JP2015050496A - 通信システム及び認証スイッチ - Google Patents

通信システム及び認証スイッチ Download PDF

Info

Publication number
JP2015050496A
JP2015050496A JP2013178807A JP2013178807A JP2015050496A JP 2015050496 A JP2015050496 A JP 2015050496A JP 2013178807 A JP2013178807 A JP 2013178807A JP 2013178807 A JP2013178807 A JP 2013178807A JP 2015050496 A JP2015050496 A JP 2015050496A
Authority
JP
Japan
Prior art keywords
authentication
terminal
switch
request
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2013178807A
Other languages
English (en)
Other versions
JP6106558B2 (ja
Inventor
史子 大宮
Fumiko Omiya
史子 大宮
岳宏 吉丸
Okahiro Yoshimaru
岳宏 吉丸
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Alaxala Networks Corp
Original Assignee
Alaxala Networks Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Alaxala Networks Corp filed Critical Alaxala Networks Corp
Priority to JP2013178807A priority Critical patent/JP6106558B2/ja
Publication of JP2015050496A publication Critical patent/JP2015050496A/ja
Application granted granted Critical
Publication of JP6106558B2 publication Critical patent/JP6106558B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

【課題】通信システムにおける認証処理の分散を目的とする。【解決手段】 第一の端末と第二の端末の認証情報を管理する認証サーバと、第一の端末の認証処理を行う第一の通信ノードに接続される第二の通信ノードと、を備える通信システムで、第2の通信ノードは、第一の通信ノードでの認証処理の結果に基づいて、第2の通信ノードにおける第一の端末の通信制御を行なう。【選択図】図1

Description

本発明は、認証処理を行う通信システム、またはスイッチ装置に関する。
通信ネットワークのセキュリティを高める手段として、有線ネットワーク、無線ネットワークを問わず、ネットワーク認証システムが用いられている。ネットワーク認証システムを構成するのは、PCやスマートデバイス等のユーザ端末、無線アクセスポイント、認証スイッチ、認証サーバである。認証の方式としては、無線ネットワークでは、無線アクセスポイントは、主にIEEE802.1X認証を使用して、認証サーバに対して認証情報が登録されているか問い合わせを行う。また、有線ネットワークの場合で、認証スイッチが、MACアドレス認証を使用して、認証情報が登録されているか問い合わせを行う。
特許文献1では、セキュリティをより強化するために、認証と同時にユーザ端末に対してアクセス制御やQoS制御を行うが開示されている。特許文献2は、認証処理の連携については、無線アクセスポイントからの認証パケットをスヌーピングし、認証スイッチにて認証するための方式が開示されている。特許文献3には、認証に関する情報として、端末装置登録情報エントリに端末識別子、認証フラグが開示されている。
特開2004-32525 特開2010-062667 特開2006-33206
ここで、無線のユーザ端末の場合には、無線アクセスポイントで認証を行うが、有線のユーザ端末では認証スイッチが認証を行うため、認証シーケンスや認証に関連する設定、例えば再認証間隔や最大接続時間、が、無線ネットワークと有線ネットワークで別々に存在する。
また無線アクセスポイントで認証サーバへ、問い合わせにより外部ネットワークへの認証を行ない、認証が成功した場合でも、外部ネットワークへの経路上の認証スイッチは、別途認証要求を行ない、認証サーバに対して認証情報が登録されているか問い合わせを行う。認証サーバは認証データベースを検索し、認証情報が登録されている場合には、認証成功通知を認証スイッチに通知し、その通知を受信した無線アクセスポイントまたは認証スイッチは、当該認証リクエストを送信したユーザ端末を認証済みとして、通信を可能とする。
ユーザ端末のアクセスを制御するという課題にたいして、一つのシステムであれば同一のポリシーで運用管理を行う必要があるが、無線ネットワークと有線ネットワークで個別に構築するため、それぞれの機器でサポートする機能や仕様が異なる場合、同一のセキュリティーポリシーとする必要があり、ネットワーク構築や管理が煩雑になる。
特許文献1では、本方式を無線アクセスポイントに個別に設定した場合には、無線アクセスポイントの台数分の設定が必要となる。そのため、管理対象の無線アクセスポイントが数十台から数百台存在する大規模なネットワークでは、同一の設定変更を全ての機器に行う必要が生じるため、管理が煩雑になる要因となってしまう。さらに、無線アクセスポイントの台数が多い場合には、無線LANスイッチと呼ばれる集中運用管理装置が導入される場合もあるが、無線LANスイッチで認証処理までを行うと、無線LANスイッチの負荷が増大し、通信処理へ影響を及ぼす可能性も考えられる。
特許文献2では、認証サーバとの間で認証パケットが暗号化されている場合には、認証状態を判断することができない。また、認証スイッチにて認証を行った場合、端末が無線アクセスポイントを移動してしまった際に、古い認証情報を削除する必要がある。
また、特許文献3があるが、こちらは端末装置登録情報エントリとして、端末識別子、認証フラグのみであり、アクセス制御情報がないため、認証結果に基づく認証済み端末に対するアクセス制御ができない。また、認証済み端末のネットワークからの離脱に関する記述がない。
本発明では、通信システムにおける認証処理と認証状態の管理の分散し、各装置での認証処理負荷の軽減を目的とする。
本発明の一態様では、第一の端末と第二の端末の認証情報を管理する認証サーバと、端末の第一の認証処理を行う第一の通信ノードと、端末の第二の認証処理を行う第二の通信ノードと、を備える通信システムで、第二の通信ノードは、第一の認証処理または第二の認証処理のいずれか一方を用いて、当該端末の認証状態を更新し、端末から外部ネットワークへの通信を許可する。第一の認証処理及び第二の認証処理は、通信ノードそれぞれは、認証サーバに対して、端末が外部ネットワークへの通信の許可を求め、認証サーバは、通信を許可するか判断する。
より具体的な態様としては、認証スイッチは、認証サーバに対して端末の外部ネットワークへの通信可否を問い合わせ、その結果に応じて端末の認証状態を更新するだけでなく、無線端末と無線を介して接続される無線アクセスポイントによって認証された無線端末の認証情報を取得し、認証スイッチ自身で、無線端末の外部ネットワークへの認証処理を行なうことなく、無線アクセスポイントの認証処理による認証情報を用いて、認証状態を更新し、無線端末から外部ネットワークへのアクセスを中継する。
その他の態様は、本明細書及び図面全体によって開示される。
本発明の一態様により、認証処理が分散され、端末からネットワークへのアクセスの認証処理の効率がよくなる。
実施例1におけるネットワークシステムの全体構成図 を示す。 実施例1および実施例2におけるユーザ端末登録テーブルの構成図を示す。 実施例1および実施例2におけるアクセス制御情報(ACL)登録テーブルを示す。 実施例1および実施例2におけるQoS情報登録テーブル166を示す。 実施例1における認証処理のシーケンス図である。 実施例1において認証スイッチ111と無線アクセスポイント113との疎通性がなくなった場合のシーケンス図を示す。 実施例2におけるネットワーク構成を示す。 実施例2での、認証処理のシーケンス図を示す。 実施例2における認証情報削除処理を示す。
発明を実施するための図面に基づいて説明する。
実施例1について説明を行う。実施例1では、無線アクセスポイントと認証スイッチ間での認証情報の同期を行うことにより、ユーザ端末のアクセス制御を認証スイッチで一括管理することが可能となり、管理者の負荷を軽減できるという利点があり、実施例1では、認証情報の同期を無線アクセスポイントから認証スイッチへHTTP(Hyper Text Transfer Protocol)のPOSTメソッドにより送信することで実現する。
無線アクセスポイントはユーザ端末が接続された場合、認証サーバへ認証可否を問い合わせる。認証サーバから認証成功通知を無線アクセスポイントが受信し、ユーザ端末の認証が成功した場合、無線アクセスポイントは認証成功情報を認証スイッチへHTTPS(Hyper Text Transfer Protocol Secure)を利用して通知し、認証スイッチとの間で認証成功情報の同期を行う。また、その際には無線アクセスポイントは、認証成功情報に付加情報としてアクセス制御を行う識別子を付加し、その識別子を用いることで、認証スイッチにて予め設定されているアクセス制御情報や、QoS情報とユーザ端末を紐付け、ユーザ端末単位でのアクセス制御やQoS制御を可能とする。
無線アクセスポイントにてユーザ端末のログアウトを検知した場合は、無線アクセスポイントは認証スイッチにHTTPSを利用して端末ログアウト情報を通知する。認証スイッチでは、この情報を元にユーザ端末の認証成功情報を削除する。
本実施例によると、無線アクセスポイントから認証スイッチへHTTPSを用いて認証成功情報を通知するため、通信経路が暗号化され、また柔軟な付加情報の拡張が容易となる。
図1はネットワークシステムの全体図である。図1のネットワークシステムはネットワーク115に認証スイッチ111が接続され、認証スイッチ111に無線アクセスポイント113及びスイッチングハブ112が接続され、無線アクセスポイント113には、無線を介して無線端末114が接続されている。ユーザのうち無線端末114は、無線通信により無線アクセスポイント113へ接続し無線アクセスポイント113で認証処理が行なわれ、認証スイッチ111を介してネットワーク115に接続される。また、スイッチングハブ112には、有線を介して端末118が接続されている。ユーザ端末のうち有線端末118は、有線通信によりスイッチングハブ112へ接続を行い、認証スイッチ111で、認証処理が行われ、通信を行う構成となっている。以下、ネットワークの構成要素について説明を行う。
ユーザ端末のうち無線端末114はネットワーク115への通信を行うための無線通信デバイスであり、ユーザ端末のうち有線端末118は、外部のネットワーク115への通信を行うための有線通信デバイスである。認証サーバ110は、ユーザ端末(無線端末114及び有線端末118)がネットワークに接続する際にネットワーク認証を動作させる場合に機能する。認証サーバ110には予めユーザ端末(無線端末114及び有線端末118)やユーザの情報を登録しておき、認証サーバ110に登録されたユーザのみ正規ユーザとして判断しネットワークへの接続を許可し、登録されていないユーザ端末114及びユーザ端末118やユーザを不正ユーザと判断してネットワークへの接続を許可しないといった、セキュリティ機能を利用することが出来る。
スイッチングハブ112はユーザ端末118が有線通信を利用してネットワーク接続を行う場合の接続ポイントとして機能する。
認証スイッチ11は、CPU11、ポート12、メモリ13、認証端末登録テーブル14、認証情報処理部15、アクセス制御情報(ACL)テーブル16/QoS情報登録テーブル166を備えている。
ポート12は、無線AP1120、スイッチは部112、認証サーバ110、外部ネットワーク115のいずれかに接続される。
パケット送受信部168は、ACL16、QoS166、FDB168の情報を保持し、ポート12を介して受信するパケットの出力可否、出力先の決定を行う、中継部である。 ACL16は、アクセス制御情報(ACL)の登録テーブルである。ACL16は、認証成功後のユーザ端末(無線端末114または有線端末118)がアクセスできるネットワークを制御するための条件が設定され、パケット送受信部17が、パケット中継時にされるフィルタの一つである。QoS166も、パケット送受信部17が、パケット中継時にされるフィルタの一つであり、認証成功後のユーザ端末のQoS制御を行うための条件が設定される。FDB(Forwarding Data Base)168は、受信したパケットの出力するポートを決定するための情報を保持し、端末のアドレス(MACアドレス、IPアドレス)とポートとの対応付けが保持される。パケット送受信部17は、FDB168を参照し、受信したパケットの宛先アドレスを参照し、対応するポート12からパケットを出力する。無線AP13のアドレスとポート12との対応付けや認証サーバ110とポート12との対応づけてもFDB168に含まれていてもよい。認証スイッチ11から無線APに要求を送信する場合もFDB168を参照し、要求を出力するポートを特定してもよい。
認証スイッチ111はユーザ端末(無線端末114及び有線端末118)がネットワークへ接続する際に不正ユーザの接続を防止するためのネットワーク認証機能を備えている。認証スイッチ111で認証処理を行う際の動作を以下に説明する。
メモリ13は、認証端末登録テーブル14、認証情報処理部15を保持する。認証端末登録テーブル14は、認証処理済みの情報処理装置のMACアドレス、IPアドレスの組合せが記憶される。認証情報処理部15は、プログラムであり、CPU11が、当該プログラムを読み取り、認証情報処理部15を実行する。
認証スイッチ111では、認証機能の設定をポート12ごとに行う。認証機能の設定を行ったポート12で任意のパケットを受信すると受信パケットが認証されたユーザ端末からの通信であるか否かを、判断するために、認証情報処理部15において、パケットのヘッダ情報から送信元MACアドレス、送信元IPアドレスを読み取り、該当アドレスが認証端末登録テーブル14に登録されているか否かを確認する。
認証情報処理部15は、該当アドレスが認証端末登録テーブル14に登録されていれば正規ユーザからの通信であると判断し、受信パケットをパケット送受信部17から宛先ネットワークのポートへ送信処理をおこない、該当アドレスが認証端末登録テーブル14に登録されていなければユーザ認証(MAC認証)を行うために該当ユーザ端末(無線端末114あるいは118)に対して認証情報の要求をおこなう。
そして、認証スイッチ111がユーザ端末から認証情報を送信するパケットを受信すると、認証スイッチ111は認証サーバ110へ認証情報を転送し、認証を要求する。認証スイッチ111が認証サーバ110から認証成功の通知を受信した場合、該当ユーザを認証済みユーザとして認証端末登録テーブル14へ登録し、該当ユーザはネットワーク115へのアクセスが可能なる。認証スイッチ111が認証サーバ110から認証失敗の通知を受信した場合、該当ユーザを不正ユーザとみなし認証端末登録テーブル14へ登録は行わず、該当ユーザはネットワークへのアクセスが不可となる。なお、認証スイッチ111は、MACアドレスを用いて認証サーバ110へ認証可否を問い合わせるMACアドレス認証方式を用いてもよい。その場合は、認証サーバ110は、端末のMACアドレスやユーザの情報を事前に持っている。
また、認証情報処理部15は、無線アクセスポイント(AP)113による認証処理の結果の通知を受けた場合も、認証端末登録テーブル14を更新し、無線AP(113)の認証処理で認証された端末の認証状態を認証済みとする。このように、認証情報処理部15は、認証端末登録テーブルを更新し、無線アクセスポイントでの認証結果や認証スイッチ自身での認証結果を用いて認証状態を管理する。その結果、認証スイッチ111は、認証サーバ110に認証要求をする処理をスキップし、更新された認証端末登録テーブル14を参照し端末からネットワーク115への通信を許可する。 無線アクセスポイント(AP)113は、ユーザ端末114が無線通信を利用してネットワーク接続を行う場合の接続ポイントとして機能する。また、無線アクセスポイント(AP)113は、IEEE802.1X認証のような認証方式を用いて、認証サーバ110へ認証可否の問合せを行ない、ネットワーク認証を行う。
ユーザ端末114はネットワークに接続すると認証パケットを送信し、その認証パケットを受信した無線アクセスポイント113は、認証サーバに対して認証情報が登録されているか問い合わせを行う。認証サーバは認証データベースを検索し、認証情報が登録されている場合には、認証成功通知を無線アクセスポイントまたは認証スイッチに通知し、その通知を受信した無線アクセスポイントまたは認証スイッチは、当該認証リクエストを送信したユーザ端末を認証済みとして、通信を可能とする。
無線AP113は、無線送受信部1130、パケット送受信部1120、CPU1160、メモリ1150を有する。メモリ1150は、CPU1160に接続される。メモリ1150は、認証端末登録テーブル1140と、認証情報登録部1150を有する。認証情報登録部1150は、プログラムであり、CPU1160によって読み出され実行される。認証情報登録部1150は、認証スイッチで認証登録をするのと同様に、無線AP113にアクセスする端末の認証可否について認証サーバに問合せ、その問合せ結果に応じて認証端末登録テーブル1140に認証可否を設定する。そして、認証可の場合は、無線AP113は、HTTP(HTTPS)のPOSTメソッドにより、認証スイッチ111に対して認証可の端末の情報を送信する。CPU1160は、メモリ1130に接続され、認証情報登録部1150を実行し、認証端末登録テーブル1140を更新または参照する。CPU1160は、パケット送受信部1120及び無線送受信部1110に接続され、それらを制御する。たとえば、CPU1160は、認証情報登録部1150の処理に従ったパケット送受信部における転送先アドレスや出力ポートの設定を行う。
無線送受信部1110は、無線端末114から送信された信号を無線でアンテナを介して受信し、無線端末114に信号を無線で送信する。パケット送受信部1120は、認証スイッチ111から送信されたパケットを受信し、無線送受信部1110を介してパケットを無線端末114に向けて送信する。また、パケット送受信部1120は、認証済みの無線端末114からのパケットをポート1120を介して認証スイッチに111へ送信する。認証済みでない無線端末114からのパケットについては、認証情報登録部1150の処理に従ってパケットが、認証スイッチに111に向けて送信される。
また、無線APは、ポート1120を有し、認証スイッチ111や他のノードに有線ネットワークを介して接続される、ポート1120は、無線AP113が認証スイッチ111や認証サーバ110、ネットワーク115を通信するためのインターフェースである。また、無線AP1120は、複数のポート1120を有する。それぞれのポート1120は一意の識別子が割り振られており、CPU1160により管理される。
図2は、認証端末登録テーブル14の構成を示す。認証端末登録テーブル1140も同様の構成である。認証端末登録テーブル14は、ユーザ端末(無線端末114または有線端末118)のMACアドレス、IPアドレス、所属VLAN、アクセス制御をするための識別子、ユーザ名と認証状態の関連付けを示す。なお、認証スイッチ111や無線アクセスポイント113といったネットワーク機器は、図2で示すテーブルの形式に限らず、これらの情報を関連づけて保持してもよい。
無線アクセスポイント113(認証情登録部1150)では、ユーザ端末(無線端末114)からの認証要求パケットを受信すると受信ポートの番号を認証端末登録テーブル1140へ記録し、認証要求パケットから、認証端末のMACアドレス、IPアドレス、所属VLAN番号、ユーザ名を読み取り認証端末登録テーブル1140へ記録する。
その際、識別子の欄は未記入、状態の欄は認証中として、認証要求パケットを認証サーバ110へ送信する。無線アクセスポイント113(認証情報登録部1150)は、認証サーバから認証結果通知を受信し、認証が成功していた場合、認証結果通知に記載されているユーザの識別子を読み取り、認証端末登録テーブル1140に、読み取った識別子を書き込み、状態を認証済みに変更し、更新する。そして、無線アクセスポイント113(認証情報登録部1150)は、無線アクセスポイントから認証スイッチへHTTPのPOSTメソッドにより、認証済みとなった端末のMACアドレス、IPアドレス、VLAN番号、ユーザ名、識別子を送信する。
一方、認証スイッチ11(認証情報処理部15)は、認証端末登録テーブル14へ、無線アクセスポイントからのパケットを受信したポート番号と、POSTメソッドにより通知された情報を用いて認証端末登録テーブル14に登録し、他の認証情報はPOSTメソッドにより受信したパケットから読取ることにより、認証端末登録テーブル14に登録を行う。
無線アクセスポイントが認証サーバから認証失敗の通知を受信した場合、認証状態が「認証中」となっていた該当ユーザ情報を認証端末登録テーブル1140から削除する。
実施例1では、無線アクセスポイント113で認証を行った場合、無線アクセスポイント113から認証スイッチ111に対してHTTPのPOSTメソッドを利用して認証情報を送信し、認証情報の同期を行う。図1において、認証スイッチ111は無線アクセスポイント113からHTTPのPOSTメソッドによって認証情報を受信すると、認証情報処理によって受信パケットから認証成功端末のMACアドレス、IPアドレス、所属VLAN、識別子、の情報を読取り、認証端末登録テーブル14のエントリに読み取った情報を登録する。また、認証端末登録テーブル14に登録するポート番号は、無線アクセスポイント113からHTTPパケットを受信したポート番号を登録し、認証状態を認証済みとして登録する。また、認証スイッチ111は、処理206により通知された認証情報を用いてACLテーブル16またはQoS登録テーブル166を更新する。
図1で示す形態のネットワークシステムにおいて、端末114が無線アクセスポイント113経由でネットワーク115にアクセスする形態では無線アクセスポイント113にて認証処理を実施すれば認証スイッチ111での認証サーバ116に問合せする認証処理は不要となる。また、有線で接続されるユーザ端末118がハブ112経由でネットワーク115にアクセスする形態では認証スイッチ111で認証処理を実施すればよい。従って、無線アクセスポイント113と認証スイッチ111いずれかで、認証サーバ116との問合せによる認証処理を実施すればよい。認証スイッチ111での認証処理については、上記に示したとおりである。
本実施例では、特に、無線アクセスポイント113にて認証処理を行い、認証成功情報を認証スイッチ111の認証成功情報と同期し、認証スイッチ111や認証サーバ110での負荷の軽減することを目的としている。そこで、以下、ユーザ端末114が無線アクセスポイント113経由で自分が属するドメインへログインする形態について説明する。
図5は、本実施例における認証処理のシーケンス図である。
無線アクセスポイント113は、無線ユーザ端末 114からの任意のパケットを無線アクセスポイント113で受信すると、認証端末登録テーブル1140を参照し、無線アクセスポイント113(認証情報登録部1150)は受信した任意のパケットが認証済みのユーザ端末からのものか否かを識別する処理201を行う。
無線アクセスポイント113(認証情報登録部1150)は、認証済みのユーザ端末からのパケットであると判断された場合には、端末の通信を許可し受信したパケットを認証スイッチに転送する。
無線アクセスポイント113(認証情報登録部1150)は、処理201の結果、認証前のユーザ端末からのパケットであると判断された場合、ユーザ端末114に認証情報(ユーザID、パスワード)の要求処理202を行う。無線アクセスポイント113からの認証情報の要求を受信したユーザ端末114は、無線アクセスポイント113へ認証情報を送信する処理203を行う。ユーザ端末114から認証情報を受信した場合、無線アクセスポイント113(認証情報登録部1150)は、認証サーバ110 へ認証要求を送信する処理204を行う。
無線アクセスポイント113からの認証要求を受信した認証サーバ110は、認証要求中に含まれるユーザ情報が認証サーバ110内のユーザデータベースに予め登録されているか否かを識別し、登録されていた場合には認証結果を認証成功と判断し、また登録されていない場合には認証結果を認証失敗と判断し、無線アクセスポイント113へ認証結果を送信する処理205を行う。
無線アクセスポイント113(認証情報登録部1150)は、認証サーバ110から認証スイッチ111を介して認証結果を受信する。無線アクセスポイント113(認証情報登録部1150)は、認証結果を参照し、認証成功したか失敗したかを判定する。受信した認証結果が認証成功を示す場合、無線アクセスポイント113(認証情報登録部1150)は、メモリ1130内で管理している認証端末登録テーブル1140に認証成功となったユーザ端末の情報を登録する(処理206)。そして、無線アクセスポイント113(認証情報登録部1150)は、認証成功情報を認証スイッチ111へHTTPのPOSTメソッドを利用して通知する処理206を行う。無線アクセスポイント113から認証スイッチ111へPOSTする認証情報は、ユーザ端末114のMACアドレス、IPアドレス、VLAN番号、ユーザ名、識別子、無線アクセスポイントでの認証状態である。
認証スイッチ111(認証情報処理部15)は、無線アクセスポイント113から認証成功情報を受信した場合、認証スイッチ111内のユーザ端末登録テーブル14に認証が成功した端末の情報を登録し、ユーザ端末の通信を許可する。
認証スイッチ111にアクセス制御情報の登録テーブル16やQoS制御情報の登録テーブル166を予め設定しておく。処理206によるHTTPSのPOSTメソッドにより無線アクセスポイント113から通知された識別子を用いて、認証スイッチ111は、当該識別子に対応するユーザ端末の識別子とアクセス制御情報やQoS情報を紐付け、テーブル16(または166)を更新し、ユーザ端末単位でのアクセス制御やQoS制御を可能とする。
無線アクセスポイント113は認証が成功したユーザ端末114のネットワーク115への通信を可能とするユーザ端末の通信許可およびユーザ端末への認証結果の応答処理207を行い、ユーザ端末114は自分が所属するドメインへのログインが可能となる。
図3.図4を用いて、認証スイッチ111が、処理206で受ける通知に含まれる認証情報を用いてテーブルを更新する例を説明する。
図3に示すアクセス制御情報(ACL)の登録テーブルは、認証成功後のユーザ端末がアクセスできるネットワークを制御するための条件を設定する。アクセス制御情報(ACL)の登録テーブル16の各エントリには、識別子、アクセス条件、制御する挙動の項目がある。識別子は、ユーザIDと関連付けされた情報であり、関連付けの情報は認証サーバに予め登録しておき、認証済みとなった端末については認証端末登録テーブル14で紐付けられた情報が管理される。そのため、識別子毎にアクセス制御の条件が設定され、ユーザ毎のアクセス制御が設定される。実施例であれば、識別子100に登録されたユーザは、認証成功後、宛先192.168.100.0/24への通信は許可されているが、それ以外のネットワークへはアクセスが制限される動作となる。
図3は、ACL16(アクセス制御情報テーブル)の一例を示す。ACL16は、識別子とアクセス条件とアクセス条件に合致した場合の制御する挙動との対応付けを保持する。「識別子」は、認証端末登録テーブル14で保持されるような他の情報とリンクさせるための、一意に識別可能な識別子である。リンク不要のエントリの場合は、当該識別子の欄は、空欄となる。また、「アクセス条件」は、パケットの宛先が設定される。そして、「制御する挙動」は、「アクセス条件」に合致したパケットに対してどのような制御をパケット送受信部17で行なうべきかが設定される。
図4は、QoS166(QoS情報登録テーブル166)の例を示す。QoS情報登録テーブル166では、認証成功後のユーザ端末のQoS制御を行うための条件を設定する。図3と同様に、QoS166の各エントリには、識別子、アクセス条件、制御する挙動の項目がある。図3との違いは、アクセス制御情報(ACL)の登録テーブル16との違いは、アクセス条件の内容がQoSの条件で設定されるといった点である。実施例であれば、識別子300に登録されたユーザの宛先ネットワーク192.168.100.0への通信は、CoS値を5変更して通信を行う動作となる。
また、図4のようなQoS情報を設定した場合、識別子200に紐付けられたユーザ端末から宛先ネットワーク192.168.200.0への通信では、認証スイッチ111で、CoS値の書き換え処理が行われ、また、識別子300に紐付けられたユーザ端末の宛先ネットワーク192.168.200.0への通信はDSCP値の書き換え処理が行われる。このように識別子を利用することにより、無線アクセスポイント113経由で認証処理を実施したユーザ端末にも認証スイッチ111に設定したアクセス制御情報やQoS情報を適用することが可能となり、設定情報の一元管理が可能となる。
認証スイッチ111は、アクセス制御情報やQoS制御情報を予め設定しておくことで、無線アクセスポイント113から認証スイッチ111へ通知された識別子を用いて、認証スイッチではユーザ端末の識別子とアクセス制御情報やQoS情報を紐付け、ユーザ端末単位でのアクセス制御やQoS制御を可能とする。
次に、認証成功となったユーザ端末114が自分の所属するドメインからログアウトする場合のシーケンスを説明する。無線アクセスポイント113 でユーザ端末114のログアウトを検知した場合、無線アクセスポイント113(認証情報登録部1150)内で管理しているユーザ端末登録テーブル1140からユーザ端末114の認証成功情報削除処理208を行う。そして、無線アクセスポイント113(認証情報登録部1150)は、認証スイッチ111へHTTPSのPOSTメソッドを利用してユーザ端末114のログアウト情報通知処理209を行う。
無線アクセスポイント113からログアウト情報を受信した認証スイッチ111(認証情報処理部15)は、認証スイッチ111内のユーザ端末登録テーブル14からユーザ端末114の認証成功情報を 削除する処理210を行い、ユーザ端末114のログアウト処理が完了する。 なお、ログアウトの検知は、無線アクセスポイント113は、定期的に無線端末114からのアクセス状況を監視し、所定の時間アクセスがない場合に、ログアウトと判定してもよい。なお、認証スイッチ11でも、無線アクセスポイント113と同様に、ログアウトの検知処理を行ない、認証端末登録テーブル14からログアウトしたと判定したユーザの情報の削除や、ACL16やQoS166のテーブルの更新を行ってもよい。 また、認証スイッチ111にて通信監視機能または管理者の設定によりによりユーザ端末のログアウトを検知した場合、認証スイッチにてログアウト処理を行なってもよい。この場合、認証スイッチ111から無線アクセスポイント113に対して、ユーザ端末のログアウト要求処理602を行う。認証スイッチ111からのログアウト処理要求を受信した無線アクセスポイント113は該当ユーザ端末の認証情報を削除する。
以上の実施例にて、無線アクセスポイントにて認証を行い、認証スイッチと無線アクセスポイントの認証成功情報の同期を行うことで、認証スイッチでの認証設定とアクセス制御、QoS制御の一元管理を可能とするものである。
図6は、実施例1において認証スイッチ111と無線アクセスポイント113との疎通性がなくなった場合のシーケンス図を示す。図6では、ネットワーク障害により認証スイッチ111と無線アクセスポイント113との疎通性がなくなった場合、認証スイッチ111は無線アクセスポイント113がネットワークから離脱したとみなし認証スイッチ111内の認証情報登録テーブル14から、無線アクセスポイント113から処理206に得られたユーザ端末の認証情報を削除する処理301を行う。
また、認証スイッチ111が装置再起動した場合、認証スイッチ111内の認証情報登録テーブル14の登録情報は一掃される。この時、無線アクセスポイント113 内の認証情報登録テーブルは保持されたままとなるため、無線アクセスポイント113と認証スイッチ111間で認証状態に差異が発生し、無線アクセスポイント113配下で既にログイン処理が完了している端末がネットワーク115へアクセスできなくなる問題が発生する。そこで本実施例では、認証スイッチ111が 無線アクセスポイント113への疎通性確認処理302にて、無線アクセスポイントを再度確認したとき、認証スイッチ111から無線アクセスポイント113へ認証情報の要求処理303を行う。認証スイッチ111からの認証要求を受信した無線アクセスポイント113は、無線アクセスポイント113内の認証情報登録テーブルの情報に基づいて、HTTPSの POSTメソッドを利用して認証スイッチ111へ認証情報を送信する処理304を行う。
無線アクセスポイント113から認証情報を受信した認証スイッチ111は、認証 スイッチ111内のユーザ端末登録テーブル14に認証情報を登録する処理305を行う。
以上説明したように、認証スイッチのポートがリンクダウンした場合や、認証スイッチが再起動した場合などに、認証成功情報が無線アクセスポイントと認証スイッチの間で不一致が生じる可能性がある。この場合、認証スイッチではポートがリンクダウンからリンクアップしたことを契機として、無線アクセスポイントへ認証成功情報の再送要求通知を行う。これにより、ユーザ端末が再度認証動作を行うのではなく、無線アクセスポイントと認証スイッチ間でのみ認証成功情報のやり取りを行うため、ユーザ端末に意識させることなく認証情報の同期を行うができる。
以上が実施例1の説明である。
実施例2は、無線アクセスポイントと認証スイッチ間での認証情報の同期を行うことにより、ユーザ端末のアクセス制御を認証スイッチで一括管理することが可能となり、管理者の負荷を軽減できるという利点があり、実施例2では、認証情報の同期を、認証スイッチをRADIUプロキシサーバとして動作させることにより実現する。
無線アクセスポイント1にユーザ端末が接続された場合、認証可否をRADIUSプロトコルを使用して認証スイッチに問い合わせを行う。この場合、無線アクセスポイントと認証スイッチ間で通信経路は暗号化されている場合でも、認証スイッチが終端となるため、認証情報の判断が可能である。認証スイッチはRADIUSプロキシとして動作し、無線アクセスポイントの代理として認証サーバへ問い合わせを行う。認証サーバから認証成功通知を認証スイッチが受信し、ユーザ端末の認証が成功した場合、認証スイッチは認証成功情報を自身のユーザ端末登録テーブルへ格納し、認証情報に含まれる識別子と予め設定されているアクセス制御情報やQoS情報とユーザ端末を紐付けて、ユーザ端末単位でのアクセス制御やQoS制御を行う。また、無線アクセスポイントへも認証成功情報を転送する。無線アクセスポイントでも、認証成功情報をユーザ端末登録テーブルへ格納する。本実施例では、無線アクセスポイントから認証スイッチへRADIUSを用いて認証問い合わせを行うため、処理としては負荷が軽くなる。
図7は、実施例2におけるネットワーク構成である。図7で示すように、実施例2は実施例1と同様に、ユーザ端末114がネットワーク115にアクセスするために認証処理を必要とするネットワーク構成である。実施例2では無線アクセスポイント113と認証スイッチ116の認証情報を同期化する方式としてRADIUSプロキシサーバ機能を利用する。図7で示すように、認証スイッチ117の内部にRADIUプロキシサーバ18を有する構成を記載している。それ以外の認証スイッチ117の構成は、実施例1の認証スイッチ111の構成と同様である。
認証スイッチ(RADIUプロキシサーバ)117はRADIUプロキシサーバと動作する。そのため、無線アクセスポイント114は認証スイッチ(RADIUプロキシサーバ)117内のRADIUSプロキシサーバ18をRADIUSサーバと認識して動作し、認証スイッチ(RADIUプロキシサーバ)117に対して認証要求パケットを送信する。認証スイッチ(RADIUプロキシサーバ)117は、無線アクセスポイント113から認証要求パケットを受信した場合、認証情報処理部15により認証要求パケットから認証要求ユーザのMACアドレス、IPアドレス、所属VLAN、ユーザIDを読取り、認証端末登録テーブル14に登録を行う。その際、認証端末登録テーブル14のポート番号は認証要求パケットを受信したポート番号、識別子は未記入、認証状態は認証中、として登録する。認証情報処理部15による情報の登録処理が終了すると、認証要求パケットをRADIUSサーバ116へ転送する。RADIUSサーバからの認証結果通知パケットを認証スイッチRADIUSプロキシサーバ)117で受信し、認証情報処理部15で認証結果通知パケットの情報を読み取り、認証結果が認証成功であった場合、認証端末登録テーブル14に該当ユーザの識別子の記載と、認証状態を「認証済み」に更新する。また、認証結果が認証失敗であった場合、認証端末登録テーブル14に登録されている該当ユーザのエントリを削除する。
図8は、実施例2での、認証処理のシーケンス図である。ユーザ端末114からの任意のパケットを無線アクセスポイント113で受信すると、無線アクセスポイン113は受信した任意のパケットが認証済みのユーザ端末からのものか否かを識別する処理401を行う。認証済みのユーザ端末からのパケットであると判断された場合には、無線アクセスポイント113は、受信したパケットを転送し、認証前のユーザ端末からのパケットであると判断された場合にはユーザ端末114に認証情報の要求処理402を行う。無線アクセスポイント113からの認証情報の要求を受信したユーザ端末114は無線アクセスポイント113へ認証情報を送信する処理403を行う。ユーザ端末114から認証情報を受信した無線アクセスポイント113は認証スイッチ(RADIUプロキシサーバ)117へ認証要求を送信する処理404を行う。処理401、402、403、404は、実施例1の処理201、202、203、204と同様である。 認証スイッチ(RADIUSプロキシサーバ)117は、無線アクセスポイント113からRADIUSサーバに対する認証要求を受けた場合、RADIUSパケットからユーザ端末のMACアドレス、IPアドレス、VLAN番号、ユーザ名を取得し、識別子を空白、無線アクセスポイントでの認証状態を認証中としてユーザ端末登録テーブル1140に登録すると共に、RADIUSサーバ116へ認証要求送信処理405を行う。
RADIUSサーバ116は、認証スイッチ(RADIUSプロキシサーバ)117からの認証要求を受信した場合、認証要求があったユーザ情報がRADIUSサーバ116内のユーザデータベースに予め登録されているか否かを識別し、登録されていた場合には認証結果を認証成功と判断し、登録されていない場合には認証結果を認証失敗と判断し、認証結果を認証スイッチ(RADIUSプロキシサーバ)117へ送信する処理406を行う。
RADIUSサーバ116から認証結果を受信した認証スイッチ(RADIUSプロキシサーバ)117は認証成功の結果を受信した場合、認証スイッチ(RADIUSプロキシサーバ)117内で管理しているユーザ端末登録テーブル14に認証成功となったユーザ端末の情報を登録し、ユーザ端末の通信許可を行う。また、認証スイッチ(RADIUSプロキシサーバ)117は、RADIUSサーバから受信した認証結果に含まれる識別子もユーザ端末登録テーブルに登録する。実施例1と同様に認証スイッチ(RADIUSプロキシサーバ)117は識別子を利用して、認証スイッチ(RADIUSプロキシサーバ)117に予め設定したアクセス制御情報やQoS制御情報の登録テーブルで、ユーザ端末の識別子を紐付けて、ユーザ端末単位でのアクセス制御やQoS制御を行う。そして、認証スイッチ117は、ポート12を介して無線アクセスポイント113へ認証成功の結果を通知する処理407を行う。
無線アクセスポイント113は、認証スイッチ(RADIUSプロキシサーバ)117からの認証成功通知を受信した場合、ユーザ端末114の通信を許可する処理408を行う。
さらに、無線アクセスポイント113でユーザ端末のログアウトを検知した場合、無線アクセスポイント113内のユーザ端末登録テーブルから該当するユーザ端末の認証情報を削除する処理409を行うと共に、認証スイッチ(RADIUSプロキシサーバ)117へRADIUS Accounting-RequestによりSTOPの通知を発行する処理410を行う。 認証スイッチ(RADIUSプロキシサーバ)117は、無線アクセスポイント113からSTOP通知を受信した場合、ユーザ端末登録テーブル14から該当するユーザ端末の認証情報を削除する処理411を行う。そして、認証スイッチ(RADIUSプロキシサーバ)117は、STOPの通知をRADIUSサーバ116へ転送する処理412を行う。
図9は、実施例2における認証情報削除処理を示す。ネットワーク障害により認証スイッチ(RADIUSプロキシサーバ)117と無線アクセスポイント113との疎通性がなくなった場合、認証スイッチ(RADIUSプロキシサーバ)117は無線アクセスポイント113がネットワークから離脱したとみなし認証情報登録テーブル14の内、無線アクセスポイント113から学習したユーザ端末の認証情報を削除する処理501を行う。また、認証スイッチ(RADIUSプロキシサーバ)117が装置再起動した場合、認証スイッチ(RADIUSプロキシサーバ)117内の認証情報登録テーブル14の登録情報は一掃される。この時、実施例1の図5と同様に、無線アクセスポイント113 内の認証情報登録テーブルは保持されたままとなるため、無線アクセスポイント113と認証スイッチ(RADIUSプロキシサーバ)117間で認証状態に差異が発生し、無線アクセスポイント113配下で既にログイン処理が完了している端末がネットワーク115へアクセスできなくなる。そこで本実施例では、認証スイッチ(RADIUSプロキシサーバ)117が無線アクセスポイント113への疎通性確認処理502にて無線アクセスポイントを確認したとき、認証スイッチ(RADIUSプロキシサーバ)117から無線アクセスポイント113へ認証情報の要求処理503を行う。
さらに、本実施例では、認証スイッチ(RADIUSプロキシサーバ)117からの認証要求を受信した無線アクセスポイント113は無線アクセスポイント113内の認証情報登録テーブルの情報に基づいてRADIUプロキシサーバへ認証の再要求処理504を行う。
無線アクセスポイント113から認証要求を受信した認証スイッチ(RADIUSプロキシサーバ)117は認証要求の情報を確認すると共に、RADIUSサーバ116へ認証要求を転送する処理505を行う。認証スイッチ(RADIUSプロキシサーバ)117からの認証要求を受信したRADIUSサーバ116は装置内のユーザデータベースに基づいて、認証結果を認証スイッチ(RADIUSプロキシサーバ)117へ通知する処理506を行う。
RADIUSサーバ116からの認証結果を受信した認証スイッチ(RADIUSプロキシサーバ)117は、認証結果に基づいて装置内のユーザ端末登録テーブル14を更新すると共に、無線アクセスポイント113へ認証結果を転送する処理507を行う。無線アクセスポイント113では認証結果を受信すると、無線アクセスポイント113内の認証情報登録テーブルの情報を更新するのみで、ユーザ端末へは通知を行わない。
上述の種々の実施例及び下記の態様により、以下の効果の少なくとも一を奏する。
無線アクセスポイントからのユーザ端末のアクセスは無線アクセスポイントで認証処理を行いつつ、認証成功情報を認証スイッチと同期し、有線のユーザ端末からのアクセスは認証スイッチで認証処理を行う態様により、認証処理の負荷を各無線アクセスポイントと認証スイッチ間で分散することができる。
無線アクセスポイントと認証スイッチ間で認証成功情報を同期することにより、認証に関する設定情報を、認証スイッチで一元的に管理することができる。
無線アクセスポイントと認証スイッチ間で認証成功情報を同期するという態様により、アクセス制御やQoS制御に関する設定情報を一元的に管理しつつ、認証成功情報に付加された情報を元に、ユーザ端末単位のアクセス制御やQoS制御を認証スイッチで集中的に実施することができる。
認証スイッチのポートアップ(リンクアップ)を契機に、無線アクセスポイントに認証成功情報の再送要求を行う態様により、ユーザ端末に意識させることなく、無線アクセスポイントと認証スイッチの認証成功情報を同期させることができる。
認証スイッチへの管理者の認証情報消去設定を契機として、無線アクセスポイントに認証成功情報を消去するよう認証スイッチから要求する態様により、管理者は無線アクセスポイントを個別に把握することなく、認証ネットワーク上からユーザ端末の認証成功情報を消去することができる。
上記各実施例において、ハードウェアによって実現されていた構成の一部をソフトウェアに置き換えてもよく、逆に、ソフトウェアによって実現されていた構成の一部をハードウェアに置き換えても良い。
以上説明したとおり、本実施例では、無線アクセスポイントと認証スイッチの認証処理を同期化させ、無線アクセスポイントの設定は最小限に留めた状態で、無線アクセスポイントで認証処理を実施し、認証スイッチでは、認証に関連する設定や、認証されたユーザ毎に個別のアクセス制御やQoS制御を行う。
以上、実施例、変形例に基づき本発明について説明してきたが、上記した発明の実施の形態は、本発明の理解を容易にするためのものであり、本発明を限定するものではない。本発明は、その主旨ならびに特許請求の範囲を逸脱することなく、変更、改良され得ると共に、本発明にはその等価物が含まれる。
11 CPU、12 ポート、13 メモリ、14 認証端末登録テーブル、15 認証情報処理部、16 アクセス制御情報(ACL)、166 QoS情報登録テーブル、17 パケット送受信部、110 認証サーバ、111 認証スイッチ、112 スイッチングハブ、113 無線アクセスポイント、114 (無線)ユーザ端末、115 ネットワーク、116 RADIUSサーバ、117 RADIUSプロキシサーバ機能を内蔵した認証スイッチ、118(有線)ユーザ端末

Claims (14)

  1. 通信システムであって、
    第1の端末及び第2の端末の認証情報を保持する認証サーバと、前記第一の端末に接続され、前記認証サーバに対して外部ネットワークへのアクセスに関する認証要求を送信し、前記認証要求に対する結果に基づいて第一の認証処理を行う通信ノードと、
    前記通信ノードと前記認証サーバとの間に位置し、前記第一の端末及び第2の端末の少なくとも一方から外部ネットワークへのアクセスするための認証要求に対して、端末毎に認証処理の状況を示す認証状態を保持し、前記第一の端末または前記第2の端末からのアクセス要求に対応する認証状態が、認証完了していない場合、前記認証サーバに対して第二の認証処理を実行し、前記認証状態を更新し、前記第一の認証処理の結果を取得した場合、前記認証状態を更新し、
    前記更新された認証状態が認証成功を示す場合、前記第一の端末または前記第2の端末から前記外部ネットワークへの通信を許可する認証スイッチと、を有する、ことを特徴とする通信システム。
  2. 請求項1記載の通信システムであって、
    前記通信ノードは、前記第一の端末から無線ネットワークを介してアクセス要求を受領し、前記通信ノードから前記認証スイッチを介して認証サーバに、前記第一の認証処理に関する認証要求を実行し、前記認証要求に対する回答が認証成功を示す場合、前記通信ノードから前記認証スイッチに対して、前記第一の端末が認証成功したことを示す情報を通知し、
    前記認証スイッチは、前記通知に応じて前記認証状態を更新する、ことを特徴とする通信システム。
  3. 請求項2記載の通信装置であって、前記通信ノードは、HTTPSのPOSTメソッドにより、端末のMACアドレス、IPアドレスを含めて第一の端末が認証成功したことを示す情報を通知し、前記認証スイッチは、前記POSTメソッドに従った通知に従って前記認証状態を更新する、ことを特徴とする通信システム。
  4. 請求項2記載の通信システムであって、
    前記認証スイッチは、前記認証サーバの代理応答をする認証プロキシを備え、
    前記認証プロキシは、前記第一の認証処理に関する認証要求を実行し、前記通信ノードに、前記認証結果を送信するとともに、前記認証状態を更新する、
    ことを特徴とする通信システム。
  5. 請求項4記載の通信システムであって、
    前記認証サーバは、RADIUSサーバである、ことを特徴とする通信システム。
  6. 請求項2記載の通信システムであって、
    前記通信ノードは、前記認証スイッチの取得要求に応じて、HTTPSのPOSTメソッドにより前記通信ノードが管理する認証状態を送信する、ことを特徴とする通信システム。
  7. 請求項2記載の通信システムであって、
    前記通信ノードは、未認証端末からのアクセス要求に対し、IEEE802.1x認証により、認証を行い、前記認証スイッチは、未認証の端末からのアクセス要求に対し、MACアドレス認証を行なうことを特徴とする、通信システム。
  8. 外部ネットワークに通信するための第1の端末及び第2の端末の認証情報を保持する認証サーバに対して、第一の認証要求を行う通信ノードと、前記外部ネットワークと、に接続され、前記認証サーバ及び前記通信ノード間の通信経路に位置する認証スイッチであって、
    端末毎に認証状態を対応付けて保持するメモリと、
    前記メモリを参照し、認証状態が認証済みでないことを示す端末からの外部ネットワークへのアクセス要求の受領に応じて、第二の認証要求を認証サーバに対して行う認証要求部と、
    前記第一の認証要求に対応する認証成功を示す第一の認証結果及び当該端末の情報あるいは前記第二の認証要求に対して認証成功の結果を示す第二の認証結果の、いずれか一方を取得する場合、前記メモリに保持される認証状態を更新する認証管理部と、
    前記第一の認証要求と前記第一の認証要求に対する第一の認証結果を含む応答と前記更新された認証状態に従って通信が許可された端末からの外部ネットワークへのアクセスを中継する中継処理部と、
    を有する、ことを特徴とする認証スイッチ。
  9. 請求項8記載の認証スイッチであって、
    前記通信ノードに有線を介して接続される第一のポートと、前記第二の端末に有線を介して接続される第二のポートと、認証サーバに接続される第3のポートと、前記外部ネットワークに接続される第4のポートと、を備え、
    前記中継処理部は、前記第一の端末からの無線を介して前記通信ノードに送信されるアクセス要求に対応する第一の認証要求あるいは前記応答を前記第一のポートを介して前記通信ノードに転送し、
    前記認証要求部は、第二の端末からの外部ネットワークへのアクセス要求を前記第二のポートを介して受領し、前記第二の認証要求を前記第3のポートを介して送信し、
    前記認証管理部は、前記第一のポートを介して、前記応答に含まれる情報を前記通信ノードから受信する、ことを特徴とする、認証スイッチ。
  10. 請求項8記載の認証スイッチであって、
    前記中継処理部は、外部ネットワークへのアクセスに関する条件が設定されるアクセス制御リストまたはQoS制御テーブルの少なくとも一方を含むフィルタを保持し、
    前記認証管理部は、前記第一の認証処理の結果の取得に応じて、前記フィルタに認証された端末の情報を対応付け、前記フィルタを更新する、ことを特徴とする認証スイッチ。
  11. 請求項8記載の認証スイッチであって、
    前記認証管理部は、第一の認証要求で認証済みと更新されていれば、第二の認証要求の送信を含む認証処理をスキップする、ことを特徴とする認証スイッチ。
  12. 請求項8記載の通信装置であって、前記認証スイッチは、前記通信ノードからHTTPSのPOSTメソッドにより、端末のMACアドレス、IPアドレスを含めて第一の端末が認証成功したことを示す情報を受信し、前記認証状態を更新する、ことを特徴とする認証スイッチ。
  13. 請求項8ないし11いずれか一に記載の認証スイッチであって、第一の認証要求は802.1x認証に従い、第二の認証はMACアドレス認証に従う。
  14. 請求項8記載の認証スイッチであって、
    さらに、前記認証サーバの代理するプロキシ部を有し、
    前記認証管理部は、前記第一の認証要求に対する前記プロキシ部における認証結果を用いて端末の認証状態を更新する、ことを特徴とする、認証スイッチ。
JP2013178807A 2013-08-30 2013-08-30 通信システム及び認証スイッチ Active JP6106558B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2013178807A JP6106558B2 (ja) 2013-08-30 2013-08-30 通信システム及び認証スイッチ

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2013178807A JP6106558B2 (ja) 2013-08-30 2013-08-30 通信システム及び認証スイッチ

Publications (2)

Publication Number Publication Date
JP2015050496A true JP2015050496A (ja) 2015-03-16
JP6106558B2 JP6106558B2 (ja) 2017-04-05

Family

ID=52700197

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2013178807A Active JP6106558B2 (ja) 2013-08-30 2013-08-30 通信システム及び認証スイッチ

Country Status (1)

Country Link
JP (1) JP6106558B2 (ja)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20170011826A (ko) * 2015-07-24 2017-02-02 현대자동차주식회사 이더넷 기반의 네트워크를 위한 보안 방법
JP2019102928A (ja) * 2017-11-30 2019-06-24 三菱電機株式会社 認証スイッチ装置、ネットワークシステムおよび認証方法
JP2021002178A (ja) * 2019-06-21 2021-01-07 APRESIA Systems株式会社 認証スイッチ、ネットワークシステムおよびネットワーク装置
JP2022054382A (ja) * 2020-09-25 2022-04-06 ベイジン バイドゥ ネットコム サイエンス テクノロジー カンパニー リミテッド 認証方法及び装置、コンピューティング機器、並びに媒体
JP7540991B2 (ja) 2021-12-24 2024-08-27 エイチ・シー・ネットワークス株式会社 ネットワークシステムおよびネットワーク認証方法

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005109823A (ja) * 2003-09-30 2005-04-21 Nec Corp レイヤ2スイッチ装置、無線基地局、ネットワークシステム、および無線通信方法
US20050208926A1 (en) * 2004-03-16 2005-09-22 Canon Kabushiki Kaisha Access point and method for controlling connection among plural networks
JP2006345302A (ja) * 2005-06-09 2006-12-21 Ntt Communications Kk ゲートウェイ装置およびプログラム
JP2010062667A (ja) * 2008-09-01 2010-03-18 Hitachi Cable Ltd ネットワーク機器及びネットワークシステム

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005109823A (ja) * 2003-09-30 2005-04-21 Nec Corp レイヤ2スイッチ装置、無線基地局、ネットワークシステム、および無線通信方法
US20050208926A1 (en) * 2004-03-16 2005-09-22 Canon Kabushiki Kaisha Access point and method for controlling connection among plural networks
JP2006345302A (ja) * 2005-06-09 2006-12-21 Ntt Communications Kk ゲートウェイ装置およびプログラム
JP2010062667A (ja) * 2008-09-01 2010-03-18 Hitachi Cable Ltd ネットワーク機器及びネットワークシステム

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20170011826A (ko) * 2015-07-24 2017-02-02 현대자동차주식회사 이더넷 기반의 네트워크를 위한 보안 방법
KR102234210B1 (ko) * 2015-07-24 2021-03-30 현대자동차주식회사 이더넷 기반의 네트워크를 위한 보안 방법
JP2019102928A (ja) * 2017-11-30 2019-06-24 三菱電機株式会社 認証スイッチ装置、ネットワークシステムおよび認証方法
JP2021002178A (ja) * 2019-06-21 2021-01-07 APRESIA Systems株式会社 認証スイッチ、ネットワークシステムおよびネットワーク装置
JP7241620B2 (ja) 2019-06-21 2023-03-17 APRESIA Systems株式会社 認証スイッチ、ネットワークシステムおよびネットワーク装置
JP2022054382A (ja) * 2020-09-25 2022-04-06 ベイジン バイドゥ ネットコム サイエンス テクノロジー カンパニー リミテッド 認証方法及び装置、コンピューティング機器、並びに媒体
JP7194212B2 (ja) 2020-09-25 2022-12-21 ベイジン バイドゥ ネットコム サイエンス テクノロジー カンパニー リミテッド 認証方法及び装置、コンピューティング機器、並びに媒体
JP7540991B2 (ja) 2021-12-24 2024-08-27 エイチ・シー・ネットワークス株式会社 ネットワークシステムおよびネットワーク認証方法

Also Published As

Publication number Publication date
JP6106558B2 (ja) 2017-04-05

Similar Documents

Publication Publication Date Title
JP5364671B2 (ja) ネットワーク認証における端末接続状態管理
US9154378B2 (en) Architecture for virtualized home IP service delivery
JP5862577B2 (ja) 通信システム、制御装置、ポリシ管理装置、通信方法およびプログラム
US10178095B2 (en) Relayed network access control systems and methods
JP5811171B2 (ja) 通信システム、データベース、制御装置、通信方法およびプログラム
JP5382819B2 (ja) ネットワークマネジメントシステム及びサーバ
JP6106558B2 (ja) 通信システム及び認証スイッチ
JP5143199B2 (ja) ネットワーク中継装置
JPWO2012141086A1 (ja) コンピュータシステム、コントローラ、及びネットワークアクセスポリシ制御方法
EP3466136B1 (en) Method and system for improving network security
JP7476366B2 (ja) 中継方法、中継システム、及び中継用プログラム
CN102571811A (zh) 用户接入权限控制系统和方法
JP2012070225A (ja) ネットワーク中継装置及び転送制御システム
KR101628534B1 (ko) 가상 802.1x 기반 네트워크 접근 제어 장치 및 네트워크 접근 제어 방법
JP5261432B2 (ja) 通信システム、パケット転送方法、ネットワーク交換装置、アクセス制御装置、及びプログラム
JP4881672B2 (ja) 通信装置及び通信制御プログラム
JP5534473B2 (ja) インターネット接続認証システム、インターネット接続認証方法およびプログラム
JP2015530763A (ja) アクセス制御システム、アクセス制御方法及びプログラム
JP3154679U (ja) 中継機器及びネットワークシステム
JP7351498B2 (ja) 通信システム及び通信制御方法
JP6499733B2 (ja) トラフィック分析システム、トラフィック情報送信方法およびプログラム
JP2018029233A (ja) クライアント端末認証システム及びクライアント端末認証方法
JP2017028383A (ja) センサ収容システム、ゲートウェイ、管理サーバ、センサ収容方法及びセンサ収容プログラム
JP6215089B2 (ja) 機器情報収集システム及び機器情報収集方法
JP6447138B2 (ja) ゲートウェイ装置

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20151030

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20151030

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20160707

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20160712

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20160912

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20170116

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20170123

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20170207

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20170306

R150 Certificate of patent or registration of utility model

Ref document number: 6106558

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250