントリを削除する。
The authentication switch (RADIU proxy server) 117 operates with the RADIUS proxy server. Therefore, the
図8は、実施例2での、認証処理のシーケンス図である。ユーザ端末114からの任意のパケットを無線アクセスポイント113で受信すると、無線アクセスポイン113は受信した任意のパケットが認証済みのユーザ端末からのものか否かを識別する処理401を行う。認証済みのユーザ端末からのパケットであると判断された場合には、無線アクセスポイント113は、受信したパケットを転送し、認証前のユーザ端末からのパケットであると判断された場合にはユーザ端末114に認証情報の要求処理402を行う。無線アクセスポイント113からの認証情報の要求を受信したユーザ端末114は無線アクセスポイント113へ認証情報を送信する処理403を行う。ユーザ端末114から認証情報を受信した無線アクセスポイント113は認証スイッチ(RADIUプロキシサーバ)117へ認証要求を送信する処理404を行う。処理401、402、403、404は、実施例1の処理201、202、203、204と同様である。 認証スイッチ(RADIUSプロキシサーバ)117は、無線アクセスポイント113からRADIUSサーバに対する認証要求を受けた場合、RADIUSパケットからユーザ端末のMACアドレス、IPアドレス、VLAN番号、ユーザ名を取得し、識別子を空白、無線アクセスポイントでの認証状態を認証中としてユーザ端末登録テーブル1140に登録すると共に、RADIUSサーバ116へ認証要求送信処理405を行う。
FIG. 8 is a sequence diagram of authentication processing according to the second embodiment. When the
RADIUSサーバ116は、認証スイッチ(RADIUSプロキシサーバ)117からの認証要求を受信した場合、認証要求があったユーザ情報がRADIUSサーバ116内のユーザデータベースに予め登録されているか否かを識別し、登録されていた場合には認証結果を認証成功と判断し、登録されていない場合には認証結果を認証失敗と判断し、認証結果を認証スイッチ(RADIUSプロキシサーバ)117へ送信する処理406を行う。
When the
RADIUSサーバ116から認証結果を受信した認証スイッチ(RADIUSプロキシサーバ)117は認証成功の結果を受信した場合、認証スイッチ(RADIUSプロキシサーバ)117内で管理しているユーザ端末登録テーブル14に認証成功となったユーザ端末の情報を登録し、ユーザ端末の通信許可を行う。また、認証スイッチ(RADIUSプロキシサーバ)117は、RADIUSサーバから受信した認証結果に含まれる識別子もユーザ端末登録テーブルに登録する。実施例1と同様に認証スイッチ(RADIUSプロキシサーバ)117は識別子を利用して、認証スイッチ(RADIUSプロキシサーバ)117に予め設定したアクセス制御情報やQoS制御情報の登録テーブルで、ユーザ端末の識別子を紐付けて、ユーザ端末単位でのアクセス制御やQoS制御を行う。そして、認証スイッチ117は、ポート12を介して無線アクセスポイント113へ認証成功の結果を通知する処理407を行う。
When the authentication switch (RADIUS proxy server) 117 that has received the authentication result from the
無線アクセスポイント113は、認証スイッチ(RADIUSプロキシサーバ)117からの認証成功通知を受信した場合、ユーザ端末114の通信を許可する処理408を行う。
When the
さらに、無線アクセスポイント113でユーザ端末のログアウトを検知した場合、無線アクセスポイント113内のユーザ端末登録テーブルから該当するユーザ端末の認証情報を削除する処理409を行うと共に、認証スイッチ(RADIUSプロキシサーバ)117へRADIUS Accounting-RequestによりSTOPの通知を発行する処理410を行う。 認証スイッチ(RADIUSプロキシサーバ)117は、無線アクセスポイント113からSTOP通知を受信した場合、ユーザ端末登録テーブル14から該当するユーザ端末の認証情報を削除する処理411を行う。そして、認証スイッチ(RADIUSプロキシサーバ)117は、STOPの通知をRADIUSサーバ116へ転送する処理412を行う。
Further, when logout of the user terminal is detected at the
図9は、実施例2における認証情報削除処理を示す。ネットワーク障害により認証スイッチ(RADIUSプロキシサーバ)117と無線アクセスポイント113との疎通性がなくなった場合、認証スイッチ(RADIUSプロキシサーバ)117は無線アクセスポイント113がネットワークから離脱したとみなし認証情報登録テーブル14の内、無線アクセスポイント113から学習したユーザ端末の認証情報を削除する処理を行う。また、認証スイッチ(RADIUSプロキシサーバ)117が装置再起動した場合、認証スイッチ(RADIUSプロキシサーバ)117内の認証情報登録テーブル14の登録情報は一掃される。この時、実施例1の図5と同様に、無線アクセスポイント113 内の認証情報登録テーブルは保持されたままとなるため、無線アクセスポイント113と認証スイッチ(RADIUSプロキシサーバ)117間で認証状態に差異が発生し、無線アクセスポイント113配下で既にログイン処理が完了している端末がネットワーク115へアクセスできなくなる。そこで本実施例では、認証スイッチ(RADIUSプロキシサーバ)117が無線アクセスポイント113への疎通性確認処理502にて無線アクセスポイントを確認したとき、認証スイッチ(RADIUSプロキシサーバ)117から無線アクセスポイント113へ認証情報の要求処理503を行う。
FIG. 9 shows an authentication information deletion process in the second embodiment. When the communication between the authentication switch (RADIUS proxy server) 117 and the
さらに、本実施例では、認証スイッチ(RADIUSプロキシサーバ)117からの認証要求を受信した無線アクセスポイント113は無線アクセスポイント113内の認証情報登録テーブルの情報に基づいてRADIUプロキシサーバへ認証の再要求処理504を行う。
無線アクセスポイント113から認証要求を受信した認証スイッチ(RADIUSプロキシサーバ)117は認証要求の情報を確認すると共に、RADIUSサーバ116へ認証要求を転送する処理505を行う。認証スイッチ(RADIUSプロキシサーバ)117からの認証要求を受信したRADIUSサーバ116は装置内のユーザデータベースに基づいて、認証結果を認証スイッチ(RADIUSプロキシサーバ)117へ通知する処理506を行う。
Furthermore, in this embodiment, the
The authentication switch (RADIUS proxy server) 117 that has received the authentication request from the
RADIUSサーバ116からの認証結果を受信した認証スイッチ(RADIUSプロキシサーバ)117は、認証結果に基づいて装置内のユーザ端末登録テーブル14を更新すると共に、無線アクセスポイント113へ認証結果を転送する処理507を行う。無線アクセスポイント113では認証結果を受信すると、無線アクセスポイント113内の認証情報登録テーブルの情報を更新するのみで、ユーザ端末へは通知を行わない。
Upon receiving the authentication result from the
上述の種々の実施例及び下記の態様により、以下の効果の少なくとも一を奏する。 According to the various embodiments described above and the following aspects, at least one of the following effects is achieved.
無線アクセスポイントからのユーザ端末のアクセスは無線アクセスポイントで認証処理を行いつつ、認証成功情報を認証スイッチと同期し、有線のユーザ端末からのアクセスは認証スイッチで認証処理を行う態様により、認証処理の負荷を各無線アクセスポイントと認証スイッチ間で分散することができる。 User terminal access from a wireless access point is authenticated by the wireless access point, authentication success information is synchronized with the authentication switch, and access from a wired user terminal is authenticated by the authentication switch. Can be distributed between each wireless access point and the authentication switch.
無線アクセスポイントと認証スイッチ間で認証成功情報を同期することにより、認証に関する設定情報を、認証スイッチで一元的に管理することができる。 By synchronizing the authentication success information between the wireless access point and the authentication switch, the setting information related to authentication can be centrally managed by the authentication switch.
無線アクセスポイントと認証スイッチ間で認証成功情報を同期するという態様により、アクセス制御やQoS制御に関する設定情報を一元的に管理しつつ、認証成功情報に付加された情報を元に、ユーザ端末単位のアクセス制御やQoS制御を認証スイッチで集中的に実施することができる。 By synchronizing the authentication success information between the wireless access point and the authentication switch, while managing the setting information related to access control and QoS control in a unified manner, based on the information added to the authentication success information, Access control and QoS control can be performed centrally by the authentication switch.
認証スイッチのポートアップ(リンクアップ)を契機に、無線アクセスポイントに認証成功情報の再送要求を行う態様により、ユーザ端末に意識させることなく、無線アクセスポイントと認証スイッチの認証成功情報を同期させることができる。 Synchronizing authentication success information between the wireless access point and the authentication switch without making the user terminal aware of it by requesting retransmission of authentication success information to the wireless access point upon port-up (link-up) of the authentication switch Can do.
認証スイッチへの管理者の認証情報消去設定を契機として、無線アクセスポイントに認証成功情報を消去するよう認証スイッチから要求する態様により、管理者は無線アクセスポイントを個別に把握することなく、認証ネットワーク上からユーザ端末の認証成功情報を消去することができる。
上記各実施例において、ハードウェアによって実現されていた構成の一部をソフトウェアに置き換えてもよく、逆に、ソフトウェアによって実現されていた構成の一部をハードウェアに置き換えても良い。
In response to the administrator's authentication information deletion setting for the authentication switch, the authentication network requests the wireless access point to delete the authentication success information from the authentication switch. The user terminal authentication success information can be deleted from above.
In each of the above embodiments, part of the configuration realized by hardware may be replaced with software, and conversely, part of the configuration realized by software may be replaced with hardware.
以上説明したとおり、本実施例では、無線アクセスポイントと認証スイッチの認証処理を同期化させ、無線アクセスポイントの設定は最小限に留めた状態で、無線アクセスポイントで認証処理を実施し、認証スイッチでは、認証に関連する設定や、認証されたユーザ毎に個別のアクセス制御やQoS制御を行う。
以上、実施例、変形例に基づき本発明について説明してきたが、上記した発明の実施の形態は、本発明の理解を容易にするためのものであり、本発明を限定するものではない。本発明は、その主旨ならびに特許請求の範囲を逸脱することなく、変更、改良され得ると共に、本発明にはその等価物が含まれる。
As described above, in this embodiment, the authentication processing of the wireless access point and the authentication switch is synchronized, the authentication processing is performed at the wireless access point with the wireless access point setting kept to a minimum, and the authentication switch Then, settings related to authentication, individual access control and QoS control are performed for each authenticated user.
As mentioned above, although this invention was demonstrated based on the Example and the modification, Embodiment mentioned above is for making an understanding of this invention easy, and does not limit this invention. The present invention can be changed and improved without departing from the spirit and scope of the claims, and equivalents thereof are included in the present invention.
11 CPU、12 ポート、13 メモリ、14 認証端末登録テーブル、15 認証情報処理部、16 アクセス制御情報(ACL)、166 QoS情報登録テーブル、17 パケット送受信部、110 認証サーバ、111 認証スイッチ、112 スイッチングハブ、113 無線アクセスポイント、114 (無線)ユーザ端末、115 ネットワーク、116 RADIUSサーバ、117 RADIUSプロキシサーバ機能を内蔵した認証スイッチ、118(有線)ユーザ端末 11 CPU, 12 ports, 13 memory, 14 authentication terminal registration table, 15 authentication information processing unit, 16 access control information (ACL), 166 QoS information registration table, 17 packet transmission / reception unit, 110 authentication server, 111 authentication switch, 112 switching Hub, 113 wireless access point, 114 (wireless) user terminal, 115 network, 116 RADIUS server, 117 authentication switch with built-in RADIUS proxy server function, 118 (wired) user terminal
Claims (14)
端末の認証情報を保持する認証サーバと、
第一の端末と無線ネットワークを介して接続され、前記第一の端末から受信した外部ネットワークへのアクセスに関する認証要求を前記認証サーバに送信し、前記認証要求に対する認証結果に基づいて第一の認証処理を行う通信ノードと、
前記通信ノードと前記認証サーバと第二の端末と有線を介して接続され、前記第一の認証処理の結果、認証済となった第一の端末の認証端末情報を前記通信ノードから受信して認証端末登録テーブルに保持するとともに前記第二の端末から受信した外部ネットワークへのアクセスに関する認証要求を前記認証サーバに送信し、前記第二の端末から受信した認証要求に対する認証結果に基づいて第二の認証処理を実行し、前記第二の認証処理の結果、認証済となった第二の端末の認証端末情報を認証端末登録テーブルに保持し、前記認証端末登録テーブルに登録された認証済の前記第一の端末または前記第二の端末に対し前記外部ネットワークへの通信を許可する認証スイッチと、を有する、ことを特徴とする通信システム。 A communication system,
An authentication server that holds authentication information terminus,
An authentication request connected to the first terminal via the wireless network and received from the first terminal for access to the external network is transmitted to the authentication server, and the first authentication is performed based on the authentication result for the authentication request. A communication node for processing;
The communication node, the authentication server, and the second terminal are connected via a wire, and the authentication terminal information of the first terminal that has been authenticated as a result of the first authentication process is received from the communication node. An authentication request that is held in the authentication terminal registration table and that is received from the second terminal and that is related to access to the external network is transmitted to the authentication server, and the second is based on the authentication result for the authentication request received from the second terminal. The authentication terminal information of the second terminal that has been authenticated as a result of the second authentication process is stored in the authentication terminal registration table, and the authenticated terminal registered in the authentication terminal registration table is stored. An authentication switch that allows the first terminal or the second terminal to communicate with the external network.
前記通信ノードは、前記第一の端末から前記無線ネットワークを介して前記アクセスに関する認証要求を受信し、前記通信ノードから前記認証スイッチを介して前記認証サーバに、前記第一の端末から受信した認証要求を送信し、前記認証要求に対する回答が認証成功を示す場合、前記通信ノードから前記認証スイッチに対して、前記第一の端末の認証端末情報を通知し、
前記認証スイッチは、前記通知に応じて前記認証端末登録テーブルを更新する、ことを特徴とする通信システム。 The communication system according to claim 1,
The communication node, the aforementioned first receiving an authentication request for the access via the wireless network from the terminal, to the authentication server via the authentication switch from the communication node, received from the first terminal If an authentication request is sent and the response to the authentication request indicates successful authentication, the communication node notifies the authentication switch of the authentication terminal information of the first terminal,
The communication system, wherein the authentication switch updates the authentication terminal registration table in response to the notification.
前記認証スイッチは、前記認証サーバの代理応答をする認証プロキシを備え、
前記通信ノードは、前記認証プロキシを介して前記第一の認証処理を実行し、前記認証プロキシが前記通信ノードに、前記認証結果を送信するとともに、前記認証端末登録テーブルを更新する、
ことを特徴とする通信システム。 A communication system according to claim 2,
The authentication switch includes an authentication proxy that performs a proxy response of the authentication server,
The communication node executes the first authentication process via the authentication proxy, and the authentication proxy transmits the authentication result to the communication node and updates the authentication terminal registration table .
A communication system characterized by the above.
前記認証サーバは、RADIUSサーバである、ことを特徴とする通信システム。 The communication system according to claim 4, wherein
The communication system, wherein the authentication server is a RADIUS server.
前記通信ノードは、前記認証スイッチからの要求に応じて、HTTPSのPOSTメソッドにより前記通信ノードが管理する認証端末情報を送信する、ことを特徴とする通信システム。 A communication system according to claim 2,
The communication node transmits authentication terminal information managed by the communication node by a POST method of HTTPS in response to a request from the authentication switch.
前記通信ノードは、未認証の前記第一の端末からの外部ネットワークへのアクセスに関する認証要求に対し、IEEE802.1x認証により、認証を行い、前記認証スイッチは、未認証の前記第二の端末からの外部ネットワークへのアクセスに関する認証要求に対し、MACアドレス認証を行なうことを特徴とする、通信システム。 A communication system according to claim 2,
The communication node performs authentication by IEEE 802.1x authentication in response to an authentication request related to access to the external network from the unauthenticated first terminal, and the authentication switch receives the authentication from the unauthenticated second terminal. A communication system, wherein MAC address authentication is performed for an authentication request related to access to an external network .
認証済または認証中の端末について端末毎に認証端末情報を保持する認証端末登録テーブルと、
前記通信ノードから前記第一の認証処理の結果認証済となった第一の端末の認証端末情報を受信して前記認証端末登録テーブルに登録するとともに、認証済みでない前記第二の端末からの前記外部ネットワークと通信するための端末の認証要求に応じて、第二の認証処理を前記認証サーバに対して行ない前記第二の認証処理で認証成功の結果を示す第二の端末の認証端末情報を前記認証端末登録テーブルに登録する認証情報処理部と、
前記認証端末登録テーブルに従って通信が許可された端末からの外部ネットワークへのアクセスを中継する中継処理部と、
を有する、ことを特徴とする認証スイッチ。 An authentication server that holds the end end authentication information for communicating with an external network, a communication node performing a first authentication processing for the first terminal connected through a wireless network, and the external network, a wired An authentication switch connected to the second terminal via
An authentication terminal registration table that holds authentication terminal information for each terminal for authenticated or authenticated terminals ,
And registers in the authentication terminal registration table receives the authentication terminal information of a first terminal that resulted authenticated the first authentication processing from the communication node, said from the second terminal not authenticated according to the authentication request from the terminal for communicating with an external network, the authentication terminal information of the second terminal of the second authentication process shows the results of the authentication success on line without the second authentication process to the authentication server an authentication information processing unit to be registered in the authentication terminal registration table,
A relay processing unit that relays access to an external network from a terminal permitted to communicate according to the authentication terminal registration table ;
An authentication switch characterized by comprising:
第一のポートは前記通信ノードに有線を介して接続され、第二のポートは前記第二の端末に有線を介して接続され、第三のポートは認証サーバに接続され、第四のポートは前記外部ネットワークに接続され、
前記中継処理部は、前記第一の端末からの無線ネットワークを介して前記通信ノードに送信される第一の認証要求に対する応答を前記第一のポートを介して前記通信ノードに転送し、
前記認証情報処理部は、前記第二の端末からの第二の認証要求を前記第二のポートを介して受領し、前記第二の認証要求を前記第三のポートを介して認証サーバに送信し、
前記認証情報処理部は、前記第一のポートを介して、前記第一の認証処理に対する応答に含まれる情報を前記通信ノードから受信する、ことを特徴とする、認証スイッチ。 The authentication switch according to claim 8 , comprising a plurality of ports,
The first port is connected to the communication node via a wire , the second port is connected to the second terminal via a wire , the third port is connected to an authentication server, and the fourth port is Connected to the external network ,
The relay processing unit forwards a response to a first authentication request transmitted to the communication node via a wireless network from the first terminal to the communication node via the first port;
The authentication information processing unit, transmits the second authentication request from the second terminal receives via said second port, said second authentication request to the authentication server via the third port And
The authentication switch, wherein the authentication information processing unit receives information included in a response to the first authentication process from the communication node via the first port.
前記中継処理部は、外部ネットワークへのアクセスに関する条件が設定されるアクセス制御リストまたはQoS制御テーブルの少なくとも一方を含むフィルタを保持し、
前記認証情報処理部は、前記第一および第二の認証処理に対する応答に含まれる識別子を前記認証端末登録テーブルに設定し、前記識別子に対応する条件で前記端末のアクセス制御またはQoS制御を行うことを特徴とする認証スイッチ。 The authentication switch according to claim 8, wherein
The relay processing unit holds a filter including at least one of an access control list or a QoS control table in which conditions regarding access to an external network are set,
The authentication information processing unit sets an identifier included in a response to the first and second authentication processes in the authentication terminal registration table, and performs access control or QoS control of the terminal under a condition corresponding to the identifier. An authentication switch characterized by.
前記認証管理部は、第一の認証要求で認証済みと更新されていれば、第二の認証要求の送信を含む認証処理をスキップする、ことを特徴とする認証スイッチ。 The authentication switch according to claim 8, wherein
The authentication switch, wherein the authentication management unit skips an authentication process including transmission of a second authentication request if it is updated as authenticated in the first authentication request.
さらに、前記認証サーバの代理をするプロキシ部を有し、
前記認証情報処理部は、前記第一の認証要求に対する前記プロキシ部における認証結果を用いて端末の認証状態を更新する、ことを特徴とする、認証スイッチ。 The authentication switch according to claim 8, wherein
And a proxy unit acting as a proxy for the authentication server,
The authentication switch, wherein the authentication information processing unit updates an authentication state of a terminal using an authentication result in the proxy unit for the first authentication request.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2013178807A JP6106558B2 (en) | 2013-08-30 | 2013-08-30 | Communication system and authentication switch |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2013178807A JP6106558B2 (en) | 2013-08-30 | 2013-08-30 | Communication system and authentication switch |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2015050496A JP2015050496A (en) | 2015-03-16 |
| JP6106558B2 true JP6106558B2 (en) | 2017-04-05 |
Family
ID=52700197
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2013178807A Active JP6106558B2 (en) | 2013-08-30 | 2013-08-30 | Communication system and authentication switch |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP6106558B2 (en) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR102234210B1 (en) * | 2015-07-24 | 2021-03-30 | 현대자동차주식회사 | Security method for ethernet based network |
| JP6967950B2 (en) * | 2017-11-30 | 2021-11-17 | 三菱電機株式会社 | Authentication switch device, network system and authentication method |
| JP7241620B2 (en) * | 2019-06-21 | 2023-03-17 | APRESIA Systems株式会社 | Authentication switches, network systems and network equipment |
| CN112153055B (en) * | 2020-09-25 | 2023-04-18 | 北京百度网讯科技有限公司 | Authentication method and device, computing equipment and medium |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2005109823A (en) * | 2003-09-30 | 2005-04-21 | Nec Corp | Layer 2 switch device, radio base station, network system and radio communication method |
| JP2005268936A (en) * | 2004-03-16 | 2005-09-29 | Canon Inc | Access point, network system, and network service providing method |
| JP4584776B2 (en) * | 2005-06-09 | 2010-11-24 | エヌ・ティ・ティ・コミュニケーションズ株式会社 | Gateway device and program |
| JP2010062667A (en) * | 2008-09-01 | 2010-03-18 | Hitachi Cable Ltd | Network equipment and network system |
-
2013
- 2013-08-30 JP JP2013178807A patent/JP6106558B2/en active Active
Also Published As
| Publication number | Publication date |
|---|---|
| JP2015050496A (en) | 2015-03-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5364671B2 (en) | Terminal connection status management in network authentication | |
| JP5862577B2 (en) | COMMUNICATION SYSTEM, CONTROL DEVICE, POLICY MANAGEMENT DEVICE, COMMUNICATION METHOD, AND PROGRAM | |
| JP5370592B2 (en) | Terminal, control apparatus, communication method, communication system, communication module, program, and information processing apparatus | |
| JP5811171B2 (en) | COMMUNICATION SYSTEM, DATABASE, CONTROL DEVICE, COMMUNICATION METHOD, AND PROGRAM | |
| US10178095B2 (en) | Relayed network access control systems and methods | |
| JP6028736B2 (en) | Terminal, control apparatus, communication method, communication system, communication module, program, and information processing apparatus | |
| JP5660202B2 (en) | Computer system, controller, and network access policy control method | |
| JP5382819B2 (en) | Network management system and server | |
| WO2011081104A1 (en) | Communication system, authentication device, control server, and communication method and program | |
| JP5812108B2 (en) | Terminal, control apparatus, communication method, communication system, communication module, program, and information processing apparatus | |
| JP5143199B2 (en) | Network relay device | |
| JP5106599B2 (en) | Network relay device | |
| JP6106558B2 (en) | Communication system and authentication switch | |
| JP2012070225A (en) | Network relay device and transfer control system | |
| JP5261432B2 (en) | Communication system, packet transfer method, network switching apparatus, access control apparatus, and program | |
| JP5534473B2 (en) | Internet connection authentication system, Internet connection authentication method and program | |
| JP2008033831A (en) | Communication equipment and communication control program | |
| JP2015530763A (en) | Access control system, access control method and program | |
| CN102447710A (en) | Method and system for controlling access right of user | |
| JP3154679U (en) | Relay device and network system | |
| KR102350276B1 (en) | Authentication gateway and, control method thereof, recording medium for recording program for executing the control method, application saved in the recording medium for executing the control method being combined with hardware | |
| JP2013005027A (en) | Radio communication system and access point | |
| JP2018029233A (en) | Client terminal authentication system and client terminal authentication method | |
| JP6499733B2 (en) | Traffic analysis system, traffic information transmission method and program | |
| JP2010136014A (en) | Mac address automatic authentication system |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20151030 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20151030 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20160707 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20160712 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20160912 |
|
| RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20170116 |
|
| RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20170123 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20170207 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20170306 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6106558 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |