JP2016184911A - ネットワーク認証システム、ネットワーク認証方法および認証サーバ - Google Patents

ネットワーク認証システム、ネットワーク認証方法および認証サーバ Download PDF

Info

Publication number
JP2016184911A
JP2016184911A JP2015065388A JP2015065388A JP2016184911A JP 2016184911 A JP2016184911 A JP 2016184911A JP 2015065388 A JP2015065388 A JP 2015065388A JP 2015065388 A JP2015065388 A JP 2015065388A JP 2016184911 A JP2016184911 A JP 2016184911A
Authority
JP
Japan
Prior art keywords
authentication
switch
terminal
network
management table
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2015065388A
Other languages
English (en)
Other versions
JP6281516B2 (ja
Inventor
阿部 裕司
Yuji Abe
裕司 阿部
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP2015065388A priority Critical patent/JP6281516B2/ja
Priority to US15/060,836 priority patent/US10003588B2/en
Publication of JP2016184911A publication Critical patent/JP2016184911A/ja
Application granted granted Critical
Publication of JP6281516B2 publication Critical patent/JP6281516B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/20Servers specifically adapted for the distribution of content, e.g. VOD servers; Operations thereof
    • H04N21/25Management operations performed by the server for facilitating the content distribution or administrating data related to end-users or client devices, e.g. end-user or client device authentication, learning user preferences for recommending movies
    • H04N21/258Client or end-user data management, e.g. managing client capabilities, user preferences or demographics, processing of multiple end-users preferences to derive collaborative data
    • H04N21/25808Management of client data
    • H04N21/25816Management of client data involving client authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/60Network structure or processes for video distribution between server and client or between remote clients; Control signalling between clients, server and network components; Transmission of management data between server and client, e.g. sending from server to client commands for recording incoming content stream; Communication details between server and client 
    • H04N21/63Control signaling related to video distribution between client, server and network components; Network processes for video distribution between server and clients or between remote clients, e.g. transmitting basic layer and enhancement layers over different transmission paths, setting up a peer-to-peer communication via Internet between remote STB's; Communication protocols; Addressing

Landscapes

  • Engineering & Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Databases & Information Systems (AREA)
  • Multimedia (AREA)
  • Computer Graphics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

【課題】複数の認証スイッチによる大規模な認証機能によるセキュリティの確保とネットワーク認証における負荷分散方法を提供する。【解決手段】認証サーバ100は、認証スイッチ200の認証を行うユーザ認証処理部140と、認証スイッチがどの認証サーバに属するかを管理する認証スイッチ管理テーブル110と、認証スイッチでクライアント端末300の認証が行われるように、認証スイッチの受信ポートフィルタ250を生成して、認証スイッチ管理テーブル内のフィルタ管理テーブル111に格納し、認証スイッチに通知することにより、認証スイッチにてクライアント端末の認証を行う。また、認証スイッチは、クライアント端末の数が変化した場合に認証端末情報を認証サーバに通知し、認証サーバは認証スイッチの負荷の偏りを検出し負荷分散を行う。【選択図】図1

Description

本発明は、ネットワーク認証システム、ネットワーク認証方法および認証サーバに係り、特に負荷分散を行うネットワーク認証システム、ネットワーク認証方法および認証サーバに関する。
近年、企業ネットワークや公共ネットワークなどの共用ネットワーク環境では、ネットワークセキュリティの確保は必須のものとなっている。有線LAN環境においても、IEEE 802.1X規格を適用して、その認証技術を用いたクライアント認証が用いられるようになってきている。IEEE 802.1Xでのクライアント認証システムでは、利用者のクライアント端末(Supplicant)と、その利用者認証情報を保持し認証を行うサーバ(Authentication Server)、クライアント端末と認証サーバとの認証情報の交換を中継し、クライアント端末のネットワーク接続を制御する認証スイッチ(Authenticator)で構成される。
しかしながら、セキュリティと利便性とは、トレードオフの関係にあり、セキュリティの確保と管理の簡便化を両立するための方法が課題となっている。
上記に関連する技術として、特許文献1には、無線区間の通信帯域の無駄を回避しながら無線アクセスポイント間で負荷を分散するため、かかっている負荷が最も大きい無線アクセスポイント装置からデータブロック送信されているマルチキャストグループのうちから少なくとも1つを特定する技術が開示されている。また、そのマルチキャストグループへ参加している無線端末へ、かかっている負荷が最も小さい無線アクセスポイント装置へ接続を切替えるという技術が開示されている。
さらに、特許文献2には、認証ネットワークにおいて、認証パケットを透過する認証スイッチを柔軟に変更するため、認証サーバと認証スイッチ間のヘルス・チェックの結果に基づいて、クライアント端末の認証パケットを透過する認証スイッチを決定し、それに基づき受信ポートフィルタを生成して各認証スイッチに送信するフィルタ生成・通知手段を備える技術が開示されている。
特開2004−350052号公報 特開2014−171078号公報
しかしながら、特許文献1は、無線区間の通信帯域の無駄を回避するため、負荷情報や識別子等を送受信する必要があり、電波環境によっては、電波環境の良い個所に集中し、無線アクセスポイント装置にかかっている負荷に偏りが出てきてしまうという課題があった。
また、特許文献2は、認証を受ける端末の分布状況や通信状況によっては、特定の認証スイッチに負荷が集中してしまい、適切な負荷分散が行えないことがあるという課題があった。
本発明の目的は、この点を鑑みたものであり、複数の認証スイッチによる大規模な認証機能によるセキュリティの確保とネットワーク利用の効率化を両立するための効率的なネットワーク認証における負荷分散方法を提供することにある。
本発明では、上記課題を解決するために、1つ以上のクライアント端末と、クライアント端末の外部ネットワークへの接続を認証する1つ以上の認証サーバと、クライアント端末の外部ネットワークへの通信を制御する複数の認証スイッチとを備えるネットワーク認証システムにおいて、認証サーバは、認証スイッチの認証を行うユーザ認証処理部と、認証スイッチがどの認証サーバに属するかを管理する認証スイッチ管理テーブルと、認証スイッチでクライアント端末の認証が行われるように、認証スイッチの受信ポートフィルタを生成して、認証スイッチ管理テーブル内のフィルタ管理テーブルに格納し、認証スイッチに通知する認証スイッチ管理処理部と、認証スイッチから通知された端末管理テーブル情報を保存する端末管理データベースとを有することを特徴としている。
また、本発明では、上記課題を解決するために、1つ以上のクライアント端末と、クライアント端末の外部ネットワークへの接続を認証する1つ以上の認証サーバと、クライアント端末の外部ネットワークへの通信を制御する複数の認証スイッチとを備えるネットワーク認証システムのネットワーク認証方法において、認証サーバは、認証スイッチの認証を行うステップと、認証スイッチがどの認証サーバに属するかを管理するステップと、認証スイッチで前記クライアント端末の認証が行われるように、認証スイッチの受信ポートフィルタを生成して、認証スイッチ管理テーブル内のフィルタ管理テーブルに格納し、認証スイッチに通知するステップと、認証スイッチから通知された端末管理テーブル情報を保存するステップとを有することを特徴としている。
また、本発明では、上記課題を解決するために、クライアント端末の外部ネットワークへの接続を認証する認証サーバにおいて、認証スイッチの認証を行うユーザ認証処理部と、認証スイッチがどの認証サーバに属するかを管理する認証スイッチ管理テーブルと、認証スイッチでクライアント端末の認証が行われるように、認証スイッチの受信ポートフィルタを生成して、認証スイッチ管理テーブル内のフィルタ管理テーブルに格納し、認証スイッチに通知する認証スイッチ管理処理部と、認証スイッチから通知された端末管理テーブル情報を保存する端末管理データベースとを有することを特徴としている。
本発明によれば、複数の認証スイッチによる大規模な認証機能によるセキュリティの確保とネットワーク利用の効率化を両立するための効率的なネットワーク認証における負荷分散方法を提供することができる。
本発明の第1の実施の形態におけるネットワーク認証システムの構成を示すブロック図である。 本発明の第1の実施の形態におけるネットワーク構成図である。 本発明の関連するネットワーク認証システムにおいて、端末300Aが、認証スイッチ200A、200Bのうちの一つと認証を行う過程を示す図である。 本発明の関連するネットワーク認証システムにおいて、認証スイッチを追加した場合の動作をネットワーク構成図を用いて説明する図である。 本発明の第1の実施の形態におけるフィルタ管理テーブルの内容を示す図である。 本発明の第1の実施の形態における端末管理データベースの内容を示す図である。 本発明の第1の実施の形態におけるフィルタ生成・通知処理部131の動作を示すフローチャートである。 本発明の第1の実施の形態におけるフィルタ生成・通知処理部131の動作の様子を示す図である。 本発明の関連するネットワーク認証システムによって生成されたフィルタの様子を示す図である。 本発明の第1の実施の形態におけるネットワーク認証システムによって生成されたフィルタの様子を示す図である。 本発明の第1の実施の形態における通信端末数の増加を契機として、負荷分散を行う処理を表すシーケンス図である。 本発明の第2の実施の形態におけるネットワーク認証システムの構成を示すブロック図である。 本発明の第2の実施の形態における特定の端末からの通信流量の増大を契機として、負荷分散を行う処理を表すシーケンス図である。
以下、本発明の実施形態について図面を参照して詳細に説明する。
(第1の実施の形態)
図1、図2を用いて、本発明の第1の実施形態におけるネットワーク認証システムの構成について説明する。図1は、本実施形態におけるネットワーク認証システムの構成を示すブロック図である。図2は、本実施形態におけるネットワークの構成図である。
図1において、本実施形態におけるネットワーク認証システム10は、認証サーバ100と認証スイッチ200(複数台構成の場合は、200A、200B...)、クライアント端末300(300A、300B...)および外部ネットワーク400を備えている。
認証サーバ100は、認証スイッチ管理テーブル110、クライアント端末認証のための情報を格納する認証情報データベース120、認証スイッチ管理処理部130およびクライアント端末の認証処理を行うユーザ認証処理部(Authentication Server)140、端末管理のための情報を格納する端末管理データベース150を備えている。
認証スイッチ管理テーブル110は、フィルタ管理テーブル111を内部に持っている。
認証スイッチ管理処理部130は、フィルタ生成・通知処理部131とスイッチ監視処理部132からなっている。スイッチ監視処理部132は、認証スイッチ管理テーブル110に格納された認証スイッチ200の認証サーバ処理部220との間で、定期的にヘルス・チェックのための通信を行う。ここで、ヘルス・チェックとは、認証スイッチ200の稼働状況をチェックすることを言う。フィルタ生成・通知処理部131は、認証スイッチグループ内のいずれかのスイッチでクライアント端末認証が行われるように、各認証スイッチの受信ポートフィルタを生成してフィルタ管理テーブル111に格納し、複数台構成の場合、各認証スイッチ200A、200Bに通知する。
認証スイッチ200は、設定記憶部210、認証サーバ処理部220、端末認証処理部(Authenticator)230、フィルタ制御処理部240、受信ポートフィルタ250、パケット受信処理部260、パケット入力フィルタ270、パケット転送処理部280を備えている。
設定記憶部210は、認証サーバ情報211を保持し、認証サーバ情報211は認証スイッチグループ情報212を含んでいる。
認証サーバ処理部220は、認証サーバ100のスイッチ監視処理部132との間で、定期的にヘルス・チェックのための通信を行う。また、認証サーバ処理手段220は、フィルタ制御処理部240に指示して、受信ポートフィルタ250の設定を行う。
端末認証処理部230は、端末管理テーブル231を保持している。
受信ポートフィルタ250は、特定のパケットの受信の許可・拒否を定義するフィルタ
である。例えば、受信ポートフィルタ250を全パケット破棄の状態に設定した場合は、
クライアント端末300が認証要求パケットを送信しても、一切の要求パケットは破棄さ
れ、認証は開始されない。
パケット受信処理部260は、受信ポートフィルタ250を透過した認証要求パケットを受け取る。また、パケット受信処理部260は、認証要求パケットを端末認証処理部230に通知する。
パケット入力フィルタ270は、クライアント端末300の外部ネットワーク400へ
の通信を制御するフィルタである。
パケット転送処理部280は、クライアント端末300からの通信トラヒックを外部ネットワーク400に転送する。
クライアント端末300は、ユーザ認証情報310、認証処理部(Supplicant)320を備えている。
本実施形態におけるネットワークの構成図について図2を用いて説明する。
認証スイッチ200A、200Bおよびクライアント端末300A、300Bは共有LANを介して接続され、クライアント端末の外部ネットワークへの通信を認証スイッチが制御する。
認証スイッチ200A、200Bは、ネットワークを介して認証サーバ100と通信を行う。認証スイッチ200A、200Bと認証サーバ100間のネットワークは外部ネットワークを介していてもよいし、同一LANなど外部ネットワークを介さない環境であってもよい。また、認証サーバ100は、各認証スイッチからみてネットワークとして一意であればよく、実態として単一サーバであってもよいし、複数サーバからなる高可用サーバであってもよい。
次に、本発明の第1の実施形態の動作について説明する。
まず、図3、図4を用いて関連するネットワーク認証システムの動作について説明する。図3は、関連するネットワーク認証システムにおいて、端末300Aが、認証スイッチ200A、200Bのうちの一つと認証を行う過程を示す図である。また、A、B、Cを付した構成要素は、例えば200A等の内部の構成を示している。
図3では、認証スイッチ200A、200Bは、認証サーバ100に認証スイッチ登録を行い、認証サーバ100は、各認証スイッチ200A、200Bが分散して端末認証を行う。そのため、各認証スイッチの受信ポートフィルタを生成し、各認証スイッチ200A、200Bに通知する。各認証スイッチは通知されたフィルタ情報を元に、受信ポートフィルタ250A、250Bを更新した状態となっている。また、認証スイッチ200Aのパケット入力フィルタは、パケット入力フィルタ270Aである。
この時、端末300AのMACアドレスは、受信ポートフィルタ250Aでは透過され、受信ポートフィルタ250Bでは破棄される状態となっているとすると、端末300Aは、認証スイッチ200Aで認証を開始する。認証スイッチ200Aは、端末300Aの認証情報を認証サーバ100に問い合わせ、認証サーバ100は、端末300A認証情報を認証情報データベース120と照合して認証の可否を決定し、認証スイッチ200Aに通知する。認証スイッチ200Aは、認証結果を端末300Aに通知するとともに、認証が成功した場合には、端末300Aが外部ネットワーク400へアクセスするのを許可するようにパケット入力フィルタ270Aを更新する。
また、図4を用いて、関連するネットワーク認証システムにおいて、運用中の認証ネットワークに、認証スイッチ200Cを追加した際の動作を説明する。図4は、稼働中のネットワークに、認証スイッチを追加した場合の動作をネットワーク構成図を用いて説明する図である。
認証スイッチ200Cは、認証サーバ100に認証スイッチ登録を行い、認証サーバ100は、認証スイッチ200A、200B、200Cの受信ポートフィルタを再生成し、各認証スイッチに通知する。各認証スイッチ200A、200B、200Cは、それぞれの受信ポートフィルタ250A、250B、250Cを更新する。
受信ポートフィルタ更新の結果、端末300Aの認証・通信処理は、認証スイッチ200Bに移動するものとする。認証スイッチ200Bが、端末300Aの認証情報を持たない場合、端末300Aは、再度認証をやり直すことになる。
このように、関連するネットワーク認証システムでは、受信ポートフィルタの再生成・更新処理により、認証を受ける端末の分布状況や通信状況によっては、特定の認証スイッチに負荷が集中してしまい、適切な負荷分散が行えないことがある。
これを改善するため、本実施形態では、後述するように、認証サーバ100に、図6に示すような端末管理データベース150を保持し、受信ポートフィルタの再生成時に、フィルタの生成方法を工夫することにより、端末の再認証処理で発生するネットワーク負荷の改善をはかる。
図1、図5〜図11を用いて、本実施形態の動作について説明する。
認証スイッチ200の認証サーバ処理部220は、認証サーバ100の認証スイッチ管理部130のスイッチ監視処理部132に対して定期的に通信を行っている。この通信処理において、認証スイッチ200の認証サーバ処理部220は、端末認証処理部230が保持する端末管理テーブル231を取得し、認証サーバ100の認証スイッチ管理部130に通知する。認証スイッチ管理部130は、各認証スイッチから通知された端末管理テーブル情報を端末管理データベース150に保存する。
一方、認証スイッチの登録・削除時など、認証スイッチの受信ポートフィルタを再生成する時、フィルタ生成・通知処理部131は、図7に示す処理を行う。
図7は、フィルタ生成・通知処理部131の動作を示すフローチャートである。図7において、まず、フィルタ管理テーブル111から現在各認証スイッチに設定されている受信ポートフィルタの値を取得する(S101)。
図5にフィルタ管理テーブル111の例を示す。図5は、フィルタ管理テーブル111の内容を示す図であり、SW−A及びSW−BのMACフィルタの例を示している。
次に、フィルタ生成・通知処理部131は、取得した受信ポートフィルタの値から、最小ハミング距離の新しい受信ポートフィルタ候補値F1、F2、...、Fnを全て生成する(S102)。各フィルタ候補値Fkは、各認証スイッチに通知するフィルタの集合{fk1、fk2、...、fks}(s:認証スイッチ数)である。 生成されたフィルタ候補値Fkそれぞれについて、端末管理データベース150から各フィルタ値fk1、fk2、...、fksの中からフィルタを選択し(S103)、該当する端末エントリを集計し(S104)、フィルタ候補値に対する指標値Skを算出する(S105)。
図6に端末管理データベース150の例を示す。図6は、端末管理データベース150の内容を示す図である。各クライアント端末の端末アドレスと所属する認証スイッチと通信量が登録してある。
図7、図8の例では、指標値として、各フィルタ値fk1、fk2、...、fksでの端末数の標準偏差と認証スイッチ間を移動する端末数を用いているが、他の指標を用いてもよい。すなわち、標準偏差は、端末数のばらつきを示すので、ばらつきが少なく認証スイッチ間の移動が少なくなるような指標値を選べば、負荷を効率よく分散していることになる。
算出された指標値Skが、それまでの指標値の中で最良の値であれば、その指標値に対応するフィルタ候補値Fkを最良フィルタとして保存する(S106)。全てのフィルタ候補値について上記、S103からS106を繰り返した後(S107)、最良フィルタとして保存されているフィルタ候補値を新しいフィルタとして、フィルタ管理テーブル111に登録し、各認証スイッチに通知する(S108)。
図8は、本実施形態のフィルタ生成・通知処理部131の動作の様子を示す図である。図8において、スイッチIDのSW-AとSW-BにSW-CとSW-Dを追加した場合は、
SW-CとSW-Dを追加した管理テーブル候補リストを生成し、その候補から最良値を求める。例えば、SW-CとSW-Dを追加したフィルタ管理テーブル候補について、所属端末数の標準偏差と移動端末数を求める。その中で最良値をとるフィルタ管理テーブルの候補を選ぶ。その選んだフィルタ管理テーブル候補を、新しいフィルタ管理テーブルとして設定する。
図9は、関連するネットワーク認証システムによって生成されたフィルタの様子を示す図である。図9に示すように、関連するネットワーク認証システムによって生成されたフィルタでは、端末のアドレス分布状況が考慮されていないため、端末の分布に偏りが生じている。すなわち、フィルタ管理テーブルにおいて、SW−C、SW−Dを追加しているが、端末管理データベースでは、所属スイッチSW−AとSW−Dだけに偏っている。また、SW−Dは後から追加されているので、再認証が必要となっている。
S108で生成されたフィルタの効果が、図10に示されている。図10は、本実施形態のネットワーク認証システムによって生成されたフィルタの様子を示す図である。図10に示すように、本実施形態のフィルタ生成方法を用いてフィルタ再生成を行った場合は、認証スイッチ間の移動が少なくなるようフィルタ候補値が選ばれるので、認証スイッチ間での端末アドレスのやり取りを必要最小限に抑え、かつ認証スイッチ間での負荷分散を適切に行えるようにフィルタが生成される。すなわち、フィルタ再生成後のフィルタ管理テーブルにおいて、SW−C、SW−Dを追加しているが、フィルタ再生成後の端末管理データベースでは、所属スイッチSW−A、SW−B、SW−C、SW−Dに分散している。
図11は、通信端末数の増加を契機として、負荷分散を行う処理を表すシーケンス図である。
図11において、認証スイッチA200Aが端末Ax(xは、1からnの整数)を許可するフィルタ設定であって(S321)、認証スイッチB200Bが端末Ax(xは、1からnの整数)を破棄するフィルタ設定であるとする(S320)。認証サーバ100は、定期的に認証スイッチの監視通信を行う(S301、S303)。認証スイッチ200A、200Bは、認証端末情報を認証サーバ100に通知する(S302、S304)。 端末Anからの認証情報が、認証スイッチA200Aに与えられたとすると(S311)、認証サーバ100は、定期的に認証スイッチの監視通信を行い(S305、S307)、認証スイッチ200A、200Bは、認証端末情報を認証サーバ100に通知する(S306、S308)。
認証サーバ100は、認証スイッチA200Aでの認証端末数の増大を検知すると(S322)、各認証スイッチの分散用フィルタを再生成し(S323)、フィルタ情報を各認証スイッチへ通知する(S309、S310)。フィルタ情報を受信した各認証スイッチは、例えば、認証スイッチA200Aは、端末A1を破棄するようフィルタを設定し(S325)、認証スイッチB200Bは、端末A1を許可するようフィルタを設定する(S324)。
認証サーバ100のスイッチ監視処理132は、認証端末数の変化をチェックすることで、認証スイッチの負荷の偏りを検出することができる。負荷の偏りを検出した場合、前述のフィルタ再生成処理を行うことにより、認証スイッチ間の負荷を適切に再配分し、ネットワーク負荷を抑制することが可能となる。
このように本実施形態では、認証サーバ100が、端末管理データベース150を保持し、認証スイッチ200が認証端末情報を定期的に認証サーバ100に通知することにより、認証端末数の増加を契機とした、負荷分散を行うことができる。
(第2の実施の形態)
図12、図13を用いて、本発明の第2の実施形態について説明する。図12は、第2の実施形態のネットワーク認証システムの構成を示す図である。図13は、特定の端末で通信流量が増大した場合の、負荷分散を行う処理を表すシーケンス図である。
図12において、第1の実施形態と同じ構成要素には、同じ番号を付して説明を省略する。図12のネットワーク認証システム20は、認証サーバ100と認証スイッチ205、クライアント端末300および外部ネットワーク400を備えている。本実施形態は、第1の実施形態の認証スイッチ200に通信量監視装置290を加えたものである。
通信量監視処理部290は、パケット転送処理部280の通信量を監視し、端末認証処理部230に通知する。
また、認証スイッチ205の端末管理テーブル231および認証サーバ100の認証端末データベース150に、各端末の通信流量のデータを保持することで、特定の認証スイッチや特定の端末で通信流量が急激に増えた場合にも、その端末のみを特別な認証スイッチに隔離することにより、検疫処理などを行うこともできる。
図13は、特定の端末300Aで通信流量が増大した場合の、負荷分散処理を示す。図13において、認証スイッチA200Aが端末Aを許可するフィルタ設定であって(S421)、認証スイッチB200Bが端末Aを破棄するフィルタ設定であるとする(S420)。認証サーバ100は、定期的に認証スイッチの監視通信を行う(S401、S403)。認証スイッチ200A、200Bは、端末の通信流量を認証サーバ100に通知する(S402、S404)。
端末Aの通信流量増大が、認証スイッチA200Aに与えられたとすると(S411)、認証サーバ100は、定期的に認証スイッチの監視通信を行い(S405、S407)、認証スイッチ200A、200Bは、端末の通信流量を認証サーバ100に通知する(S406、S408)。
認証サーバ100は、認証スイッチA200Aでの通信流量の増大を検知すると(S422)、各認証スイッチの分散用フィルタを再生成し(S423)、フィルタ情報を各認証スイッチへ通知する(S409、S410)。フィルタ情報を受信した各認証スイッチは、例えば、認証スイッチA200Aは、端末Aを破棄するようフィルタを設定し(S425)、認証スイッチB200Bは、端末Aを許可するようフィルタを設定する(S424)。
このように、認証サーバ100のスイッチ監視処理132は、定期的に認証スイッチの監視通信を行っており、認証スイッチ205の認証サーバ処理部220は、通信流量を含む端末認証情報を認証サーバ100に通知する。認証サーバ100のスイッチ監視処理132は、通信流量の変化をチェックすることで、認証スイッチ205の通信流量の偏りを検出することができる。
負荷の偏りを検出した場合、前述のフィルタ再生成処理を行うことにより、認証スイッチ間の通信負荷を適切に再配分し、ネットワーク負荷を抑制することが可能となる。あるいは、通信流量が増大した特定の端末のみを特別な認証スイッチに隔離することにより、検疫処理などを行うこともできる。
なお、第1の実施形態では認証端末数の増加、第2の実施形態では通信流量の変化をチェックしたが、認証端末数と通信流量の変化の両方を使ってチェックしてもよい。
以上述べてきたように、本願発明は、認証サーバに端末管理テーブルを保持し、認証スイッチに適用する受信ポートフィルタの再生成時に、それまでのフィルタを元に、端末管理テーブルに保持している端末の推移を考慮してフィルタの再生成を行うことにより、適切な負荷分散を行うことができる。
尚、本願発明は、上述の実施の形態に限定されるものではなく、本願発明の要旨を逸脱しない範囲で種々変更、変形して実施することが出来る。
本発明は、セキュリティの確保とネットワーク利用の効率化を両立させるネットワーク認証システムとして利用できる。
10 ネットワーク認証システム
100 認証サーバ
110 認証スイッチ管理テーブル
111 フィルタ管理テーブル
120 認証情報データベース
130 認証スイッチ管理部
131 フィルタ生成・通知処理部
132 スイッチ監視処理部
140 ユーザ認証処理部
150 端末管理データベース
20 ネットワーク認証システム
200 認証スイッチ
210 設定記憶部
211 認証サーバ情報
212 認証スイッチグループ情報
220 認証サーバ処理部
230 端末認証処理部
231 端末管理テーブル
240 フィルタ制御処理部
250 受信ポートフィルタ
260 パケット受信処理部
270 パケット入力フィルタ
280 パケット転送処理部
290 通信量監視処理部
300 クライアント端末
310 ユーザ認証情報
320 認証処理部
400 外部ネットワーク

Claims (7)

  1. 1つ以上のクライアント端末と、
    前記クライアント端末の外部ネットワークへの接続を認証する1つ以上の認証サーバと、
    前記クライアント端末の外部ネットワークへの通信を制御する複数の認証スイッチとを備えるネットワーク認証システムにおいて、
    前記認証サーバは、
    前記認証スイッチの認証を行うユーザ認証処理部と、
    前記認証スイッチがどの認証サーバに属するかを管理する認証スイッチ管理テーブルと、
    前記認証スイッチで前記クライアント端末の認証が行われるように、前記認証スイッチの受信ポートフィルタを生成して、前記認証スイッチ管理テーブル内のフィルタ管理テーブルに格納し、前記認証スイッチに通知する認証スイッチ管理処理部と、
    前記認証スイッチから通知された端末管理テーブル情報を保存する端末管理データベースと、
    を有することを特徴とするネットワーク認証システム。
  2. 前記認証スイッチは、前記クライアント端末の数が変化した場合に認証端末情報を前記認証サーバに通知し、前記認証スイッチの負荷の偏りを検出することを特徴とする請求項1に記載のネットワーク認証システム。
  3. 前記認証スイッチは、前記端末管理テーブルを有する端末認証処理部に接続され、パケット転送処理部を監視して、通信量を監視する通信量監視処理部を有することを特徴とする請求項1または2に記載のネットワーク認証システム。
  4. 1つ以上のクライアント端末と、
    前記クライアント端末の外部ネットワークへの接続を認証する1つ以上の認証サーバと、
    前記クライアント端末の外部ネットワークへの通信を制御する複数の認証スイッチとを備えるネットワーク認証システムのネットワーク認証方法において、
    前記認証サーバは、
    前記認証スイッチの認証を行うステップと、
    前記認証スイッチがどの認証サーバに属するかを管理するステップと、
    前記認証スイッチで前記クライアント端末の認証が行われるように、前記認証スイッチの受信ポートフィルタを生成して、前記認証スイッチ管理テーブル内のフィルタ管理テーブルに格納し、前記認証スイッチに通知するステップと、
    前記認証スイッチから通知された端末管理テーブル情報を保存するステップと、
    を有することを特徴とするネットワーク認証方法。
  5. 前記認証スイッチは、前記クライアント端末の数が変化した場合に認証端末情報を前記認証サーバに通知し、前記認証スイッチの負荷の偏りを検出するステップを有することを特徴とする請求項4に記載のネットワーク認証方法。
  6. 前記認証スイッチは、前記端末管理テーブルを有する前記端末認証処理部に接続され、パケット転送処理部を監視して、通信量を監視するステップを有することを特徴とする請求項4または5に記載のネットワーク認証方法。
  7. クライアント端末の外部ネットワークへの接続を認証する認証サーバにおいて、
    認証スイッチの認証を行うユーザ認証処理部と、
    前記認証スイッチがどの認証サーバに属するかを管理する認証スイッチ管理テーブルと、
    前記認証スイッチで前記クライアント端末の認証が行われるように、前記認証スイッチの受信ポートフィルタを生成して、前記認証スイッチ管理テーブル内のフィルタ管理テーブルに格納し、前記認証スイッチに通知する認証スイッチ管理処理部と、
    前記認証スイッチから通知された端末管理テーブル情報を保存する端末管理データベースと、
    を有することを特徴とする認証サーバ。
JP2015065388A 2015-03-27 2015-03-27 ネットワーク認証システム、ネットワーク認証方法および認証サーバ Active JP6281516B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2015065388A JP6281516B2 (ja) 2015-03-27 2015-03-27 ネットワーク認証システム、ネットワーク認証方法および認証サーバ
US15/060,836 US10003588B2 (en) 2015-03-27 2016-03-04 Network authentication system, network authentication method and network authentication server

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2015065388A JP6281516B2 (ja) 2015-03-27 2015-03-27 ネットワーク認証システム、ネットワーク認証方法および認証サーバ

Publications (2)

Publication Number Publication Date
JP2016184911A true JP2016184911A (ja) 2016-10-20
JP6281516B2 JP6281516B2 (ja) 2018-02-21

Family

ID=56976593

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2015065388A Active JP6281516B2 (ja) 2015-03-27 2015-03-27 ネットワーク認証システム、ネットワーク認証方法および認証サーバ

Country Status (2)

Country Link
US (1) US10003588B2 (ja)
JP (1) JP6281516B2 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11734443B2 (en) 2017-01-19 2023-08-22 Creator's Head Inc. Information control program, information control system, and information control method

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110381062B (zh) * 2019-07-22 2021-12-21 黄河科技学院 工业互联网中信息交换安全装置
WO2021060859A1 (ko) * 2019-09-24 2021-04-01 프라이빗테크놀로지 주식회사 단말의 네트워크 접속을 인증 및 제어하기 위한 시스템 및 그에 관한 방법

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011048504A (ja) * 2009-08-25 2011-03-10 Nippon Telegr & Teleph Corp <Ntt> 認証サーバ間の負荷分散方法及び装置及びプログラム
JP2013098769A (ja) * 2011-11-01 2013-05-20 Kotobuki Solution Co Ltd 告知情報に関するユニキャストデータ配信方法
WO2014080994A1 (ja) * 2012-11-22 2014-05-30 日本電気株式会社 輻輳制御システム、制御装置、輻輳制御方法およびプログラム
JP2014171078A (ja) * 2013-03-04 2014-09-18 Nec Corp ネットワーク認証システム、ネットワーク認証装置、ネットワーク認証方法、及びネットワーク認証プログラムネットワーク認証装置の負荷分散方法

Family Cites Families (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0982970B1 (en) * 1998-08-21 2006-10-04 Nippon Telegraph and Telephone Corporation ATM switch
CA2415888C (en) * 2000-08-04 2008-10-21 Avaya Technology Corporation Intelligent demand driven recognition of url objects in connection oriented transactions
US8942375B2 (en) * 2002-09-17 2015-01-27 Broadcom Corporation Method and system for providing multiple encryption in a multi-band multi-protocol hybrid wired/wireless network
US8151318B1 (en) * 2003-02-25 2012-04-03 Cisco Technology, Inc. Method and apparatus for reliably and asymmetrically distributing security information within a fibre channel fabric
JP4252842B2 (ja) 2003-05-22 2009-04-08 株式会社エヌ・ティ・ティ・ドコモ 管理ノード装置、無線通信システム、負荷分散方法およびプログラム
US7587750B2 (en) * 2003-06-26 2009-09-08 Intel Corporation Method and system to support network port authentication from out-of-band firmware
US7735114B2 (en) * 2003-09-04 2010-06-08 Foundry Networks, Inc. Multiple tiered network security system, method and apparatus using dynamic user policy assignment
JP4472537B2 (ja) * 2005-01-21 2010-06-02 パナソニック株式会社 パケット制御装置、認証サーバ及び無線通信システム
JP4714111B2 (ja) * 2006-08-29 2011-06-29 株式会社日立製作所 管理計算機、計算機システム及びスイッチ
KR100931810B1 (ko) * 2008-07-18 2009-12-14 현대자동차주식회사 텔레매틱스 통신 스위칭 방법
WO2012122217A2 (en) * 2011-03-07 2012-09-13 Adtran, Inc. Method and apparatus for network access control
US9167612B2 (en) * 2011-04-07 2015-10-20 Hewlett-Packard Development Company, L.P. Minimal synchronized network operations
US9100203B2 (en) * 2012-01-12 2015-08-04 Brocade Communications Systems, Inc. IP multicast over multi-chassis trunk
US9674195B1 (en) * 2014-06-25 2017-06-06 Symantec Corporation Use of highly authenticated operations to detect network address translation

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011048504A (ja) * 2009-08-25 2011-03-10 Nippon Telegr & Teleph Corp <Ntt> 認証サーバ間の負荷分散方法及び装置及びプログラム
JP2013098769A (ja) * 2011-11-01 2013-05-20 Kotobuki Solution Co Ltd 告知情報に関するユニキャストデータ配信方法
WO2014080994A1 (ja) * 2012-11-22 2014-05-30 日本電気株式会社 輻輳制御システム、制御装置、輻輳制御方法およびプログラム
JP2014171078A (ja) * 2013-03-04 2014-09-18 Nec Corp ネットワーク認証システム、ネットワーク認証装置、ネットワーク認証方法、及びネットワーク認証プログラムネットワーク認証装置の負荷分散方法

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11734443B2 (en) 2017-01-19 2023-08-22 Creator's Head Inc. Information control program, information control system, and information control method

Also Published As

Publication number Publication date
US20160285846A1 (en) 2016-09-29
US10003588B2 (en) 2018-06-19
JP6281516B2 (ja) 2018-02-21

Similar Documents

Publication Publication Date Title
JP7342920B2 (ja) 端末及び端末の方法
EP2530963B1 (en) Authentication method for machine type communication device, machine type communication gateway and related devices
JP4746044B2 (ja) 状態転送にコアベースのノードを使用するよう拡張された技術
US7848338B2 (en) Network-based reliability of mobility gateways
KR20180030034A (ko) 암호화된 클라이언트 디바이스 컨텍스트들에 의한 네트워크 아키텍처 및 보안
JP5850084B2 (ja) Mtcにおいて生じるグループ変更のための方法
CN100591013C (zh) 实现认证的方法和认证系统
JP2011119853A (ja) 通信装置および通信方法
CN107438981B (zh) 跨控制器故障切换和负荷平衡的无线客户端业务连续性
EP2127247B1 (en) Intrusion prevention system for wireless networks
CN110383868A (zh) 无线通信系统中的非活动状态安全支持
US20140341185A1 (en) Method and device for accounting in wifi roaming based on ac and ap interworking
JP6281516B2 (ja) ネットワーク認証システム、ネットワーク認証方法および認証サーバ
Raza et al. vepc-sec: Securing lte network functions virtualization on public cloud
JP2015035724A (ja) ネットワーク制御装置
TW201521470A (zh) 基地台及其使用者設備認證方法
US20170201506A1 (en) Communication Method, Apparatus, and System
CN102244857B (zh) 无线局域网漫游用户的控制方法及其装置和网络系统
JPWO2011064858A1 (ja) 無線認証端末
CN103974223A (zh) 无线局域网络与固网交互中实现认证及计费的方法及系统
JP3154679U (ja) 中継機器及びネットワークシステム
WO2013189234A1 (zh) Sta的剔除方法及装置
Pagare et al. Linking HO Delay towards Load Balancing in SDN-HetNets Environ

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20160715

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20170421

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20170606

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20170712

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20171226

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20180108

R150 Certificate of patent or registration of utility model

Ref document number: 6281516

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313113

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313113

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313113

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350