JP2007208323A - 認証vlanスイッチ - Google Patents
認証vlanスイッチ Download PDFInfo
- Publication number
- JP2007208323A JP2007208323A JP2006021414A JP2006021414A JP2007208323A JP 2007208323 A JP2007208323 A JP 2007208323A JP 2006021414 A JP2006021414 A JP 2006021414A JP 2006021414 A JP2006021414 A JP 2006021414A JP 2007208323 A JP2007208323 A JP 2007208323A
- Authority
- JP
- Japan
- Prior art keywords
- vlan
- authentication
- switch
- user
- user terminal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
【解決手段】認証スイッチ22は、中継処理部221、変換処理部222、記憶部223及び時刻部224を備える。変換処理部222は、中継処理部221がRADIUSサーバから受信した「VLAN ID」を、記憶部223に記憶されている固有値、IPアドレス、MACアドレス、または時刻部224が計時する現在時刻を利用して変換する。そして、その変換により得られたVLAN IDをVLANテーブル231に登録し、該VLAN IDをユーザ端末が接続された認証スイッチ22のポート25525に割り当てる。
【選択図】図3
Description
そこで、ポートでネットワークの利用を制限することが考案され、IEEE( Institute of Electrical and Electronics Engineers)でIEEE802.1Xとして規定、標準化されている。
IEEE802.1Xに準拠する装置をここでは認証スイッチと呼ぶ。RADIUSを使用したIEEE802.1X認証は、ユーザ端末(Supplicant)、認証スイッチ(Authenticator)及び認証サーバ(RADIUSサーバなど)で構成され、認証スイッチはユーザ端末と認証サーバ間に配置される。
認証スイッチは、自己のポートにユーザ端末が接続されると、EAPOL(EAP Over LAN)というプロトコルに基づき、そのユーザ端末との間でユーザIDとパスワードを交換する。そして、認証スイッチは、ユーザ端末から受け取った認証情報(ユーザIDとパスワードなど)をRADIUSサーバに送信する。
同図(a)に示すIEEE802.1X認証構成は、ユーザ端末1011、認証スイッチ1012、LANスイッチ(スイッチングHUB)1013及びRADIUSサーバ1014から構成されている。同図(a)に示す3台の各認証スイッチ1012のポートには1台のユーザ端末が接続されている。LANスイッチ1013は、RADIUSサーバ1014に接続され、上記3台の認証スイッチ1012はLANスイッチ1013のポートに接続されている。RADIUSサーバのアトリビュートには、VLAN ID数の制限などから、複数のユーザが同じVLAN IDに割り当てられるように設定されている。IEEE802.1X認証後、これら3台の認証スイッチ1012とLANスイッチ1013とで1つのブロードキャスト・ドメイン1017を構成している。
本発明の認証VLANスイッチは、ポートに接続されたユーザ端末から入力されるユーザ認証情報を認証サーバに送信し、前記認証サーバがユーザ認証に成功したとき、前記認証サーバが発行するVLAN IDを受信する中継処理手段と、該中継処理手段が受信したVLAN IDを所定の方法で変換し、該変換により得られたVLAN IDを、前記ユーザ端末が接続されたポートに割り当てる変換手段と、を備えることを特徴とする。
[本発明の原理]
図1は、本発明の認証スイッチ(認証VLANスイッチ)によるVLANの分割方法を説明する図である。
同図(a)は図14(b)と同様な構成のLANであり、図1(a)において、図14(b)と同等な構成要素には同一の符号を付与している。また、ユーザ端末11はユーザ端末1011と同等な機器であり、LANスイッチ13はLANスイッチ1013と同等な機器である。同様に、RADIUSサーバ14はRADIUSサーバ1014と同等な機器である。
[実施例]
図2は、本発明の実施例である認証スイッチのシステム構成を示すブロック図である。
中継処理部221は、ユーザ端末とRADIUSサーバ14間の通信を中継し、ユーザ端末との間ではEAPOL(IEEE802.1Xで規定)、RADIUSサーバ14との間ではRADIUS(RFC3579で規定)の各プロトコルにより通信を行う。
記憶部223は、図3に示すように、VLANテーブル231、MACアドレス記憶領域232、IPアドレス記憶領域233及び固有値記憶領域234を備えている。
ポート225は、ユーザ端末21がケーブル等により接続されるポートであり、各ポート225−1、225−2、・・・、225−nには、それぞれ、“1”、“2”、・・・、“n”のポート番号が付与されている。
VLANテーブル231は、上述のようにして変換処理部222によって変換されたVLAN IDを、“1”〜“n”の各ポート番号に対応付けて格納するテーブルである。中継処理部221は、このVLANテーブル231を参照することにより、各ポート225に接続されているユーザ端末11のVLAN IDを知ることができる。
認証スイッチ22は、ユーザ端末11がポート225に接続されると、ユーザ端末11から「ユーザID」と「パスワード」を入力する。認証スイッチ22は、該入力された「ユーザID」と「パスワード」をRADIUSサーバ14に送信し、RADIUSサーバ14に対してユーザ認証を要求(リクエスト)する。RADIUSサーバ14は、認証スイッチ22から送信されてくる「ユーザID」と「パスワード」を受信・入力する(ステップS1)。
このように、認証スイッチ22は、ポート225にユーザ端末11が接続されると、該ユーザ端末11から入力される「ユーザID」と「パスワード」をRADIUSサーバ14に送信し、RADIUSサーバ14にユーザ認証をリクエストする。そして、RADIUSサーバ14により、ポート225に接続されたユーザ端末11のユーザが正規のユーザであると承認されると、RADIUSサーバ14から「VLAN ID」を受け取る。認証スイッチ22は、RADIUSサーバ14から発行された「VLAN ID」を特定の方法で変換する。認証スイッチ22は、この変換により得られた「VLAN ID」を、前記ユーザ端末11が接続されたポート225の番号(ポート番号)と対応付けてVLANテーブル231に登録する。
[システム構成例]
図6は、本発明の実施例である認証スイッチ22を使用した認証VLANシステム(IEEE802.1X認証システム)の全体構成を示す図である。
{VLAN IDの変換方法}
図5のフローチャートにステップS4における認証スイッチ22(22X、22Y)のVLAN IDの変換方法の各種実施例を説明する。
[VLAN IDの変換方法の第1実施例]
図8は、認証スイッチ22(22X、22Y)によるVLAN IDの変換方法の第1実施例を示すシーケンス図である。図8は、認証スイッチ22として認証スイッチ22aを取り上げているが、認証スイッチ22bのVLAN ID変換処理も認証スイッチ22aと同様である。
ユーザ端末11Xは認証スイッチ22aのポート225に接続されると、ユーザがユーザ端末11Xに入力した「ユーザID」と「パスワード」を認証スイッチ22aに送信する(ステップS11)。
0 この結果、認証スイッチ22aの“1”と“3”のポート番号のポート225には、共に、VLAN IDとして“110”と“120”が割り当てられる。また、認証スイッチ22bの“1”と“3”のポート番号のポート225には、VLAN IDとして、それぞれ、“210”と“220”が割り当てられる。
[VLAN IDの変換方法の第2実施例]
図11は、認証スイッチ22によるVLANの変換方法の第2実施例を説明するシーケンス図である。図12も、認証スイッチ22として認証スイッチ22aを例として取り上げているが、認証スイッチ22bも認証スイッチ22aと同様にしてVLAN IDを変換する。
図11において、ステップS11〜S13の処理は図8のシーケンスと同様なのでその説明は省略する。
このように、変換方法の第2実施例では、RADIUSサーバ14から発行された「VLAN ID」を受信した時刻(認証時刻)を利用して、RADIUSサーバ14から発行された「VLAN ID」を変換し、その変換結果をVLANテーブル231に登録する。この結果、上記変換結果が、ユーザ端末11Xが接続されたポート225の「VLAN ID」として割り当てられる。
[VLAN IDの変換方法の第3実施例]
図12は、認証スイッチ22によるVLAN IDの変換方法の第3実施例を示すシーケンス図である。図13の場合も、認証スイッチ22として認証スイッチ22aを取り上げている。また、図8のシーケンスと同様の処理には同じステップ番号を付与している。
認証スイッチ22aの変換処理部222は、中継処理部221がRADIUSサーバ14から発行された「VLAN ID」を受け取ると、IPアドレス記憶領域233からIPアドレス(この場合、192.168.10.1)を取得し(ステップS24)、このIPアドレスの最下位の値(この場合、“1”)をRADIUSサーバ14から発行された「VLAN ID」に加算する(ステップS35)。
[VLAN IDの変換方法の第4実施例]
図13は、認証スイッチ22による「VLAN ID」の変換方法の第4実施例を示すシーケンス図である。図13の場合も、認証スイッチ22として認証スイッチ22aを取り上げている。また、図8のシーケンスと同様の処理には同じステップ番号を付与している。
認証スイッチ22aの変換処理部222は、中継処理部221がRADIUSサーバ14から発行された「VLAN ID」を受信すると、MACアドレス記憶領域232からMACアドレス(この場合、00:00:0E:D5:24:E7)を取得し(ステップS44)、このMACアドレスの最下位の値を1桁の10進数として、RADIUSサーバ14が発行した「VLAN ID」に加算する(ステップS45)。
本発明の認証スイッチによるVLAN ID(RADIUSサーバなどの認証サーバから発行されるVLAN ID)の変換方法は、上記実施例に限定されるものではなく、その他の各種方法による変換も含むものである。
また、上記では本発明を有線LANに適用した実施例について説明したが、本発明は有線LANに限定されることなく無線LAN転送装置にも適用可能なものである。
ユーザ認証機能を有する認証VLANスイッチにおいて、
ポートに接続されたユーザ端末から入力されるユーザ認証情報を認証サーバに送信し、前記認証サーバがユーザ認証に成功したとき、前記認証サーバが発行するVLAN IDを受信する中継処理手段と、
該中継処理手段が受信したVLAN IDを所定の方法で変換し、該変換により得られたVLAN IDを、前記ユーザ端末が接続されたポートに割り当てる変換手段と、
を備えることを特徴とする認証スイッチ。
(付記2)
付記1記載の認証VLANスイッチであって、
前記変換手段は、前記認証サーバが発行したVLAN IDを、前記装置に割り当てられた固有値を用いて変換することを特徴とする。
(付記3)
付記2記載の認証VLANスイッチであって、
前記変換手段は、前記固有値を記憶する記憶手段を有し、該記憶手段から前記固有値を取得することを特徴とする。
(付記4)
付記2記載の認証VLANスイッチであって、
前記変換処理手段は、前記認証サーバが発行したVLAN IDと前記固有値を演算することにより、該VLAN IDを変換することを特徴とする。
(付記5)
付記1記載の認証VLANスイッチであって、
前記変換手段は、前記認証サーバが発行したVLAN IDを、前記中継処理手段が該VLAN IDを受信した時刻を用いて変換することを特徴とする。
(付記6)
付記5記載の認証VLANスイッチであって、
前記変換手段は、現在時刻を計時する計時手段を有し、該計時手段から前記受信時刻を取得することを特徴とする。
(付記7)
付記5記載の認証VLANスイッチであって、
前記変換手段は、前記認証サーバが発行したVLAN IDと前記受信時刻を用いて演算することにより、該VLAN IDを変換することを特徴とする。
(付記8)
付記1記載の認証VLANスイッチであって、
前記変換手段は、前記認証サーバが発行したVLAN IDを、前記VLANスイッチのIPアドレスを用いて変換することを特徴する。
(付記9)
付記8記載の認証VLANスイッチであって、
前記変換手段は、前記IPアドレスを記憶する記憶手段を有し、該記憶手段から前記IPアドレスを取得することを特徴とする。
(付記10)
付記1記載の認証VLANスイッチであって、
前記変換手段は、前記認証サーバが発行したVLAN IDを、前記VLAN認証スイッチのMACアドレスを用いて変換することを特徴とする。
(付記11)
付記10記載の認証スイッチであって、
前記変換手段は、前記MACアドレスを記憶する記憶手段を有し、該記憶手段から前記MACアドレスを取得することを特徴とする。
13 LANスイッチ(スイッチングHUB)
14 RADIUSサーバ
22、22a、22b 認証スイッチ
27a、27b、27c VLAN(ブロードキャスト・ドメイン)
221 中継処理部
222、241 変換処理部
223、243 記憶部
231、242 VLANテーブル
232 MACアドレス記憶領域
233 IPアドレス記憶領域
234 固有値記憶領域
224 時刻部
225 ポート
30 ネットワーク
Claims (5)
- ユーザ認証機能を有する認証VLANスイッチにおいて、
ポートに接続されたユーザ端末から入力されるユーザ認証情報を認証サーバに送信し、前記認証サーバがユーザ認証に成功したとき、前記認証サーバが発行するVLAN IDを受信する中継処理手段と、
該中継処理手段が受信したVLAN IDを所定の方法で変換し、該変換により得られたVLAN IDを、前記ユーザ端末が接続されたポートに割り当てる変換手段と、を備えることを特徴とする認証VLANスイッチ。 - 請求項1記載の認証VLANスイッチであって、
前記変換手段は、前記認証サーバが発行したVLAN IDを、前記装置に割り当てられた固有値を用いて変換することを特徴とする。 - 請求項1記載の認証VLANスイッチであって、
前記変換手段は、前記認証サーバが発行したVLAN IDを、前記中継処理手段が該VLAN IDを受信した時刻を用いて変換することを特徴とする。 - 請求項1記載の認証VLANスイッチであって、
前記変換手段は、前記認証サーバが発行したVLAN IDを、前記装置のIPアドレスを用いて変換することを特徴とする。 - 請求項1記載の認証VLANスイッチであって、
前記変換手段は、前記認証サーバが発行したVLAN IDを、前記認証VLANスイッチのMACアドレスを用いて変換することを特徴とする。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2006021414A JP4814641B2 (ja) | 2006-01-30 | 2006-01-30 | 認証vlanスイッチ |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2006021414A JP4814641B2 (ja) | 2006-01-30 | 2006-01-30 | 認証vlanスイッチ |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2007208323A true JP2007208323A (ja) | 2007-08-16 |
JP4814641B2 JP4814641B2 (ja) | 2011-11-16 |
Family
ID=38487449
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2006021414A Expired - Fee Related JP4814641B2 (ja) | 2006-01-30 | 2006-01-30 | 認証vlanスイッチ |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP4814641B2 (ja) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2011107796A (ja) * | 2009-11-13 | 2011-06-02 | Alaxala Networks Corp | 複数認証サーバを有効利用する装置、システム |
CN109327462A (zh) * | 2018-11-14 | 2019-02-12 | 盛科网络(苏州)有限公司 | 一种基于l2vpn网络的mac地址认证方法 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2003234750A (ja) * | 2002-02-08 | 2003-08-22 | Nippon Telegr & Teleph Corp <Ntt> | タグ変換によるlan間の接続方法及びタグ変換装置 |
JP2003234751A (ja) * | 2002-02-08 | 2003-08-22 | Nippon Telegr & Teleph Corp <Ntt> | 動的vlanシステム及びタグ変換装置、認証サーバ |
JP2004241979A (ja) * | 2003-02-05 | 2004-08-26 | Nippon Telegr & Teleph Corp <Ntt> | 認証サーバ、フレーム転送網、認証サーバを実現するプログラム、および該プログラムを記録した記録媒体 |
JP2005252762A (ja) * | 2004-03-05 | 2005-09-15 | Nippon Telegr & Teleph Corp <Ntt> | Vpn接続制御方法及びシステム |
-
2006
- 2006-01-30 JP JP2006021414A patent/JP4814641B2/ja not_active Expired - Fee Related
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2003234750A (ja) * | 2002-02-08 | 2003-08-22 | Nippon Telegr & Teleph Corp <Ntt> | タグ変換によるlan間の接続方法及びタグ変換装置 |
JP2003234751A (ja) * | 2002-02-08 | 2003-08-22 | Nippon Telegr & Teleph Corp <Ntt> | 動的vlanシステム及びタグ変換装置、認証サーバ |
JP2004241979A (ja) * | 2003-02-05 | 2004-08-26 | Nippon Telegr & Teleph Corp <Ntt> | 認証サーバ、フレーム転送網、認証サーバを実現するプログラム、および該プログラムを記録した記録媒体 |
JP2005252762A (ja) * | 2004-03-05 | 2005-09-15 | Nippon Telegr & Teleph Corp <Ntt> | Vpn接続制御方法及びシステム |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2011107796A (ja) * | 2009-11-13 | 2011-06-02 | Alaxala Networks Corp | 複数認証サーバを有効利用する装置、システム |
CN109327462A (zh) * | 2018-11-14 | 2019-02-12 | 盛科网络(苏州)有限公司 | 一种基于l2vpn网络的mac地址认证方法 |
Also Published As
Publication number | Publication date |
---|---|
JP4814641B2 (ja) | 2011-11-16 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US20220052992A1 (en) | Identity verification method for network function service and related apparatus | |
US10257161B2 (en) | Using neighbor discovery to create trust information for other applications | |
Liu et al. | Authentication and access control in the internet of things | |
Bikos et al. | LTE/SAE security issues on 4G wireless networks | |
EP2154825B1 (en) | Systems and methods for provisioning network devices | |
US9674892B1 (en) | Exclusive preshared key authentication | |
CN105873031B (zh) | 基于可信平台的分布式无人机密钥协商方法 | |
US8582476B2 (en) | Communication relay device and communication relay method | |
AU2005204576A1 (en) | Enabling stateless server-based pre-shared secrets | |
US20120246473A1 (en) | Encryption information transmitting terminal | |
Khashan et al. | Efficient hybrid centralized and blockchain-based authentication architecture for heterogeneous IoT systems | |
CN110121196B (zh) | 一种安全标识管理方法及装置 | |
JP5643741B2 (ja) | 認証装置、認証方法および認証プログラム | |
CN112512045A (zh) | 一种通信系统、方法及装置 | |
Hauser et al. | Establishing a session database for SDN using 802.1 X and multiple authentication resources | |
US20180183584A1 (en) | IKE Negotiation Control Method, Device and System | |
CN108259157B (zh) | 一种ike协商中身份认证的方法及网络设备 | |
JP4814641B2 (ja) | 認証vlanスイッチ | |
US20210264051A1 (en) | Blockchain system, blockchain management apparatus, network control apparatus, method and program | |
US8949949B1 (en) | Network element authentication in communication networks | |
Shashidhara et al. | SDN‐chain: Privacy‐preserving protocol for software defined networks using blockchain | |
CN106537962B (zh) | 无线网络配置、接入和访问方法、装置及设备 | |
Nguyen et al. | An SDN-based connectivity control system for Wi-Fi devices | |
Sepczuk et al. | Low-complexity access control scheme for MEC-based services | |
Songshen et al. | Hash-Based Signature for Flexibility Authentication of IoT Devices |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20080526 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20101222 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20101228 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20110228 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20110426 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20110726 |
|
A911 | Transfer to examiner for re-examination before appeal (zenchi) |
Free format text: JAPANESE INTERMEDIATE CODE: A911 Effective date: 20110802 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20110823 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20110826 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 4814641 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140902 Year of fee payment: 3 |
|
LAPS | Cancellation because of no payment of annual fees |