CN1722661A - 认证系统、网络线路级联器、认证方法和认证程序 - Google Patents
认证系统、网络线路级联器、认证方法和认证程序 Download PDFInfo
- Publication number
- CN1722661A CN1722661A CNA2005100833904A CN200510083390A CN1722661A CN 1722661 A CN1722661 A CN 1722661A CN A2005100833904 A CNA2005100833904 A CN A2005100833904A CN 200510083390 A CN200510083390 A CN 200510083390A CN 1722661 A CN1722661 A CN 1722661A
- Authority
- CN
- China
- Prior art keywords
- frame
- authentication
- terminal equipment
- transmission
- line concentrator
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Small-Scale Networks (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
响应来自终端设备1的请求,DHCP服务器8分配IP地址。认证服务器3接收使用所分配的IP地址作为发送者地址从终端设备1传送来的认证帧,并认证终端设备1。在完成认证之后,认证服务器3向认证集线器2的登记信息数据库22通知对终端设备1的通信允许。在认证集线器2中,帧接收电路21接收从终端设备1传送来的传输帧。认证集线器2根据传输帧的发送者信息,参考登记信息数据库22,确定针对帧的传输、重写和传输或丢弃,并且如果针对该帧允许传输或重写和传输,则向传输缓冲器23发送该传输帧。
Description
本申请要求在先日本专利申请JP 2004-206662的优先权,其公开文件作为参考。
技术领域
本发明涉及一种认证系统、网络线路级联器、用于其的认证方法和用于执行该方法的程序,具体地,涉及一种当终端设备与网络相连时对在认证集线器处的接入进行限制的方法。
背景技术
当前,作为限制在认证集线器处的接入的一种方法,使用如图1所示的IEEE(电气和电子工程师协会)802.1x认证系统和如图2所示的认证VLAN(虚拟局域网)系统。
参考图1,将对802.1x认证系统进行描述。在802.1x认证系统中,认证集线器32按照以下方式,响应从终端设备31到认证集线器32的接入,替代认证服务器33执行认证操作。在认证之前,在认证集线器32处丢弃从终端设备31传送来的所有普通帧,并且由认证集线器32仅接收认证帧。即,认证集线器32执行通信限制。认证集线器32从认证帧中提取发送者信息(包括发送者地址、用户名、口令等)并向认证服务器33传送认证确认帧。按照该方式,认证集线器32替代地执行认证操作。
如果认证服务器33确认了对认证确认帧的认证,则认证服务器33向认证集线器32发送允许设置帧,所述允许设置帧设置了针对来自与终端设备31相连的端口的帧、或具有专用于作为发送者地址的终端设备31的MAC(介质接入控制,Media Access Control)地址的帧的通信允许。
响应该允许设置帧,认证集线器32取消通信限制。之后,终端设备31可通过认证集线器32、交换集线器34和路由器35与网络300相连。
参考图2,将描述认证VLAN系统。在认证VLAN系统中,允许终端设备41加入被称为默认LAN且具有有限连接范围的先认证网络401(例如,参见日本待审专利申请公开(JP-A)No.2004-64204)。
终端设备41请求可从先认证网络401连接的DHCP(动态主机配置协议,Dyamic Host Configuration Protocol)服务器46分配临时IP(因特网协议)地址,并利用所述临时IP地址,向认证服务器43发送认证请求。
如果认证服务器43确认了对认证请求的认证,则认证服务器43向DHCP服务器46和认证集线器42指示终端设备41应该属于的VLAN(后认证网络402)。
DHCP服务器46释放分配给终端设备41的临时IP地址并向终端设备41通知针对后认证网络402的IP地址。认证集线器42允许终端设备41建立到由认证服务器43所指示的后认证网络402的连接。之后,终端设备41可通过认证集线器42、交换集线器44和路由器45与网络400相连。
然而,上述限制在认证集线器处的接入的传统方法具有以下方面的缺点。
在IEEE 802.1x认证系统的情况下,使用了专用于认证系统的协议,从而必须给认证集线器配备用于认证终端设备的专门程序。
另外,在IEEE 802.1x认证系统的情况下,认证集线器中继终端设备和认证服务器之间的认证处理。将该处理作为软件操作执行。因此,需要认证集线器以具有较高的软件处理能力。
另外,在IEEE 802.1x认证系统的情况下,未认证终端设备不能与该网络相连。因此,不能够向未认证终端设备提供有限的功能。
另一方面,在认证VLAN系统中,在完成认证之后,出现了从先认证网络到由认证所允许的后认证网络的切换。此时,终端设备必须改变网络设置。因此,将需要较长的时间,直到在完成认证之后能够实际执行认证为止。有时,会对能够在终端设备处所使用的OS(操作系统)类型加以限制。
在认证VLAN系统的情况下,多个设备必须协同操作以进行认证操作。结果,可用于该系统的这些设备是有限的。例如,DHCP服务器必须根据来自认证服务器的请求租用IP地址。因此,需要专用DHCP服务器,或者替代地,DHCP服务器必须配备有功能附加程序。
另外,在认证VLAN系统的情况下,需要认证集线器具有诸如对多个VLAN的VLAN交换和中继等先进功能。因此,认证集线器自身变为昂贵的高端设备。
发明内容
因此,本发明的目的是提出一种认证系统、网络线路级联器和用于其的认证方法和执行该方法的程序,能够防止未授权用户的侵入、窃听或攻击以确保安全性而无需使用复杂系统、网络交换和高级功能认证设备。
根据本发明,提出了一种认证系统,包括网络线路级联器和用于对容纳在所述网络线路级联器中的终端设备进行认证的认证服务器,其中所述网络线路级联器包括用于限制从除了由所述认证服务器认证过的已认证终端设备之外的任意其他节点传送来的帧被传递到包括所述认证服务器的网络内部和外部的单元。
根据本发明,还提出了一种用于容纳已由认证服务器认证的终端设备的网络线路级联器,所述网络线路级联器包括:用于限制从除了由所述认证服务器认证过的已认证终端设备之外的任意其他节点传送来的帧被传递到包括所述认证服务器的网络内部和外部的单元。
根据本发明,还提出了一种认证方法,用于认证系统,所述认证系统包括网络线路级联器和用于对容纳在所述网络线路级联器中的终端设备进行认证的认证服务器,所述方法包括用于限制从除了由所述认证服务器认证过的已认证终端设备之外的任意其他节点传送来的帧被传递到包括所述认证服务器的网络内部和外部的步骤,所述步骤在所述网络线路级联器中执行。
根据本发明,还提出了一种认证方法的程序,用于认证系统,所述认证系统包括网络线路级联器和用于对容纳在所述网络线路级联器中的终端设备进行认证的认证服务器,所述程序使计算机执行用于限制从除了由所述认证服务器认证过的已认证终端设备之外的任意其他节点传送来的帧被传递到包括所述认证服务器的网络内部和外部的处理。
因此,在根据本发明的具有可变广播范围类型的网络线路级联器(此后被称为认证集线器)中,通过限制从除了由认证服务器所允许的已授权终端设备之外的未授权终端设备传送来的帧被传递到网络内部和外部,确保了在LAN(局域网)环境下的安全性。
更具体地,根据本发明的认证集线器限制了从终端设备传送来的单播帧的传输,并将诸如IP(因特网协议,Internet Protocol)地址获取和ARP(地址解析协议,Address Resolution Protocol)解析等认证操作所必需的广播帧重写为寻址到允许目的地的单播帧。按照该方式,仅使所需网络节点(例如认证服务器)可接入。
根据本发明的认证集线器不需要具有先进功能,例如现有方法中的替代地处理认证操作的功能或对VLAN(虚拟局域网)进行交换的功能。因此,不需要使用高级功能设备,从而不至于对软件的功能和性能发生疑问。理由如下。
当在节点(即,终端设备)和认证服务器之间执行通信(认证操作)时,根据本发明的认证集线器可进行操作以便单独传递节点和认证服务器3之间的通信和其他所需通信,而不会阻碍来自未认证节点的所有通信且不会替代地向认证服务器传送认证帧。因此,认证集线器自身并不需要参与认证操作。因此,在本发明中的认证集线器并不需要适合于节点和认证服务器之间的协议,且不需要具有准备和传输该帧的功能。
在本发明中的认证集线器并非单独地使用VLAN以便在认证之前和之后改变通信范围,而是在认证之前对目的地进行限制。因此,在本发明中的认证集线器并不需要执行网络交换操作且不需要自身具有VLAN功能。在这种情况下,在本发明的认证集线器中,软件介入部分仅涉及在认证集线器和认证服务器之间的表格的传输和接收。因此,可以通过以下非常简单的硬件功能以及软件功能来实现该认证集线器,所述简单的硬件功能包括:分组过滤功能、分组复制功能和地址重写功能,而所述简单的软件功能包括在认证集线器中重写来自认证服务器的表格的功能。
另外,在本发明中的认证集线器2允许未认证节点执行一部分通信。具体地,本发明中的认证集线器具有来自加以限制节点中的表示可传输节点的可传输节点条目表,从而使从加以限制节点接收到且寻址到条目表的帧可传输,而不丢弃来自除了已认证节点之外的节点的所有接收帧。
另外,对于本发明中的认证集线器,不需要在认证之前和之后改变终端的网络设置。在以上所提到的认证VLAN系统中,加以限制节点加入其中的VLAN不同于已认证节点加入其中的VLAN。因此,改变了可通信节点的通信范围。在以上所提到的认证VLAN系统中,在VLAN交换之后对网络进行改变,从而还必须在该节点处改变网络设置。另一方面,在该发明中的认证集线器中,在认证之前和之后不对网络进行切换,而是改变可传输目的地。因此,不需要在终端处切换网络设置。
因此,在该发明中的认证集线器防止了终端设备通过交换集线器和路由器接入到其他网络节点(其他服务器和已认证终端设备)上。因此,能够防止未授权用户的侵入、窃听和攻击以确保安全性而无需使用复杂系统、网络交换和高级功能认证设备。
利用以下所述的结构和操作,本发明实现了以下效果:防止了未授权用户的侵入、窃听和攻击以确保安全性而无需使用复杂系统、网络交换和高级功能认证设备。
附图说明
图1是示出了传统IEEE 802.1x认证系统的方框图;
图2是示出了传统认证VLAN系统的方框图;
图3示出了根据本发明的认证系统的基本结构的方框图;
图4是示出了根据本发明实施例的认证系统的方框图;
图5是用于描述图4所示的认证集线器的操作的流程图;
图6A和6B是示出了在图4所示的认证集线器中的登记信息数据库中所存储的信息的视图;
图7是示出了图4所示的认证系统的操作的第一部分的时序图;
图8是示出了跟随在图7所示的第一部分之后的操作的第二部分的时序图
具体实施方式
现在将参考附图来描述本发明。
参考图3,根据本发明的认证系统主要包括:终端设备1、可变广播范围型的网络线路级联器(此后被称为认证集线器)2、认证服务器3、交换集线器4、路由器5和附加服务器6、以及已认证终端设备7。包括:单元(图4中的21-24),用于限制将从除了由认证服务器3认证过的已认证终端设备之外的其他任意节点传送来的帧传输到包括认证服务器3的网络10的内部和外部。即,认证集线器2限制从终端设备1经由交换集线器4和路由器5到网络10之外的外部网络100的接入。认证集线器2还限制从终端设备1通过交换集线器4和路由器5到网络10内部的其他网络节点(包括附加服务器6和已认证终端设备7)的接入。
认证集线器2限制对从终端设备1传送来的单播帧的传输,并且将包括IP(因特网协议)地址获取和ARP(地址解析协议)解析的认证操作所必需的广播帧重写到寻址到允许目的地的单播帧中。按照该方式,仅使所需网络节点(认证服务器3)能够接入。
认证集线器2防止终端设备1通过交换集线器4和路由器5接入其他网络节点(包括附加服务器6和已认证终端设备7)。因此,能够防止受到未授权用户的侵入、窃听和攻击以确保安全性,而无需使用复杂系统、网络交换和高级功能认证设备。
接下来参考图4,根据本发明实施例的认证系统包括:多个终端设备1-1到1-3(每一个均对应于图3中的终端设备1)、认证集线器2、认证服务器3、DHCP(动态主机配置协议)服务器8、连接这些网络节点的交换集线器4、路由器5和经由路由器5相连的网络100。
认证集线器2包括帧接收电路21、登记信息数据库22、传输缓冲器23、和用于存储针对认证集线器2中的各种控制的程序(计算机可执行程序)的记录介质24。可以通过将帧接收电路21、登记信息数据库22、传输缓冲器23和记录介质24集成在一起而形成的集成电路芯片来实现认证集线器2。
响应来自终端设备1-1到1-3的请求,DHCP服务器8分配IP地址。认证服务器3接收使用所分配的IP地址作为发送者地址从终端设备1-1到1-3传送来的认证帧,并认证终端设备1-1到1-3(用户)。在完成终端设备1-1到1-3的认证之后,认证服务器向认证集线器2的登记信息数据库22通知对终端设备1-1到1-3的通信允许(认证完成)。
在认证集线器2中,帧接收电路21接收从终端设备1-1到1-3传送来的传输帧。参考基于每一个传输帧中的发送者信息的登记信息数据库22,认证集线器2确定针对每一个帧的传输、重写和传输或丢弃,并向传输缓冲器23传送传输允许帧或重写和传输允许帧。
除了图4之外,参考图5,将对认证集线器2的操作进行描述。通过执行在记录介质24中所存储的程序的认证集线器2来实现图5所示的处理。
对于每一个输入帧,认证集线器2确认在登记信息数据库22中的所述帧发送者的登记状态(图5中的步骤S1和S2)。如果帧的发送者的登记状态为“已认证”,则认证集线器2将该帧发送到传输缓冲器23(图5中的步骤S6)。之后,从目的地端口中传输该帧。
如果帧的发送者的登记状态为“未登记”,则认证集线器2在登记信息数据库22中将该帧的发送者登记为“加以限制”终端(图5中的步骤S3)。之后,或者如果该帧的发送者的登记状态为“加以限制”的,则认证集线器2判断所述“加以限制”帧是广播帧还是单播帧(图5中的步骤S4)。
在广播帧的情况下,认证集线器2将该帧从广播帧重写为寻址到由登记信息数据库22所指定的目的地的单播帧(图5中的步骤S5),并且之后,将该帧发送到传输缓冲器23(图5中的步骤S6)。然后,从目的地端口中传送该帧。
另一方面,在单播帧的情况下,认证集线器2确认该帧的目的地(图5中的步骤S7)。如果根据登记信息数据库22中的设置,该帧的目的地是允许目的地,则认证集线器2将该帧发送到传输缓冲器23(图5中的步骤S6)。之后,从目的地端口中传送该帧。
如果根据登记信息数据库22中的设置,该帧的目的地是不允许目的地,则认证集线器2丢弃该帧(图5中的步骤S8)。
参考图6A和6B,将描述在认证集线器2的登记信息数据库22中所存储的信息。图6A示出了针对加以限制终端的帧可传输节点条目22a。图6B示出了终端设备登记信息条目22b。因此,将登记信息数据库22中所存储的信息分类为包括帧可传输节点条目22a和终端设备登记信息条目22b的两个条目。
针对加以限制终端的帧可传输节点条目22a存储了单播或广播帧可从加以限制终端传送到其中的网络节点有关的信息。帧可传输节点条目22a包括可传输网络节点的目的地标识符221a、用于确定单播帧传输的允许或禁止的单播传输允许标记222a、以及用于确定从广播帧重写为单播帧的重写帧传输的允许或禁止的广播重写允许标记223a。
作为目的地标识符221a,可以使用“MAC(介质接入控制)地址”、“IP地址”或其组合。作为针对目的地标识符221a登记的网络节点,可以登记认证服务器3或DHCP服务器8。如果需要,可以将DNS(域名系统,Domain Name System)服务器等添加到目的地标识符221a。
终端设备登记信息条目22b存储了与终端设备1的认证状态有关的信息。条目22b包括终端设备的终端标识符221b、和用于表示终端设备是处于已认证状态还是加以限制状态的认证标记222b。作为终端标识符221b,可以使用“MAC地址”。
除了图4到图6A和图6B之外,参考图7和8,将描述根据本发明实施例的认证系统的操作。由终端设备1、认证集线器2、DHCP服务器8和认证服务器3来执行根据本发明实施例的认证系统的操作。在图7和8中,其他节点表示经由认证集线器2、交换集线器4和路由器5相连的其他网络设备和终端设备。
如果终端设备1是“加以限制”终端,则认证集线器2参考登记信息数据库22以确认从终端设备1传送来的单播帧是否与针对加以限制终端设备的帧可传输节点条目22a中的单播传输允许条目相一致。在单播帧的目的地并非传输允许网络节点的情况下,认证集线器2丢弃单播帧(图7中的a1、a2)。如果将单播帧寻址到传输允许网络节点,则照原样来传送该单播帧。
由认证集线器2将由从终端设备1传送来的广播帧重写为限制到由登记信息数据库22中针对加以限制终端的帧可传输节点条目22a中的广播重写允许标记223a所允许的网络节点的单播帧,之后,对其进行传送(图7中的a3、a4、a6)。
在该实施例中,DHCP服务器8和认证服务器3是可传输网络节点。DHCP服务器8和认证服务器3接收或丢弃传输到其上的单播帧(图7中的a5、a7)。
如果终端设备1接入DHCP服务器8以便获取DHCP服务器8的IP地址,则终端设备1将DHCP帧作为广播帧来传送(图7中的a8)。当被提供了作为广播帧的DHCP帧时,认证集线器2传送作为寻址到DHCP服务器8和认证服务器3的单播帧(图7中的a9、a11)。
由于提供到其的单播帧并非认证帧,认证服务器3丢弃该单播帧(图7中的a12)。DHCP服务器8接收单播帧作为DHCP帧,分配IP地址,并且向终端设备1传送应答DHCP帧(图7中的a10、a13、a14)。终端设备1从提供给其的应答DHCP帧获取DHCP服务器8的IP地址(图7中的a15)。
在执行用户认证的情况下,终端设备1传送ARP帧作为广播帧以便根据认证服务器3的IP地址获取MAC地址(图7中的a16)。当被提供了作为广播帧接收到的ARP帧时,认证集线器2传送该ARP帧,作寻址到DHCP服务器8和认证服务器3的单播帧(图7中的a17、a19)。
由于提供给DHCP服务器8的ARP帧并不包含分配给其的IP地址,因此DHCP服务器8丢弃该ARP帧(图7中的a18)。由于由认证服务器3接收到的ARP帧包含分配给其的IP地址,因此认证服务器3传送针对ARP帧的应答ARP帧(图7中的a20到a22)。
终端设备1可以根据从认证服务器3接收到的应答ARP帧来获取MAC地址(图7中的a23)。因此,终端设备1向认证服务器3传送单播帧,作为寻址到MAC地址的认证帧(图8中的a24)。由于单播帧的目的地是传输允许网络节点,因此认证集线器2照原样传送从终端设备1接收到的单播帧(认证帧)。
在完成了终端设备1和认证服务器3之间的认证之后,认证服务器3向终端设备1发送认证OK帧(图8中的a25到a27)。然后,将终端设备1识别为已认证状态(图8中的a28)。认证服务器3对认证集线器2的登记信息数据库22进行接入(认证OK帧)(图8中的a29、a30),以便针对终端设备登记信息条目22b中的相应终端设备条目,将认证标记222b从“未认证”更新为“已认证”(图8中的a31)。
在认证之后,将从终端设备1传送来的广播或单播帧照原样传送到目的地或所有网络节点(图8中的a32到a36)。
因此,在该实施例中,认证集线器2限制从终端设备1传送来的单播帧的传输,并且将诸如IP地址获取和ARP解析等认证操作所必需的广播帧重写为寻址到允许目的地的单播帧。按照该方式,所需网络节点(例如认证服务器)是可单独接入的。
在该实施例中,不需要认证集线器2具有诸如传统方法中的替代地处理认证操作的功能或对VLAN(虚拟局域网,Virtual Local AreaNetwork)进行交换的功能等先进功能。因此不需要使用高级功能设备,不至于对软件的功能和性能发生疑问。理由如下。
在该实施例中,当在节点和认证服务器3之间执行通信(认证操作)时,认证集线器2可进行操作以便单独传递节点和认证服务器3之间的通信和其他所需通信,而不会阻碍来自未认证节点的所有通信且不会替代地向认证服务器3传送认证帧。因此,认证集线器2自身并不需要参与认证操作。因此,在该实施例中的认证集线器2并不需要适合于节点和认证服务器3之间的协议,且不需要具有准备和传输该帧的功能。
在该实施例中,认证集线器2并非单独地使用VLAN以便在认证之前和之后改变通信范围,而是在认证之前对目的地进行限制。因此,认证集线器2并不需要执行网络交换操作且不需要自身具有VLAN功能。在这种情况下,在认证集线器2中,软件介入部分仅涉及在认证集线器2和认证服务器3之间的表格的传输和接收。因此,可以通过以下非常简单的硬件功能以及软件功能来实现认证集线器2,所述简单的硬件功能包括:分组过滤功能、分组复制功能和地址重写功能,而所述简单的软件功能包括在认证集线器中重写来自认证服务器的表格的功能。
另外,在该实施例中,认证集线器2允许未认证节点执行一部分通信。具体地,认证集线器2具有来自加以限制节点中的表示可传输节点的可传输节点条目表,从而使从加以限制节点接收到且寻址到条目表的帧可传输,而不丢弃来自除了已认证节点之外的节点的所有接收帧。
另外,对于该实施例中的认证集线器2,不需要在认证之前和之后改变终端的网络设置。在以上所提到的认证VLAN系统中,加以限制节点加入其中的VLAN不同于已认证节点加入其中的VLAN。因此,改变了可通信节点的通信范围。在以上所提到的认证VLAN系统中,在VLAN交换之后对网络进行改变,从而还必须在该节点处改变网络设置。另一方面,在该实施例中的认证集线器2中,在认证之前和之后不对网络进行切换,而是改变可传输目的地。因此,不需要在终端处切换网络设置。
因此,在该实施例中的认证集线器2防止了终端设备1通过交换集线器4和路由器5接入到其他网络节点(附加服务器6和已认证终端设备7)上。因此,能够防止未授权用户的侵入、窃听和攻击以确保安全性而无需使用复杂系统、网络交换和高级功能认证设备。
在前面的实施例中,已经描述了对接入到网络内部的限制。然而,可以对接入到网络外部进行限制。在目的地位于网络外部的情况下,目的地MAC地址是充当默认网关的路由器的地址,并且目的地IP地址是目标网络节点的IP地址。将上述两个地址作为目的地标识符存储在与加以限制终端相对应的帧可传输节点条目中,并且参考该帧可传输节点条目来判断传输的允许或禁止。
尽管到目前为止已经结合其优选实施例对本发明进行了描述,但是容易理解,本领域的技术人员能够以各种其他方式来实施本发明。
Claims (22)
1、一种认证系统,包括网络线路级联器和用于对容纳在所述网络线路级联器中的终端设备进行认证的认证服务器,其中所述网络线路级联器包括用于限制从除了由所述认证服务器认证过的已认证终端设备之外的任意其他节点传送来的帧被传递到包括所述认证服务器的网络内部和外部的单元。
2、根据权利要求1所述的认证系统,其特征在于用于限制帧的传递的所述单元至少使终端设备能够在认证之前对认证服务器进行接入。
3、根据权利要求2所述的认证系统,其特征在于用于限制帧的传递的所述单元限制从所述终端设备传送来的单播帧的传输,并且将终端设备的认证操作所必需的广播帧重写为寻址到最初允许目的地的单播帧。
4、根据权利要求3所述的认证系统,其特征在于所述网络线路级联器具有能够将广播帧重写为单播帧的可变广播范围类型。
5、根据权利要求3所述的认证系统,其特征在于所述认证操作至少包括IP(因特网协议)地址获取和ARP(地址解析协议)解析。
6、根据权利要求1所述的认证系统,其特征在于用于限制帧的传递的所述单元至少禁止在认证之前通过网络内部的交换集线器和网络外部的路由器,对除了所述已认证终端设备之外的任意其他节点的接入。
7、根据权利要求1所述的认证系统,其特征在于所述网络线路级联器是通过集成至少用于限制帧的传递的所述单元而形成的集成电路。
8、一种用于容纳已由认证服务器认证的终端设备的网络线路级联器,所述网络线路级联器包括:用于限制从除了由所述认证服务器认证过的已认证终端设备之外的任意其他节点传送来的帧被传递到包括所述认证服务器的网络内部和外部的单元。
9、根据权利要求8所述的网络线路级联器,其特征在于用于限制帧的传递的所述单元至少使终端设备能够在认证之前对认证服务器进行接入。
10、根据权利要求9所述的网络线路级联器,其特征在于用于限制帧的传递的所述单元限制从所述终端设备传送来的单播帧的传输,并且将终端设备的认证操作所必需的广播帧重写为寻址到最初允许目的地的单播帧。
11、根据权利要求10所述的网络线路级联器,其特征在于所述网络线路级联器具有能够将广播帧重写为单播帧的可变广播范围类型。
12、根据权利要求10所述的网络线路级联器,其特征在于所述认证操作至少包括IP(因特网协议)地址获取和ARP(地址解析协议)解析。
13、根据权利要求8所述的网络线路级联器,其特征在于用于限制帧的传递的所述单元至少禁止在认证之前通过网络内部的交换集线器和网络外部的路由器,对除了所述已认证终端设备之外的任意其他节点的接入。
14、根据权利要求8所述的网络线路级联器,其特征在于所述网络线路级联器是通过集成至少用于限制帧的传递的所述单元而形成的集成电路。
15、一种认证方法,用于认证系统,所述认认证系统包括网络线路级联器和用于对容纳在所述网络线路级联器中的终端设备进行认证的认证服务器,所述方法包括用于限制从除了由所述认证服务器认证过的已认证终端设备之外的任意其他节点传送来的帧被传递到包括所述认证服务器的网络内部和外部的步骤,所述步骤在所述网络线路级联器中执行。
16、根据权利要求15所述的认证方法,其特征在于用于限制帧的传递的所述步骤至少使终端设备能够在认证之前对认证服务器进行接入。
17、根据权利要求16所述的认证方法,其特征在于用于限制帧的传递的所述步骤限制从所述终端设备传送来的单播帧的传输,并且将终端设备的认证操作所必需的广播帧重写为寻址到最初允许目的地的单播帧。
18、根据权利要求17所述的认证方法,其特征在于所述网络线路级联器具有能够将广播帧重写为单播帧的可变广播范围类型。
19、根据权利要求17所述的认证方法,其特征在于所述认证操作至少包括IP(因特网协议)地址获取和ARP(地址解析协议)解析。
20、根据权利要求15所述的认证方法,其特征在于用于限制帧的传递的所述步骤至少禁止在认证之前通过网络内部的交换集线器和网络外部的路由器,对除了所述已认证终端设备之外的任意其他节点的接入。
21、根据权利要求15所述的认证方法,其特征在于所述网络线路级联器是通过集成至少用于限制帧的传递的所述单元而形成的集成电路。
22、一种认证方法的程序,用于认证系统,所述认证系统包括网络线路级联器和用于对容纳在所述网络线路级联器中的终端设备进行认证的认证服务器,所述程序使计算机执行用于限制从除了由所述认证服务器认证过的已认证终端设备之外的任意其他节点传送来的帧被传递到包括所述认证服务器的网络内部和外部的处理。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004206662A JP4920878B2 (ja) | 2004-07-14 | 2004-07-14 | 認証システム、ネットワーク集線装置及びそれらに用いる認証方法並びにそのプログラム |
| JP2004206662 | 2004-07-14 | ||
| JP2004-206662 | 2004-07-14 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1722661A true CN1722661A (zh) | 2006-01-18 |
| CN1722661B CN1722661B (zh) | 2012-01-11 |
Family
ID=35600818
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2005100833904A Expired - Fee Related CN1722661B (zh) | 2004-07-14 | 2005-07-14 | 认证系统、网络线路级联器和认证方法 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US8209529B2 (zh) |
| JP (1) | JP4920878B2 (zh) |
| CN (1) | CN1722661B (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101669128B (zh) * | 2007-04-27 | 2012-06-20 | 国际商业机器公司 | 级联认证系统 |
| CN103583029A (zh) * | 2011-02-23 | 2014-02-12 | 零点集团控股有限公司 | 控制系统和用于控制系统的配对方法 |
| CN110741604A (zh) * | 2017-06-23 | 2020-01-31 | 住友电气工业株式会社 | 车载通信装置、通信控制方法和通信控制程序 |
Families Citing this family (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7542468B1 (en) * | 2005-10-18 | 2009-06-02 | Intuit Inc. | Dynamic host configuration protocol with security |
| JP2007274086A (ja) * | 2006-03-30 | 2007-10-18 | Nec Corp | アクセス制御方法及びアクセス制御システム |
| JP2007272396A (ja) * | 2006-03-30 | 2007-10-18 | Nec Personal Products Co Ltd | セキュリティ管理システム、中継装置、プログラム |
| JP2007279906A (ja) * | 2006-04-04 | 2007-10-25 | Mitsubishi Electric Corp | ネットワークアクセス管理システム |
| US7953457B2 (en) * | 2006-04-28 | 2011-05-31 | Research In Motion Limited | Methods and apparatus for reducing power consumption for mobile devices using broadcast-to-unicast message conversion |
| US8973098B2 (en) * | 2007-01-11 | 2015-03-03 | International Business Machines Corporation | System and method for virtualized resource configuration |
| JP4773987B2 (ja) | 2007-02-01 | 2011-09-14 | アラクサラネットワークス株式会社 | 端末所属切換システム |
| JP5106938B2 (ja) | 2007-07-27 | 2012-12-26 | 富士通コンポーネント株式会社 | Kvmスイッチ及びそのドライバプログラム、並びに情報処理装置及び制御プログラム |
| US8612606B2 (en) * | 2010-10-12 | 2013-12-17 | Juniper Networks, Inc. | Preserving an authentication state by maintaining a virtual local area network (VLAN) association |
| US8976744B2 (en) | 2010-11-03 | 2015-03-10 | Broadcom Corporation | Vehicle communication network including wireless communications |
| JP2015518297A (ja) * | 2012-03-05 | 2015-06-25 | インターデイジタル パテント ホールディングス インコーポレイテッド | 通信ネットワークにおける事前関連付け検出のためのデバイスおよび方法 |
| JP5921460B2 (ja) * | 2013-02-20 | 2016-05-24 | アラクサラネットワークス株式会社 | 認証方法、転送装置及び認証サーバ |
| CN104283858B (zh) * | 2013-07-09 | 2018-02-13 | 华为技术有限公司 | 控制用户终端接入的方法、装置及系统 |
| JP6536251B2 (ja) * | 2015-07-24 | 2019-07-03 | 富士通株式会社 | 通信中継装置、通信ネットワーク、通信中継プログラム及び通信中継方法 |
| JP7227727B2 (ja) * | 2018-10-03 | 2023-02-22 | エヌ・ティ・ティ・コミュニケーションズ株式会社 | デバイス管理装置、デバイス管理方法及びコンピュータープログラム |
| US11595444B2 (en) * | 2020-12-03 | 2023-02-28 | International Business Machines Corporation | Authenticity assessment of a requestor based on a communication request |
Family Cites Families (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| NL121416C (zh) * | 1961-05-31 | |||
| DE3545786A1 (de) * | 1985-12-21 | 1987-06-25 | Schering Ag | Pyrazolinderivate, ihre herstellung und ihre verwendung als mittel mit insektizider wirkung |
| DE3808896A1 (de) * | 1988-03-17 | 1989-09-28 | Hoechst Ag | Pflanzenschuetzende mittel auf basis von pyrazolcarbonsaeurederivaten |
| JP3684262B2 (ja) | 1996-01-17 | 2005-08-17 | 富士通株式会社 | ネットワークシステム及び集線装置 |
| US6070243A (en) * | 1997-06-13 | 2000-05-30 | Xylan Corporation | Deterministic user authentication service for communication network |
| JP2001036561A (ja) * | 1999-07-15 | 2001-02-09 | Shin Maruyama | Tcp/ipネットワークシステム |
| MY138097A (en) * | 2000-03-22 | 2009-04-30 | Du Pont | Insecticidal anthranilamides |
| JP2002124952A (ja) * | 2000-10-12 | 2002-04-26 | Furukawa Electric Co Ltd:The | 無線ネットワークにおける無線端末の認証方法および無線ネットワークにおける無線端末の認証システム |
| JP2003046533A (ja) | 2001-08-02 | 2003-02-14 | Nec Commun Syst Ltd | ネットワークシステム、その認証方法及びそのプログラム |
| AR036872A1 (es) * | 2001-08-13 | 2004-10-13 | Du Pont | Compuesto de antranilamida, composicion que lo comprende y metodo para controlar una plaga de invertebrados |
| DE60236600D1 (de) * | 2001-08-13 | 2010-07-15 | Du Pont | Substituierte 1h-dihydropyrazole, ihre herstellung und verwendung |
| JP3493194B1 (ja) | 2001-09-04 | 2004-02-03 | 松下電器産業株式会社 | 高圧放電ランプ |
| US7325246B1 (en) * | 2002-01-07 | 2008-01-29 | Cisco Technology, Inc. | Enhanced trust relationship in an IEEE 802.1x network |
| JP2003224576A (ja) | 2002-01-30 | 2003-08-08 | Nec Corp | Lan型インタネット・アクセス網及びそれに用いる加入者線収容方法 |
| KR100438431B1 (ko) * | 2002-02-23 | 2004-07-03 | 삼성전자주식회사 | 통신 네트워크에서 가상 사설 네트워크 서비스 접속을위한 보안 시스템 및 방법 |
| JP2004064204A (ja) * | 2002-07-25 | 2004-02-26 | Nec Corp | ネットワーク機器アクセス制御方法、ネットワーク機器制御システム、アクセス制御装置及びそのプログラム |
| KR100492958B1 (ko) * | 2002-09-10 | 2005-06-07 | 삼성전자주식회사 | 무선 고속 데이터 시스템에서 공중망과 사설망의 공통사용 방법 및 시스템 |
| KR100590862B1 (ko) * | 2003-04-29 | 2006-06-19 | 삼성전자주식회사 | 사설 무선 고속 데이터 시스템의 데이터 호 처리 장치 및그 방법 |
-
2004
- 2004-07-14 JP JP2004206662A patent/JP4920878B2/ja not_active Expired - Fee Related
-
2005
- 2005-07-13 US US11/179,602 patent/US8209529B2/en not_active Expired - Fee Related
- 2005-07-14 CN CN2005100833904A patent/CN1722661B/zh not_active Expired - Fee Related
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101669128B (zh) * | 2007-04-27 | 2012-06-20 | 国际商业机器公司 | 级联认证系统 |
| CN103583029A (zh) * | 2011-02-23 | 2014-02-12 | 零点集团控股有限公司 | 控制系统和用于控制系统的配对方法 |
| CN110741604A (zh) * | 2017-06-23 | 2020-01-31 | 住友电气工业株式会社 | 车载通信装置、通信控制方法和通信控制程序 |
Also Published As
| Publication number | Publication date |
|---|---|
| US8209529B2 (en) | 2012-06-26 |
| JP4920878B2 (ja) | 2012-04-18 |
| CN1722661B (zh) | 2012-01-11 |
| JP2006033206A (ja) | 2006-02-02 |
| US20060015714A1 (en) | 2006-01-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN1722661A (zh) | 认证系统、网络线路级联器、认证方法和认证程序 | |
| US9112909B2 (en) | User and device authentication in broadband networks | |
| JP3864312B2 (ja) | 802.1xプロトコルベースマルチキャスト制御方法 | |
| JP5470113B2 (ja) | 動的ホスト構成およびネットワークアクセス認証 | |
| EP1987629B1 (en) | Techniques for authenticating a subscriber for an access network using dhcp | |
| US7814311B2 (en) | Role aware network security enforcement | |
| US7568107B1 (en) | Method and system for auto discovery of authenticator for network login | |
| US8484715B2 (en) | Method and system for network access and network connection device | |
| US20070248085A1 (en) | Method and apparatus for managing hardware address resolution | |
| CN101110847B (zh) | 一种获取介质访问控制地址的方法、系统及装置 | |
| WO2017197516A1 (en) | Using wlan connectivity of a wireless device | |
| CN1665189A (zh) | 授权接入数据通信网络的方法和相关设备 | |
| CN1567868A (zh) | 基于以太网认证系统的认证方法 | |
| WO2013056619A1 (zh) | 一种身份联合的方法、IdP、SP及系统 | |
| CN1665207A (zh) | 网络管理方法及网络管理服务器 | |
| EP2550784B1 (en) | Method of securing access to data or services that are accessible via a device implementing the method and corresponding device | |
| US11212279B1 (en) | MAC address theft detection in a distributed link layer switched network based on trust level comparison | |
| US8819790B2 (en) | Cooperation method and system between send mechanism and IPSec protocol in IPV6 environment | |
| JP2010187314A (ja) | 認証機能付きネットワーク中継機器及びそれを用いた端末の認証方法 | |
| CN1225870C (zh) | 基于虚拟局域网的网络接入控制方法及装置 | |
| JP4827868B2 (ja) | ネットワーク接続制御システム、ネットワーク接続制御プログラムおよびネットワーク接続制御方法 | |
| CN1756165A (zh) | 一种许可接入数据通信网络的方法和相关设备 | |
| Schneider | Protocol for carrying authentication for network access (PANA) requirements |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20120111 Termination date: 20150714 |
|
| EXPY | Termination of patent right or utility model |