JP2013255141A - Authentication switch - Google Patents
Authentication switch Download PDFInfo
- Publication number
- JP2013255141A JP2013255141A JP2012130346A JP2012130346A JP2013255141A JP 2013255141 A JP2013255141 A JP 2013255141A JP 2012130346 A JP2012130346 A JP 2012130346A JP 2012130346 A JP2012130346 A JP 2012130346A JP 2013255141 A JP2013255141 A JP 2013255141A
- Authority
- JP
- Japan
- Prior art keywords
- switch
- authentication
- lldp
- device information
- network device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
Landscapes
- Small-Scale Networks (AREA)
Abstract
Description
本発明は、認証機能を有する認証スイッチに関するものである。 The present invention relates to an authentication switch having an authentication function.
従来、LAN(Local Area Network)のセキュリティを高めるために、ユーザの認証を行うための認証機能を有する認証スイッチが用いられている(例えば、特許文献1)。 2. Description of the Related Art Conventionally, an authentication switch having an authentication function for authenticating a user has been used in order to increase the security of a LAN (Local Area Network) (for example, Patent Document 1).
認証スイッチは、MAC(Media Access Control)認証やWeb認証などの認証機能を有する。例えば、MAC認証では、認証スイッチにはLANへのアクセスを許可するユーザ端末のMACアドレスが予め登録されている。ユーザ端末が認証スイッチに接続されると、認証スイッチは、ユーザ端末が送信したフレームの送信元MACアドレスを参照し、予め登録されているMACアドレスと一致するときは、LANへのアクセスを許可し、予め登録されているMACアドレスと一致しないときは、通信を遮断してLANへアクセスできないようにする。 The authentication switch has an authentication function such as MAC (Media Access Control) authentication or Web authentication. For example, in MAC authentication, the MAC address of the user terminal that permits access to the LAN is registered in advance in the authentication switch. When the user terminal is connected to the authentication switch, the authentication switch refers to the transmission source MAC address of the frame transmitted by the user terminal, and permits access to the LAN when it matches the pre-registered MAC address. If it does not match the pre-registered MAC address, the communication is cut off so that the LAN cannot be accessed.
しかし、従来の認証スイッチでは、認証スイッチにスイッチ(ネットワークスイッチ)が接続されたとき、接続されたスイッチを認証する機能は有していない。 However, the conventional authentication switch does not have a function of authenticating the connected switch when the switch (network switch) is connected to the authentication switch.
例えば、ネットワークウイルスに感染したスイッチがLANに接続されると、当該スイッチを感染源として、LAN全体がネットワークウイルスに晒されるというおそれがある。ネットワーク管理者としては、予め正規品として規定したスイッチのみをLANに接続したいという要望がある。したがって、認証スイッチにスイッチが接続されたとき、接続されたスイッチを認証する機能があると好ましい。 For example, when a switch infected with a network virus is connected to a LAN, the entire LAN may be exposed to the network virus using the switch as an infection source. As a network administrator, there is a desire to connect only a switch that has been specified as a regular product in advance to the LAN. Therefore, it is preferable that there is a function of authenticating the connected switch when the switch is connected to the authentication switch.
そこで、本発明は、認証スイッチにスイッチが接続されたとき、接続されたスイッチを認証することができる認証スイッチを提供することを目的とする。 Accordingly, an object of the present invention is to provide an authentication switch that can authenticate a connected switch when the switch is connected to the authentication switch.
本願発明は上記目的を達成するために、認証機能を有する認証スイッチであって、隣接するネットワーク機器とLLDP PDUを送受信する動作を行うLLDP動作部と、通信が許可されるネットワーク機器の装置情報が予め登録されており、ネットワーク機器が接続されてネットワーク機器からLLDP PDUを受信すると、LLDP PDUに含まれる装置情報を参照し、予め登録されている装置情報と一致するときは、ネットワーク機器からの通信を許可し、予め登録されている装置情報と一致しないときは、ネットワーク機器からの通信を遮断するという認証処理を行う認証処理部とを備える認証スイッチである。 In order to achieve the above object, the present invention is an authentication switch having an authentication function, and includes apparatus information of an LLDP operation unit that performs an operation of transmitting and receiving LLDP PDUs with an adjacent network device, and network devices that are permitted to communicate. When a network device is connected in advance and an LLDP PDU is received from the network device, the device information included in the LLDP PDU is referred to. When the device information matches the pre-registered device information, communication from the network device is performed. Is an authentication switch that includes an authentication processing unit that performs an authentication process of blocking communication from the network device when the device information does not match the device information registered in advance.
本発明の認証スイッチによれば、認証スイッチにスイッチが接続されたとき、接続されたスイッチを認証することができる。 According to the authentication switch of the present invention, when a switch is connected to the authentication switch, the connected switch can be authenticated.
また、スイッチに広く採用されているLLDPを用いて認証することにより、多くの機種を認証の対象とすることができる。 In addition, by authenticating using LLDP widely adopted for switches, many models can be subjected to authentication.
以下、図面を参照して、本発明の実施形態を説明する。 Hereinafter, embodiments of the present invention will be described with reference to the drawings.
図1は、本実施形態の認証スイッチの使用例を示す図である。 FIG. 1 is a diagram illustrating a usage example of the authentication switch of the present embodiment.
図1において、本実施形態の認証スイッチ10とスイッチ20とがネットワークケーブル30で接続されている。
In FIG. 1, the
認証スイッチ10は、例えば、LANで用いられるイーサネット(登録商標)スイッチである。認証スイッチ10は、複数のポート11を備え、ネットワークケーブル30によりユーザ端末(パーソナルコンピュータ)、プリンタ、サーバ、スイッチ等のネットワーク機器と接続される。なお、図1では、簡略化してスイッチ20と接続するポート11のみを図示している。
The
認証スイッチ10は、LLDP(Link Layer Discovery Protocol)動作部12を備える。LLDPは、IEEE802.1ABで標準化されている機能であり、隣接するネットワーク機器とLLDP PDU(Protocol Data Unit)を送受信することにより、隣接するネットワーク機器と装置情報をやり取りする機能である。LLDP動作部12は、具体的に、認証スイッチ10の装置情報を含むLLDP PDUを生成し、隣接するネットワーク機器に送信する動作を行う。また、LLDP動作部12は、隣接するネットワーク機器からLLDP PDUを受信し、受信したLLDP PDUに含まれるネットワーク機器の装置情報を取得して、所定のメモリ領域に保存する動作を行う。なお、装置情報は、ネットワーク機器の種類、製品名、MACアドレス、ポート番号等である。LLDP動作部12は、CPU(Central Processing Unit)のソフトウェア動作によって実現される。
The
また、認証スイッチ10は、認証処理部13を備える。認証処理部13は、MAC認証やWeb認証などの認証機能を有し、ユーザ端末の認証処理を行う。さらに、本実施形態では、認証処理部13は、認証スイッチ10に接続されたスイッチの認証を行う認証機能を有する。具体的に、認証処理部13には、通信が許可されるスイッチの装置情報(例えば、MACアドレス)が予め登録されている。そして、認証スイッチ10にスイッチが接続されて当該スイッチからLLDP PDUを受信すると、認証処理部13は、LLDP PDUに含まれる装置情報を参照し、予め登録されている装置情報と一致するときは、通信を許可し、予め登録されている装置情報と一致しないときは、通信を遮断するという認証処理を行う。
Further, the
スイッチ20は、例えば、L(Layer)2スイッチ、L3スイッチである。スイッチ20は、複数のポート21を備え、ネットワークケーブル30により他のネットワーク機器と接続される。図1の使用例では、スイッチ20は認証スイッチ10に接続される。また、スイッチ20はLLDP動作部22を備え、隣接するネットワーク機器とLLDP PDUを送受信する。なお、本発明において、認証スイッチ10に接続されるスイッチ20がLLDPの機能を有することが前提となっている。
The
次に、本実施形態の認証スイッチ10の動作を説明する。
Next, the operation of the
まず、認証スイッチ10には、ネットワーク管理者によって、通信が許可されるスイッチの装置情報(MACアドレス)が予め登録される。
First, device information (MAC address) of a switch that is permitted to communicate is registered in advance in the
次に、図1に示すように、ネットワークケーブル30で、認証スイッチ10とスイッチ20が接続される。
Next, as shown in FIG. 1, the
認証スイッチ10及びスイッチ20は、LLDPの機能により、LLDP PDU15を相互に送信しあう。
The
認証スイッチ10は、スイッチ20からLLDP PDU15を受信すると、受信したLLDP PDU15に含まれる装置情報(MACアドレス)を参照する。認証スイッチ10は、参照した装置情報(MACアドレス)が登録されている装置情報(MACアドレス)と一致するときは、スイッチ20からの通信を許可し、参照した装置情報(MACアドレス)が登録されている装置情報(MACアドレス)と一致しないときは、スイッチ20からの通信を遮断する。
When receiving the
以上のように、本実施形態の認証スイッチ10によれば、隣接するネットワーク機器とLLDP PDUを送受信する動作を行うLLDP動作部12と、接続されたスイッチ20から受信したLLDP PDU15に含まれる装置情報を参照して、スイッチ20からの通信の許可、または、通信の遮断を行う認証処理部13を備えるので、認証スイッチ10にスイッチ20が接続されたとき、接続されたスイッチ20を認証することができる。また、スイッチに広く採用されているLLDPを用いて認証することにより、多くの機種を認証の対象とすることができる。
As described above, according to the
なお、上記の実施形態では、スイッチ20の認証を行う動作について説明したが、本発明の認証スイッチの認証機能は、スイッチ20に限られず、LLDPの機能を有するネットワーク機器、例えば、IP電話、プリンタ、サーバ等、であれば適用可能である。
In the above embodiment, the operation for performing the authentication of the
10:認証スイッチ
11:ポート
12:LLDP動作部
13:認証処理部
15:LLDP PDU
20:スイッチ
30:ネットワークケーブル
10: Authentication switch 11: Port 12: LLDP operation unit 13: Authentication processing unit 15: LLDP PDU
20: Switch 30: Network cable
Claims (2)
隣接するネットワーク機器とLLDP PDUを送受信する動作を行うLLDP動作部と、
通信が許可されるネットワーク機器の装置情報が予め登録されており、ネットワーク機器が接続されて前記ネットワーク機器からLLDP PDUを受信すると、前記LLDP PDUに含まれる装置情報を参照し、予め登録されている装置情報と一致するときは、前記ネットワーク機器からの通信を許可し、予め登録されている装置情報と一致しないときは、前記ネットワーク機器からの通信を遮断するという認証処理を行う認証処理部と
を備える認証スイッチ。 An authentication switch having an authentication function,
An LLDP operation unit that performs an operation of transmitting / receiving LLDP PDU to / from an adjacent network device;
The device information of the network device that is allowed to communicate is registered in advance, and when the network device is connected and receives the LLDP PDU from the network device, the device information included in the LLDP PDU is referenced and registered in advance. An authentication processing unit that performs an authentication process of permitting communication from the network device when matching with the device information, and blocking communication from the network device when not matching with the device information registered in advance. An authentication switch provided.
請求項1記載の認証スイッチ。 The authentication switch according to claim 1, wherein the device information is a MAC address of the network device.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2012130346A JP2013255141A (en) | 2012-06-08 | 2012-06-08 | Authentication switch |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2012130346A JP2013255141A (en) | 2012-06-08 | 2012-06-08 | Authentication switch |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2013255141A true JP2013255141A (en) | 2013-12-19 |
Family
ID=49952303
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2012130346A Pending JP2013255141A (en) | 2012-06-08 | 2012-06-08 | Authentication switch |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2013255141A (en) |
-
2012
- 2012-06-08 JP JP2012130346A patent/JP2013255141A/en active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109842585B (en) | Network information safety protection unit and protection method for industrial embedded system | |
US9204301B2 (en) | Deploying wireless docking as a service | |
RU2739435C2 (en) | Wireless communication system with multiple security levels | |
US20130332724A1 (en) | User-Space Enabled Virtual Private Network | |
US9219709B2 (en) | Multi-wrapped virtual private network | |
US20080175449A1 (en) | Fingerprint-based network authentication method and system thereof | |
JP2015517280A5 (en) | ||
JP2018537912A5 (en) | ||
CN103945369A (en) | Internet access configuration method for WIFI device by checking length of WIFI data packets | |
US11528273B2 (en) | Expended trust for onboarding | |
US20120054359A1 (en) | Network Relay Device and Frame Relaying Control Method | |
US20120054358A1 (en) | Network Relay Device and Frame Relaying Control Method | |
Bang et al. | An iot inventory before deployment: a survey on iot protocols, communication technologies, vulnerabilities, attacks, and future research directions | |
US11638149B2 (en) | Instant secure wireless network setup | |
Mahalle et al. | Identity driven capability based access control (ICAC) scheme for the Internet of Things | |
JP2010263310A (en) | Wireless communication device, wireless communication monitoring system, wireless communication method, and program | |
CN103780389A (en) | Port based authentication method and network device | |
AU2015301504B2 (en) | End point secured network | |
Huang et al. | A whole-process WiFi security perception software system | |
JP2013255141A (en) | Authentication switch | |
US8607058B2 (en) | Port access control in a shared link environment | |
US20160100315A1 (en) | Detecting and disabling rogue access points in a network | |
TW201301928A (en) | Method, program product, and system of network connection in a wireless local area network | |
KR20120121817A (en) | Apparatus and method of secure data communication by multiplexing wifi and wireless communication | |
Oberle et al. | Integrity based relationships and trustworthy communication between network participants |