JP2006013732A - Routing device and authentication method of information processor - Google Patents
Routing device and authentication method of information processor Download PDFInfo
- Publication number
- JP2006013732A JP2006013732A JP2004185750A JP2004185750A JP2006013732A JP 2006013732 A JP2006013732 A JP 2006013732A JP 2004185750 A JP2004185750 A JP 2004185750A JP 2004185750 A JP2004185750 A JP 2004185750A JP 2006013732 A JP2006013732 A JP 2006013732A
- Authority
- JP
- Japan
- Prior art keywords
- authentication
- address
- destination
- physical address
- logical address
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
Description
本発明は、ネットワークに接続された情報処理装置の認証技術に関する。 The present invention relates to an authentication technique for an information processing apparatus connected to a network.
特許文献1には、管理サーバが、端末装置およびルーティング装置にアドレス情報を要求し、端末装置の正当性を判別する端末装置の認証方法が開示されている。 Patent Document 1 discloses a terminal device authentication method in which a management server requests address information from a terminal device and a routing device to determine validity of the terminal device.
特許文献1に記載の認証方法では、第一段階として、管理サーバは、端末装置に当該端末装置のアドレス情報を要求し、要求したアドレス情報が正当か否かを判別する。そして、第2段階として、管理サーバは、端末装置が接続しているルーティング装置に当該ルーティング装置のアドレス情報を要求し、要求したアドレス情報が正当か否かを判別する。このように、特許文献1の認証方法では、1台の端末装置に対し、管理サーバと端末装置間、および、管理サーバとルーティング装置間の2段階のネットワークを介した認証処理を行っている。このため、端末装置の台数が増えるに従って、認証処理のためのネットワークトラフィックが増大し、ネットワークの論理帯域速度を圧迫するといった問題が発生する。また、端末装置の台数が増えるに従って、管理サーバの性能上(処理能力)の問題が発生する。 In the authentication method described in Patent Document 1, as a first step, the management server requests address information of the terminal device from the terminal device, and determines whether the requested address information is valid. Then, as a second stage, the management server requests the routing device connected to the terminal device for the address information of the routing device, and determines whether the requested address information is valid. As described above, in the authentication method disclosed in Patent Document 1, authentication processing is performed on one terminal device via a two-stage network between the management server and the terminal device and between the management server and the routing device. For this reason, as the number of terminal devices increases, the network traffic for authentication processing increases, causing a problem of squeezing the logical bandwidth speed of the network. Further, as the number of terminal devices increases, the management server performance (processing capability) problem arises.
本発明は上記事情を鑑みてなされたものであり、本発明の目的は、ネットワークトラフィックを軽減し、端末装置などの情報処理装置の認証処理をより高速化する認証技術を提供することにある。 The present invention has been made in view of the above circumstances, and an object of the present invention is to provide an authentication technique that reduces network traffic and speeds up authentication processing of an information processing apparatus such as a terminal apparatus.
上記課題を解決するために、本発明では、ルーティング装置が認証テーブルを用いて情報処理装置の認証を行う。 In order to solve the above problems, in the present invention, the routing device authenticates the information processing device using the authentication table.
例えば、本発明では、少なくとも1つの情報処理装置の論理アドレスおよび物理アドレスを登録した認証テーブルを記憶する第1の記憶手段と、情報処理装置からデータを受信する受信手段と、前記データに含まれる送信元情報処理装置の送信元論理アドレスおよび送信元物理アドレスが認証テーブルに存在するか否かを判別するとともに、前記データに含まれる宛先情報処理装置の宛先論理アドレスおよび宛先物理アドレスが認証テーブルに存在するか否かを判別する認証手段と、を有する。そして、認証手段は、送信元論理アドレスおよび送信元物理アドレスが認証テーブルに存在しない場合、または、宛先論理アドレスおよび宛先物理アドレスが認証テーブルに存在しない場合、受信手段が受信したデータを破棄する。また、認証手段は、送信元論理アドレスおよび送信元物理アドレスが認証テーブルに存在する場合、または、宛先論理アドレスおよび宛先物理アドレスが認証テーブルに存在する場合、受信手段が受信したデータを送出する。 For example, in the present invention, a first storage unit that stores an authentication table in which a logical address and a physical address of at least one information processing device are registered, a receiving unit that receives data from the information processing device, and the data are included in the data It is determined whether the transmission source logical address and the transmission source physical address of the transmission source information processing apparatus exist in the authentication table, and the destination logical address and the destination physical address of the destination information processing apparatus included in the data are stored in the authentication table. And authentication means for determining whether or not it exists. Then, when the transmission source logical address and the transmission source physical address do not exist in the authentication table, or when the destination logical address and the destination physical address do not exist in the authentication table, the authentication unit discards the data received by the reception unit. In addition, when the transmission source logical address and the transmission source physical address exist in the authentication table, or when the destination logical address and the destination physical address exist in the authentication table, the authentication unit sends the data received by the reception unit.
本発明では、ネットワークトラフィックを軽減し、情報処理装置の認証処理をより高速化することができる。 According to the present invention, network traffic can be reduced and authentication processing of the information processing apparatus can be further speeded up.
以下に、本発明の実施の形態を説明する。 Hereinafter, embodiments of the present invention will be described.
図1は、本発明の一実施形態が適用された端末認証システムの概略図である。図示するように、本システムは、情報サーバ1と、管理装置2と、少なくとも1つのルーティング装置3と、少なくとも1つの端末装置4とを有する。そして、情報サーバ1とルーティング装置3とは、インターネットまたはLANなどの基幹ネットワーク5により接続されている。管理装置2とルーティング装置3とは、インターネットまたはLANなどの管理ネットワーク6により接続されている。ルーティング装置3と、当該ルーティング装置3に収容されている各端末装置4とは、端末サブネット7により接続されている。
FIG. 1 is a schematic diagram of a terminal authentication system to which an embodiment of the present invention is applied. As illustrated, this system includes an information server 1, a
情報サーバ1は、端末装置4(クライアント)に対して、各種のサービス(データ、機能など)を提供する情報処理装置である。管理装置2は、後述する管理用認証テーブル23を作成し、各ルーティング装置3に配布する情報処理装置である。図示するように、管理装置2は、更新処理部21と、通信処理部22と、管理用認証テーブル23と、を有する。更新処理部21は、管理用認証テーブル23を作成または更新する。通信処理部22は、管理ネットワーク6を介して、ルーティング装置3とデータを送受信する。
The information server 1 is an information processing device that provides various services (data, functions, etc.) to the terminal device 4 (client). The
ルーティング装置3は、ネットワーク上を流れるデータを他のネットワークに中継する情報処理装置である。なお、ルーティング装置3の詳細については、後述する。端末装置4は、情報サーバ1のクライアントであって、情報サーバ1が提供する各種のサービスを要求する情報処理装置である。
The
なお、本実施形態の端末認証システムでは、1台の情報サーバ1が基幹ネットワーク5に接続されているが、情報サーバ1は複数であってもよい。また、情報サーバ1が設置されている場所は、当該情報サーバ1を管理する企業または組織内であっても、その他の場所であってもよい。また、図示するように、ルーティング装置3の数、および、当該ルーティング装置3に接続される端末装置4の数は、少なくとも1台であって、その数は限定されない。また、本実施形態では、基幹ネットワーク5と、管理ネットワーク6とを有する。しかしながら、基幹ネットワーク5と管理ネットワーク6とを統合してもよい。この場合、情報サーバ1と管理装置2は、同じネットワークに接続されるものとする。
In the terminal authentication system according to the present embodiment, one information server 1 is connected to the backbone network 5, but a plurality of information servers 1 may be provided. Further, the location where the information server 1 is installed may be in a company or organization that manages the information server 1 or may be another location. Further, as illustrated, the number of
次に、ルーティング装置3について説明する。
Next, the
図2は、ルーティング装置3の構成を示したものである。ルーティング装置3は、図示するようにルーティング処理部31と、物理アドレス検索部32と、送受信認証部33と、回線制御部34と、テーブル管理部35と、構成定義テーブル36と、ルーティングテーブル37と、物理アドレステーブル38と、ルータ用認証テーブル39と、を有する。
FIG. 2 shows the configuration of the
ルーティング処理部31は、ルーティングテーブル37を参照し、OSI参照モデルのネットワーク層での転送処理(経路選択)を行う。物理アドレス検索部32は、物理アドレステーブル38を参照し、データリンク層の物理アドレスを検索する。送受信認証部33は、ルータ用認証テーブル39を参照し、端末装置4の認証処理を行う。回線制御部34は、データの伝送単位であるフレームまたはパケット(以下、「フレーム」)の送受信を行う。テーブル管理部35は、管理装置2から配信された認証データを受信し、ルータ用認証テーブル39を作成または更新する。
The
なお、本実施形態において、上述したルーティング処理部31、物理アドレス検索部32、送受信認証部33、回線制御部34、および、テーブル管理部35は、ソフトウェアにより実現される。しかしながら、これらの処理部31〜35は、ハードウェアにより実現される場合であってもよい。
In the present embodiment, the
構成定義テーブル36は、フレームを送受信するルーティング装置3のポート(回線)が、認証対象のポートであるか否かを判別するためのテーブルである。構成定義テーブルには、図示しないが、認証対象である少なくとも1つのポート番号が記憶されている。なお、本実施形態においては、端末装置4の認証処理を行うため、端末サブネット7に接続する少なくとも1つのポートのポート番号が、構成定義テーブル36に記憶されているものとする。
The configuration definition table 36 is a table for determining whether or not the port (line) of the
ルーティングテーブル37は、フレームの転送先(中継先)に関する経路情報が記憶されたテーブルである。すなわち、ルーティングテーブル37は、宛先論理アドレスと、当該宛先論理アドレスに対応づけられた転送先論理アドレスおよび転送先ポート番号と、を有する。なお、論理アドレスは、ネットワーク層のアドレスであって、本実施形態ではIP(Internet Protocol)アドレスを論理アドレスとして用いることとする。 The routing table 37 is a table in which route information related to a frame transfer destination (relay destination) is stored. In other words, the routing table 37 has a destination logical address and a transfer destination logical address and a transfer destination port number associated with the destination logical address. The logical address is a network layer address, and in this embodiment, an IP (Internet Protocol) address is used as the logical address.
物理アドレスデーブル38は、ネットワーク層の下位層に位置するデータリンク層において、ネットワーク層で設定されたIPアドレス(論理アドレス)をもとに、次の転送先の機器(例えば、ルーティング装置3、端末装置4、情報サーバ1など)の物理的な宛先である物理アドレスを管理するためのテーブルである。なお、物理アドレスは、データリンク層のアドレスであって、本実施形態ではMAC(Media Access Control)アドレスを用いることとする。MACアドレスは、機器自体の物理アドレスであって、ネットワークインタフェースカード固有のID番号である。物理アドレスデーブル38は、図示しないが、IPアドレス(論理アドレス)と、当該IPアドレスに対応するMACアドレス(物理アドレス)とを有する。物理アドレス検索部32は、ARP(Address Resolution Protocol:アドレス解決プロトコル)などにより、各IPアドレスに対応するMACアドレスを取得し、一定時間、物理アドレスデーブル38に記憶する。
The physical address table 38 is the next transfer destination device (for example, the
ルータ用認証テーブル39は、ネットワークへの接続を許可する正当な端末装置4のIPアドレスと、MACアドレスとが記憶されたテーブルである。すなわち、ルータ用認証テーブル39に登録されている端末装置4は、正当な端末装置4であると判別され、ルータ用認証テーブルに登録されていない端末装置4は、不正な端末装置であると判別される。なお、ルータ用認証テーブル39については後述する。
The router authentication table 39 is a table in which the IP address and MAC address of a legitimate
以上説明した、情報サーバ1、管理装置2、ルーティング装置3、および、端末装置4は、いずれも例えば図3に示すようなCPU901と、RAM等のメモリ902と、HDD等の外部記憶装置903と、キーボードやマウスなどの入力装置904と、ディスプレイやプリンタなどの出力装置905と、ネットワーク接続するための通信制御装置906と、これらの各装置を接続するバス907と、を備えた汎用的なコンピュータシステムを用いることができる。このコンピュータシステムにおいて、CPU901がメモリ902上にロードされた所定のプログラムを実行することにより、各装置の各機能が実現される。
The information server 1, the
例えば、情報サーバ1、管理装置2、ルーティング装置3、および、端末装置4の各機能は、情報サーバ1用のプログラムの場合は情報サーバ1のCPU901が、管理装置2用のプログラムの場合は管理装置2のCPU901が、ルーティング装置3用のプログラムの場合はルーティング装置3のCPU901が、そして、端末装置4用のプログラムの場合は端末装置4のCPU901が、それぞれ実行することにより実現される。また、管理装置2の管理用認証テーブル23には、管理装置2のメモリ902または外部記憶装置903が用いられる。また、ルーティング装置3の構成定義テーブル36、ルーティングテーブル37、物理アドレスデーブル38、および、ルータ用認証テーブル39には、ルーティング装置3のメモリ902または外部記憶装置903が用いられる。
For example, each function of the information server 1, the
次に、管理装置2の管理用認証テーブル23について説明する。
Next, the management authentication table 23 of the
図4は、管理用認証テーブル23の一例を示した図である。管理用認証テーブル23は、正当な(ネットワークに接続を許可する)端末装置4の端末ID231、端末IPアドレス232および端末MACアドレス233と、ルータIPアドレス234と、を有する。端末ID231は、端末装置4を識別するための識別情報である。端末IPアドレス232は、端末装置4のIPアドレスである。端末MACアドレス233は、端末装置4のMACアドレスである。ルータIPアドレス234は、当該端末装置4を収容するルーティング装置3(デフォルトルータ)のIPアドレスである。図4に示す例では、端末ID231が「TERM61」401の端末装置4については、端末IPアドレス232が「192.168.1.21」で、端末MACアドレス233が「00:00:01:ff:ff:61」で、ルータIPアドレス234が「10.150.10.31」である。
FIG. 4 is a diagram illustrating an example of the management authentication table 23. The management authentication table 23 includes a
次に、ルーティング装置3のルータ用認証テーブル39について説明する。
Next, the router authentication table 39 of the
図5は、ルータ用認証テーブル39の一例を示した図である。ルータ用認証テーブル39には、当該ルーティング装置3に収容(デフォルトルータとして接続)された端末装置4であって、かつ、正当な(ネットワークに接続を許可する)端末装置4の端末IPアドレス391と、端末MACアドレス392と、が記憶されている。図5に示すルータ用認証テーブル39においては、例えば、端末IPアドレス391が「192.168.1.21」で、端末MACアドレス392が「00:00:01:ff:ff:61」501の端末装置4が、正当な端末装置4として設定されている。
FIG. 5 shows an example of the router authentication table 39. The router authentication table 39 includes the
次に、管理用認証テーブル23およびルータ用認証テーブル39の作成処理について説明する。なお、この処理は、後述する端末認証処理の前に、あらかじめ行うものとする。 Next, processing for creating the management authentication table 23 and the router authentication table 39 will be described. This process is performed in advance before the terminal authentication process described later.
図6は、認証テーブル作成処理の処理フロー図である。まず、管理装置2の更新処理部21は、入力手段904から入力された登録データを受け付ける(S61)。登録データは、管理用認証テーブル23に登録するためのデータである。ネットワーク管理者は、ネットワークへの接続を許可する正当な各端末装置4の各種情報(図4:231〜234)を、入力手段904を用いて入力する。
FIG. 6 is a process flow diagram of the authentication table creation process. First, the
そして、更新処理部21は、受け付けた各端末装置4の登録データを、管理用認証テーブル23に記憶し、管理用認証テーブル23を作成する(S62)。そして、更新処理部21は、ルータIPアドレス234毎に、ルータIPアドレス234が同一のレコード(端末装置4)を、管理用認証テーブル23から抽出し、グルーピングする(S63)。そして、更新処理部21は、ルータIPアドレス234毎にグルーピングした各レコードを認証データとして、各ルーティング装置3に送信(配信)する(S64)。すなわち、更新処理部21は、ルータIPアドレス234を宛先として、通信処理部22を介して、各ルーティング装置3に各認証データを送信する。なお、認証データには、グルーピングした各レコードの端末IPアドレス232および端末MACアドレス233が含まれているものとする。
Then, the
ルーティング装置3のテーブル管理部35は、管理装置2から送信された認証データを受信する(S65)。そして、テーブル管理部35は、受信した認証データをルータ用認証テーブル39に記憶し、ルータ用認証テーブル39を作成する(S66)。
The
なお、上記の認証テーブル作成処理において、管理用認証テーブル23およびルータ用認証テーブル39を作成した後に、これらのテーブル23、39を更新する場合は、更新データのみをルーティング装置3に配布する。すなわち、管理装置2の更新処理部21は、新規に登録または変更する端末装置4の登録データを受け付け(S61)、管理用認証テーブル23を更新する(S62)。そして、更新処理部21は、更新したレコードのみ認証データとして、当該するルーティング装置3に送信する(S64)。ルーティング装置3のテーブル管理部35は、認証データを受信し、当該認証データに基づいてルータ用認証テーブル39を更新する。
In the above authentication table creation process, when the management authentication table 23 and the router authentication table 39 are created and then these tables 23 and 39 are updated, only the update data is distributed to the
次に、ルーティング装置3が行う端末認証処理について説明する。ルーティング装置3は、端末装置4が情報サーバ1に対して各種サービスを要求する際に、または、情報サーバ1が端末装置4に各種サービスを提供する際に、この端末認証処理を行う。
Next, terminal authentication processing performed by the
図7は端末認証処理の処理フロー図である。まず、ルーティング装置3の回線制御部34は、端末装置4、情報サーバ1など他の装置から送信されたフレームを受信する(S71)。そして、送受信認証部33は、構成定義テーブル36を参照し、フレームを受信した受信ポート(回線)が構成定義テーブル36に設定されているか否か(すなわち、認証対象のポートであるか否か)を判別する(S72)。なお、本実施形態では、端末装置4の認証処理を行うため、端末サブネット7に接続するポートが構成定義テーブル36に記憶されている。すなわち、端末装置4から情報サーバ1への通信(以下、「上り通信」)の場合の受信ポートは、構成定義テーブル36に設定され、認証対象である。一方、情報サーバ1から端末装置4への通信(以下、「下り通信」)の場合の受信ポートは、構成定義テーブルに設定されておらず、認証対象外である。
FIG. 7 is a processing flowchart of terminal authentication processing. First, the
受信ポートが構成定義テーブル36に設定されていない場合、すなわち、認証対象でない場合(S72:NO)、後述するS74の処理へ進む。一方、受信ポートが構成定義テーブル36に設定されている場合、すなわち、認証対象の場合(S72:YES)、送受信認証部33は、受信フレームのヘッダに含まれる送信元IPアドレスおよび送信元MACアドレスが、ルータ用認証テーブル39に存在するか否かを判別する(S73)。
If the reception port is not set in the configuration definition table 36, that is, if it is not an authentication target (S72: NO), the process proceeds to S74 described later. On the other hand, when the reception port is set in the configuration definition table 36, that is, when it is an authentication target (S72: YES), the transmission /
例えば、図5に示すルータ用認証テーブル39の場合であって、かつ、送信元である端末装置4のIPアドレスおよびMACアドレスが、「192.168.1.21」および「00:00:01:ff:ff:61」であるとする。この場合、送受信認証部33は、端末装置4の送信元IPアドレスおよび送信元MACアドレスが、ルータ用認証テーブル39の先頭レコード501に存在するため、当該端末装置4を正当な端末装置であると判別する(S73:YES)。
For example, in the case of the router authentication table 39 shown in FIG. 5, the IP address and MAC address of the
ルータ用認証テーブル39に存在する場合、すなわち、正当な端末装置4の場合(S73:YES)、ルーティング処理部31は、ルーティングテーブル37を参照して、転送先(送信先)の装置を決定する(S74)。すなわち、ルーティング処理部31は、受信フレームのヘッダに含まれる宛先IPアドレスに対応する、次の転送先装置のIPアドレスおよび転送先ポート番号を特定する。
If it exists in the router authentication table 39, that is, in the case of the legitimate terminal device 4 (S73: YES), the
そして、物理アドレス検索部32は、特定した転送先装置のIPアドレスにもとづいて、当該転送先装置のMACアドレスを取得する(S75)。すなわち、物理アドレス検索部32は、物理アドレステーブル38を読み出し、転送先装置のIPアドレスに対応するMACアドレスが登録されているか否かを検索する。転送先装置のIPアドレスに対応するMACアドレスが物理アドレステーブル38に登録されている場合、物理アドレス検索部32は、当該MACアドレスを取得する。一方、転送先装置のIPアドレスに対応するMACアドレスが物理アドレステーブル38に登録されていない場合、物理アドレス検索部32は、ARP(Address Resolution Protocol:アドレス解決プロトコル)などにより、転送先端末のIPアドレスに対応するMACアドレスを取得する。
Then, the physical
そして、送受信認証部33は、構成定義テーブル36を参照し、S74において特定した転送先ポートが構成定義テーブル36に設定されているか否か(すなわち、認証対象のポートである否か)を判別する(S76)。転送先ポートが構成定義テーブル36に登録されていない場合、すなわち、認証対象でない場合(S76:NO)、回線制御部34は、S71において受信した受信フレームを転送先装置に送信(送出)する(S78)。
Then, the transmission /
一方、転送先ポートが構成定義テーブル36に設定されている場合、すなわち、認証対象の場合(S76:YES)、送受信認証部33は、受信フレームのヘッダに含まれる宛先IPアドレス、および、宛先MACアドレスが、ルータ用認証テーブル39に存在するか否かを判別する(S77)。ルータ用認証テーブル39に存在する場合、すなわち、正当な端末装置4の場合(S77:YES)、回線制御部34は、S71において受信した受信フレームを転送先装置に送信(送出)する(S78)。例えば、端末装置4から情報サーバ1への上り通信の場合、ルーティング装置3は、情報サーバ1(または、他のルーティング装置3)に端末装置4から受信したフレームを送信する。そして、情報サーバ1は、端末装置4から要求された各種サービスを提供するための処理を行う。また、情報サーバ1から端末装置4への下り通信の場合、ルーティング装置3は、端末装置4(または、他のルーティング装置3)に情報サーバ1から受信したフレームを送信する。そして、端末装置4は、情報サーバ1が提供する各種サービスを取得することができる。
On the other hand, when the transfer destination port is set in the configuration definition table 36, that is, in the case of authentication (S76: YES), the transmission /
また、送信元IPアドレスおよび送信元MACアドレスがルータ用認証テーブル39に存在しない場合(S73:NO)、あるいは、宛先IPアドレスおよび宛先MACアドレスがルータ用認証テーブル39に存在しない場合(S77:NO)、送受信認証部33は、S71において受信した受信フレームを廃棄する(S79)。すなわち、送受信認証部33は、ルータ用認証テーブル39に登録されていない不正な端末装置4に送受信されるフレームを破棄する。なお、送受信認証部33は、フレームを廃棄するだけでなく、管理装置2に警告を促す警告メッセージを送信するようにしてもよい。これにより、管理装置2の出力装置905に警告メッセージが出力され、ネットワーク管理者は、不正な端末装置4のネットワークへのアクセスを検知することができる。
When the source IP address and the source MAC address do not exist in the router authentication table 39 (S73: NO), or when the destination IP address and the destination MAC address do not exist in the router authentication table 39 (S77: NO) The transmission /
以上、本発明の一実施形態を説明した。 The embodiment of the present invention has been described above.
本実施形態では、ルーティング装置3内で、端末装置4の認証処理を行っている。すなわち、本実施形態では、ネットワークを介することなく端末装置4の認証処理を実現している。これにより、ネットワークトラフィックが軽減し、認証処理をより高速化することができる。
In the present embodiment, authentication processing of the
また、ルーティング装置3内で認証処理を行うため、各端末装置4および情報サーバ1には、認証処理に必要な機能を組み込む必要がない。すなわち、端末装置4および情報サーバ1は、現在稼動しているプログラムを変更することなく、本実施形態の端末認証システムの装置として適用することができる。また、端末装置4においては、認証処理の度にIPアドレスおよびMACアドレスを通知する必要がないため、セキュリティを確保することができる。
Further, since the authentication process is performed in the
また、前述のように、端末装置4および情報サーバ1には、認証処理に必要な機能を組み込む必要がないため、システムの拡張が容易である。すなわち、情報サーバ1、端末装置4など本端末認証システム構成する各装置が、異なる企業によって管理されている場合であっても、本実施形態を適用することができる。具体的には、インターネットの普及により、社外サーバなど異なる管理ポリシー(プラットフォームなど)の複数の情報サーバ1であっても、本実施形態の認証処理を行うことができる。
Further, as described above, the
なお、本発明は上記の実施形態に限定されるものではなく、その要旨の範囲内で数々の変形が可能である。 In addition, this invention is not limited to said embodiment, Many deformation | transformation are possible within the range of the summary.
例えば、本実施形態では、論理アドレスとしてIPアドレスを、物理アドレスとしてMACアドレスを用いている。しかしながら、本発明はこれに限定されず、他のアドレスを用いることとしてもよい。 For example, in this embodiment, an IP address is used as a logical address and a MAC address is used as a physical address. However, the present invention is not limited to this, and other addresses may be used.
また、本実施形態では、端末装置4の認証処理を行っている。しかしながら、端末装置4だけでなく、情報サーバ1またはルーティング装置3の認証処理を行うこととしてもよい。その場合、管理用認証テーブル23およびルータ用認証テーブル39には、認証対象となる情報サーバ1またはルーティング装置3のIPアドレス、MACアドレスが登録される。また、構成定義テーブルには、端末サブネット7以外の他の認証対象のポートのポート番号が記憶される。
In the present embodiment, authentication processing of the
1:情報サーバ、2:管理装置、21:更新処理部、22:通信処理部、23:管理用認証テーブル、3:ルーティング装置、31:ルーティング処理部、32:物理アドレス検索部、33:送受信認証部、34:回線制御部、35:テーブル管理部、4:端末装置、5:基幹ネットワーク、6:管理ネットワーク、7:端末サブネット
1: Information server 2: Management device 21: Update processing unit 22: Communication processing unit 23: Management authentication table 3: Routing device 31: Routing processing unit 32: Physical address search unit 33: Transmission / reception Authentication unit, 34: line control unit, 35: table management unit, 4: terminal device, 5: backbone network, 6: management network, 7: terminal subnet
Claims (5)
少なくとも1つの情報処理装置の論理アドレスおよび物理アドレスを登録した認証テーブルを記憶する第1の記憶手段と、
情報処理装置からデータを受信する受信手段と、
前記データに含まれる送信元情報処理装置の送信元論理アドレスおよび送信元物理アドレスが前記認証テーブルに存在するか否かを判別するとともに、前記データに含まれる宛先情報処理装置の宛先論理アドレスおよび宛先物理アドレスが前記認証テーブルに存在するか否かを判別する認証手段と、を有し、
前記認証手段は、
前記送信元論理アドレスおよび前記送信元物理アドレスが前記認証テーブルに存在しない場合、または、前記宛先論理アドレスおよび前記宛先物理アドレスが前記認証テーブルに存在しない場合、前記受信手段が受信したデータを破棄し、
前記送信元論理アドレスおよび前記送信元物理アドレスが前記認証テーブルに存在する場合、または、前記宛先論理アドレスおよび前記宛先物理アドレスが前記認証テーブルに存在する場合、前記受信手段が受信したデータを送出すること
を特徴とするルーティング装置。 A routing device,
First storage means for storing an authentication table in which a logical address and a physical address of at least one information processing apparatus are registered;
Receiving means for receiving data from the information processing device;
It is determined whether or not a transmission source logical address and a transmission source physical address of a transmission source information processing apparatus included in the data exist in the authentication table, and a destination logical address and a destination of a destination information processing apparatus included in the data Authentication means for determining whether a physical address exists in the authentication table,
The authentication means includes
When the source logical address and the source physical address do not exist in the authentication table, or when the destination logical address and the destination physical address do not exist in the authentication table, the data received by the receiving unit is discarded. ,
When the source logical address and the source physical address exist in the authentication table, or when the destination logical address and the destination physical address exist in the authentication table, the data received by the receiving unit is transmitted. A routing device characterized by the above.
ネットワークと接続するための少なくとも1つのポートと、
前記各ポートのなかで、認証対象となるポートのポート識別情報が記憶された構成定義テーブルを記憶する第2の記憶手段と、をさらに有し、
前記認証手段は、
前記データを受信した受信ポートのポート識別情報が、前記構成定義テーブルに存在するか否かを判別し、前記受信ポートのポート識別情報が前記構成定義テーブルに存在する場合、前記送信元論理アドレスおよび前記送信元物理アドレスが前記認証テーブルに存在か否かを判別し、
前記データを転送する送信ポートのポート識別情報が、前記構成定義テーブルに存在するか否かを判別し、前記送信ポートのポート識別情報が前記構成定義テーブルに存在する場合、前記宛先論理アドレスおよび前記宛先物理アドレスが前記認証テーブルに存在か否かを判別すること
を特徴とするルーティング装置。 The routing device according to claim 1, wherein
At least one port for connecting to the network;
A second storage unit that stores a configuration definition table in which port identification information of a port to be authenticated is stored among the ports;
The authentication means includes
It is determined whether or not the port identification information of the reception port that has received the data exists in the configuration definition table, and when the port identification information of the reception port exists in the configuration definition table, the source logical address and Determining whether the source physical address is present in the authentication table;
It is determined whether or not port identification information of a transmission port for transferring the data exists in the configuration definition table. When the port identification information of the transmission port exists in the configuration definition table, the destination logical address and the A routing device characterized by determining whether or not a destination physical address exists in the authentication table.
外部システムから当該ルーティング装置に接続された少なくとも1つの情報処理装置の論理アドレスおよび物理アドレスを含む登録データを受信し、当該登録データにもとづいて、前記認証テーブルを作成するテーブル管理手段を、さらに有すること
を特徴とするルーティング装置。 The routing device according to claim 1, wherein
Table management means for receiving registration data including a logical address and a physical address of at least one information processing device connected to the routing device from an external system, and creating the authentication table based on the registration data A routing device characterized by the above.
前記論理アドレスはIPアドレスであって、前記物理アドレスはMACアドレスであること
を特徴とするルーティング装置。 The routing device according to claim 1, wherein
The routing device, wherein the logical address is an IP address and the physical address is a MAC address.
前記ルーティング装置は、少なくとも1つの情報処理装置の論理アドレスおよび物理アドレスが登録された認証テーブルを記憶する記憶部と、演算処理部とを有し、
前記演算処理部は、
情報処理装置から送信されたデータを受信する受信ステップと、
前記データに含まれる送信元情報処理装置の送信元論理アドレスおよび送信元物理アドレスが、前記認証テーブルに存在するか否かを判別するとともに、前記データに含まれる宛先情報処理装置の宛先論理アドレスおよび宛先物理アドレスが、前記認証テーブルに存在するか否かを判別する認証ステップとを実行し、
前記認証ステップにおいて、
前記送信元論理アドレスおよび前記送信元物理アドレスが前記認証テーブルに存在しない場合、または、前記宛先論理アドレスおよび前記宛先物理アドレスが前記認証テーブルに存在しない場合、前記受信ステップにおいて受信したデータを破棄し、
前記送信元論理アドレスおよび前記送信元物理アドレスが前記認証テーブルに存在する場合、または、前記宛先論理アドレスおよび前記宛先物理アドレスが前記認証テーブルに存在する場合、前記受信ステップにおいて受信したデータを送出すること、
を特徴とする情報処理装置の認証方法。
An authentication method for an information processing apparatus connected to a network performed by a routing apparatus,
The routing device includes a storage unit that stores an authentication table in which a logical address and a physical address of at least one information processing device are registered, and an arithmetic processing unit.
The arithmetic processing unit includes:
A receiving step for receiving data transmitted from the information processing device;
It is determined whether or not a transmission source logical address and a transmission source physical address of a transmission source information processing apparatus included in the data exist in the authentication table, and a destination logical address of a destination information processing apparatus included in the data and Performing an authentication step of determining whether a destination physical address exists in the authentication table;
In the authentication step,
When the source logical address and the source physical address do not exist in the authentication table, or when the destination logical address and the destination physical address do not exist in the authentication table, the data received in the reception step is discarded. ,
When the transmission source logical address and the transmission source physical address exist in the authentication table, or when the destination logical address and the destination physical address exist in the authentication table, the data received in the reception step is transmitted. thing,
An authentication method for an information processing apparatus.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004185750A JP2006013732A (en) | 2004-06-24 | 2004-06-24 | Routing device and authentication method of information processor |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004185750A JP2006013732A (en) | 2004-06-24 | 2004-06-24 | Routing device and authentication method of information processor |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2006013732A true JP2006013732A (en) | 2006-01-12 |
Family
ID=35780464
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2004185750A Pending JP2006013732A (en) | 2004-06-24 | 2004-06-24 | Routing device and authentication method of information processor |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2006013732A (en) |
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2008060692A (en) * | 2006-08-29 | 2008-03-13 | Hitachi Ltd | Management computer, computer system, and switch |
JP2008206029A (en) * | 2007-02-22 | 2008-09-04 | D & M Holdings Inc | Content delivery system, client terminal, content delivery server and content delivery method |
JP2011175383A (en) * | 2010-02-23 | 2011-09-08 | Nippon Telegr & Teleph Corp <Ntt> | Address intensive system and message transmission source authentication method |
US8090827B2 (en) * | 2003-12-10 | 2012-01-03 | Aventail Llc | Secure access to remote resources over a network |
US8255973B2 (en) | 2003-12-10 | 2012-08-28 | Chris Hopen | Provisioning remote computers for accessing resources |
US8590032B2 (en) | 2003-12-10 | 2013-11-19 | Aventail Llc | Rule-based routing to resources through a network |
US8601550B2 (en) | 2004-06-24 | 2013-12-03 | Aventail Llc | Remote access to resources over a network |
JP2016212711A (en) * | 2015-05-12 | 2016-12-15 | 日本電信電話株式会社 | Authentication method and authentication device |
-
2004
- 2004-06-24 JP JP2004185750A patent/JP2006013732A/en active Pending
Cited By (21)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8661158B2 (en) | 2003-12-10 | 2014-02-25 | Aventail Llc | Smart tunneling to resources in a network |
US8090827B2 (en) * | 2003-12-10 | 2012-01-03 | Aventail Llc | Secure access to remote resources over a network |
US10313350B2 (en) | 2003-12-10 | 2019-06-04 | Sonicwall Inc. | Remote access to resources over a network |
US9300670B2 (en) | 2003-12-10 | 2016-03-29 | Aventail Llc | Remote access to resources over a network |
US9197538B2 (en) | 2003-12-10 | 2015-11-24 | Aventail Llc | Rule-based routing to resources through a network |
US8255973B2 (en) | 2003-12-10 | 2012-08-28 | Chris Hopen | Provisioning remote computers for accessing resources |
US8301769B2 (en) | 2003-12-10 | 2012-10-30 | Aventail Llc | Classifying an operating environment of a remote computer |
US8590032B2 (en) | 2003-12-10 | 2013-11-19 | Aventail Llc | Rule-based routing to resources through a network |
US10135827B2 (en) | 2003-12-10 | 2018-11-20 | Sonicwall Inc. | Secure access to remote resources over a network |
US8615796B2 (en) | 2003-12-10 | 2013-12-24 | Aventail Llc | Managing resource allocations |
US10003576B2 (en) | 2003-12-10 | 2018-06-19 | Sonicwall Inc. | Rule-based routing to resources through a network |
US9906534B2 (en) | 2003-12-10 | 2018-02-27 | Sonicwall Inc. | Remote access to resources over a network |
US9628489B2 (en) | 2003-12-10 | 2017-04-18 | Sonicwall Inc. | Remote access to resources over a network |
US9397927B2 (en) | 2003-12-10 | 2016-07-19 | Aventail Llc | Rule-based routing to resources through a network |
US9407456B2 (en) | 2003-12-10 | 2016-08-02 | Aventail Llc | Secure access to remote resources over a network |
US8601550B2 (en) | 2004-06-24 | 2013-12-03 | Aventail Llc | Remote access to resources over a network |
JP4714111B2 (en) * | 2006-08-29 | 2011-06-29 | 株式会社日立製作所 | Management computer, computer system and switch |
JP2008060692A (en) * | 2006-08-29 | 2008-03-13 | Hitachi Ltd | Management computer, computer system, and switch |
JP2008206029A (en) * | 2007-02-22 | 2008-09-04 | D & M Holdings Inc | Content delivery system, client terminal, content delivery server and content delivery method |
JP2011175383A (en) * | 2010-02-23 | 2011-09-08 | Nippon Telegr & Teleph Corp <Ntt> | Address intensive system and message transmission source authentication method |
JP2016212711A (en) * | 2015-05-12 | 2016-12-15 | 日本電信電話株式会社 | Authentication method and authentication device |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US8769629B2 (en) | User sensitive filtering of network application layer | |
JP3954385B2 (en) | System, device and method for rapid packet filtering and packet processing | |
KR100697419B1 (en) | System and method for using an ip address as a wireless unit identifier | |
US8073936B2 (en) | Providing support for responding to location protocol queries within a network node | |
US8094660B2 (en) | VLAN server | |
US7107609B2 (en) | Stateful packet forwarding in a firewall cluster | |
EP1093254A2 (en) | Virtual private network management system | |
JP2006262193A (en) | Controller, packet transferring method, and packet processor | |
US20050149633A1 (en) | Method and system for communicating between a management station and at least two networks having duplicate Internet Protocol addresses | |
US20040146045A1 (en) | Communication scheme for preventing attack by pretending in service using anycast | |
CN110300057A (en) | Agent Advertisement in multi-host network | |
CN111935312A (en) | Industrial Internet container cloud platform and flow access control method thereof | |
JP2845208B2 (en) | Address resolution device | |
JP2006013732A (en) | Routing device and authentication method of information processor | |
JP2020113869A (en) | Transfer device | |
US20110216770A1 (en) | Method and apparatus for routing network packets and related packet processing circuit | |
US20070147376A1 (en) | Router-assisted DDoS protection by tunneling replicas | |
JP5504940B2 (en) | Virtual private network system, communication method and computer program | |
US20050216598A1 (en) | Network access system and associated methods | |
JP3973357B2 (en) | Port number convergence, deployment method and gateway server thereof | |
US8687487B2 (en) | Method and system for communication between nodes | |
CN112866031B (en) | Route configuration method, device, equipment and computer readable storage medium | |
US20180034734A1 (en) | Network processing unit (npu) integrated layer 2 network device for layer 3 offloading | |
US20230164149A1 (en) | Causing or preventing an update to a network address translation table | |
JP2002199003A (en) | Method for registering mobile terminal position and device for executing the method |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20060801 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20080827 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20080909 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20081104 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20081209 |