JP2010187314A - 認証機能付きネットワーク中継機器及びそれを用いた端末の認証方法 - Google Patents

認証機能付きネットワーク中継機器及びそれを用いた端末の認証方法 Download PDF

Info

Publication number
JP2010187314A
JP2010187314A JP2009031468A JP2009031468A JP2010187314A JP 2010187314 A JP2010187314 A JP 2010187314A JP 2009031468 A JP2009031468 A JP 2009031468A JP 2009031468 A JP2009031468 A JP 2009031468A JP 2010187314 A JP2010187314 A JP 2010187314A
Authority
JP
Japan
Prior art keywords
authentication
terminal
packet
address
dhcp
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2009031468A
Other languages
English (en)
Inventor
Taketo Kamikawa
武人 上川
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Cable Ltd
Original Assignee
Hitachi Cable Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Cable Ltd filed Critical Hitachi Cable Ltd
Priority to JP2009031468A priority Critical patent/JP2010187314A/ja
Publication of JP2010187314A publication Critical patent/JP2010187314A/ja
Pending legal-status Critical Current

Links

Images

Abstract

【課題】L3機器を介して接続された未認証の端末の通信が許可されることを防止する認証機能付きネットワーク中継機器及びそれを用いた端末の認証方法を提供する。
【解決手段】認証の対象となる端末のアドレスが登録される認証対象管理テーブル111と、該認証対象管理テーブル111にアドレスが登録されている端末に対して認証処理を実行する認証処理実行手段とを備える。
【選択図】図1

Description

本発明は、L3機器を介して接続された未認証の端末の通信が許可されることを防止する認証機能付きネットワーク中継機器及びそれを用いた端末の認証方法に関する。
不正なユーザや端末がネットワークへアクセスするのを防止するために、スイッチングハブ等のL(Layer;レイヤー)2に属するネットワーク中継機器(L2機器)に端末の認証機能を設ける方法がある。この認証機能付きネットワーク中継機器をネットワークと端末との間に配置する構成とする。認証機能付きネットワーク中継機器は、新たに接続されたユーザや端末の認証を行い、認証に成功したユーザや端末のみネットワークへの通信を許可する。
図9に、認証機能付きスイッチングハブ(以下、認証SW)を用いたシステム構成を示す。端末901は、認証SW902を介してネットワーク903に接続するようになっている。認証SW902は、認証に成功した端末からのパケットはネットワーク903に中継し、認証に成功していない端末からのパケットは中継せずに廃棄する。
認証SW902は、以下のように認証処理を行う。
あるユーザが端末901を立ち上げて新たにネットワーク903に接続しようとしたとする。
(1)端末901は、IPアドレスを取得するためにDHCP(Dynamic Host Configration Protocol)により、ネットワーク903に存在するDHCPサーバ904とDHCPのパケットのやりとりを行う。認証SW902は、DHCPのパケットの中継を許可するように設定されており、端末901とDHCPサーバ904との間でやりとりされるDHCPのパケットを中継する。端末901は、DHCPサーバ904から割り当てられたIPアドレスを自身に設定し、以後、このIPアドレスにより通信を行う。
(2)ユーザは、ネットワーク903にアクセスするために、ブラウザを立ち上げる。端末901は、これに伴い、所定のサーバ(図示せず)に宛ててHTTPパケットを送信する。認証SW902は、このHTTPパケットを受信し、そのHTTPパケットの内容を参照する。認証SW902は、このHTTPパケットが(その送信元MACアドレスが認証成功として登録されたものでないことから、)未認証の端末からのものであることを判定する。認証SW902は、ユーザ名とパスワードの入力を要求する認証WEB画面をパケットにより端末901に送信する。ユーザは、端末901に表示された認証WEB画面にユーザ名とパスワードを入力し、端末901は入力されたユーザ名とパスワードをパケットにより認証SW902に送信する。
(3)認証SW902は、ユーザ名とパスワードをパケットによりRADIUS(Remote Authentication Dial in User Service)サーバ905に送信する。RADIUSサーバ905は、正当なユーザがユーザ名とパスワードで登録されたデータベースを有し、受信したパケットのユーザ名とパスワードをデータベースに照会する。ユーザが正当なユーザであるとすると、RADIUSサーバ905は、認証成功の返信のパケットを認証SW902に送信する。認証SW902は、認証成功の返信のパケットを受信したことにより、端末901を認証成功とし、端末901のMACアドレスを登録し、端末901のMACアドレスを有するパケットはネットワーク903への中継を許可する。
(4)以後、端末901は、認証SW902を介してネットワーク903への通信が可能となる。
特開2005−286558号公報 特開2005−252717号公報
図10に示されるように、認証SW902の配下にルータ等のL3機器906が接続されており、L3機器906に端末901と端末907が接続されたネットワーク構成を考える。
端末901は、ネットワーク903へアクセスしようとするとき、認証SW902との間で前述した認証の通信を行う。L3機器906は、端末901からのパケットを受信したとき、そのパケットのMACアドレスを自分のMACアドレスに置き換えて中継する。端末901が認証SW902との認証に成功したとき、端末901からのパケットはそのMACアドレスがL3機器906のMACアドレスに置き換えられて送信されてくるので、認証SW902にはL3機器906のMACアドレスが認証成功として登録される。
次に、端末907がL3機器906に接続されたとする。このとき、端末907が送信したパケットは、L3機器906においてMACアドレスがL3機器906のMACアドレスに置き換えられて認証SW902に中継される。L3機器906のMACアドレスは認証成功として登録されているので、未認証であるはずの端末907からのパケットは認証済みとしてネットワーク903へ中継されてしまう。
このように、認証SW902に対して複数の端末がL3機器906を介して接続されているシステム構成においては、未認証の端末の通信が許可されてしまうことがある。
そこで、本発明の目的は、上記課題を解決し、L3機器を介して接続された未認証の端末の通信が許可されることを防止する認証機能付きネットワーク中継機器及びそれを用いた端末の認証方法を提供することにある。
上記目的を達成するために本発明の認証機能付きネットワーク中継機器は、認証の対象となる端末のアドレスが登録される認証対象管理テーブルと、該認証対象管理テーブルにアドレスが登録されている端末に対して認証処理を実行する認証処理実行手段とを備えるものである。
データ領域にパケットを送信した端末のアドレスを格納しているパケットの上記データ領域に格納されているアドレスとヘッダ領域に格納されている送信元アドレスとを比較し、一致するときにそのアドレスを上記認証対象管理テーブルに登録する認証対象登録手段を備えてもよい。
上記認証処理実行手段は、端末からのネットワークへのアクセス要求のパケットのヘッダ領域に格納されている送信元アドレスが上記認証対象管理テーブルに登録されている場合に、上記アクセス要求をしてきた端末の認証処理を実行してもよい。
また、本発明の端末の認証方法は、認証機能付きネットワーク中継機器に認証の対象となる端末のアドレスを登録させておき、該認証機能付きネットワーク中継機器が認証の対象としてアドレスが登録されている端末に対して認証処理を実行するものである。
上記認証機能付きネットワーク中継機器は、データ領域にパケットを送信した端末のアドレスを格納しているパケットの該データ領域に格納されているアドレスとヘッダ領域に格納されている送信元アドレスとを比較し、一致するときにそのアドレスを認証の対象となる端末のアドレスとして登録しておいてもよい。
上記認証機能付きネットワーク中継機器は、受信されたパケットが端末からのネットワークへのアクセス要求のパケットであるとき、そのパケットのヘッダ領域に格納されている送信元アドレスが登録されている認証の対象となる端末のアドレスかどうか判定し、認証の対象となる端末のアドレスであれば認証処理を実行し、認証の対象となる端末のアドレスでなければ認証処理を実行しなくてもよい。
本発明は次の如き優れた効果を発揮する。
(1)L3機器を介して接続された未認証の端末の通信が許可されることが防止できる。
本発明の一実施形態を示す認証機能付きネットワーク中継機器の内部構成図である。 本発明に用いるDHCPパケットの構成図である。 認証管理テーブルの構成図である。 認証対象管理テーブルの構成図である。 本発明の認証機能付きネットワーク中継機器を使用したシステムの構成図である。 認証対象管理テーブルの構成図である。 認証管理テーブルの構成図である。 認証管理テーブルの構成図である。 従来の認証機能付きネットワーク中継機器を使用したシステムの構成図である。 従来の認証機能付きネットワーク中継機器を使用したシステムの構成図である。
以下、本発明の一実施形態を添付図面に基づいて詳述する。
本発明の端末の認証方法は、従来より知られている認証機能付きネットワーク中継機器による端末の認証方法に加えて、該認証機能付きネットワーク中継機器に認証の対象となる端末のアドレスを登録させておき、該認証機能付きネットワーク中継機器が認証の対象としてアドレスが登録されている端末に対して認証処理を実行するようにしたものである。
具体的には、認証機能付きネットワーク中継機器は、認証の対象となる端末のアドレスが登録される認証対象管理テーブルを備え、受信されたパケットがDHCP Discover、DHCP Requestのようにデータ領域に当該パケットを送信した端末のアドレスを格納しているパケットであるとき、このパケットを参照し、データ領域、例えば、DHCPメッセージのクライアントハードアドレスに格納されているMACアドレスと、ヘッダ領域に格納されている送信元MACアドレスとを比較し、これら両MACアドレスが一致するときにそのMACアドレスを認証の対象となる端末のアドレスとして認証対象管理テーブルに登録する。
さらに、認証機能付きネットワーク中継機器は、受信されたパケットが端末からのネットワークへのアクセス要求のパケットであるとき、端末からネットワークへのアクセス要求があったと判定し、そのパケットのヘッダ領域に格納されている送信元MACアドレスで認証対象管理テーブルを照会することにより、その送信元MACアドレスが認証の対象となる端末のMACアドレスかどうか判定し、認証対象管理テーブルに登録されていれば、認証の対象となる端末のMACアドレスであるので、認証処理を続行し、認証対象管理テーブルに登録されていなければ、認証処理を止め、認証失敗とする。
図1に示されるように、本発明に係る認証機能付きネットワーク中継機器(以下、認証SW)101は、パケットを送受信する送受信部102と、パケットのポート間の転送を制御する転送制御部103と、転送制御部103を制御する中央制御部104とを備える。
送受信部102は、複数のポート105を備える。ポート105には、ケーブルなどの伝送路106が接続される。送受信部102は、ポート105で受信したパケットを転送制御部103に送ると共に、転送制御部103から送られてきたパケットを所定のポート105から送信するようになっている。
転送制御部103は、パケット解析部107とFDB(Forwarding Data Base)108とフィルタリングテーブル109とを備える。パケット解析部107は、送受信部102から送られてきたパケットの内容を解析し、宛先MACアドレス、送信元MACアドレス、パケットの種類などを調べるようになっている。FDB108は、ポートとMACアドレス、VLANとの対応を記憶するテーブルである。FDB108には、パケットが受信されたとき、受信されたポート105と送信元MACアドレス、VLANとの対応が記憶される。また、受信したパケットの宛先MACアドレスによりFDB108が検索され、そのパケットの転送先のポートが決められる。フィルタリングテーブル109には、パケットのフィルタリング内容が設定されている。フィルタリング内容は、特定のパケットを転送不可としたり、特定のパケットを中央制御部104へ送ったりするものである。
この実施形態では、フィルタリングテーブル109には、認証に成功したMACアドレスが記憶され、記憶されたMACアドレスのパケットのみ転送を許可するように設定されると共に、DHCPパケットは転送が許可され、DHCP DiscoverまたはDHCP Requestは中央制御部104へ送るように設定される。
これにより、転送制御部103は、受信したパケットをパケット解析部107が解析し、フィルタリングテーブル109に記憶されているMACアドレスのパケットは転送を許可し、FDB108を参照して所定のポート105に転送する。また、転送制御部103は、DHCPパケットは転送を許可し、DHCP DiscoverまたはDHCP Requestは中央制御部104へ送る。
図2に示されるように、DHCP Discover、DHCP RequestなどのDHCPパケットは、ヘッダ領域として、イーサネット(登録商標)ヘッダ領域、IPヘッダ領域、UDPヘッダ領域を有する。イーサネットヘッダ領域は、宛先MACアドレスの領域と送信元MACアドレスの領域とを含んでいる。データ領域には、DHCPメッセージを格納するが、そのDHCPメッセージにはクライアントハードアドレスの領域が含まれる。クライアントハードアドレスの領域には、当該パケットを送信した端末のMACアドレスが格納される。図2中、各領域の数値はバイト長である。
図1に示されるように、本発明に係る認証SW101の中央制御部104は、ソフトウェアが格納され、そのソフトウェアを実行することで、各種のプロトコル動作を行うよう転送制御部103を制御するようになっている。中央制御部104は、認証管理テーブル110と、認証対象管理テーブル111とを備える。中央制御部104は、認証対象管理テーブル111にアドレスが登録されている端末に対して認証処理を実行する認証処理実行手段112と、受信されたパケットがデータ領域にこのパケットを送信した端末のアドレスを格納しているパケットであるとき、上記データ領域に格納されているアドレスとヘッダ領域に格納されている送信元アドレスとを比較し、一致するときにそのアドレスを上記認証対象管理テーブル111に登録する認証対象登録手段113とを備える。これらの手段は、中央制御部104にソフトウェアとして格納され、そのソフトウェアが実行されることで実現される。
図3に示されるように、認証管理テーブル110は、認証SW101に接続された端末のMACアドレスとその認証状態が記憶されるテーブルである。
図4に示されるように、認証対象管理テーブル111は、認証の対象となる端末のMACアドレスを記憶するテーブルである。
これにより、中央制御部104は、転送制御部103から送られてきたDHCP DiscoverまたはDHCP Requestを参照し、ヘッダ領域の送信元MACアドレスとDHCPメッセージのクライアントハードアドレスの領域に格納されたMACアドレスとを比較し、一致する場合にそのMACアドレスを認証対象管理テーブル111に登録する。また、中央制御部104は、未認証の端末について背景技術で述べた手順で認証処理を行う際、端末からのパケットのMACアドレスが認証対象管理テーブル111に登録されているときは認証処理を続け、端末からのパケットのMACアドレスが認証対象管理テーブル111に登録されていないときは認証処理を止めて認証失敗とする。
さらに、中央制御部104は、上記MACアドレスが認証対象管理テーブル111に登録されているとき、当該端末にユーザ名とパスワードの入力を要求する認証WEB画面をパケットにより送信するよう動作し、背景技術で述べた認証処理を続ける。中央制御部104は、認証に成功したとき、認証管理テーブル110に端末のMACアドレスを登録する。中央制御部104は、認証に成功した端末のMACアドレスを転送制御部103のフィルタリングテーブル109に登録することにより、フィルタリングテーブル109にて転送が許可されるように設定する。
図5に、本発明の認証SW101を使用したシステムを示す。認証SW101の配下にルータ等のL3機器501が接続されており、L3機器501に端末502,503が接続されている。端末504は直接、認証SW101に接続されている。端末502,503,504は、認証SW101を介してネットワーク505と通信する。ネットワーク505には、DHCPサーバ506とRADIUSサーバ507が配置されている。
以下、図5のシステムにおける本発明の認証SW101を用いた端末の認証方法を説明する。なお、DHCPは公知であるので、詳しい動作の説明は省略する。また、L3機器501は、端末とDHCPサーバ間のDHCPのパケットをリレーするDHCPリレーの機能を備えるものとする。また、ここでは、認証SW101は、端末からのパケットのDHCP Discoverを参照して認証対象を管理するが、DHCP Requestを参照して認証対象を管理する場合でも、類似の手順となる。
まず、端末502に対する認証処理は次のようになる。
あるユーザが端末502を立ち上げて、または、端末502をL3機器501に接続して、新たにネットワーク505に接続しようとしたとする。
端末502は、IPアドレスを取得するために、ブロードキャストにてDHCP Discoverを送信する。この際、DHCP Discoverのイーサネットヘッダ領域の送信元MACアドレスの領域と、データ領域のDHCPメッセージのクライアントハードアドレスの領域とに、端末502のMACアドレスを格納する。
L3機器501は、端末502からのDHCP Discoverを認証SW101へ中継する。この際、L3機器501は、DHCP Discoverのイーサネットヘッダ領域の送信元MACアドレスをL3機器501のMACアドレスに書き換える。
認証SW101は、DHCP Discoverを受信すると、DHCPパケットは中継を許可するようフィルタリングテーブル109に設定されていることから、このDHCP Discoverをネットワーク505へ中継する。また、フィルタリングテーブル109には、DHCP Discoverを中央制御部104に送るよう設定されているので、転送制御部103はDHCP Discoverを中央制御部104に送る。
中央制御部104は、DHCP Discoverのイーサネットヘッダ領域の送信元MACアドレスの領域に格納されたMACアドレスと、データ領域のDHCPメッセージのクライアントハードアドレスの領域に格納されたMACアドレスとを比較する。送信元MACアドレスはL3機器501のMACアドレスであり、クライアントハードアドレスは端末502のMACアドレスであるから、これらは一致しない。よって、中央制御部104は、MACアドレスを認証対象管理テーブル111に登録しない。
DHCPサーバ506は、DHCP Discoverを受信すると、DHCP Offerを送信する。DHCP Offerには、割り当て可能なIPアドレスが格納される。
認証SW101は、DHCP OfferをL3機器501へ中継する。
L3機器501は、DHCP Offerを端末502へ中継する。
端末502は、DHCP Offerを受信すると、DHCP Requestを送信する。この際、端末502は、DHCP Requestのイーサネットヘッダ領域の送信元MACアドレス領域と、データ領域のDHCPメッセージのクライアントハードアドレスの領域とに、端末502のMACアドレスを格納する。
L3機器501は、端末502からのDHCP Requestを認証SW101へ中継する。この際、L3機器501は、DHCP Requestのイーサネットヘッダ領域の送信元MACアドレスをL3機器501のMACアドレスに書き換える。
認証SW101は、DHCP Requestを受信すると、DHCPパケットは中継を許可するようフィルタリングテーブル109に設定されていることから、このDHCP Requestをネットワーク505へ中継する。
DHCPサーバ506は、DHCP Requestを受信すると、端末502宛てにDHCP ACKを送信する。
認証SW101は、DHCP ACKをL3機器501へ中継する。
L3機器501は、DHCP ACKを端末502へ中継する。
端末502は、DHCP ACKを受信すると、割り当てられたIPアドレスを自身に設定し、以後、このIPアドレスにより通信を行う。
ユーザは、ネットワーク505にアクセスするために、ブラウザを立ち上げる。端末502は、これに伴い、所定のサーバに宛ててHTTPパケットを送信する。HTTPパケットの送信元MACアドレスには、端末502のMACアドレスが格納される。
L3機器501は、HTTPパケットを認証SW101へ転送する。この際、HTTPパケットの送信元MACアドレスは、L3機器501のMACアドレスに書き換えられる。
認証SW101は、HTTPパケットを受信し、転送制御部103においてそのHTTPパケットの内容を参照する。転送制御部103は、HTTPパケットの送信元MACアドレスがフィルタリングテーブル109に設定されていないことから、このHTTPパケットが未認証の端末からのパケットであることを判定し、このHTTPパケットを中央制御部104に転送する。
中央制御部104は、HTTPパケットの送信元MACアドレスを認証対象管理テーブル111と照会する。L3機器501のMACアドレスは認証対象管理テーブル111に登録されていないので、認証失敗と判定する。中央制御部104は、認証失敗を端末502に対してパケットにより通知する。
端末502のユーザは、認証SW101において認証失敗となり、ネットワーク505との通信は不可となる。
端末503に対する認証処理は、端末502に対する認証処理と同じになる。
端末504に対する認証処理は、次のようになる。
あるユーザが端末504を立ち上げて、または、端末504を認証SW101に接続して、新たにネットワーク505に接続しようとしたとする。
端末502は、IPアドレスを取得するために、ブロードキャストにてDHCP Discoverを送信する。この際、DHCP Discoverのイーサネットヘッダ領域の送信元MACアドレスの領域と、データ領域のDHCPメッセージのクライアントハードアドレスの領域とに、端末504のMACアドレスを格納する。
認証SW101は、DHCP Discoverを受信すると、DHCPパケットは中継を許可するようフィルタリングテーブル109に設定されていることから、このDHCP Discoverをネットワーク505へ中継する。また、フィルタリングテーブル109には、DHCP Discoverを中央制御部104に転送するよう設定されているので、転送制御部103はDHCP Discoverを中央制御部104に送る。
中央制御部104は、DHCP Discoverのイーサネットヘッダ領域の送信元MACアドレスの領域に格納されたMACアドレスと、データ領域のDHCPメッセージのクライアントハードアドレスの領域に格納されたMACアドレスとを比較する。送信元MACアドレスもクライアントハードアドレスも共に端末504のMACアドレスであるから、これらは一致する。よって、中央制御部104は、この端末504のMACアドレスを認証対象管理テーブル111に登録する。この結果、認証対象管理テーブル111の内容は、図6のようになる。
DHCPサーバ506は、DHCP Discoverを受信すると、ブロードキャストにてDHCP Offerを送信する。DHCP Offerには、割り当て可能なIPアドレスが格納される。
認証SW101は、DHCP Offerを端末504へ中継する。
端末504は、DHCP Offerを受信すると、DHCP Requestを送信する。この際、端末504は、DHCP Requestのイーサネットヘッダ領域の送信元MACアドレス領域と、データ領域のDHCPメッセージのクライアントハードアドレスの領域とに、端末504のMACアドレスを格納する。
認証SW101は、DHCP Requestを受信すると、DHCPパケットは中継を許可するようフィルタリングテーブル109に設定されていることから、このDHCP Requestをネットワーク505へ中継する。
DHCPサーバ506は、DHCP Requestを受信すると、端末504宛てにDHCP ACKを送信する。
認証SW101は、DHCP ACKを端末504へ中継する。
端末504は、DHCP ACKを受信すると、割り当てられたIPアドレスを自身に設定し、以後、このIPアドレスにより通信を行う。
ユーザは、ネットワーク505にアクセスするために、ブラウザを立ち上げる。端末504は、これに伴い、所定のサーバに宛ててHTTPパケットを送信する。HTTPパケットの送信元MACアドレスには、端末504のMACアドレスが格納される。
認証SW101は、HTTPパケットを受信し、転送制御部103においてそのHTTPパケットの内容を参照する。転送制御部103は、HTTPパケットの送信元MACアドレスがフィルタリングテーブル109に設定されていないことから、このHTTPパケットが未認証の端末からのパケットであることを判定し、このHTTPパケットを中央制御部104に転送する。
中央制御部104は、HTTPパケットの送信元MACアドレスを認証対象管理テーブル111と照会する。端末504のMACアドレスは認証対象管理テーブル111に登録されているので、認証処理は続行される。中央制御部104は、端末504に対してユーザ名とパスワードの入力を要求する認証WEB画面をパケットにより送信する。また、中央制御部104は、認証管理テーブル110に端末504のMACアドレスを登録する。この結果、認証管理テーブル110の内容は、図7のようになる。
ユーザは、端末504に表示された認証WEB画面にユーザ名とパスワードを入力し、端末504は入力されたユーザ名とパスワードをパケットにより認証SW101へ送信する。
認証SW101は、端末504からのユーザ名とパスワードが格納されたパケットを受信し、このユーザ名とパスワードが格納されたパケットをRADIUSサーバ507へ送信する。
RADIUSサーバ507は、正当なユーザが登録されたデータベースを有し、受信したパケット中のユーザ名とパスワードをデータベースに照会する。端末504のユーザが正当なユーザであるとすると、RADIUSサーバ507は、認証成功の返信のパケットを認証SW101へ送信する。
認証SW101は、認証成功の返信のパケットを受信し、中央制御部104は、端末504を認証成功として認証管理テーブル110に端末504のMACアドレスを登録する。この結果、認証管理テーブル110の内容は、図8のようになる。また、中央制御部104は、転送制御部103のフィルタリングテーブル109に端末504のMACアドレスを設定し、これにより、端末504のMACアドレスを有するパケットはネットワーク505への中継が許可されるようになる。中央制御部104は、端末504へ認証成功を通知するパケットを送信する。
端末504のユーザは、認証SW101において認証成功となり、以後、ネットワーク505との通信が可能となる。
以上説明したように、本発明の端末の認証方法によれば、L3機器501を介して認証SW101に接続されている端末502,503は、認証SW101において認証処理が実行されることなく、認証失敗となる。一方、認証SW101に直接接続されている端末504は、認証SW101においてWEB認証の認証処理が実行される。
これにより、L3機器501を介して認証SW101に接続されている端末は、全て認証失敗となり、認証SW101に直接接続されている端末は、認証処理により正当なユーザのみ認証成功となる。
101 認証機能付きネットワーク中継機器(認証SW)
102 送受信部
103 転送制御部
104 中央制御部
105 ポート
106 伝送路
107 パケット解析部
108 FDB
109 フィルタリングテーブル
110 認証管理テーブル
111 認証対象管理テーブル

Claims (6)

  1. 認証の対象となる端末のアドレスが登録される認証対象管理テーブルと、
    該認証対象管理テーブルにアドレスが登録されている端末に対して認証処理を実行する認証処理実行手段とを備えることを特徴とする認証機能付きネットワーク中継機器。
  2. データ領域にパケットを送信した端末のアドレスを格納しているパケットの上記データ領域に格納されているアドレスとヘッダ領域に格納されている送信元アドレスとを比較し、一致するときにそのアドレスを上記認証対象管理テーブルに登録する認証対象登録手段とを備えたことを特徴とする請求項1記載の認証機能付きネットワーク中継機器。
  3. 上記認証処理実行手段は、端末からのネットワークへのアクセス要求のパケットのヘッダ領域に格納されている送信元アドレスが上記認証対象管理テーブルに登録されている場合に、上記アクセス要求をしてきた端末の認証処理を実行することを特徴とする請求項1又は2記載の認証機能付きネットワーク中継機器。
  4. 認証機能付きネットワーク中継機器に認証の対象となる端末のアドレスを登録させておき、
    該認証機能付きネットワーク中継機器が認証の対象としてアドレスが登録されている端末に対して認証処理を実行することを特徴とする端末の認証方法。
  5. 上記認証機能付きネットワーク中継機器は、データ領域にパケットを送信した端末のアドレスを格納しているパケットの該データ領域に格納されているアドレスとヘッダ領域に格納されている送信元アドレスとを比較し、一致するときにそのアドレスを認証の対象となる端末のアドレスとして登録しておくことを特徴とする請求項4記載の端末の認証方法。
  6. 上記認証機能付きネットワーク中継機器は、受信されたパケットが端末からのネットワークへのアクセス要求のパケットであるとき、そのパケットのヘッダ領域に格納されている送信元アドレスが登録されている認証の対象となる端末のアドレスかどうか判定し、認証の対象となる端末のアドレスであれば認証処理を実行し、認証の対象となる端末のアドレスでなければ認証処理を実行しないことを特徴とする請求項4又は5記載の端末の認証方法。
JP2009031468A 2009-02-13 2009-02-13 認証機能付きネットワーク中継機器及びそれを用いた端末の認証方法 Pending JP2010187314A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2009031468A JP2010187314A (ja) 2009-02-13 2009-02-13 認証機能付きネットワーク中継機器及びそれを用いた端末の認証方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2009031468A JP2010187314A (ja) 2009-02-13 2009-02-13 認証機能付きネットワーク中継機器及びそれを用いた端末の認証方法

Publications (1)

Publication Number Publication Date
JP2010187314A true JP2010187314A (ja) 2010-08-26

Family

ID=42767674

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2009031468A Pending JP2010187314A (ja) 2009-02-13 2009-02-13 認証機能付きネットワーク中継機器及びそれを用いた端末の認証方法

Country Status (1)

Country Link
JP (1) JP2010187314A (ja)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5534023B2 (ja) * 2010-09-24 2014-06-25 富士通株式会社 基地局、基地局の制御方法及び情報処理システム
CN104865838A (zh) * 2015-05-29 2015-08-26 四川长虹电器股份有限公司 一种信息处理方法及智能家居控制设备
CN104881016A (zh) * 2015-05-29 2015-09-02 四川长虹电器股份有限公司 一种智能家居设备控制方法和智能家居控制器
JP2017028522A (ja) * 2015-07-23 2017-02-02 株式会社ネットスプリング アクセス管理システム及びアクセス管理方法
JP2019102928A (ja) * 2017-11-30 2019-06-24 三菱電機株式会社 認証スイッチ装置、ネットワークシステムおよび認証方法

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5534023B2 (ja) * 2010-09-24 2014-06-25 富士通株式会社 基地局、基地局の制御方法及び情報処理システム
CN104865838A (zh) * 2015-05-29 2015-08-26 四川长虹电器股份有限公司 一种信息处理方法及智能家居控制设备
CN104881016A (zh) * 2015-05-29 2015-09-02 四川长虹电器股份有限公司 一种智能家居设备控制方法和智能家居控制器
CN104865838B (zh) * 2015-05-29 2017-10-27 四川长虹电器股份有限公司 一种信息处理方法及智能家居控制设备
JP2017028522A (ja) * 2015-07-23 2017-02-02 株式会社ネットスプリング アクセス管理システム及びアクセス管理方法
JP2019102928A (ja) * 2017-11-30 2019-06-24 三菱電機株式会社 認証スイッチ装置、ネットワークシステムおよび認証方法

Similar Documents

Publication Publication Date Title
US8875233B2 (en) Isolation VLAN for layer two access networks
US8209529B2 (en) Authentication system, network line concentrator, authentication method and authentication program
EP1987629B1 (en) Techniques for authenticating a subscriber for an access network using dhcp
US9112909B2 (en) User and device authentication in broadband networks
US8646033B2 (en) Packet relay apparatus
JP2011501624A (ja) 仮想ipアドレスを介してアクセス可能なアドレスを持たないネットワークデバイスにアクセスするための種々の方法および装置
JP4852379B2 (ja) パケット通信装置
US8769623B2 (en) Grouping multiple network addresses of a subscriber into a single communication session
JP5869552B2 (ja) 方法を実行するデバイスを介してアクセス可能なデータまたはサービスに対するアクセスのセキュリティを保護する方法、およびそれに対応するデバイス
KR20130005973A (ko) 네트워크 보안시스템 및 네트워크 보안방법
JP2010187314A (ja) 認証機能付きネットワーク中継機器及びそれを用いた端末の認証方法
TWI315139B (ja)
JP2001326696A (ja) アクセス制御方法
JP2010239591A (ja) ネットワークシステム、中継装置、およびネットワーク制御方法
JP2010062667A (ja) ネットワーク機器及びネットワークシステム
JP2002084306A (ja) パケット通信装置及びネットワークシステム
JP2007150633A (ja) 無線lanアクセスポイント、これを用いたipアドレスの管理方法並びに管理プログラム
JP5261432B2 (ja) 通信システム、パケット転送方法、ネットワーク交換装置、アクセス制御装置、及びプログラム
JP4965499B2 (ja) 認証システム、認証装置、通信設定装置および認証方法
JP2004072633A (ja) IPv6ノード収容方法およびIPv6ノード収容システム
JP2008010934A (ja) ゲートウェイ装置、通信制御方法、プログラム、およびプログラムを記録した記憶媒体
JP4768547B2 (ja) 通信装置の認証システム
JP4584776B2 (ja) ゲートウェイ装置およびプログラム
Cisco set_f_l
Cisco Configuring Network Security