JP2006025065A - Network, network equipment, local authenticating method used therefor, and program thereof - Google Patents

Network, network equipment, local authenticating method used therefor, and program thereof Download PDF

Info

Publication number
JP2006025065A
JP2006025065A JP2004199958A JP2004199958A JP2006025065A JP 2006025065 A JP2006025065 A JP 2006025065A JP 2004199958 A JP2004199958 A JP 2004199958A JP 2004199958 A JP2004199958 A JP 2004199958A JP 2006025065 A JP2006025065 A JP 2006025065A
Authority
JP
Japan
Prior art keywords
authentication
supplicant
network
network device
local
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2004199958A
Other languages
Japanese (ja)
Inventor
Yoshiki Matsukawa
良樹 松川
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP2004199958A priority Critical patent/JP2006025065A/en
Publication of JP2006025065A publication Critical patent/JP2006025065A/en
Pending legal-status Critical Current

Links

Images

Landscapes

  • Small-Scale Networks (AREA)

Abstract

<P>PROBLEM TO BE SOLVED: To provide a network whose security can be increased by physically limiting a connectable range of a connected supplicant. <P>SOLUTION: A supplicant 3-1 sends an authentication request to network equipment 2-1 by a local authenticating function 32-1 by using a local authentication key and when a local authenticating function 21-1 of the network equipment 2-1 detects the local authentication key being coincident, the local authentication with the network equipment 2-1 is successful. Once the local authentication is successful, the supplicant 3-1 sends an authentication request to an authenticating server 1 by an individual authenticating function 31-1 by using an individual authentication key and when the individual authenticating function 11 of the authenticating server 1 detects the individual authentication key being coincident, all the authentications are successful, so a connection with a backbone network 100 can be made. <P>COPYRIGHT: (C)2006,JPO&NCIPI

Description

本発明はネットワーク、ネットワーク機器及びそれに用いるローカル認証方法並びにそのプログラムに関し、特にネットワークを構成するサプリカントのIEEE(Institute of Electrical and Electronic Engineers)802.1Xによる認証方法に関する。   The present invention relates to a network, a network device, a local authentication method used therefor, and a program therefor, and more particularly, to an authentication method using IEEE (Institute of Electrical and Electronic Engineers) 802.1X of a supplicant configuring a network.

IEEE802.1Xは、LAN(Local Area Network)スイッチやブリッジ等のLAN機器のポート単位でユーザのアクセス権を認証する手順を規定する標準仕様である(例えば、非特許文献1参照)。   IEEE 802.1X is a standard specification that defines a procedure for authenticating a user's access right for each port of a LAN device such as a LAN (Local Area Network) switch or a bridge (for example, see Non-Patent Document 1).

IEEE802.1Xの主な用途としては、無線LANから有線LANに接続する際の認証がある。つまり、IEEE802.1Xでは、RADIUS(Remote Authentication Dial−In User Service)サーバを使ってユーザを認証し、ユーザ毎に暗号鍵を生成し、さらに接続する度に鍵を更新し、一連の認証手順の連携にEAP(Extensible Authentication Protocol)を使うことが規定されている。   The main application of IEEE802.1X is authentication when connecting from a wireless LAN to a wired LAN. In other words, in IEEE 802.1X, a user is authenticated using a RADIUS (Remote Authentication Dial-In User Service) server, an encryption key is generated for each user, and the key is updated each time a connection is made. It is specified that EAP (Extensible Authentication Protocol) is used for cooperation.

上記のIEEE802.1Xでは、認証されるコンポーネントを示すサプリカント(Supplicant)と、サプリカントのアクセスを制御するコンポーネント(ポートの開閉を行うコンポーネント)を示すオーセンティケータ(Authenticator)と、サプリカントの認証を行うコンポーネントを示すオーセンティケーションサーバ(Authentication Server)との3つの構成単位(コンポーネント)が定義されている。   In the above IEEE802.1X, a supplicant (Supplicant) indicating a component to be authenticated, an authenticator (Authenticator) indicating a component that controls access to the supplicant (a component that opens and closes a port), and authentication of the supplicant Three structural units (components) are defined with an authentication server that indicates a component that performs the operation.

一方、IEEE802.11による認証方法としては、無線クライアントがアクセスポイントとの認証を行った後に、そのアクセスポイント経由でユーザ名とパスワードとを認証サーバに送る方法がある(例えば、特許文献1,2参照)。   On the other hand, as an authentication method according to IEEE 802.11, there is a method in which a wireless client authenticates with an access point and then sends a user name and a password to the authentication server via the access point (for example, Patent Documents 1 and 2). reference).

特開2004−015725号公報JP 2004-015725 A 特開2004−023736号公報JP 2004-023736 A “Port−Based Network Access Cobtrol”(IEEE802.1X,ページ5〜48,2001年6月14日)“Port-Based Network Access Control” (IEEE 802.1X, pages 5 to 48, June 14, 2001)

上述した従来のIEEE802.1Xによる認証方法では、IEEE802.1Xによってサプリカントと認証サーバとによる個別認証のみが行われているが、その個別認証では、一旦、個別認証用の鍵が盗まれると、ネットワークのどこからでも不正に接続される危険性がある。   In the above-described conventional IEEE802.1X authentication method, only individual authentication by the supplicant and the authentication server is performed by IEEE802.1X. However, in the individual authentication, once the key for individual authentication is stolen, There is a risk of unauthorized connection from anywhere in the network.

すなわち、認証サーバによる個別認証では、個別認証用の鍵さえあれば、ネットワークの接続位置が限定されず、どこからでも接続可能になり、不正にアクセスされる危険性がある。これは上記の特許文献1,2の技術でも同様であり、無線クライアントとアクセスポイントとの認証が個別認証の手続きを許可すべきかどうかの認証でないため、個別認証用の鍵さえあれば、無線クライアントがアクセスポイントに接続してネットワークに不正にアクセスされる危険性がある。また、無線アクセスポイントの認証方式では、データフレーム自体を暗号化する方式であるため、高速転送が必要なネットワークには適さない。   That is, in the individual authentication by the authentication server, as long as there is a key for individual authentication, the connection position of the network is not limited, and connection is possible from anywhere, and there is a risk of unauthorized access. The same applies to the techniques of the above-mentioned Patent Documents 1 and 2, and since the authentication between the wireless client and the access point is not an authentication as to whether or not the individual authentication procedure should be permitted, the wireless client only has to have a key for individual authentication. May gain unauthorized access to the network by connecting to the access point. In addition, the wireless access point authentication method is a method for encrypting the data frame itself, and is not suitable for a network that requires high-speed transfer.

一方、MAC(Media Access Control)アドレスによる個別認証を追加した場合には、セキュリティが高まるが、MACアドレスの調査や端末の変更によるMACアドレスの変更で手間がかかる。   On the other hand, when individual authentication based on a MAC (Media Access Control) address is added, security is improved, but it takes time to change the MAC address by examining the MAC address or changing the terminal.

そこで、本発明の目的は上記の問題点を解消し、接続されるサプリカントの接続可能範囲を物理的に限定することができ、セキュリティを高めることができるネットワーク、ネットワーク機器及びそれに用いるローカル認証方法並びにそのプログラムを提供することにある。   Therefore, an object of the present invention is to solve the above-described problems, physically limit the connectable range of connected supplicants, and improve security. Network, network device, and local authentication method used therefor And providing the program.

本発明によるネットワークは、IEEE802.1Xの仕様にしたがって個別認証されるサプリカントと、前記サプリカントの個別認証を行う認証サーバと、前記サプリカントを網に接続するネットワーク機器とからなるネットワークであって、
前記ネットワーク機器に接続されるサプリカントの個別認証を許可するか否かを判定するためのローカル認証を行う手段を前記ネットワーク機器に備えている。 The network according to the present invention is a network comprising a supplicant that is individually authenticated in accordance with IEEE 802.1X specifications, an authentication server that performs individual authentication of the supplicant, and a network device that connects the supplicant to the network. ,
Means for performing local authentication for determining whether or not to permit individual authentication of a supplicant connected to the network device is provided in the network device.

本発明によるネットワーク機器は、IEEE802.1Xの仕様にしたがって認証サーバによる個別認証が行われるサプリカントをネットワークに接続するネットワーク機器であって、
自機器に接続されるサプリカントの個別認証を許可するか否かを判定するためのローカル認証を行う手段を備えている。 A network device according to the present invention is a network device for connecting a supplicant that is individually authenticated by an authentication server in accordance with the IEEE 802.1X specification to a network.
There is provided means for performing local authentication for determining whether or not individual authentication of a supplicant connected to the own device is permitted.

本発明によるローカル認証方法は、IEEE802.1Xの仕様にしたがって個別認証されるサプリカントと、前記サプリカントの個別認証を行う認証サーバと、前記サプリカントを網に接続するネットワーク機器とからなるネットワークに用いるローカル認証方法であって、前記ネットワーク機器側に、前記ネットワーク機器に接続されるサプリカントの個別認証を許可するか否かを判定するためのローカル認証を行うステップを備えている。   The local authentication method according to the present invention is a network that includes a supplicant that is individually authenticated in accordance with IEEE 802.1X specifications, an authentication server that performs individual authentication of the supplicant, and a network device that connects the supplicant to the network. In the local authentication method to be used, the network device includes a step of performing local authentication to determine whether individual authentication of a supplicant connected to the network device is permitted.

本発明によるローカル認証方法のプログラムは、IEEE802.1Xの仕様にしたがって個別認証されるサプリカントと、前記サプリカントの個別認証を行う認証サーバと、前記サプリカントを網に接続するネットワーク機器とからなるネットワークに用いるローカル認証方法のプログラムであって、前記ネットワーク機器のコンピュータに、前記ネットワーク機器に接続されるサプリカントの個別認証を許可するか否かを判定するためのローカル認証を行う処理を実行させている。   A program for a local authentication method according to the present invention includes a supplicant that is individually authenticated in accordance with IEEE 802.1X specifications, an authentication server that performs individual authentication of the supplicant, and a network device that connects the supplicant to a network. A program for a local authentication method used for a network, which causes a computer of the network device to execute a process of performing local authentication to determine whether individual authentication of a supplicant connected to the network device is permitted ing.

すなわち、本発明のネットワークは、IEEE(Institute of Electrical and Electronic Engineers)802.1X機能を内蔵するネットワーク機器とサプリカントとから構成され、これらのネットワーク機器とサプリカントとが持つIEEE802.1X機能を、サプリカントが接続できるネットワーク機器を限定するように拡張している。   That is, the network of the present invention is composed of a network device having a built-in IEEE (Institute of Electrical and Electronic Engineers) 802.1X function and a supplicant, and the IEEE 802.1X function possessed by these network devices and the supplicant, The network has been expanded to limit the network devices that can be connected to the supplicant.

本発明のネットワークでは、上記の機能によって、サプリカントが接続可能なネットワーク機器として、サプリカントを直接収容するネットワーク機器に限定されるようになる。この場合、認証されるサプリカントはネットワーク機器の物理ポートのうちのどのポートに接続しても構わない。   In the network of the present invention, the above-described functions limit the network devices that can be connected to the supplicant to network devices that directly accommodate the supplicant. In this case, the authenticated supplicant may be connected to any of the physical ports of the network device.

上記のように、本発明のネットワークでは、接続されるサプリカントの接続可能範囲を物理的に限定することが可能となり、セキュリティを高めることが可能となる。   As described above, in the network of the present invention, the connectable range of the connected supplicant can be physically limited, and security can be increased.

認証サーバによる個別認証では、個別認証用の鍵さえあれば、ネットワークの接続位置が限定されず、どこからでも接続可能となるので、ネットワークが不正にアクセスされる危険性がある。   In the individual authentication by the authentication server, as long as there is a key for individual authentication, the connection position of the network is not limited, and connection is possible from anywhere, so there is a risk that the network is illegally accessed.

一方、MAC(Media Access Control)アドレスによる個別認証を追加した場合には、セキュリティが高まるが、MACアドレスの調査や端末の変更によるMACアドレスの変更で手間がかかる。   On the other hand, when individual authentication based on a MAC (Media Access Control) address is added, security is improved, but it takes time to change the MAC address by examining the MAC address or changing the terminal.

これに対して、本発明のネットワークでは、ネットワークのセキュリティを高めつつ、MACアドレスによる個別認証に必要な手間を省くことが可能になる。また、本発明のネットワークでは、認証されるサプリカントをネットワーク機器の物理ポートのどこに接続しても構わないので、その運用性が高い。   On the other hand, in the network of the present invention, it is possible to increase the security of the network and to save the labor required for individual authentication by the MAC address. Further, in the network of the present invention, the supplicant to be authenticated can be connected to any physical port of the network device, so that the operability is high.

よって、本発明のネットワークでは、ローカル認証の機能を用いてサプリカントが接続できるネットワーク機器を限定することで、例え個別認証用の鍵が盗まれても、接続できる範囲を物理的に限定することが可能となり、運用性を悪化させることなく、不正に接続される危険性を極めて少なくすることが可能となる。   Therefore, in the network of the present invention, by limiting the network devices to which the supplicant can be connected using the local authentication function, the range that can be connected is physically limited even if the key for individual authentication is stolen. It is possible to reduce the risk of unauthorized connection without deteriorating operability.

本発明は、以下に述べるような構成及び動作とすることで、接続されるサプリカントの接続可能範囲を物理的に限定することができ、セキュリティを高めることができるという効果が得られる。   By adopting the configuration and operation as described below, the present invention can physically limit the connectable range of the connected supplicant, and the effect that security can be improved is obtained.

次に、本発明の実施例について図面を参照して説明する。図1は本発明の一実施例によるネットワークの構成を示すブロック図である。図1において、本発明の一実施例によるネットワークは認証サーバ1と、バックボーンネットワーク100と、ネットワーク機器(スイッチ)2−1,2−2,・・・と、サプリカント3−1〜3−3,4−1,4−2とから構成されている。以下の説明では、ネットワーク機器2−1,2−2について述べる。   Next, embodiments of the present invention will be described with reference to the drawings. FIG. 1 is a block diagram showing a network configuration according to an embodiment of the present invention. 1, the network according to one embodiment of the present invention includes an authentication server 1, a backbone network 100, network devices (switches) 2-1, 2-2,..., And supplicants 3-1 to 3-3. , 4-1 and 4-2. In the following description, the network devices 2-1 and 2-2 will be described.

バックボーンネットワーク100には認証サーバ1とネットワーク機器2−1,2−2とが接続されており、ネットワーク機器2−1,2−2はサプリカント3−1〜3−3,4−1,4−2を収容する。認証サーバ1はサプリカント3−1〜3−3,4−1,4−2を個別に認証する。   An authentication server 1 and network devices 2-1 and 2-2 are connected to the backbone network 100, and the network devices 2-1 and 2-2 are supplicants 3-1 to 3-3, 4-1, and 4, respectively. -2 is accommodated. The authentication server 1 individually authenticates the supplicants 3-1 to 3-3, 4-1, and 4-2.

サプリカント3−1〜3−3はネットワーク機器2−1に接続するための共通の鍵を持ち、これらがネットワーク機器2−1に接続された場合、ネットワーク機器2−1が持つ鍵によってローカル認証される。同様に、サプリカント4−1,4−2はネットワーク機器2−2に接続するための共通の鍵を持ち、これらがネットワーク機器2−2に接続された場合、ネットワーク機器2−2が持つ鍵によってローカル認証される。   The supplicants 3-1 to 3-3 have a common key for connecting to the network device 2-1, and when these are connected to the network device 2-1, local authentication is performed using the key of the network device 2-1. Is done. Similarly, the supplicants 4-1 and 4-2 have a common key for connecting to the network device 2-2, and when these are connected to the network device 2-2, the key held by the network device 2-2. Authenticated locally.

ネットワーク機器2−1,2−2に接続されたサプリカント3−1〜3−3,4−1,4−2はネットワーク機器2−1,2−2のローカル認証の機能によって認証され、その後、認証サーバ1で個別認証され、バックボーンネットワーク100に接続可能になる。   The supplicants 3-1 to 3-3, 4-1 and 4-2 connected to the network devices 2-1 and 2-2 are authenticated by the local authentication function of the network devices 2-1 and 2-2. Individual authentication by the authentication server 1 enables connection to the backbone network 100.

サプリカント3−3はネットワーク機器2−1に接続するための鍵を持つが、ネットワーク機器2−2に接続するための鍵を持たない。もし、サプリカント3−3をネットワーク機器2−2に接続しようとしても鍵が異なるため、ローカル認証されず、ネットワーク機器2−2に接続することができない。   The supplicant 3-3 has a key for connecting to the network device 2-1, but does not have a key for connecting to the network device 2-2. If the supplicant 3-3 is to be connected to the network device 2-2, the key is different, so local authentication is not performed and the connection to the network device 2-2 is not possible.

認証サーバ1によるサプリカント3−1〜3−3,4−1,4−2の個別認証は、IEEE802.1Xの標準仕様(上記の非特許文献1参照)にて実施する。本実施例では上述したローカル認証と個別認証との両方を使用することによって、セキュリティを高めることが可能になる。   The individual authentication of the supplicants 3-1 to 3-3, 4-1, and 4-2 by the authentication server 1 is performed according to the IEEE 802.1X standard specification (see Non-Patent Document 1 above). In this embodiment, it is possible to improve security by using both the local authentication and the individual authentication described above.

図2は図1の認証サーバ1とネットワーク機器2−1とサプリカント3−1との間のローカル認証及び個別認証の関係を示す図である。図2において、認証サーバ1は個別認証用鍵を保持し、その個別認証用鍵を用いてサプリカント3−1の認証を行う個別認証機能11を備え、ネットワーク機器2−1はローカル認証用鍵を保持し、そのローカル認証用鍵を用いてサプリカント3−1の認証を行うローカル認証機能21−1を備えている。   FIG. 2 is a diagram showing a relationship of local authentication and individual authentication among the authentication server 1, the network device 2-1, and the supplicant 3-1. In FIG. 2, an authentication server 1 has an individual authentication function 11 for holding an individual authentication key and authenticating the supplicant 3-1 using the individual authentication key, and the network device 2-1 has a local authentication key. And a local authentication function 21-1 for authenticating the supplicant 3-1 using the local authentication key.

サプリカント3−1は個別認証用鍵及びローカル認証用鍵を保持し、個別認証用鍵にて認証サーバ1に対して認証要求を行う個別認証機能31−1と、ローカル認証用鍵にてネットワーク機器2−1に対して認証要求を行うローカル認証機能32−1とを備えている。尚、図示していないが、ネットワーク機器2−2やサプリカント3−2,3−3,4−1,4−2も、上記のネットワーク機器2−1及びサプリカント3−1と同様の機能を備えている。   The supplicant 3-1 holds an individual authentication key and a local authentication key, and makes an authentication request to the authentication server 1 with the individual authentication key, and a network with the local authentication key. A local authentication function 32-1 for making an authentication request to the device 2-1. Although not shown, the network device 2-2 and the supplicants 3-2, 3-3, 4-1, 4-2 have the same functions as the network device 2-1 and the supplicant 3-1. It has.

サプリカント3−1はローカル認証機能32−1にてローカル認証用鍵を用いてネットワーク機器2−1に認証要求を行い、ネットワーク機器2−1のローカル認証機能21−1にてローカル認証用鍵の一致が検出されると、ネットワーク機器2−1との間でローカル認証が成功する。   The supplicant 3-1 makes an authentication request to the network device 2-1 using the local authentication key in the local authentication function 32-1, and the local authentication key in the local authentication function 21-1 of the network device 2-1. Is detected, the local authentication with the network device 2-1 succeeds.

サプリカント3−1はローカル認証が成功すると、個別認証機能31−1にて個別認証用鍵を用いて認証サーバ1に認証要求を行い、認証サーバ1の個別認証機能11にて個別認証用鍵の一致が検出されると、すべての認証が成功するので、バックボーンネットワーク100への接続が可能となる。   When local authentication is successful, the supplicant 3-1 makes an authentication request to the authentication server 1 using the individual authentication key in the individual authentication function 31-1, and the individual authentication key in the individual authentication function 11 of the authentication server 1. When a match is detected, all the authentications are successful, and connection to the backbone network 100 becomes possible.

図3は本発明の一実施例によるローカル認証用鍵通知のパケットフォーマットを示す図である。図3において、このパケットフォーマットのベースはIEEE802.1Xであるが、この中にローカル認証用の鍵を収容するようにしており、その鍵でネットワーク機器2−1,2−2がローカル認証を実施する。   FIG. 3 is a diagram showing a packet format of local authentication key notification according to an embodiment of the present invention. In FIG. 3, the base of this packet format is IEEE802.1X, but a key for local authentication is accommodated in this, and the network devices 2-1 and 2-2 perform local authentication with the key. To do.

つまり、上記のパケットフォーマットはCode=1(1byte)[EAP(Extensible Authentication Protocol)−Response]と、Identifier(1byte)と、Length(2byte)と、Type=2(1byte)(Notification)と、Type data(ローカル認証鍵)とから構成されている。   That is, the above packet formats are Code = 1 (1 byte) [EAP (Extensible Authentication Protocol) -Response], Identifier (1 byte), Length (2 bytes), Type = 2 (1 byte), type, and type. (Local authentication key).

尚、上記のローカル認証鍵としてはMD5(Message Digest algorithm 5),SHA−1(Secure Hash Algorithm−1)等の認証方式の鍵が考えられる。   The local authentication key may be an authentication method key such as MD5 (Message Digest algorithm 5) or SHA-1 (Secure Hash Algorithm-1).

図4は本発明の一実施例によるネットワークにおける認証動作を示すシーケンスチャートである。これら図1〜図4を参照して本発明の一実施例によるネットワークにおける認証動作、つまりローカル認証動作と個別認証動作とについて説明する。以下の説明では、図2に示す認証サーバ1とネットワーク機器2−1とサプリカント3−1との間のローカル認証及び個別認証について説明する。   FIG. 4 is a sequence chart showing an authentication operation in a network according to an embodiment of the present invention. The authentication operation in the network according to the embodiment of the present invention, that is, the local authentication operation and the individual authentication operation will be described with reference to FIGS. In the following description, local authentication and individual authentication among the authentication server 1, the network device 2-1, and the supplicant 3-1 shown in FIG. 2 will be described.

サプリカント3−1からIEEE802.1Xをスタートさせる「802.1Xスタート要求」が出力されると(図4のa1)、ローカル認証を行うように設定されているネットワーク機器2−1はこれを受信すると、ローカル認証をスタートさせる「ローカル認証スタート要求」をサプリカント3−1に出力する(図4のa2)。   When the “802.1X start request” for starting IEEE 802.1X is output from the supplicant 3-1 (a 1 in FIG. 4), the network device 2-1 configured to perform local authentication receives this. Then, a “local authentication start request” for starting local authentication is output to the supplicant 3-1 (a 2 in FIG. 4).

これを受信したサプリカント3−1は「ローカル認証用鍵通知」(図3参照)をネットワーク機器2−1に通知し(図4のa3)、ネットワーク機器2−1はローカル認証を行い、認証すると「ローカル認証OK」を出力する(図4のa4)。   The supplicant 3-1 that has received the notification notifies the network device 2-1 of “local authentication key notification” (see FIG. 3) (a3 in FIG. 4), and the network device 2-1 performs local authentication and authentication. Then, “local authentication OK” is output (a4 in FIG. 4).

これを受信したサプリカント3−1はIEEE802.1Xの個別認証をスタートさせ、認証サーバ1にて認証されることとなり、バックボーンネットワーク100に接続可能となる(図4のa5〜a9)。   The supplicant 3-1 that has received this starts the IEEE802.1X individual authentication and is authenticated by the authentication server 1, and can be connected to the backbone network 100 (a5 to a9 in FIG. 4).

これに対し、「ローカル認証用鍵通知」を受信したネットワーク機器2−1はローカル認証用鍵が異なる等の理由で、ローカル認証できなかった場合、サプリカント3−1からのIEEE802.1Xの認証処理のシーケンスをこれ以上進ませず、認証サーバ1による個別認証へは進ませない。   On the other hand, if the network device 2-1 that has received the “local authentication key notification” fails to perform local authentication because the local authentication key is different, the IEEE802.1X authentication from the supplicant 3-1 is performed. The processing sequence is not advanced any further, and the individual authentication by the authentication server 1 is not advanced.

図5は図1のネットワーク機器2−1によるローカル認証処理を示すフローチャートである。図1と図2と図5とを参照してネットワーク機器2−1によるローカル認証処理について説明する。   FIG. 5 is a flowchart showing local authentication processing by the network device 2-1 in FIG. The local authentication process by the network device 2-1 will be described with reference to FIG. 1, FIG. 2, and FIG.

尚、図5に示す処理は、ネットワーク機器2−1が図示せぬCPU(中央処理装置)とRAM(リードオンリメモリ)と記録媒体とを含むコンピュータからなる場合、CPUが記録媒体のプログラムをRAMに移して実行することで実現される。また、以下の説明では、図2に示す認証サーバ1とネットワーク機器2−1とサプリカント3−1との間のローカル認証及び個別認証を行う際のネットワーク機器2−1の動作について説明する。   5 is performed when the network device 2-1 includes a computer (not shown) including a CPU (Central Processing Unit), a RAM (Read Only Memory), and a recording medium. It is realized by moving to and executing. Further, in the following description, the operation of the network device 2-1 when performing local authentication and individual authentication among the authentication server 1, the network device 2-1, and the supplicant 3-1 shown in FIG.

ネットワーク機器2−1はサプリカント3−1からの802.1Xスタート要求を受け取ると(図5ステップS1)、サプリカント3−1からのローカル認証の鍵を認証する(図5ステップS2)。   When the network device 2-1 receives the 802.1X start request from the supplicant 3-1 (step S 1 in FIG. 5), it authenticates the local authentication key from the supplicant 3-1 (step S 2 in FIG. 5).

ネットワーク機器2−1はローカル認証の鍵の認証結果がOKであれば(図5ステップS3)、サプリカント3−1からの個別認証の鍵を認証サーバ1に転送し、その認証結果を確認する(図5ステップS4)。   If the authentication result of the local authentication key is OK (step S3 in FIG. 5), the network device 2-1 transfers the individual authentication key from the supplicant 3-1 to the authentication server 1 and confirms the authentication result. (FIG. 5, step S4).

ネットワーク機器2−1は認証サーバ1からの認証結果がOKであれば(図5ステップS5)、サプリカント3−1をバックボーンネットワーク100に接続する(図5ステップS6)。   If the authentication result from the authentication server 1 is OK (step S5 in FIG. 5), the network device 2-1 connects the supplicant 3-1 to the backbone network 100 (step S6 in FIG. 5).

一方、ネットワーク機器2−1はローカル認証の鍵の認証結果がNGである場合(図5ステップS3)、あるいは認証サーバ1からの認証結果がNGである場合(図5ステップS5)、サプリカント3−1の認証処理のシーケンスを停止する(図5ステップS7)。   On the other hand, when the authentication result of the local authentication key is NG (step S3 in FIG. 5) or the authentication result from the authentication server 1 is NG (step S5 in FIG. 5), the network device 2-1 has a supplicant 3 -1 authentication processing sequence is stopped (step S7 in FIG. 5).

このように、本実施例では、接続されるサプリカント3−1〜3−3,4−1,4−2の接続可能範囲を物理的に限定(接続可能範囲を対応するネットワーク機器2−1,2−2に限定)することができ、セキュリティを高めることができる。   As described above, in this embodiment, the connectable range of the connected supplicants 3-1 to 3-3, 4-1, and 4-2 is physically limited (the network device 2-1 corresponding to the connectable range). , 2-2), and security can be enhanced.

認証サーバ1による個別認証では、個別認証用の鍵さえあれば、ネットワークの接続位置が限定されず、どこからでも接続可能になるが、不正にアクセスされる危険性がある。また、MACアドレスによる個別認証を追加した場合には、そのセキュリティを高めることができるが、MACアドレスの調査や端末の変更によるMACアドレスの変更で手間がかかる。   In the individual authentication by the authentication server 1, as long as there is a key for individual authentication, the connection position of the network is not limited and connection can be made from anywhere, but there is a risk of unauthorized access. In addition, when individual authentication based on a MAC address is added, the security can be enhanced, but it takes time to change the MAC address by examining the MAC address or changing the terminal.

本実施例では、上記のように、サプリカント3−1〜3−3,4−1,4−2の接続可能範囲を対応するネットワーク機器2−1,2−2に限定することで、セキュリティを高めつつ、MACアドレスによる個別認証に必要な手間を省くことができる。   In the present embodiment, as described above, by limiting the connectable range of the supplicants 3-1 to 3-3, 4-1, and 4-2 to the corresponding network devices 2-1 and 2-2, security can be achieved. The effort required for the individual authentication by the MAC address can be saved.

また、本実施例では、認証されるサプリカント3−1〜3−3,4−1,4−2を、接続するネットワーク機器2−1,2−2の物理ポートのどこに接続しても構わないので、その運用性を高めることができる。   In this embodiment, the supplicants 3-1 to 3-3, 4-1, and 4-2 to be authenticated may be connected to any physical port of the connected network devices 2-1 and 2-2. Since there is no, the operability can be improved.

本発明の一実施例によるネットワークの構成を示すブロック図である。It is a block diagram which shows the structure of the network by one Example of this invention. 図1の認証サーバとネットワーク機器とサプリカントとの間のローカル認証及び個別認証の関係を示す図である。It is a figure which shows the relationship of the local authentication and individual authentication between the authentication server of FIG. 1, a network apparatus, and a supplicant. 本発明の一実施例によるローカル認証用鍵通知のパケットフォーマットを示す図である。It is a figure which shows the packet format of the key notification for local authentication by one Example of this invention. 本発明の一実施例によるネットワークにおける認証動作を示すシーケンスチャートである。It is a sequence chart which shows the authentication operation | movement in the network by one Example of this invention. 図1のネットワーク機器によるローカル認証処理を示すフローチャートである。It is a flowchart which shows the local authentication process by the network device of FIG.

符号の説明Explanation of symbols

1 認証サーバ
2−1,2−2 ネットワーク機器
3−1〜3−3,4−1,4−2 サプリカント
11,31−1 個別認証機能
21−1,32−1 ローカル認証機能
100 バックボーンネットワーク
1 Authentication server
2-1, 2-2 Network equipment 3-1-3-3, 4-1, 4-2 Supplicant
11, 31-1 Individual authentication function
21-1, 32-1 Local authentication function
100 backbone network

Claims (16)

IEEE802.1Xの仕様にしたがって個別認証されるサプリカントと、前記サプリカントの個別認証を行う認証サーバと、前記サプリカントを網に接続するネットワーク機器とからなるネットワークであって、
前記サプリカントの個別認証を行う際に前記ネットワーク機器に接続されるサプリカントの個別認証を許可するか否かを判定するためのローカル認証を行う手段を前記ネットワーク機器に有することを特徴とするネットワーク。 A network composed of a supplicant that is individually authenticated in accordance with IEEE 802.1X specifications, an authentication server that performs individual authentication of the supplicant, and a network device that connects the supplicant to a network;
A network characterized in that the network device has means for performing local authentication for determining whether or not to permit individual authentication of a supplicant connected to the network device when performing individual authentication of the supplicant. . 前記サプリカントを前記ネットワーク機器のいずれの物理ポートへの接続も自在とすることを特徴とする請求項1記載のネットワーク。   2. The network according to claim 1, wherein the supplicant can be freely connected to any physical port of the network device. 前記サプリカントは、前記個別認証の鍵と前記ローカル認証の鍵とを保持することを特徴とする請求項1または請求項2記載のネットワーク。   3. The network according to claim 1, wherein the supplicant holds the individual authentication key and the local authentication key. 前記ローカル認証鍵は、少なくともMD5(Message Digest algorithm 5),SHA−1(Secure Hash Algorithm−1)のいずれかの認証方式の鍵であることを特徴とする請求項1から請求項3のいずれか記載のネットワーク。   4. The method according to claim 1, wherein the local authentication key is at least one of MD5 (Message Digest algorithm 5) and SHA-1 (Secure Hash Algorithm-1) authentication methods. The described network. 前記ネットワーク機器は、前記ローカル認証できなかったサプリカントからの前記認証サーバへの前記個別認証の要求転送を抑止することを特徴とする請求項1から請求項4のいずれか記載のネットワーク。   5. The network according to claim 1, wherein the network device suppresses transfer of the individual authentication request from the supplicant that has not been able to perform local authentication to the authentication server. 6. IEEE802.1Xの仕様にしたがって認証サーバによる個別認証が行われるサプリカントをネットワークに接続するネットワーク機器であって、
前記サプリカントの個別認証を行う際に自機器に接続されるサプリカントの個別認証を許可するか否かを判定するためのローカル認証を行う手段を有することを特徴とするネットワーク機器。 A network device that connects a supplicant that is individually authenticated by an authentication server in accordance with the IEEE 802.1X specification to a network,
A network device comprising means for performing local authentication for determining whether or not to permit individual authentication of a supplicant connected to the own device when performing individual authentication of the supplicant. 前記サプリカントを自機器のいずれの物理ポートへの接続も自在とすることを特徴とする請求項6記載のネットワーク機器。   7. The network device according to claim 6, wherein the supplicant can be freely connected to any physical port of the device itself. 前記ローカル認証を前記サプリカントが保持する前記ローカル認証の鍵にて行うことを特徴とする請求項6または請求項7記載のネットワーク機器。   The network device according to claim 6 or 7, wherein the local authentication is performed using the local authentication key held by the supplicant. 前記ローカル認証鍵は、少なくともMD5(Message Digest algorithm 5),SHA−1(Secure Hash Algorithm−1)のいずれかの認証方式の鍵であることを特徴とする請求項6から請求項8のいずれか記載のネットワーク機器。   9. The method according to claim 6, wherein the local authentication key is at least one of MD5 (Message Digest algorithm 5) and SHA-1 (Secure Hash Algorithm-1) authentication methods. The described network equipment. 前記ローカル認証できなかったサプリカントからの前記認証サーバへの前記個別認証の要求転送を抑止することを特徴とする請求項6から請求項9のいずれか記載のネットワーク機器。   10. The network device according to claim 6, wherein a transfer of the individual authentication request from the supplicant that cannot be locally authenticated to the authentication server is suppressed. 11. IEEE802.1Xの仕様にしたがって個別認証されるサプリカントと、前記サプリカントの個別認証を行う認証サーバと、前記サプリカントを網に接続するネットワーク機器とからなるネットワークに用いるローカル認証方法であって、前記ネットワーク機器側に、前記サプリカントの個別認証を行う際に前記ネットワーク機器に接続されるサプリカントの個別認証を許可するか否かを判定するためのローカル認証を行うステップを有することを特徴とするローカル認証方法。   A local authentication method used for a network including a supplicant that is individually authenticated according to IEEE 802.1X specifications, an authentication server that performs individual authentication of the supplicant, and a network device that connects the supplicant to a network, The network device has a step of performing local authentication for determining whether or not to permit individual authentication of a supplicant connected to the network device when performing individual authentication of the supplicant. Local authentication method to use. 前記サプリカントを前記ネットワーク機器のいずれの物理ポートへの接続も自在とすることを特徴とする請求項11記載のローカル認証方法。   12. The local authentication method according to claim 11, wherein the supplicant can be freely connected to any physical port of the network device. 前記サプリカントが前記個別認証の鍵と前記ローカル認証の鍵とを保持することを特徴とする請求項11または請求項12記載のローカル認証方法。   13. The local authentication method according to claim 11, wherein the supplicant holds the individual authentication key and the local authentication key. 前記ローカル認証鍵が、少なくともMD5(Message Digest algorithm 5),SHA−1(Secure Hash Algorithm−1)のいずれかの認証方式の鍵であることを特徴とする請求項11から請求項13のいずれか記載のローカル認証方法。   The local authentication key is at least one of MD5 (Message Digest algorithm 5) and SHA-1 (Secure Hash Algorithm-1) authentication methods. The local authentication method described. 前記ネットワーク機器が、前記ローカル認証できなかったサプリカントからの前記認証サーバへの前記個別認証の要求転送を抑止することを特徴とする請求項11から請求項14のいずれか記載のローカル認証方法。   The local authentication method according to claim 11, wherein the network device suppresses transfer of the individual authentication request from the supplicant that has not been able to perform the local authentication to the authentication server. IEEE802.1Xの仕様にしたがって個別認証されるサプリカントと、前記サプリカントの個別認証を行う認証サーバと、前記サプリカントを網に接続するネットワーク機器とからなるネットワークに用いるローカル認証方法のプログラムであって、前記ネットワーク機器のコンピュータに、前記ネットワーク機器に接続されるサプリカントの個別認証を許可するか否かを判定するためのローカル認証を行う処理を実行させるためのプログラム。
A program for a local authentication method used in a network including a supplicant that is individually authenticated in accordance with IEEE 802.1X specifications, an authentication server that performs individual authentication of the supplicant, and a network device that connects the supplicant to the network. A program for causing a computer of the network device to execute a process of performing local authentication for determining whether or not to permit individual authentication of a supplicant connected to the network device.
JP2004199958A 2004-07-07 2004-07-07 Network, network equipment, local authenticating method used therefor, and program thereof Pending JP2006025065A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2004199958A JP2006025065A (en) 2004-07-07 2004-07-07 Network, network equipment, local authenticating method used therefor, and program thereof

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2004199958A JP2006025065A (en) 2004-07-07 2004-07-07 Network, network equipment, local authenticating method used therefor, and program thereof

Publications (1)

Publication Number Publication Date
JP2006025065A true JP2006025065A (en) 2006-01-26

Family

ID=35798043

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004199958A Pending JP2006025065A (en) 2004-07-07 2004-07-07 Network, network equipment, local authenticating method used therefor, and program thereof

Country Status (1)

Country Link
JP (1) JP2006025065A (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8024789B2 (en) 2005-02-21 2011-09-20 Fujitsu Limited Communication apparatus, program and method

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002152276A (en) * 2000-11-07 2002-05-24 Ntt Communications Kk Internet utilizing method and device utilizing wired or wireless lan system, and line concentration/connection device
JP2003153353A (en) * 2001-11-13 2003-05-23 Nec Access Technica Ltd Remotely setting method and apparatus thereof
JP2003289306A (en) * 2002-03-28 2003-10-10 Toshiba Corp Communication system and communication device
WO2004006117A1 (en) * 2002-07-05 2004-01-15 Interdigital Technology Corporation Method for performing wireless switching
JP2004015725A (en) * 2002-06-11 2004-01-15 Canon Inc Communication system, authentication method in communication system, program therefor and recording medium therefor
JP2004040651A (en) * 2002-07-05 2004-02-05 Ntt Docomo Inc Communication method, communication device, terminal equipment and communication service providing server
JP2004153314A (en) * 2002-10-28 2004-05-27 Fujitsu Ltd Service intermediary server and service providing apparatus

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002152276A (en) * 2000-11-07 2002-05-24 Ntt Communications Kk Internet utilizing method and device utilizing wired or wireless lan system, and line concentration/connection device
JP2003153353A (en) * 2001-11-13 2003-05-23 Nec Access Technica Ltd Remotely setting method and apparatus thereof
JP2003289306A (en) * 2002-03-28 2003-10-10 Toshiba Corp Communication system and communication device
JP2004015725A (en) * 2002-06-11 2004-01-15 Canon Inc Communication system, authentication method in communication system, program therefor and recording medium therefor
WO2004006117A1 (en) * 2002-07-05 2004-01-15 Interdigital Technology Corporation Method for performing wireless switching
JP2004040651A (en) * 2002-07-05 2004-02-05 Ntt Docomo Inc Communication method, communication device, terminal equipment and communication service providing server
JP2004153314A (en) * 2002-10-28 2004-05-27 Fujitsu Ltd Service intermediary server and service providing apparatus

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8024789B2 (en) 2005-02-21 2011-09-20 Fujitsu Limited Communication apparatus, program and method

Similar Documents

Publication Publication Date Title
US11405780B2 (en) Method for performing verification by using shared key, method for performing verification by using public key and private key, and apparatus
US10027664B2 (en) Secure simple enrollment
US20230007475A1 (en) Method for Performing Verification by Using Shared Key, Method for Performing Verification by Using Public Key and Private Key, and Apparatus
US9131378B2 (en) Dynamic authentication in secured wireless networks
US10122685B2 (en) Method for automatically establishing wireless connection, gateway device and client device for internet of things using the same
JP4746333B2 (en) Efficient and secure authentication of computing systems
US7370350B1 (en) Method and apparatus for re-authenticating computing devices
Housley et al. Guidance for authentication, authorization, and accounting (AAA) key management
JP6727294B2 (en) User equipment UE access method, access device, and access system
KR100978052B1 (en) Apparatus, method and computer program product providing mobile node identities in conjunction with authentication preferences in generic bootstrapping architecture GBA
WO2011017924A1 (en) Method, system, server, and terminal for authentication in wireless local area network
JP2006067174A (en) Control program, communication relay device control method, and communication relay device and system
CN104982053B (en) For obtaining the method and network node of the permanent identity of certification wireless device
WO2005004385A1 (en) Radio communication authentication program and radio communication program
JP2012507963A (en) Support for multiple pre-shared keys at the access point
KR20070041152A (en) Apparatus and method for processing eap-aka authentication in the non-usim terminal
WO2022111187A1 (en) Terminal authentication method and apparatus, computer device, and storage medium
WO2015100676A1 (en) Secure connection method for network device, and related device and system
WO2014015759A1 (en) Terminal identity verification and service authentication method, system, and terminal
WO2022111016A1 (en) Mobile network access system and method, and storage medium, and electronic device
WO2014127751A1 (en) Wireless terminal configuration method, apparatus and wireless terminal
CN111901116A (en) Identity authentication method and system based on EAP-MD5 improved protocol
JP7312279B2 (en) MOBILE NETWORK ACCESS SYSTEM, METHOD, STORAGE MEDIUM AND ELECTRONIC DEVICE
KR100667186B1 (en) Apparatus and method for realizing authentication system of wireless mobile terminal
JP2006025065A (en) Network, network equipment, local authenticating method used therefor, and program thereof

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20051115

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20090317

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20090518

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20100216

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20100419

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20110111