JP2010187223A - Authentication server - Google Patents

Authentication server Download PDF

Info

Publication number
JP2010187223A
JP2010187223A JP2009030157A JP2009030157A JP2010187223A JP 2010187223 A JP2010187223 A JP 2010187223A JP 2009030157 A JP2009030157 A JP 2009030157A JP 2009030157 A JP2009030157 A JP 2009030157A JP 2010187223 A JP2010187223 A JP 2010187223A
Authority
JP
Japan
Prior art keywords
address
user
user terminal
authentication
packet relay
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2009030157A
Other languages
Japanese (ja)
Inventor
Munechika Kadokawa
宗近 角川
Tomoyuki Iijima
智之 飯島
Hidemitsu Higuchi
秀光 樋口
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Alaxala Networks Corp
Original Assignee
Alaxala Networks Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Alaxala Networks Corp filed Critical Alaxala Networks Corp
Priority to JP2009030157A priority Critical patent/JP2010187223A/en
Publication of JP2010187223A publication Critical patent/JP2010187223A/en
Pending legal-status Critical Current

Links

Images

Landscapes

  • Small-Scale Networks (AREA)

Abstract

<P>PROBLEM TO BE SOLVED: To trace the state of a user with an authentication server. <P>SOLUTION: A trace information management part 36 having a user tracing function is provided within a RADIUS server (authentication server) 31 for storing, for each user, an IP address and an MAC address of a user terminal, an IP address and a port number of a packet repeater connected with the user terminal, log-in time and log-out time to a trace information management DB 60. An authentication server 31 obtains these pieces of information for authentication and accounting from attribute of each user stored in a user attribute management DB 50, an ARP table of the packet repeater, and an authentication log. With collation of these pieces of information, it is possible to trace where each user exits at the desired time and with which terminal access is made. <P>COPYRIGHT: (C)2010,JPO&INPIT

Description

本発明は、認証サーバに係り、特に、管理しているユーザ端末(サプリカント)の属性をもとにユーザの位置をトレースする認証サーバに関する。   The present invention relates to an authentication server, and more particularly to an authentication server that traces the position of a user based on the attributes of a managed user terminal (supplicant).

ユーザ端末がLAN(Local Area Network)へ接続する際に、IEEE 802.1X認証(以下、802.1X認証)を用いてユーザを認証し、ネットワーク利用の可否を制御する形式が広く利用されている。
802.1X認証を使ったユーザ認証方式は、サプリカントを呼ばれる認証クライアントソフトウェアを搭載したユーザ端末、NAS(Network Access Server)として機能するパケット中継装置、そして認証サーバで構成される。認証サーバには、RADIUS(Remote Authentication Dial In User Service)サーバとTACACS(Terminal Access Controller Access Control System)サーバとが一般に利用されているが、以降、記述の簡略化のためRADIUSサーバの場合のみを記す。 When a user terminal connects to a LAN (Local Area Network), a format for authenticating a user using IEEE 802.1X authentication (hereinafter referred to as 802.1X authentication) and controlling whether or not the network can be used is widely used. .
A user authentication method using 802.1X authentication includes a user terminal equipped with authentication client software called a supplicant, a packet relay device functioning as a NAS (Network Access Server), and an authentication server. As an authentication server, a RADIUS (Remote Authentication Dial In User Service) server and a TACACS (Terminal Access Controller Access System) server are generally used. However, only the RADIUS server will be used for the sake of simplicity. .

ユーザのLAN利用の可否を認証する手続きは、ユーザ端末が、パケット中継装置に対してEAP(Extended Authentication Protocol)開始パケットを発行することで始まる。EAP開始パケットを受信したパケット中継装置は、EAPリクエストパケットをユーザ端末に対して送信し、それに対してユーザ端末はEAPレスポンスパケットを返信する。EAPレスポンスパケットを受信したパケット中継装置は、EAPレスポンスパケットをRADIUSリクエストパケットへ載せ、RADIUSサーバへ送信する。RADIUSサーバがRADIUSリクエストパケットを受信すると、ユーザ端末とRADIUSサーバとの間で認証処理がスタートする。認証処理の方式は複数方式が存在し、IDとパスワードで認証するEAP−MD5(Message Digest 5)や、電子証明書を用いて認証するEAP−TLS(Transport Layer Security)などがある。   The procedure for authenticating whether or not the user can use the LAN starts when the user terminal issues an EAP (Extended Authentication Protocol) start packet to the packet relay apparatus. The packet relay apparatus that has received the EAP start packet transmits an EAP request packet to the user terminal, and the user terminal returns an EAP response packet. The packet relay apparatus that has received the EAP response packet places the EAP response packet on the RADIUS request packet and transmits it to the RADIUS server. When the RADIUS server receives the RADIUS request packet, the authentication process starts between the user terminal and the RADIUS server. There are a plurality of authentication processing methods, and there are EAP-MD5 (Message Digest 5) that authenticates with an ID and password, and EAP-TLS (Transport Layer Security) that authenticates using an electronic certificate.

認証が成立すると、RADIUSサーバは、認証結果をEAP成功パケットに記し、更にそれをRADIUSアクセプトパケットへ載せ、パケット中継装置へ送信する。一方、認証に失敗すると、RADIUSサーバは、認証結果をEAP失敗パケットに記し、更にそれをRADIUSリジェクトパケットへ載せ、パケット中継装置へ送信する。パケット中継装置は、RADIUSアクセプトパケットを受信すると、ユーザ端末が接続するポートからの社内LANアクセスを許可する。また、受信したRADIUSアクセプトパケットからRADIUSヘッダを取り除き、EAP成功パケットのみをユーザ端末へ転送し、ユーザ端末に認証成功の旨を通知する。これによりユーザ端末は、社内LANへのアクセス要求が認可されたことを認識する。一方、パケット中継装置がRADIUSリジェクトパケットを受信すると、ユーザ端末が接続するポートからの社内LANアクセスを不許可とする。また、受信したRADIUSリジェクトパケットからRADIUSヘッダを取り除き、EAP失敗パケットのみをユーザ端末へ転送し、ユーザ端末に認証失敗の旨を通知する。これによりユーザ端末は、社内LANへのアクセス要求が拒絶されたことを認識する。   When the authentication is established, the RADIUS server writes the authentication result in the EAP success packet, further puts it in the RADIUS accept packet, and transmits it to the packet relay device. On the other hand, if the authentication fails, the RADIUS server writes the authentication result in the EAP failure packet, and further puts it in the RADIUS reject packet and transmits it to the packet relay device. When receiving the RADIUS accept packet, the packet relay device permits in-house LAN access from the port connected to the user terminal. Also, the RADIUS header is removed from the received RADIUS accept packet, only the EAP success packet is transferred to the user terminal, and the user terminal is notified of the successful authentication. Thereby, the user terminal recognizes that the access request to the in-house LAN is authorized. On the other hand, when the packet relay apparatus receives the RADIUS reject packet, the internal LAN access from the port connected to the user terminal is not permitted. Also, the RADIUS header is removed from the received RADIUS reject packet, only the EAP failure packet is transferred to the user terminal, and the user terminal is notified of the authentication failure. Thereby, the user terminal recognizes that the access request to the in-house LAN is rejected.

このときRADIUSサーバでは、認証とアカウンティングのため、各ユーザのユーザ名やパスワード、ユーザ端末が繋がるパケット中継装置のポート番号などをユーザ属性と言う形式で一元管理している。これらの情報は、RADIUSサーバがパケット中継装置からRADIUSリクエストパケットを受信する際に取得可能である。
ユーザ名やユーザ端末のMACアドレスやIPアドレスを組み合わせて管理する方式について述べた公知文献としては、例えば特許文献1及び特許文献2がある。 At this time, in the RADIUS server, for authentication and accounting, the user name and password of each user, the port number of the packet relay apparatus connected to the user terminal, and the like are centrally managed in the form of user attributes. Such information can be acquired when the RADIUS server receives a RADIUS request packet from the packet relay apparatus.
For example, Patent Document 1 and Patent Document 2 are known documents that describe a method of managing a user name, a MAC address and an IP address of a user terminal in combination.

特開2004−242142号公報JP 2004-242142 A 特開2003−348114号公報JP 2003-348114 A

認証サーバを利用してユーザを認証するのは、成りすましをした不正ユーザや不正端末からのネットワーク利用を排除するためである。しかしながら、現在認証サーバで管理しているユーザ属性は、ログイン時の認証とアカウンティングのためにしか利用されて来なかった。ユーザが任意の時刻にどこに存在し、どの端末を利用してネットワークにアクセスしているのか、といった情報を継続的に確認する機能はなかった。また、ユーザ端末がどのIPアドレスを割り当てられているのかも時系列に管理されていなかった。そのため、仮にある特定の時刻に、あるIPアドレスを送信元アドレスとしたユーザ端末が不正アクセスをしていて、それ認識したとしても、そのユーザを特定することはできなかった。   The reason why the user is authenticated using the authentication server is to eliminate the use of the network from the impersonated unauthorized user or the unauthorized terminal. However, the user attributes currently managed by the authentication server have been used only for authentication and accounting at the time of login. There was no function to continuously check information such as where a user is at an arbitrary time and which terminal is used to access the network. Also, which IP address the user terminal is assigned to is not managed in time series. For this reason, even if a user terminal having a certain IP address as a transmission source address performs unauthorized access at a certain specific time and recognizes it, the user cannot be identified.

本発明は、以上の点に鑑み、認証サーバがユーザ端末の持つIPアドレスと、ユーザのログアウト時間情報等を取得し、ユーザ毎に、ユーザ端末のIPアドレスとMACアドレス、ユーザ端末が繋がっているパケット中継装置のIPアドレスとポート番号、ログイン時間情報、ログアウト時間情報のログを取ることを目的とする。そして、本発明は、これらのログ情報(以下、トレース情報管理DB又はトレース情報と呼ぶ)を、ユーザ毎にログイン時間、ログアウト時間に従ってソートすることにより、ユーザ端末が最初にどのパケット中継装置を介してログインし、その後ログアウトしてどのパケット中継装置を介して再びログインしたなどのユーザの行動をトレースすることを目的のひとつとする。また、本発明は、このトレース情報管理DBを使うことによって、例えば、ユーザIDが同一にも関わらずMACアドレスが頻繁に異なっているユーザがいた場合、不正端末によるアクセスや、成りすましを警告することを目的のひとつとする。他にも、本発明は、任意の時刻に、ある特定のIPアドレスを利用したユーザが不正にネットワークを利用していることを検知した場合、時刻とIPアドレスからそのユーザを特定することを目的のひとつとする。   In view of the above, the present invention acquires the IP address of the user terminal, the logout time information of the user, and the like, and the IP address of the user terminal, the MAC address, and the user terminal are connected for each user. It is intended to log the IP address and port number of the packet relay device, login time information, and logout time information. The present invention sorts the log information (hereinafter referred to as trace information management DB or trace information) according to the login time and logout time for each user, so that the user terminal first passes through which packet relay device. One of the purposes is to trace a user's behavior such as logging in and logging out and logging in again through any packet relay device. Further, the present invention uses this trace information management DB to warn of an access by a fraudulent terminal or impersonation when there is a user whose MAC address is frequently different even though the user ID is the same. Is one of the purposes. Another object of the present invention is to specify a user from a time and an IP address when it is detected that a user using a specific IP address illegally uses a network at an arbitrary time. One of them.

上記課題を解決するため、認証サーバ内にトレース情報管理部を設け、トレース情報管理部内にはARP(Address Resolution Protocol)テーブル取得部、認証ログ取得部を設ける。ARPテーブル取得部は、パケット中継装置内にあるARPテーブルを取得し、格納する。そして、トレース情報管理部からの要求に従い、MACアドレス情報を基に、IPアドレス情報を提供する。認証ログ取得部は、パケット中継装置内にある認証ログ情報を取得し、認証ログDBに格納する。そして、トレース情報管理部からの要求に従い、ユーザID情報を基にログアウト時間情報を提供する。   In order to solve the above problems, a trace information management unit is provided in the authentication server, and an ARP (Address Resolution Protocol) table acquisition unit and an authentication log acquisition unit are provided in the trace information management unit. The ARP table acquisition unit acquires and stores the ARP table in the packet relay device. Then, IP address information is provided based on the MAC address information in accordance with a request from the trace information management unit. The authentication log acquisition unit acquires authentication log information in the packet relay device and stores it in the authentication log DB. Then, in accordance with a request from the trace information management unit, logout time information is provided based on the user ID information.

トレース情報管理部によるトレース情報管理DBを生成する処理について説明する。まず、トレース情報管理部は、認証サーバの既存認証ログ情報(ユーザ属性)から、認証したユーザのID情報、認証したユーザが使っている端末のMACアドレス、端末が繋がっているパケット中継装置のIPアドレスとポート番号、ログイン時間情報を取り出す。
次に、ARPテーブル管理部を通して、既ユーザID情報に対応したMACアドレス(該ユーザが使用している端末のMACアドレス)を基に該当するIPアドレスを検索し、取得する。 Processing for generating a trace information management DB by the trace information management unit will be described. First, the trace information management unit, from the existing authentication log information (user attribute) of the authentication server, the ID information of the authenticated user, the MAC address of the terminal used by the authenticated user, the IP of the packet relay device to which the terminal is connected Retrieves address, port number and login time information.
Next, through the ARP table management unit, the corresponding IP address is searched and acquired based on the MAC address corresponding to the existing user ID information (the MAC address of the terminal used by the user).

次に、認証ログ取得部を通して、既ユーザID情報に対応した認証ログアウト時間情報を取得する。
次に、それらの情報をユーザ単位にトレース情報管理DBに格納する。つまり、トレース情報管理DBには、ユーザ毎に、そのユーザが使用している端末のIPアドレスとMACアドレス、端末が繋がっているパケット中継装置のIPアドレスとポート番号、ログイン時間、ログアウト時間情報が記録されているため、各ユーザが任意の時刻にどこに存在し、どの端末でアクセスしているかをトレースすることができる。 Next, authentication logout time information corresponding to the existing user ID information is acquired through the authentication log acquisition unit.
Next, the information is stored in the trace information management DB for each user. That is, in the trace information management DB, for each user, the IP address and MAC address of the terminal used by the user, the IP address and port number of the packet relay apparatus connected to the terminal, the login time, and the logout time information are stored. Since it is recorded, it is possible to trace where each user is present at an arbitrary time and at which terminal.

認証サーバは、例えば、パケット処理部と回線インタフェースとで構成される認証サーバであって、
パケット処理部は、ユーザ属性制御部とトレース情報管理部とを有し、
ユーザ属性制御部はユーザ属性管理DB、トレース情報管理部はトレース情報管理DBを有することを特徴とし、
トレース情報管理部にて、ユーザ毎にユーザ端末のIPアドレス、MACアドレス、ユーザ端末が接続しているパケット中継装置のIPアドレス、ポート番号、ユーザのログイン時間、ログアウト時間を記録する。 The authentication server is, for example, an authentication server composed of a packet processing unit and a line interface,
The packet processing unit has a user attribute control unit and a trace information management unit,
The user attribute control unit has a user attribute management DB, and the trace information management unit has a trace information management DB.
The trace information management unit records the IP address of the user terminal, the MAC address, the IP address of the packet relay device to which the user terminal is connected, the port number, the user login time, and the logout time for each user.

また、上述のRADIUSサーバは、例えば、
トレース情報管理部内にMAC−IPテーブル取得部とMAC−IPテーブル、認証ログ取得部と認証ログを有することを特徴とし、
DHCPサーバからMAC−IPテーブルを取得すると、ユーザ属性管理DBにて保持しているログイン済みユーザ端末のMACアドレスを検索キーとしてMAC−IPテーブルを検索し、検索することによって該当ユーザ端末に対応するIPアドレスを取得し、トレース情報管理DBへそのIPアドレスを追加登録することを特徴とし、
パケット中継装置から認証ログを定期的に取得すると、ユーザ属性管理DBにて保持しているログイン済みユーザのユーザ名、及びユーザ端末のMACアドレスを検索キーとして認証ログを検索し、検索することによって該当ユーザのログアウト情報を取得し、トレース情報管理DBへその時刻を追加登録する。 Moreover, the above-mentioned RADIUS server is, for example,
The trace information management unit has a MAC-IP table acquisition unit and a MAC-IP table, an authentication log acquisition unit and an authentication log,
When the MAC-IP table is acquired from the DHCP server, the MAC-IP table is searched using the MAC address of the logged-in user terminal held in the user attribute management DB as a search key, and the corresponding user terminal is supported by the search. Obtaining an IP address and additionally registering the IP address in the trace information management DB,
When the authentication log is periodically acquired from the packet relay device, the authentication log is searched using the user name of the logged-in user held in the user attribute management DB and the MAC address of the user terminal as a search key. The logout information of the user is acquired, and the time is additionally registered in the trace information management DB.

本発明の第1の解決手段によると、
接続されるユーザ端末のMACアドレスと該ユーザ端末のIPアドレスが対応して記憶されたアドレス解決テーブルを有し、前記ユーザ端末との認証又は通信についてのログを管理するひとつ又は複数のパケット中継装置と、該パケット中継装置を介して前記ユーザ端末と通信してユーザ認証を行う認証サーバとを備えたシステムにおける前記認証サーバであって、
ユーザ識別子に対応して、前記ユーザ端末のMACアドレスと、前記ユーザ端末のIPアドレスと、前記パケット中継装置のIPアドレスと、前記ユーザ端末が繋がる前記パケット中継装置のポートのポート識別子と、前記ユーザ端末のログイン時刻又はログアウト時刻とが記憶されるトレース情報記憶部と、
前記ユーザ端末とのユーザ認証において受信される情報から、少なくともユーザ識別子と、前記ユーザ端末のMACアドレスと、前記パケット中継装置のIPアドレスと、前記ユーザ端末が接続される前記パケット中継装置のポートのポート識別子とを取得し、取得した各情報を対応して前記トレース情報記憶部に記憶する認証制御部と、
前記ユーザ端末が接続された前記パケット中継装置の前記アドレス解決テーブルを参照して、前記認証制御部で取得された前記ユーザ端末のMACアドレスに基づき、対応する前記ユーザ端末のIPアドレスを取得し、取得した前記ユーザ端末のIPアドレスをユーザ識別子に対応して前記トレース情報記憶部に記憶するアドレス解決部と、
前記パケット中継装置での前記ログを参照して前記ユーザ端末のログアウト時刻を求め、求められたログアウト時刻をユーザ識別子に対応して前記トレース情報記憶部に記憶するログ管理部と
を備えた前記認証サーバが提供される。 According to the first solution of the present invention,
One or a plurality of packet relay apparatuses having an address resolution table in which the MAC address of the connected user terminal and the IP address of the user terminal are stored correspondingly, and managing a log for authentication or communication with the user terminal And the authentication server in a system including an authentication server that performs user authentication by communicating with the user terminal via the packet relay device,
Corresponding to the user identifier, the MAC address of the user terminal, the IP address of the user terminal, the IP address of the packet relay device, the port identifier of the port of the packet relay device to which the user terminal is connected, and the user A trace information storage unit for storing the login time or logout time of the terminal;
From information received in user authentication with the user terminal, at least a user identifier, a MAC address of the user terminal, an IP address of the packet relay device, and a port of the packet relay device to which the user terminal is connected. An authentication control unit that acquires a port identifier and stores the acquired information in the trace information storage unit correspondingly;
With reference to the address resolution table of the packet relay device to which the user terminal is connected, based on the MAC address of the user terminal acquired by the authentication control unit, obtain the IP address of the corresponding user terminal, An address resolution unit that stores the acquired IP address of the user terminal in the trace information storage unit corresponding to a user identifier;
The log management unit that obtains a logout time of the user terminal with reference to the log in the packet relay device, and stores the obtained logout time in the trace information storage unit corresponding to a user identifier A server is provided.

本発明の第2の解決手段によると、
ユーザ端末のMACアドレスと該ユーザ端末のIPアドレスが対応して記憶されたアドレス対応テーブルを有するアドレス管理装置と、前記ユーザ端末との認証又は通信についてのログを管理するひとつ又は複数のパケット中継装置と、該パケット中継装置を介して前記ユーザ端末と通信してユーザ認証を行う認証サーバとを備えたシステムにおける前記認証サーバであって、
ユーザ識別子に対応して、前記ユーザ端末のMACアドレスと、前記ユーザ端末のIPアドレスと、前記パケット中継装置のIPアドレスと、前記ユーザ端末が繋がる前記パケット中継装置のポートのポート識別子と、前記ユーザ端末のログイン時刻又はログアウト時刻とが記憶されるトレース情報記憶部と、
前記ユーザ端末とのユーザ認証において受信される情報から、少なくともユーザ識別子と、前記ユーザ端末のMACアドレスと、前記パケット中継装置のIPアドレスと、前記ユーザ端末が接続される前記パケット中継装置のポートのポート識別子とを取得し、取得した各情報を対応して前記トレース情報記憶部に記憶する認証制御部と、
前記アドレス管理装置の前記アドレス対応テーブルを参照して、前記認証制御部で取得された前記ユーザ端末のMACアドレスに基づき、対応する前記ユーザ端末のIPアドレスを取得し、取得した前記ユーザ端末のIPアドレスをユーザ識別子に対応して前記トレース情報記憶部に記憶するアドレス解決部と、
前記パケット中継装置での前記ログを参照して前記ユーザ端末のログアウト時刻を求め、求められたログアウト時刻をユーザ識別子に対応して前記トレース情報記憶部に記憶するログ管理部と
を備えた前記認証サーバが提供される。 According to the second solution of the present invention,
An address management device having an address correspondence table in which the MAC address of the user terminal and the IP address of the user terminal are stored in correspondence with each other, and one or a plurality of packet relay devices for managing a log of authentication or communication with the user terminal And the authentication server in a system including an authentication server that performs user authentication by communicating with the user terminal via the packet relay device,
Corresponding to the user identifier, the MAC address of the user terminal, the IP address of the user terminal, the IP address of the packet relay device, the port identifier of the port of the packet relay device to which the user terminal is connected, and the user A trace information storage unit for storing the login time or logout time of the terminal;
From information received in user authentication with the user terminal, at least a user identifier, a MAC address of the user terminal, an IP address of the packet relay device, and a port of the packet relay device to which the user terminal is connected. An authentication control unit that acquires a port identifier and stores the acquired information in the trace information storage unit correspondingly;
With reference to the address correspondence table of the address management device, based on the MAC address of the user terminal acquired by the authentication control unit, the corresponding IP address of the user terminal is acquired, and the acquired IP of the user terminal An address resolution unit for storing an address in the trace information storage unit corresponding to a user identifier;
The log management unit that obtains a logout time of the user terminal with reference to the log in the packet relay device, and stores the obtained logout time in the trace information storage unit corresponding to a user identifier A server is provided.

従来、認証サーバが持つ認証ログ情報には、ユーザID情報、ユーザが使用する端末のMACアドレス、端末が繋がっているパケット中継装置のIPアドレスとポート番号、ログイン時間情報はあるが、ユーザ端末が持つIPアドレスやユーザのログアウト時間情報は無かった。   Conventionally, the authentication log information held by the authentication server includes user ID information, the MAC address of the terminal used by the user, the IP address and port number of the packet relay apparatus connected to the terminal, and the login time information. There was no IP address or user logout time information.

これに対し、本発明は、認証サーバにトレース情報管理部を設け、ARPテーブル取得部、認証ログ取得部を制御し、認証サーバがユーザ端末の持つIPアドレスと、ユーザのログアウト時間情報を取得することができ、ユーザ毎に、ユーザ端末のIPアドレスとMACアドレス、ユーザ端末が繋がっているパケット中継装置のIPアドレスとポート番号、ログイン時間情報、ログアウト時間情報のログを取ることが可能になる。そして、本発明によると、これらのログ情報を、ユーザ毎にログイン、ログアウト時間に従ってソートすることにより、ユーザ端末が最初にどのパケット中継装置を介してログインし、その後ログアウトしてどのパケット中継装置を介して再びログインしたかが分かるので、ユーザの行動をトレースすることが可能になる。また、本発明によると、このトレース情報管理DBを使うことによって、例えば、ユーザIDが同一にも関わらずMACアドレスが頻繁に異なっているユーザがいた場合、不正端末によるアクセスや、成りすましを警告することができる。他にも、本発明によると、任意の時刻に、ある特定のIPアドレスを利用したユーザが不正にネットワークを利用していることを検知した場合、時刻とIPアドレスからそのユーザを特定することができる。   On the other hand, the present invention provides a trace information management unit in the authentication server, controls the ARP table acquisition unit and the authentication log acquisition unit, and the authentication server acquires the IP address of the user terminal and the logout time information of the user. It is possible to log the IP address and MAC address of the user terminal, the IP address and port number of the packet relay apparatus connected to the user terminal, login time information, and logout time information for each user. According to the present invention, the log information is sorted according to the log-in and log-out times for each user, so that the user terminal first logs in via which packet relay device, and then logs out to determine which packet relay device. It is possible to trace the user's behavior because it is known whether or not the user has logged in again. Further, according to the present invention, by using this trace information management DB, for example, when there is a user whose MAC address is frequently different even though the user ID is the same, an access by an unauthorized terminal or impersonation is warned. be able to. In addition, according to the present invention, when it is detected that a user using a specific IP address illegally uses the network at an arbitrary time, the user can be specified from the time and the IP address. it can.

第1の実施の形態におけるユーザ端末とパケット中継装置とRADIUSサーバが設置されるネットワーク構成を示す図である。It is a figure which shows the network structure in which the user terminal, packet relay apparatus, and RADIUS server in 1st Embodiment are installed. 第1の実施の形態におけるRADIUSサーバの構成を示す図である。It is a figure which shows the structure of the RADIUS server in 1st Embodiment. 第1の実施の形態におけるRADIUSサーバにて保持されるユーザ属性の説明図である。It is explanatory drawing of the user attribute hold | maintained at the RADIUS server in 1st Embodiment. 第1の実施の形態におけるRADIUSサーバにて保持されるユーザ毎のトレース情報を記憶したトレース情報管理データベースの説明図である。It is explanatory drawing of the trace information management database which memorize | stored the trace information for every user hold | maintained at the RADIUS server in 1st Embodiment. 第1の実施の形態におけるトレース情報を作成するシーケンスを示す図である。It is a figure which shows the sequence which produces the trace information in 1st Embodiment. 第2の実施の形態におけるRADIUSサーバの構成を示す図である。It is a figure which shows the structure of the RADIUS server in 2nd Embodiment. 第2の実施の形態におけるトレース情報を作成するシーケンスを示す図である。It is a figure which shows the sequence which produces the trace information in 2nd Embodiment.

1.第1の実施の形態
図1〜図5を参照して認証サーバをRADIUSサーバとしたときの実施の形態について説明する。
図1に、本実施の形態におけるネットワーク構成図を示す。
本ネットワークシステムは、例えば、複数のパケット中継装置a21、b22と、RADIUSサーバ(認証サーバ)31と、DHCP(Dynamic Host Configuration Protocol)サーバ(アドレス配布サーバ)44を備える。また、パケット中継装置a21は、複数のユーザ端末a11、b13と接続され、パケット中継装置a21と、当該ユーザ端末a11、b13は、例えば社内の部署に対応するサブネットワーク(以下、便宜上部署と呼ぶ。)41を構成する。パケット中継装置b22も同様に、ユーザ端末a12、c14と接続され、サブネットワーク42を構成する。なお、ユーザ端末a11、a12は、同じ端末が移動したことを示している。 1. First Embodiment An embodiment in which an authentication server is a RADIUS server will be described with reference to FIGS.
FIG. 1 shows a network configuration diagram in the present embodiment.
The network system includes, for example, a plurality of packet relay devices a21 and b22, a RADIUS server (authentication server) 31, and a DHCP (Dynamic Host Configuration Protocol) server (address distribution server) 44. The packet relay device a21 is connected to a plurality of user terminals a11 and b13. The packet relay device a21 and the user terminals a11 and b13 are, for example, sub-networks corresponding to internal departments (hereinafter referred to as departments for convenience). ) 41 is configured. Similarly, the packet relay device b22 is connected to the user terminals a12 and c14 and constitutes a sub-network 42. User terminals a11 and a12 indicate that the same terminal has moved.

本ネットワークシステムは、部署が複数存在し、社内LAN43を介して各部署が相互に繋がっている。RADIUSサーバ31は、複数の部署のユーザ属性を一元管理しており、例えば社内LAN43とは別のネットワークに置かれている。各部署内にはパケット中継装置a21、b22がそれぞれ置かれ、ユーザ端末(サプリカント)a11、a12、b13、c14が社内LAN43へ接続する際は、初めにパケット中継装置a21、b22を介してRADIUSサーバ31へアクセスし、社内LAN43へのアクセス許可を求める必要がある。DHCPサーバ44は、認証されたユーザ端末a11、a12、b13、c14にIPアドレスを割当てる。
なお、認証サーバは、RADIUSサーバ31に限らず適宜の認証サーバを用いてもよい。また、各ユーザ端末a11、a12、b13、c14は、直接パケット中継装置a21、b22に接続される以外にもスイッチなどを介して接続されてもよい。 In this network system, there are a plurality of departments, and the departments are connected to each other via an in-house LAN 43. The RADIUS server 31 centrally manages the user attributes of a plurality of departments, and is placed on a network different from the in-house LAN 43, for example. In each department, packet relay devices a21 and b22 are placed, respectively. When user terminals (supplicants) a11, a12, b13 and c14 connect to the in-house LAN 43, first, RADIUS is transmitted via the packet relay devices a21 and b22. It is necessary to access the server 31 and ask for permission to access the in-house LAN 43. The DHCP server 44 assigns IP addresses to the authenticated user terminals a11, a12, b13, and c14.
The authentication server is not limited to the RADIUS server 31, and an appropriate authentication server may be used. The user terminals a11, a12, b13, and c14 may be connected via a switch or the like in addition to being directly connected to the packet relay devices a21 and b22.

パケット中継装置a21は、接続されるユーザ端末a11、a12のMACアドレスと、当該ユーザ端末a11、a12のIPアドレスがそれぞれ対応して記憶されたARPテーブル(アドレス解決テーブル)を有し、ユーザ端末a11、a12との認証又は通信についてのログを管理する。パケット中継装置b22も同様である。RADIUSサーバ31は、パケット中継装置a21、b22を介してユーザ端末a11、a12、b13、c14と通信してユーザ認証を行う。   The packet relay device a21 has an ARP table (address resolution table) in which the MAC addresses of the connected user terminals a11 and a12 and the IP addresses of the user terminals a11 and a12 are stored in correspondence with each other, and the user terminal a11 , A log about authentication or communication with a12 is managed. The same applies to the packet relay device b22. The RADIUS server 31 communicates with the user terminals a11, a12, b13, and c14 via the packet relay devices a21 and b22 to perform user authentication.

図2は、第1の実施の形態におけるRADIUSサーバの構成を示す図である。
RADIUSサーバ31は、例えば、パケット処理部33と、回線インタフェース32を備える。パケット処理部33は、パケット送受信部34と、RADIUS制御部(認証制御部)35と、トレース情報管理部36を有する。RADIUS制御部35は、ユーザ属性管理データベース(以下、DB)50を有する。トレース情報管理部36は、ARPテーブル取得部(アドレス解決部)45と、認証ログ取得部(ログ管理部)46と、トレース情報管理DB(トレース情報記憶部)60を有する。ARPテーブル取得部45は、ARPテーブル37を有し、認証ログ取得部46は、認証ログDB38を有する。なお、各データベース、テーブルは、適宜の記憶装置にまとめられていてもよい。 FIG. 2 is a diagram illustrating the configuration of the RADIUS server according to the first embodiment.
The RADIUS server 31 includes, for example, a packet processing unit 33 and a line interface 32. The packet processing unit 33 includes a packet transmission / reception unit 34, a RADIUS control unit (authentication control unit) 35, and a trace information management unit 36. The RADIUS control unit 35 has a user attribute management database (hereinafter referred to as DB) 50. The trace information management unit 36 includes an ARP table acquisition unit (address resolution unit) 45, an authentication log acquisition unit (log management unit) 46, and a trace information management DB (trace information storage unit) 60. The ARP table acquisition unit 45 has an ARP table 37, and the authentication log acquisition unit 46 has an authentication log DB 38. Each database and table may be collected in an appropriate storage device.

回線インタフェース32は、例えば、パケット中継装置a21、b22等の外部の機器と通信するためのインタフェースである。パケット処理部33は、パケットの送受信等を制御する。パケット送受信部34は、例えば、受信したパケットをRADIUS制御部35、トレース情報管理部36に転送し、また、RADIUS制御部35等からのパケットを回線インタフェース32へ転送する。RADIUS制御部35は、認証、アカウンティングに必要となるユーザ属性を管理する。   The line interface 32 is an interface for communicating with external devices such as the packet relay devices a21 and b22, for example. The packet processing unit 33 controls packet transmission / reception and the like. For example, the packet transmitting / receiving unit 34 transfers the received packet to the RADIUS control unit 35 and the trace information management unit 36, and transfers the packet from the RADIUS control unit 35 and the like to the line interface 32. The RADIUS control unit 35 manages user attributes necessary for authentication and accounting.

トレース情報管理部36は、RADIUS制御部35内のユーザ属性管理DB50からユーザ名、ユーザ端末のMACアドレス、ユーザ端末が接続しているパケット中継装置のIPアドレスとポート番号を取得し、そしてRADIUS制御部35からログイン時間情報を取得し、ARPテーブル37からユーザ端末のIPアドレスを取得し、認証ログDB38からログアウト時間を取得すると、それらの情報をトレース情報管理DB60に格納する。ARPテーブル取得部45は、パケット中継装置a21、b22よりARPテーブルを取得し、ユーザ端末a11、a12、b13、c14のMACアドレスに基づいて対応するIPアドレスを検索する。認証ログ取得部46は、パケット中継装置a21、b22より認証ログを取得し、ユーザ名等に基づいて対応するユーザのログアウト時間を検索する。認証ログDB38は、例えば、ユーザ識別子(例えば、ユーザ名等)と、ユーザ端末のMACアドレスと、発生したログ内容と、ログが発生した時刻を記憶する。なお、発生するログ内容としては、例えば、ユーザのログイン、ログアウト等がある。
なお、RADIUSサーバ31は、トレース情報を表示する管理画面である出力部又は外部の装置に表示するためにトレース情報を出力する出力部70をさらに備えてもよい。 The trace information management unit 36 acquires the user name, the MAC address of the user terminal, the IP address and port number of the packet relay apparatus to which the user terminal is connected from the user attribute management DB 50 in the RADIUS control unit 35, and performs RADIUS control. When the login time information is acquired from the unit 35, the IP address of the user terminal is acquired from the ARP table 37, and the logout time is acquired from the authentication log DB 38, the information is stored in the trace information management DB 60. The ARP table acquisition unit 45 acquires the ARP table from the packet relay devices a21 and b22, and searches for the corresponding IP address based on the MAC addresses of the user terminals a11, a12, b13, and c14. The authentication log acquisition unit 46 acquires the authentication log from the packet relay devices a21 and b22, and searches for the logout time of the corresponding user based on the user name or the like. The authentication log DB 38 stores, for example, a user identifier (for example, a user name), a MAC address of the user terminal, generated log contents, and a time when the log is generated. Note that the generated log content includes, for example, user login and logout.
Note that the RADIUS server 31 may further include an output unit that is a management screen for displaying trace information or an output unit 70 that outputs trace information for display on an external device.

図3は、第1の実施の形態におけるRADIUSサーバにて保持されるユーザ属性の説明図である。
ユーザ属性は、例えば、ユーザ毎に、ユーザ名(User−Name)と、ユーザ端末が接続するパケット中継装置のIPアドレス(NAS−IP−Address)と、ユーザ端末が接続するパケット中継装置のポート番号(NAS−Port)と、ユーザ端末のMACアドレス(Calling−Station−Id)を含む。これらのユーザ属性は、RADIUSリクエストパケット受信時にトレース情報管理部36により取得され、トレース情報管理DB60に記憶される。一方、ユーザ属性管理DB50には、上述のユーザ属性と、RADIUSで規定(例えば、RFC2865参照。)されている他の属性(例えば、ユーザパスワード(User−Password)等)が記憶される。 FIG. 3 is an explanatory diagram of user attributes held in the RADIUS server according to the first embodiment.
The user attributes are, for example, for each user, a user name (User-Name), an IP address (NAS-IP-Address) of the packet relay apparatus to which the user terminal is connected, and a port number of the packet relay apparatus to which the user terminal is connected. (NAS-Port) and the MAC address (Calling-Station-Id) of the user terminal. These user attributes are acquired by the trace information management unit 36 when a RADIUS request packet is received and stored in the trace information management DB 60. On the other hand, the user attribute management DB 50 stores the above-described user attributes and other attributes defined by RADIUS (for example, refer to RFC 2865) (for example, user password (User-Password)).

図4は、第1の実施の形態におけるRADIUSサーバにて保持されるユーザ毎のトレース情報を記憶したトレース情報管理データベースの説明図である。
トレース情報管理DB60は、例えば、ひとつのユーザID61に対応して、ユーザ端末のMACアドレス62と、ユーザ端末のIPアドレス63と、ユーザ端末が接続するパケット中継装置のIPアドレス64と、ユーザ端末が接続するパケット中継装置のポート番号65と、ユーザのログイン時間66と、ユーザのログアウト時間67との組み合わせ68をひとつ又は複数記憶する。 FIG. 4 is an explanatory diagram of a trace information management database that stores trace information for each user held in the RADIUS server according to the first embodiment.
The trace information management DB 60, for example, corresponds to one user ID 61, the MAC address 62 of the user terminal, the IP address 63 of the user terminal, the IP address 64 of the packet relay device to which the user terminal is connected, and the user terminal One or a plurality of combinations 68 of the port number 65 of the packet relay apparatus to be connected, the user login time 66 and the user logout time 67 are stored.

トレース情報管理DB60に格納した情報は、例えば、RADIUSサーバ31の管理画面、及びリモート端末から参照可能であり、管理者がこれらのデータを参照する場合、各情報は時系列に表示されることができる。これによって管理者は、ユーザが使用している端末のMACアドレスとIPアドレス、ユーザ端末が接続しているパケット中継装置のIPアドレスとポート番号を把握することができ、RADIUSサーバ31におけるユーザトレースが可能となる。   The information stored in the trace information management DB 60 can be referred to from, for example, the management screen of the RADIUS server 31 and a remote terminal. When the administrator refers to these data, each information may be displayed in time series. it can. As a result, the administrator can grasp the MAC address and IP address of the terminal used by the user, the IP address and port number of the packet relay apparatus to which the user terminal is connected, and user trace in the RADIUS server 31 can be performed. It becomes possible.

図5は、第1の実施の形態におけるトレース情報を作成するシーケンスを示す図である。
ユーザ端末a11が社内LAN43へ接続するときのシーケンスを、ユーザ端末a11が初め部署A41にいたと仮定し、詳述する。
ユーザ端末a11がパケット中継装置a21に接続すると(手順S11)、パケット中継装置a21はEAPリクエストパケットをユーザ端末a11へ送信し(手順S12)、それに対してユーザ端末a11はEAPレスポンスパケットを返信する(手順S13)。EAPレスポンスパケットには、例えば、ユーザ名、ユーザ端末a11のMACアドレスなどの認証に必要な情報が記載されており、EAPレスポンスパケットを受信したパケット中継装置a21は、そのパケットにRADIUSヘッダを付与し、さらにパケット中継装置a21のIPアドレス、パケット中継装置a21のポート番号等の属性を付与して、RADIUSリクエストパケットとして、RADIUSサーバ31へ送信する(手順S14)。このとき、ユーザ端末a11が接続するパケット中継装置a21のポート01は、RADIUSパケットのみを通す設定となっている。 FIG. 5 is a diagram illustrating a sequence for creating trace information according to the first embodiment.
The sequence when the user terminal a11 connects to the in-house LAN 43 will be described in detail, assuming that the user terminal a11 was initially in the department A41.
When the user terminal a11 connects to the packet relay device a21 (procedure S11), the packet relay device a21 transmits an EAP request packet to the user terminal a11 (procedure S12), and the user terminal a11 returns an EAP response packet (step S12). Procedure S13). In the EAP response packet, for example, information necessary for authentication such as the user name and the MAC address of the user terminal a11 is described, and the packet relay device a21 that has received the EAP response packet adds a RADIUS header to the packet. Further, attributes such as the IP address of the packet relay device a21 and the port number of the packet relay device a21 are added and transmitted to the RADIUS server 31 as a RADIUS request packet (step S14). At this time, the port 01 of the packet relay device a21 connected to the user terminal a11 is set to pass only the RADIUS packet.

パケット中継装置a21より発信されたRADIUSリクエストパケットを受信するRADIUSサーバ31は、本実施の形態においては図2に示す構成となっている。RADIUSリクエストパケットは、RADIUSサーバ31の回線インタフェース32にて受信される。その後RADIUSリクエストパケットはパケット処理部33内のパケット送受信部34を経由して、RADIUS制御部35へ到達する。RADIUS制御部35は、ユーザ属性管理DB50を保持し、認証、アカウンティングに必要となるユーザ属性51(図3参照)を管理している。RADIUS制御部35は、それらの属性を取得すると、認証シーケンスを走らせる(手順S15)。認証処理の方式は複数存在し、IDとパスワードで認証するEAP−MD5や、電子証明書を用いて認証するEAP−TLSなどがある。   The RADIUS server 31 that receives the RADIUS request packet transmitted from the packet relay device a21 has the configuration shown in FIG. 2 in the present embodiment. The RADIUS request packet is received by the line interface 32 of the RADIUS server 31. Thereafter, the RADIUS request packet reaches the RADIUS control unit 35 via the packet transmission / reception unit 34 in the packet processing unit 33. The RADIUS control unit 35 holds a user attribute management DB 50 and manages user attributes 51 (see FIG. 3) necessary for authentication and accounting. When the RADIUS control unit 35 acquires these attributes, the RADIUS control unit 35 executes an authentication sequence (step S15). There are a plurality of authentication processing methods, such as EAP-MD5 that authenticates using an ID and password, and EAP-TLS that authenticates using an electronic certificate.

認証が成立すると、RADIUSサーバ31は、認証結果を記したEAPサクセスパケットを作成する。次に、そのパケットにRADIUSヘッダを付加してRADIUSアクセプトパケットとし、パケット中継装置a21へ送信する(手順S16)。RADIUSアクセプトパケットを受信したパケット中継装置a21は、ここでユーザ端末a11が接続するポート01を社内LAN43へアクセス可能なポートとして設定する(手順S17)。また、受信したRADIUSアクセプトパケットからRADIUSヘッダを取り除き、取り出したEAPサクセスパケットをユーザ端末a11へ転送する(手順S18)。EAPサクセスパケットを受信すると、ユーザ端末a11は自端末が認証に成功したことを認識する。   When the authentication is established, the RADIUS server 31 creates an EAP success packet describing the authentication result. Next, a RADIUS header is added to the packet to form a RADIUS accept packet, which is transmitted to the packet relay device a21 (step S16). The packet relay device a21 that has received the RADIUS accept packet sets the port 01 connected to the user terminal a11 as a port accessible to the in-house LAN 43 (step S17). Further, the RADIUS header is removed from the received RADIUS accept packet, and the extracted EAP success packet is transferred to the user terminal a11 (step S18). When receiving the EAP success packet, the user terminal a11 recognizes that its own terminal has been successfully authenticated.

認証に成功したユーザ端末a11は、以後RADIUSサーバ31以外へアクセスすることが可能となる。その状態に至ると、ユーザ端末a11は、まず初めにDHCPサーバ44へDHCPディスカバーを送信し、ユーザ端末a11が送信元アドレスとして利用すべきIPアドレスを要求する(手順S19)。DHCPサーバ44から送信元IPアドレスが割り当てられると(手順S20)、ユーザ端末a11は以降そのIPアドレスを送信元IPアドレスとして、社内LAN43へアクセス可能となる(手順S21)。なお、割り当てられたIPアドレスは、ユーザ端末a11のMACアドレスに対応して、パケット中継装置a21のARPテーブルに記憶される。   The user terminal a11 that has succeeded in authentication can subsequently access other than the RADIUS server 31. When this state is reached, the user terminal a11 first transmits a DHCP discover to the DHCP server 44, and requests an IP address that the user terminal a11 should use as a transmission source address (step S19). When the source IP address is assigned from the DHCP server 44 (procedure S20), the user terminal a11 can subsequently access the in-house LAN 43 using the IP address as the source IP address (procedure S21). The assigned IP address is stored in the ARP table of the packet relay device a21 corresponding to the MAC address of the user terminal a11.

このときRADIUSサーバ31内のトレース情報管理部36では、図4に示すトレース情報管理DB60を保持し、次の3段階の処理を施すことによって、ユーザトレースに必要な情報を格納していく。なお、このユーザトレースに必要な情報を格納していく処理は、3段階に限らず適宜の段階に分けてもよいし、まとめてもよい。   At this time, the trace information management unit 36 in the RADIUS server 31 holds the trace information management DB 60 shown in FIG. 4, and stores information necessary for user trace by performing the following three steps. Note that the process of storing information necessary for the user trace is not limited to three stages, and may be divided into appropriate stages or may be summarized.

まずは、ユーザログイン時のユーザ属性登録処理である。RADIUS制御部35がRADIUSリクエストパケットを受信すると、RADIUSリクエストパケットによって得られる属性のうち、図3に示すところの、User−Name(ユーザ名)、NAS−IP−Address(ユーザ端末が繋がるパケット中継装置のIPアドレス)、NAS−Port(ユーザ端末が繋がるパケット中継装置のポート番号)、Calling−Station−Id(ユーザ端末のMACアドレス)を、トレース情報管理部36へ通知する(手順S22)。また、このとき、例えば、RADIUSアクセプトパケットを発行した時間を、ユーザのログインした時間として、トレース情報管理部36に通知する。なお、RADIUSアクセプトパケットを発行した時間以外にも、適宜のログイン時間を定めてもよい。本実施の形態の場合、各属性それぞれの値及びログインした時間は、「ユーザ名:ユーザa」、「IPアドレス:10.10.10.1」、「ポート番号:01」、「MACアドレス:00:11:22:33:44:55」、及び「ログイン時間:08/04/01 09:00」であり、これらの情報をユーザID61に対応して図4のトレース情報管理DB60に登録する(段階P1)。   First, user attribute registration processing at the time of user login. When the RADIUS control unit 35 receives the RADIUS request packet, among the attributes obtained by the RADIUS request packet, User-Name (user name), NAS-IP-Address (packet relay apparatus to which the user terminal is connected) as shown in FIG. ), NAS-Port (port number of the packet relay device to which the user terminal is connected), Calling-Station-Id (MAC address of the user terminal) are notified to the trace information management unit 36 (step S22). At this time, for example, the time when the RADIUS accept packet is issued is notified to the trace information management unit 36 as the time when the user logged in. Note that an appropriate login time may be set in addition to the time when the RADIUS accept packet is issued. In this embodiment, the value of each attribute and the login time are “user name: user a”, “IP address: 10.10.10.1”, “port number: 01”, “MAC address: 00: 11: 22: 33: 44: 55 ”and“ login time: 08/04/01 09: 0 ”, and these pieces of information are registered in the trace information management DB 60 of FIG. (Step P1).

次に、ユーザ端末a11のIPアドレスをトレース情報管理DB60へ登録する処理が続く。トレース情報管理部36は、ARPテーブル取得部45を保持しており、段階P1が終了すると、ARPテーブル取得部45に対してユーザ端末a11のIPアドレスを取得するよう要求する。この要求の際、トレース情報管理DB60に登録されているユーザ端末a11の「MACアドレス62:00:11:22:33:44:55」をARPテーブル取得部45へ通知する。トレース情報管理部36から要求を受け取ったARPテーブル取得部45は、例えばSNMP(Simple Network Management Protocol)或いはNETCONF(NETwork CONFiguration)を用いて、ユーザ端末a11が接続されたパケット中継装置a21が保持するARPテーブルの取得要求を発行する(手順S23)。なお、ユーザ端末a11が接続するパケット中継装置a21は、トレース情報管理DB60に基づきユーザ端末のMACアドレス62に対応するパケット中継装置のIPアドレス64より特定できる。ARPテーブル取得部45は、パケット中継装置a21からARPテーブルを取得する(手順S24)と、取得した情報をARPテーブル37に格納する。   Next, the process of registering the IP address of the user terminal a11 in the trace information management DB 60 continues. The trace information management unit 36 holds the ARP table acquisition unit 45. When the step P1 ends, the trace information management unit 36 requests the ARP table acquisition unit 45 to acquire the IP address of the user terminal a11. At the time of this request, the ARP table acquisition unit 45 is notified of “MAC address 62: 00: 11: 22: 33: 44: 55” of the user terminal a11 registered in the trace information management DB 60. The ARP table acquisition unit 45 that has received the request from the trace information management unit 36 uses, for example, SNMP (Simple Network Management Protocol) or NETCONF (NETWORK Configuration) to hold the ARP held by the packet relay device a21 to which the user terminal a11 is connected. A table acquisition request is issued (step S23). The packet relay device a21 to which the user terminal a11 is connected can be identified from the IP address 64 of the packet relay device corresponding to the MAC address 62 of the user terminal based on the trace information management DB 60. When the ARP table acquisition unit 45 acquires the ARP table from the packet relay device a21 (step S24), the acquired information is stored in the ARP table 37.

続いてARPテーブル取得部45は、トレース情報管理部36から受け取ったユーザ端末a11の「MACアドレス62:00:11:22:33:44:55」を検索キーとしてARPテーブル37を検索し、ユーザ端末a11のIPアドレスを取得する。本実施の形態の場合、「IPアドレス:10.10.10.2」が結果として返される。ARPテーブル取得部45は、上記「IPアドレス:10.10.10.2」をトレース情報管理部36へ通知し、トレース情報管理部36は、ユーザID61(「ユーザa」)に対応してそのIPアドレス(「10.10.10.2」)を図4のトレース情報管理DB60に追加登録する(段階P2)。   Subsequently, the ARP table acquisition unit 45 searches the ARP table 37 using “MAC address 62: 00: 11: 22: 33: 44: 55” of the user terminal a11 received from the trace information management unit 36 as a search key, and the user The IP address of the terminal a11 is acquired. In this embodiment, “IP address: 10.10.0.2” is returned as a result. The ARP table acquisition unit 45 notifies the trace information management unit 36 of the “IP address: 10.10.10.2”, and the trace information management unit 36 corresponds to the user ID 61 (“user a”). An IP address (“10.10.10.2”) is additionally registered in the trace information management DB 60 of FIG. 4 (step P2).

なお、ARPテーブル取得部45は、トレース情報管理DB60に登録されているユーザ端末のMACアドレス62をユーザ端末a11が接続されたパケット中継装置a21に送信して、パケット中継装置a21がARPテーブルを検索して得られた対応するIPアドレスを、パケット中継装置a21から受信してもよい。   The ARP table acquisition unit 45 transmits the MAC address 62 of the user terminal registered in the trace information management DB 60 to the packet relay device a21 to which the user terminal a11 is connected, and the packet relay device a21 searches the ARP table. The corresponding IP address obtained in this way may be received from the packet relay device a21.

次に、ユーザのログアウト時間をトレース情報管理DB60へ登録する処理が続く。トレース情報管理部36は、認証ログ取得部46を保持しており、段階P2が終了すると、認証ログ取得部46に対してユーザaのログアウト時間を取得するよう要求する。この要求の際、トレース情報管理DB60に登録されているユーザ端末a11の「ユーザID61:ユーザa」及び「MACアドレス62:00:11:22:33:44:55」を認証ログ取得部46へ通知する。トレース情報管理部36から要求を受け取った認証ログ取得部46は、パケット中継装置a21内の認証ログ情報を定期的に取得し、認証ログDB38に蓄積している。パケット中継装置a21は、ユーザ端末a11との接続が途切れたことを検知すると(手順S25)、RADIUSサーバ31内のトレース情報管理部36に対して、そのときまでのログを通知する(手順S26)。トレース情報管理部36は、通知されたログを認証ログDB38に記憶する。   Next, the process of registering the user logout time in the trace information management DB 60 continues. The trace information management unit 36 holds the authentication log acquisition unit 46, and requests the authentication log acquisition unit 46 to acquire the logout time of the user a when the stage P2 ends. At the time of this request, “User ID 61: User a” and “MAC address 62: 00: 11: 22: 33: 44: 55” of the user terminal a11 registered in the trace information management DB 60 are sent to the authentication log acquisition unit 46. Notice. Upon receiving the request from the trace information management unit 36, the authentication log acquisition unit 46 periodically acquires the authentication log information in the packet relay device a21 and stores it in the authentication log DB 38. When the packet relay device a21 detects that the connection with the user terminal a11 is interrupted (step S25), the packet relay device a21 notifies the trace information management unit 36 in the RADIUS server 31 of the log up to that time (step S26). . The trace information management unit 36 stores the notified log in the authentication log DB 38.

続いて認証ログ取得部46は、トレース情報管理部36から受け取ったユーザ端末a11の「ユーザID61:ユーザa」及び「MACアドレス62:00:11:22:33:44:55」をキーとして、蓄積された認証ログDB38を検索する。例えば、認証ログに、ユーザID及びユーザ端末のMACアドレスの組に対してログ発生時刻とログ内容が「ログアウト」を示すログ内容とが含まれていても良いし、最後のログの時刻に基づくログアウト時刻を定めてもよい。本実施の形態の場合、「ログアウト時間:08/04/01 12:00」が結果として返される。認証ログ取得部46は、上記「ログアウト時間:08/04/01 12:00」をトレース情報管理部36へ通知し、トレース情報管理部36は、ユーザID61(「ユーザa」)に対応して、そのログアウト時間67(「08/04/01 12:00」)を図4のトレース情報管理DB60に追加登録する(段階P3)。トレース情報管理DB60に格納した情報は、RADIUSサーバ31の管理画面、或いはリモート端末から参照可能であり、管理者はユーザの挙動を容易に理解することができる。   Subsequently, the authentication log acquisition unit 46 uses “user ID 61: user a” and “MAC address 62: 00: 11: 22: 33: 44: 55” of the user terminal a11 received from the trace information management unit 36 as keys. The accumulated authentication log DB 38 is searched. For example, the authentication log may include a log generation time and a log content in which the log content indicates “logout” for the set of the user ID and the MAC address of the user terminal, or based on the time of the last log A logout time may be set. In the case of this embodiment, “logout time: 08/04/01 12:00” is returned as a result. The authentication log acquisition unit 46 notifies the “logout time: 08/04/01 12:00” to the trace information management unit 36, and the trace information management unit 36 corresponds to the user ID 61 (“user a”). The logout time 67 (“08/04/01 12:00”) is additionally registered in the trace information management DB 60 of FIG. 4 (step P3). Information stored in the trace information management DB 60 can be referred to from the management screen of the RADIUS server 31 or a remote terminal, and the administrator can easily understand the behavior of the user.

ここで、ユーザaが部署B42へ移動したとする。このときも同様のシーケンスが走った後、図4のトレース情報管理DB60にトレース情報を格納する。本実施の形態の場合、各値は、「ユーザID61:ユーザa」、「ユーザ端末のMACアドレス62:00:11:22:33:44:55」、「ユーザ端末のIPアドレス63:10:10:20:2」、「パケット中継装置のIPアドレス64:10.10.20.1」、「パケット中継装置のポート番号65:02」、「ログイン時間66:08/04/01 13:00」、「ログアウト時間67:08/04/01 17:00」となっており、例えば、パケット中継装置のIPアドレス64やポート番号65からユーザ端末aが接続するパケット中継装置が、パケット中継装置a21からパケット中継装置b22へ変わったことが分かる。以上のように、ユーザ端末aがRADIUSサーバ31へ認証を求めて来るたびに、トレース情報管理部36がユーザaの上記情報を図4のトレース情報管理DB60へ格納していくことによって、ユーザaの状態をトレースしていくことができる。   Here, it is assumed that the user a has moved to the department B42. At this time, after the same sequence has been run, the trace information is stored in the trace information management DB 60 of FIG. In this embodiment, the values are “user ID 61: user a”, “user terminal MAC address 62: 00: 11: 22: 33: 44: 55”, and “user terminal IP address 63:10: 10: 20: 2 ”,“ IP address of the packet relay device 64: 10.10.20.0.1 ”,“ Port number of the packet relay device 65:02 ”,“ Login time 66: 08/04/01 13:00 "Logout time 67: 08/04/01 17:00". For example, the packet relay device to which the user terminal a is connected from the IP address 64 or the port number 65 of the packet relay device is the packet relay device a21. It turns out that it changed from packet relay apparatus b22. As described above, whenever the user terminal a asks the RADIUS server 31 for authentication, the trace information management unit 36 stores the above information of the user a in the trace information management DB 60 of FIG. Can be traced.

一方、図4に示すユーザbの場合、ユーザID61が同一にも関わらず、初めのログイン時と次のログイン時とでユーザ端末のMACアドレス62が、「00:12:34:56:78:9a」から「00:66:77:88:99:aa」へ変更されている。これは、認可されていない不正端末を利用してユーザbが社内LAN43へアクセスしている可能性や、ユーザb以外のユーザがユーザbのパスワードを不正に取得し成りすましている可能性を示唆している。このように、トレース情報管理部36にて、ユーザ端末のMACアドレス62を監視することによって、成りすましの検知も可能である。   On the other hand, in the case of the user b shown in FIG. 4, although the user ID 61 is the same, the MAC address 62 of the user terminal is “00: 12: 34: 56: 78:” at the first login and at the next login. 9a "is changed to" 00: 66: 77: 88: 99: aa ". This suggests the possibility that user b is accessing the in-house LAN 43 using an unauthorized terminal that is not authorized, and that a user other than user b may illegally obtain and impersonate the password of user b. ing. In this way, by monitoring the MAC address 62 of the user terminal by the trace information management unit 36, it is possible to detect impersonation.

なお、RADIUSサーバ31は、トレース情報管理DB60に記憶された各情報を、ユーザID61毎に、ログイン時間66又はログアウト時間67で時系列にソートして、ユーザの行動をトレース(追跡)したトレース情報を求め出力部70に表示又は出力してもよい。また、RADIUSサーバ31は、ユーザ毎に時系列にソートされたトレース情報に対して、ユーザ端末のMACアドレス62やIPアドレス63、パケット中継装置のIPアドレス64やポート番号65などが変化した箇所を特定し、その箇所を強調して表示してもよい。   The RADIUS server 31 sorts each piece of information stored in the trace information management DB 60 for each user ID 61 in chronological order by the login time 66 or the logout time 67 to trace (track) the user's actions. May be obtained and displayed or output on the output unit 70. In addition, the RADIUS server 31 uses the trace information sorted in chronological order for each user to identify locations where the MAC address 62 and the IP address 63 of the user terminal, the IP address 64 and the port number 65 of the packet relay device, etc. have changed. You may identify and highlight that part.

他にも、例えば2008年4月12日の午前10時に、送信元IPアドレスを10.10.10.3とした端末から大量のDoS(Denial of Service)アタックパケットが送信されていることを、パケット中継装置a21にて検知したとする。この場合、RADIUSサーバ31にて図4のトレース情報管理DB60(例えば、ユーザ端末のIPアドレス63、ログイン時間66、ログアウト時間67等)を参照し、DoSアタックのあった時刻とDoSアタックを送信していた端末のIPアドレスから、DoSアタック送信者を特定することができる。本実施の形態の場合、RADIUSサーバ31は、ユーザbがDoSアタック送信者であったと判断することができる。例えば、このようなユーザbのユーザ名などを出力部70に表示したり、ユーザbからの当該ネットワークへのアクセスを拒否することもできる。なお、トレース情報管理DB60に記憶されたトレース情報の使い方は、上述の例に限らず適宜の使い方ができる。   In addition, for example, at 10 am on April 12, 2008, a large amount of DoS (Denial of Service) attack packets are transmitted from a terminal whose source IP address is 10.10.10.3. Assume that the packet relay apparatus a21 detects the packet. In this case, the RADIUS server 31 refers to the trace information management DB 60 of FIG. 4 (for example, the IP address 63 of the user terminal, the login time 66, the logout time 67, etc.), and transmits the DoS attack time and the DoS attack. The DoS attack sender can be identified from the IP address of the terminal that has been used. In the case of the present embodiment, the RADIUS server 31 can determine that the user b is a DoS attack sender. For example, such a user name of the user b can be displayed on the output unit 70, or access from the user b to the network can be denied. In addition, the usage of the trace information memorize | stored in trace information management DB60 is not restricted to the above-mentioned example, A proper usage can be performed.

以上のように、RADIUSサーバ31内に新たにトレース情報管理部36を設け、RADIUS制御部35内のユーザ属性管理DB50からはユーザが使用している端末のMACアドレス、ユーザ端末が接続しているパケット中継装置のIPアドレスとポート番号を取得し、RADIUS制御部35からユーザのログイン時間を取得し、パケット中継装置内のARPテーブルと認証ログからはそれぞれユーザ端末のIPアドレス、ログアウト時間を取得する。これらの情報を把握することによって、RADIUSサーバ31においてユーザトレース機能を提供することが可能となる。   As described above, the trace information management unit 36 is newly provided in the RADIUS server 31, and the MAC address of the terminal used by the user and the user terminal are connected from the user attribute management DB 50 in the RADIUS control unit 35. Obtain the IP address and port number of the packet relay device, obtain the user login time from the RADIUS control unit 35, and obtain the IP address and logout time of the user terminal from the ARP table and the authentication log in the packet relay device, respectively. . By grasping these pieces of information, the RADIUS server 31 can provide a user trace function.

2.第2の実施の形態
ユーザ端末のIPアドレスは、DHCPサーバ(アドレス管理装置)からも取得可能である。
本実施の形態のDHCPサーバは、例えば、ユーザ端末のMACアドレスと当該ユーザ端末に割り当てたIPアドレスが対応して記憶されたアドレス対応テーブルを有する。
ユーザ端末のIPアドレス以外のユーザ属性の取得は、第1の実施の形態の段階P1と段階P3と同一であるため、本実施の形態のRADIUSサーバの構成と段階P2のシーケンスを図6、7を参照して以下に詳述し、他は省略する。 2. Second Embodiment The IP address of a user terminal can also be obtained from a DHCP server (address management device).
The DHCP server according to the present embodiment has, for example, an address correspondence table in which a MAC address of a user terminal and an IP address assigned to the user terminal are stored correspondingly.
Since acquisition of user attributes other than the IP address of the user terminal is the same as the stage P1 and the stage P3 of the first embodiment, the configuration of the RADIUS server and the sequence of the stage P2 of this embodiment are shown in FIGS. Are described in detail below, and others are omitted.

図6に、本実施の形態におけるRADIUSサーバの構成図を示す。
本実施の形態のRADIUSサーバ310は、例えば、第1の実施の形態のRADIUSサーバ31が備えるARPテーブル取得部45に換えて、MAC−IPテーブル取得部47を備える。MAC−IPテーブル取得部47は、MAC−IPテーブル(アドレス対応テーブル)39を有する。MAC−IPテーブル取得部47は、DHCPサーバ44よりMACアドレスとIPアドレスの対を含むアドレス対応テーブルを取得してMAC−IPテーブル39に記憶し、MACアドレスに基づいて対応するIPアドレスを検索する。なお、回線インタフェース32、パケット送受信部34、RADIUS制御部35、認証ログ取得部46、トレース情報管理DB60及び出力部70は、第1の実施の形態と同様である。 FIG. 6 shows a configuration diagram of the RADIUS server in the present embodiment.
For example, the RADIUS server 310 of this embodiment includes a MAC-IP table acquisition unit 47 instead of the ARP table acquisition unit 45 included in the RADIUS server 31 of the first embodiment. The MAC-IP table acquisition unit 47 has a MAC-IP table (address correspondence table) 39. The MAC-IP table acquisition unit 47 acquires an address correspondence table including a pair of a MAC address and an IP address from the DHCP server 44, stores it in the MAC-IP table 39, and searches for a corresponding IP address based on the MAC address. . The line interface 32, the packet transmission / reception unit 34, the RADIUS control unit 35, the authentication log acquisition unit 46, the trace information management DB 60, and the output unit 70 are the same as those in the first embodiment.

図7は、第2の実施の形態におけるトレース情報を作成するシーケンスを示す図である。
なお、ステップT23、T24及びP2以外の処理(ステップT11〜T22、T25、T26、P1、P3)については、図5に示す第1の実施の形態の対応する処理(ステップS11〜S22、S25、S26、P1、P3)と同様である。従って、以下に、ステップT23、T24及びP2の処理について説明し、他のステップの説明は省略する。 FIG. 7 is a diagram illustrating a sequence for creating trace information according to the second embodiment.
Note that the processes (steps T11 to T22, T25, T26, P1, and P3) other than steps T23, T24, and P2 correspond to the processes (steps S11 to S22, S25, S26, P1, and P3). Therefore, the processes of steps T23, T24, and P2 will be described below, and description of other steps will be omitted.

トレース情報管理部36は、MAC−IPテーブル取得部47を保持しており、段階P1が終了すると、MAC−IPテーブル取得部47に対してユーザ端末a11のIPアドレスを取得するよう要求する。この要求の際、トレース情報管理DB60に登録されているユーザ端末a11の「MACアドレス62:00:11:22:33:44:55」をMAC−IPテーブル取得部47へ通知する。トレース情報管理部36から要求を受け取ったMAC−IPテーブル取得部47は、DHCPサーバ44へMACアドレスとIPアドレスの対を記したアドレス対応テーブルの取得要求を発行する(手順T23)。DHCPサーバ44からMACアドレスとIPアドレスの対を記したアドレス対応テーブルを取得する(手順T24)と、取得した情報をMAC−IPテーブル39に格納する。   The trace information management unit 36 holds the MAC-IP table acquisition unit 47, and when the stage P1 ends, requests the MAC-IP table acquisition unit 47 to acquire the IP address of the user terminal a11. At the time of this request, the MAC-IP table acquisition unit 47 is notified of “MAC address 62: 00: 11: 22: 33: 44: 55” of the user terminal a11 registered in the trace information management DB 60. The MAC-IP table acquisition unit 47 that has received the request from the trace information management unit 36 issues an acquisition request for an address correspondence table in which a pair of MAC address and IP address is written to the DHCP server 44 (procedure T23). When the address correspondence table describing the MAC address and IP address pair is acquired from the DHCP server 44 (procedure T24), the acquired information is stored in the MAC-IP table 39.

続いてMAC−IPテーブル取得部47は、トレース情報管理部36から受け取ったユーザ端末a11の「MACアドレス62:00:11:22:33:44:55」を検索キーとしてMAC−IPテーブル39を検索し、対応するユーザ端末a11のIPアドレスを取得する。本実施の形態の場合、「IPアドレス:10.10.10.2」が結果として返される。MAC−IPテーブル取得部47は、上記「IPアドレス:10.10.10.2」をトレース情報管理部36へ通知し、トレース情報管理部36は、ユーザID61(「ユーザa」)に対応してそのIPアドレス(「10.10.10.2」)を図6のトレース情報管理DB60に追加登録する(段階P2)。   Subsequently, the MAC-IP table acquisition unit 47 uses the MAC-IP table 39 using the “MAC address 62: 00: 11: 22: 33: 44: 55” of the user terminal a11 received from the trace information management unit 36 as a search key. Search and obtain the IP address of the corresponding user terminal a11. In this embodiment, “IP address: 10.10.0.2” is returned as a result. The MAC-IP table acquisition unit 47 notifies the trace information management unit 36 of the “IP address: 10.10.0.2”, and the trace information management unit 36 corresponds to the user ID 61 (“user a”). The IP address (“10.10.10.2”) is additionally registered in the trace information management DB 60 of FIG. 6 (step P2).

なお、MAC−IPテーブル取得部47は、トレース情報管理DB60に登録されているユーザ端末a11のMACアドレス62をDHCPサーバ44に送信して、DHCPサーバ44がアドレス対応テーブルを検索して得られた対応するIPアドレスを、DHCPサーバ44から受信してもよい。
なお、IPアドレスを管理する装置は、DHCPサーバ44に限らず適宜のアドレス管理装置を用いてもよい。 The MAC-IP table acquisition unit 47 transmits the MAC address 62 of the user terminal a11 registered in the trace information management DB 60 to the DHCP server 44, and the DHCP server 44 retrieves the address correspondence table. A corresponding IP address may be received from the DHCP server 44.
The apparatus that manages the IP address is not limited to the DHCP server 44, and an appropriate address management apparatus may be used.

3.第1、第2の実施の形態の変形例
認証サーバをTACACSサーバとしたときの例について説明する。
認証サーバをRADIUSサーバにしたときと同様に、TACACSサーバ内にトレース情報管理部を設ける。トレース情報管理部は、ARPテーブル取得部と認証ログ取得部を有する。トレース情報管理部は、TACACS制御部内のTACACS属性管理DBからユーザ名、ユーザ端末のMACアドレス、ユーザ端末が接続しているパケット中継装置のIPアドレスとポート番号を取得し、そしてTACACS制御部からログイン時間情報を取得し、ARPテーブルからユーザ端末のIPアドレスを取得し、認証ログからログアウト時間を取得すると、それらの情報をトレース情報管理DBに格納する。 3. Modification of First and Second Embodiments An example where the authentication server is a TACACS server will be described.
Similarly to the case where the authentication server is a RADIUS server, a trace information management unit is provided in the TACACS server. The trace information management unit includes an ARP table acquisition unit and an authentication log acquisition unit. The trace information management unit acquires the user name, the MAC address of the user terminal, the IP address and the port number of the packet relay apparatus connected to the user terminal from the TACACS attribute management DB in the TACACS control unit, and logs in from the TACACS control unit When the time information is acquired, the IP address of the user terminal is acquired from the ARP table, and the logout time is acquired from the authentication log, the information is stored in the trace information management DB.

トレース情報管理DBに格納した情報は、TACACSサーバの管理画面、或いはリモート端末から参照可能であり、管理者はユーザの挙動を容易に理解することができる。
なお、具体的なTACACSサーバの構成及び動作については、第1及び第2の実施の形態のRADIUSサーバと同様である。 Information stored in the trace information management DB can be referred to from the management screen of the TACACS server or a remote terminal, and the administrator can easily understand the behavior of the user.
The specific configuration and operation of the TACACS server are the same as those of the RADIUS server of the first and second embodiments.

本発明は、例えば、802.1X認証を用いる認証サーバに適用することができる。   The present invention can be applied to, for example, an authentication server using 802.1X authentication.

11 移動前のユーザ端末a
12 移動後のユーザ端末a
13、14 ユーザ端末
21、22 パケット中継装置
31、310 RADIUSサーバ
32 回線インタフェース
33 パケット処理部
34 パケット送受信部
35 RADIUS制御部
36 トレース情報管理部
37 ARPテーブル
38 認証ログDB
39 MAC−IPテーブル
41、42 サブネットワーク(部署)
43 社内LAN
44 DHCPサーバ
45 ARPテーブル取得部
46 認証ログ取得部
47 MAC−IPテーブル取得部
50 ユーザ属性管理DB
60 トレース情報管理DB
70 出力部 11 User terminal a before moving
12 User terminal a after moving
13, 14 User terminal 21, 22 Packet relay device 31, 310 RADIUS server 32 Line interface 33 Packet processing unit 34 Packet transmission / reception unit 35 RADIUS control unit 36 Trace information management unit 37 ARP table 38 Authentication log DB
39 MAC-IP table 41, 42 Subnetwork (department)
43 Internal LAN
44 DHCP server 45 ARP table acquisition unit 46 Authentication log acquisition unit 47 MAC-IP table acquisition unit 50 User attribute management DB
60 Trace information management DB
70 Output section

Claims (10)

接続されるユーザ端末のMACアドレスと該ユーザ端末のIPアドレスが対応して記憶されたアドレス解決テーブルを有し、前記ユーザ端末との認証又は通信についてのログを管理するひとつ又は複数のパケット中継装置と、該パケット中継装置を介して前記ユーザ端末と通信してユーザ認証を行う認証サーバとを備えたシステムにおける前記認証サーバであって、
ユーザ識別子に対応して、前記ユーザ端末のMACアドレスと、前記ユーザ端末のIPアドレスと、前記パケット中継装置のIPアドレスと、前記ユーザ端末が繋がる前記パケット中継装置のポートのポート識別子と、前記ユーザ端末のログイン時刻又はログアウト時刻とが記憶されるトレース情報記憶部と、
前記ユーザ端末とのユーザ認証において受信される情報から、少なくともユーザ識別子と、前記ユーザ端末のMACアドレスと、前記パケット中継装置のIPアドレスと、前記ユーザ端末が接続される前記パケット中継装置のポートのポート識別子とを取得し、取得した各情報を対応して前記トレース情報記憶部に記憶する認証制御部と、
前記ユーザ端末が接続された前記パケット中継装置の前記アドレス解決テーブルを参照して、前記認証制御部で取得された前記ユーザ端末のMACアドレスに基づき、対応する前記ユーザ端末のIPアドレスを取得し、取得した前記ユーザ端末のIPアドレスをユーザ識別子に対応して前記トレース情報記憶部に記憶するアドレス解決部と、
前記パケット中継装置での前記ログを参照して前記ユーザ端末のログアウト時刻を求め、求められたログアウト時刻をユーザ識別子に対応して前記トレース情報記憶部に記憶するログ管理部と
を備えた前記認証サーバ。 One or a plurality of packet relay apparatuses having an address resolution table in which the MAC address of the connected user terminal and the IP address of the user terminal are stored correspondingly, and managing a log for authentication or communication with the user terminal And the authentication server in a system comprising an authentication server that performs user authentication by communicating with the user terminal via the packet relay device,
Corresponding to the user identifier, the MAC address of the user terminal, the IP address of the user terminal, the IP address of the packet relay device, the port identifier of the port of the packet relay device to which the user terminal is connected, and the user A trace information storage unit for storing the login time or logout time of the terminal;
From information received in user authentication with the user terminal, at least a user identifier, a MAC address of the user terminal, an IP address of the packet relay device, and a port of the packet relay device to which the user terminal is connected. An authentication control unit that acquires a port identifier and stores the acquired information in the trace information storage unit correspondingly;
With reference to the address resolution table of the packet relay device to which the user terminal is connected, based on the MAC address of the user terminal acquired by the authentication control unit, obtain the IP address of the corresponding user terminal, An address resolution unit that stores the acquired IP address of the user terminal in the trace information storage unit corresponding to a user identifier;
The log management unit that obtains a logout time of the user terminal with reference to the log in the packet relay device, and stores the obtained logout time in the trace information storage unit corresponding to a user identifier server. ユーザ端末のMACアドレスと該ユーザ端末のIPアドレスが対応して記憶されたアドレス対応テーブルを有するアドレス管理装置と、前記ユーザ端末との認証又は通信についてのログを管理するひとつ又は複数のパケット中継装置と、該パケット中継装置を介して前記ユーザ端末と通信してユーザ認証を行う認証サーバとを備えたシステムにおける前記認証サーバであって、
ユーザ識別子に対応して、前記ユーザ端末のMACアドレスと、前記ユーザ端末のIPアドレスと、前記パケット中継装置のIPアドレスと、前記ユーザ端末が繋がる前記パケット中継装置のポートのポート識別子と、前記ユーザ端末のログイン時刻又はログアウト時刻とが記憶されるトレース情報記憶部と、
前記ユーザ端末とのユーザ認証において受信される情報から、少なくともユーザ識別子と、前記ユーザ端末のMACアドレスと、前記パケット中継装置のIPアドレスと、前記ユーザ端末が接続される前記パケット中継装置のポートのポート識別子とを取得し、取得した各情報を対応して前記トレース情報記憶部に記憶する認証制御部と、
前記アドレス管理装置の前記アドレス対応テーブルを参照して、前記認証制御部で取得された前記ユーザ端末のMACアドレスに基づき、対応する前記ユーザ端末のIPアドレスを取得し、取得した前記ユーザ端末のIPアドレスをユーザ識別子に対応して前記トレース情報記憶部に記憶するアドレス解決部と、
前記パケット中継装置での前記ログを参照して前記ユーザ端末のログアウト時刻を求め、求められたログアウト時刻をユーザ識別子に対応して前記トレース情報記憶部に記憶するログ管理部と
を備えた前記認証サーバ。 An address management device having an address correspondence table in which the MAC address of the user terminal and the IP address of the user terminal are stored in correspondence with each other, and one or a plurality of packet relay devices for managing a log of authentication or communication with the user terminal And the authentication server in a system including an authentication server that performs user authentication by communicating with the user terminal via the packet relay device,
Corresponding to the user identifier, the MAC address of the user terminal, the IP address of the user terminal, the IP address of the packet relay device, the port identifier of the port of the packet relay device to which the user terminal is connected, and the user A trace information storage unit for storing the login time or logout time of the terminal;
From information received in user authentication with the user terminal, at least a user identifier, a MAC address of the user terminal, an IP address of the packet relay device, and a port of the packet relay device to which the user terminal is connected. An authentication control unit that acquires a port identifier and stores the acquired information in the trace information storage unit correspondingly;
With reference to the address correspondence table of the address management device, based on the MAC address of the user terminal acquired by the authentication control unit, the corresponding IP address of the user terminal is acquired, and the acquired IP of the user terminal An address resolution unit for storing an address in the trace information storage unit corresponding to a user identifier;
The log management unit that obtains a logout time of the user terminal with reference to the log in the packet relay device, and stores the obtained logout time in the trace information storage unit corresponding to a user identifier server. 前記アドレス管理装置は、前記ユーザ端末にIPアドレスを割り当てるアドレス配布サーバである請求項2に記載の認証サーバ。   The authentication server according to claim 2, wherein the address management device is an address distribution server that assigns an IP address to the user terminal. 前記認証制御部は、前記ユーザ端末がユーザ認証された時刻をログイン時刻とし、ユーザ識別子に対応して前記トレース情報記憶部に記憶する請求項1乃至3のいずれかに記載の認証サーバ。   The authentication server according to any one of claims 1 to 3, wherein the authentication control unit stores a time when the user terminal is authenticated as a login time, and stores the time in the trace information storage unit corresponding to a user identifier. 前記認証サーバは、RADIUSサーバ又はTACACSサーバであることを特徴とする請求項1乃至4のいずれかに記載の認証サーバ。   The authentication server according to claim 1, wherein the authentication server is a RADIUS server or a TACACS server. 前記アドレス解決部は、前記パケット中継装置から前記アドレス解決テーブルを取得し、前記認証制御部で取得されたログイン済みの前記ユーザ端末のMACアドレスを検索キーとして取得した前記アドレス解決テーブルを検索し、該当ユーザ端末に対応するIPアドレスを取得する請求項1に記載の認証サーバ。   The address resolution unit acquires the address resolution table from the packet relay device, searches the address resolution table acquired using the MAC address of the logged-in user terminal acquired by the authentication control unit as a search key, The authentication server according to claim 1, wherein an IP address corresponding to the user terminal is acquired. 前記アドレス解決部は、SNMP又はNETCOMFを利用して前記パケット中継装置から前記アドレス解決テーブルを取得する請求項6に記載の認証サーバ。   The authentication server according to claim 6, wherein the address resolution unit acquires the address resolution table from the packet relay device using SNMP or NETCOMF. 前記認証管理部は、
前記パケット中継装置から前記ログを定期的に取得し、前記トレース情報記憶部に記憶されたユーザ識別子及び前記ユーザ端末のMACアドレスを検索キーとして前記ログを検索し、該当するユーザのログアウト時刻を取得する請求項1乃至7のいずれかに記載の認証サーバ。 The authentication management unit
The log is periodically acquired from the packet relay device, the log is searched using the user identifier stored in the trace information storage unit and the MAC address of the user terminal as a search key, and the logout time of the corresponding user is acquired. The authentication server according to any one of claims 1 to 7. 前記トレース情報記憶部に記憶された各情報を、ユーザ識別子毎に、ログイン時刻又はログアウト時刻でソートして、ユーザの行動をトレースしたトレース情報を求める請求項1乃至8のいずれかに記載の認証サーバ。   The authentication according to any one of claims 1 to 8, wherein each piece of information stored in the trace information storage unit is sorted by login time or logout time for each user identifier to obtain trace information obtained by tracing user behavior. server. 求められたトレース情報を表示又は出力する出力部をさらに備える請求項1乃至9のいずれかに記載の認証サーバ。   The authentication server according to claim 1, further comprising an output unit that displays or outputs the obtained trace information.
JP2009030157A 2009-02-12 2009-02-12 Authentication server Pending JP2010187223A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2009030157A JP2010187223A (en) 2009-02-12 2009-02-12 Authentication server

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2009030157A JP2010187223A (en) 2009-02-12 2009-02-12 Authentication server

Publications (1)

Publication Number Publication Date
JP2010187223A true JP2010187223A (en) 2010-08-26

Family

ID=42767597

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2009030157A Pending JP2010187223A (en) 2009-02-12 2009-02-12 Authentication server

Country Status (1)

Country Link
JP (1) JP2010187223A (en)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102970297A (en) * 2012-11-27 2013-03-13 飞天诚信科技股份有限公司 Travel recording method
JP2014207510A (en) * 2013-04-11 2014-10-30 富士通株式会社 Certificate generation method, certificate generation device, information processing device, communication apparatus, and program
WO2016021794A1 (en) * 2014-08-06 2016-02-11 주식회사 케이티 Method for determining connection structure of home terminal, and management server and system therefor

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102970297A (en) * 2012-11-27 2013-03-13 飞天诚信科技股份有限公司 Travel recording method
WO2014082462A1 (en) * 2012-11-27 2014-06-05 飞天诚信科技股份有限公司 Schedule recording method
CN102970297B (en) * 2012-11-27 2015-03-04 飞天诚信科技股份有限公司 Travel recording method
JP2014207510A (en) * 2013-04-11 2014-10-30 富士通株式会社 Certificate generation method, certificate generation device, information processing device, communication apparatus, and program
WO2016021794A1 (en) * 2014-08-06 2016-02-11 주식회사 케이티 Method for determining connection structure of home terminal, and management server and system therefor
KR20160017813A (en) * 2014-08-06 2016-02-17 주식회사 케이티 Method for determining connection structure of home device, management server and system
KR101599060B1 (en) * 2014-08-06 2016-03-04 주식회사 케이티 Method for determining connection structure of home device, management server and system
CN105594161A (en) * 2014-08-06 2016-05-18 株式会社Kt Method for determining connection structure of home terminal, and management server and system therefor
US9992664B2 (en) 2014-08-06 2018-06-05 Kt Corporation Determining network connection structure of target area
CN105594161B (en) * 2014-08-06 2020-08-21 株式会社Kt Method, management server and system for determining connection structure of home device

Similar Documents

Publication Publication Date Title
US11503043B2 (en) System and method for providing an in-line and sniffer mode network based identity centric firewall
US10880314B2 (en) Trust relationships in a computerized system
EP2051432B1 (en) An authentication method, system, supplicant and authenticator
US8627417B2 (en) Login administration method and server
US8583792B2 (en) Probe election in failover configuration
US10257161B2 (en) Using neighbor discovery to create trust information for other applications
CN109417553A (en) The attack using leakage certificate is detected via internal network monitoring
US9215234B2 (en) Security actions based on client identity databases
EP3213209A2 (en) Systems and methods for detecting and reacting to malicious activity in computer networks
CN102271134B (en) Method and system for configuring network configuration information, client and authentication server
CN101599967A (en) Authority control method and system based on the 802.1x Verification System
CN108900484A (en) A kind of generation method and device of access authority information
JP2001186122A (en) Authentication system and authentication method
JP3961112B2 (en) Packet communication control system and packet communication control device
JP2010187223A (en) Authentication server
CN108834146A (en) A kind of Bidirectional identity authentication method between terminal and authentication gateway
CN105978866B (en) A kind of method and system of user access control, third party&#39;s client server
JP4768547B2 (en) Authentication system for communication devices
JP4882511B2 (en) Cooperation control device
CN115664686A (en) Login method, login device, computer equipment and storage medium
JP3688219B2 (en) Server client user authentication system, user authentication method, client device, server device, and computer-readable recording medium storing program
TWI255629B (en) Method for allocating certified network configuration parameters
Carthern et al. Management Plane
KR20040048049A (en) A Method For User authentication in Public Wireless Lan Service Network
Sudhakar et al. A Security Approach and Prevention Technique against ARP Poisoning