JP2007208759A - Macアドレスとユーザ認証を組み合わせた認証セキュリティシステム - Google Patents
Macアドレスとユーザ認証を組み合わせた認証セキュリティシステム Download PDFInfo
- Publication number
- JP2007208759A JP2007208759A JP2006026493A JP2006026493A JP2007208759A JP 2007208759 A JP2007208759 A JP 2007208759A JP 2006026493 A JP2006026493 A JP 2006026493A JP 2006026493 A JP2006026493 A JP 2006026493A JP 2007208759 A JP2007208759 A JP 2007208759A
- Authority
- JP
- Japan
- Prior art keywords
- authentication
- unit
- user
- network
- terminal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
【課題】ネットワークへの不正アクセスに対するセキュリティを向上する。
【解決手段】認証スイッチ・ハブ200はユーザ端末100からのネットワークアクセス認証データを端末インタフェース部210、認証データ受信部220を経由してユーザ認証部230で受け取る。ユーザ認証部230では受け取ったユーザID、パスワードを元に認証データ管理部250に同一のデータがないか確認し、同一のデータが会った場合認証に成功となり、そのユーザID、パスワードと、ユーザ端末100のMACアドレスをMAC認証部240へ送る。MAC認証部240では受け取ったユーザID、パスワード、MACアドレスの3種類のデータを元に認証データ管理部250へ同一のデータがあるか確認し、全て一致しているかを確認する。
【選択図】 図1
【解決手段】認証スイッチ・ハブ200はユーザ端末100からのネットワークアクセス認証データを端末インタフェース部210、認証データ受信部220を経由してユーザ認証部230で受け取る。ユーザ認証部230では受け取ったユーザID、パスワードを元に認証データ管理部250に同一のデータがないか確認し、同一のデータが会った場合認証に成功となり、そのユーザID、パスワードと、ユーザ端末100のMACアドレスをMAC認証部240へ送る。MAC認証部240では受け取ったユーザID、パスワード、MACアドレスの3種類のデータを元に認証データ管理部250へ同一のデータがあるか確認し、全て一致しているかを確認する。
【選択図】 図1
Description
本発明はネットワークアクセスに係わり、ネットワークアクセスをしようとしている端末及び使用者に対するアクセス許可方式、認証方式に関する。
アクセスが許可されていない端末、及び、なりすましによる侵入者からのアクセスを拒否するネットワークシステムとして、特許文献1がある。
特許文献1では、認証ノードが受け取ったパケットが、アクセスを許可された端末からのパケットかを、MACアドレスとIPv6アドレスに基づきフィルタリングテーブルを参照して判断し、パケットを中継又は廃棄する技術を開示している。
図4に従来の認証システムを示すブロック図を示す。
認証ノード1のフィルタリング処理部131,132はネットワークインタフェース部121,122から受け取ったパケットがアクセスを許可されたパケットかをMACアドレス、IPv6アドレスを元に判断する。パケット中継部110はアドレステーブル160を参照し、フィルタリング処理部を通過したパケットを宛先アドレスへ中継する。
上記に記述した認証システムでは第一の課題はフィルタリングの対象がアドレスのみになっている点である。例えば、ユーザIDやパスワードとMACアドレスのユーザ認証と端末認証の両観点での認証を実施できる仕掛けがない。このため、フィルタ通過可能なMACアドレスを持つユーザ端末が複数存在している場合、ユーザID及びパスワードを知られてしまった場合、フィルタ通過可能なMACアドレスを持つユーザ端末ならどれでも使用可能になる。この点でネットワークの不正使用及びセキュリティの観点での強度に難点があると言える。
第二の課題として、アクセスを許可されていないユーザであっても上記のパケット中継装置までのネットワーク使用が可能になっている点がある。これにより脆弱性等の観点でネットワークの強靱性及び安定性が損なわれる可能性がある。
上記課題を解決するため、例えば本出願に係るMACアドレスとユーザ認証を組み合わせた認証セキュリティシステムではネットワーク使用ユーザのユーザIDとパスワードとユーザ端末のMACアドレスを組み合わせることで、ネットワークアクセスを行うユーザとユーザ端末を固定させセキュリティを向上させる。
また、本出願に係るMACアドレスとユーザ認証を組み合わせた認証セキュリティシステムでは、ユーザIDとパスワード、ユーザ端末のMACアドレスの3種類のデータが一致した場合に認証を許可する。
その為、ネットワーク使用ユーザとそのユーザが使用する端末を固定することができ、なりすましによるネットワークへの不正アクセスを防ぐことができる。
また、本出願に係るMACアドレスとユーザ認証を組み合わせた認証セキュリティシステムでは、ユーザ端末と本発明の認証スイッチを直接接続する。
第一の効果は、従来の端末認証のみの場合に端末の不正使用の対応、ユーザ認証の場合に、ユーザID、パスワードの流出による不正使用のガードが甘かった点を改善する事ができる点である。その理由はユーザID、パスワード、ユーザ端末のMACアドレスと3種類のデータが完全に一致した場合のみネットワークへのアクセスを許可することにある。その為、たとえユーザID、パスワードを他者が知ることができたとしても、知られてしまったユーザIDを持つユーザ端末でなければネットワークへのアクセスはできない。
第二の効果は、認証のレベルをネットワークの形態、重要度にあわせて選択できる事によりネットワーク管理者が管理しやすく、使用者が使いやすいネットワーク環境を提供できることにある。セキュリティの向上と利便性とはある意味背反である。ネットワークのセキュリティのレベルにあわせた認証レベルを適用できる事で安全で便利なネットワークを提供できるようになる。
上記以外の課題、手段、効果は、後述する実施例によって明らかにされる。
次に本発明に好適な実施形態の例について図面を参照して詳細に説明する。ただし、本発明は本実施形態に限定されない。
図1はMACアドレスを使用したネットワーク認証のセキュリティ向上の一実施形態を示すブロック図である。認証スイッチ200に対しネットワークへのアクセスを希望するユーザ端末100、ユーザ端末100の接続希望先ネットワーク300から構成されている。なお、認証スイッチ200は、ハブやルータなどであってもよく総称してネットワーク接続装置や集線装置ともいう。
認証スイッチ200は、ユーザ端末100とネットワークとの接続部分である端末インタフェース部210、端末インタフェース部210から認証に必要な情報を受信するための認証データ受信部220、ユーザ認証を行うためのユーザ認証部230、ユーザ認証成功後にユーザID、パスワード、MACアドレスの確認を行うMAC認証部240、ユーザ認証部230及びMAC認証部240で使用するユーザID、パスワード、MACアドレスのデータ管理を行う認証データ管理部250、ユーザ認証部230及びMAC認証部240での認証処理結果をまとめる認証結果処理部260から構成されている。なお、ユーザ認証部230とMAC認証部240を第1、第2認証部ということもある。また、ユーザ認証部230、MAC認証部240、認証データ管理部250、認証結果処理部260の全部又は一部が認証スイッチ200の外部にある例えばサーバに備わっているシステムであってもよい。
まず認証スイッチ200の動作の概要を説明する。認証スイッチ・ハブ200はユーザ端末100からのネットワークアクセス認証データを端末インタフェース部210、認証データ受信部220を経由してユーザ認証部230で受け取る。ユーザ認証部230では受け取ったユーザID、パスワードを元に認証データ管理部250に同一のデータがないか確認し、同一のデータが会った場合認証に成功となり、そのユーザID、パスワードと、ユーザ端末100のMACアドレスをMAC認証部240へ送る。MAC認証部240では受け取ったユーザID、パスワード、MACアドレスの3種類のデータを元に認証データ管理部250へ同一のデータがあるか確認し、全て一致しているかを確認する。3種類のデータが一致していた場合にネットワークアクセスへの認証が成功したことになり、その結果を認証結果処理部260へ通知する。認証結果処理部260では認証の結果をユーザ端末100へ通知し、認証成功の場合、ユーザ端末100のネットワーク300へのアクセスが可能となる。なお、認証結果処理部260をアクセス制御部ともいう。
次に図2と図3を参照して動作の詳細を説明する。
図2は、ユーザ端末100及び認証スイッチ・ハブ200が実行する動作例を示すフローチャートである。図3は、図1の認証データ管理部250の格納データの例である。
図2においてユーザ端末100より端末インタフェース部210、認証データ受信部220を経由しユーザ認証部230が提供する認証画面に対しアクセスを行う(ステップS1)。
ステップS2において、ユーザ認証部230はユーザ端末100に対し認証画面を表示する。
ステップS3ではステップS2の認証画面からネットワークアクセス希望ユーザはユーザID、パスワードを入力し、そのデータをユーザ認証部230へ送る。
ステップS4にてユーザ認証部230ではステップS3で受け取ったユーザIDとパスワードを元に認証データ管理部250(図3参照)へアクセスを行いユーザID、パスワードが一致するデータがあるか確認を行う。
一致するデータがない場合には認証失敗となり、認証結果処理部260にその結果を送り、ユーザ端末100に対して認証画面上から認証失敗を通知する(ステップS5)。
ユーザ認証が成功した場合、ステップS6となり、ユーザIDを元に認証データ管理部250(図3参照)で管理されている認証レベルを確認する。本機能を有する部位(本実施例ではユーザ認証部230)を第2認証要否判断部ということもある。
先のステップS6にて確認した認証レベルが1である場合、ユーザ認証のみの認証レベルであるため認証結果処理部260にその結果を送り、ユーザ端末100に対して認証画面上から認証成功を通知する(ステップS7)。
認証レベルが1以外(レベル2)であった場合、ステップS8となり、ユーザID、パスワード、ユーザ端末100のMACアドレスのデータをMAC認証部240へ送る。
ステップS9において先のステップS8で受け取ったユーザID、パスワード、MACアドレスを元に認証データ管理部250(図3参照)へアクセスを行い、一致するデータがあるか確認を行う。なお例えば、ユーザIDとパスワード、ユーザIDとMACアドレスが別のテーブルや記憶部に格納されており、MACアドレス認証部240ではユーザID及びMACアドレスが一致するかどうかの認証を実行するようにしてもよい。
一致するデータがない場合ステップS10となり、認証結果処理部260にその結果を送り、ユーザ端末100に対して認証画面上から認証失敗を通知する。
MAC認証が成功した場合、認証結果処理部260にその結果を送り、ユーザ端末100に対して認証画面上から認証成功を通知しネットワーク300へのアクセスを許可させる(ステップS11)。
全ての認証が成功した場合、端末インタフェース部210はユーザ端末100からネットワーク300へのアクセスを許可する。具体的には、例えばフィルタリングを解除する。
本実施形態は以下も含む。
ネットワークと該ネットワークに接続される機器の認証を行う機構と、ネットワークへの接続を行う端末とで構成され、該ネットワークの前段に位置し、上記認証機構を仕様して接続される端末のアクセスの正当性を制御する機能を持つ認証ルータ・スイッチである。
該認証に於いて複数の認証手段を有し、セキュリティ強度の強化と需要に応じたセキュリティレベルを適用する事が可能な認証ルータ・スイッチである。
認証の方法としてユーザ認証と端末認証を行う機構を有し、認証単位毎にセキュリティ強度を設定でき、このセキュリティ強度によりユーザ毎の使用可能端末の制限を適用するか、あるいは端末認証かユーザ認証のいずれか片方を適用するかの組み合わせを指定できる認証ルータ・スイッチである。
ユーザ認証としては、ログインアカウントやパスワード等の手段を用い、端末認証としては端末を特定できるMACアドレス等の識別データを使用し、両者を組み合わせる事で該端末が接続可能なネットワークを選択する。
上記ユーザ認証は、接続されたユーザ端末からのログイン処理にて該ユーザのログインアカウントとパスワードを認証データ管理部にて照合し、一致した時に、該ユーザIDに設定された認証レベルに応じて、次段の端末認証を行うかを判断する。
前記MAC認証は、該端末のMACアドレスを接続許可とするユーザIDが認証データ中の該ユーザーIDで許容されたMACアドレス群上に存在するかでネットワークへの接続可否を判断する機能を持つ。
各認証レベルで認証に失敗した場合、認証に失敗した旨を認証画面上に表示する機能を持つ。
認証レベルの設定についてはネットワーク管理者の任意で行うことも可能とする。
ネットワーク管理者が設定した認証レベルの各認証を全て成功した場合に、認証成功となり、ユーザ端末からのネットワークアクセスを可能とするネットワーク認証ルータ・スイッチ。
100 ユーザ端末
200 認証スイッチ・ハブ
210 端末インタフェース部
220 認証データ受信部
230 ユーザ認証部
240 MAC認証部
250 認証データ管理部
260 認証結果処理部
300 ネットワーク
200 認証スイッチ・ハブ
210 端末インタフェース部
220 認証データ受信部
230 ユーザ認証部
240 MAC認証部
250 認証データ管理部
260 認証結果処理部
300 ネットワーク
Claims (4)
- 端末及びネットワークからのデータを送受信するネットワーク接続装置であって、
第1の端末から認証データを受信する受信部と、
前記受信部で受信した認証データに含まれる第1情報に基づいて、認証を実行する第1認証部と、
前記第1認証部で認証が成立すると、前記認証データに含まれる前記第1情報と第2情報とに基づいて、認証を実行する第2認証部と、
前記第2認証部で認証が成立すると、前記第1の端末のネットワークへのアクセスを可能とするアクセス制御部とを有することを特徴とするネットワーク接続装置。 - 端末及びネットワークからのデータを送受信するネットワーク接続装置であって、
第1の端末から認証データを受信する受信部と、
前記受信部で受信した認証データに含まれる第1情報に基づいて、認証を実行する第1認証部と、
前記第1認証部で認証が成立すると、前記第1情報が第2情報による認証に対応しているかを判断する第2認証要否判断部と、
前記第2認証要否判断部で対応していると判断された場合に、前記認証データに含まれる前記第1情報及び前記第2情報とに基づいて、認証を実行する第2認証部と、
前記第2認証要否判断部で否と判断された場合又は前記第2認証部で認証が成立した場合に、前記第1の端末のネットワークへのアクセスを可能とするアクセス制御部とを有することを特徴とするネットワーク接続装置。 - 請求項1又は2のネットワーク接続装置であって、
前記第1情報は、ユーザIDとパスワードであり、
前記第2情報は、MACアドレスであることを特徴とするネットワーク接続装置。 - 端末のネットワークへのアクセスを制御するネットワークアクセス制御システムであって、
第1の端末から認証データを受信する受信部と、
前記受信部で受信した認証データに含まれるユーザID及びパスワードに基づいて、認証を実行する第1認証部と、
前記第1認証部で認証が成立すると、前記認証データに含まれるユーザIDとMACアドレスとに基づいて、認証を実行する第2認証部と、
前記第2認証部で認証が成立すると、前記第1の端末のネットワークへのアクセスを可能とするアクセス制御部とを有することを特徴とするネットワークアクセス制御システム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2006026493A JP2007208759A (ja) | 2006-02-03 | 2006-02-03 | Macアドレスとユーザ認証を組み合わせた認証セキュリティシステム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2006026493A JP2007208759A (ja) | 2006-02-03 | 2006-02-03 | Macアドレスとユーザ認証を組み合わせた認証セキュリティシステム |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2007208759A true JP2007208759A (ja) | 2007-08-16 |
Family
ID=38487795
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2006026493A Pending JP2007208759A (ja) | 2006-02-03 | 2006-02-03 | Macアドレスとユーザ認証を組み合わせた認証セキュリティシステム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2007208759A (ja) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2009100309A (ja) * | 2007-10-17 | 2009-05-07 | Nippon Telegr & Teleph Corp <Ntt> | Lan制御情報管理装置、lan制御システムおよびlan制御情報管理方法 |
| JP2011238083A (ja) * | 2010-05-12 | 2011-11-24 | Nippon Hoso Kyokai <Nhk> | 認証連携装置およびそのプログラム、機器認証装置およびそのプログラム、ならびに、認証連携システム |
| WO2013108583A1 (en) * | 2012-01-18 | 2013-07-25 | Ricoh Company, Ltd. | Electronic device, information processing system, information managing apparatus, information processing method, and information processing program |
| JP2017511657A (ja) * | 2014-04-02 | 2017-04-20 | ▲華▼▲為▼終端有限公司Huawei Device Co., Ltd. | ネットワークにアクセスするための方法及びルータ |
| WO2018230764A1 (ko) * | 2017-06-16 | 2018-12-20 | 한화테크윈 주식회사 | 영상처리장치, 인증장치 및 영상처리장치의 사용자 인증 방법 |
| JP2019114864A (ja) * | 2017-12-21 | 2019-07-11 | 富士通株式会社 | アクセス制御プログラム、アクセス制御方法及び情報処理装置 |
| JP2021060716A (ja) * | 2019-10-04 | 2021-04-15 | 富士ゼロックス株式会社 | 情報処理装置、情報処理システム及びプログラム |
-
2006
- 2006-02-03 JP JP2006026493A patent/JP2007208759A/ja active Pending
Cited By (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2009100309A (ja) * | 2007-10-17 | 2009-05-07 | Nippon Telegr & Teleph Corp <Ntt> | Lan制御情報管理装置、lan制御システムおよびlan制御情報管理方法 |
| JP2011238083A (ja) * | 2010-05-12 | 2011-11-24 | Nippon Hoso Kyokai <Nhk> | 認証連携装置およびそのプログラム、機器認証装置およびそのプログラム、ならびに、認証連携システム |
| WO2013108583A1 (en) * | 2012-01-18 | 2013-07-25 | Ricoh Company, Ltd. | Electronic device, information processing system, information managing apparatus, information processing method, and information processing program |
| JP2013168128A (ja) * | 2012-01-18 | 2013-08-29 | Ricoh Co Ltd | 電子機器、情報処理システム、情報管理装置、情報処理方法、及び情報処理プログラム |
| JP2017511657A (ja) * | 2014-04-02 | 2017-04-20 | ▲華▼▲為▼終端有限公司Huawei Device Co., Ltd. | ネットワークにアクセスするための方法及びルータ |
| US10178091B2 (en) | 2014-04-02 | 2019-01-08 | Huawei Device (Shenzhen) Co., Ltd. | Method and router for accessing network |
| KR20180137309A (ko) * | 2017-06-16 | 2018-12-27 | 한화테크윈 주식회사 | 영상처리장치, 인증장치 및 영상처리장치의 사용자 인증 방법 |
| WO2018230764A1 (ko) * | 2017-06-16 | 2018-12-20 | 한화테크윈 주식회사 | 영상처리장치, 인증장치 및 영상처리장치의 사용자 인증 방법 |
| KR102368224B1 (ko) * | 2017-06-16 | 2022-02-28 | 한화테크윈 주식회사 | 영상처리장치, 인증장치 및 영상처리장치의 사용자 인증 방법 |
| US11372966B2 (en) | 2017-06-16 | 2022-06-28 | Hanwha Techwin Co., Ltd. | Image processing apparatus, authentication apparatus, and user authentication method of image processing apparatus |
| JP2019114864A (ja) * | 2017-12-21 | 2019-07-11 | 富士通株式会社 | アクセス制御プログラム、アクセス制御方法及び情報処理装置 |
| JP2021060716A (ja) * | 2019-10-04 | 2021-04-15 | 富士ゼロックス株式会社 | 情報処理装置、情報処理システム及びプログラム |
| JP7338386B2 (ja) | 2019-10-04 | 2023-09-05 | 富士フイルムビジネスイノベーション株式会社 | 情報処理装置、情報処理システム及びプログラム |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10630725B2 (en) | Identity-based internet protocol networking | |
| US7568092B1 (en) | Security policy enforcing DHCP server appliance | |
| US8862899B2 (en) | Storage access authentication mechanism | |
| US20070230411A1 (en) | System and method for providing differentiated service levels to wireless devices in a wireless network | |
| CN101986598B (zh) | 认证方法、服务器及系统 | |
| US20180198786A1 (en) | Associating layer 2 and layer 3 sessions for access control | |
| US20080092214A1 (en) | Authenticating multiple network elements that access a network through a single network switch port | |
| JP2007208759A (ja) | Macアドレスとユーザ認証を組み合わせた認証セキュリティシステム | |
| WO2017076216A1 (zh) | 服务器、移动终端、网络实名认证系统及方法 | |
| JP2008052371A (ja) | アウトバンド認証を伴うネットワークシステム | |
| JP2011070513A (ja) | アクセス制御システム、認証サーバシステムおよびアクセス制御プログラム | |
| US8751647B1 (en) | Method and apparatus for network login authorization | |
| CN101764788B (zh) | 基于扩展802.1x认证系统的安全接入方法 | |
| JP2010062667A (ja) | ネットワーク機器及びネットワークシステム | |
| US10298588B2 (en) | Secure communication system and method | |
| JP2012070225A (ja) | ネットワーク中継装置及び転送制御システム | |
| JP4965499B2 (ja) | 認証システム、認証装置、通信設定装置および認証方法 | |
| JPH11161618A (ja) | 移動計算機管理装置、移動計算機装置及び移動計算機登録方法 | |
| KR100904215B1 (ko) | 사용자 인증에 기반한 네트워크 접속 관리 시스템 및 방법 | |
| US8607058B2 (en) | Port access control in a shared link environment | |
| CN110875923B (zh) | 对网络提供增强型网络访问控制的方法和系统 | |
| KR20130124447A (ko) | 지능형 로그인 인증 시스템 및 그 방법 | |
| JP2007287097A (ja) | アクセス制御システム及び方法 | |
| WO2011063562A1 (zh) | 用户拨号认证方法、系统和设备 | |
| JP2009267638A (ja) | 端末認証・アクセス認証方法および認証システム |