JP2001186186A - パケット交換装置、ネットワークシステム、およびパケット交換方法 - Google Patents
パケット交換装置、ネットワークシステム、およびパケット交換方法Info
- Publication number
- JP2001186186A JP2001186186A JP37135799A JP37135799A JP2001186186A JP 2001186186 A JP2001186186 A JP 2001186186A JP 37135799 A JP37135799 A JP 37135799A JP 37135799 A JP37135799 A JP 37135799A JP 2001186186 A JP2001186186 A JP 2001186186A
- Authority
- JP
- Japan
- Prior art keywords
- authentication
- packet
- input
- authentication data
- output port
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Abstract
(57)【要約】
【課題】 使用許可を与えられていない計算機による不
正なネットワーク使用を防止可能なEthernetスイッチン
グハブやIPルータ等のパケット交換装置を提供する。 【解決手段】 計算機に内蔵された通信装置のアドレス
情報と認証用データとの組を予め記憶しておき、入出力
ポートに接続された通信装置から自装置のアドレス情報
と認証用データを含む認証用パケットが入力されたと
き、入力パケット内のアドレス情報に対応する前記予め
記憶された認証用データと入力パケット内の認証用デー
タとを比較し、入出力ポートに接続された通信装置の認
証を行う。
正なネットワーク使用を防止可能なEthernetスイッチン
グハブやIPルータ等のパケット交換装置を提供する。 【解決手段】 計算機に内蔵された通信装置のアドレス
情報と認証用データとの組を予め記憶しておき、入出力
ポートに接続された通信装置から自装置のアドレス情報
と認証用データを含む認証用パケットが入力されたと
き、入力パケット内のアドレス情報に対応する前記予め
記憶された認証用データと入力パケット内の認証用デー
タとを比較し、入出力ポートに接続された通信装置の認
証を行う。
Description
【0001】
【発明の属する技術分野】本発明は、Ethernetスイッチ
ングハブ、IPルータ等のパケット交換装置、ネットワ
ークシステムおよびパケット交換方法に関する。
ングハブ、IPルータ等のパケット交換装置、ネットワ
ークシステムおよびパケット交換方法に関する。
【0002】
【従来の技術】LAN(Local Area Network)では、デー
タパケットの交換を行うために、スイッチングハブやル
ータなどのパケット交換装置を用いている。代表的なパ
ケット交換装置には、Ethernetスイッチングハブ、IP
ルータ等がある。
タパケットの交換を行うために、スイッチングハブやル
ータなどのパケット交換装置を用いている。代表的なパ
ケット交換装置には、Ethernetスイッチングハブ、IP
ルータ等がある。
【0003】図17に、このようなパケット交換装置の
構成を示す。
構成を示す。
【0004】同図に示すように、パケット交換装置90
0は複数の入力/出力ポート91(91−1、91−
2、…、91−N)と、交換用ハードウェアを構成する
バス92および共有メモリ96と、ルーティングプロセ
ッサ93とを備える。
0は複数の入力/出力ポート91(91−1、91−
2、…、91−N)と、交換用ハードウェアを構成する
バス92および共有メモリ96と、ルーティングプロセ
ッサ93とを備える。
【0005】入力/出力ポート91は、一対で、他の通
信装置とパケットの伝送を行うために必要な通信ケーブ
ルの一端に設けられた一つのコネクタと接続される。こ
のコネクタは、通信ケーブルの両端のコネクタが通電さ
れたときに電気信号を伝達可能なことを示す信号を持っ
ており、パケット交換装置900はこの信号により通信
ケーブルを通じて接続された他の通信装置との間でパケ
ットを入出力できるかどうかを認識できる。
信装置とパケットの伝送を行うために必要な通信ケーブ
ルの一端に設けられた一つのコネクタと接続される。こ
のコネクタは、通信ケーブルの両端のコネクタが通電さ
れたときに電気信号を伝達可能なことを示す信号を持っ
ており、パケット交換装置900はこの信号により通信
ケーブルを通じて接続された他の通信装置との間でパケ
ットを入出力できるかどうかを認識できる。
【0006】交換用ハードウェアを構成するメモリ93
はパケットを一時的に保持するために用いられ、バス9
2はパケットを入力/出力ポート91の入力ポートから
メモリ96へ、またはメモリ96から出力ポートへ移動
させるためなどに使用される。
はパケットを一時的に保持するために用いられ、バス9
2はパケットを入力/出力ポート91の入力ポートから
メモリ96へ、またはメモリ96から出力ポートへ移動
させるためなどに使用される。
【0007】ルーティングプロセッサ93は、ルーティ
ング手順90、ルーティングテーブル管理手順95など
のソフトウェアを実行し、実際にパケットの交換を行う
ハードウェアである。ルーティングテーブル管理手順9
5は、パケットの宛先アドレスと出力ポートとの対応表
であるルーティングテーブル94を作成、管理する手順
である。ルーティングテーブル管理手順95は交換の目
的によって作成、管理の方法が異なる。例えば、データ
リンク層のパケットを交換するEthernetスイッチングハ
ブと、ネットワーク層のパケットを交換するIPルータ
とでは異なる。
ング手順90、ルーティングテーブル管理手順95など
のソフトウェアを実行し、実際にパケットの交換を行う
ハードウェアである。ルーティングテーブル管理手順9
5は、パケットの宛先アドレスと出力ポートとの対応表
であるルーティングテーブル94を作成、管理する手順
である。ルーティングテーブル管理手順95は交換の目
的によって作成、管理の方法が異なる。例えば、データ
リンク層のパケットを交換するEthernetスイッチングハ
ブと、ネットワーク層のパケットを交換するIPルータ
とでは異なる。
【0008】Ethernetスイッチングハブによるパケット
の交換処理は、入力されたパケットのEthernetヘッダに
ある宛先アドレスを参照し、その宛先アドレスをもつ通
信装置が接続されている出力ポートヘそのパケットを出
力するというものである。そして、したがって、Ethern
etスイッチングハブのルーティングテーブル94は、入
力ポートから入力されたパケットのEthernetヘッダにあ
る宛先アドレスと、出力ポート(上記入力ポートと対に
なっている出力ポート)とを対応づけた表として作成さ
れる。
の交換処理は、入力されたパケットのEthernetヘッダに
ある宛先アドレスを参照し、その宛先アドレスをもつ通
信装置が接続されている出力ポートヘそのパケットを出
力するというものである。そして、したがって、Ethern
etスイッチングハブのルーティングテーブル94は、入
力ポートから入力されたパケットのEthernetヘッダにあ
る宛先アドレスと、出力ポート(上記入力ポートと対に
なっている出力ポート)とを対応づけた表として作成さ
れる。
【0009】一方、IPルータによる交換処理は、入力
されたパケットのIPへッダにある宛先アドレスを参照
し、そのアドレスに到達可能な出力ポートへそのパケッ
トを出力するというものである。したがって、IPルー
タのルーティングテーブル94は、入力ポートから入力
されたパケットのIPヘッダにある宛先アドレスと、そ
のアドレスに到達可能な出力ポートとを対応づけた表と
して作成される。ただし、同じネットワークアドレスを
持つ宛先アドレスは1つのネットワークアドレスに集約
される。このIPルータのルーティングテーブル94
は、管理ツールなどを使ってユーザが入力するか、パケ
ット交換装置自身がRIP(Routing Information Prot
ocol)などのプロトコルを利用し、ルーティング管理手
順95により他の通信装置から情報を得ることで作成さ
れる。
されたパケットのIPへッダにある宛先アドレスを参照
し、そのアドレスに到達可能な出力ポートへそのパケッ
トを出力するというものである。したがって、IPルー
タのルーティングテーブル94は、入力ポートから入力
されたパケットのIPヘッダにある宛先アドレスと、そ
のアドレスに到達可能な出力ポートとを対応づけた表と
して作成される。ただし、同じネットワークアドレスを
持つ宛先アドレスは1つのネットワークアドレスに集約
される。このIPルータのルーティングテーブル94
は、管理ツールなどを使ってユーザが入力するか、パケ
ット交換装置自身がRIP(Routing Information Prot
ocol)などのプロトコルを利用し、ルーティング管理手
順95により他の通信装置から情報を得ることで作成さ
れる。
【0010】ルーティング手順90は、パケット交換の
手順であり、ある入力ポートから受け取ったパケットが
特定の行き先を持っていれば、その行き先に到達できる
出力ポートヘ出力する。ルーティング手順90の実装の
形態には、ルーティングプロセッサ93の内部に回路と
して組み込まれる場合、ルーティングプロセッサ93上
のOSで動作するソフトウェアとして組み込まれる場合
などがある。
手順であり、ある入力ポートから受け取ったパケットが
特定の行き先を持っていれば、その行き先に到達できる
出力ポートヘ出力する。ルーティング手順90の実装の
形態には、ルーティングプロセッサ93の内部に回路と
して組み込まれる場合、ルーティングプロセッサ93上
のOSで動作するソフトウェアとして組み込まれる場合
などがある。
【0011】ルーティング手順90を以下に示す。
【0012】1.入力ポートからパケットを受信する。
すなわち、入出力ポートに接続されている通信媒体上の
電気信号をバイト単位のデータに変換する。
すなわち、入出力ポートに接続されている通信媒体上の
電気信号をバイト単位のデータに変換する。
【0013】2.変換したバイト単位のデータを交換用
ハードウェアのメモリ96に記録する。
ハードウェアのメモリ96に記録する。
【0014】3.メモリ96に格納したバイトデータか
ら、通信プロトコルに従ってパケットの行き先アドレス
を探し、取り出す。
ら、通信プロトコルに従ってパケットの行き先アドレス
を探し、取り出す。
【0015】4.ルーティングテーブル94を参照し
て、行き先アドレスに対応する出力ポートを得る。
て、行き先アドレスに対応する出力ポートを得る。
【0016】5.上記パケットを電気信号に変換し、出
力ポートに接続されている通信媒体上へ出力する。
力ポートに接続されている通信媒体上へ出力する。
【0017】
【発明が解決しようとする課題】一般に、Ethernetスイ
ッチングハブやIPルータなどのパケット交換装置は、
接続された計算機の認証を行う機能を備えておらず、計
算機を通信ケーブルを通じてEthernetスイッチングハブ
やIPルータに接続することは誰でも可能な状況にあ
る。このためセキュリティの更なる強化が望まれてい
る。
ッチングハブやIPルータなどのパケット交換装置は、
接続された計算機の認証を行う機能を備えておらず、計
算機を通信ケーブルを通じてEthernetスイッチングハブ
やIPルータに接続することは誰でも可能な状況にあ
る。このためセキュリティの更なる強化が望まれてい
る。
【0018】本発明は、このような課題を解決するため
のもので、入出力ポートへの装置への接続時に、その接
続された装置の認証を行うことができ、許可を与えられ
ていない計算機による不正なネットワーク使用を防止す
ることのできるパケット交換装置、ネットワークシステ
ムおよびパケット方法の提供を目的とする。
のもので、入出力ポートへの装置への接続時に、その接
続された装置の認証を行うことができ、許可を与えられ
ていない計算機による不正なネットワーク使用を防止す
ることのできるパケット交換装置、ネットワークシステ
ムおよびパケット方法の提供を目的とする。
【0019】
【課題を解決するための手段】上記目的を達成するため
に、この発明は、複数の装置間でパケットの交換を行う
パケット交換装置において、前記装置が接続される入出
力ポートと、この入出力ポートに接続された前記装置の
認証を行う認証手段を有して構成されるものである。
に、この発明は、複数の装置間でパケットの交換を行う
パケット交換装置において、前記装置が接続される入出
力ポートと、この入出力ポートに接続された前記装置の
認証を行う認証手段を有して構成されるものである。
【0020】前記の認証手段は、認証用データを記憶す
る認証データ記憶手段と、前記入出力ポートを通じて前
記装置から入力された認証用データと前記認証データ記
憶手段に記憶された認証用データとを比較し、この比較
結果に基づいて認証の成否を判定する認証判定手段とに
より構成される。
る認証データ記憶手段と、前記入出力ポートを通じて前
記装置から入力された認証用データと前記認証データ記
憶手段に記憶された認証用データとを比較し、この比較
結果に基づいて認証の成否を判定する認証判定手段とに
より構成される。
【0021】また、別の認証手段は、装置のアドレス情
報と認証用データとの組を記憶する認証データ記憶手段
と、前記入出力ポートを通じて前記装置から自装置のア
ドレス情報と認証用データを含むパケットが入力された
とき、前記認証データ記憶手段に記憶された、前記入力
パケット内のアドレス情報に対応する認証用データと前
記入力パケット内の認証用データとを比較し、この比較
結果に基づいて認証の成否を判定する認証判定手段とに
より構成される。
報と認証用データとの組を記憶する認証データ記憶手段
と、前記入出力ポートを通じて前記装置から自装置のア
ドレス情報と認証用データを含むパケットが入力された
とき、前記認証データ記憶手段に記憶された、前記入力
パケット内のアドレス情報に対応する認証用データと前
記入力パケット内の認証用データとを比較し、この比較
結果に基づいて認証の成否を判定する認証判定手段とに
より構成される。
【0022】さらに、別の認証手段は、管理者からの認
証許可通知を入力する認証許可通知入力手段と、前記認
証許可通知入力手段により認証許可通知が入力されてい
る時に前記入出力ポートへの接続が行われた装置を認証
が成功した装置として判定する認証判定手段とを具備し
て構成される。
証許可通知を入力する認証許可通知入力手段と、前記認
証許可通知入力手段により認証許可通知が入力されてい
る時に前記入出力ポートへの接続が行われた装置を認証
が成功した装置として判定する認証判定手段とを具備し
て構成される。
【0023】さらに、別の認証手段は、前記認証手段
は、認証用データを記憶する認証データ記憶手段と、認
証用データを入力する装置とのインターフェース手段
と、前記インターフェース手段により入力された認証用
データと前記認証データ記憶手段に記憶された認証用デ
ータとを比較し、この比較結果に基づいて認証の成否を
判定する認証判定手段とを備えて構成される。
は、認証用データを記憶する認証データ記憶手段と、認
証用データを入力する装置とのインターフェース手段
と、前記インターフェース手段により入力された認証用
データと前記認証データ記憶手段に記憶された認証用デ
ータとを比較し、この比較結果に基づいて認証の成否を
判定する認証判定手段とを備えて構成される。
【0024】この発明のパケット交換装置では、入出力
ポートに装置が接続されたとき、その接続された装置の
認証を行い、認証に成功した装置のみパケットの交換を
行うことを許すことで、許可を与えられていない計算機
等によるネットワークの不正使用を防止することが可能
になるなど、セキュリティの向上を図ることができる。
ポートに装置が接続されたとき、その接続された装置の
認証を行い、認証に成功した装置のみパケットの交換を
行うことを許すことで、許可を与えられていない計算機
等によるネットワークの不正使用を防止することが可能
になるなど、セキュリティの向上を図ることができる。
【0025】また、パケット交換装置において、未認証
の通信装置から認証用パケット以外のパケットが受信し
たとき、パケット未認証通知パケットを通信装置に送信
するようにし、通信装置はそのパケット未認証通知パケ
ットを受信したとき、認証用パケットを生成し、パケッ
ト交換装置へ送信するように構成することで、パケット
交換装置を再起動させた後の認証を自動でやり直すこと
ができる。
の通信装置から認証用パケット以外のパケットが受信し
たとき、パケット未認証通知パケットを通信装置に送信
するようにし、通信装置はそのパケット未認証通知パケ
ットを受信したとき、認証用パケットを生成し、パケッ
ト交換装置へ送信するように構成することで、パケット
交換装置を再起動させた後の認証を自動でやり直すこと
ができる。
【0026】
【発明の実施の形態】以下、本発明の実施の形態を図面
を参照して説明する。
を参照して説明する。
【0027】図1に、本発明の一実施形態に係るパケッ
ト交換装置であるEthernetスイッチングハブの構成を示
す。
ト交換装置であるEthernetスイッチングハブの構成を示
す。
【0028】このパケット交換装置100は、入出力ポ
ート1(1−1,1−2,…,1−N)、交換用ハード
ウェアを構成するバス2およびメモリ13、ルーティン
グプロセッサ3、ルーティングテーブル4、ルーティン
グテーブル管理手順5、認証データテーブル6、認証デ
ータ管理手順7、ポート管理テーブル8、ポート管理手
順9、ルーティング手順10、および認証手順11を有
している。
ート1(1−1,1−2,…,1−N)、交換用ハード
ウェアを構成するバス2およびメモリ13、ルーティン
グプロセッサ3、ルーティングテーブル4、ルーティン
グテーブル管理手順5、認証データテーブル6、認証デ
ータ管理手順7、ポート管理テーブル8、ポート管理手
順9、ルーティング手順10、および認証手順11を有
している。
【0029】認証データテーブル6は、Ethernetのアド
レスと認証用データとの対応を示す表である(図4を参
照)。認証データテーブル6の管理は認証データ管理手
順7によって行われる。パケット交換装置100は、Et
hernet以外の入力I/F(シリアルポートなど)12を
持ち、ユーザはこの入力I/F12を通じて接続された
端末機器を用いてEthernetアドレスと認証用データとの
組を入力することができる。認証データ管理手順7は入
力I/F12から入力されたEthernetアドレスと認証用
データとの組を認証データテーブル6に登録する。
レスと認証用データとの対応を示す表である(図4を参
照)。認証データテーブル6の管理は認証データ管理手
順7によって行われる。パケット交換装置100は、Et
hernet以外の入力I/F(シリアルポートなど)12を
持ち、ユーザはこの入力I/F12を通じて接続された
端末機器を用いてEthernetアドレスと認証用データとの
組を入力することができる。認証データ管理手順7は入
力I/F12から入力されたEthernetアドレスと認証用
データとの組を認証データテーブル6に登録する。
【0030】ポート管理テーブル8は入出力ポート1の
IDと、その入出力ポート1が認証済みか否かを示すフ
ラグとの対応表(図5を参照)である。ここで、IDは
個々の入出力ポート1にユニークに付けられた番号とす
る。IDとフラグの組はパケット交換装置100がもつ
すべての入出力ポート分存在する。
IDと、その入出力ポート1が認証済みか否かを示すフ
ラグとの対応表(図5を参照)である。ここで、IDは
個々の入出力ポート1にユニークに付けられた番号とす
る。IDとフラグの組はパケット交換装置100がもつ
すべての入出力ポート分存在する。
【0031】ポート管理手順9は、パケット交換装置1
00の起動時に前記のポート管理テーブル8を生成す
る。また、ポート管理手順9は、すべての入出力ポート
1に対してIDを割り当て、IDと認証済みフラグとの
組をつくり、すべてのフラグの値を”FALSE”に設
定する。さらにポート管理手順9は、通信ケーブルが入
出力ポート1から抜かれることなどによって入出力ポー
ト1が電気的に通信不可になったとき、これを認識し、
その入出力ポート1のIDに対応するフラグの値を”F
ALSE”にする。
00の起動時に前記のポート管理テーブル8を生成す
る。また、ポート管理手順9は、すべての入出力ポート
1に対してIDを割り当て、IDと認証済みフラグとの
組をつくり、すべてのフラグの値を”FALSE”に設
定する。さらにポート管理手順9は、通信ケーブルが入
出力ポート1から抜かれることなどによって入出力ポー
ト1が電気的に通信不可になったとき、これを認識し、
その入出力ポート1のIDに対応するフラグの値を”F
ALSE”にする。
【0032】ルーティング手順10は、ある入出力ポー
ト1について、ポート管理テーブル8上の、その入出力
ポート1のIDに対応するフラグの値を調べ、フラグの
値が”TRUE”ならば、その入出力ポート1に関連す
るEthernetパケットの交換を行う。以下に、ルーティン
グ手順10の詳細を示す。図6にルーティング手順10
の流れを示す。
ト1について、ポート管理テーブル8上の、その入出力
ポート1のIDに対応するフラグの値を調べ、フラグの
値が”TRUE”ならば、その入出力ポート1に関連す
るEthernetパケットの交換を行う。以下に、ルーティン
グ手順10の詳細を示す。図6にルーティング手順10
の流れを示す。
【0033】入出力ポート1からパケットが入力されれ
ば、そのパケットを交換用ハードウェア2のメモリ13
に保存する。入出力ポート1のIDを求め、ポート管理
テーブル8上でそのIDに対応する認証済みフラグの値
を調べる(ステップ61)。入出力ポート1が認証済み
でないなら、入力パケットが認証用パケットかどうか判
断する(ステップ62)。
ば、そのパケットを交換用ハードウェア2のメモリ13
に保存する。入出力ポート1のIDを求め、ポート管理
テーブル8上でそのIDに対応する認証済みフラグの値
を調べる(ステップ61)。入出力ポート1が認証済み
でないなら、入力パケットが認証用パケットかどうか判
断する(ステップ62)。
【0034】入力パケットが認証用パケットならば認証
手順11を用いて認証を行う(ステップ63)。認証手
順11の詳細は後で説明する。認証に成功すれば(ステ
ップ64のYES)、ポート管理手順9でポート管理テ
ーブル8上のそのIDに対応する認証済みフラグの値
を”TRUE”に変更する(ステップ65)。認証用パ
ケットでないか(ステップ62のNO)、或いは認証に
失敗した場合は(ステップ64のNO)パケットを破棄
し、処理を終える。
手順11を用いて認証を行う(ステップ63)。認証手
順11の詳細は後で説明する。認証に成功すれば(ステ
ップ64のYES)、ポート管理手順9でポート管理テ
ーブル8上のそのIDに対応する認証済みフラグの値
を”TRUE”に変更する(ステップ65)。認証用パ
ケットでないか(ステップ62のNO)、或いは認証に
失敗した場合は(ステップ64のNO)パケットを破棄
し、処理を終える。
【0035】ステップ61で入出力ポート1が既に認証
済みであることが判断された場合は、入力パケットから
送信元Ethernetアドレスを取り出し、ルーティングテー
ブル4ヘそのEthernetアドレスと入出力ポート1のID
の組を追加する。さらに、入力パケットから宛先Ethern
etアドレスを取り出し、ルーティングテーブル4を参照
して出力先の入出力ポート1を探す。続いてポート管理
テーブル8上で出力先の入出力ポート1のIDに対応す
る認証済みフラグを調べ、フラグが”TRUE”なら
(ステップ66のYES)パケットを出力する(ステッ
プ67)。また、認証済みフラグが”FALSE”なら
(ステップ66のNO)パケットを破棄し、処理を終え
る。
済みであることが判断された場合は、入力パケットから
送信元Ethernetアドレスを取り出し、ルーティングテー
ブル4ヘそのEthernetアドレスと入出力ポート1のID
の組を追加する。さらに、入力パケットから宛先Ethern
etアドレスを取り出し、ルーティングテーブル4を参照
して出力先の入出力ポート1を探す。続いてポート管理
テーブル8上で出力先の入出力ポート1のIDに対応す
る認証済みフラグを調べ、フラグが”TRUE”なら
(ステップ66のYES)パケットを出力する(ステッ
プ67)。また、認証済みフラグが”FALSE”なら
(ステップ66のNO)パケットを破棄し、処理を終え
る。
【0036】図2に、認証用パケットのフォーマットを
示す。同図に示すように、認証用パケットは、Ethernet
ヘッダと認証用データから構成される。Ethernetヘッダ
は、宛先アドレス、送信元アドレス,フレーム長で構成
される。フレーム長には、このEthernetパケットが認証
用パケットであることを示す値がセットされる。ルーテ
ィング手順10はこのフレーム長により入力パケットが
認証用パケットかどうかを判断する。
示す。同図に示すように、認証用パケットは、Ethernet
ヘッダと認証用データから構成される。Ethernetヘッダ
は、宛先アドレス、送信元アドレス,フレーム長で構成
される。フレーム長には、このEthernetパケットが認証
用パケットであることを示す値がセットされる。ルーテ
ィング手順10はこのフレーム長により入力パケットが
認証用パケットかどうかを判断する。
【0037】次に、認証手順11を示す。図7に認証手
順11の流れを示す。
順11の流れを示す。
【0038】認証用パケットのEthernetヘッダから送信
元アドレスを取り出す(ステップ71)。この送信元ア
ドレスは入出力ポート1に通信ケーブルを通して接続さ
れた通信装置のEthernetアドレスである。次に、前記送
信元アドレスが認証データテーブル6にあるかを調べ
(ステップ72)、送信元アドレスがあれば、その認証
用データを認証データテーブル6から取り出す(ステッ
プ73)。また、認証用パケットから認証用データを取
り出す(ステップ74)。続いて、認証データテーブル
6から取り出した認証用データと認証用パケットから取
り出した認証用データとを比較し(ステップ75)、一
致すれば認証を成功とする。異なれば認証を失敗とす
る。
元アドレスを取り出す(ステップ71)。この送信元ア
ドレスは入出力ポート1に通信ケーブルを通して接続さ
れた通信装置のEthernetアドレスである。次に、前記送
信元アドレスが認証データテーブル6にあるかを調べ
(ステップ72)、送信元アドレスがあれば、その認証
用データを認証データテーブル6から取り出す(ステッ
プ73)。また、認証用パケットから認証用データを取
り出す(ステップ74)。続いて、認証データテーブル
6から取り出した認証用データと認証用パケットから取
り出した認証用データとを比較し(ステップ75)、一
致すれば認証を成功とする。異なれば認証を失敗とす
る。
【0039】次に、図3を参照して、計算機200が本
実施形態のパケット交換装置100を用いて他の計算機
300と通信する際の手順について述べる。
実施形態のパケット交換装置100を用いて他の計算機
300と通信する際の手順について述べる。
【0040】パケット交換装置100には電源が入って
おり、認証データテーブル6には、既にユーザにより入
力I/F12を通じて入力された情報が登録されている
ものとする。図4に、この時点での認証データテーブル
6の内容を示す。
おり、認証データテーブル6には、既にユーザにより入
力I/F12を通じて入力された情報が登録されている
ものとする。図4に、この時点での認証データテーブル
6の内容を示す。
【0041】計算機200と計算機300はそれぞれ通
信装置201、301を内蔵しており、各通信装置20
1、301は認証用パケットを送信するための認証パケ
ット送信手順202、302を持つ。
信装置201、301を内蔵しており、各通信装置20
1、301は認証用パケットを送信するための認証パケ
ット送信手順202、302を持つ。
【0042】ここで、計算機300と通信装置301に
電源が入っており、通信装置301はEthernetアドレス
をもっているものとする。また、通信装置301はパケ
ット交換装置100の入出力ポート1−2と接続され、
計算機300は前述した認証方法によって、パケット交
換装置100に接続されたときに認証が成功し、パケッ
ト交換装置100とパケットの送受信が可能な状態にあ
るものとする。
電源が入っており、通信装置301はEthernetアドレス
をもっているものとする。また、通信装置301はパケ
ット交換装置100の入出力ポート1−2と接続され、
計算機300は前述した認証方法によって、パケット交
換装置100に接続されたときに認証が成功し、パケッ
ト交換装置100とパケットの送受信が可能な状態にあ
るものとする。
【0043】一方、計算機200と通信装置201には
電源が入っており、通信装置201はEthernetアドレス
を持っているものとする。計算機200のプロセッサ2
05には認証データ作成手順204が存在する。また、
計算機200はまだパケット交換装置100と接続され
ておらす、認証も済んでいない状態とする。この時点で
のパケット交換装置100におけるポート管理テーブル
8の内容を図5に示す。
電源が入っており、通信装置201はEthernetアドレス
を持っているものとする。計算機200のプロセッサ2
05には認証データ作成手順204が存在する。また、
計算機200はまだパケット交換装置100と接続され
ておらす、認証も済んでいない状態とする。この時点で
のパケット交換装置100におけるポート管理テーブル
8の内容を図5に示す。
【0044】この状態において、計算機200をパケッ
ト交換装置100で認証する手順を説明する。
ト交換装置100で認証する手順を説明する。
【0045】ユーザは計算機200の通信装置201と
パケット交換装置100の入出力ポート1−1とを通信
ケーブル401で接続する。これにより、パケット交換
装置100は通信装置201と接続された入出力ポート
1−1が電気的に通信可能な状態であることを認識す
る。
パケット交換装置100の入出力ポート1−1とを通信
ケーブル401で接続する。これにより、パケット交換
装置100は通信装置201と接続された入出力ポート
1−1が電気的に通信可能な状態であることを認識す
る。
【0046】このとき、通信装置201の認証パケット
送信手順202は、内部メモリに認証用データ203が
あれば、この認証データ203を基に認証用パケットを
作り、入出力ポート1−1よりパケット交換装置100
に出力する。認証用データがなければ、認証データ作成
手順204に認証用データの作成を依頼する。認証デー
タ作成手順204は計算機200の認証データ203を
作成し、通信装置201の内部メモリに記録する。図8
にこの認証データの送信の手順を示す。
送信手順202は、内部メモリに認証用データ203が
あれば、この認証データ203を基に認証用パケットを
作り、入出力ポート1−1よりパケット交換装置100
に出力する。認証用データがなければ、認証データ作成
手順204に認証用データの作成を依頼する。認証デー
タ作成手順204は計算機200の認証データ203を
作成し、通信装置201の内部メモリに記録する。図8
にこの認証データの送信の手順を示す。
【0047】認証データ203は計算機の不正使用を防
止するための情報であるから、その計算機しか知りえな
い情報、例えばパスワードや計算機の構成情報などで構
成されている。ここでは、パスワードと計算機200の
種類、通信装置201のロット番号を使う。認証データ
作成手順204は、パスワードの入力をユーザに要求
し、正しいパスワードが入力されたなら計算機200の
種類をプロセッサ205内の情報から集め、ロット番号
を通信装置201の情報から集める。集められた情報は
通信装置201の内部メモリに認証用データ203とし
て保存される。
止するための情報であるから、その計算機しか知りえな
い情報、例えばパスワードや計算機の構成情報などで構
成されている。ここでは、パスワードと計算機200の
種類、通信装置201のロット番号を使う。認証データ
作成手順204は、パスワードの入力をユーザに要求
し、正しいパスワードが入力されたなら計算機200の
種類をプロセッサ205内の情報から集め、ロット番号
を通信装置201の情報から集める。集められた情報は
通信装置201の内部メモリに認証用データ203とし
て保存される。
【0048】パケット交換装置100のルーティング手
順10は入出力ポート1−1から入力された認証用パケ
ットを交換用ハードウェアのメモリ13に保存する。こ
の保存された認証用パケットについて認証手順11によ
って認証が行われる。認証に成功すれば、ポート管理手
順9がポート管理テーブル8を参照して、入出力ポート
1−1(ID=1)に対応するフラグの値を”FALS
E”から”TRUE”に変更する。この後、入出力ポー
ト1−1と入出力ポート1−2との間でパケットの通信
が可能になり、計算機200と計算機300との通信が
可能になる。
順10は入出力ポート1−1から入力された認証用パケ
ットを交換用ハードウェアのメモリ13に保存する。こ
の保存された認証用パケットについて認証手順11によ
って認証が行われる。認証に成功すれば、ポート管理手
順9がポート管理テーブル8を参照して、入出力ポート
1−1(ID=1)に対応するフラグの値を”FALS
E”から”TRUE”に変更する。この後、入出力ポー
ト1−1と入出力ポート1−2との間でパケットの通信
が可能になり、計算機200と計算機300との通信が
可能になる。
【0049】次に、通信ケーブル401が入出力ポート
1−1からはずされたときの手順を説明する。
1−1からはずされたときの手順を説明する。
【0050】通信ケーブル401がパケット交換装置1
00の入出力ポート1−1からはずされると、ポート管
理手順9がこれを認識し、ポート管理テーブル8上の、
入出力ポート1−1(ID=1)に対応するフラグの値
を”TRUE”から”FALSE”に変更する。もう一
度認証を行う場合は、通信ケーブル401を再び接続し
なければならない。接続することで、上記で示した手順
により再び計算機200の認証が行われる。
00の入出力ポート1−1からはずされると、ポート管
理手順9がこれを認識し、ポート管理テーブル8上の、
入出力ポート1−1(ID=1)に対応するフラグの値
を”TRUE”から”FALSE”に変更する。もう一
度認証を行う場合は、通信ケーブル401を再び接続し
なければならない。接続することで、上記で示した手順
により再び計算機200の認証が行われる。
【0051】このように本実施形態のパケット交換装置
100によれば、入出力ポート1への計算機への接続時
に、その接続された計算機の認証を行うことができ、許
可を与えられていない計算機による不正なネットワーク
使用を防止することができる。
100によれば、入出力ポート1への計算機への接続時
に、その接続された計算機の認証を行うことができ、許
可を与えられていない計算機による不正なネットワーク
使用を防止することができる。
【0052】次に、本実施形態の変形例として、パケッ
ト交換装置に指紋認証装置を接続し、この指紋認証装置
から認証データを入力して入出力ポートの認証を行う場
合について説明する。
ト交換装置に指紋認証装置を接続し、この指紋認証装置
から認証データを入力して入出力ポートの認証を行う場
合について説明する。
【0053】図9に、指紋認証装置を用いたパケット交
換装置110の構成を示す。なお、図9において、図1
のパケット交換装置100と同一の部分には同一の符号
が付してあり、それらの詳細な説明は省略する。同図に
示すように、この実施形態のパケット交換装置110は
指紋認証装置500を接続するための入力I/F15を
備えている。
換装置110の構成を示す。なお、図9において、図1
のパケット交換装置100と同一の部分には同一の符号
が付してあり、それらの詳細な説明は省略する。同図に
示すように、この実施形態のパケット交換装置110は
指紋認証装置500を接続するための入力I/F15を
備えている。
【0054】認証データテーブル6に認証データを登録
する時、パケット交換装置110に計算機を接続するこ
とが許可されているユーザが指紋認証装置500に自分
の指紋情報を入力する。この結果、指紋認証装置500
によって作られた、指紋のパターンに対応したデータが
認証用データとして認証データテーブル6に登録され
る。
する時、パケット交換装置110に計算機を接続するこ
とが許可されているユーザが指紋認証装置500に自分
の指紋情報を入力する。この結果、指紋認証装置500
によって作られた、指紋のパターンに対応したデータが
認証用データとして認証データテーブル6に登録され
る。
【0055】次に、このパケット交換装置110での、
ある入出力ポート1の認証手順を説明する。
ある入出力ポート1の認証手順を説明する。
【0056】上記のユーザによって計算機の通信装置と
パケット交換装置110の入出力ポート1とが通信ケー
ブルで接続されると、ルーティング手順10は一定時間
この入出力ポート1の認証を行う状態となる。この状態
で、上記のユーザにより、指紋認証装置500を使って
パケット交換装置110に認証用データが入力される
と、認証手順11が、入力された認証用データと認証デ
ータテーブル6に登録されている認証用データとを比較
し、認証を行う。
パケット交換装置110の入出力ポート1とが通信ケー
ブルで接続されると、ルーティング手順10は一定時間
この入出力ポート1の認証を行う状態となる。この状態
で、上記のユーザにより、指紋認証装置500を使って
パケット交換装置110に認証用データが入力される
と、認証手順11が、入力された認証用データと認証デ
ータテーブル6に登録されている認証用データとを比較
し、認証を行う。
【0057】認証に成功すれば、ポート管理手順9がポ
ート管理テーブル8の、当該入出力ポート1のIDに対
応する認証済みフラグの値を”FALSE”から”TR
UE”にする。これにより、この入出力ポート1を経由
するパケットの交換が可能になる。
ート管理テーブル8の、当該入出力ポート1のIDに対
応する認証済みフラグの値を”FALSE”から”TR
UE”にする。これにより、この入出力ポート1を経由
するパケットの交換が可能になる。
【0058】また、一定時間内に認証用データが入力さ
れなければ、或いは入力されても認証データテーブル6
に登録されているどの認証用データとも一致しない場合
は、ポート管理テーブル8の、当該入出力ポート1のI
Dに対応する認証済みフラグを”FALSE”のままと
する。
れなければ、或いは入力されても認証データテーブル6
に登録されているどの認証用データとも一致しない場合
は、ポート管理テーブル8の、当該入出力ポート1のI
Dに対応する認証済みフラグを”FALSE”のままと
する。
【0059】計算機の通信装置がパケット交換装置11
0の入出力ポート1からはずされた場合、ポート管理手
順9がそれを認識し、ポート管理テーブル8上の、当該
入出力ポート1のIDに対応する認証済みフラグの値
を”TRUE”から”FALSE”に変更する。
0の入出力ポート1からはずされた場合、ポート管理手
順9がそれを認識し、ポート管理テーブル8上の、当該
入出力ポート1のIDに対応する認証済みフラグの値
を”TRUE”から”FALSE”に変更する。
【0060】次に、本実施形態の別の変形例として、通
信ケーブルを接続する入出力ポートの認証にネットワー
ク管理者による認証用スイッチの操作を必要とするパケ
ット交換装置を説明する。
信ケーブルを接続する入出力ポートの認証にネットワー
ク管理者による認証用スイッチの操作を必要とするパケ
ット交換装置を説明する。
【0061】図10に、このパケット交換装置の構成を
示す。なお、図10において、図1のパケット交換装置
100と同一の部分には同一の符号が付してあり、それ
らの詳細な説明は省略する。
示す。なお、図10において、図1のパケット交換装置
100と同一の部分には同一の符号が付してあり、それ
らの詳細な説明は省略する。
【0062】この実施形態のパケット交換装置115は
認証用スイッチ130を有している。この認証スイッチ
130は押しボタン式のスイッチのほか、鍵を差し込む
構造のスイッチでもよい。この認証用スイッチ130が
押される間、認証手順11に認証手続きが可能であるこ
とが通知されるようになっている。
認証用スイッチ130を有している。この認証スイッチ
130は押しボタン式のスイッチのほか、鍵を差し込む
構造のスイッチでもよい。この認証用スイッチ130が
押される間、認証手順11に認証手続きが可能であるこ
とが通知されるようになっている。
【0063】ポート管理手順9は、パケット交換装置1
15の起動時にポート管理テーブル8のすべての入出力
ポート1に対する認証済みフラグの値を”FALSE”
に設定する。したがって、パケット交換装置115の起
動直後はすべての入出力ポート1を介するパケット交換
は不可の状態にある。
15の起動時にポート管理テーブル8のすべての入出力
ポート1に対する認証済みフラグの値を”FALSE”
に設定する。したがって、パケット交換装置115の起
動直後はすべての入出力ポート1を介するパケット交換
は不可の状態にある。
【0064】認証手順11は、認証スイッチ130から
認証手続きが可能なことが通知されている間に、ある入
出力ポート1が電気的に通信可能な状態に変化したと
き、その入出力ポート1を認証済みとする。
認証手続きが可能なことが通知されている間に、ある入
出力ポート1が電気的に通信可能な状態に変化したと
き、その入出力ポート1を認証済みとする。
【0065】ルーティング手順10は、ある入出力ポー
ト1からパケットが入力された時、その入出力ポート1
と、ルーティングテーブル4から求められるパケット出
力先の入出力ポート1が認証済みである場合のみパケッ
ト交換を行う。
ト1からパケットが入力された時、その入出力ポート1
と、ルーティングテーブル4から求められるパケット出
力先の入出力ポート1が認証済みである場合のみパケッ
ト交換を行う。
【0066】次に、このパケット交換装置115のある
入出力ポート1に通信装置を通信ケーブルで接続する際
に行われる認証処理について説明する。
入出力ポート1に通信装置を通信ケーブルで接続する際
に行われる認証処理について説明する。
【0067】まず、ユーザがパケット交換装置115の
入出力ポート1を使用することを許可する権利を有する
ネットワーク管理者が認証スイッチ130を押す。この
認証スイッチ130が押される間、認証手順11に認証
を許可する通知が与えられる。認証手順11に認証を許
可する通知が与えられている間に、上記のユーザ等によ
ってパケット交換装置115のある入出力ポート1にそ
のユーザが所有する計算機の通信装置が通信ケーブルで
接続されることでその入出力ポート1が電気的に通信可
能な状態になると、認証手順11はその入出力ポート1
の認証成功を判断し、このことをポート管理手順9に通
知する。
入出力ポート1を使用することを許可する権利を有する
ネットワーク管理者が認証スイッチ130を押す。この
認証スイッチ130が押される間、認証手順11に認証
を許可する通知が与えられる。認証手順11に認証を許
可する通知が与えられている間に、上記のユーザ等によ
ってパケット交換装置115のある入出力ポート1にそ
のユーザが所有する計算機の通信装置が通信ケーブルで
接続されることでその入出力ポート1が電気的に通信可
能な状態になると、認証手順11はその入出力ポート1
の認証成功を判断し、このことをポート管理手順9に通
知する。
【0068】ポート管理手順9は、認証成功の通知を受
けると、その入出力ポート1のIDに対応する認証済み
フラグの値を”FALSE”から”TRUE”に変更す
る。これ以降、この入出力ポート1を介するパケットの
交換が可能になる。
けると、その入出力ポート1のIDに対応する認証済み
フラグの値を”FALSE”から”TRUE”に変更す
る。これ以降、この入出力ポート1を介するパケットの
交換が可能になる。
【0069】通信ケーブルが入出力ポート1からはずさ
れたとき、ポート管理手順9はそれを認識し、ポート管
理テーブル8上のその入出力ポート1のIDに対応する
認証済みフラグの値を”TRUE”から”FALSE”
に変更する。これ以降、もう一度認証するまでは、この
入出力ポート1に関するパケットの交換は不可能にな
る。
れたとき、ポート管理手順9はそれを認識し、ポート管
理テーブル8上のその入出力ポート1のIDに対応する
認証済みフラグの値を”TRUE”から”FALSE”
に変更する。これ以降、もう一度認証するまでは、この
入出力ポート1に関するパケットの交換は不可能にな
る。
【0070】次に、本発明のパケット交換装置をIPル
ータに適用した場合の実施形態を説明する。
ータに適用した場合の実施形態を説明する。
【0071】図11に、本実施形態のパケット交換装置
120の全体的な構成を示す。このパケット交換装置1
20は、入出力ポート21(21−1,21−2,…,
21−N)、交換用ハードウェアを構成するバス22お
よびメモリ33、ルーティングプロセッサ23、ルーテ
ィングテーブル24、ルーティングテーブル管理手順2
5、認証データテーブル26、認証データ管理手順2
7、アドレス管理テーブル28、アドレス管理手順2
9、ルーティング手順30、認証手順31を有してい
る。入出力ポート21には、Ethernetを接続可能であ
る。
120の全体的な構成を示す。このパケット交換装置1
20は、入出力ポート21(21−1,21−2,…,
21−N)、交換用ハードウェアを構成するバス22お
よびメモリ33、ルーティングプロセッサ23、ルーテ
ィングテーブル24、ルーティングテーブル管理手順2
5、認証データテーブル26、認証データ管理手順2
7、アドレス管理テーブル28、アドレス管理手順2
9、ルーティング手順30、認証手順31を有してい
る。入出力ポート21には、Ethernetを接続可能であ
る。
【0072】認証データテーブル26は、Ethernetのア
ドレスと認証用データとの対応を示す表である(図14
を参照)。認証データテーブル26の管理は、認証デー
タ管理手順27によって行われる。このパケット交換装
置120はEthernet以外の入力I/F(シリアルポート
など)32を持ち、ユーザはこの入力I/F32を通じ
て接続された端末機器を用いてEthernetアドレスと認証
用データとの組を入力することができる。認証データ管
理手順27は入力I/F32から入力されたEthernetア
ドレスと認証用データとの組を認証データテーブル26
に登録する。
ドレスと認証用データとの対応を示す表である(図14
を参照)。認証データテーブル26の管理は、認証デー
タ管理手順27によって行われる。このパケット交換装
置120はEthernet以外の入力I/F(シリアルポート
など)32を持ち、ユーザはこの入力I/F32を通じ
て接続された端末機器を用いてEthernetアドレスと認証
用データとの組を入力することができる。認証データ管
理手順27は入力I/F32から入力されたEthernetア
ドレスと認証用データとの組を認証データテーブル26
に登録する。
【0073】アドレス管理テーブル28はアドレスと認
証済みフラグとの対応表である(図15を参照)。アド
レス管理手順29は、パケット交換装置120の起動時
にアドレス管理テーブル28のすべてのアドレスに対す
る認証済みフラグの値を”FALSE”に設定する。ま
た、アドレス管理手順29は、あるアドレスを送信元ア
ドレスとして持つパケットが一定期間パケット交換装置
120に入力されなければ、そのアドレスに対応する認
証済みフラグの値を”FALSE”にし、そのアドレス
を未認証の状態にする。
証済みフラグとの対応表である(図15を参照)。アド
レス管理手順29は、パケット交換装置120の起動時
にアドレス管理テーブル28のすべてのアドレスに対す
る認証済みフラグの値を”FALSE”に設定する。ま
た、アドレス管理手順29は、あるアドレスを送信元ア
ドレスとして持つパケットが一定期間パケット交換装置
120に入力されなければ、そのアドレスに対応する認
証済みフラグの値を”FALSE”にし、そのアドレス
を未認証の状態にする。
【0074】ルーティング手順30は、入力されたIP
パケットのヘッダに含まれる送信元アドレスと送信先ア
ドレスが認証済みならば、そのIPパケットの交換を行
う。以下にルーティング手順30の詳細を示す。
パケットのヘッダに含まれる送信元アドレスと送信先ア
ドレスが認証済みならば、そのIPパケットの交換を行
う。以下にルーティング手順30の詳細を示す。
【0075】入出力ポート21からパケットが入力され
れば、そのパケットを交換用ハードウェアのメモリ33
に保存する。入力されたIPパケットのヘッダから送信
元アドレスを取り出す。そしてアドレス管理テーブル2
8上で、その送信元アドレスの認証済みフラグを調べ
る。認証済みでないなら、入力パケットが認証用パケッ
トかどうか判断する。もしそうなら認証手順31を用い
て認証を行う。
れば、そのパケットを交換用ハードウェアのメモリ33
に保存する。入力されたIPパケットのヘッダから送信
元アドレスを取り出す。そしてアドレス管理テーブル2
8上で、その送信元アドレスの認証済みフラグを調べ
る。認証済みでないなら、入力パケットが認証用パケッ
トかどうか判断する。もしそうなら認証手順31を用い
て認証を行う。
【0076】認証に成功すれば、アドレス管理手順29
でアドレス管理テーブル28上に送信元アドレスを記録
し、その認証済みフラグの値を”TRUE”に変更す
る。認証に失敗した場合はパケットを破棄する。また、
認証用パケットでない場合は、パケット未認証パケット
を作成し、送信元アドレスを基にパケット送信元にパケ
ット未認証パケットを返送し、処理を終える。
でアドレス管理テーブル28上に送信元アドレスを記録
し、その認証済みフラグの値を”TRUE”に変更す
る。認証に失敗した場合はパケットを破棄する。また、
認証用パケットでない場合は、パケット未認証パケット
を作成し、送信元アドレスを基にパケット送信元にパケ
ット未認証パケットを返送し、処理を終える。
【0077】認証済みならば、入力パケットのヘッダか
ら送信元アドレスを取り出す。そしたアドレス管理テー
ブル28上でその送信元アドレスの認証済みフラグを調
べ、このフラグの値が”TRUE”ならパケットを出力
する。また、”FALSE”ならパケットを破棄して、
処理を終える。
ら送信元アドレスを取り出す。そしたアドレス管理テー
ブル28上でその送信元アドレスの認証済みフラグを調
べ、このフラグの値が”TRUE”ならパケットを出力
する。また、”FALSE”ならパケットを破棄して、
処理を終える。
【0078】図12に、認証用パケットのフォーマット
を示す。同図に示すように、認証用パケットは、Ethern
etヘッダ、IPヘッダおよび認証用データから構成され
る。Ethernetヘッダは、宛先アドレス、送信元アドレ
ス,フレーム長で構成される。IPヘッダのプロトコル
フィールドには、このIPパケットが認証用パケットで
あることを示す値がセットされる。ルーティング手順3
0はこの値で入力パケットが認証用パケットであるかど
うかを識別する。
を示す。同図に示すように、認証用パケットは、Ethern
etヘッダ、IPヘッダおよび認証用データから構成され
る。Ethernetヘッダは、宛先アドレス、送信元アドレ
ス,フレーム長で構成される。IPヘッダのプロトコル
フィールドには、このIPパケットが認証用パケットで
あることを示す値がセットされる。ルーティング手順3
0はこの値で入力パケットが認証用パケットであるかど
うかを識別する。
【0079】次に、認証手順31を示す。
【0080】認証用パケットのEthernetヘッダから送信
元アドレスを取り出す。この送信元アドレスは、このパ
ケットを発信した通信装置のアドレスである。前記送信
元アドレスが認証データテーブル26にあれば、その認
証用データを取り出し、送信元アドレスがなければ認証
失敗とする。前記記認証用データと認証用パケットの認
証用データとを比較し、一致すれば認証を成功とする。
異なれば認証を失敗とする。
元アドレスを取り出す。この送信元アドレスは、このパ
ケットを発信した通信装置のアドレスである。前記送信
元アドレスが認証データテーブル26にあれば、その認
証用データを取り出し、送信元アドレスがなければ認証
失敗とする。前記記認証用データと認証用パケットの認
証用データとを比較し、一致すれば認証を成功とする。
異なれば認証を失敗とする。
【0081】次に、図13に示すように、ある計算機2
00が本実施形態のパケット交換装置120であるIP
ルータを介して他のネットワークの計算機300と通信
する際の手順について述べる。
00が本実施形態のパケット交換装置120であるIP
ルータを介して他のネットワークの計算機300と通信
する際の手順について述べる。
【0082】計算機200と計算機300はそれぞれ通
信装置201、301を内蔵している。それぞれの通信
装置201、301は通信ケーブル401、402で既
存のEthernetハブ600、700に接続されるようにな
っており、それぞれのEthernetハブ600、700は通
信ケーブル411、412で本実施形態のパケット交換
装置120であるIPルータに接続されている。また、
通信装置201、301は認証パケットを送信するため
の認証パケット送信手順202、302を持つ。認証パ
ケット送信手順202、302は、通信装置201、3
01が電気的に通信可能な状態になった時点とパケット
未認証パケットを受け取った時点で認証用パケットを出
力する。
信装置201、301を内蔵している。それぞれの通信
装置201、301は通信ケーブル401、402で既
存のEthernetハブ600、700に接続されるようにな
っており、それぞれのEthernetハブ600、700は通
信ケーブル411、412で本実施形態のパケット交換
装置120であるIPルータに接続されている。また、
通信装置201、301は認証パケットを送信するため
の認証パケット送信手順202、302を持つ。認証パ
ケット送信手順202、302は、通信装置201、3
01が電気的に通信可能な状態になった時点とパケット
未認証パケットを受け取った時点で認証用パケットを出
力する。
【0083】パケット交換装置120の認証データテー
ブル26には、既にユーザにより入力I/F32を通じ
て入力された情報が登録されているものとする。図14
にこの時点での認証データテーブル26の内容を示す。
ブル26には、既にユーザにより入力I/F32を通じ
て入力された情報が登録されているものとする。図14
にこの時点での認証データテーブル26の内容を示す。
【0084】さらに、計算機300と通信装置301に
電源が入っており、通信装置301はEthernetアドレス
をもっているものとする。計算機300は、電源が投入
されたときに通信装置301の認証パケット送信手順3
02によってパケット交換装置120に送信された認証
パケットにより、既に認証を済ましてあるものとする。
一方、計算機200はまだ認証が済んでいない状態とす
る。この時点でのパケット交換装置120のアドレス管
理テーブル28の内容を図15に示す。
電源が入っており、通信装置301はEthernetアドレス
をもっているものとする。計算機300は、電源が投入
されたときに通信装置301の認証パケット送信手順3
02によってパケット交換装置120に送信された認証
パケットにより、既に認証を済ましてあるものとする。
一方、計算機200はまだ認証が済んでいない状態とす
る。この時点でのパケット交換装置120のアドレス管
理テーブル28の内容を図15に示す。
【0085】この状態において、計算機200をパケッ
ト交換装置100で認証する手順を説明する。
ト交換装置100で認証する手順を説明する。
【0086】ユーザによって計算機200の通信装置2
01がハブ600を通じてパケット交換装置120の入
出力ポート21−1と接続されると、パケット交換装置
120はその入出力ポート21−1が電気的に通信可能
な状態であることを認識する。
01がハブ600を通じてパケット交換装置120の入
出力ポート21−1と接続されると、パケット交換装置
120はその入出力ポート21−1が電気的に通信可能
な状態であることを認識する。
【0087】この後、通信装置201は認証用パケット
送信手順202により認証パケットを出力する。認証用
パケットの認証用データ203には、計算機の不正使用
を防止するための情報であるから、計算機200しか知
り得ない情報、例えばパスワードや計算機200の構成
情報などが用いられる。ここでは、パスワードと計算機
200の種類、通信装置201のロット番号を使うもの
とする。
送信手順202により認証パケットを出力する。認証用
パケットの認証用データ203には、計算機の不正使用
を防止するための情報であるから、計算機200しか知
り得ない情報、例えばパスワードや計算機200の構成
情報などが用いられる。ここでは、パスワードと計算機
200の種類、通信装置201のロット番号を使うもの
とする。
【0088】パケット交換装置120のルーティング手
順30は、通信装置201から入出力ポート21−1を
通じて送られてきた認証用パケットを受け取ると、その
認証用パケットのヘッダから送信元アドレスをとりだ
し、さらに認証用パケットから認証用データをとりだ
す。そしてこれら送信元アドレスと認証用データについ
て認証手順31によって認証を行う。
順30は、通信装置201から入出力ポート21−1を
通じて送られてきた認証用パケットを受け取ると、その
認証用パケットのヘッダから送信元アドレスをとりだ
し、さらに認証用パケットから認証用データをとりだ
す。そしてこれら送信元アドレスと認証用データについ
て認証手順31によって認証を行う。
【0089】認証に成功すれば、アドレス管理手順29
がアドレス管理テーブル28を参照して、通信装置20
1のアドレスに対する認証済みフラグの値を”TRU
E”に変更する。これにより、通信装置201と通信装
置301間のパケットの交換が可能になり、計算機20
0と計算機300は通信を行うことできる。認証が失敗
すれば、以降計算機200、300どうしは通信を行う
ことができない。
がアドレス管理テーブル28を参照して、通信装置20
1のアドレスに対する認証済みフラグの値を”TRU
E”に変更する。これにより、通信装置201と通信装
置301間のパケットの交換が可能になり、計算機20
0と計算機300は通信を行うことできる。認証が失敗
すれば、以降計算機200、300どうしは通信を行う
ことができない。
【0090】次に、通信装置201がしばらく通信を行
わない場合の処理について述べる。通信装置201がし
ばらく通信を行わないと、パケット交換装置120のア
ドレス管理手順29がそれを検知し、アドレス管理テー
ブル28上の、通信装置201のアドレスに対する認証
済みフラグの値を”FALSE”に変更する。これによ
り、通信装置201はパケット交換装置120を介して
通信を行うことができなくなる。
わない場合の処理について述べる。通信装置201がし
ばらく通信を行わないと、パケット交換装置120のア
ドレス管理手順29がそれを検知し、アドレス管理テー
ブル28上の、通信装置201のアドレスに対する認証
済みフラグの値を”FALSE”に変更する。これによ
り、通信装置201はパケット交換装置120を介して
通信を行うことができなくなる。
【0091】通信装置201が再び通信を行うためにパ
ケット交換装置120にIPパケットを送っても、パケ
ット交換装置120においては通信装置201の認証が
成立していないので、パケット交換装置120から通信
装置201にパケット未認証通知パケットが送られる。
通信装置201は、パケット未認証通知パケットを受け
取ると、再び認証用パケットを生成し、出力する。これ
によってパケット交換装置120で再び通信装置201
の認証が行われ、通信装置201はパケット交換装置1
20を介した通信を行うことができるようになる。
ケット交換装置120にIPパケットを送っても、パケ
ット交換装置120においては通信装置201の認証が
成立していないので、パケット交換装置120から通信
装置201にパケット未認証通知パケットが送られる。
通信装置201は、パケット未認証通知パケットを受け
取ると、再び認証用パケットを生成し、出力する。これ
によってパケット交換装置120で再び通信装置201
の認証が行われ、通信装置201はパケット交換装置1
20を介した通信を行うことができるようになる。
【0092】図16にパケット未認証通知パケットの構
成を示す。同図に示すように、パケット未認証通知パケ
ットは、EthernetヘッダとIPヘッダから構成される。
IPヘッダのプロトコルフィールドには、このIPパケ
ットがパケット未認証通知パケットであることを示す値
がセットされる。ルーティング手順30は、この値でパ
ケット未認証通知パケットを識別することができる。
成を示す。同図に示すように、パケット未認証通知パケ
ットは、EthernetヘッダとIPヘッダから構成される。
IPヘッダのプロトコルフィールドには、このIPパケ
ットがパケット未認証通知パケットであることを示す値
がセットされる。ルーティング手順30は、この値でパ
ケット未認証通知パケットを識別することができる。
【0093】
【発明の効果】以上説明したように、本発明によれば、
入出力ポートに装置が接続されたとき、その接続された
装置の認証を行い、認証に成功した装置のみパケットの
交換を行うことを許すことで、許可を与えられていない
計算機等によるネットワークの不正使用を防止すること
が可能になるなど、セキュリティの向上を図ることがで
きる。
入出力ポートに装置が接続されたとき、その接続された
装置の認証を行い、認証に成功した装置のみパケットの
交換を行うことを許すことで、許可を与えられていない
計算機等によるネットワークの不正使用を防止すること
が可能になるなど、セキュリティの向上を図ることがで
きる。
【図1】本発明の一実施形態に係るパケット交換装置で
あるEthernetスイッチングハブの構成を示す図
あるEthernetスイッチングハブの構成を示す図
【図2】図1のパケット交換装置で用いられる認証用パ
ケットのフォーマットを示す図
ケットのフォーマットを示す図
【図3】図1のパケット交換装置と複数計算機により構
成されるネットワークシステムの構成を示す図
成されるネットワークシステムの構成を示す図
【図4】認証データテーブルの例を示す図
【図5】ポート管理テーブルの例を示す図
【図6】ルーティング手順を示す流れ図
【図7】認証手順を示す流れ図
【図8】認証データの送信の手順を示す流れ図
【図9】指紋認証装置を用いたパケット交換装置の構成
を示す図
を示す図
【図10】認証用スイッチを用いたパケット交換装置の
構成を示す図
構成を示す図
【図11】本発明の他の実施形態に係るパケット交換装
置であるIPルータの構成を示す図
置であるIPルータの構成を示す図
【図12】図11のパケット交換装置で用いられる認証
用パケットのフォーマットを示す図
用パケットのフォーマットを示す図
【図13】図11のパケット交換装置と複数計算機によ
り構成されるネットワークシステムの構成を示す図
り構成されるネットワークシステムの構成を示す図
【図14】認証データテーブルの例を示す図
【図15】アドレス管理テーブルの例を示す図
【図16】パケット未認証通知パケットの構成を示す図
【図17】従来のパケット交換装置の構成を示す図
100,110,115,120…パケット交換装置 130…認証用スイッチ 200,300…計算機 201,301…通信装置 202,302…認証パケット送信手順 203…認証用データ 204…認証データ作成手順 205…プロセッサ 401,402,411、412…通信ケーブル 500…指紋認証装置 600、700…Ethernetハブ 1,21…入出力ポート 2,22…バス 3,23…ルーティングプロセッサ 4,24…ルーティングテーブル 5,25…ルーティングテーブル管理手順 6,26…認証データテーブル 7,27…認証データ管理手順 8…ポート管理テーブル 9…ポート管理手順 10,30…ルーティング手順 11,31…認証手順 12,32…入力I/F 13,33…メモリ 15…指紋認証装置接続用の入力I/F 28…アドレス管理テーブル 29…アドレス管理手順
フロントページの続き Fターム(参考) 5B089 GA31 GA32 GA34 HA06 HB02 KA17 KB06 KB13 KC15 KC58 5K030 GA15 HA08 HD03 HD06 HD09 JT02 KA04 KA13 LB02 LC16 LD19 5K033 AA08 BA04 CB01 CC01 DA01 DB17 DB20 EA07 EC01 EC03 9A001 BB04 CC04 LL03
Claims (22)
- 【請求項1】 複数の装置間でパケットの交換を行うパ
ケット交換装置において、 前記装置が接続される入出力ポートと、 この入出力ポートに接続された前記装置の認証を行う認
証手段とを備え、 前記認証手段により得られた認証結果に基づいてパケッ
ト交換を行うことを特徴とするパケット交換装置。 - 【請求項2】 前記認証手段は、 認証用データを記憶する認証データ記憶手段と、 前記入出力ポートを通じて前記装置から入力された認証
用データと前記認証データ記憶手段に記憶された認証用
データとを比較し、この比較結果に基づいて認証の成否
を判定する認証判定手段とを有することを特徴とする請
求項1記載のパケット交換装置。 - 【請求項3】 前記認証手段が、 装置のアドレス情報と認証用データとの組を記憶する認
証データ記憶手段と、 前記入出力ポートを通じて前記装置から自装置のアドレ
ス情報と認証用データを含むパケットが入力されたと
き、前記認証データ記憶手段に記憶された、前記入力パ
ケット内のアドレス情報に対応する認証用データと前記
入力パケット内の認証用データとを比較し、この比較結
果に基づいて認証の成否を判定する認証判定手段とを有
することを特徴とする請求項1記載のパケット交換装
置。 - 【請求項4】 前記認証手段が、 管理者からの認証許可通知を入力する認証許可通知入力
手段と、 前記認証許可通知入力手段により認証許可通知が入力さ
れている時に前記入出力ポートへの接続が行われた装置
を認証が成功した装置として判定する認証判定手段とを
具備することを特徴とする請求項1記載のパケット交換
装置。 - 【請求項5】 前記認証手段が、 認証用データを記憶する認証データ記憶手段と、 認証用データを入力する装置とのインターフェース手段
と、 前記インターフェース手段により入力された認証用デー
タと前記認証データ記憶手段に記憶された認証用データ
とを比較し、この比較結果に基づいて認証の成否を判定
する認証判定手段とを有することを特徴とする請求項1
記載のパケット交換装置。 - 【請求項6】 前記認証手段が、個々の入出力ポート毎
に認証の結果を管理することを特徴とする請求項1ない
し5記載のいずれかのパケット交換装置。 - 【請求項7】 前記認証手段が、前記装置のアドレス毎
に認証の結果を管理することを特徴とする請求項1ない
し5記載のいずれかのパケット交換装置。 - 【請求項8】 前記認証データ記憶手段に記憶されるデ
ータを入力するインターフェース手段をさらに有するこ
とを特徴とする請求項1ないし3記載のいずれかのパケ
ット交換装置。 - 【請求項9】 一定時間パケットの入出力が行われなか
った装置の認証を解除する認証解除手段をさらに有する
ことを特徴とする請求項1ないし5記載のいずれかのパ
ケット交換装置。 - 【請求項10】 認証済みでない装置からパケットが入
力されたときは、パケット未認証通知パケットを前記装
置に送信する未認証通知パケット送信手段をさらに有す
ることを特徴とする請求項1ないし5記載のいずれかの
パケット交換装置。 - 【請求項11】 認証用データを含む認証用パケットを
生成する認証用パケット生成手段と、この認証用パケッ
ト生成手段により生成された認証用パケットを送信する
認証用パケット送信手段とを有する通信装置と、 前記通信装置から送信された認証用パケットに含まれる
認証用データに基づいて前記通信装置の認証を行う認証
手段を有し、この認証手段による認証結果に基づいてパ
ケット交換を行うパケット交換装置とを具備することを
特徴とするネットワークシステム。 - 【請求項12】 前記通信装置から送信される認証用パ
ケットが前記通信装置のアドレス情報を含んでおり、 前記パケット交換装置の前記認証手段は、前記通信装置
のアドレス情報と認証用データとの組を記憶する認証デ
ータ記憶手段と、前記通信装置から送信された認証用パ
ケットに含まれるアドレス情報に対応する、前記認証デ
ータ記憶手段に記憶された認証用データと前記通信装置
から送信された認証用パケットに含まれる認証用データ
とを比較して前記通信装置の認証を行うことを特徴とす
る請求項11記載のネットワークシステム。 - 【請求項13】 前記パケット交換装置は、未認証の通
信装置から前記認証用パケット以外のパケットが受信し
たとき、パケット未認証通知パケットを前記通信装置に
送信する未認証通知パケット送信手段を有し、 前記通信装置は前記パケット未認証通知パケットを受信
したとき、前記認証用パケット生成手段により認証用パ
ケットを生成し、この生成された認証用パケットを前記
認証用パケット送信手段により送信することを特徴とす
る請求項11記載のネットワークシステム。 - 【請求項14】 複数の装置間でパケットの交換を行う
方法において、 入出力ポートに接続された前記装置の認証を行い、この
認証結果に基づいてパケット交換を行うことを特徴とす
るパケット交換方法。 - 【請求項15】 認証用データを予め記憶しておき、前
記入出力ポートに接続された前記装置から入力された認
証用データと前記予め記憶された認証用データとを比較
して、前記入出力ポートに接続された装置の認証を行う
ことを特徴とする請求項14記載のパケット交換方法。 - 【請求項16】 装置のアドレス情報と認証用データと
の組を予め記憶しておき、前記入出力ポートに接続され
た前記装置から自装置のアドレス情報と認証用データを
含むパケットが入力されたとき、前記入力パケット内の
アドレス情報に対応する前記予め記憶された認証用デー
タと前記入力パケット内の認証用データとを比較して、
前記入出力ポートに接続された装置の認証を行うことを
ことを特徴とする請求項14記載のパケット交換方法。 - 【請求項17】 管理者からの認証許可通知が入力され
ている時に前記入出力ポートへの接続が行われた装置を
認証が成功した装置として判定することを特徴とする請
求項14記載のパケット交換方法。 - 【請求項18】 認証用データを予め記憶しておき、認
証用データを入力する装置を使って入力された認証用デ
ータと前記予め記憶された認証用データとを比較して、
前記入出力ポートに接続された装置の認証を行うことを
ことを特徴とする請求項14記載のパケット交換方法。 - 【請求項19】 個々の入出力ポート毎に認証の結果を
管理することを特徴とする請求項14ないし18記載の
いずれかのパケット交換方法。 - 【請求項20】 前記装置のアドレス毎に認証の結果を
管理することを特徴とする請求項14ないし18記載の
いずれかのパケット交換方法。 - 【請求項21】 一定時間パケットの入出力が行われな
かった装置の認証を解除することを特徴とする請求項1
4ないし18記載のいずれかのパケット交換方法。 - 【請求項22】 認証済みでない装置からパケットが入
力されたときは、パケット未認証通知パケットを前記装
置に送信することを特徴とする請求項14ないし18記
載のいずれかのパケット交換方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP37135799A JP2001186186A (ja) | 1999-12-27 | 1999-12-27 | パケット交換装置、ネットワークシステム、およびパケット交換方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP37135799A JP2001186186A (ja) | 1999-12-27 | 1999-12-27 | パケット交換装置、ネットワークシステム、およびパケット交換方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2001186186A true JP2001186186A (ja) | 2001-07-06 |
Family
ID=18498575
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP37135799A Withdrawn JP2001186186A (ja) | 1999-12-27 | 1999-12-27 | パケット交換装置、ネットワークシステム、およびパケット交換方法 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2001186186A (ja) |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2006053923A (ja) * | 2004-08-11 | 2006-02-23 | Avaya Technology Corp | ネットワーク・アクセスを制御するシステムおよび方法 |
| CN1297104C (zh) * | 2002-12-04 | 2007-01-24 | 华为技术有限公司 | 实现基于端口认证和基于传输层认证兼容的方法 |
| WO2008065341A2 (en) | 2006-12-01 | 2008-06-05 | David Irvine | Distributed network system |
| JP2010081187A (ja) * | 2008-09-25 | 2010-04-08 | Japan Radio Co Ltd | Ipネットワーク装置及びipネットワークシステム |
| JP2010251928A (ja) * | 2009-04-13 | 2010-11-04 | Fujitsu Ltd | ネットワーク接続装置及びスイッチング回路装置、並びにアドレス学習処理方法 |
| JP2011248593A (ja) * | 2010-05-26 | 2011-12-08 | Dainippon Printing Co Ltd | 認証処理装置、認証処理方法、認証処理プログラム、処理システム、及び現金自動預け払い機 |
| JP2011248594A (ja) * | 2010-05-26 | 2011-12-08 | Dainippon Printing Co Ltd | 認証処理装置、認証処理方法、認証処理プログラム、処理システム、及び現金自動預け払い機 |
| JP2012049588A (ja) * | 2010-08-24 | 2012-03-08 | Buffalo Inc | ネットワーク中継装置 |
| WO2019220632A1 (ja) * | 2018-05-18 | 2019-11-21 | 三菱電機株式会社 | 中継装置及び通信システム |
-
1999
- 1999-12-27 JP JP37135799A patent/JP2001186186A/ja not_active Withdrawn
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1297104C (zh) * | 2002-12-04 | 2007-01-24 | 华为技术有限公司 | 实现基于端口认证和基于传输层认证兼容的方法 |
| JP2006053923A (ja) * | 2004-08-11 | 2006-02-23 | Avaya Technology Corp | ネットワーク・アクセスを制御するシステムおよび方法 |
| WO2008065341A2 (en) | 2006-12-01 | 2008-06-05 | David Irvine | Distributed network system |
| EP2472430A1 (en) | 2006-12-01 | 2012-07-04 | David Irvine | Self encryption |
| JP2010081187A (ja) * | 2008-09-25 | 2010-04-08 | Japan Radio Co Ltd | Ipネットワーク装置及びipネットワークシステム |
| JP2010251928A (ja) * | 2009-04-13 | 2010-11-04 | Fujitsu Ltd | ネットワーク接続装置及びスイッチング回路装置、並びにアドレス学習処理方法 |
| US8559430B2 (en) | 2009-04-13 | 2013-10-15 | Fujitsu Limited | Network connection device, switching circuit device, and method for learning address |
| JP2011248593A (ja) * | 2010-05-26 | 2011-12-08 | Dainippon Printing Co Ltd | 認証処理装置、認証処理方法、認証処理プログラム、処理システム、及び現金自動預け払い機 |
| JP2011248594A (ja) * | 2010-05-26 | 2011-12-08 | Dainippon Printing Co Ltd | 認証処理装置、認証処理方法、認証処理プログラム、処理システム、及び現金自動預け払い機 |
| JP2012049588A (ja) * | 2010-08-24 | 2012-03-08 | Buffalo Inc | ネットワーク中継装置 |
| WO2019220632A1 (ja) * | 2018-05-18 | 2019-11-21 | 三菱電機株式会社 | 中継装置及び通信システム |
| US11870777B2 (en) | 2018-05-18 | 2024-01-09 | Mitsubishi Electric Corporation | Relay device and communication system |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN100591011C (zh) | 一种认证方法及系统 | |
| JP3844762B2 (ja) | Eponにおける認証方法及び認証装置 | |
| US8627417B2 (en) | Login administration method and server | |
| EP1670188A2 (en) | Methods and systems for connection determination in a multi-point virtual private network | |
| CN100574237C (zh) | 代理接入方法、控制网络设备以及代理接入系统 | |
| JP2002373153A (ja) | バイオメトリック認証されるvlan | |
| US20070118740A1 (en) | Authentication method and information processor | |
| US20060161770A1 (en) | Network apparatus and program | |
| JP2007280221A (ja) | 認証ネットワークシステム | |
| US20040010713A1 (en) | EAP telecommunication protocol extension | |
| US20070234054A1 (en) | System and method of network equipment remote access authentication in a communications network | |
| CN112491829B (zh) | 基于5g核心网和区块链的mec平台身份认证方法及装置 | |
| JP2001186186A (ja) | パケット交換装置、ネットワークシステム、およびパケット交換方法 | |
| WO2024012318A1 (zh) | 设备接入方法、系统以及非易失性计算机存储介质 | |
| JP2010062667A (ja) | ネットワーク機器及びネットワークシステム | |
| JPH11187016A (ja) | ネットワーク認証システム | |
| JPH11161618A (ja) | 移動計算機管理装置、移動計算機装置及び移動計算機登録方法 | |
| CN101616087A (zh) | 关联至安全设备的路由器 | |
| US8607058B2 (en) | Port access control in a shared link environment | |
| CN1771711B (zh) | 用于网络设备内的本地团体表示的安全分布系统 | |
| CN115348112B (zh) | 一种局域网交换设备接入认证与可信组网的方法 | |
| CN114338777B (zh) | 一种逃生控制方法及装置 | |
| CN112261055B (zh) | 一种实时数据定向推送的方法、系统及其网关设备 | |
| JP2003087332A (ja) | 中継接続方式およびネットワークレベル認証サーバおよびゲートウェイ装置および情報サーバおよびプログラム | |
| CN115580421A (zh) | 一种基于互联网的分布式身份验证方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A300 | Application deemed to be withdrawn because no request for examination was validly filed |
Free format text: JAPANESE INTERMEDIATE CODE: A300 Effective date: 20070306 |