JP2013255140A - Authentication switch - Google Patents

Authentication switch Download PDF

Info

Publication number
JP2013255140A
JP2013255140A JP2012130345A JP2012130345A JP2013255140A JP 2013255140 A JP2013255140 A JP 2013255140A JP 2012130345 A JP2012130345 A JP 2012130345A JP 2012130345 A JP2012130345 A JP 2012130345A JP 2013255140 A JP2013255140 A JP 2013255140A
Authority
JP
Japan
Prior art keywords
authentication
browser
version
user
type
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2012130345A
Other languages
Japanese (ja)
Inventor
Hideto Otani
秀登 大谷
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Cable Ltd
Original Assignee
Hitachi Cable Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Cable Ltd filed Critical Hitachi Cable Ltd
Priority to JP2012130345A priority Critical patent/JP2013255140A/en
Publication of JP2013255140A publication Critical patent/JP2013255140A/en
Pending legal-status Critical Current

Links

Images

Landscapes

  • Small-Scale Networks (AREA)

Abstract

PROBLEM TO BE SOLVED: To provide an authentication switch that permits only communication using a default Web browser.SOLUTION: An authentication switch 10 having an authentication function includes an authentication processing section in which an enabled type and version of default browser is registered beforehand and which, when receiving an HTTP frame 15, 16 from a user terminal 20, 30, performs an authentication process of referring to USER-Agent of the HTTP frame, and permitting communication if a browser type and version stored in USER-Agent matches the type and version of the default browser registered beforehand and denies communication if the browser type and version stored in USER-Agent does not match the type and version of the default browser registered beforehand.

Description

本発明は、認証機能を有する認証スイッチに関するものである。   The present invention relates to an authentication switch having an authentication function.

従来、LAN(Local Area Network)のセキュリティを高めるために、ユーザの認証を行うための認証機能を有する認証スイッチが用いられている(例えば、特許文献1)。   2. Description of the Related Art Conventionally, an authentication switch having an authentication function for authenticating a user has been used in order to increase the security of a LAN (Local Area Network) (for example, Patent Document 1).

認証スイッチは、MAC(Media Access Control)認証やWEB認証などの認証機能を有する。例えば、MAC認証では、認証スイッチにはLANへのアクセスを許可するユーザ端末のMACアドレスが予め登録されている。ユーザ端末が認証スイッチに接続されると、認証スイッチは、ユーザ端末が送信したフレームの送信元MACアドレスを参照し、予め登録されているMACアドレスと一致するときは、LANへのアクセスを許可し、予め登録されているMACアドレスと一致しないときは、通信を遮断してLANへアクセスできないようにする。   The authentication switch has an authentication function such as MAC (Media Access Control) authentication or WEB authentication. For example, in MAC authentication, the MAC address of the user terminal that permits access to the LAN is registered in advance in the authentication switch. When the user terminal is connected to the authentication switch, the authentication switch refers to the transmission source MAC address of the frame transmitted by the user terminal, and permits access to the LAN when it matches the pre-registered MAC address. If it does not match the pre-registered MAC address, the communication is cut off so that the LAN cannot be accessed.

特開2010−62667号公報JP 2010-62667 A

企業などの組織において、インターネット経由で情報をやり取りすることが一般的となっている。一方で、企業内の機密情報や個人情報がインターネット経由で漏洩するなどの事故も発生している。そこで、セキュリティの観点から、企業内では予め定めたアプリケーションのみを使用許可することにより、事故を未然に防止するようにしている。   It is common for organizations such as companies to exchange information via the Internet. On the other hand, there are accidents such as leakage of confidential information and personal information in the company via the Internet. Therefore, from the viewpoint of security, the use of only predetermined applications is permitted in the company to prevent accidents.

例えば、インターネットの情報を閲覧するために用いられるWebブラウザには、様々な種類とバージョンがある。企業内LANにおいて標準として定められているWebブラウザと異なる種類のWebブラウザや古いバージョンのWebブラウザが使用されると、セキュリティホールによって企業内LANのセキュリティが脅かされるおそれがある。したがって、ネットワーク管理者としては、企業内LANにおいて標準として定められているWebブラウザを使用した通信のみを許可したいという要望がある。   For example, there are various types and versions of Web browsers used for browsing information on the Internet. If a different type of Web browser or an older version of the Web browser defined as a standard in the corporate LAN is used, the security of the corporate LAN may be threatened by a security hole. Therefore, there is a demand for the network administrator to permit only communication using a Web browser defined as a standard in the corporate LAN.

そこで、本発明は、標準として定められているWebブラウザを使用した通信のみを許可することができる認証スイッチを提供することを目的とする。   Therefore, an object of the present invention is to provide an authentication switch that can permit only communication using a Web browser defined as a standard.

本願発明は上記目的を達成するために、認証機能を有する認証スイッチであって、使用可とされた標準ブラウザの種類とバージョンが予め登録されており、HTTPフレームを受信した場合、HTTPフレームのUSER−Agentを参照し、USER−Agentに格納されているブラウザの種類とバージョンが予め登録されている標準ブラウザの種類とバージョンと一致するときは、通信を許可し、USER−Agentに格納されているブラウザの種類とバージョンが予め登録されている標準ブラウザの種類とバージョンと一致しないときは、通信を許可しないという認証処理を行う認証処理部を備える認証スイッチである。   In order to achieve the above object, the present invention is an authentication switch having an authentication function, in which the type and version of a standard browser that can be used are registered in advance, and when an HTTP frame is received, the USER of the HTTP frame -Refers to Agent, and if the browser type and version stored in USER-Agent match the standard browser type and version registered in advance, communication is permitted and stored in USER-Agent. When the browser type and version do not match the standard browser type and version registered in advance, the authentication switch includes an authentication processing unit that performs an authentication process of not permitting communication.

本発明の認証スイッチによれば、標準として定められているWebブラウザを使用した通信のみを許可することができる。   According to the authentication switch of the present invention, only communication using a Web browser defined as a standard can be permitted.

本実施形態の認証スイッチの動作例を示す図である。It is a figure which shows the operation example of the authentication switch of this embodiment. 本実施形態の認証スイッチの第2の動作例を示す図である。It is a figure which shows the 2nd operation example of the authentication switch of this embodiment.

以下、図面を参照して、本発明の実施形態を説明する。   Hereinafter, embodiments of the present invention will be described with reference to the drawings.

図1は、本実施形態の認証スイッチの動作例を示す図である。   FIG. 1 is a diagram illustrating an operation example of the authentication switch of the present embodiment.

図1において、本実施形態の認証スイッチ10は、ユーザ端末20,30と接続されている。   In FIG. 1, the authentication switch 10 of this embodiment is connected to user terminals 20 and 30.

認証スイッチ10は、例えば、LANで用いられるイーサネット(登録商標)スイッチである。認証スイッチ10は、複数のポートを備え、ネットワークケーブルによりユーザ端末(パーソナルコンピュータ)、プリンタ、サーバ、スイッチ等のネットワーク機器と接続される。なお、図1では、簡略化してユーザ端末20,30との接続のみを図示している。   The authentication switch 10 is, for example, an Ethernet (registered trademark) switch used in a LAN. The authentication switch 10 includes a plurality of ports and is connected to network devices such as a user terminal (personal computer), a printer, a server, and a switch by a network cable. In FIG. 1, only the connection with the user terminals 20 and 30 is illustrated in a simplified manner.

認証スイッチ10は、転送処理部11を備える。転送処理部11は、あるポートでフレームを受信すると、受信したフレームの宛先MACアドレスを参照し、宛先MACアドレスに対応したポートへフレームを転送する処理を行う。   The authentication switch 10 includes a transfer processing unit 11. When a frame is received at a certain port, the transfer processing unit 11 refers to the destination MAC address of the received frame and performs a process of transferring the frame to a port corresponding to the destination MAC address.

また、本実施形態の認証スイッチ10は、標準として定められているWebブラウザ(以下、「標準ブラウザ」と略す。)を使用した通信のみを許可する認証処理を行う認証処理部12を備える。ここで、Webブラウザを用いたインターネット上の通信として、HTTP(Hyper Text Transfer Protocol)と呼ばれるプロトコルが規格(RFC2616)で定められている。HTTPの通信に用いられるフレーム(以下、「HTTPフレーム」と略す。)には、USER−Agentという領域があり、ここにWebブラウザの種類とバージョンが格納される。認証処理部12には、例えば、ネットワーク管理者により、企業内LANで使用可とされた標準ブラウザの種類とバージョンが予め登録されている。そして、認証スイッチ10は、フレームを受信し、受信したフレームがHTTPフレームである場合、HTTPフレームのUSER−Agentを参照し、USER−Agentに格納されているブラウザの種類とバージョンが予め登録されている標準ブラウザの種類とバージョンと一致するときは、通信を許可し、USER−Agentに格納されているブラウザの種類とバージョンが予め登録されている標準ブラウザの種類とバージョンと一致しないときは、通信を許可しない(具体的には、HTTPフレームを破棄する)という認証処理を行う。   Further, the authentication switch 10 of the present embodiment includes an authentication processing unit 12 that performs an authentication process that permits only communication using a Web browser (hereinafter referred to as “standard browser”) defined as a standard. Here, as a communication on the Internet using a Web browser, a protocol called HTTP (Hyper Text Transfer Protocol) is defined in the standard (RFC2616). A frame used for HTTP communication (hereinafter abbreviated as “HTTP frame”) has an area called USER-Agent, in which the type and version of a Web browser are stored. In the authentication processing unit 12, for example, the type and version of a standard browser that can be used in the corporate LAN by a network administrator are registered in advance. The authentication switch 10 receives the frame, and when the received frame is an HTTP frame, the authentication switch 10 refers to the USER-Agent of the HTTP frame, and the browser type and version stored in the USER-Agent are registered in advance. If the standard browser type and version match, the communication is permitted. If the browser type and version stored in USER-Agent do not match the pre-registered standard browser type and version, communication is allowed. Authentication processing is not performed (specifically, the HTTP frame is discarded).

ユーザ端末20,30は、ユーザが使用するパーソナルコンピュータである。ユーザ端末20,30には、Webブラウザがインストールされている。図1において、ユーザ端末20には標準ブラウザがインストールされており、ユーザ端末30には標準ブラウザでないブラウザ(以下、「非標準ブラウザ」)がインストールされている。   The user terminals 20 and 30 are personal computers used by the user. A web browser is installed in the user terminals 20 and 30. In FIG. 1, a standard browser is installed on the user terminal 20, and a browser that is not a standard browser (hereinafter “non-standard browser”) is installed on the user terminal 30.

次に、本実施形態の認証スイッチ10の動作を説明する。   Next, the operation of the authentication switch 10 of this embodiment will be described.

まず、認証スイッチ10には、ネットワーク管理者によって、標準ブラウザの種類とバージョンが予め登録される。   First, the type and version of the standard browser are registered in advance in the authentication switch 10 by the network administrator.

次に、図1に示すように、認証スイッチ10に、ユーザ端末20,30が接続されたとする。   Next, as illustrated in FIG. 1, it is assumed that user terminals 20 and 30 are connected to the authentication switch 10.

ユーザ端末20,30は、インターネット上の通信を行うためにHTTPフレーム15,16を認証スイッチ10に向けて送信する。   The user terminals 20 and 30 transmit HTTP frames 15 and 16 toward the authentication switch 10 for communication on the Internet.

認証スイッチ10は、HTTPフレーム15,16を受信すると、HTTPフレーム15,16のUSER−Agentを参照する。ユーザ端末20から送信されたHTTPフレーム15の場合、USER−Agentに格納されているブラウザの種類とバージョンが予め登録されている標準ブラウザの種類とバージョンと一致するため、通信を許可し、宛先MACアドレスに対応したポートへHTTPフレーム15を転送する。一方、ユーザ端末30から送信されたHTTPフレーム16の場合、USER−Agentに格納されているブラウザの種類とバージョンが予め登録されている標準ブラウザの種類とバージョンと一致しないため、通信を許可せず、HTTPフレーム16を破棄する。   When the authentication switch 10 receives the HTTP frames 15 and 16, the authentication switch 10 refers to the USER-Agent of the HTTP frames 15 and 16. In the case of the HTTP frame 15 transmitted from the user terminal 20, since the browser type and version stored in the USER-Agent match the standard browser type and version registered in advance, communication is permitted, and the destination MAC The HTTP frame 15 is transferred to the port corresponding to the address. On the other hand, in the case of the HTTP frame 16 transmitted from the user terminal 30, since the browser type and version stored in the USER-Agent do not match the pre-registered standard browser type and version, communication is not permitted. The HTTP frame 16 is discarded.

以上のように、本実施形態の認証スイッチ10によれば、HTTPフレームのUSER−Agentを参照し、USER−Agentに格納されているブラウザの種類とバージョンが予め登録されている標準ブラウザの種類とバージョンと一致するか否かで、通信の許可または不許可を行う認証処理部12を備えるので、標準ブラウザを使用した通信のみを許可することができる。これにより、非標準ブラウザを使用した通信は遮断されるため、Webブラウザを使用したインターネット上の通信におけるセキュリティを向上することができる。   As described above, according to the authentication switch 10 of the present embodiment, referring to the USER-Agent of the HTTP frame, the browser type and version stored in the USER-Agent are registered in advance. Since the authentication processing unit 12 that permits or denies communication depending on whether or not the version matches, only communication using a standard browser can be permitted. Thereby, since the communication using a nonstandard browser is interrupted | blocked, the security in the communication on the internet using a web browser can be improved.

図2は、本実施形態の認証スイッチ10の第2の動作例を示す図である。   FIG. 2 is a diagram illustrating a second operation example of the authentication switch 10 according to the present embodiment.

図2において、認証スイッチ10の認証処理部12は、非標準ブラウザからのHTTPフレーム16を受信すると、これを破棄して通信を不可とするとともに、認証結果通知フレーム17をユーザ端末30に向けて送信する処理を行う。   In FIG. 2, when the authentication processing unit 12 of the authentication switch 10 receives the HTTP frame 16 from the non-standard browser, the authentication processing unit 12 discards the HTTP frame 16 and disables communication, and directs the authentication result notification frame 17 to the user terminal 30. Process to send.

認証結果通知フレーム17は、ユーザ端末30に対して、非標準ブラウザが使用されており通信を許可しないことを通知するとともに、Webサーバ40へのアクセスを指示する内容を有する。Webサーバ40には、標準ブラウザのソフトウェアが保存されている。ユーザ端末30は、認証結果通知フレーム17の指示を受けてWebサーバ40にアクセスすることにより、標準ブラウザをインストールすることができる。標準ブラウザをインストールしたユーザ端末30は、認証スイッチ10で通信が許可され、企業内LANおよびインターネット上の通信を行うことができるようになる。   The authentication result notification frame 17 notifies the user terminal 30 that a non-standard browser is being used and communication is not permitted, and has contents for instructing access to the Web server 40. The Web server 40 stores standard browser software. The user terminal 30 can install the standard browser by receiving the instruction of the authentication result notification frame 17 and accessing the Web server 40. The user terminal 30 in which the standard browser is installed is permitted to communicate with the authentication switch 10 and can communicate on the corporate LAN and the Internet.

以上のように、本実施形態の認証スイッチ10によれば、非標準ブラウザからのHTTPフレーム16を受信すると、これを破棄して通信を不可とするとともに、認証結果通知フレーム17をユーザ端末30に向けて送信するので、ユーザ端末30は、非標準ブラウザを使用していることを知るとともに、Webサーバ40から標準ブラウザをインストールすることができる。   As described above, according to the authentication switch 10 of the present embodiment, when receiving the HTTP frame 16 from the non-standard browser, the HTTP frame 16 is discarded and communication is disabled, and the authentication result notification frame 17 is sent to the user terminal 30. Since the user terminal 30 knows that the non-standard browser is being used, the user terminal 30 can install the standard browser from the Web server 40.

10:認証スイッチ
11:転送処理部
12:認証処理部
15,16:HTTPフレーム
20,30:ユーザ端末 10: Authentication switch 11: Transfer processing unit 12: Authentication processing unit 15, 16: HTTP frame 20, 30: User terminal

Claims (2)

認証機能を有する認証スイッチであって、
使用可とされた標準ブラウザの種類とバージョンが予め登録されており、HTTPフレームを受信した場合、前記HTTPフレームのUSER−Agentを参照し、前記USER−Agentに格納されているブラウザの種類とバージョンが予め登録されている標準ブラウザの種類とバージョンと一致するときは、通信を許可し、前記USER−Agentに格納されているブラウザの種類とバージョンが予め登録されている標準ブラウザの種類とバージョンと一致しないときは、通信を許可しないという認証処理を行う認証処理部
を備える認証スイッチ。 An authentication switch having an authentication function,
The type and version of the standard browser that can be used are registered in advance. When an HTTP frame is received, the USER-Agent of the HTTP frame is referred to, and the browser type and version stored in the USER-Agent are referred to. Is the same as the standard browser type and version registered in advance, communication is permitted, and the browser type and version stored in the USER-Agent are registered in advance. An authentication switch including an authentication processing unit that performs an authentication process of not permitting communication when they do not match. 前記認証処理部は、前記USER−Agentに格納されているブラウザの種類とバージョンが予め登録されている標準ブラウザの種類とバージョンと一致しない場合、前記HTTPフレームを送信したユーザ端末に向けて、非標準ブラウザが使用されており通信を許可しないことを通知するとともに、標準ブラウザを保存しているWebサーバへのアクセスを指示する内容を有する認証結果通知フレームを送信する処理を行う
請求項1に記載の認証スイッチ。 When the browser type and version stored in the USER-Agent do not match the pre-registered standard browser type and version, the authentication processing unit sends a non-address to the user terminal that has transmitted the HTTP frame. The process for transmitting an authentication result notification frame having a content for instructing access to a Web server storing the standard browser, while notifying that the standard browser is used and not permitting communication. Authentication switch.
JP2012130345A 2012-06-08 2012-06-08 Authentication switch Pending JP2013255140A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2012130345A JP2013255140A (en) 2012-06-08 2012-06-08 Authentication switch

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2012130345A JP2013255140A (en) 2012-06-08 2012-06-08 Authentication switch

Publications (1)

Publication Number Publication Date
JP2013255140A true JP2013255140A (en) 2013-12-19

Family

ID=49952302

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2012130345A Pending JP2013255140A (en) 2012-06-08 2012-06-08 Authentication switch

Country Status (1)

Country Link
JP (1) JP2013255140A (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105204934A (en) * 2015-09-24 2015-12-30 福建天晴数码有限公司 Method and system for automatically switching compatible version of browser

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105204934A (en) * 2015-09-24 2015-12-30 福建天晴数码有限公司 Method and system for automatically switching compatible version of browser

Similar Documents

Publication Publication Date Title
US10003616B2 (en) Destination domain extraction for secure protocols
US11652792B2 (en) Endpoint security domain name server agent
CA2912608C (en) Selectively performing man in the middle decryption
US8201218B2 (en) Strategies for securely applying connection policies via a gateway
US8776208B2 (en) Incorporating network connection security levels into firewall rules
US20130332724A1 (en) User-Space Enabled Virtual Private Network
US9219709B2 (en) Multi-wrapped virtual private network
US11700239B2 (en) Split tunneling based on content type to exclude certain network traffic from a tunnel
US20140351917A1 (en) Provisioning network access through a firewall
JP2008252456A (en) Communication apparatus, and communication method
JP2017118545A (en) Communication system using HTTP
WO2019062114A1 (en) Message processing method, electronic device and readable storage medium
KR20130028323A (en) System and method for controlling access to network
EP3180705B1 (en) End point secured network
JP2013255140A (en) Authentication switch
JP2006277752A (en) Computer remote-managing method
JP2009177239A (en) Network relay apparatus
WO2018001042A1 (en) Packet transmission method, device and system
JP2023531034A (en) Service transmission method, device, network equipment and storage medium
JP2017085273A (en) Control system, control device, control method and program
JP4893279B2 (en) Communication apparatus and communication method
JP2013255141A (en) Authentication switch
JP2009239331A (en) Access management system, access management method, and program for access control
JP2012133494A (en) P2p communication system