JP2013255141A - Authentication switch - Google Patents

Authentication switch Download PDF

Info

Publication number
JP2013255141A
JP2013255141A JP2012130346A JP2012130346A JP2013255141A JP 2013255141 A JP2013255141 A JP 2013255141A JP 2012130346 A JP2012130346 A JP 2012130346A JP 2012130346 A JP2012130346 A JP 2012130346A JP 2013255141 A JP2013255141 A JP 2013255141A
Authority
JP
Japan
Prior art keywords
switch
authentication
lldp
device information
network device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2012130346A
Other languages
Japanese (ja)
Inventor
賢吏 ▲高▼橋
Takashi Takahashi
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Cable Ltd
Original Assignee
Hitachi Cable Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Cable Ltd filed Critical Hitachi Cable Ltd
Priority to JP2012130346A priority Critical patent/JP2013255141A/en
Publication of JP2013255141A publication Critical patent/JP2013255141A/en
Pending legal-status Critical Current

Links

Images

Classifications

    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks

Landscapes

  • Small-Scale Networks (AREA)

Abstract

PROBLEM TO BE SOLVED: To provide an authentication switch that, if a switch is connected to the authentication switch, can authenticate the connected switch.SOLUTION: An authentication switch 10 having an authentication function includes an authentication processing section in which device information about a switch permitted to communicate is registered beforehand and which, if a switch 20 is connected and an LLDP PDU 15 is received from the switch 20, performs an authentication process of referring to device information included in the LLDP PDU 15, and permitting communication from the switch 20 if the device information registered beforehand is matched and denies communication from the switch 20 if the device information registered beforehand is not matched.

Description

本発明は、認証機能を有する認証スイッチに関するものである。   The present invention relates to an authentication switch having an authentication function.

従来、LAN(Local Area Network)のセキュリティを高めるために、ユーザの認証を行うための認証機能を有する認証スイッチが用いられている(例えば、特許文献1)。   2. Description of the Related Art Conventionally, an authentication switch having an authentication function for authenticating a user has been used in order to increase the security of a LAN (Local Area Network) (for example, Patent Document 1).

認証スイッチは、MAC(Media Access Control)認証やWeb認証などの認証機能を有する。例えば、MAC認証では、認証スイッチにはLANへのアクセスを許可するユーザ端末のMACアドレスが予め登録されている。ユーザ端末が認証スイッチに接続されると、認証スイッチは、ユーザ端末が送信したフレームの送信元MACアドレスを参照し、予め登録されているMACアドレスと一致するときは、LANへのアクセスを許可し、予め登録されているMACアドレスと一致しないときは、通信を遮断してLANへアクセスできないようにする。   The authentication switch has an authentication function such as MAC (Media Access Control) authentication or Web authentication. For example, in MAC authentication, the MAC address of the user terminal that permits access to the LAN is registered in advance in the authentication switch. When the user terminal is connected to the authentication switch, the authentication switch refers to the transmission source MAC address of the frame transmitted by the user terminal, and permits access to the LAN when it matches the pre-registered MAC address. If it does not match the pre-registered MAC address, the communication is cut off so that the LAN cannot be accessed.

特開2010−62667号公報JP 2010-62667 A

しかし、従来の認証スイッチでは、認証スイッチにスイッチ(ネットワークスイッチ)が接続されたとき、接続されたスイッチを認証する機能は有していない。   However, the conventional authentication switch does not have a function of authenticating the connected switch when the switch (network switch) is connected to the authentication switch.

例えば、ネットワークウイルスに感染したスイッチがLANに接続されると、当該スイッチを感染源として、LAN全体がネットワークウイルスに晒されるというおそれがある。ネットワーク管理者としては、予め正規品として規定したスイッチのみをLANに接続したいという要望がある。したがって、認証スイッチにスイッチが接続されたとき、接続されたスイッチを認証する機能があると好ましい。   For example, when a switch infected with a network virus is connected to a LAN, the entire LAN may be exposed to the network virus using the switch as an infection source. As a network administrator, there is a desire to connect only a switch that has been specified as a regular product in advance to the LAN. Therefore, it is preferable that there is a function of authenticating the connected switch when the switch is connected to the authentication switch.

そこで、本発明は、認証スイッチにスイッチが接続されたとき、接続されたスイッチを認証することができる認証スイッチを提供することを目的とする。   Accordingly, an object of the present invention is to provide an authentication switch that can authenticate a connected switch when the switch is connected to the authentication switch.

本願発明は上記目的を達成するために、認証機能を有する認証スイッチであって、隣接するネットワーク機器とLLDP PDUを送受信する動作を行うLLDP動作部と、通信が許可されるネットワーク機器の装置情報が予め登録されており、ネットワーク機器が接続されてネットワーク機器からLLDP PDUを受信すると、LLDP PDUに含まれる装置情報を参照し、予め登録されている装置情報と一致するときは、ネットワーク機器からの通信を許可し、予め登録されている装置情報と一致しないときは、ネットワーク機器からの通信を遮断するという認証処理を行う認証処理部とを備える認証スイッチである。   In order to achieve the above object, the present invention is an authentication switch having an authentication function, and includes apparatus information of an LLDP operation unit that performs an operation of transmitting and receiving LLDP PDUs with an adjacent network device, and network devices that are permitted to communicate. When a network device is connected in advance and an LLDP PDU is received from the network device, the device information included in the LLDP PDU is referred to. When the device information matches the pre-registered device information, communication from the network device is performed. Is an authentication switch that includes an authentication processing unit that performs an authentication process of blocking communication from the network device when the device information does not match the device information registered in advance.

本発明の認証スイッチによれば、認証スイッチにスイッチが接続されたとき、接続されたスイッチを認証することができる。   According to the authentication switch of the present invention, when a switch is connected to the authentication switch, the connected switch can be authenticated.

また、スイッチに広く採用されているLLDPを用いて認証することにより、多くの機種を認証の対象とすることができる。   In addition, by authenticating using LLDP widely adopted for switches, many models can be subjected to authentication.

本実施形態の認証スイッチの使用例を示す図である。It is a figure which shows the usage example of the authentication switch of this embodiment.

以下、図面を参照して、本発明の実施形態を説明する。   Hereinafter, embodiments of the present invention will be described with reference to the drawings.

図1は、本実施形態の認証スイッチの使用例を示す図である。   FIG. 1 is a diagram illustrating a usage example of the authentication switch of the present embodiment.

図1において、本実施形態の認証スイッチ10とスイッチ20とがネットワークケーブル30で接続されている。   In FIG. 1, the authentication switch 10 and the switch 20 of the present embodiment are connected by a network cable 30.

認証スイッチ10は、例えば、LANで用いられるイーサネット(登録商標)スイッチである。認証スイッチ10は、複数のポート11を備え、ネットワークケーブル30によりユーザ端末(パーソナルコンピュータ)、プリンタ、サーバ、スイッチ等のネットワーク機器と接続される。なお、図1では、簡略化してスイッチ20と接続するポート11のみを図示している。   The authentication switch 10 is, for example, an Ethernet (registered trademark) switch used in a LAN. The authentication switch 10 includes a plurality of ports 11 and is connected to network devices such as a user terminal (personal computer), a printer, a server, and a switch through a network cable 30. In FIG. 1, only the port 11 connected to the switch 20 is illustrated in a simplified manner.

認証スイッチ10は、LLDP(Link Layer Discovery Protocol)動作部12を備える。LLDPは、IEEE802.1ABで標準化されている機能であり、隣接するネットワーク機器とLLDP PDU(Protocol Data Unit)を送受信することにより、隣接するネットワーク機器と装置情報をやり取りする機能である。LLDP動作部12は、具体的に、認証スイッチ10の装置情報を含むLLDP PDUを生成し、隣接するネットワーク機器に送信する動作を行う。また、LLDP動作部12は、隣接するネットワーク機器からLLDP PDUを受信し、受信したLLDP PDUに含まれるネットワーク機器の装置情報を取得して、所定のメモリ領域に保存する動作を行う。なお、装置情報は、ネットワーク機器の種類、製品名、MACアドレス、ポート番号等である。LLDP動作部12は、CPU(Central Processing Unit)のソフトウェア動作によって実現される。   The authentication switch 10 includes an LLDP (Link Layer Discovery Protocol) operation unit 12. LLDP is a function standardized by IEEE 802.1AB, and is a function for exchanging device information with an adjacent network device by transmitting and receiving LLDP PDU (Protocol Data Unit) with the adjacent network device. Specifically, the LLDP operation unit 12 performs an operation of generating an LLDP PDU including device information of the authentication switch 10 and transmitting it to an adjacent network device. The LLDP operation unit 12 receives LLDP PDUs from adjacent network devices, acquires device information of the network devices included in the received LLDP PDUs, and stores the device information in a predetermined memory area. The device information includes the type of network device, product name, MAC address, port number, and the like. The LLDP operation unit 12 is realized by a software operation of a CPU (Central Processing Unit).

また、認証スイッチ10は、認証処理部13を備える。認証処理部13は、MAC認証やWeb認証などの認証機能を有し、ユーザ端末の認証処理を行う。さらに、本実施形態では、認証処理部13は、認証スイッチ10に接続されたスイッチの認証を行う認証機能を有する。具体的に、認証処理部13には、通信が許可されるスイッチの装置情報(例えば、MACアドレス)が予め登録されている。そして、認証スイッチ10にスイッチが接続されて当該スイッチからLLDP PDUを受信すると、認証処理部13は、LLDP PDUに含まれる装置情報を参照し、予め登録されている装置情報と一致するときは、通信を許可し、予め登録されている装置情報と一致しないときは、通信を遮断するという認証処理を行う。   Further, the authentication switch 10 includes an authentication processing unit 13. The authentication processing unit 13 has an authentication function such as MAC authentication or Web authentication, and performs user terminal authentication processing. Further, in the present embodiment, the authentication processing unit 13 has an authentication function for performing authentication of a switch connected to the authentication switch 10. Specifically, device information (for example, a MAC address) of a switch that is permitted to communicate is registered in the authentication processing unit 13 in advance. When a switch is connected to the authentication switch 10 and receives an LLDP PDU from the switch, the authentication processing unit 13 refers to the device information included in the LLDP PDU, and when it matches the device information registered in advance, If the communication is permitted and does not match the pre-registered device information, an authentication process is performed to block the communication.

スイッチ20は、例えば、L(Layer)2スイッチ、L3スイッチである。スイッチ20は、複数のポート21を備え、ネットワークケーブル30により他のネットワーク機器と接続される。図1の使用例では、スイッチ20は認証スイッチ10に接続される。また、スイッチ20はLLDP動作部22を備え、隣接するネットワーク機器とLLDP PDUを送受信する。なお、本発明において、認証スイッチ10に接続されるスイッチ20がLLDPの機能を有することが前提となっている。   The switch 20 is, for example, an L (Layer) 2 switch or an L3 switch. The switch 20 includes a plurality of ports 21 and is connected to other network devices by a network cable 30. In the usage example of FIG. 1, the switch 20 is connected to the authentication switch 10. Further, the switch 20 includes an LLDP operation unit 22 and transmits / receives LLDP PDUs to / from adjacent network devices. In the present invention, it is assumed that the switch 20 connected to the authentication switch 10 has the LLDP function.

次に、本実施形態の認証スイッチ10の動作を説明する。   Next, the operation of the authentication switch 10 of this embodiment will be described.

まず、認証スイッチ10には、ネットワーク管理者によって、通信が許可されるスイッチの装置情報(MACアドレス)が予め登録される。   First, device information (MAC address) of a switch that is permitted to communicate is registered in advance in the authentication switch 10 by a network administrator.

次に、図1に示すように、ネットワークケーブル30で、認証スイッチ10とスイッチ20が接続される。   Next, as shown in FIG. 1, the authentication switch 10 and the switch 20 are connected by a network cable 30.

認証スイッチ10及びスイッチ20は、LLDPの機能により、LLDP PDU15を相互に送信しあう。   The authentication switch 10 and the switch 20 transmit LLDP PDUs 15 to each other by the LLDP function.

認証スイッチ10は、スイッチ20からLLDP PDU15を受信すると、受信したLLDP PDU15に含まれる装置情報(MACアドレス)を参照する。認証スイッチ10は、参照した装置情報(MACアドレス)が登録されている装置情報(MACアドレス)と一致するときは、スイッチ20からの通信を許可し、参照した装置情報(MACアドレス)が登録されている装置情報(MACアドレス)と一致しないときは、スイッチ20からの通信を遮断する。   When receiving the LLDP PDU 15 from the switch 20, the authentication switch 10 refers to device information (MAC address) included in the received LLDP PDU 15. The authentication switch 10 permits communication from the switch 20 when the referenced device information (MAC address) matches the registered device information (MAC address), and the referenced device information (MAC address) is registered. If the device information (MAC address) does not match, the communication from the switch 20 is blocked.

以上のように、本実施形態の認証スイッチ10によれば、隣接するネットワーク機器とLLDP PDUを送受信する動作を行うLLDP動作部12と、接続されたスイッチ20から受信したLLDP PDU15に含まれる装置情報を参照して、スイッチ20からの通信の許可、または、通信の遮断を行う認証処理部13を備えるので、認証スイッチ10にスイッチ20が接続されたとき、接続されたスイッチ20を認証することができる。また、スイッチに広く採用されているLLDPを用いて認証することにより、多くの機種を認証の対象とすることができる。   As described above, according to the authentication switch 10 of the present exemplary embodiment, the apparatus information included in the LLDP PDU 15 received from the LLDP PDU 15 received from the connected switch 20 and the LLDP PDU 15 that performs an operation of transmitting and receiving LLDP PDUs with adjacent network devices. , The authentication processing unit 13 that permits the communication from the switch 20 or blocks the communication is provided. Therefore, when the switch 20 is connected to the authentication switch 10, the connected switch 20 can be authenticated. it can. In addition, by authenticating using LLDP widely adopted for switches, many models can be subjected to authentication.

なお、上記の実施形態では、スイッチ20の認証を行う動作について説明したが、本発明の認証スイッチの認証機能は、スイッチ20に限られず、LLDPの機能を有するネットワーク機器、例えば、IP電話、プリンタ、サーバ等、であれば適用可能である。   In the above embodiment, the operation for performing the authentication of the switch 20 has been described. However, the authentication function of the authentication switch of the present invention is not limited to the switch 20, but a network device having an LLDP function, such as an IP phone, a printer, etc. Any server can be applied.

10:認証スイッチ
11:ポート
12:LLDP動作部
13:認証処理部
15:LLDP PDU
20:スイッチ
30:ネットワークケーブル 10: Authentication switch 11: Port 12: LLDP operation unit 13: Authentication processing unit 15: LLDP PDU
20: Switch 30: Network cable

Claims (2)

認証機能を有する認証スイッチであって、
隣接するネットワーク機器とLLDP PDUを送受信する動作を行うLLDP動作部と、
通信が許可されるネットワーク機器の装置情報が予め登録されており、ネットワーク機器が接続されて前記ネットワーク機器からLLDP PDUを受信すると、前記LLDP PDUに含まれる装置情報を参照し、予め登録されている装置情報と一致するときは、前記ネットワーク機器からの通信を許可し、予め登録されている装置情報と一致しないときは、前記ネットワーク機器からの通信を遮断するという認証処理を行う認証処理部と
を備える認証スイッチ。 An authentication switch having an authentication function,
An LLDP operation unit that performs an operation of transmitting / receiving LLDP PDU to / from an adjacent network device;
The device information of the network device that is allowed to communicate is registered in advance, and when the network device is connected and receives the LLDP PDU from the network device, the device information included in the LLDP PDU is referenced and registered in advance. An authentication processing unit that performs an authentication process of permitting communication from the network device when matching with the device information, and blocking communication from the network device when not matching with the device information registered in advance. An authentication switch provided. 前記装置情報は、前記ネットワーク機器のMACアドレスである
請求項1記載の認証スイッチ。 The authentication switch according to claim 1, wherein the device information is a MAC address of the network device.
JP2012130346A 2012-06-08 2012-06-08 Authentication switch Pending JP2013255141A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2012130346A JP2013255141A (en) 2012-06-08 2012-06-08 Authentication switch

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2012130346A JP2013255141A (en) 2012-06-08 2012-06-08 Authentication switch

Publications (1)

Publication Number Publication Date
JP2013255141A true JP2013255141A (en) 2013-12-19

Family

ID=49952303

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2012130346A Pending JP2013255141A (en) 2012-06-08 2012-06-08 Authentication switch

Country Status (1)

Country Link
JP (1) JP2013255141A (en)

Similar Documents

Publication Publication Date Title
CN109842585B (en) Network information safety protection unit and protection method for industrial embedded system
US9204301B2 (en) Deploying wireless docking as a service
RU2739435C2 (en) Wireless communication system with multiple security levels
US20130332724A1 (en) User-Space Enabled Virtual Private Network
US9219709B2 (en) Multi-wrapped virtual private network
US20080175449A1 (en) Fingerprint-based network authentication method and system thereof
JP2015517280A5 (en)
JP2018537912A5 (en)
CN103945369A (en) Internet access configuration method for WIFI device by checking length of WIFI data packets
US11528273B2 (en) Expended trust for onboarding
US20120054359A1 (en) Network Relay Device and Frame Relaying Control Method
US20120054358A1 (en) Network Relay Device and Frame Relaying Control Method
Bang et al. An iot inventory before deployment: a survey on iot protocols, communication technologies, vulnerabilities, attacks, and future research directions
US11638149B2 (en) Instant secure wireless network setup
Mahalle et al. Identity driven capability based access control (ICAC) scheme for the Internet of Things
JP2010263310A (en) Wireless communication device, wireless communication monitoring system, wireless communication method, and program
CN103780389A (en) Port based authentication method and network device
AU2015301504B2 (en) End point secured network
Huang et al. A whole-process WiFi security perception software system
JP2013255141A (en) Authentication switch
US8607058B2 (en) Port access control in a shared link environment
US20160100315A1 (en) Detecting and disabling rogue access points in a network
TW201301928A (en) Method, program product, and system of network connection in a wireless local area network
KR20120121817A (en) Apparatus and method of secure data communication by multiplexing wifi and wireless communication
Oberle et al. Integrity based relationships and trustworthy communication between network participants