JP2005286558A - 端末認証システム - Google Patents

端末認証システム Download PDF

Info

Publication number
JP2005286558A
JP2005286558A JP2004095656A JP2004095656A JP2005286558A JP 2005286558 A JP2005286558 A JP 2005286558A JP 2004095656 A JP2004095656 A JP 2004095656A JP 2004095656 A JP2004095656 A JP 2004095656A JP 2005286558 A JP2005286558 A JP 2005286558A
Authority
JP
Japan
Prior art keywords
terminal
authentication
server
address
relay device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2004095656A
Other languages
English (en)
Inventor
Tomoiwa Tatsumi
知厳 巽
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Cable Ltd
Original Assignee
Hitachi Cable Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Cable Ltd filed Critical Hitachi Cable Ltd
Priority to JP2004095656A priority Critical patent/JP2005286558A/ja
Publication of JP2005286558A publication Critical patent/JP2005286558A/ja
Pending legal-status Critical Current

Links

Images

Landscapes

  • Small-Scale Networks (AREA)

Abstract

【課題】 端末が新規なハードウェアであっても認証の手続きが可能な認証システムを提供する。
【解決手段】 ユーザを特定するための認証ワードが登録されているRADIUSサーバ4をネットワーク中に設け、このネットワークに対してフレーム中継を行う中継装置2に認証用DHCPサーバ2bを設けておき、この中継装置2に物理的に接続された端末1がDHCPによりIPアドレスを要求したとき、前記認証用DHCPサーバ2bから暫定IPアドレスを付与することにより、前記中継装置2と前記端末1との間でのみ通信可能な閉じた認証用サブネットを形成し、前記中継装置2が前記端末1から入力された認証ワードを前記RADIUSサーバ4に問い合わせ、このRADIUSサーバ4より認証が得られたとき、前記端末1から前記ネットワークへの通信を許容する。
【選択図】 図1

Description

本発明は、ネットワークに物理的に接続された端末に対して論理的な接続を許容する認証システムに係り、特に、端末が新規なハードウェアであっても認証の手続きが可能な認証システムに関するものである。
ダイナミック仮想LAN(DVLAN)機能は、端末がネットワークのどの中継装置に物理的に接続しても、その端末が同じサブネットに論理的に接続できる機能である。
このDVLAN機能は次のように実現される。端末とその端末が属する仮想LANグループの識別番号(VID)との対応関係が予めDVLANサーバに設定してあり、スイッチ等の中継装置は、当該中継装置の仮想LANの設定可能なポート(DVLANポート)に接続する端末を検出すると、DVLANサーバに問い合わせを行い、その問い合わせに対するDVLANサーバからの応答を得て、その結果が肯定的であれば、前記VLANポートを所定のVIDに設定し、GVRP(GARP VLAN Registration Protocol)によりバックボーン(中継装置が接続されているネットワーク)にそのVLANを通知する。
例えば、図4において、スイッチ52のポート#4はVID未設定のDVLANポートである。端末51のMACアドレスは“MAC1”である。スイッチ52には、ポート番号と当該ポートの状態や設定内容とが対応付けて記憶されている。その記憶内容がテーブル53に示してある。この例では、ポート#1はダウンしており、ポート#4はVID未設定であり、ポート#sはバックボーンポートである。一方、DVLANサーバ54にはMACアドレスとVIDとの対応が記憶されている。その記憶内容がテーブル55に示してある。この例では、“MAC1”の端末に設定されているVIDは“VID−1”、“MAC2”の端末に設定されているVIDは“VID−2”、…である。
上記端末51をVID未設定のDVLANポートであるポート#4に接続した場合、まず、図中の丸数字1で示すように(以下、単に(丸1),(丸2)…と記す)、(丸1)端末51より送信元MACアドレスが“MAC1”のフレームが送信される。(丸2)スイッチ52は、MACアドレスが“MAC1”である端末PC1のVIDをSNMP(Simple Network Nanagement Protocol)によりDVLANサーバ54に問い合わせる。(丸3)スイッチ52は、DVLANサーバ54が応答した内容から端末51のVIDが“VID−1”であることを認識し、端末51が接続されているDVLANポートのVIDを“VID−1”に設定する。(丸4)スイッチ52は、GVRPによってバックボーンのVLAN情報を更新する。
また、図5において、スイッチ52のポート#4は既にVIDが設定されているDVLANポートである。端末51のMACアドレスは“MAC1”、端末56のMACアドレスは“MAC2”である。スイッチ52のテーブル53には、ポート#1はダウンし、ポート#4は“VID−1”に設定され、ポート#sはバックボーンポートであることが記憶されている。DVLANサーバ54のテーブル55には、“MAC1”の端末に設定されているVIDは“VID−1”、“MAC2”の端末に設定されているVIDは“VID−2”、…という対応関係が記憶されている。そして、端末51は集線装置(HUB)57を介してポート#4に接続されている。この集線装置57に新たな端末56が接続されたとする。
このように既にVIDが設定されているDVLANポートに、異なるVLANグループに所属する端末が送信したフレームが受信された場合、所定時間、そのポートがディセーブルされる。即ち、(丸1)集線装置57が接続されているポート#4が“VID−1”に設定されている状態で端末56より送信元MACアドレスが“MAC2”のフレームが送信される。(丸2)スイッチ52は、MACアドレスが“MAC2”である端末56のVIDをSNMPによりDVLANサーバに問い合わせる。(丸3)スイッチ52は、DVLANサーバが応答した内容から端末56のVIDが“VID−2”であることを認識し、ポート#4は“VID−1”に設定されているので、ポート#4を10秒間ディセーブル(図中ではロックと表記)にする。
以上のように、DVLANサーバ54にひとつひとつの端末固有のMACアドレスを登録しておき、端末がネットワークに接続されると、その接続ポートを提供した中継装置52がDVLANサーバ54に対して認証の手続きを行うことで、端末がVLANに接続することができる。
特開2000−59393号公報
上記従来の技術では、MACアドレスを根拠にして認証が行われるよう、DVLANサーバにMACアドレスが登録されているが、このためには認証の対象になるであろう端末の全てのMACアドレスをDVLANサーバに予め登録しておかなければならない。しかし、認証の対象になるかもしれないMACアドレスを前もって登録することは不可能である。例えば、ユーザがパソコンの買い替えなどにより端末を変更した場合、この新しい端末のMACアドレスがDVLANサーバに既に登録されていることは有り得ない。従って、この新しい端末をネットワークに接続すると、認証の手続きに際して既登録のMACアドレスが見付からず、認証は否定される。認証が否定されないためには、ユーザが端末を変更する都度、DVLANサーバにMACアドレスを登録しなければならず、ユーザやDVLANサーバの管理者に余計な負担がかかるという欠点がある。
以上の問題点をまとめると、次のようになる。
(1)新規なハードウェア(新製品など)が端末として使われると、認証ができない。
(2)一つの端末には固定の一つのVID(VLAN情報)が割り振られ、同じ端末を使用するユーザによってVIDが変化しない。
(3)DVLANサーバ54とスイッチ52との間のプロトコルにSNMPを使用しているため、パスワードの暗号化がなされない。
そこで、本発明の目的は、上記課題を解決し、端末が新規なハードウェアであっても認証の手続きが可能な認証システムを提供することにある。
上記目的を達成するために本発明は、ユーザを特定するための認証ワードが登録されているRADIUSサーバをネットワーク中に設け、このネットワークに対してフレーム中継を行う中継装置に認証用DHCPサーバを設けておき、この中継装置に物理的に接続された端末がDHCPによりIPアドレスを要求したとき、前記認証用DHCPサーバから暫定IPアドレスを付与することにより、前記中継装置と前記端末との間でのみ通信可能な閉じた認証用サブネットを形成し、前記中継装置が前記端末から入力された認証ワードを前記RADIUSサーバに問い合わせ、このRADIUSサーバより認証が得られたとき、前記端末から前記ネットワークへの通信を許容するものである。
前記中継装置に認証用WEBサーバを設けておき、この認証用WEBサーバが前記端末より送信されたHTTPパケットを傍受したとき、認証ワードを入力するための認証用WEBページを前記端末に送信してもよい。
前記RADIUSサーバは、ユーザ毎のVLAN情報が登録されており、前記端末を認証したときにそのユーザのVLAN情報を前記中継装置に通知し、前記中継装置は、通知されたVLAN情報により前記端末が接続されているポートをVLAN設定してもよい。
前記中継装置は、前記端末がログイン時に所定プロトコルのサーバを参照する場合には、前記認証用サブネット外への通信を許容してもよい。
本発明は次の如き優れた効果を発揮する。
(1)端末が新規なハードウェアであっても認証の手続きが可能になり、ユーザがパソコンの買い替えなどにより端末を変更した場合でも、変更前の端末で使用していたユーザ名やパスワードを用いて認証を受けることができる。
以下、本発明の一実施形態を添付図面に基づいて詳述する。
図1に示した本発明に係る端末認証システムにおいて、認証の対象となる端末1はDHCPクライアントである。この端末1がスイッチングハブ(HSW)2に接続されたとき、本発明に係る認証の手順が開始される。この手順において、これから認証を受けようとする端末1を未認証端末1と呼び、未認証端末1とスイッチングハブ2との間で暫定的に形成される閉じたネットワークを認証用サブネット3と呼ぶ。スイッチングハブ2は、パケットの中継を行う従来より知られているスイッチングハブであると共に、本発明に係る認証用WEBサーバ2aと認証用DHCPサーバ2bとを搭載している。
このスイッチングハブ2はルータRに接続され、ルータRには、RADIUSサーバ4、DNSサーバ5、DHCPサーバ6、ドメインコントローラ7、他のスイッチングハブ(HSW)8などが接続されて、バックボーンとなるネットワークが形成されている。ルータRは、ネットワーク上の各機器からのパケットをルーティングするもので、これから言及する本発明の動作に直接的には影響を与えない。
認証用WEBサーバ2aは、未認証端末1からのHTTP(Hyper Text Transfer Protocol)パケットをスヌーピング(Snooping;吸い上げる)する機能と、未認証端末1に対して認証用WEBページを送信する機能と、未認証端末1において認証用WEBページに入力された認証ワードを受信する機能とを有する。
認証用DHCPサーバ2bは、未認証端末1からのIPアドレスを要求するDHCPパケットを受信したとき、正式なDHCPサーバ6に代わって未認証端末1に対して暫定的なIPアドレス(暫定IPアドレスという)を提供する機能と、その暫定IPアドレスの有効期限を管理する機能とを有する。
RADIUS(Remote Authentication Dial in User Service)サーバ4は、一種のデータベースであり、認証ワード(例えば、ユーザ名とパスワード)を管理し、その認証結果やユーザ名に対応した種々の情報(例えば、VID)を記憶する。本発明においては、RADIUSサーバ4は、スイッチングハブ2からの認証ワードによる問い合わせに対して、データベースから当該認証ワードを検索して許可/不許可の判定を行い、その認証結果及び認証されたVIDをスイッチングハブ2に応答する機能を有する。従来技術においてDVLANサーバが担っていたDVLAN機能は、RADIUSサーバ4により実現される。
DNS(Domain Name System)サーバ5は、TCP/IPのネットワークにおいてIPアドレスとホスト名とを対応させたテーブルを管理し、要求されたホスト名に対応するIPアドレスを応答することができる。
DHCP(Dynamic Host Configration Protocol)サーバ6は、IPアドレスを動的にDHCPクライアントに配付するもので、本発明に係る認証の手順には関与しないが、認証済み端末からの要求に対しては正式なIPアドレスを提供することができる。
ドメインコントローラ7は、ウインドゥズ(登録商標)の規格に従うウインドゥズネットワークを管理するもので、本発明に係る認証の手順には関与しないが、未認証端末1からのウインドゥズネットワークに関する参照要求に対しては応答する。
他のスイッチングハブ8においても、スイッチングハブ2と同様に認証用サブネットが形成できることは言うまでもない。
図1の端末認証システムでは、未認証端末1よりRADIUSサーバ4へ認証の根拠となる認証ワードを提出し、RADIUSサーバ4が認証ワードを検証して認証を行う。認証ワードは、ハードウェアに依存しないデータであって予めユーザ毎に登録されたものである。例えば、認証ワードとして登録時にユーザが任意に定義したユーザ名及びパスワードの2語を用いるとよい。
また、図1の端末認証システムでは、上記した「ユーザ名とパスワード」による認証の他に、認証ワードとハードウェア固有のデータとを併用した「ユーザ名とパスワードとMACアドレス」による認証、及びハードウェア固有のデータのみで行う「MACアドレス」による認証の3通りを選択することができる。以下では、認証に使用するデータ別に認証の手順を説明する。
1)ユーザ名とパスワードを使用する場合(図2参照)
まず、第1のステップ21は、端末1が電源をオンしてスイッチングハブ2に接続するステップである。ネットワークへの正式な接続(認証された接続)を希望する新たな端末1がスイッチングハブ2の任意のポートに物理的に接続され、かつその端末の電源がオンされたときから、この新規に接続された端末1は、このネットワークにおける未認証端末1となる。
第2のステップ22は、未認証端末1がIPアドレスを要求するステップである。未認証端末1は、DHCPサーバ6に対して自身のIPアドレスの付与を要求するDHCPパケットを送信する。
第3のステップ23は、認証用DHCPサーバ2bが未認証端末1に暫定IPアドレスを付与するステップである。スイッチングハブ2内の認証用DHCPサーバ2bは、未認証端末1が送信したDHCPパケットを受信すると、未認証端末1に対して暫定IPアドレスを格納した応答パケットを送信する。これにより、未認証端末1は暫定IPアドレスが付与され、その後、この暫定IPアドレスを自アドレスとしてスイッチングハブ2との通信を行うことができる。即ち、未認証端末1とこの未認証端末1が接続されているスイッチングハブ2のポートとの間で認証用サブネット3が形成される。ただし、上記暫定IPアドレスには有効期限があり、この有効期限は認証用DHCPサーバ2bによって管理される。
このように、暫定IPアドレス及び認証用サブネット3は、認証用WEBサーバ2aと認証される端末(未認証端末1)との間の通信のために設けられる。また、未認証端末1が認証されると、VID(VLAN)情報が変更され、その変更に伴い端末1の属するサブネットも変更される。そのため、認証前には暫定IPアドレスを一時的に付与しておき、認証後に、変更されたサブネットに属するIPを割り当てることになる。
スイッチングハブ2は、未認証端末1に対するデフォルトゲートウェイ及びDNSの設定を行う。図示例では、デフォルトゲートウェイはルータRであり、DNSはDNSサーバ5であるから、スイッチングハブ2には、未認証端末1の暫定IPアドレスとルータRのIPアドレスとDNSサーバ5のIPアドレスとを対応付けたテーブルが作成される。
第4のステップ24は、特定のパケットの通過を設定するステップである。未認証端末1にユーザがログインする際に、ドメインコントローラ7やユニックス(登録商標)におけるユーザ名とパスワードとを管理するNIS(Network Information Service)サーバ(図示せず)を参照する必要がある場合がある。このような場合に備えて、予めスイッチングハブ2は、未認証端末1から受信したパケットの宛先がドメインコントローラ7又はNISサーバであればそのパケットをルータRに中継するよう、自身に設定をしておく。これにより、その後、未認証端末1が送信したドメインコントローラ7やNISサーバの宛先を含むパケットは、宛先が認証用サブネット3外にあるにもかかわらず、その宛先へ中継されるようになる。従って、ログインに際して未認証端末1よりドメインコントローラ7やNISサーバを参照することが可能となる。
第5のステップ25は、未認証端末1より認証ワードを提出するステップである。ユーザ名とパスワードによる認証を行う場合は、ユーザが未認証端末1においてブラウザを立ち上げる。未認証端末1は、ブラウザの中で適宜なWEBサーバに宛ててHTTPパケットを送信する。このHTTPパケットがスイッチングハブ2に到着したとき、スイッチングハブ2内の認証用WEBサーバ2aは、この未認証端末1からのHTTPパケットをスヌーピングする。スヌーピングとは、次のような動作である。例えば、未認証端末1が暫定的に与えられたIPアドレスを“10.1.2.1”だったとすると、認証用サブネット3のサブネットアドレスは“10.1.2.0”である。一方、未認証端末1が送信したHTTPパケットの宛先アドレスが“1.1.1.1”であったとすると、この宛先アドレスのサブネットアドレスは認証用サブネット3のサブネットアドレスと一致しない。このようなサブネットアドレスの不一致があったときに、そのパケットの全体を取り込んで何等かの処理を行うことをスヌーピングという。認証用WEBサーバ2aは、スヌーピングの結果、未認証端末1に対して認証用WEBページを返送する。これにより、未認証端末1の表示デバイスには認証用WEBページが表示される。認証用WEBページにはユーザ名の記入欄及びパスワードの記入欄があるので、ユーザは自身のユーザ名とパスワードとを記入する。記入するユーザ名及びパスワードは、ユーザが未認証端末1を使用する以前から使用しており、RADIUSサーバ4に登録済みのものであることは勿論である。
第6のステップ26は、スイッチングハブ2よりRADIUSサーバ4に認証ワードの問い合わせを行うステップである。スイッチングハブ2は、前ステップ25において未認証端末1を使用するユーザのユーザ名とパスワードとを得ているので、これらの認証ワードを認証問い合わせパケットに格納してRADIUSサーバ4宛に通知する。
第7のステップ27は、RADIUSサーバ4がスイッチングハブ2に応答を返すステップである。RADIUSサーバ4は、認証問い合わせパケットに格納されている認証ワードと自身のデータベースに登録されている認証ワードとを照合し、一致する認証ワードがあるときには、未認証端末1を認証(接続を許可)する。RADIUSサーバ4は、認証結果(許可/不許可)をスイッチングハブ2に応答する。また、当該認証ワードで特定されるユーザがVLANグループに所属している場合には、そのVIDをスイッチングハブ2に応答する。
第8のステップ28は、端末1の未認証が解除されるステップである。認証結果が許可であればスイッチングハブ2は、未認証であった端末1からのパケットを無条件でルータRに中継するようになる。これにより、未認証端末1は認証済み端末1としてネットワークへのフルアクセスが可能になる。前ステップ27においてVIDが応答された場合には、スイッチングハブ2は、認証用サブネット3を解消し、認証済み端末1が接続されているポートにVIDを設定する。認証結果が不許可であれば、これらの動作は行われない。
第9のステップ29は、認証済み端末1に正式なIPアドレスが付与されるステップである。認証済み端末1は、スイッチングハブ2の認証用DHCPサーバ2bから与えられた暫定IPアドレスがリースアップ(期限切れ)すると、再度、DHCPサーバ6に対して自身のIPアドレスの付与を要求するDHCPパケットを送信する。このとき、認証用DHCPサーバ2bは、DHCPパケットを受信したポートがリースアップしているので、このDHCPパケットには応答せず、スイッチングハブ2は、このDHCPパケットをルータRに中継する。従って、DHCPパケットは、正式なDHCPサーバ6に受信される。DHCPサーバ6は、正式なIPアドレスを応答するので、認証済み端末1は、正式なIPアドレスを獲得することができる。
次に、ログアウトについて説明する。以下のイベントのいずれかが起きると、認証済み端末は未認証状態になる。
a)認証用WEBサーバ2aは、宛先が認証用WEBサーバ2aになっているHTTPパケットをスヌーピングし、そのHTTPパケットの送信元へ認証用WEBページを返送するようになっている。従って、認証済み端末1が認証用WEBページにアクセスを試みると、認証用WEBサーバ2aから認証用WEBページが返送される。認証用WEBページにはログアウトのボタンがあるので、ユーザがそのログアウトのボタンをクリックすると、認証用WEBサーバはユーザがログアウトを選んだことを認識し、スイッチングハブ2は、このログアウトを希望した認証済み端末1及びその接続ポートを未認証状態にする。
b)スイッチングハブ2は、ポートのリンクが断すると、このポートを未認証状態にする。従って、ユーザが認証済み端末1の電源をオフするか、スイッチングハブ2への伝送路を切り離すと、スイッチングハブ2が当該ポートのリンク断を検出し、そのポートを未認証状態にする。
c)スイッチングハブ2は、各ポートの各種設定に対して時間管理を行っている。認証済み端末1が接続されているポートにおいて、最後のパケットを受信してから所定時間が経過しても新しいパケットが受信されないとき、タイムアウトとなり、スイッチングハブ2はそのポートを未認証状態にする。
以上のログアウト処理により、ユーザが積極的にログアウトを希望した場合、ユーザが端末1を電源オフ又は除去した場合、或いはユーザが端末1を長時間放置している場合には、認証済み端末1は未認証状態になる。
以上、認証ワードとしてユーザ名及びパスワードの2語を用いる場合、次のような効果が得られる。
(1)新規なハードウェア(新製品など)が端末1として使われたときでも、認証ができる。
(2)端末1を使用するユーザによってVID(VLAN情報)を変えることができる。
(3)ユーザは、任意のハードウェアを端末1として使用できる。
(4)DVLANサーバ(図示せず)とスイッチングハブ2との間のプロトコルにRADIUSを使用することができ、認証ワードの暗号化ができる。
2)ユーザ名とパスワードとMACアドレスを使用する場合(図3参照)
まず、第1のステップ31は、端末1が電源をオンしてスイッチングハブ2に接続するステップである。ネットワークへの正式な接続(認証された接続)を希望する新たな端末1がスイッチングハブ2の任意のポートに物理的に接続され、かつその端末の電源がオンされたときから、この新規に接続された端末1は、このネットワークにおける未認証端末1となる。
第2のステップ32は、未認証端末1がIPアドレスを要求するステップである。未認証端末1は、DHCPサーバ6に対して自身のIPアドレスの付与を要求するDHCPパケットを送信する。
第3のステップ33は、認証用DHCPサーバ2bが未認証端末1に暫定IPアドレスを付与するステップである。スイッチングハブ2内の認証用DHCPサーバ2bは、未認証端末1が送信したDHCPパケットを受信すると、未認証端末1に対して暫定IPアドレスを格納した応答パケットを送信する。これにより、未認証端末1は暫定IPアドレスが付与され、その後、この暫定IPアドレスを自アドレスとしてスイッチングハブ2との通信を行うことができる。即ち、未認証端末1とこの未認証端末1が接続されているスイッチングハブ2のポートとの間で認証用サブネット3が形成される。ただし、上記暫定IPアドレスには有効期限があり、この有効期限は認証用DHCPサーバ2bによって管理される。
スイッチングハブ2は、未認証端末1に対するデフォルトゲートウェイ及びDNSの設定を行う。図示例では、デフォルトゲートウェイはルータRであり、DNSはDNSサーバ5であるから、スイッチングハブ2には、未認証端末1の暫定IPアドレスとルータRのIPアドレスとDNSサーバ5のIPアドレスとを対応付けたテーブルが作成される。
第4のステップ34は、未認証端末1が認証用WEBサーバ2aにアクセスし、ユーザ名とパスワードを入力するステップである。未認証端末1が認証用WEBサーバ2aにアクセスすると、認証用WEBサーバ2aが入力用のページ(ダイアログボックス)を返してくるので、未認証端末1にはそのダイアログボックスが表示される。ダイアログボックスには、ユーザ名を記入する欄とパスワードを記入する欄がある。ユーザがこれらの欄にユーザ名及びパスワードを記入すると、認証用WEBサーバ2aにそのユーザ名及びパスワードが入力される。
第5のステップ35は、スイッチングハブ2がユーザ名とパスワードとMACアドレスをRADIUSサーバ4に問い合わせるステップである。RADIUSサーバ4には、あらかじめ認証可能なユーザ名とパスワードと端末のMACアドレスが登録されている。スイッチングハブ2(認証用WEBサーバ2a)は、入力されたユーザ名及びパスワードと端末1からのパケットの送信元MACアドレスとをもとにRADIUSサーバ4に認証問い合わせを行う。
第6のステップ36は、RADIUSサーバ4がスイッチングハブ2に応答を返すステップである。RADIUSサーバ4は、認証問い合わせパケットに格納されている認証ワードと自身のデータベースに登録されている認証ワードとを照合し、一致する認証ワードがあるときには、未認証端末1を認証(接続を許可)する。RADIUSサーバ4は、認証結果(許可/不許可)をスイッチングハブ2に応答する。また、当該認証ワードで特定されるユーザがVLANグループに所属している場合には、そのVIDをスイッチングハブ2に応答する。
第7のステップ37は、端末1の未認証が解除されるステップである。認証結果が許可であればスイッチングハブ2は、未認証であった端末1からのパケットを無条件でルータRに中継するようになる。これにより、未認証端末1は認証済み端末1としてネットワークへのフルアクセスが可能になる。前ステップ27においてVIDが応答された場合には、スイッチングハブ2は、認証用サブネット3を解消し、認証済み端末1が接続されているポートにVIDを設定する。認証結果が不許可であれば、これらの動作は行われない。
第8のステップ38は、認証済み端末1に正式なIPアドレスが付与されるステップである。認証済み端末1は、スイッチングハブ2の認証用DHCPサーバ2bから与えられた暫定IPアドレスがリースアップ(期限切れ)すると、再度、DHCPサーバ6に対して自身のIPアドレスの付与を要求するDHCPパケットを送信する。このとき、認証用DHCPサーバ2bは、DHCPパケットを受信したポートがリースアップしているので、このDHCPパケットには応答せず、スイッチングハブ2は、このDHCPパケットをルータRに中継する。従って、DHCPパケットは、正式なDHCPサーバ6に受信される。DHCPサーバ6は、正式なIPアドレスを応答するので、認証済み端末1は、正式なIPアドレスを獲得することができる。
以上、認証ワードとしてユーザ名とパスワードとMACアドレスの3語を用いる場合、次のような効果が得られる。
(1)端末1を使用するユーザによってVID(VLAN情報)を変えることができる。
(2)ユーザが端末1として使用するハードウェアを制限することができる。
(3)DVLANサーバ(図示せず)とスイッチングハブ2との間のプロトコルにRADIUSを使用することができ、認証ワードの暗号化ができる。
以上説明したように、本発明では、未認証端末1よりRADIUSサーバ4へ認証の根拠となる認証ワードを提出し、RADIUSサーバ4が認証ワードを検証して認証を行うようにしたので、端末が新規なハードウェアであっても認証の手続きが可能である(認証ワードにMACアドレスを含まない場合)。
また、RADIUSサーバ4にユーザ毎のVIDを登録しておき、認証の応答と共にVIDを応答するようにしたので、中継装置では新たに認証された端末が接続されているポートにVIDを設定することができる。即ち、VLANの動的割当が可能である。
また、本発明においては、スイッチングハブ2は、既に認証されたポートは認証された一つの端末1からのパケットしか中継しない。このため、認証された端末以外の端末からのパケットが認証済みポートで受信されても、そのパケットは廃棄される。
なお、RADIUSサーバ4とスイッチングハブ2との間の通信は暗号化されているものとする。従って、未認証端末1からパスワードを入力するステップが手順に含まれていても、そのパスワードを伝送路上で盗聴することは難しい。
本発明の一実施形態を示す端末認証システムが動作するネットワークの構成図である。 本発明の認証手順のうち認証ワードがユーザ名とパスワードである場合の流れ図である。 本発明の認証手順のうち認証ワードがユーザ名とパスワードとMACアドレスである場合の流れ図である。 従来のDVLAN機能が動作するネットワークの構成図である。 従来のDVLAN機能が動作するネットワークの構成図である。
符号の説明
1 端末(未認証端末、認証済み端末)
2 スイッチングハブ
2a 認証用WEBサーバ
2b 認証用DHCPサーバ
3 認証用サブネット
4 RADIUSサーバ

Claims (4)

  1. ユーザを特定するための認証ワードが登録されているRADIUSサーバをネットワーク中に設け、このネットワークに対してフレーム中継を行う中継装置に認証用DHCPサーバを設けておき、この中継装置に物理的に接続された端末がDHCPによりIPアドレスを要求したとき、前記認証用DHCPサーバから暫定IPアドレスを付与することにより、前記中継装置と前記端末との間でのみ通信可能な閉じた認証用サブネットを形成し、前記中継装置が前記端末から入力された認証ワードを前記RADIUSサーバに問い合わせ、このRADIUSサーバより認証が得られたとき、前記端末から前記ネットワークへの通信を許容することを特徴とする端末認証システム。
  2. 前記中継装置に認証用WEBサーバを設けておき、この認証用WEBサーバが前記端末より送信されたHTTPパケットを傍受したとき、認証ワードを入力するための認証用WEBページを前記端末に送信することを特徴とする請求項1記載の端末認証システム。
  3. 前記RADIUSサーバは、ユーザ毎のVLAN情報が登録されており、前記端末を認証したときにそのユーザのVLAN情報を前記中継装置に通知し、前記中継装置は、通知されたVLAN情報により前記端末が接続されているポートをVLAN設定することを特徴とする請求項1又は2記載の端末認証システム。
  4. 前記中継装置は、前記端末がログイン時に所定プロトコルのサーバを参照する場合には、前記認証用サブネット外への通信を許容することを特徴とする請求項1〜3いずれか記載の端末認証システム。
JP2004095656A 2004-03-29 2004-03-29 端末認証システム Pending JP2005286558A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2004095656A JP2005286558A (ja) 2004-03-29 2004-03-29 端末認証システム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2004095656A JP2005286558A (ja) 2004-03-29 2004-03-29 端末認証システム

Publications (1)

Publication Number Publication Date
JP2005286558A true JP2005286558A (ja) 2005-10-13

Family

ID=35184500

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004095656A Pending JP2005286558A (ja) 2004-03-29 2004-03-29 端末認証システム

Country Status (1)

Country Link
JP (1) JP2005286558A (ja)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2009008076A1 (ja) * 2007-07-11 2009-01-15 Fujitsu Limited 認証システム、端末認証装置および認証処理プログラム
JP2009100309A (ja) * 2007-10-17 2009-05-07 Nippon Telegr & Teleph Corp <Ntt> Lan制御情報管理装置、lan制御システムおよびlan制御情報管理方法
JP2012080418A (ja) * 2010-10-04 2012-04-19 Alaxala Networks Corp ネットワーク認証における端末接続状態管理
JP2019530318A (ja) * 2016-09-09 2019-10-17 新華三技術有限公司New H3C Technologies Co., Ltd. ネットワークアクセスの制御

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2009008076A1 (ja) * 2007-07-11 2009-01-15 Fujitsu Limited 認証システム、端末認証装置および認証処理プログラム
JP5018883B2 (ja) * 2007-07-11 2012-09-05 富士通株式会社 認証システム、端末認証装置および認証処理プログラム
US8312513B2 (en) 2007-07-11 2012-11-13 Fujitsu Limited Authentication system and terminal authentication apparatus
JP2009100309A (ja) * 2007-10-17 2009-05-07 Nippon Telegr & Teleph Corp <Ntt> Lan制御情報管理装置、lan制御システムおよびlan制御情報管理方法
JP2012080418A (ja) * 2010-10-04 2012-04-19 Alaxala Networks Corp ネットワーク認証における端末接続状態管理
JP2019530318A (ja) * 2016-09-09 2019-10-17 新華三技術有限公司New H3C Technologies Co., Ltd. ネットワークアクセスの制御
US11159524B2 (en) 2016-09-09 2021-10-26 New H3C Technologies Co., Ltd. Network access control

Similar Documents

Publication Publication Date Title
US7003481B2 (en) Method and apparatus for providing network dependent application services
JP4023240B2 (ja) ユーザ認証システム
JP3912609B2 (ja) リモートアクセスvpn仲介方法及び仲介装置
USRE45532E1 (en) Mobile host using a virtual single account client and server system for network access and management
US6907470B2 (en) Communication apparatus for routing or discarding a packet sent from a user terminal
US7356841B2 (en) Server and method for providing specific network services
US7934014B2 (en) System for the internet connections, and server for routing connections to a client machine
US8966075B1 (en) Accessing a policy server from multiple layer two networks
WO2006068108A1 (ja) ゲートウェイ、ネットワークシステム及びWebサーバへのアクセス制御方法
JP2009163546A (ja) ゲートウェイ、中継方法及びプログラム
JP4920878B2 (ja) 認証システム、ネットワーク集線装置及びそれらに用いる認証方法並びにそのプログラム
JP2002118562A (ja) 認証拒否端末に対し特定条件でアクセスを許容するlan
JP2005252717A (ja) ネットワーク管理方法及びネットワーク管理サーバ
EP1777872A1 (en) A METHOD REALIZING AUTHORIZATION ACCOUNTING OF MULTIPLE ADDRESSES USER IN THE IPv6 NETWORK
JP2003316742A (ja) シングルサインオン機能を有する匿名通信方法および装置
KR100714368B1 (ko) 인증 서버와 연동되는 ip 주소 관리 시스템
JP3616570B2 (ja) インターネット中継接続方式
US20120106399A1 (en) Identity management system
JP2002084306A (ja) パケット通信装置及びネットワークシステム
JP2005286558A (ja) 端末認証システム
JP2010187314A (ja) 認証機能付きネットワーク中継機器及びそれを用いた端末の認証方法
Cisco set_f_l
Cisco MPLS VPN ID
Cisco set_f_l
Cisco set_f_l

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20060519

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20080623

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20080701

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20080829

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20081111