JP2008278134A - Network control unit, network control method, and computer program - Google Patents
Network control unit, network control method, and computer program Download PDFInfo
- Publication number
- JP2008278134A JP2008278134A JP2007118465A JP2007118465A JP2008278134A JP 2008278134 A JP2008278134 A JP 2008278134A JP 2007118465 A JP2007118465 A JP 2007118465A JP 2007118465 A JP2007118465 A JP 2007118465A JP 2008278134 A JP2008278134 A JP 2008278134A
- Authority
- JP
- Japan
- Prior art keywords
- terminal device
- authentication
- network control
- identification address
- authentication server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Small-Scale Networks (AREA)
Abstract
Description
本発明は、認可された端末装置のみを所定のLANへ接続させるネットワーク認証システムに用いられるネットワーク制御技術に関する。 The present invention relates to a network control technique used in a network authentication system in which only authorized terminal devices are connected to a predetermined LAN.
LANにおけるユーザ認証(端末装置の認証)の方式を定めた規格としてIEEE802.1Xが近年普及してきている。IEEE802.1Xの認証システムは、端末装置にインストールされるサプリカント(Supplicant)ソフトウェア(例えば、IEEE802.1X対応サプリカント)、認証装置、認証サーバ(RADIUSサーバ)から構成される。端末装置がLANに接続しようとすると、認証装置を介して、認証サーバとサプリカントとの間で認証プロトコル(EAPプロトコル)に従った認証のための通信が行われ、認証サーバによって当該端末装置の認証が行われる。認証サーバによって認可された場合には、端末装置からLANへの接続が可能となる仕組みであり、管理者によるLANへの端末装置の接続制御を容易にでき、情報セキュリティ対策に効果的である。 In recent years, IEEE 802.1X has become widespread as a standard that defines a user authentication (terminal device authentication) method in a LAN. The IEEE 802.1X authentication system includes supplicant software (for example, IEEE 802.1X compatible supplicant) installed in a terminal device, an authentication device, and an authentication server (RADIUS server). When the terminal device tries to connect to the LAN, communication for authentication according to the authentication protocol (EAP protocol) is performed between the authentication server and the supplicant via the authentication device. Authentication is performed. When authorized by the authentication server, the terminal device can be connected to the LAN, and the administrator can easily control the connection of the terminal device to the LAN, which is effective for information security measures.
しかし、IEEE802.1Xの認証システムを用いていても、有線LAN中に設けられたリピータHUBの空きポートに認可を受けていない端末装置が接続された場合には、認証を受けることなく、LANによって接続された他の端末装置、あるいは、このLANに設けられたゲートウエイを通じて他のネットワークにアクセスできてしまう場合がある。 However, even if an IEEE 802.1X authentication system is used, if a terminal device that is not authorized is connected to an empty port of a repeater HUB provided in the wired LAN, authentication is not performed and the LAN is used. In some cases, other networks may be accessible through other connected terminal devices or gateways provided in the LAN.
本発明は上記に鑑みなされたものであり、認可を受けていない端末装置のネットワーク上での存在を迅速に検出し、かつ、当該不正端末装置の接続を無効化するネットワーク制御装置、ネットワーク制御方法及びコンピュータプログラムを提供することを課題とする。 The present invention has been made in view of the above, and quickly detects the presence of an unauthorized terminal device on a network and invalidates the connection of the unauthorized terminal device, and a network control method It is another object of the present invention to provide a computer program.
上記課題を解決するため、請求項1記載の発明では、認証対象の端末装置と、前記端末装置の認証情報を受信して、LANへの接続を認可すべきか否かの認証を行う認証サーバと、前記端末装置と認証サーバとの間の通信の中継を行う認証スイッチとを備えた認証システムに用いられるネットワーク制御装置であって、
前記認証サーバ及び端末装置間で通信される認証プロトコルに従った通信内容を認証サーバ及び認証スイッチ間において傍受し、認証サーバによって認可された端末装置の識別アドレスを記憶する手段と、
任意の端末装置から送信されるデータを傍受し、このデータに含まれる前記任意の端末装置の識別アドレスを、前記手段によって記憶された認可済みの端末装置の識別アドレスと比較し、前記任意の端末装置の識別アドレスが、記憶された識別アドレスと一致するか否かによって認可済みか否かを判別し、認可されなかった識別アドレスに係る端末装置を不正接続端末と特定する手段と
を備えることを特徴とするネットワーク制御装置を提供する。
請求項2記載の発明では、さらに、前記不正接続端末と特定された端末装置に対して、前記LANへの接続を無効化する手段を備えることを特徴とする請求項1記載のネットワーク制御装置を提供する。
請求項3記載の発明では、前記LANが、IEEE802.1X認証を利用したLANであることを特徴とする請求項1記載のネットワーク制御装置を提供する。
請求項4記載の発明では、認証対象の端末装置と、前記端末装置の認証情報を受信して、LANへの接続を認可すべきか否かの認証を行う認証サーバと、前記端末装置と認証サーバとの間の通信の中継を行う認証スイッチとを備えた認証システムにおけるネットワーク制御方法であって、
ネットワーク制御装置により、前記認証サーバ及び端末装置間で通信される認証プロトコルに従った通信内容を認証サーバ及び認証スイッチ間において傍受し、認証サーバによって認可された端末装置の識別アドレスを記憶しておき、
任意の端末装置から送信されるデータを傍受し、このデータに含まれる前記任意の端末装置の識別アドレスを、記憶された認可済みの端末装置の識別アドレスと比較し、前記任意の端末装置の識別アドレスが、記憶された識別アドレスと一致するか否かによって認可済みか否かを判別し、認可されなかった識別アドレスに係る端末装置を不正接続端末と特定することを特徴とするネットワーク制御方法を提供する。
請求項5記載の発明では、さらに、前記不正接続端末と特定された端末装置の、前記LANへの接続を無効化することを特徴とする請求項4記載のネットワーク制御方法を提供する。
請求項6記載の発明では、IEEE802.1X認証を利用した認証システムを用いたLANに適用されることを特徴とする請求項4又は5記載のネットワーク制御方法を提供する。
請求項7記載の発明では、認証対象の端末装置と、前記端末装置の認証情報を受信して、LANへの接続を認可すべきか否かの認証を行う認証サーバと、前記端末装置と認証サーバとの間の通信の中継を行う認証スイッチとを備えた認証システムにおいて、当該認証システムを監視して不正接続を検出するネットワーク制御用のコンピュータに導入されるコンピュータプログラムであって、
前記認証サーバ及び端末装置間で通信される認証プロトコルに従った通信内容を認証サーバ及び認証スイッチ間において傍受し、認証サーバによって認可された端末装置の識別アドレスを記憶するステップと、
任意の端末装置から送信されるデータに含まれる識別アドレスを受信し、前記ステップによって記憶された認可済みの端末装置の識別アドレスと比較し、前記任意の端末装置の識別アドレスが、記憶された識別アドレスと一致するか否かによって認可済みか否かを判別し、認可されなかった識別アドレスに係る端末装置を不正接続端末と特定するステップと
を備えることを特徴とするコンピュータプログラムを提供する。
請求項8記載の発明では、さらに、前記不正接続端末と特定された端末装置の、前記LANへの接続を無効化するステップを備えることを特徴とする請求項7記載のコンピュータプログラムを提供する。
In order to solve the above problem, in the invention according to claim 1, an authentication target terminal device, an authentication server that receives authentication information of the terminal device and authenticates whether or not to permit connection to the LAN, and A network control device used in an authentication system including an authentication switch that relays communication between the terminal device and the authentication server,
Means for intercepting communication contents in accordance with an authentication protocol communicated between the authentication server and the terminal device between the authentication server and the authentication switch, and storing an identification address of the terminal device authorized by the authentication server;
Intercept data transmitted from an arbitrary terminal device, compare the identification address of the arbitrary terminal device included in the data with the identification address of the authorized terminal device stored by the means, and Determining whether or not the device has been authorized based on whether or not the identification address of the device matches the stored identification address and identifying the terminal device associated with the unauthorized identification address as an unauthorized connection terminal. A characteristic network control device is provided.
The invention according to claim 2 further comprises means for invalidating the connection to the LAN for the terminal device identified as the unauthorized connection terminal. provide.
According to a third aspect of the present invention, there is provided the network control apparatus according to the first aspect, wherein the LAN is a LAN using IEEE802.1X authentication.
According to a fourth aspect of the present invention, an authentication target terminal device, an authentication server that receives authentication information of the terminal device and authenticates whether or not to authorize connection to a LAN, and the terminal device and the authentication server A network control method in an authentication system comprising an authentication switch that relays communication between and
The network control device intercepts the communication contents according to the authentication protocol communicated between the authentication server and the terminal device between the authentication server and the authentication switch, and stores the identification address of the terminal device authorized by the authentication server. ,
The data transmitted from an arbitrary terminal device is intercepted, the identification address of the arbitrary terminal device included in this data is compared with the stored identification address of the authorized terminal device, and the identification of the arbitrary terminal device is performed. A network control method characterized by determining whether or not authorized based on whether or not an address matches a stored identification address and identifying a terminal device related to the unauthorized identification address as an unauthorized connection terminal provide.
According to a fifth aspect of the present invention, there is further provided the network control method according to the fourth aspect, wherein the connection of the terminal device identified as the unauthorized connection terminal to the LAN is invalidated.
The invention according to claim 6 provides the network control method according to claim 4 or 5, which is applied to a LAN using an authentication system using IEEE802.1X authentication.
In the invention of claim 7, the terminal device to be authenticated, the authentication server that receives the authentication information of the terminal device and authenticates whether or not the connection to the LAN should be authorized, the terminal device and the authentication server A computer program installed in a computer for network control that monitors an authentication system and detects unauthorized connection in an authentication system including an authentication switch that relays communication between and
Intercepting communication contents according to the authentication protocol communicated between the authentication server and the terminal device between the authentication server and the authentication switch, and storing the identification address of the terminal device authorized by the authentication server;
An identification address included in data transmitted from an arbitrary terminal device is received and compared with the identification address of the authorized terminal device stored by the step, and the identification address of the arbitrary terminal device is stored A computer program is provided, comprising: determining whether or not authorized based on whether or not the address matches, and identifying the terminal device related to the identification address that is not authorized as an unauthorized connection terminal.
The invention according to claim 8 further provides a computer program according to claim 7, further comprising the step of invalidating the connection of the terminal device identified as the unauthorized connection terminal to the LAN.
本発明では、認証システムが構築されたLANにおいて、端末装置の認証を行う認証サーバと認証スイッチとの間にネットワーク制御装置を介在させ、このネットワーク制御装置により、認証サーバ及び端末装置間で通信される認証プロトコルに従った通信内容を傍受する構成である。ネットワーク制御装置は、傍受した通信内容から認証サーバによって認可された端末装置の識別アドレスを記憶する。従って、任意の端末装置がLANに接続しようとして該端末装置の識別アドレスがLANに送信された場合には、その識別アドレスが、認可済みの端末装置の識別アドレスと相違するか否かを比較することにより、不正接続か否かを容易に検出できる。また、不正接続と判定された場合には、LANへの接続を無効化する手段により、該端末装置の接続を無効化できる。このため、LAN中のリピータHUB等の空きポートに、認可を受けていない端末装置を接続してLANに接続しようとしても、そのことを容易に検出し、無効化することができる。 In the present invention, in a LAN in which an authentication system is constructed, a network control device is interposed between an authentication server for authenticating a terminal device and an authentication switch, and the network control device communicates between the authentication server and the terminal device. This is a configuration for intercepting communication contents according to the authentication protocol. The network control device stores the identification address of the terminal device authorized by the authentication server from the intercepted communication content. Therefore, when an arbitrary terminal device tries to connect to the LAN and the identification address of the terminal device is transmitted to the LAN, whether or not the identification address is different from the identification address of the authorized terminal device is compared. Thus, it is possible to easily detect whether or not the connection is illegal. If it is determined that the connection is illegal, the connection of the terminal device can be invalidated by means for invalidating the connection to the LAN. For this reason, even if an unapproved terminal device is connected to an empty port such as a repeater HUB in the LAN to connect to the LAN, this can be easily detected and invalidated.
以下、本発明の実施形態を図面に基づいて更に詳しく説明する。図1は、本発明が適用されるネットワーク認証システム1の全体構成の一例を示す図である。これはIEEE802.1Xの認証システムを用いたもので、認証対象である正規の各端末装置(PC1,PC2)10、認証サーバ20、並びに、各端末装置10と認証サーバ20との間に介在されるIEEE802.1X対応の認証スイッチ30とを備えて構成されている。そして、このネットワーク認証システム1にネットワーク制御装置40と不正接続無効化手段50が設けられている。なお、符号60は認証システムを構成するLANから他のネットワークに接続するためのゲートウエイである。
Hereinafter, embodiments of the present invention will be described in more detail with reference to the drawings. FIG. 1 is a diagram showing an example of the overall configuration of a network authentication system 1 to which the present invention is applied. This uses an IEEE802.1X authentication system, and is interposed between each authorized terminal device (PC1, PC2) 10 and
端末装置10は、装置本体内にMPU(Micro Processing Unit)やメインメモリ等により構成された演算処理部、ハードディスク、及びこれらのデータの入出力部である入出力ポートなどが備えられたパーソナルコンピュータ(PC)等からなり、ソフトウエアとして、IEEE802.1X対応のサプリカントがインストールされている。
The
サプリカントは、端末装置10の認証情報を送信する。認証情報は限定されるものではないが、典型的には各端末装置10の電子証明書であり、この電子証明書が正規か否かについて、認証サーバ20によって判断される。
The supplicant transmits the authentication information of the
認証サーバ20は、IEEE802.1Xの認証システムで通常使用されているRADIUSサーバから構成され、認証スイッチ30に接続されて配置される。認証サーバ20は、証明機関から送信される有効な電子証明書のリストを記憶しており、端末装置10から送信されてきた電子証明書をこのリストに掲載された電子証明書と比較し、一致する場合にLANへの接続を「認可」する。
The
認証スイッチ30は、端末装置10と認証サーバ20との間で行われる認証プロトコルに従った認証工程の通信を中継する。認証サーバ20によって端末装置10が認可された場合には、この認可された端末装置10のLANへの接続を中継し、さらに、ゲートウエイ60を介しての他のネットワークへのアクセスも許容するが、認可されなかった場合には、当該LANへの接続が中継されない。
The
ネットワーク制御装置40は、演算部41と記憶部42を備えたコンピュータから構成され、認証サーバ20と認証スイッチ30との間で行われる認証工程における通信内容を傍受可能に配置される。認証スイッチ30は端末装置10から認証情報を受け取ると、認証サーバ20に当該認証情報を送信し、認証サーバ20によって認証情報の有効、無効が判断され、有効と判断された場合には、接続を許容する認証成功(認可)の情報が認証スイッチ30に返信される。従って、ネットワーク制御装置40により両者間の通信内容を傍受すれば、認証サーバ20によって認可される端末装置10を判別できる。
The
このため、ネットワーク制御装置40の演算部41には、認証情報の認可された端末装置10の識別アドレスを記憶部42に記憶させる手段(コンピュータプログラム)が設定されている。また、認証システム1を構成するLANに接続された任意の端末装置からデータが送信された場合に、この任意の端末装置から送信されるデータに含まれる識別アドレスを受信し、上記の認可済みの端末装置10の識別アドレスと比較し、任意の端末装置の識別アドレスが、記憶された識別アドレスと一致するか否かによって認可済みか否かを判別し、認可されていない識別アドレスに係る端末装置10を不正接続端末と特定する手段(コンピュータプログラム)が設定されている。なお、ネットワーク制御装置40は、認証サーバ20、認証スイッチ30等の各識別アドレスについては、これらを排除しないように、予め正規のものとして記憶部(図示せず)に記憶している。
Therefore, a means (computer program) for storing the identification address of the
不正接続無効化手段50は、ネットワーク制御装置40によって特定された不正接続に係る端末装置10の識別アドレスを該ネットワーク制御装置40から受信し、当該端末装置10のLANへの接続を無効化する手段(コンピュータプログラム)を備えている。不正接続無効化手段50は、独立した装置により構成し、ネットワーク制御装置40と通信ケーブルで接続し、不正接続に係る端末装置10の識別アドレスを、ネットワーク制御装置40から通信ケーブルを介して受信する構成としてもよいし、ネットワーク制御装置40の演算部41に、不正接続無効化手段50を組み込んだ構成とすることもできる。なお、請求項で規定した「ネットワーク制御装置」は、これらのいずれの態様も含む意味である。接続を無効化する手段は限定されるものではないが、例えば、識別アドレスの情報を書き換える手段が挙げられる。具体的には、不正接続に係る端末装置10のARPテーブルに規定される送信先MACアドレスを偽装する(例えば、不正接続無効化手段50のMACアドレスを偽装アドレスとして書き込む)。
The unauthorized connection invalidating means 50 receives the identification address of the
次に、本実施形態の動作の概要を図2及び図3を用いて説明する。なお、図1〜図3に示した各端末装置10の中で、PC1及びPC2は正規の端末装置であり、PCX、PCY及びPCZは不正接続に係る端末装置とする。PCXは、リピータHUB101を介して認証スイッチ30に接続されており、PCY及びPCZは、認証サーバ20と認証スイッチ30との間に、リピータHUB102を介して接続されている。
Next, an outline of the operation of the present embodiment will be described with reference to FIGS. In each
正規の端末装置10であるPC1がLANに接続しようとする場合には、まず、認証サーバ20に対して認証依頼を行う(図2のA)。認証情報のやり取りが行われ、認可が得られると認証サーバ20からその旨の情報がPC1に送信される(図2のB)。ネットワーク制御装置40は、この間の通信を傍受しており、認可された端末装置であるPC1の識別アドレスを記憶部42に記憶する。PC1は、認可後、当該LANへの接続及びゲートウエイ60を介しての他のネットワークへの接続が可能になる(図2のC,D)。
When the PC 1 which is the legitimate
一方、PCXが、リピータHUB102を介してLANに接続し、認証スイッチ30を経由してさらにゲートウエイ60から他のネットワークに接続しようとする場合、ゲートウエイ60との間でARPパケットの送受信が行われる(図2のE、F)。このとき、ネットワーク制御装置40は、PCXが、記憶部42に記憶された認可済みの識別アドレスでないことを把握し、不正接続と認識する。不正接続と認識されたPCXの識別アドレスは不正接続無効化手段50に送られ、不正接続と認識されたPCXのARPテーブルに偽装アドレス(例えば、不正接続無効化手段50のMACアドレス)を送信する(図3のG)。
On the other hand, when the PCX connects to the LAN via the
上記の動作を、図4を用いてさらに具体的に説明する。まず、正規の端末装置10であるPC1を起動すると、認証スイッチ30からEAPリクエストが送信される(S101)。PC1は、EAPリクエストを受信するとEAPレスポンスでPC1の認証情報を認証スイッチ30に送信する(S102)。認証スイッチ30は、この認証情報をRADIUSリクエストとして認証サーバ20に送信する(S103)。認証サーバ20では、認証情報に係る電子証明の有効性を確認し、有効である場合にはこの認証情報を認可し、その旨をRADIUSアクセプトとして認証スイッチ30に送信し(S104)、認証スイッチ30はRADIUSアクセプトを受信すると、認証成功(認可)のコマンドであるEAPサクセスをPC1に送信する(S105)。これにより、認証工程が完了し、認証スイッチ30のポートがオープンになり、認可されたPC1からのLANへの接続が可能となり、ARPリクエストがゲートウエイ60に送信され(S106)、ゲートウエイ60からARPリプライが返信されて(S107)、他のネットワークへのアクセスが可能となる。
The above operation will be described more specifically with reference to FIG. First, when the PC 1 which is the regular
ネットワーク制御装置40は、認証スイッチ30と認証サーバ20との間で流れる通信内容を監視しており、RADIUSアクセプトが送信されるPC1のMACアドレスを正規の端末装置10として記憶部42に記憶する。また、不正接続無効化手段50には、PC1のMACアドレスがネットワーク制御装置40から送信される。不正接続無効化手段50は、さらに、定期的にPC1との間でARPリクエスト及びARPリプライの送受信を行い(S108、S109)、PC1のARPテーブルに不正接続に係る端末装置であるPCXのMACアドレスのエントリがあるか否かを確認する。エントリがある場合には当該MACアドレスを偽装アドレスに書き換える。
The
これに対し、PCXがLANに接続しようとする場合には、ARPリクエストがLANを経てゲートウエイ60に送信され(S201)、ゲートウエイ60からARPリプライ(S202)が返信される。このとき、LANに流れるPCXのデータに該PCXの識別アドレスが含まれるため、ネットワーク制御装置40は、ARPリクエストから、PCXのMACアドレスが、記憶部42に記憶された認可されたMACアドレスでないことを把握し、不正接続と認識し、PCXのMACアドレスを不正接続無効化手段50に送る。
On the other hand, when PCX tries to connect to the LAN, an ARP request is transmitted to the
不正接続無効化手段50は、不正接続と認識されたPCXのARPテーブルの全てのエントリに偽装アドレス(例えば、不正接続無効化手段50のMACアドレス)をARPリクエストコマンドで送信して書き換え(S203)、ARPリプライを受信して内容を確認する(S204)。これにより、PCXはARPテーブルに従って所定のIPアドレス宛にコマンドを送信しても、当該IPアドレスに対応するMACアドレスが偽装アドレスに書き換えられているため、この偽装アドレスに当該コマンドが送信され、PCXはLANへの接続が不可能になる。 The unauthorized connection invalidation means 50 transmits an impersonation address (for example, the MAC address of the unauthorized connection invalidation means 50) to all entries in the ARP table of the PCX recognized as unauthorized connection by using an ARP request command to rewrite (S203). The ARP reply is received and the content is confirmed (S204). As a result, even if PCX sends a command addressed to a predetermined IP address according to the ARP table, the MAC address corresponding to the IP address has been rewritten to a camouflaged address. Cannot be connected to the LAN.
以上により、本実施形態では、LAN中のリピータHUB等の空きポートに、許可を受けていない端末装置を接続してLANに接続しようとしても、そのことを容易に検出し、無効化することができる。 As described above, in the present embodiment, even if an unauthorized terminal device is connected to a free port such as a repeater HUB in the LAN and connected to the LAN, this can be easily detected and invalidated. it can.
1 ネットワーク認証システム
10 端末装置
20 認証サーバ
30 認証スイッチ
40 ネットワーク制御装置
50 不正接続無効化手段
60 ゲートウエイ
DESCRIPTION OF SYMBOLS 1
Claims (8)
前記認証サーバ及び端末装置間で通信される認証プロトコルに従った通信内容を認証サーバ及び認証スイッチ間において傍受し、認証サーバによって認可された端末装置の識別アドレスを記憶する手段と、
任意の端末装置から送信されるデータを傍受し、このデータに含まれる前記任意の端末装置の識別アドレスを、前記手段によって記憶された認可済みの端末装置の識別アドレスと比較し、前記任意の端末装置の識別アドレスが、記憶された識別アドレスと一致するか否かによって認可済みか否かを判別し、認可されなかった識別アドレスに係る端末装置を不正接続端末と特定する手段と
を備えることを特徴とするネットワーク制御装置。 A terminal device to be authenticated, an authentication server that receives authentication information of the terminal device and authenticates whether or not to authorize connection to the LAN, and relays communication between the terminal device and the authentication server. A network control device used in an authentication system including an authentication switch for performing,
Means for intercepting communication contents in accordance with an authentication protocol communicated between the authentication server and the terminal device between the authentication server and the authentication switch, and storing an identification address of the terminal device authorized by the authentication server;
Intercept data transmitted from an arbitrary terminal device, compare the identification address of the arbitrary terminal device included in the data with the identification address of the authorized terminal device stored by the means, and Determining whether or not the device has been authorized based on whether or not the identification address of the device matches the stored identification address and identifying the terminal device associated with the unauthorized identification address as an unauthorized connection terminal. A network control device characterized.
ネットワーク制御装置により、前記認証サーバ及び端末装置間で通信される認証プロトコルに従った通信内容を認証サーバ及び認証スイッチ間において傍受し、認証サーバによって認可された端末装置の識別アドレスを記憶しておき、
任意の端末装置から送信されるデータを傍受し、このデータに含まれる前記任意の端末装置の識別アドレスを、記憶された認可済みの端末装置の識別アドレスと比較し、前記任意の端末装置の識別アドレスが、記憶された識別アドレスと一致するか否かによって認可済みか否かを判別し、認可されなかった識別アドレスに係る端末装置を不正接続端末と特定することを特徴とするネットワーク制御方法。 A terminal device to be authenticated, an authentication server that receives authentication information of the terminal device and authenticates whether or not to authorize connection to the LAN, and relays communication between the terminal device and the authentication server. A network control method in an authentication system comprising an authentication switch to perform,
The network control device intercepts the communication contents according to the authentication protocol communicated between the authentication server and the terminal device between the authentication server and the authentication switch, and stores the identification address of the terminal device authorized by the authentication server. ,
The data transmitted from an arbitrary terminal device is intercepted, the identification address of the arbitrary terminal device included in this data is compared with the stored identification address of the authorized terminal device, and the identification of the arbitrary terminal device is performed. A network control method characterized by determining whether or not authorized based on whether or not the address matches a stored identification address, and identifying a terminal device related to the unauthorized identification address as an unauthorized connection terminal.
前記認証サーバ及び端末装置間で通信される認証プロトコルに従った通信内容を認証サーバ及び認証スイッチ間において傍受し、認証サーバによって認可された端末装置の識別アドレスを記憶するステップと、
任意の端末装置から送信されるデータに含まれる識別アドレスを受信し、前記ステップによって記憶された認可済みの端末装置の識別アドレスと比較し、前記任意の端末装置の識別アドレスが、記憶された識別アドレスと一致するか否かによって認可済みか否かを判別し、認可されなかった識別アドレスに係る端末装置を不正接続端末と特定するステップと
を備えることを特徴とするコンピュータプログラム。 A terminal device to be authenticated, an authentication server that receives authentication information of the terminal device and authenticates whether or not to authorize connection to the LAN, and relays communication between the terminal device and the authentication server. An authentication system comprising an authentication switch for performing a computer program installed in a network control computer for monitoring the authentication system and detecting unauthorized connection,
Intercepting communication contents according to the authentication protocol communicated between the authentication server and the terminal device between the authentication server and the authentication switch, and storing the identification address of the terminal device authorized by the authentication server;
An identification address included in data transmitted from an arbitrary terminal device is received and compared with the identification address of the authorized terminal device stored by the step, and the identification address of the arbitrary terminal device is stored A computer program comprising: determining whether or not authorization has been made based on whether or not the address matches, and identifying the terminal device associated with the unapproved identification address as an unauthorized connection terminal.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2007118465A JP2008278134A (en) | 2007-04-27 | 2007-04-27 | Network control unit, network control method, and computer program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2007118465A JP2008278134A (en) | 2007-04-27 | 2007-04-27 | Network control unit, network control method, and computer program |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2008278134A true JP2008278134A (en) | 2008-11-13 |
Family
ID=40055580
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2007118465A Pending JP2008278134A (en) | 2007-04-27 | 2007-04-27 | Network control unit, network control method, and computer program |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2008278134A (en) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2013141947A (en) * | 2012-01-12 | 2013-07-22 | Denso Corp | Gateway device and vehicle communication system |
JP2016525748A (en) * | 2013-07-09 | 2016-08-25 | 華為技術有限公司Huawei Technologies Co.,Ltd. | Method, apparatus and system for controlling access of user terminal |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2004072633A (en) * | 2002-08-08 | 2004-03-04 | Hitachi Ltd | IPv6 NODE ACCOMMODATING METHOD AND IPv6 NODE ACCOMMODATING SYSTEM |
JP2005079706A (en) * | 2003-08-28 | 2005-03-24 | Nec Corp | System and apparatus for preventing illegal connection to network |
JP2006186968A (en) * | 2004-12-01 | 2006-07-13 | Canon Inc | Wireless control apparatus, system, control method, and program |
JP2006262019A (en) * | 2005-03-16 | 2006-09-28 | Fujitsu Ltd | Network quarantine program, recording medium recording program, network quarantine method, and network quarantine apparatus |
JP2006339933A (en) * | 2005-06-01 | 2006-12-14 | Alaxala Networks Corp | Network access control method and system thereof |
-
2007
- 2007-04-27 JP JP2007118465A patent/JP2008278134A/en active Pending
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2004072633A (en) * | 2002-08-08 | 2004-03-04 | Hitachi Ltd | IPv6 NODE ACCOMMODATING METHOD AND IPv6 NODE ACCOMMODATING SYSTEM |
JP2005079706A (en) * | 2003-08-28 | 2005-03-24 | Nec Corp | System and apparatus for preventing illegal connection to network |
JP2006186968A (en) * | 2004-12-01 | 2006-07-13 | Canon Inc | Wireless control apparatus, system, control method, and program |
JP2006262019A (en) * | 2005-03-16 | 2006-09-28 | Fujitsu Ltd | Network quarantine program, recording medium recording program, network quarantine method, and network quarantine apparatus |
JP2006339933A (en) * | 2005-06-01 | 2006-12-14 | Alaxala Networks Corp | Network access control method and system thereof |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2013141947A (en) * | 2012-01-12 | 2013-07-22 | Denso Corp | Gateway device and vehicle communication system |
JP2016525748A (en) * | 2013-07-09 | 2016-08-25 | 華為技術有限公司Huawei Technologies Co.,Ltd. | Method, apparatus and system for controlling access of user terminal |
US9825950B2 (en) | 2013-07-09 | 2017-11-21 | Huawei Technologies Co., Ltd. | Method, apparatus, and system for controlling access of user terminal |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR102362456B1 (en) | Authority transfer system, control method therefor, and storage medium | |
US11233790B2 (en) | Network-based NT LAN manager (NTLM) relay attack detection and prevention | |
CN101217575B (en) | An IP address allocation and device in user end certification process | |
KR102460694B1 (en) | System for controlling network access based on controller and method of the same | |
US20140020067A1 (en) | Apparatus and method for controlling traffic based on captcha | |
KR102396528B1 (en) | System for controlling network access based on controller and method of the same | |
US8516254B2 (en) | Method and apparatus for communicating information between a security panel and a security server | |
CN102111406A (en) | Authentication method, system and DHCP proxy server | |
CN101986598B (en) | Authentication method, server and system | |
JP2006203300A (en) | Transfer apparatus, accessibility determining method and program | |
JP4698751B2 (en) | Access control system, authentication server system, and access control program | |
KR102439881B1 (en) | System for controlling network access based on controller and method of the same | |
KR102514618B1 (en) | System for controlling network access based on controller and method of the same | |
KR102460695B1 (en) | System for controlling network access based on controller and method of the same | |
JP2023162313A (en) | System for authenticating and controlling network connection of terminal and method related thereto | |
JP2005099980A (en) | Service provision method, service provision program, host device, and service provision device | |
KR102377248B1 (en) | System for controlling network access based on controller and method of the same | |
JP2007208759A (en) | Authentication security system obtained by combining mac address with user authentication | |
KR100856918B1 (en) | Method for IP address authentication in IPv6 network, and IPv6 network system | |
KR20180103487A (en) | System and method for controlling network access | |
JP2008278134A (en) | Network control unit, network control method, and computer program | |
JP2004078280A (en) | Remote access mediation system and method | |
JP4768547B2 (en) | Authentication system for communication devices | |
JP2012060357A (en) | Remote access control method for mobile body system | |
KR102558821B1 (en) | System for authenticating user and device totally and method thereof |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20100422 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20100422 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20111028 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20120321 |