JP2010062667A - ネットワーク機器及びネットワークシステム - Google Patents

ネットワーク機器及びネットワークシステム Download PDF

Info

Publication number
JP2010062667A
JP2010062667A JP2008223850A JP2008223850A JP2010062667A JP 2010062667 A JP2010062667 A JP 2010062667A JP 2008223850 A JP2008223850 A JP 2008223850A JP 2008223850 A JP2008223850 A JP 2008223850A JP 2010062667 A JP2010062667 A JP 2010062667A
Authority
JP
Japan
Prior art keywords
authentication
packet
terminal
switching hub
user terminal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2008223850A
Other languages
English (en)
Inventor
Taketo Kamikawa
武人 上川
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Cable Ltd
Original Assignee
Hitachi Cable Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Cable Ltd filed Critical Hitachi Cable Ltd
Priority to JP2008223850A priority Critical patent/JP2010062667A/ja
Publication of JP2010062667A publication Critical patent/JP2010062667A/ja
Pending legal-status Critical Current

Links

Images

Landscapes

  • Small-Scale Networks (AREA)

Abstract

【課題】認証手続きを簡素化するとともに、管理負荷を軽減するスイッチングハブ及びネットワークシステムを提供する。
【解決手段】ユーザ端末105の認証を行う認証機能を備えたスイッチングハブ102において、ユーザ端末105からの認証要求のパケットを認証サーバ103へ転送し、認証サーバからの認証応答のパケットをユーザ端末105へ転送するとともに、認証応答のパケットを参照し、認証成功の情報を読み取ったとき、上記ユーザ端末105を認証済みとする認証手段を備えた。
【選択図】図1

Description

本発明は、認証手続きが簡素化するとともに、管理負荷を軽減できるネットワーク機器及びネットワークシステムに関する。
図7に従来のネットワークシステムの一例を示す。ネットワークシステム701は、ネットワーク704にスイッチングハブ702が接続され、スイッチングハブ702にユーザ端末705が接続されており、ユーザ端末705はスイッチングハブ702を介してネットワーク704と通信する構成となっている。スイッチングハブ702には、認証サーバ703とラディウスサーバ706が接続されている。図7では、認証サーバ703及びラディウスサーバ706からの伝送路がそれぞれ直接にスイッチングハブ702のポートに接続されているが、認証サーバ703及びラディウスサーバ706はスイッチングハブ702に繋がるネットワーク704に接続していても良い。
ユーザ端末705は、ネットワーク704に接続しようとするとき、自分の属するドメイン(ネットワークのサーバ、ユーザ端末、プリンタなどの複数の端末で構成されるグループ)にログインするために、認証サーバ703と認証手続きの通信を行う。ユーザ端末705と認証サーバ703は、所定の認証方式、例えばケルベロス(Kerberos)認証やラディウス(Radius)認証、により認証手続きを行う。ユーザ端末705と認証サーバ703は、所定の認証方式のプロトコル、ケルベロス認証の場合はケルベロス認証のプロトコル、に対応している必要がある。
認証サーバ703はユーザデータを登録したデータベースを有する。認証サーバ703へのユーザデータの登録は管理者が管理端末を操作して行う。
スイッチングハブ702は、複数のポートを有し、あるポートで受信したパケットを、その宛先アドレス(宛先MACアドレス、宛先IPアドレス)に従って、転送先のポートへ転送する。
ラディウスサーバ706はMACアドレスやユーザデータを登録したデータベースを有する。ラディウスサーバ706へのMACアドレスやユーザデータの登録は管理者が管理端末を操作して行う。
スイッチングハブ702はMAC認証やWEB認証などの認証機能を有する。
MAC認証では、スイッチングハブ702は受信したパケットの送信元MACアドレスをラディウスサーバ706に送る。ラディウスサーバ706にはデータベースに予め通信が許可されるMACアドレスが登録されている。ラディウスサーバ706は送信元MACアドレスとデータベースを照合する。送信元MACアドレスがデータベースに登録されている場合は、認証成功の応答をスイッチングハブ702に返す。スイッチングハブ702は認証成功の応答により、当該送信元MACアドレスのパケットは転送を可とする。
WEB認証では、スイッチングハブ702は接続されたユーザ端末に対してユーザ名やパスワードなどのユーザデータを入力するためのWEB画面を送信する。ユーザはWEB画面にユーザデータを入力し、スイッチングハブ702に送信する。スイッチングハブ702は受信したユーザデータをラディウスサーバ706に送る。ラディウスサーバ706にはデータベースに予め通信が許可されるユーザデータが登録されている。ラディウスサーバ706は受信したユーザデータとデータベースを照合する。ユーザデータがデータベースに登録されている場合は、認証成功の応答をスイッチングハブ702に返す。スイッチングハブ702は認証成功の応答により、ユーザ端末705からのパケットは転送を可とする。
スイッチングハブ702は、パケットフィルタにおいて、受信したパケットの内容を参照し、認証済みでないユーザ端末からのパケットは転送せずに廃棄する。例えば、受信したパケットの送信元MACアドレスが、転送を可として設定されたMACアドレスと異なる場合は、認証済みでないユーザ端末からのパケットとして廃棄する。上記の認証手続により認証成功したユーザ端末は、そのMACアドレスが転送を可として設定され、以後スイッチングハブ702を通して通信が可能となる。
また、スイッチングハブ702はユーザ端末705と認証サーバ703間の所定の認証方式による認証手続きのパケットは転送を可と設定される。
次に、ユーザ端末705がスイッチングハブ702に接続されて、ネットワーク104に通信可能となるまでの手順を説明する。ユーザ端末705と認証サーバ703はケルベロス認証の認証手続を行うものとする。スイッチングハブ702はWEB認証を行うものとする。
認証サーバ703とラディウスサーバ706には、あらかじめドメインの正当なユーザデータ(ユーザ名、ログインパスワード)が登録される。
スイッチングハブ702に接続された状態で、ユーザ端末705が起動し、オペレーティングシステム(OS)が立ち上がると、OSはユーザ端末705にログイン画面を表示させる。ユーザは、ログイン画面にユーザ名、ログインパスワードを入力する。ユーザ端末705は、ユーザ名とログインパスワードを格納したケルベロス認証要求メッセージのパケットを認証サーバ703へ送信する。
スイッチングハブ702は、ケルベロス認証要求メッセージのパケットを認証サーバ703は転送する。
認証サーバ703は、受信したケルベロス認証要求メッセージのパケットに格納されたユーザ名、ログインパスワードを、データベースに登録されているユーザデータと参照し、ユーザが登録された正当なユーザであれば、認証成功を格納したケルベロス認証応答メッセージのパケットをユーザ端末705に返す。
スイッチングハブ702は、ケルベロス認証応答メッセージのパケットをユーザ端末705へ転送する。
これにより、ユーザ端末705はドメインへのアクセスが許可される。
この時点で、ユーザ端末705はドメインへのアクセスは許可されているが、スイッチングハブ702における認証に成功していないので、ネットワーク704と通信できない。
スイッチングハブ702はユーザ端末705に対してユーザ名やパスワードを入力するためのWEB画面を送信する。
ユーザはWEB画面にユーザ名とパスワードを入力し、スイッチングハブ702に送信する。
スイッチングハブ702は受信したユーザ名とパスワードをラディウスサーバ706に送信する。
ラディウスサーバ706は、受信したユーザ名、ログインパスワードとデータベースを照合し、データベースに登録されている場合は、認証成功の応答をスイッチングハブ702へ返す。
スイッチングハブ702は、認証成功の応答を受信して、ユーザ端末705は認証済みとし、ユーザ端末からのパケットの転送を可とする。
これにより、ユーザ端末705はネットワーク704に通信可能となる。
また、ドメインへの認証を必要としない端末(例えば、プリンタ、FAX)も存在する。このような端末がスイッチングハブ702に接続されたときは、認証サーバ703との認証は行わず、スイッチングハブ702においてMAC認証による認証を行い、これに認証成功すれば、端末はネットワーク704への通信が可能となる。
特開2002−141916号公報 特開2004−64204号公報 特開2008−60631号公報
図7のネットワークシステム701において、ユーザ端末705がスイッチングハブ702に物理的に接続してからネットワーク704への通信を開始するには、ユーザ端末705を使うユーザが認証サーバ703との認証に成功した後、スイッチングハブ702との認証に成功する必要がある。
また、従来のネットワークシステム701では、正当なユーザについて、認証サーバ703とラディウスサーバ706にユーザデータを重複して登録する必要がある。
一方、認証サーバ703との認証を行わない端末がスイッチングハブ702に接続された場合に備え、スイッチングハブ702における認証機能はネットワークシステム701から外すことはできない。
このように、従来のネットワークシステム701は、認証サーバ703との認証とスイッチングハブ702との認証をそれぞれ行う必要があり、冗長な認証手続きとなっている。また、同じユーザについて、認証サーバ703とラディウスサーバ706にそれぞれユーザデータを登録する必要があり、管理者の管理負荷が重くなる。
そこで、本発明の目的は、上記課題を解決し、認証手続きを簡素化するとともに、管理負荷を軽減するスイッチングハブ及びネットワークシステムを提供することにある。
上記目的を達成するために請求項1に係る発明は、複数のポートを有し、前記複数のポート間でパケットを転送するネットワーク機器であって、端末からのパケットの転送を可とする認証を行う認証手段を備え、前記認証手段は、端末と認証サーバがネットワーク機器を介して所定の認証方式による認証手続きの通信を行うとき、上記認証サーバからの上記端末宛の認証応答のパケットを上記端末へ転送するとともに、上記認証応答のパケットの内容を参照し、認証成功の情報を読み取ったとき、上記端末を認証済みとするネットワーク機器である。
請求項2に係る発明は、上記認証手段は、受信したパケットの内容を参照し、認証済みの端末からのパケットは転送を可とし、所定の認証方式における認証要求のパケットと認証応答のパケットは転送を可とする通信条件に設定されたパケットフィルタと、認証応答のパケットの内容を参照し、認証成功の情報を読み取ったとき、上記パケットフィルタの通信条件を上記端末からのパケットは転送を可と設定する処理装置とからなる請求項1記載のネットワーク機器である。
請求項3に係る発明は端末の認証を行う認証機能を備えたネットワーク機器と、上記ネットワーク機器に接続された端末と、上記端末と上記ネットワーク機器を介して接続され、所定の認証方式により上記端末との間で認証を行う認証サーバとから構成され、上記端末は上記認証サーバ宛の認証要求のパケットを送信し、上記ネットワーク機器は受信した上記認証要求のパケットを上記認証サーバへ転送し、上記認証サーバは、上記ユーザ端末宛の認証応答のパケットを送信し、上記ネットワーク機器は受信した上記認証応答のパケットを上記端末へ転送するとともに、上記認証応答のパケットの内容を参照し、認証成功の情報を読み取ったとき上記端末を認証済みとするネットワークシステムである。
本発明は、認証手続きを簡素化するとともに、管理負荷を軽減することができる。
以下、本発明の一実施形態を添付図面に基づいて詳述する。
図1に示されるように、本発明に係るネットワークシステム101は、ネットワーク104にスイッチングハブ102が接続され、スイッチングハブ102にユーザ端末105が接続されており、ユーザ端末105はスイッチングハブ102を介してネットワーク104と通信する構成である。スイッチングハブ102には、認証サーバ103とラディウスサーバ106が接続される。図1では、認証サーバ103及びラディウスサーバ106からの伝送路がそれぞれ直接にスイッチングハブ102のポートに接続されているが、認証サーバ103及びラディウスサーバ106はスイッチングハブ102に繋がるネットワーク104に接続しても良い。
ユーザ端末105は、自分の属するドメインにログインするために、認証サーバ103と所定の認証方式により認証を行う。本実施形態では、ケルベロス認証による認証手続きを行う。ユーザ端末105と認証サーバ103はケルベロス認証のプロトコルに対応している。認証サーバ103はユーザデータを登録したデータベースを有する。認証サーバ103へのユーザデータの登録は管理者が管理端末を操作して行う。
図2に本発明に係るネットワーク機器の一実施形態であるスイッチングハブ102を示す。本発明に係るネットワーク機器は、スイッチングハブに限られず、ルータその他のパケットを転送する機器が含まれる。
スイッチングハブ102は、複数のポート21と、FDB(Forwarding Data Base)とパケットフィルタ23を有する転送処理部22と、CPU(処理装置)24と、メモリ25とを備える。
ポート21は、端末、サーバやスイッチングハブに繋がる伝送路を任意のポートに物理的に接続(電気的に接続)することができる通信ポートである。図2には、無線AP108、ユーザ端末105、認証サーバ103、ラディウスサーバ106がポートに接続されているようすが示されている。
転送処理部22は、FDBとパケットフィルタ23を有する。転送処理部22は、受信したパケットをパケットフィルタ23で宛先アドレスを読み出し、その宛先アドレスをFDBに照合して転送するポートを読み出し、そのポートからパケットを転送する。
FDBは、ポート21で受信したパケットに格納されている送信元アドレス(送信元MACアドレス、送信元IPアドレス)とポートとを対応付けて学習するともに、受信したフレームに格納されている宛先アドレスで学習内容を参照して転送するポートを読み出すものである。FDBで行うアドレス学習、フラッディング等の技術は従来技術であるので、詳しい説明は省く。
パケットフィルタ23は、ポートで受信したパケットの内容を参照する(フィルタリング)ものである。パケットフィルタ23において受信したパケットの宛先アドレス、送信先アドレスを読み取る。また、パケットフィルタ23は、あるパケットは廃棄する、あるパケットはCPUのバッファを転写するなどの通信条件が設定される。パケットフィルタ23は、ハードウェアで構成されており、ソフトウェア制御を行うCPU24で通信条件が設定され、パケットの内容の参照、特定のパケットの廃棄やバッファへの転写を制御するようになっている。
本実施形態では、パケットフィルタ23は、パケットの内容を参照し、認証済みでないユーザ端末からのパケットは廃棄する。例えば、認証済みでないユーザ端末105からのネットワーク104へのパケットはパケットフィルタ23が廃棄するので、通信が不可とされる。一方、認証済みのユーザ端末105からのネットワーク104へのパケットは、パケットフィルタ23が廃棄せず通信を可としポートに転送されて通信が行われる。また、パケットフィルタ23は、パケットの内容を参照し、特定のパケットをCPUが読み取り可能なバッファに転写する。
本実施形態において、パケットフィルタ23は、1)認証済みでないユーザ端末からのパケットは廃棄する、2)ユーザ端末と認証サーバの間のケルベロス認証のパケットの通信は許可する、3)ケルベロス認証の認証要求メッセージのパケットと認証応答メッセージのパケットはCPUの読み取り可能なバッファに転写する、4)認証済みのユーザ端末の通信を許可する、ように動作するよう通信条件が設定される。パケットフィルタ23における上記設定の優先度は、4)>3)>2)>1)である。つまり、認証済みでないユーザ端末からのパケットであっても、認証プロトコルメッセージのパケットは通信許可となる。
CPU24は、ソフトウェア制御を行うものである。本発明に関しては、パケットフィルタ23によりバッファに転写された、ケルベロス認証の認証要求メッセージのパケットと認証応答メッセージのパケットの内容を読み取る(スヌーピング)とともに、メモリ25中の端末認証状態管理テーブルへの書込や参照、パケットフィルタ23の通信条件の設定を行う。
メモリ25は、ソフトウェア制御で使用されるデータ、生成されるデータ、パケットから読み取ったデータなどを格納するものである。本発明では、メモリ25中に端末認証状態管理テーブル31が構成される。
図3に示されるように、端末認証状態管理テーブル31は、MACアドレスの列、IPアドレスの列、ポートの列、VLANIDの列、UserID(ユーザ名)の列、status(状態)の列を有し、ひとつに対応し合うデータが同じ行に記憶される。例えば、図示した端末認証状態管理テーブル31の最上行の内容からは、MACアドレス00:00:00:00:00:01のユーザ端末について、そのIPアドレスが172.21.29.10であり、ユーザ端末がポート2に接続されており、VLANIDが10であり、ユーザ端末を使用するユーザ名がaaaであり、既に認証済みの状態であることが分かる。ここで、状態の列に格納されている「認証済み」とは、ユーザ名aaaでMACアドレス00:00:00:00:00:01のユーザ端末が正当なユーザであることが認証成功済みであることを示す。「認証中」は認証要求を行っているが認証結果が未だ得られていないことを示す。
以下、図1に示した本発明のネットワークシステムにおけるスイッチングハブの動作を説明する。
ユーザ端末105には、認証サーバ103との間でケルベロス認証を行うためのケルベロス認証プロトコルがOSにあらかじめインストールされている。
ステップ11)
ユーザがユーザ端末105を立ち上げると、ユーザ端末105のOSはユーザ端末105にログイン画面(図示せず)を表示させる。ログイン画面には、ユーザ名とパスワードの記入欄がプロンプト表示される。ユーザがキーボード等の入力装置からユーザ名とパスワードを入力すると、OSは、TCPまたはUDP(以下、「TCP/UDP」と記載)のパケットで構成されるケルベロス認証要求メッセージを作成する。
図4(a)、図4(b)に示されるように、ケルベロス認証におけるパケットは、MACヘッダ、IPヘッダ、TCP/UDPヘッダ、ケルベロスデータからなる。MACヘッダには、宛先MACアドレス、送信元MACアドレスなどが含まれ、IPヘッダには、宛先IPアドレス、送信元IPアドレスなどが含まれる。TCP/UDPヘッダには、当該パケットがどの種の認証方式における認証プロトコルのパケットであるかを示す情報が含まれる。ケルベロスデータには、認証成功の情報、認証失敗の情報などが含まれる。
図4(a)に示されるように、ケルベロス認証要求メッセージでは、宛先のTCP/UDPポート番号(図示せず)が88番となる。ケルベロス認証要求メッセージでは、TCP/UDPヘッダに続くケルベロスデータの17バイト目に置かれるメッセージタイプの欄に「KRB AS REQ(10)」と呼ばれるデータ、具体的には10進数の10が格納される。つまり、ケルベロスデータの17バイト目に10が格納されたTCP/UDPパケットがケルベロス認証要求メッセージとなる。
ユーザ端末105のOSは、入力装置から入力されたユーザ名とパスワードをケルベロス認証要求メッセージとなるパケット(認証要求のパケット)に格納し、その認証要求のパケットをスイッチングハブ102に送信する。認証要求のパケットのMACヘッダは、宛先MACアドレスが認証サーバ、送信元MACアドレスがユーザ端末である。
ステップ12)
スイッチングハブ102はTCP/UDPパケットを受信すると、このTCP/UDPパケットがケルベロス認証要求メッセージとなるパケットであるかどうか判断する。具体的には、パケットフィルタ23においてパケットをフィルタリングし、ケルベロスデータの17バイト目に10が格納されているかどうか判断する。
スイッチングハブ102は、このTCP/UDPパケットがケルベロス認証要求メッセージのパケットであることを認識したとき、このケルベロス認証要求メッセージのパケットを認証サーバ103に転送する。スイッチングハブ102から認証サーバ103に送信されるケルベロス認証要求メッセージのパケットは図4(a)のものと同じである。
なお、スイッチングハブ102が受信したユーザ端末105からのパケットがケルベロス認証要求メッセージでなく、一般のパケットであるときは、この時点では未だユーザ端末105が認証成功していないので、スイッチングハブ102は、このパケットをネットワーク104に転送しない。
スイッチングハブ102は、ユーザ端末105から受信したTCP/UDPパケットがケルベロス認証要求メッセージであったとき、ケルベロス認証要求メッセージをCPU24が読み取り可能なバッファに転写する。
CPU24は、バッファを参照してケルベロス認証要求メッセージに格納されているユーザ端末105のMACアドレス、IPアドレス、VLANIDを取り出すとともに当該ケルベロス認証要求メッセージの受信ポート番号を認識する。CPU24は、未知のユーザ端末がケルベロス認証要求中(待ち状態)であることを認識し、メモリ25内の端末認証状態管理テーブル31に、ユーザ端末105のMACアドレス、IPアドレス、VLANID、ポート番号、認証中を登録する。
ステップ13)
認証サーバ103はスイッチングハブ102により転送されたケルベロス認証要求メッセージのTCP/UDPパケットを受信する。認証サーバ103には、あらかじめユーザ名とパスワードが登録されたデータベースがある。認証サーバ103は、このデータベースを参照して認証を行う。すなわち、ケルベロス認証要求メッセージのケルベロスデータに格納されているユーザ名とパスワードがデータベースの登録内容に一致するかどうか比較する。
認証サーバ103は、TCP/UDPパケットからなるケルベロス認証応答メッセージを作成する。図4(b)に示されるように、ケルベロス認証応答メッセージでは、送信元のTCP/UDPポート番号(図示せず)が88番となる。認証成功の場合、TCP/UDPヘッダに続くケルベロスデータの17バイト目に置かれるメッセージタイプの欄に「KRB AS REP(10)」と呼ばれるデータ、具体的には10進数の11が格納される。つまり、ケルベロスデータの17バイト目に11が格納されたTCP/UDPパケットが認証成功のケルベロス認証応答メッセージとなる。認証失敗の場合、TCP/UDPヘッダに続くケルベロスデータの13バイト目に置かれるメッセージタイプの欄に「KRB ERROR(10)」と呼ばれるデータ、具体的には10進数の30が格納される。つまり、ケルベロスデータの13バイト目に30が格納されたTCP/UDPパケットが認証失敗のケルベロス認証応答メッセージとなる。
認証サーバ103は、ケルベロス認証応答メッセージのTCP/UDPパケットを、ユーザ端末105を宛先として送信する。
ステップ14)
スイッチングハブ102は、ケルベロス認証応答メッセージのTCP/UDPパケットを受信する。MACヘッダは、宛先MACアドレスがユーザ端末105、送信元MACアドレスが認証サーバ103である。スイッチングハブ102は、受信したケルベロス認証応答メッセージのTCP/UDPパケットを宛先に従ってユーザ端末105に転送する。スイッチングハブ102からユーザ端末105に送信されるケルベロス認証応答メッセージのパケットは図4(b)のものと同じである。
このとき本発明では、スイッチングハブ102は、ケルベロス認証応答メッセージをスヌーピングする。すなわち、スイッチングハブ102のパケットフィルタ23はケルベロス認証応答メッセージをCPU24が読み取り可能なバッファに転写する。CPU24は、認証成功、失敗を示す情報が格納される格納場所(ケルベロスデータの17バイト目と13バイト目)を参照することにより、認証が成功したかどうかを判断する。
スイッチングハブ102のCPU24は、認証の可否を端末認証状態管理テーブル31に記憶する。CPU24は、ケルベロス認証応答メッセージに認証成功を示す情報が格納されていた場合には、ケルベロス認証応答メッセージのMACヘッダ及びIPヘッダから読み取った宛先アドレスと同じアドレスが記憶されている端末認証状態管理テーブル31の行について、状態の列を「認証中」から「認証済み」に更新する。ケルベロス認証応答メッセージに認証失敗を示す情報が格納されていた場合には、状態の列を更新しないかまたは「認証不可」を書き込む。このようにして、端末認証状態管理テーブル31にケルベロス認証の可否が登録される。
認証成功であった場合、CPU24はソフトウェア制御により、端末認証状態管理テーブル31の内容に従い、ユーザ端末105のパケットは転送を許可するように、パケットフィルタ23の通信条件を設定する。これにより、パケットフィルタ23は、送信元MACアドレスがユーザ端末105のアドレスであるパケットを廃棄せずに、ネットワーク104に転送するようになる。
ここで、本発明と従来技術との比較のため、図7で従来の手順を検討すると、ケルベロス認証に関して行われるパケットのやりとり(ステップ71)〜ステップ74))は本発明におけるパケットのやりとり(ステップ11)〜ステップ14))と同じである。しかし、本発明のステップ12,14で行われるスヌーピングが従来は行われない。このために、従来技術では引き続いて次のステップが必要になる。
ステップ75)
ユーザ端末705にネットワーク接続のための認証手続き用画面が表示される。ユーザがユーザ名とパスワードを入力すると、ユーザ端末705からユーザ名とパスワードを格納したHTTPパケットがスイッチングハブ702に送信される。
ステップ76)
スイッチングハブ702は、ユーザ名とパスワードを格納したHTTPパケットを受信する。スイッチングハブ702は、このユーザ名とパスワードを格納した認証要求のラディウスパケットを作成し、ラディウスサーバ706に送信する。
ステップ77)
ラディウスサーバ706は、ユーザ名とパスワードを格納した認証要求のラディウスパケットを受信する。ラディウスサーバ706は、ユーザ名とパスワードを登録されているデータと参照し、認証の成功、失敗を判定する。ラディウスサーバは、認証結果を格納した認証応答のラディウスパケットを作成し、スイッチングハブ702に送信する。
ステップ78)
スイッチングハブ702は、認証結果を格納した認証応答のラディウスパケットを受信する。認証結果の基づきユーザ端末のネットワーク704への通信ンの可、不可を設定する。スイッチングハブ702は、認証の成功、不成功をユーザへ知らせるHTTPパケットをユーザ端末705に送信する。
図1と図7の比較により、本発明では、ステップ75)〜ステップ78)が省略されていることが分かる。
以上説明したように、本発明のネットワークシステム101においては、スイッチングハブ102がユーザ端末105と認証サーバ103間のケルベロス認証のパケットをスヌーピングする。スヌーピングによって、認証成功が認識されると、スイッチングハブ102はユーザ端末105を認証済みとしてネットワーク104への通信を許可する。このため、スイッチングハブ102における認証手続きが省略されることになる。これにより、ユーザ端末105を立ち上げたユーザは迅速にネットワーク104にアクセスすることができる。
本発明は、ケルベロス認証やラディウス認証に限らず、どのような複数の認証プロトコルの組み合わせにおいても応用できる。
次に、本発明の変形例を説明する。
図5に示されるネットワークシステム501は、本発明に係るスイッチングハブ102とラディウスサーバ106とがネットワーク104に接続されている。スイッチングハブ102の適宜なあるポートに、ハブ(HUB;リピーターである)107が接続されている。ハブ107には、無線AP(アクセスポイント)108とユーザ端末109が接続されており、無線AP108に対してユーザ端末105が無線接続可能に構成されている。
無線AP108は、IEEE(米国電気電子技術者協会)802.1Xにより規定された認証方式におけるオーセンティケータ機能を有し、ユーザ端末105はその認証方式におけるサプリカント機能を有する。オーセンティケータ機能とは、ラディウスサーバ106とユーザ端末105との間に位置してラディウス認証の仲介処理を行う機能のことである。
ラディウスサーバ106にとっては、無線AP108はラディウスクライアントであり、スイッチングハブ102もまたラディウスクライアントである。
このように、図5のネットワークシステム501は、スイッチングハブ102の配下にラディウスクライアントが存在する構成である。
図5のネットワークシステム501のように本発明のスイッチングハブ102の配下にオーセンティケータ機能を持つ無線AP108が接続されている。無線AP108がラディウスクライアントとなってユーザ端末105のラディウス認証を行うとき、スイッチングハブ102は、無線AP108とラディウスサーバ106間の認証パケット(ラディウス認証要求メッセージ・ラディウス認証応答メッセージ)をスヌーピングし、認証成功を検知したときユーザ端末105のネットワーク104への通信を許可するようになっている。これにより、スイッチングハブ102がラディウスクライアントになって行うラディウス認証を省略することができる。
以下、図5に示した本発明のネットワークシステム501におけるスイッチングハブ102の動作を説明する。
ステップ51)
ユーザ端末105にネットワーク接続のための認証手続き用画面が表示され、ユーザがユーザ名とパスワードを入力すると、ユーザ端末105からラディウス認証を要求するためのMACフレームからなる認証要求メッセージが無線AP108に送信される。
図6(a)に示されるように、IEEE802.1X(以下略)における認証要求メッセージは、MACヘッダに続いてEAP(Extensible Authentication Protocol)データを有する。
ステップ52)
ラディウスクライアントとなる無線AP108では、ユーザ端末105からの認証要求メッセージに基づいてUDPパケットからなる認証要求メッセージを作成する。
図6(b)に示されるように、認証要求メッセージは、MACヘッダ、IPヘッダ、UDPヘッダ、ラディウスデータを有する。MACヘッダには、宛先MACアドレス、送信元MACアドレスなどが含まれ、IPヘッダには、宛先IPアドレス、送信元IPアドレスなどが含まれる。UDPヘッダには、当該パケットがどの種の認証方式における認証プロトコルのパケットであるかを示す情報が含まれる。ラディウス認証の場合、宛先のUDPポート番号(図示せず)が1812番となる。ラディウスデータには、認証要求の情報、認証成功の情報、認証失敗の情報などが含まれる。認証要求メッセージの場合、ラディウスデータの1バイト目に、「Code:Access-Request(1)」と呼ばれるデータ、具体的には10進数の1が格納される。つまり、ラディウスデータの1バイト目に1が格納されたUDPパケットが認証要求メッセージとなる。
無線AP108は、この認証要求メッセージのUDPパケットをラディウスサーバ106宛てに送信する。このUDPパケットは、ハブ107で転送されスイッチングハブ102に到着する。
スイッチングハブ102は、受信した認証要求メッセージのUDPパケットをそのままラディウスサーバ106に転送する。
さらに、スイッチングハブ102は、無線AP108から受信したUDPパケットをパケットフィルタ23においてフィルタリングする。ラディウス認証の認証要求メッセージであることを認識し、認証要求メッセージをCPU24が読み取り可能なスヌーピングバッファに転写する。
CPU24は、スヌーピングバッファを参照して認証要求メッセージに格納されているユーザ端末105のMACアドレス、IPアドレス、VLANIDを取り出すとともに当該認証要求メッセージの受信ポート番号を認識する。CPU24は、メモリ25内の端末認証状態管理テーブル31に、ユーザ端末105のMACアドレス、IPアドレス、VLANID、ポート番号、認証中を登録する。
ステップ53)
スイッチングハブ102により転送された認証要求メッセージのUDPパケットを受信したラディウスサーバ106には、ユーザデータ(ユーザ名、パスワード)が登録されたデータベースがある。ラディウスサーバ106は、このデータベースを参照して認証を行う。
ラディウスサーバ106は、UDPパケットからなる認証応答メッセージを作成する。図6(c)に示されるように、認証応答メッセージでは、送信元のUDPポート番号(図示せず)が1812番となる。認証成功の場合、UDPヘッダに続くラディウスデータの1バイト目に、「Code:Access-Accept(2)」と呼ばれるデータ、具体的には10進数の2が格納される。つまり、ラディウスデータの1バイト目に2が格納されたUDPパケットが認証成功の認証応答メッセージとなる。認証失敗の場合、UDPヘッダに続くラディウスデータの1バイト目に、「Code:Access-Reject(3)」と呼ばれるデータ、具体的には10進数の3が格納される。つまり、ラディウスデータの1バイト目に2が格納されたUDPパケットが認証失敗の認証応答メッセージとなる。
ラディウスサーバ106は、図6(c)の認証応答メッセージのUDPパケットをユーザ端末105に宛ててスイッチングハブ102に送信する。
スイッチングハブ102は、認証応答メッセージのUDPパケットを受信する。MACヘッダは、宛先MACアドレスが無線AP108、送信元MACアドレスがラディウスサーバ106である。スイッチングハブ102は、受信した認証応答メッセージのUDPパケットを宛先に従って無線AP108に転送する。
このとき本発明では、スイッチングハブ102は、認証応答メッセージをスヌーピングする。すなわち、スイッチングハブ102は、無線AP108に転送する認証応答メッセージをCPU24が読み取り可能なスヌーピングバッファに転写する。CPU24は、認証成功を示す情報が格納される格納場所(ラディウスデータの1バイト目)を参照することにより、認証が成功したかどうかを判断する。
スイッチングハブ102のCPU24は、認証の可否を端末認証状態管理テーブル31に記憶する。CPU24は、認証応答メッセージに認証成功を示す情報が格納されていた場合には、認証応答メッセージのMACヘッダ及びIPヘッダから読み取った宛先アドレスと同じアドレスが記憶されている端末認証状態管理テーブル31の行について、状態の列を「認証中」から「認証済み」に更新する。認証応答メッセージに認証失敗を示す情報が格納されていた場合には、状態の列を更新しないかまたは「認証不可」を書き込む。
このようにして、端末認証状態管理テーブル31にラディウス認証の可否が登録される。状態の列が「認証済み」に更新された場合、これ以後、スイッチングハブ102は、パケットフィルタ23の通信条件が変更されて、送信元MACアドレスがユーザ端末105のアドレスであるパケットはネットワーク104に転送するようになる。
ステップ54)
ラディウスサーバ106から送信されスイッチングハブ102が転送した認証応答メッセージのUDPパケットが無線AP108に到着する。ラディウスクライアントである無線AP108では、認証要求メッセージに基づいてMACフレームからなる認証応答メッセージを作成する。図6(d)に示されるように、MACフレームからなる認証応答メッセージは、図6(a)の認証要求メッセージと同じである。
無線AP108は、このMACフレームからなる認証応答メッセージをユーザ端末105に無線送信する。
以上説明したように、本発明のネットワークシステム501においては、スイッチングハブ102が無線AP108とラディウスサーバ106間のラディウス認証のパケットをスヌーピングする。スヌーピングによって、認証成功が認識されると、スイッチングハブ102はユーザ端末105のネットワーク104への通信を許可する。このため、スイッチングハブ102がラディウスクライアントになって行うラディウス認証の手順が省略されることになる。
従来技術では、スイッチングハブ102が認証パケットをスヌーピングしないので、スイッチングハブ102がラディウスクライアントになって行うラディウス認証を省略できない。
本発明は、スイッチングハブ102の配下に接続した無線AP108にユーザ端末105が接続されている場合に限らず、スイッチングハブ102の配下に接続したラディウスクライアントにユーザ端末105が接続されている場合に適用される。
なお、スイッチングハブ102の配下に接続されているラディウスクライアントを持たないユーザ端末109については、スイッチングハブ102がラディウスクライアントとなってラディウス認証を行うことができる。
以上説明したように、本発明のネットワークシステム101,501によれば、冗長な認証処理を省略できユーザはより早くネットワークにアクセスすることができる。すなわち、本発明は認証を効率化して迅速な認証を行うことができる。
このネットワークシステム101,501には、冗長なサーバを用意する必要がないため、あるいは、冗長なサーバがあってもそれらのサーバに同じ登録作業をする必要がないため、認証サーバの運用管理の負担を軽減でき、認証サーバの運用管理方法の改善に寄与する。
本発明の一実施形態を示すネットワークシステムの構成図である。 本発明の一実施形態を示すスイッチングハブの内部構成図である。 本発明に用いる端末認証状態管理テーブルの構成図である。 (a)、(b)は、ケルベロス認証に用いるメッセージの構成図である。 本発明の変形例を示すネットワークシステムの構成図である。 (a)〜(d)は、ラディウス認証に用いるメッセージの構成図である。 従来のネットワークシステムの構成図である。
符号の説明
21 ポート
22 転送処理部
23 パケットフィルタ
24 CPU
25 メモリ
31 端末認証状態管理テーブル
101,501 ネットワークシステム
102 スイッチングハブ
103 認証サーバ
104 ネットワーク
105 ユーザ端末
106 ラディウスサーバ
108 無線アクセスポイント(無線AP)

Claims (3)

  1. 複数のポートを有し、前記複数のポート間でパケットを転送するネットワーク機器であって、
    端末からのパケットの転送を可とする認証を行う認証手段を備え、
    前記認証手段は、端末と認証サーバがネットワーク機器を介して所定の認証方式による認証手続きの通信を行うとき、上記認証サーバからの上記端末宛の認証応答のパケットを上記端末へ転送するとともに、上記認証応答のパケットの内容を参照し、認証成功の情報を読み取ったとき、上記端末を認証済みとすることを特徴とするネットワーク機器。
  2. 上記認証手段は、
    受信したパケットの内容を参照し、認証済みの端末からのパケットは転送を可とし、所定の認証方式における認証要求のパケットと認証応答のパケットは転送を可とする通信条件に設定されたパケットフィルタと、
    認証応答のパケットの内容を参照し、認証成功の情報を読み取ったとき、上記パケットフィルタの通信条件を上記端末からのパケットは転送を可と設定する処理装置とからなる請求項1記載のネットワーク機器。
  3. 端末の認証を行う認証機能を備えたネットワーク機器と、
    上記ネットワーク機器に接続された端末と、
    上記端末と上記ネットワーク機器を介して接続され、所定の認証方式により上記端末との間で認証を行う認証サーバとから構成され、
    上記端末は上記認証サーバ宛の認証要求のパケットを送信し、
    上記ネットワーク機器は受信した上記認証要求のパケットを上記認証サーバへ転送し、 上記認証サーバは、上記ユーザ端末宛の認証応答のパケットを送信し、
    上記ネットワーク機器は受信した上記認証応答のパケットを上記端末へ転送するとともに、上記認証応答のパケットの内容を参照し、認証成功の情報を読み取ったとき上記端末を認証済みとすることを特徴とするネットワークシステム。
JP2008223850A 2008-09-01 2008-09-01 ネットワーク機器及びネットワークシステム Pending JP2010062667A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2008223850A JP2010062667A (ja) 2008-09-01 2008-09-01 ネットワーク機器及びネットワークシステム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2008223850A JP2010062667A (ja) 2008-09-01 2008-09-01 ネットワーク機器及びネットワークシステム

Publications (1)

Publication Number Publication Date
JP2010062667A true JP2010062667A (ja) 2010-03-18

Family

ID=42189035

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2008223850A Pending JP2010062667A (ja) 2008-09-01 2008-09-01 ネットワーク機器及びネットワークシステム

Country Status (1)

Country Link
JP (1) JP2010062667A (ja)

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2012209633A (ja) * 2011-03-29 2012-10-25 Nec Corp スイッチングハブ及び検疫ネットワークシステム
CN103731310A (zh) * 2013-12-31 2014-04-16 华为技术有限公司 一种报文传输方法及装置
EP2770689A1 (en) 2013-02-20 2014-08-27 ALAXALA Networks Corporation Authentication method, transfer apparatus, and authentication server
JP2015044280A (ja) * 2013-07-29 2015-03-12 株式会社ダイヘン ロボット制御装置
JP2015050496A (ja) * 2013-08-30 2015-03-16 アラクサラネットワークス株式会社 通信システム及び認証スイッチ
JP2016143396A (ja) * 2015-02-05 2016-08-08 日立電線ネットワークス株式会社 認証システム
CN103731310B (zh) * 2013-12-31 2016-11-30 华为技术有限公司 一种报文传输方法及装置
JP2017168915A (ja) * 2016-03-14 2017-09-21 Necプラットフォームズ株式会社 スイッチ装置、制御方法およびプログラム

Cited By (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2012209633A (ja) * 2011-03-29 2012-10-25 Nec Corp スイッチングハブ及び検疫ネットワークシステム
US8732817B2 (en) 2011-03-29 2014-05-20 Nec Corporation Switching hub, a system, a method of the switching hub and a program thereof
EP2770689A1 (en) 2013-02-20 2014-08-27 ALAXALA Networks Corporation Authentication method, transfer apparatus, and authentication server
JP2014160942A (ja) * 2013-02-20 2014-09-04 Alaxala Networks Corp 認証方法、転送装置及び認証サーバ
US9258305B2 (en) 2013-02-20 2016-02-09 Alaxala Networks Corporation Authentication method, transfer apparatus, and authentication server
JP2015044280A (ja) * 2013-07-29 2015-03-12 株式会社ダイヘン ロボット制御装置
JP2015050496A (ja) * 2013-08-30 2015-03-16 アラクサラネットワークス株式会社 通信システム及び認証スイッチ
CN103731310A (zh) * 2013-12-31 2014-04-16 华为技术有限公司 一种报文传输方法及装置
CN103731310B (zh) * 2013-12-31 2016-11-30 华为技术有限公司 一种报文传输方法及装置
JP2016143396A (ja) * 2015-02-05 2016-08-08 日立電線ネットワークス株式会社 認証システム
JP2017168915A (ja) * 2016-03-14 2017-09-21 Necプラットフォームズ株式会社 スイッチ装置、制御方法およびプログラム

Similar Documents

Publication Publication Date Title
JP3844762B2 (ja) Eponにおける認証方法及び認証装置
US7624181B2 (en) Techniques for authenticating a subscriber for an access network using DHCP
JP4909875B2 (ja) パケット中継装置
JP4105722B2 (ja) 通信装置
JP5921460B2 (ja) 認証方法、転送装置及び認証サーバ
JP2002373153A (ja) バイオメトリック認証されるvlan
WO2014117525A1 (zh) 静态用户终端认证处理方法及装置
JP2006203300A (ja) 転送装置、アクセス可否判定方法およびプログラム
JP4852379B2 (ja) パケット通信装置
JP2010062667A (ja) ネットワーク機器及びネットワークシステム
WO2013056619A1 (zh) 一种身份联合的方法、IdP、SP及系统
WO2003081839A1 (fr) Procede d'etablissement d'une liaison entre le dispositif d'acces au reseau et l'utilisateur mettant en oeuvre le protocole 802.1x
US11212279B1 (en) MAC address theft detection in a distributed link layer switched network based on trust level comparison
JP4906581B2 (ja) 認証システム
JP2007208759A (ja) Macアドレスとユーザ認証を組み合わせた認証セキュリティシステム
JP2010187314A (ja) 認証機能付きネットワーク中継機器及びそれを用いた端末の認証方法
JP2012070225A (ja) ネットワーク中継装置及び転送制御システム
JP5888749B2 (ja) ネットワークの接続認証方法及びシステム
JP2006067057A (ja) ネットワーク機器、Radiusクライアント、有線LAN認証システム、認証パケット透過方法、制御プログラム、記録媒体及びサプリカント
JP4768547B2 (ja) 通信装置の認証システム
JP4584776B2 (ja) ゲートウェイ装置およびプログラム
JP2004072633A (ja) IPv6ノード収容方法およびIPv6ノード収容システム
JP2009031848A (ja) 認証転送装置
US8607058B2 (en) Port access control in a shared link environment
JP5982706B2 (ja) セキュアトンネリング・プラットフォームシステムならびに方法