JP2017204697A - ネットワークシステムおよびサーバ装置 - Google Patents
ネットワークシステムおよびサーバ装置 Download PDFInfo
- Publication number
- JP2017204697A JP2017204697A JP2016094585A JP2016094585A JP2017204697A JP 2017204697 A JP2017204697 A JP 2017204697A JP 2016094585 A JP2016094585 A JP 2016094585A JP 2016094585 A JP2016094585 A JP 2016094585A JP 2017204697 A JP2017204697 A JP 2017204697A
- Authority
- JP
- Japan
- Prior art keywords
- authentication
- server
- log
- address
- information terminal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Description
《ネットワークシステムの構成》
図1は、本発明の実施の形態1によるネットワークシステムにおいて、主要部の構成例および動作例を示す概略図である。図1に示すネットワークシステムは、イントラネット網等の内部ネットワーク10と、内部ネットワーク10に接続される認証スイッチSW、無線LANコントローラWLC、不正通信検知装置12、ログ管理サーバ15、DHCP(Dynamic Host Configuration Protocol)サーバ16、および認証サーバ17等を備える。
図2は、図1のネットワークシステムが認証動作およびDHCP動作を行う際の主要な処理内容の一例を示すシーケンス図である。図2において、まず、情報端末TMは、認証クライアント(SW/WLC)に向けてアカウントIDを伴う認証要求を行う(ステップS101)。ここでは、情報端末TM10が認証スイッチSWに向けて認証要求を行う場合を想定する。また、必ずしも限定はされないが、認証スイッチSWは、認証要求に応じて始めにMACアドレス認証を行い、MACアドレス認証が拒否された場合にはWeb認証を行うものとする。
図3は、図1のネットワークシステムにおける端末管理DBの保持内容の一例および不正通信遮断動作の一例を示す概略図である。ログ管理サーバ15は、図1および図2に示したように、ステップS106,S107に伴う認証許可ログLG1a,LG1bと、ステップS111に伴うDHCPログLG2とを受信する。認証許可ログLG1a,LG1bは、認証許可の対象となるアカウントIDおよび所定の情報端末TMのMACアドレスを含み、認証クライアント(SW/WLC)および認証サーバ17の少なくとも一方によって送信される。DHCPログLG2は、所定の情報端末TMのMACアドレスおよびIPアドレスを含み、DHCPサーバ16によって送信される。
以上、図1のネットワークシステムを用いて図2および図4に示したような動作を行うことで、代表的には、不正通信をより確実に遮断することが可能になる。具体的に説明すると、例えば、図4のステップS205のように、認証スイッチSW等で所定のMACアドレス(例えばMA10)からの通信を遮断することでも不正通信を遮断することが可能である。しかし、例えば、情報端末(例えばTM10)が、別の認証スイッチや、または無線LANコントローラWLCに再接続された場合、内部ネットワーク10で再び不正通信が行われる恐れがある。
図5は、図1のネットワークシステムにおけるログ管理サーバの主要部の構成例を示す概略図である。図5に示すログ管理サーバ(サーバ装置)15は、全体制御部30と、記憶部19と、ユーザインタフェース31とを備える。記憶部19は、HDD等で構成され、全体制御部30は、CPUによるプログラム処理等によって構成される。記憶部19は、前述した端末管理DB20に加えて、ログDB38と、認証サーバ17のIPアドレス39とを保持する。
《ネットワークシステム(変形例)の構成》
図8は、本発明の実施の形態2によるネットワークシステムにおいて、主要部の構成例を示す概略図である。図8に示すネットワークシステムは、図1の構成例と比較して、DHCPサーバ16および認証サーバ17が、1台の認証/DHCPサーバ45に置き換わっている点が異なっている。認証/DHCPサーバ45は、図1のDHCPサーバ16と同様の処理を行うDHCP処理部46と、図1の認証サーバ17と同様の処理を行う認証処理部47と、記憶部48とを備える。
11 インターネット網
12 不正通信検知装置
13a,13b ユーザ
14 管理テーブル参照部
15 ログ管理サーバ
16 DHCPサーバ
17 認証サーバ
19,21,23,48 記憶部
20 端末管理DB
22 IP管理DB
24 認証DB
29 管理者
30 全体制御部
31 ユーザインタフェース
32 DB管理部
33 イベント処理部
35 イベント検出部
36 端末管理DB登録部
38 ログDB
45 認証/DHCPサーバ
46 DHCP処理部
47 認証処理部
49 認証/IP管理DB
C1 通信遮断命令
C2 認証拒否命令
LG1a,LG1b 認証許可ログ
LG2 DHCPログ
LG3 不正通信検知ログ
SW 認証スイッチ
TM,TM10,TM20 情報端末
UF ユーザフレーム
WLC 無線LANコントローラ
Claims (6)
- 端末管理データベースを備えるログ管理サーバと、
アカウント識別子毎の認証許可/拒否を定める認証データベースに基づき認証を行う認証サーバと、
所定の情報端末からの認証要求に応じて、当該認証要求に伴うアカウント識別子を含む認証判定要求を前記認証サーバへ送信し、前記認証サーバから前記認証許可/拒否の判定結果を受信する認証クライアントと、
所定の情報端末からのIPアドレスの割り当て要求に応じてIPアドレスを割り当て、当該IPアドレスを割り当てた場合に、前記所定の情報端末のIPアドレスおよびMACアドレスを含むDHCPログを前記ログ管理サーバへ送信するDHCP(Dynamic Host Configuration Protocol)サーバと、
インターネット網に向けた通信を監視し、不正通信を検知した場合に当該通信の送信元のIPアドレスを含む不正通信検知ログを前記ログ管理サーバへ送信する不正通信検知装置と、
を有するネットワークシステムであって、
前記認証サーバおよび前記認証クライアントの少なくとも一方は、前記認証許可の場合に、当該認証許可の対象となるアカウント識別子および前記所定の情報端末のMACアドレスを含む認証許可ログを前記ログ管理サーバへ送信し、
前記ログ管理サーバは、
前記認証許可ログおよび前記DHCPログを受信した場合に、前記所定の情報端末のMACアドレスを共通パラメータとして、前記認証許可の対象となるアカウント識別子と前記所定の情報端末のIPアドレスとの対応関係を前記端末管理データベースに登録する第1の処理と、
前記不正通信検知ログを受信した場合に、当該不正通信検知ログに含まれる前記送信元のIPアドレスに対応するアカウント識別子を前記認証拒否に定めるための認証拒否命令を前記認証サーバへ送信する第2の処理と、
を実行する、
ネットワークシステム。 - 請求項1記載のネットワークシステムにおいて、
前記ログ管理サーバは、前記第2の処理に際し、前記端末管理データベースに基づき前記不正通信検知ログに含まれる前記送信元のIPアドレスに対応するアカウント識別子を取得し、前記アカウント識別子を含む前記認証拒否命令を前記認証サーバへ送信する、
ネットワークシステム。 - 請求項1または2記載のネットワークシステムにおいて、
前記ログ管理サーバは、さらに、前記不正通信検知ログを受信した場合に、前記端末管理データベースに基づき当該不正通信検知ログに含まれる前記送信元のIPアドレスに対応する前記所定の情報端末のMACアドレスを取得し、当該MACアドレスを含む通信遮断命令を前記認証クライアントへ送信する第3の処理を実行し、
前記認証クライアントは、前記通信遮断命令を受信した場合に、当該通信遮断命令に含まれるMACアドレスを送信元とする通信を遮断する、
ネットワークシステム。 - 認証サーバ、認証クライアント、DHCP(Dynamic Host Configuration Protocol)サーバおよび不正通信検知装置が接続される内部ネットワーク上のログを収集し、端末管理データベースを有するサーバ装置であって、
前記認証サーバは、アカウント識別子毎の認証許可/拒否を定める認証データベースに基づき認証を行い、
前記認証クライアントは、所定の情報端末からの認証要求に応じて、当該認証要求に伴うアカウント識別子を含む認証判定要求を前記認証サーバへ送信し、前記認証サーバから前記認証許可/拒否の判定結果を受信し、
前記DHCPサーバは、所定の情報端末からのIPアドレスの割り当て要求に応じてIPアドレスを割り当て、当該IPアドレスを割り当てた場合に、前記所定の情報端末のIPアドレスおよびMACアドレスを含むDHCPログを前記サーバ装置へ送信し、
前記不正通信検知装置は、インターネット網に向けた通信を監視し、不正通信を検知した場合に当該通信の送信元のIPアドレスを含む不正通信検知ログを前記サーバ装置へ送信し、
前記認証サーバおよび前記認証クライアントの少なくとも一方は、前記認証許可の場合に、当該認証許可の対象となるアカウント識別子および前記所定の情報端末のMACアドレスを含む認証許可ログを前記サーバ装置へ送信し、
前記サーバ装置は、
前記認証許可ログおよび前記DHCPログを受信した場合に、前記所定の情報端末のMACアドレスを共通パラメータとして、前記認証許可の対象となるアカウント識別子と前記所定の情報端末のIPアドレスとの対応関係を前記端末管理データベースに登録する第1の処理と、
前記不正通信検知ログを受信した場合に、当該不正通信検知ログに含まれる前記送信元のIPアドレスに対応するアカウント識別子を前記認証拒否に定めるための認証拒否命令を前記認証サーバへ送信する第2の処理と、
を実行する、
サーバ装置。 - 請求項4記載のサーバ装置において、
前記サーバ装置は、前記第2の処理に際し、前記端末管理データベースに基づき前記不正通信検知ログに含まれる前記送信元のIPアドレスに対応するアカウント識別子を取得し、前記アカウント識別子を含む前記認証拒否命令を前記認証サーバへ送信する、
サーバ装置。 - 請求項4または5記載のサーバ装置において、
前記サーバ装置は、さらに、前記不正通信検知ログを受信した場合に、前記端末管理データベースに基づき当該不正通信検知ログに含まれる前記送信元のIPアドレスに対応する前記所定の情報端末のMACアドレスを取得し、当該MACアドレスを含む通信遮断命令を前記認証クライアントへ送信する第3の処理を実行する、
サーバ装置。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2016094585A JP6616733B2 (ja) | 2016-05-10 | 2016-05-10 | ネットワークシステムおよびサーバ装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2016094585A JP6616733B2 (ja) | 2016-05-10 | 2016-05-10 | ネットワークシステムおよびサーバ装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2017204697A true JP2017204697A (ja) | 2017-11-16 |
JP6616733B2 JP6616733B2 (ja) | 2019-12-04 |
Family
ID=60323320
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2016094585A Active JP6616733B2 (ja) | 2016-05-10 | 2016-05-10 | ネットワークシステムおよびサーバ装置 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6616733B2 (ja) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2019161377A (ja) * | 2018-03-12 | 2019-09-19 | アラクサラネットワークス株式会社 | ネットワークシステム、通信遮断方法、及びネットワークコントローラ |
JP2020077912A (ja) * | 2018-11-05 | 2020-05-21 | 富士通株式会社 | ネットワーク制御装置、及び、ネットワーク制御方法 |
JP2021165977A (ja) * | 2020-04-08 | 2021-10-14 | エイチ・シー・ネットワークス株式会社 | サーバ装置およびネットワークシステム |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
RU2680204C2 (ru) | 2014-01-03 | 2019-02-18 | Юнивёрсити-Индастри Кооперейшен Груп Оф Кён Хи Юнивёрсити | Способ и устройство для определения информации движения между позициями по времени в подблоке предсказания |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2009033557A (ja) * | 2007-07-27 | 2009-02-12 | Fujitsu Telecom Networks Ltd | ネットワークアクセスシステムおよびネットワークアクセス方法 |
JP2014140127A (ja) * | 2013-01-21 | 2014-07-31 | Alaxala Networks Corp | 管理装置、及び管理方法 |
JP2015035724A (ja) * | 2013-08-09 | 2015-02-19 | 株式会社日立製作所 | ネットワーク制御装置 |
JP2016005138A (ja) * | 2014-06-17 | 2016-01-12 | 株式会社エヌ・ティ・ティ・データ | 通信制御装置、攻撃防御システム、攻撃防御方法、及びプログラム |
-
2016
- 2016-05-10 JP JP2016094585A patent/JP6616733B2/ja active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2009033557A (ja) * | 2007-07-27 | 2009-02-12 | Fujitsu Telecom Networks Ltd | ネットワークアクセスシステムおよびネットワークアクセス方法 |
JP2014140127A (ja) * | 2013-01-21 | 2014-07-31 | Alaxala Networks Corp | 管理装置、及び管理方法 |
JP2015035724A (ja) * | 2013-08-09 | 2015-02-19 | 株式会社日立製作所 | ネットワーク制御装置 |
JP2016005138A (ja) * | 2014-06-17 | 2016-01-12 | 株式会社エヌ・ティ・ティ・データ | 通信制御装置、攻撃防御システム、攻撃防御方法、及びプログラム |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2019161377A (ja) * | 2018-03-12 | 2019-09-19 | アラクサラネットワークス株式会社 | ネットワークシステム、通信遮断方法、及びネットワークコントローラ |
JP2020077912A (ja) * | 2018-11-05 | 2020-05-21 | 富士通株式会社 | ネットワーク制御装置、及び、ネットワーク制御方法 |
JP7081445B2 (ja) | 2018-11-05 | 2022-06-07 | 富士通株式会社 | ネットワーク制御装置、及び、ネットワーク制御方法 |
JP2021165977A (ja) * | 2020-04-08 | 2021-10-14 | エイチ・シー・ネットワークス株式会社 | サーバ装置およびネットワークシステム |
JP7221235B2 (ja) | 2020-04-08 | 2023-02-13 | エイチ・シー・ネットワークス株式会社 | サーバ装置およびネットワークシステム |
Also Published As
Publication number | Publication date |
---|---|
JP6616733B2 (ja) | 2019-12-04 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11102233B2 (en) | Detection of vulnerable devices in wireless networks | |
US9723019B1 (en) | Infected endpoint containment using aggregated security status information | |
US11589224B2 (en) | Network access control | |
US10542029B2 (en) | System and method for security and quality assessment of wireless access points | |
US7342906B1 (en) | Distributed wireless network security system | |
US8230480B2 (en) | Method and apparatus for network security based on device security status | |
JP5062967B2 (ja) | ネットワークアクセス制御方法、およびシステム | |
KR101910605B1 (ko) | 무선 단말의 네트워크 접속 제어 시스템 및 방법 | |
JP6616733B2 (ja) | ネットワークシステムおよびサーバ装置 | |
US20180198786A1 (en) | Associating layer 2 and layer 3 sessions for access control | |
JP6737610B2 (ja) | 通信装置 | |
US20220337603A1 (en) | Autonomous pilicy enforcement point configuration for role based access control | |
US11632399B2 (en) | Secure administration of a local communication network comprising at least one communicating object | |
JP6117050B2 (ja) | ネットワーク制御装置 | |
US8239930B2 (en) | Method for controlling access to a network in a communication system | |
JP4750750B2 (ja) | パケット転送システムおよびパケット転送方法 | |
JP4767683B2 (ja) | 中継装置、不正アクセス防止装置、およびアクセス制御プログラム | |
CN110875923A (zh) | 增强型网络访问控制(eNAC)框架 | |
JP3725893B2 (ja) | ネットワークシステム | |
US20230344798A1 (en) | Roaming dns firewall | |
KR100875669B1 (ko) | 인증요청자와 동일한 레벨에 위치한 인증자를 이용한네트워크 접근 제어 방법 및 그 시스템 | |
KR100811831B1 (ko) | 사설 네트워크의 인증장치 및 인증방법 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20181207 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20191016 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20191029 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20191108 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6616733 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |