JP2008278134A - Network control unit, network control method, and computer program - Google Patents

Network control unit, network control method, and computer program Download PDF

Info

Publication number
JP2008278134A
JP2008278134A JP2007118465A JP2007118465A JP2008278134A JP 2008278134 A JP2008278134 A JP 2008278134A JP 2007118465 A JP2007118465 A JP 2007118465A JP 2007118465 A JP2007118465 A JP 2007118465A JP 2008278134 A JP2008278134 A JP 2008278134A
Authority
JP
Japan
Prior art keywords
terminal device
authentication
network control
identification address
authentication server
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2007118465A
Other languages
Japanese (ja)
Inventor
Akira Iwata
彰 岩田
Shunyo Suzuki
春洋 鈴木
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nagoya Institute of Technology NUC
Chuden Cti Co Ltd
Original Assignee
Nagoya Institute of Technology NUC
Chuden Cti Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nagoya Institute of Technology NUC, Chuden Cti Co Ltd filed Critical Nagoya Institute of Technology NUC
Priority to JP2007118465A priority Critical patent/JP2008278134A/en
Publication of JP2008278134A publication Critical patent/JP2008278134A/en
Pending legal-status Critical Current

Links

Images

Landscapes

  • Small-Scale Networks (AREA)

Abstract

<P>PROBLEM TO BE SOLVED: To easily detect and invalidate a connection of a terminal which is not permitted. <P>SOLUTION: A network control unit 40 is interposed between an authentication server 20 and an authentication switch 30 for authenticating a terminal device 10, and configured to intercept communication contents, based upon an authentication protocol, communicated between the authentication server 20 and terminal device 10. The network control unit 40 stores an identification address of the terminal device 10 approved by the authentication server 20 from the intercepted communication contents. Therefore, when an arbitrary terminal device tries to connect with the LAN and transmits an identification address, the identification address is compared with an identification address of an approved terminal device to check whether they are different, thereby easily detecting whether the connection is illegal. <P>COPYRIGHT: (C)2009,JPO&INPIT

Description

本発明は、認可された端末装置のみを所定のLANへ接続させるネットワーク認証システムに用いられるネットワーク制御技術に関する。   The present invention relates to a network control technique used in a network authentication system in which only authorized terminal devices are connected to a predetermined LAN.

LANにおけるユーザ認証(端末装置の認証)の方式を定めた規格としてIEEE802.1Xが近年普及してきている。IEEE802.1Xの認証システムは、端末装置にインストールされるサプリカント(Supplicant)ソフトウェア(例えば、IEEE802.1X対応サプリカント)、認証装置、認証サーバ(RADIUSサーバ)から構成される。端末装置がLANに接続しようとすると、認証装置を介して、認証サーバとサプリカントとの間で認証プロトコル(EAPプロトコル)に従った認証のための通信が行われ、認証サーバによって当該端末装置の認証が行われる。認証サーバによって認可された場合には、端末装置からLANへの接続が可能となる仕組みであり、管理者によるLANへの端末装置の接続制御を容易にでき、情報セキュリティ対策に効果的である。   In recent years, IEEE 802.1X has become widespread as a standard that defines a user authentication (terminal device authentication) method in a LAN. The IEEE 802.1X authentication system includes supplicant software (for example, IEEE 802.1X compatible supplicant) installed in a terminal device, an authentication device, and an authentication server (RADIUS server). When the terminal device tries to connect to the LAN, communication for authentication according to the authentication protocol (EAP protocol) is performed between the authentication server and the supplicant via the authentication device. Authentication is performed. When authorized by the authentication server, the terminal device can be connected to the LAN, and the administrator can easily control the connection of the terminal device to the LAN, which is effective for information security measures.

しかし、IEEE802.1Xの認証システムを用いていても、有線LAN中に設けられたリピータHUBの空きポートに認可を受けていない端末装置が接続された場合には、認証を受けることなく、LANによって接続された他の端末装置、あるいは、このLANに設けられたゲートウエイを通じて他のネットワークにアクセスできてしまう場合がある。   However, even if an IEEE 802.1X authentication system is used, if a terminal device that is not authorized is connected to an empty port of a repeater HUB provided in the wired LAN, authentication is not performed and the LAN is used. In some cases, other networks may be accessible through other connected terminal devices or gateways provided in the LAN.

本発明は上記に鑑みなされたものであり、認可を受けていない端末装置のネットワーク上での存在を迅速に検出し、かつ、当該不正端末装置の接続を無効化するネットワーク制御装置、ネットワーク制御方法及びコンピュータプログラムを提供することを課題とする。   The present invention has been made in view of the above, and quickly detects the presence of an unauthorized terminal device on a network and invalidates the connection of the unauthorized terminal device, and a network control method It is another object of the present invention to provide a computer program.

上記課題を解決するため、請求項1記載の発明では、認証対象の端末装置と、前記端末装置の認証情報を受信して、LANへの接続を認可すべきか否かの認証を行う認証サーバと、前記端末装置と認証サーバとの間の通信の中継を行う認証スイッチとを備えた認証システムに用いられるネットワーク制御装置であって、
前記認証サーバ及び端末装置間で通信される認証プロトコルに従った通信内容を認証サーバ及び認証スイッチ間において傍受し、認証サーバによって認可された端末装置の識別アドレスを記憶する手段と、
任意の端末装置から送信されるデータを傍受し、このデータに含まれる前記任意の端末装置の識別アドレスを、前記手段によって記憶された認可済みの端末装置の識別アドレスと比較し、前記任意の端末装置の識別アドレスが、記憶された識別アドレスと一致するか否かによって認可済みか否かを判別し、認可されなかった識別アドレスに係る端末装置を不正接続端末と特定する手段と
を備えることを特徴とするネットワーク制御装置を提供する。
請求項2記載の発明では、さらに、前記不正接続端末と特定された端末装置に対して、前記LANへの接続を無効化する手段を備えることを特徴とする請求項1記載のネットワーク制御装置を提供する。
請求項3記載の発明では、前記LANが、IEEE802.1X認証を利用したLANであることを特徴とする請求項1記載のネットワーク制御装置を提供する。
請求項4記載の発明では、認証対象の端末装置と、前記端末装置の認証情報を受信して、LANへの接続を認可すべきか否かの認証を行う認証サーバと、前記端末装置と認証サーバとの間の通信の中継を行う認証スイッチとを備えた認証システムにおけるネットワーク制御方法であって、
ネットワーク制御装置により、前記認証サーバ及び端末装置間で通信される認証プロトコルに従った通信内容を認証サーバ及び認証スイッチ間において傍受し、認証サーバによって認可された端末装置の識別アドレスを記憶しておき、
任意の端末装置から送信されるデータを傍受し、このデータに含まれる前記任意の端末装置の識別アドレスを、記憶された認可済みの端末装置の識別アドレスと比較し、前記任意の端末装置の識別アドレスが、記憶された識別アドレスと一致するか否かによって認可済みか否かを判別し、認可されなかった識別アドレスに係る端末装置を不正接続端末と特定することを特徴とするネットワーク制御方法を提供する。
請求項5記載の発明では、さらに、前記不正接続端末と特定された端末装置の、前記LANへの接続を無効化することを特徴とする請求項4記載のネットワーク制御方法を提供する。
請求項6記載の発明では、IEEE802.1X認証を利用した認証システムを用いたLANに適用されることを特徴とする請求項4又は5記載のネットワーク制御方法を提供する。
請求項7記載の発明では、認証対象の端末装置と、前記端末装置の認証情報を受信して、LANへの接続を認可すべきか否かの認証を行う認証サーバと、前記端末装置と認証サーバとの間の通信の中継を行う認証スイッチとを備えた認証システムにおいて、当該認証システムを監視して不正接続を検出するネットワーク制御用のコンピュータに導入されるコンピュータプログラムであって、
前記認証サーバ及び端末装置間で通信される認証プロトコルに従った通信内容を認証サーバ及び認証スイッチ間において傍受し、認証サーバによって認可された端末装置の識別アドレスを記憶するステップと、
任意の端末装置から送信されるデータに含まれる識別アドレスを受信し、前記ステップによって記憶された認可済みの端末装置の識別アドレスと比較し、前記任意の端末装置の識別アドレスが、記憶された識別アドレスと一致するか否かによって認可済みか否かを判別し、認可されなかった識別アドレスに係る端末装置を不正接続端末と特定するステップと
を備えることを特徴とするコンピュータプログラムを提供する。
請求項8記載の発明では、さらに、前記不正接続端末と特定された端末装置の、前記LANへの接続を無効化するステップを備えることを特徴とする請求項7記載のコンピュータプログラムを提供する。 In order to solve the above problem, in the invention according to claim 1, an authentication target terminal device, an authentication server that receives authentication information of the terminal device and authenticates whether or not to permit connection to the LAN, and A network control device used in an authentication system including an authentication switch that relays communication between the terminal device and the authentication server,
Means for intercepting communication contents in accordance with an authentication protocol communicated between the authentication server and the terminal device between the authentication server and the authentication switch, and storing an identification address of the terminal device authorized by the authentication server;
Intercept data transmitted from an arbitrary terminal device, compare the identification address of the arbitrary terminal device included in the data with the identification address of the authorized terminal device stored by the means, and Determining whether or not the device has been authorized based on whether or not the identification address of the device matches the stored identification address and identifying the terminal device associated with the unauthorized identification address as an unauthorized connection terminal. A characteristic network control device is provided.
The invention according to claim 2 further comprises means for invalidating the connection to the LAN for the terminal device identified as the unauthorized connection terminal. provide.
According to a third aspect of the present invention, there is provided the network control apparatus according to the first aspect, wherein the LAN is a LAN using IEEE802.1X authentication.
According to a fourth aspect of the present invention, an authentication target terminal device, an authentication server that receives authentication information of the terminal device and authenticates whether or not to authorize connection to a LAN, and the terminal device and the authentication server A network control method in an authentication system comprising an authentication switch that relays communication between and
The network control device intercepts the communication contents according to the authentication protocol communicated between the authentication server and the terminal device between the authentication server and the authentication switch, and stores the identification address of the terminal device authorized by the authentication server. ,
The data transmitted from an arbitrary terminal device is intercepted, the identification address of the arbitrary terminal device included in this data is compared with the stored identification address of the authorized terminal device, and the identification of the arbitrary terminal device is performed. A network control method characterized by determining whether or not authorized based on whether or not an address matches a stored identification address and identifying a terminal device related to the unauthorized identification address as an unauthorized connection terminal provide.
According to a fifth aspect of the present invention, there is further provided the network control method according to the fourth aspect, wherein the connection of the terminal device identified as the unauthorized connection terminal to the LAN is invalidated.
The invention according to claim 6 provides the network control method according to claim 4 or 5, which is applied to a LAN using an authentication system using IEEE802.1X authentication.
In the invention of claim 7, the terminal device to be authenticated, the authentication server that receives the authentication information of the terminal device and authenticates whether or not the connection to the LAN should be authorized, the terminal device and the authentication server A computer program installed in a computer for network control that monitors an authentication system and detects unauthorized connection in an authentication system including an authentication switch that relays communication between and
Intercepting communication contents according to the authentication protocol communicated between the authentication server and the terminal device between the authentication server and the authentication switch, and storing the identification address of the terminal device authorized by the authentication server;
An identification address included in data transmitted from an arbitrary terminal device is received and compared with the identification address of the authorized terminal device stored by the step, and the identification address of the arbitrary terminal device is stored A computer program is provided, comprising: determining whether or not authorized based on whether or not the address matches, and identifying the terminal device related to the identification address that is not authorized as an unauthorized connection terminal.
The invention according to claim 8 further provides a computer program according to claim 7, further comprising the step of invalidating the connection of the terminal device identified as the unauthorized connection terminal to the LAN.

本発明では、認証システムが構築されたLANにおいて、端末装置の認証を行う認証サーバと認証スイッチとの間にネットワーク制御装置を介在させ、このネットワーク制御装置により、認証サーバ及び端末装置間で通信される認証プロトコルに従った通信内容を傍受する構成である。ネットワーク制御装置は、傍受した通信内容から認証サーバによって認可された端末装置の識別アドレスを記憶する。従って、任意の端末装置がLANに接続しようとして該端末装置の識別アドレスがLANに送信された場合には、その識別アドレスが、認可済みの端末装置の識別アドレスと相違するか否かを比較することにより、不正接続か否かを容易に検出できる。また、不正接続と判定された場合には、LANへの接続を無効化する手段により、該端末装置の接続を無効化できる。このため、LAN中のリピータHUB等の空きポートに、認可を受けていない端末装置を接続してLANに接続しようとしても、そのことを容易に検出し、無効化することができる。   In the present invention, in a LAN in which an authentication system is constructed, a network control device is interposed between an authentication server for authenticating a terminal device and an authentication switch, and the network control device communicates between the authentication server and the terminal device. This is a configuration for intercepting communication contents according to the authentication protocol. The network control device stores the identification address of the terminal device authorized by the authentication server from the intercepted communication content. Therefore, when an arbitrary terminal device tries to connect to the LAN and the identification address of the terminal device is transmitted to the LAN, whether or not the identification address is different from the identification address of the authorized terminal device is compared. Thus, it is possible to easily detect whether or not the connection is illegal. If it is determined that the connection is illegal, the connection of the terminal device can be invalidated by means for invalidating the connection to the LAN. For this reason, even if an unapproved terminal device is connected to an empty port such as a repeater HUB in the LAN to connect to the LAN, this can be easily detected and invalidated.

以下、本発明の実施形態を図面に基づいて更に詳しく説明する。図1は、本発明が適用されるネットワーク認証システム1の全体構成の一例を示す図である。これはIEEE802.1Xの認証システムを用いたもので、認証対象である正規の各端末装置(PC1,PC2)10、認証サーバ20、並びに、各端末装置10と認証サーバ20との間に介在されるIEEE802.1X対応の認証スイッチ30とを備えて構成されている。そして、このネットワーク認証システム1にネットワーク制御装置40と不正接続無効化手段50が設けられている。なお、符号60は認証システムを構成するLANから他のネットワークに接続するためのゲートウエイである。   Hereinafter, embodiments of the present invention will be described in more detail with reference to the drawings. FIG. 1 is a diagram showing an example of the overall configuration of a network authentication system 1 to which the present invention is applied. This uses an IEEE802.1X authentication system, and is interposed between each authorized terminal device (PC1, PC2) 10 and authentication server 20 to be authenticated, and between each terminal device 10 and the authentication server 20. IEEE802.1X compatible authentication switch 30. The network authentication system 1 is provided with a network control device 40 and unauthorized connection invalidation means 50. Reference numeral 60 denotes a gateway for connecting to another network from the LAN constituting the authentication system.

端末装置10は、装置本体内にMPU(Micro Processing Unit)やメインメモリ等により構成された演算処理部、ハードディスク、及びこれらのデータの入出力部である入出力ポートなどが備えられたパーソナルコンピュータ(PC)等からなり、ソフトウエアとして、IEEE802.1X対応のサプリカントがインストールされている。   The terminal device 10 includes a personal computer (an arithmetic processing unit constituted by an MPU (Micro Processing Unit), a main memory, and the like, a hard disk, and an input / output port as an input / output unit for these data) PC, etc., and a supplicant that supports IEEE 802.1X is installed as software.

サプリカントは、端末装置10の認証情報を送信する。認証情報は限定されるものではないが、典型的には各端末装置10の電子証明書であり、この電子証明書が正規か否かについて、認証サーバ20によって判断される。   The supplicant transmits the authentication information of the terminal device 10. Although the authentication information is not limited, it is typically an electronic certificate of each terminal device 10, and the authentication server 20 determines whether or not the electronic certificate is authentic.

認証サーバ20は、IEEE802.1Xの認証システムで通常使用されているRADIUSサーバから構成され、認証スイッチ30に接続されて配置される。認証サーバ20は、証明機関から送信される有効な電子証明書のリストを記憶しており、端末装置10から送信されてきた電子証明書をこのリストに掲載された電子証明書と比較し、一致する場合にLANへの接続を「認可」する。   The authentication server 20 is composed of a RADIUS server that is normally used in an IEEE 802.1X authentication system, and is connected to the authentication switch 30. The authentication server 20 stores a list of valid electronic certificates transmitted from the certification authority, compares the electronic certificate transmitted from the terminal device 10 with the electronic certificate placed in this list, and matches. To "authorize" the connection to the LAN.

認証スイッチ30は、端末装置10と認証サーバ20との間で行われる認証プロトコルに従った認証工程の通信を中継する。認証サーバ20によって端末装置10が認可された場合には、この認可された端末装置10のLANへの接続を中継し、さらに、ゲートウエイ60を介しての他のネットワークへのアクセスも許容するが、認可されなかった場合には、当該LANへの接続が中継されない。   The authentication switch 30 relays the communication of the authentication process according to the authentication protocol performed between the terminal device 10 and the authentication server 20. When the terminal device 10 is authorized by the authentication server 20, the connection of the authorized terminal device 10 to the LAN is relayed, and access to other networks via the gateway 60 is also permitted. If it is not authorized, the connection to the LAN is not relayed.

ネットワーク制御装置40は、演算部41と記憶部42を備えたコンピュータから構成され、認証サーバ20と認証スイッチ30との間で行われる認証工程における通信内容を傍受可能に配置される。認証スイッチ30は端末装置10から認証情報を受け取ると、認証サーバ20に当該認証情報を送信し、認証サーバ20によって認証情報の有効、無効が判断され、有効と判断された場合には、接続を許容する認証成功(認可)の情報が認証スイッチ30に返信される。従って、ネットワーク制御装置40により両者間の通信内容を傍受すれば、認証サーバ20によって認可される端末装置10を判別できる。   The network control device 40 is configured by a computer including a calculation unit 41 and a storage unit 42, and is arranged so that communication contents in an authentication process performed between the authentication server 20 and the authentication switch 30 can be intercepted. When the authentication switch 30 receives the authentication information from the terminal device 10, the authentication switch 30 transmits the authentication information to the authentication server 20, and the authentication server 20 determines whether the authentication information is valid or invalid. Information on the permitted authentication success (authorization) is returned to the authentication switch 30. Therefore, if the communication content is intercepted by the network control device 40, the terminal device 10 authorized by the authentication server 20 can be determined.

このため、ネットワーク制御装置40の演算部41には、認証情報の認可された端末装置10の識別アドレスを記憶部42に記憶させる手段(コンピュータプログラム)が設定されている。また、認証システム1を構成するLANに接続された任意の端末装置からデータが送信された場合に、この任意の端末装置から送信されるデータに含まれる識別アドレスを受信し、上記の認可済みの端末装置10の識別アドレスと比較し、任意の端末装置の識別アドレスが、記憶された識別アドレスと一致するか否かによって認可済みか否かを判別し、認可されていない識別アドレスに係る端末装置10を不正接続端末と特定する手段(コンピュータプログラム)が設定されている。なお、ネットワーク制御装置40は、認証サーバ20、認証スイッチ30等の各識別アドレスについては、これらを排除しないように、予め正規のものとして記憶部(図示せず)に記憶している。   Therefore, a means (computer program) for storing the identification address of the terminal device 10 whose authentication information is authorized in the storage unit 42 is set in the calculation unit 41 of the network control device 40. In addition, when data is transmitted from an arbitrary terminal device connected to the LAN constituting the authentication system 1, the identification address included in the data transmitted from the arbitrary terminal device is received, and the above-mentioned authorized Compared with the identification address of the terminal device 10, it is determined whether the identification address of an arbitrary terminal device matches the stored identification address or not, and the terminal device related to the unauthorized identification address A means (computer program) for identifying 10 as an unauthorized connection terminal is set. The network control device 40 stores the identification addresses of the authentication server 20, the authentication switch 30, and the like in advance in a storage unit (not shown) as regular ones so as not to exclude them.

不正接続無効化手段50は、ネットワーク制御装置40によって特定された不正接続に係る端末装置10の識別アドレスを該ネットワーク制御装置40から受信し、当該端末装置10のLANへの接続を無効化する手段(コンピュータプログラム)を備えている。不正接続無効化手段50は、独立した装置により構成し、ネットワーク制御装置40と通信ケーブルで接続し、不正接続に係る端末装置10の識別アドレスを、ネットワーク制御装置40から通信ケーブルを介して受信する構成としてもよいし、ネットワーク制御装置40の演算部41に、不正接続無効化手段50を組み込んだ構成とすることもできる。なお、請求項で規定した「ネットワーク制御装置」は、これらのいずれの態様も含む意味である。接続を無効化する手段は限定されるものではないが、例えば、識別アドレスの情報を書き換える手段が挙げられる。具体的には、不正接続に係る端末装置10のARPテーブルに規定される送信先MACアドレスを偽装する(例えば、不正接続無効化手段50のMACアドレスを偽装アドレスとして書き込む)。   The unauthorized connection invalidating means 50 receives the identification address of the terminal device 10 related to the unauthorized connection specified by the network control device 40 from the network control device 40, and invalidates the connection of the terminal device 10 to the LAN. (Computer program). The unauthorized connection invalidation means 50 is configured by an independent device, is connected to the network control device 40 via a communication cable, and receives the identification address of the terminal device 10 related to the unauthorized connection from the network control device 40 via the communication cable. A configuration may be adopted, or a configuration in which the unauthorized connection invalidating means 50 is incorporated in the calculation unit 41 of the network control device 40 may be adopted. The “network control device” defined in the claims is meant to include any of these aspects. The means for invalidating the connection is not limited, and for example, means for rewriting the information of the identification address can be mentioned. Specifically, the transmission destination MAC address defined in the ARP table of the terminal device 10 related to the unauthorized connection is camouflaged (for example, the MAC address of the unauthorized connection invalidating means 50 is written as the camouflaged address).

次に、本実施形態の動作の概要を図2及び図3を用いて説明する。なお、図1〜図3に示した各端末装置10の中で、PC1及びPC2は正規の端末装置であり、PCX、PCY及びPCZは不正接続に係る端末装置とする。PCXは、リピータHUB101を介して認証スイッチ30に接続されており、PCY及びPCZは、認証サーバ20と認証スイッチ30との間に、リピータHUB102を介して接続されている。   Next, an outline of the operation of the present embodiment will be described with reference to FIGS. In each terminal device 10 shown in FIGS. 1 to 3, PC1 and PC2 are regular terminal devices, and PCX, PCY, and PCZ are terminal devices related to unauthorized connection. PCX is connected to the authentication switch 30 via the repeater HUB 101, and PCY and PCZ are connected between the authentication server 20 and the authentication switch 30 via the repeater HUB 102.

正規の端末装置10であるPC1がLANに接続しようとする場合には、まず、認証サーバ20に対して認証依頼を行う(図2のA)。認証情報のやり取りが行われ、認可が得られると認証サーバ20からその旨の情報がPC1に送信される(図2のB)。ネットワーク制御装置40は、この間の通信を傍受しており、認可された端末装置であるPC1の識別アドレスを記憶部42に記憶する。PC1は、認可後、当該LANへの接続及びゲートウエイ60を介しての他のネットワークへの接続が可能になる(図2のC,D)。   When the PC 1 which is the legitimate terminal device 10 tries to connect to the LAN, first, an authentication request is made to the authentication server 20 (A in FIG. 2). When authentication information is exchanged and authorization is obtained, information indicating that is transmitted from the authentication server 20 to the PC 1 (B in FIG. 2). The network control device 40 intercepts the communication during this time, and stores the identification address of the PC 1 that is the authorized terminal device in the storage unit 42. After authorization, the PC 1 can be connected to the LAN and connected to another network via the gateway 60 (C and D in FIG. 2).

一方、PCXが、リピータHUB102を介してLANに接続し、認証スイッチ30を経由してさらにゲートウエイ60から他のネットワークに接続しようとする場合、ゲートウエイ60との間でARPパケットの送受信が行われる(図2のE、F)。このとき、ネットワーク制御装置40は、PCXが、記憶部42に記憶された認可済みの識別アドレスでないことを把握し、不正接続と認識する。不正接続と認識されたPCXの識別アドレスは不正接続無効化手段50に送られ、不正接続と認識されたPCXのARPテーブルに偽装アドレス(例えば、不正接続無効化手段50のMACアドレス)を送信する(図3のG)。   On the other hand, when the PCX connects to the LAN via the repeater HUB 102 and tries to connect to another network from the gateway 60 via the authentication switch 30, ARP packets are transmitted to and received from the gateway 60 ( E, F in FIG. At this time, the network control device 40 recognizes that the PCX is not an authorized identification address stored in the storage unit 42 and recognizes it as an unauthorized connection. The identification address of the PCX recognized as an unauthorized connection is sent to the unauthorized connection invalidation means 50, and a forged address (for example, the MAC address of the unauthorized connection invalidation means 50) is transmitted to the ARP table of the PCX recognized as an unauthorized connection. (G in FIG. 3).

上記の動作を、図4を用いてさらに具体的に説明する。まず、正規の端末装置10であるPC1を起動すると、認証スイッチ30からEAPリクエストが送信される(S101)。PC1は、EAPリクエストを受信するとEAPレスポンスでPC1の認証情報を認証スイッチ30に送信する(S102)。認証スイッチ30は、この認証情報をRADIUSリクエストとして認証サーバ20に送信する(S103)。認証サーバ20では、認証情報に係る電子証明の有効性を確認し、有効である場合にはこの認証情報を認可し、その旨をRADIUSアクセプトとして認証スイッチ30に送信し(S104)、認証スイッチ30はRADIUSアクセプトを受信すると、認証成功(認可)のコマンドであるEAPサクセスをPC1に送信する(S105)。これにより、認証工程が完了し、認証スイッチ30のポートがオープンになり、認可されたPC1からのLANへの接続が可能となり、ARPリクエストがゲートウエイ60に送信され(S106)、ゲートウエイ60からARPリプライが返信されて(S107)、他のネットワークへのアクセスが可能となる。   The above operation will be described more specifically with reference to FIG. First, when the PC 1 which is the regular terminal device 10 is activated, an EAP request is transmitted from the authentication switch 30 (S101). Upon receiving the EAP request, the PC 1 transmits the authentication information of the PC 1 to the authentication switch 30 by an EAP response (S102). The authentication switch 30 transmits this authentication information as a RADIUS request to the authentication server 20 (S103). The authentication server 20 confirms the validity of the electronic certificate related to the authentication information. If the electronic certificate is valid, the authentication server 20 authorizes the authentication information, transmits the authentication information as a RADIUS accept to the authentication switch 30 (S104), and the authentication switch 30. When the RADIUS accept is received, EAP success as an authentication success (authorization) command is transmitted to the PC 1 (S105). Thereby, the authentication process is completed, the port of the authentication switch 30 is opened, the connection from the authorized PC 1 to the LAN becomes possible, the ARP request is transmitted to the gateway 60 (S106), and the ARP reply is transmitted from the gateway 60. Is returned (S107), and access to another network becomes possible.

ネットワーク制御装置40は、認証スイッチ30と認証サーバ20との間で流れる通信内容を監視しており、RADIUSアクセプトが送信されるPC1のMACアドレスを正規の端末装置10として記憶部42に記憶する。また、不正接続無効化手段50には、PC1のMACアドレスがネットワーク制御装置40から送信される。不正接続無効化手段50は、さらに、定期的にPC1との間でARPリクエスト及びARPリプライの送受信を行い(S108、S109)、PC1のARPテーブルに不正接続に係る端末装置であるPCXのMACアドレスのエントリがあるか否かを確認する。エントリがある場合には当該MACアドレスを偽装アドレスに書き換える。   The network control device 40 monitors the communication contents flowing between the authentication switch 30 and the authentication server 20 and stores the MAC address of the PC 1 to which the RADIUS accept is transmitted in the storage unit 42 as the regular terminal device 10. Further, the MAC address of the PC 1 is transmitted from the network control device 40 to the unauthorized connection invalidation means 50. The unauthorized connection invalidating means 50 further periodically sends and receives ARP requests and ARP replies to and from the PC 1 (S108, S109), and the MAC address of the PCX that is a terminal device related to unauthorized connection in the ARP table of the PC 1 Check if there is an entry. If there is an entry, the MAC address is rewritten to a forged address.

これに対し、PCXがLANに接続しようとする場合には、ARPリクエストがLANを経てゲートウエイ60に送信され(S201)、ゲートウエイ60からARPリプライ(S202)が返信される。このとき、LANに流れるPCXのデータに該PCXの識別アドレスが含まれるため、ネットワーク制御装置40は、ARPリクエストから、PCXのMACアドレスが、記憶部42に記憶された認可されたMACアドレスでないことを把握し、不正接続と認識し、PCXのMACアドレスを不正接続無効化手段50に送る。   On the other hand, when PCX tries to connect to the LAN, an ARP request is transmitted to the gateway 60 via the LAN (S201), and an ARP reply (S202) is returned from the gateway 60. At this time, since the PCX identification address is included in the PCX data flowing in the LAN, the network control device 40 determines that the PCX MAC address is not the authorized MAC address stored in the storage unit 42 from the ARP request. Is recognized as an unauthorized connection, and the PCX MAC address is sent to the unauthorized connection invalidating means 50.

不正接続無効化手段50は、不正接続と認識されたPCXのARPテーブルの全てのエントリに偽装アドレス(例えば、不正接続無効化手段50のMACアドレス)をARPリクエストコマンドで送信して書き換え(S203)、ARPリプライを受信して内容を確認する(S204)。これにより、PCXはARPテーブルに従って所定のIPアドレス宛にコマンドを送信しても、当該IPアドレスに対応するMACアドレスが偽装アドレスに書き換えられているため、この偽装アドレスに当該コマンドが送信され、PCXはLANへの接続が不可能になる。   The unauthorized connection invalidation means 50 transmits an impersonation address (for example, the MAC address of the unauthorized connection invalidation means 50) to all entries in the ARP table of the PCX recognized as unauthorized connection by using an ARP request command to rewrite (S203). The ARP reply is received and the content is confirmed (S204). As a result, even if PCX sends a command addressed to a predetermined IP address according to the ARP table, the MAC address corresponding to the IP address has been rewritten to a camouflaged address. Cannot be connected to the LAN.

以上により、本実施形態では、LAN中のリピータHUB等の空きポートに、許可を受けていない端末装置を接続してLANに接続しようとしても、そのことを容易に検出し、無効化することができる。   As described above, in the present embodiment, even if an unauthorized terminal device is connected to a free port such as a repeater HUB in the LAN and connected to the LAN, this can be easily detected and invalidated. it can.

本発明の一実施形態を説明するために用いたネットワーク認証システムの一例を示す構成図である。It is a block diagram which shows an example of the network authentication system used in order to demonstrate one Embodiment of this invention. 上記実施形態の動作の概要を説明するための図である。It is a figure for demonstrating the outline | summary of operation | movement of the said embodiment. 上記実施形態の動作の概要を説明するための図である。It is a figure for demonstrating the outline | summary of operation | movement of the said embodiment. 上記実施形態の動作の具体的な工程を説明するための図である。It is a figure for demonstrating the specific process of the operation | movement of the said embodiment.

符号の説明Explanation of symbols

1 ネットワーク認証システム
10 端末装置
20 認証サーバ
30 認証スイッチ
40 ネットワーク制御装置
50 不正接続無効化手段
60 ゲートウエイ DESCRIPTION OF SYMBOLS 1 Network authentication system 10 Terminal device 20 Authentication server 30 Authentication switch 40 Network control device 50 Unauthorized connection invalidation means 60 Gateway

Claims (8)

認証対象の端末装置と、前記端末装置の認証情報を受信して、LANへの接続を認可すべきか否かの認証を行う認証サーバと、前記端末装置と認証サーバとの間の通信の中継を行う認証スイッチとを備えた認証システムに用いられるネットワーク制御装置であって、
前記認証サーバ及び端末装置間で通信される認証プロトコルに従った通信内容を認証サーバ及び認証スイッチ間において傍受し、認証サーバによって認可された端末装置の識別アドレスを記憶する手段と、
任意の端末装置から送信されるデータを傍受し、このデータに含まれる前記任意の端末装置の識別アドレスを、前記手段によって記憶された認可済みの端末装置の識別アドレスと比較し、前記任意の端末装置の識別アドレスが、記憶された識別アドレスと一致するか否かによって認可済みか否かを判別し、認可されなかった識別アドレスに係る端末装置を不正接続端末と特定する手段と
を備えることを特徴とするネットワーク制御装置。 A terminal device to be authenticated, an authentication server that receives authentication information of the terminal device and authenticates whether or not to authorize connection to the LAN, and relays communication between the terminal device and the authentication server. A network control device used in an authentication system including an authentication switch for performing,
Means for intercepting communication contents in accordance with an authentication protocol communicated between the authentication server and the terminal device between the authentication server and the authentication switch, and storing an identification address of the terminal device authorized by the authentication server;
Intercept data transmitted from an arbitrary terminal device, compare the identification address of the arbitrary terminal device included in the data with the identification address of the authorized terminal device stored by the means, and Determining whether or not the device has been authorized based on whether or not the identification address of the device matches the stored identification address and identifying the terminal device associated with the unauthorized identification address as an unauthorized connection terminal. A network control device characterized. さらに、前記不正接続端末と特定された端末装置に対して、前記LANへの接続を無効化する手段を備えることを特徴とする請求項1記載のネットワーク制御装置。   2. The network control device according to claim 1, further comprising means for invalidating connection to the LAN for the terminal device identified as the unauthorized connection terminal. 前記LANが、IEEE802.1X認証を利用したLANであることを特徴とする請求項1記載のネットワーク制御装置。   2. The network control apparatus according to claim 1, wherein the LAN is a LAN using IEEE802.1X authentication. 認証対象の端末装置と、前記端末装置の認証情報を受信して、LANへの接続を認可すべきか否かの認証を行う認証サーバと、前記端末装置と認証サーバとの間の通信の中継を行う認証スイッチとを備えた認証システムにおけるネットワーク制御方法であって、
ネットワーク制御装置により、前記認証サーバ及び端末装置間で通信される認証プロトコルに従った通信内容を認証サーバ及び認証スイッチ間において傍受し、認証サーバによって認可された端末装置の識別アドレスを記憶しておき、
任意の端末装置から送信されるデータを傍受し、このデータに含まれる前記任意の端末装置の識別アドレスを、記憶された認可済みの端末装置の識別アドレスと比較し、前記任意の端末装置の識別アドレスが、記憶された識別アドレスと一致するか否かによって認可済みか否かを判別し、認可されなかった識別アドレスに係る端末装置を不正接続端末と特定することを特徴とするネットワーク制御方法。 A terminal device to be authenticated, an authentication server that receives authentication information of the terminal device and authenticates whether or not to authorize connection to the LAN, and relays communication between the terminal device and the authentication server. A network control method in an authentication system comprising an authentication switch to perform,
The network control device intercepts the communication contents according to the authentication protocol communicated between the authentication server and the terminal device between the authentication server and the authentication switch, and stores the identification address of the terminal device authorized by the authentication server. ,
The data transmitted from an arbitrary terminal device is intercepted, the identification address of the arbitrary terminal device included in this data is compared with the stored identification address of the authorized terminal device, and the identification of the arbitrary terminal device is performed. A network control method characterized by determining whether or not authorized based on whether or not the address matches a stored identification address, and identifying a terminal device related to the unauthorized identification address as an unauthorized connection terminal. さらに、前記不正接続端末と特定された端末装置の、前記LANへの接続を無効化することを特徴とする請求項4記載のネットワーク制御方法。   5. The network control method according to claim 4, further comprising invalidating a connection of the terminal device identified as the unauthorized connection terminal to the LAN. IEEE802.1X認証を利用した認証システムを用いたLANに適用されることを特徴とする請求項4又は5記載のネットワーク制御方法。   6. The network control method according to claim 4 or 5, wherein the network control method is applied to a LAN using an authentication system using IEEE802.1X authentication. 認証対象の端末装置と、前記端末装置の認証情報を受信して、LANへの接続を認可すべきか否かの認証を行う認証サーバと、前記端末装置と認証サーバとの間の通信の中継を行う認証スイッチとを備えた認証システムにおいて、当該認証システムを監視して不正接続を検出するネットワーク制御用のコンピュータに導入されるコンピュータプログラムであって、
前記認証サーバ及び端末装置間で通信される認証プロトコルに従った通信内容を認証サーバ及び認証スイッチ間において傍受し、認証サーバによって認可された端末装置の識別アドレスを記憶するステップと、
任意の端末装置から送信されるデータに含まれる識別アドレスを受信し、前記ステップによって記憶された認可済みの端末装置の識別アドレスと比較し、前記任意の端末装置の識別アドレスが、記憶された識別アドレスと一致するか否かによって認可済みか否かを判別し、認可されなかった識別アドレスに係る端末装置を不正接続端末と特定するステップと
を備えることを特徴とするコンピュータプログラム。 A terminal device to be authenticated, an authentication server that receives authentication information of the terminal device and authenticates whether or not to authorize connection to the LAN, and relays communication between the terminal device and the authentication server. An authentication system comprising an authentication switch for performing a computer program installed in a network control computer for monitoring the authentication system and detecting unauthorized connection,
Intercepting communication contents according to the authentication protocol communicated between the authentication server and the terminal device between the authentication server and the authentication switch, and storing the identification address of the terminal device authorized by the authentication server;
An identification address included in data transmitted from an arbitrary terminal device is received and compared with the identification address of the authorized terminal device stored by the step, and the identification address of the arbitrary terminal device is stored A computer program comprising: determining whether or not authorization has been made based on whether or not the address matches, and identifying the terminal device associated with the unapproved identification address as an unauthorized connection terminal. さらに、前記不正接続端末と特定された端末装置の、前記LANへの接続を無効化するステップを備えることを特徴とする請求項7記載のコンピュータプログラム。   The computer program according to claim 7, further comprising a step of invalidating connection of the terminal device identified as the unauthorized connection terminal to the LAN.
JP2007118465A 2007-04-27 2007-04-27 Network control unit, network control method, and computer program Pending JP2008278134A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2007118465A JP2008278134A (en) 2007-04-27 2007-04-27 Network control unit, network control method, and computer program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2007118465A JP2008278134A (en) 2007-04-27 2007-04-27 Network control unit, network control method, and computer program

Publications (1)

Publication Number Publication Date
JP2008278134A true JP2008278134A (en) 2008-11-13

Family

ID=40055580

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2007118465A Pending JP2008278134A (en) 2007-04-27 2007-04-27 Network control unit, network control method, and computer program

Country Status (1)

Country Link
JP (1) JP2008278134A (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2013141947A (en) * 2012-01-12 2013-07-22 Denso Corp Gateway device and vehicle communication system
JP2016525748A (en) * 2013-07-09 2016-08-25 華為技術有限公司Huawei Technologies Co.,Ltd. Method, apparatus and system for controlling access of user terminal

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004072633A (en) * 2002-08-08 2004-03-04 Hitachi Ltd IPv6 NODE ACCOMMODATING METHOD AND IPv6 NODE ACCOMMODATING SYSTEM
JP2005079706A (en) * 2003-08-28 2005-03-24 Nec Corp System and apparatus for preventing illegal connection to network
JP2006186968A (en) * 2004-12-01 2006-07-13 Canon Inc Wireless control apparatus, system, control method, and program
JP2006262019A (en) * 2005-03-16 2006-09-28 Fujitsu Ltd Network quarantine program, recording medium recording program, network quarantine method, and network quarantine apparatus
JP2006339933A (en) * 2005-06-01 2006-12-14 Alaxala Networks Corp Network access control method and system thereof

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004072633A (en) * 2002-08-08 2004-03-04 Hitachi Ltd IPv6 NODE ACCOMMODATING METHOD AND IPv6 NODE ACCOMMODATING SYSTEM
JP2005079706A (en) * 2003-08-28 2005-03-24 Nec Corp System and apparatus for preventing illegal connection to network
JP2006186968A (en) * 2004-12-01 2006-07-13 Canon Inc Wireless control apparatus, system, control method, and program
JP2006262019A (en) * 2005-03-16 2006-09-28 Fujitsu Ltd Network quarantine program, recording medium recording program, network quarantine method, and network quarantine apparatus
JP2006339933A (en) * 2005-06-01 2006-12-14 Alaxala Networks Corp Network access control method and system thereof

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2013141947A (en) * 2012-01-12 2013-07-22 Denso Corp Gateway device and vehicle communication system
JP2016525748A (en) * 2013-07-09 2016-08-25 華為技術有限公司Huawei Technologies Co.,Ltd. Method, apparatus and system for controlling access of user terminal
US9825950B2 (en) 2013-07-09 2017-11-21 Huawei Technologies Co., Ltd. Method, apparatus, and system for controlling access of user terminal

Similar Documents

Publication Publication Date Title
KR102362456B1 (en) Authority transfer system, control method therefor, and storage medium
US11233790B2 (en) Network-based NT LAN manager (NTLM) relay attack detection and prevention
CN101217575B (en) An IP address allocation and device in user end certification process
KR102460694B1 (en) System for controlling network access based on controller and method of the same
US20140020067A1 (en) Apparatus and method for controlling traffic based on captcha
KR102396528B1 (en) System for controlling network access based on controller and method of the same
US8516254B2 (en) Method and apparatus for communicating information between a security panel and a security server
CN102111406A (en) Authentication method, system and DHCP proxy server
CN101986598B (en) Authentication method, server and system
JP2006203300A (en) Transfer apparatus, accessibility determining method and program
JP4698751B2 (en) Access control system, authentication server system, and access control program
KR102439881B1 (en) System for controlling network access based on controller and method of the same
KR102514618B1 (en) System for controlling network access based on controller and method of the same
KR102460695B1 (en) System for controlling network access based on controller and method of the same
JP2023162313A (en) System for authenticating and controlling network connection of terminal and method related thereto
JP2005099980A (en) Service provision method, service provision program, host device, and service provision device
KR102377248B1 (en) System for controlling network access based on controller and method of the same
JP2007208759A (en) Authentication security system obtained by combining mac address with user authentication
KR100856918B1 (en) Method for IP address authentication in IPv6 network, and IPv6 network system
KR20180103487A (en) System and method for controlling network access
JP2008278134A (en) Network control unit, network control method, and computer program
JP2004078280A (en) Remote access mediation system and method
JP4768547B2 (en) Authentication system for communication devices
JP2012060357A (en) Remote access control method for mobile body system
KR102558821B1 (en) System for authenticating user and device totally and method thereof

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20100422

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20100422

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20111028

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20120321