JP3154679U - 中継機器及びネットワークシステム - Google Patents

中継機器及びネットワークシステム Download PDF

Info

Publication number
JP3154679U
JP3154679U JP2009005591U JP2009005591U JP3154679U JP 3154679 U JP3154679 U JP 3154679U JP 2009005591 U JP2009005591 U JP 2009005591U JP 2009005591 U JP2009005591 U JP 2009005591U JP 3154679 U JP3154679 U JP 3154679U
Authority
JP
Japan
Prior art keywords
network device
address
authentication
information
access control
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2009005591U
Other languages
English (en)
Inventor
創也 齋藤
創也 齋藤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Allied Telesis Holdings KK
Original Assignee
Allied Telesis Holdings KK
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Allied Telesis Holdings KK filed Critical Allied Telesis Holdings KK
Priority to JP2009005591U priority Critical patent/JP3154679U/ja
Application granted granted Critical
Publication of JP3154679U publication Critical patent/JP3154679U/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Abstract

【課題】セキュリティの向上、システムの簡易化、及び、アクセス制御リストの適用の自由度の向上を図れる、中継機器及びネットワークシステムを提供する。【解決手段】中継機器100は、ネットワークにおいて通信を中継するための送信元情報及び当該送信元情報に対応する宛先情報を含むアクセス制御リストを格納した記憶部160と、認証サーバがネットワーク機器を認証するための認証情報を、ネットワーク機器から取得する認証情報取得部120と、認証情報を認証サーバに送信する送信部130と、認証サーバにおいてネットワーク機器が認証された場合又は認証される前に、ネットワーク機器から当該ネットワーク機器のアドレスを取得するアドレス取得部140と、アクセス制御リストのうちの送信元情報及び宛先情報の少なくとも一方の情報を、認証されたネットワーク機器のアドレスに置き換える、アドレス置換部150とを備える。【選択図】図2

Description

本考案は中継機器及びネットワークシステムに関する。特に本考案は、セキュリティの向上、システムの簡易化、及び、アクセス制御リストの適用の自由度の向上が図れる、中継機器及びネットワークシステムに関する。
ネットワークシステムにおいては、セキュリティの観点から、通信が行われるネットワーク機器に対してアクセス制御リストが適用されることがある。アクセス制御リストには、送信元情報及び当該送信元情報に対応する宛先情報が記述されているところ、従来においては、それらの情報は、指定されたネットワーク機器のアドレスそのものが記載されていたため、リストに記載されていないネットワーク機器や、IPアドレスが動的に割り振られるDHCP(Dynamic Host Configuration Protocol)環境下においては、アクセス制御リストによる適用が受けられない場合があった。
なお、移動体端末の技術分野においては、サーバが移転してIPアドレスが変わった場合に備えて、状況に応じてアクセス制御リストの内容を変更する技術が知られている(例えば特許文献1参照)が、かかる構成においては管理サーバにおいてアクセス制御リストの動的に設定が可能な項目を明示し、かかる管理サーバからモバイルファイアウォールに転送した上で、当該項目の変換及び監視を行うため、システムが複雑になる場合がある。
特開2006−67314号公報
そこで本考案は、上記の課題を解決することのできる中継機器及びネットワークシステムを提供することを目的とする。この目的は実用新案登録請求の範囲における独立項に記載の特徴の組み合わせにより達成される。また従属項は本考案の更なる有利な具体例を規定する。
本考案の一態様に係る中継機器は、ネットワーク機器と認証サーバとの通信を含む、ネットワーク上の通信を中継する中継機器であって、前記ネットワークにおいて通信を中継するための送信元情報及び当該送信元情報に対応する宛先情報を含むアクセス制御リストを格納した記憶部と、前記認証サーバが前記ネットワーク機器を認証するための認証情報を前記ネットワーク機器から取得する認証情報取得部と、前記認証情報を前記認証サーバに送信する送信部と、前記認証サーバにおいて前記ネットワーク機器が認証された場合に、前記ネットワーク機器から当該ネットワーク機器のアドレスを取得するアドレス取得部と、前記アクセス制御リストのうちの前記送信元情報及び前記宛先情報の少なくとも一方の情報を、認証された前記ネットワーク機器の前記アドレスに置き換える、アドレス置換部とを備える。
かかる構成によれば、アクセス制御リストの所定の情報を、認証されたネットワーク機器のアドレスに置き換えることにより、動的にアクセス制御リストの変更又は生成を行う。これによれば、認証されたネットワーク機器についてのみアクセス制御リストを適用するので、管理者はアクセス制御リストに全ての個別のネットワーク機器のアドレスを指定しておく必要がなく、セキュリティの向上及びアクセス制御リストの簡易化を図ることができる。また、例えばDHCP環境などにおいてネットワーク機器のIPアドレスが動的に変わる場合や、アクセス権を有するユーザーが他のネットワーク機器を用いて所定のネットワーク機器へアクセスしたい場合においても、アクセス制御リストを適用することが可能となるので、セキュリティの向上を図りつつも、アクセス制御リストの適用の自由度を向上させることができる。また、ネットワーク機器の認証に用いられる中継機器そのものが、アクセス制御リストの変更又は生成も行うので、ネットワークシステムの構成を極めて簡易なものにすることができる。
かかる構成において、前記アドレス置換部は、前記アクセス制御リストのうちの前記送信元情報及び前記宛先情報のいずれか一方の情報を、認証された前記ネットワーク機器の前記アドレスに置き換えてもよい。
かかる構成において、前記認証サーバによって行われる認証は、Web認証、IEEE802.1X認証及びMACアドレス認証のいずれか1つ又は2つ以上の組み合わせであってもよい。
かかる構成において、前記アドレス置換部は、前記認証サーバによって行われる認証方式に基づいて、前記アクセス制御リストの置換すべき情報を決定してもよい。
かかる構成において、前記アドレス置換部は、認証された前記ネットワーク機器に設定されたVLANに基づいて、前記アクセス制御リストの置換すべき情報を決定してもよい。
かかる構成において、前記ネットワーク機器を通信可能に接続するポートをさらに備え、前記アドレス置換部は、認証された前記ネットワーク機器が接続されたポート番号に基づいて、前記アクセス制御リストの置換すべき情報を決定してもよい。
かかる構成において、前記アドレス置換部は、認証された前記ネットワーク機器のMACアドレスに基づいて、前記アクセス制御リストの置換すべき情報を決定してもよい。
かかる構成において、前記アドレスは、IPアドレスであってもよい。
かかる構成において、前記アドレスは、MACアドレスであってもよい。
本考案の一態様に係るネットワークシステムは、ネットワーク機器と、認証サーバと、管理サーバと、前記ネットワーク機器と前記認証サーバとを中継しかつ前記ネットワーク機器と前記管理サーバとを中継する中継機器と、を備えたネットワークシステムであって、前記中継機器は、前記認証サーバが認証するための認証情報を前記ネットワーク機器から取得する認証情報取得部と、前記認証情報を前記認証サーバに送信する送信部と、前記認証サーバにおいて前記ネットワーク機器が認証された場合に、前記ネットワーク機器から当該ネットワーク機器のアドレスを取得するアドレス取得部とを備え、前記管理サーバは、送信元情報及び当該送信元情報に対応する宛先情報を含むアクセス制御リストを格納した記憶部と、前記アクセス制御リストのうちの前記送信元情報及び前記宛先情報の少なくとも一方の情報を、認証された前記ネットワーク機器の前記アドレスに置き換える、アドレス置換部とを備える。
本考案の一実施形態に係るネットワークシステムを示す図である。 本考案の一実施形態に係る中継機器を示す図である。 本考案の一実施形態に係るアクセス制御リストの一例を示す図である。 本考案の一実施形態に係るアクセス制御リストの一例を示す図である。 本考案の一実施形態に係るアクセス制御リストの一例を示す図である。 本考案の一実施形態に係るアクセス制御リストの一例を示す図である。 本考案の一実施形態に係るネットワークシステムを用いたアクセス制御リストの適用方法の一例である。 本考案の他の実施形態に係るネットワークシステムを示す図である。 本考案の他の実施形態に係る中継機器及び管理サーバを示す図である。
以下、図面を参照しつつ、考案の実施形態を通じて本考案を説明するが、以下の実施形態は実用新案登録請求の範囲に係る考案を限定するものではなく、また、実施形態の中で説明されている特徴の組み合わせのすべてが考案の解決手段に必須であるとは限らない。
図1〜図7を参照して、本考案の一実施形態に係る中継機器について説明する。
図1は、本考案の一実施形態に係るネットワークシステムを示す図であり、図2は、図1の中継機器を示す図である。
図1に示すように、本実施形態に係るネットワークシステム1000は、中継機器100と、ネットワーク機器202,204,206と、認証サーバ400とを備える。
中継機器100は例えばL3スイッチ及びルータである。図1に示す例では、中継機器100は、ネットワーク機器202,204,206と認証サーバ400とを中継する。中継機器100と認証サーバ400との間にネットワーク300が介在してもよい。なお、中継機器100の構成については図2を用いて詳述する。
ネットワーク機器202,204,206は、ネットワーク上に接続される機器全般を含む。ネットワーク機器202,204,206は例えばコンピュータ端末であってもよい。かかるコンピュータ端末は中継機器100に能動的にアクセス可能であり、これによってユーザーが、コンピュータ端末を用いてWeb認証を実行することができる。あるいは、ネットワーク機器202,204,206は中継機器100に能動的にアクセス不能であるネットワークプリンタ等であってもよい。
また、図1に示すように、ネットワーク機器202,204,206は中継機器100のポート102,104,106に通信可能なように接続されている。この場合、ネットワーク機器202,204,206は、中継機器100に対して無線で通信を行うように接続されてもよい。
認証サーバ400は、中継機器100からの認証要求に基づいて、ネットワーク機器又は当該ネットワーク機器を使用するユーザーが、条件を満たすか否かの認証を行う。具体的には、認証サーバ400は、予め認証情報を格納し、ネットワーク機器から取得した認証情報が、予め認証サーバ400に格納された認証情報と対応するか否かを判断する。認証サーバ400の認証方式は限定されるものではないが、例えばWeb認証、IEEE802.1X認証及びMAC(Media Access Control)アドレス認証のいずれか1つ又はそれらの2つ以上の組み合わせからなるものを用いることができる。認証サーバは、例えばRADIUS(Remote Authentication Dial In User Service)サーバである。
次に、図2を参照して、本実施形態に係る中継機器について説明する。
図2に示すように、中継機器100は本実施形態に係るアクセス制御リストの適用方法を実行するために必要な制御を行う制御部110と、アクセス制御リストを格納する記憶部160とを備える。制御部110は記憶部160からデータを読み出し又は記憶部160へデータを書き込むことができるように構成される。
この制御部110は、認証サーバ400が認証するための認証情報をネットワーク機器202,204,206から取得する認証情報取得部120と、かかる認証情報を認証サーバ400に送信する送信部130と、認証サーバ400においてネットワーク機器が認証された場合に、かかるネットワーク機器から当該ネットワーク機器のアドレスを取得するアドレス取得部140と、アクセス制御リストの所定の情報を、認証されたネットワーク機器のアドレスに置き換えるアドレス置換部150とを備える。また、記憶部160はアクセス制御リストを格納する。以下、それらの構成について詳述する。
認証情報取得部120は、例えばWeb認証の場合においては、所定のネットワーク機器(例えばネットワーク機器202とする)が中継機器100において、Web認証を行うよう要求した場合に処理を行う。具体的には、処理部110が、ネットワーク機器202の要求に対してこのネットワーク機器202にログイン表示を提供し、ユーザーがこのログイン表示にユーザーアカウント(例えばユーザーID及びパスワード)を入力し、認証情報取得部120がネットワーク機器202からかかるユーザーアカウントを取得する。認証情報取得部120が取得したユーザーアカウントは、Web認証の場合においての認証情報の一例である。
送信部130は、認証情報取得部120が取得した認証情報を認証サーバ400に送信する。これに対して認証サーバ400は認証情報を取得し、所定の認証を行い、かかる認証結果を中継機器100に送信する。
アドレス取得部140は、認証サーバ400から受信した認証結果が成立である場合に、認証を要求したネットワーク機器202から、当該ネットワーク機器202のアドレスを取得する。取得したアドレスは記憶部160に格納してもよい。ここで、ネットワーク機器のアドレスは、通信上のアドレス(例えばIPアドレス)であってもよいし、あるいは物理的なアドレス(例えばMACアドレス)であってもよい。なお、認証サーバ400から受信した認証結果が不成立である場合には、アドレス取得部140は、認証を要求したネットワーク機器202のアドレスを取得しない又は取得した上で当該アドレスを格納することなく破棄してもよい。また、認証結果の成立をする前に当該ネットワーク機器202のアドレスを取得し、格納してもよい。
アドレス置換部150は、記憶部160に格納されるアクセス制御リストを読み出し、当該アクセス制御リストのうちの所定の情報を、アドレス取得部140が取得したネットワーク機器202のアドレスに置き換える。ここで、アクセス制御リストは、送信元情報及び当該送信元情報に対応する宛先情報を含むもので、送信元情報により特定される送信元から、宛先情報により特定される宛先へのアクセスのアクション(例えば許可(permit)するか破棄(deny)するか)を示す情報のリストであり、ネットワーク上のセキュリティを設定するためのものである。
ここで、図3〜図6を参照して、アクセス制御リスト及びアドレス置換部についてさらに詳述する。図3〜図6は、予め記憶部160に格納されているアクセス制御リストの一例である。なお、以下においては、アドレス置換部150がネットワーク機器202のIPアドレス又はMACアドレスを、アクセス制御リストの所定の情報に置き換える場合を例として説明する。また、図3〜図5の「10.0.0.1」という記載は、他の特定のネットワーク機器(例えばネットワーク機器204)のIPアドレスを意味する。また、図示されるアクセス制御リストは一例であり、アクセス制御リストの記述形式や設定項目についてはこれらに限定されるものではない。また、図中のID1及びID2は1つの組となっており、またアクセス制御リストは実際には多数のID(多数の組)を格納している。
図3に示すように、アドレス置換部150は、アクセス制御リストのうち送信元情報を、認証されたネットワーク機器202のIPアドレスに置き換えてもよい。具体的には、図3のアクセス制御リストには、ID1において、送信元情報に「認証されたネットワーク機器のIPアドレス」、宛先情報に「10.0.0.1」、アクションに「許可」と記載され、ID2において、送信元情報に「認証されたネットワーク機器のIPアドレス」、宛先情報に「any(すなわち10.0.0.1以外)」、アクションに「破棄」と記載されている。一方、アドレス取得部140は、認証サーバ400によって認証されたネットワーク機器202のIPアドレスを取得し、アドレス置換部150は、図3のアクセス制御リストのID1及びID2の送信元情報を、認証されたネットワーク機器202のIPアドレスに置き換える。すなわち、置き換え後のアクセス制御リストにおいては、ID1の送信元情報及びID2の送信元情報に、ネットワーク機器202のIPアドレスが記述される。そして、かかる置き換え後のアクセス制御リストが適用されると、ネットワーク機器202においては、IPアドレスが「10.0.0.1」であるネットワーク機器(すなわちネットワーク機器204)に対する通信が許可され、それ以外に対する通信は破棄される。
変形例として図4に示すように、アドレス置換部150は、アクセス制御リストのうち送信元情報を、認証されたネットワーク機器202のMACアドレスに置き換えてもよい。具体的には、図4のアクセス制御リストには、ID1において、送信元情報に「認証されたネットワーク機器のMACアドレス」、宛先情報に「10.0.0.1」、アクションに「許可」と記載され、ID2において、送信元情報に「認証されたネットワーク機器のMACアドレス」、宛先情報に「any(すなわち10.0.0.1以外)」、アクションに「破棄」と記載されている。一方、アドレス取得部140は、認証サーバ400によって認証されたネットワーク機器202のMACアドレスを取得し、アドレス置換部150は、図4のアクセス制御リストのID1及びID2の送信元情報を、認証されたネットワーク機器202のMACアドレスに置き換える。すなわち、置き換え後のアクセス制御リストにおいては、ID1の送信元情報及びID2の送信元情報に、ネットワーク機器202のMACアドレスが記述される。そして、かかる置き換え後のアクセス制御リストが適用されると、ネットワーク機器202においては、IPアドレスが「10.0.0.1」であるネットワーク機器(すなわちネットワーク機器204)に対する通信が許可され、それ以外に対する通信は破棄される。
また、他の変形例として図5に示すように、アドレス置換部150は、アクセス制御リストのうち宛先情報を、認証されたネットワーク機器202のIPアドレスに置き換えてもよい。具体的には、図5のアクセス制御リストには、ID1において、送信元情報に「10.0.0.1」、宛先情報に「認証されたネットワーク機器のIPアドレス」、アクションに「許可」と記載され、ID2において、送信元情報に「10.0.0.1」、宛先情報に「any(すなわち認証されたネットワーク機器以外)」、アクションに「破棄」と記載されている。一方、アドレス取得部140は、認証サーバ400によって認証されたネットワーク機器202のIPアドレスを取得し、アドレス置換部150は、図5のアクセス制御リストのID1の送信元情報を、認証されたネットワーク機器202のIPアドレスに置き換える。すなわち、置き換え後のアクセス制御リストにおいては、ID1の宛先情報に、ネットワーク機器202のIPアドレスが記述される。そして、かかる置き換え後のアクセス制御リストが適用されると、IPアドレスが「10.0.0.1」であるネットワーク機器(すなわちネットワーク機器204)においては、ネットワーク機器202に対する通信が許可され、それ以外に対する通信は破棄される。なお、図5のさらなる変形例として、図5のIPアドレスの代わりにMACアドレスを適用してもよい。
図3〜図5においては、アクセス制御リストの送信元情報及び宛先情報のいずれか一方の情報を、認証されたネットワーク機器202のIPアドレス又はMACアドレスに置き換える例を説明したが、アドレス置換部150は、アクセス制御リストの送信元情報及びこれに対応する宛先情報の両方を置き換えてもよい。すなわち、認証情報取得部120が異なる2つのネットワーク機器(例えばネットワーク機器202,206)から認証情報を取得し、送信部130がそれぞれの認証情報を認証サーバ400に送信し、認証サーバ400においてそれぞれのネットワーク機器202,206が認証された場合に、アドレス取得部140がネットワーク機器202,206からそれぞれIPアドレス又はMACアドレスを取得し、アドレス置換部150が、アクセス制御リストの送信元情報を一方のネットワーク機器202のIPアドレス又はMACアドレスに置き換え、またアクセス制御リストの宛先情報を他方のネットワーク機器206のIPアドレス又はMACアドレスに置き換えてもよい。
この点について図6を参照して詳述する。図6のアクセス制御リストには、ID1において、送信元情報に「認証されたネットワーク機器AのIPアドレス」、宛先情報に「認証されたネットワーク機器のIPアドレスB」、アクションに「許可」と記載され、ID2において、送信元情報に「認証されたネットワーク機器AのIPアドレス」、宛先情報に「any(すなわち認証されたネットワーク機器B以外)」、アクションに「破棄」と記載されている。一方、アドレス取得部140は、認証サーバ400によって認証されたネットワーク機器202のIPアドレスと、同じく認証サーバ400によって認証されたネットワーク機器206のIPアドレスを取得し、アドレス置換部150は、図6のアクセス制御リストのID1及びID2の送信元情報を、認証されたネットワーク機器202のIPアドレスに置き換え、他方、図6のアクセス制御リストのID1及びID2の宛先情報を、認証されたネットワーク機器206のIPアドレスに置き換える。すなわち、置き換え後のアクセス制御リストにおいては、ID1及びID2の送信元情報に、ネットワーク機器202のIPアドレスが記述され、ID1及びID2の宛先情報に、ネットワーク機器206のIPアドレスが記述される。そして、かかる置き換え後のアクセス制御リストが適用されると、認証された一方のネットワーク機器202においては、同じく認証された他方のネットワーク機器206に対する通信が許可され、それ以外に対する通信は破棄される。なお、図6のさらなる変形例として、図6のIPアドレスの変わりにMACアドレスを適用してもよく、あるいは一方のネットワーク機器にIPアドレスを適用し、他方のネットワーク機器にMACアドレスを適用してもよい。
なお、図3〜図6のアクセス制御リストのアクションについては、「許可」、「破棄」のほか、送信元情報で特定された送信元のネットワーク機器の「指定ポートからの送信」や「ポリシーベースQoS(Quality of Service)の適用」を適用することができる。
また、アドレス置換部150は、認証サーバ400によって行われる認証方式に基づいて、アクセス制御リストの置換すべき情報を決定してもよい。すなわち、アクセス制御リストが、対応する送信元情報及び宛先情報が規定されたIDを多数有し、その中から、アドレス置換部150によって、認証されたネットワーク機器のアドレスに置き換えられる情報を有する所定のIDを、認証サーバ400によって行われる認証方式に基づいて決定してもよい。これにより、例えば第1の認証方式(例えばWeb認証)によって認証されたネットワーク機器は、第1のネットワーク機器に対してのみアクセスを許可し、第2の認証方式(例えばIEEE802.1X認証)によって認証されたネットワーク機器は、第2のネットワーク機器に対してのみアクセスを許可するという、アクセス制御の適用が可能となる。
また、アドレス置換部150は、認証されたネットワーク機器に設定されたVLAN(Virtual Local Area Network)に基づいて、アクセス制御リストの置換すべき情報を決定してもよい。すなわち、アクセス制御リストが、対応する送信元情報及び宛先情報が規定されたIDを多数有し、その中から、アドレス置換部150によって、認証されたネットワーク機器のアドレスに置き換えられる情報を有する所定のIDを、認証されたネットワーク機器に設定されたVLANに基づいて決定してもよい。これにより、例えばVLAN1に設定されているネットワーク機器は、当該ネットワーク機器が認証された場合に、第1のネットワーク機器に対してのみアクセスを許可し、他のVLAN2に設定されているネットワーク機器は、当該ネットワーク機器が認証された場合に、第2のネットワーク機器に対してのみアクセスを許可するという、アクセス制御の適用が可能となる。
また、アドレス置換部150は、認証されたネットワーク機器が接続されたポート番号に基づいて、アクセス制御リストの置換すべき情報を決定してもよい。すなわち、アクセス制御リストが、対応する送信元情報及び宛先情報が規定されたIDを多数有し、その中から、アドレス置換部150によって、認証されたネットワーク機器のアドレスに置き換えられる情報を有する所定のIDを、認証されたネットワーク機器が接続されたポート番号に基づいて決定してもよい。これにより、例えば第1のポート番号に接続されているネットワーク機器は、当該ネットワーク機器が認証された場合に、第1のネットワーク機器に対してのみアクセスを許可し、他の第2のポート番号に接続されているネットワーク機器は、当該ネットワーク機器が認証された場合に、第2のネットワーク機器に対してのみアクセスを許可するという、アクセス制御の適用が可能となる。
また、アドレス置換部150は、認証されたネットワーク機器のMACアドレスに基づいて、アクセス制御リストの置換すべき情報を決定してもよい。すなわち、アクセス制御リストが、対応する送信元情報及び宛先情報が規定されたIDを多数有し、その中から、アドレス置換部150によって、認証されたネットワーク機器のアドレスに置き換えられる情報を有する所定のIDを、認証されたネットワーク機器のMACアドレスに基づいて決定してもよい。これにより、例えば第1のMACアドレスに該当するネットワーク機器は、当該ネットワーク機器が認証された場合に、第1のネットワーク機器に対してのみアクセスを許可し、他の第2のMACアドレスに該当するネットワーク機器は、当該ネットワーク機器が認証された場合に、第2のネットワーク機器に対してのみアクセスを許可するという、アクセス制御の適用が可能となる。
以上のとおり、本実施形態に係る中継機器によれば、アクセス制御リストの所定の情報を、認証されたネットワーク機器のアドレスに置き換えることにより、動的にアクセス制御リストの変更又は生成を行う。これによれば、認証されたネットワーク機器についてのみアクセス制御リストを適用するので、管理者はアクセス制御リストに全ての個別のネットワーク機器のアドレスを指定しておく必要がなく、セキュリティの向上及びアクセス制御リストの簡易化を図ることができる。また、例えばDHCP環境などにおいてネットワーク機器のIPアドレスが動的に変わる場合や、アクセス権を有するユーザーが他のネットワーク機器を用いて所定のネットワーク機器へアクセスしたい場合においても、アクセス制御リストを適用することが可能となるので、セキュリティの向上を図りつつも、アクセス制御リストの適用の自由度を向上させることができる。また、ネットワーク機器の認証に用いられる中継機器そのものが、アクセス制御リストの変更又は生成も行うので、ネットワークシステムの構成を極めて簡易なものにすることができる。
次に、図7を参照して、本考案の一実施形態に係る中継機器の動作方法(アクセス制御リストの適用方法)について説明する。図7は、ネットワーク機器202、中継機器100、認証サーバ400のシーケンス図である。以下の説明においては、Web認証により認証されたネットワーク機器202から当該ネットワーク機器のIPアドレスを取得して、かかるIPアドレスに基づいてアクセス制御リストを適用する例を示す。なお、以下に説明する各ステップ(符号が付されたステップのみならず、当該符号が付されたステップの部分的なステップを含む)は処理内容に矛盾を生じない範囲で任意に順番を変更して又は並列に実行することができる。
中継機器100はアクセス制御リストを格納し(S101)、また認証サーバ400はWeb認証に用いられる認証アカウントを格納している(S102)。この状況において、まず、ネットワーク機器202が、中継機器100に当該ネットワーク機器202をWeb認証するよう要求する(S103)。かかる要求に従い、中継機器100はネットワーク機器202にログイン表示を提供し、ユーザーにユーザーアカウントの入力を促すよう指示する(S104)。かかる指示に従い、ユーザーは、ネットワーク機器202においてユーザーアカウントを入力する(S105)。
その後、中継機器100(認証情報取得部120)は、ネットワーク機器202から当該ネットワーク機器202のユーザーアカウントを取得する(S106)。そして、中継機器100(送信部130)は、取得したユーザーアカウントを認証サーバ400に送信する(S107)。認証サーバ400は、こうして取得したネットワーク機器202のユーザーアカウントと、予め格納した認証アカウントとに基づいて認証を行う(S108)。その結果、ユーザーアカウントと認証アカウントとが対応した場合、アクセス権を有するユーザーからの認容要求に当たるので、中継機器100に認証成立である旨を通知する(S109)。
中継機器100は、認証成立である旨の通知を認証サーバ400から受けると、ネットワーク機器202に対する認証成立である旨をネットワーク機器202に通知するとともに(S110)、ネットワーク機器202から当該ネットワーク機器202のIPアドレスを取得する(S111)。その後、中継機器100は、アクセス制御リストの所定の情報を、取得したIPアドレスに置き換えて、アクセス制御リストを変更又は生成し(S112)、かかる置き換え後のアクセス制御リストをネットワーク機器202に適用する(S113)。
このように本実施形態によれば、既に述べたとおり、セキュリティの向上、システムの簡易化、及び、アクセス制御リストの適用の自由度を向上させることができる。
次に、図8及び図9を参照して、本考案の他の実施形態に係るネットワークシステムについて説明する。なお、以下においては、上記実施形態の内容と同一の要素には同一の符号を付し、重複する説明を省略する。
図8は、本実施形態に係るネットワークシステムを示す図であり、図9は、図8の中継機器及び管理サーバを示す図である。本実施形態においては、管理サーバが、中継機器の代わりに、上記実施形態で説明したアドレス置換部及び記憶部を備える。すなわち、本実施形態においては、中継機器500の外部に配置される管理サーバが、アクセス制御リストの管理を行う。かかる構成の相違を除き、本実施形態においては、上記実施形態において説明した内容を可能な限り適用することができる。
図8に示すように、本実施形態に係るネットワークシステム1100は、中継機器500と、ネットワーク機器202,204,206と、認証サーバ400と、管理サーバ600とを備える。
中継機器500は、ネットワーク機器202,204,206と認証サーバ400とを中継し、ネットワーク機器202,204,206と管理サーバ600とを中継する。また、ネットワーク機器202,204,206は中継機器500のポート502,504,506に通信可能なように接続されている。
図9に示すように、中継機器500は制御部510を備え、制御部510は、認証サーバ400が認証するための認証情報をネットワーク機器202,204,206から取得する認証情報取得部520と、かかる認証情報を認証サーバ400に送信する送信部530と、認証サーバ400においてネットワーク機器が認証された場合に、かかるネットワーク機器から当該ネットワーク機器のアドレスを取得するアドレス取得部540とを備える。他方、管理サーバ600は、アクセス制御リストの所定の情報を、認証されたネットワーク機器のアドレスに置き換えるアドレス置換部610と、アクセス制御リストを格納する記憶部620とを備える。なお、中継機器500及び管理サーバの各構成が有する機能については上記実施形態において説明したとおりである。
このように本実施形態においても、既に述べたとおり、セキュリティの向上、システムの簡易化、及び、アクセス制御リストの適用の自由度を向上させることができる。
なお、変形例として、認証サーバ400と管理サーバ600とを1つのサーバとしてもよい。例えば、認証サーバ400としてのRADIUSサーバがアドレス置換部610及び記憶部620の機能を備えていてもよい。更に中継機器が認証サーバ400と管理サーバ600の機能を備えていてもよい。
上記考案の実施形態を通じて説明された実施例や応用例は、用途に応じて適宜に組み合わせて、又は変更若しくは改良を加えて用いることができ、本考案は上述した実施形態の記載に限定されるものではない。そのような組み合わせ又は変更若しくは改良を加えた形態も本考案の技術的範囲に含まれ得ることが、実用新案登録請求の範囲の記載から明らかである。
100,500・・・中継機器
102,104,106・・・ポート
120,520・・・認証情報取得部
130,530・・・送信部
140,540・・・アドレス取得部
150,610・・・アドレス置換部
160,620・・・記憶部
202,204,206・・・ネットワーク機器
300・・・ネットワーク
400・・・認証サーバ
600・・・管理サーバ

Claims (10)

  1. ネットワーク機器と認証サーバとの通信を含む、ネットワーク上の通信を中継する中継機器であって、
    前記ネットワークにおいて通信を中継するための送信元情報及び当該送信元情報に対応する宛先情報を含むアクセス制御リストを格納した記憶部と、
    前記認証サーバが前記ネットワーク機器を認証するための認証情報を、前記ネットワーク機器から取得する認証情報取得部と、
    前記認証情報を前記認証サーバに送信する送信部と、
    前記認証サーバにおいて前記ネットワーク機器が認証された場合又は認証される前に、前記ネットワーク機器から当該ネットワーク機器のアドレスを取得するアドレス取得部と、
    前記アクセス制御リストのうちの前記送信元情報及び前記宛先情報の少なくとも一方の情報を、認証された前記ネットワーク機器の前記アドレスに置き換える、アドレス置換部と
    を備えた、中継機器。
  2. 前記アドレス置換部は、前記アクセス制御リストのうちの前記送信元情報及び前記宛先情報のいずれか一方の情報を、認証された前記ネットワーク機器の前記アドレスに置き換える、請求項1記載の中継機器。
  3. 前記認証サーバによって行われる認証は、Web認証、IEEE802.1X認証及びMACアドレス認証のいずれか1つ又は2つ以上の組み合わせである、請求項1又は2記載の中継機器。
  4. 前記アドレス置換部は、前記認証サーバによって行われる認証方式に基づいて、前記アクセス制御リストの置換すべき情報を決定する、請求項3記載の中継機器。
  5. 前記アドレス置換部は、認証された前記ネットワーク機器に設定されたVLANに基づいて、前記アクセス制御リストの置換すべき情報を決定する、請求項1から3のいずれかに記載の中継機器。
  6. 前記ネットワーク機器を通信可能に接続するポートをさらに備え、
    前記アドレス置換部は、認証された前記ネットワーク機器が接続されたポート番号に基づいて、前記アクセス制御リストの置換すべき情報を決定する、請求項1から3のいずれかに記載の中継機器。
  7. 前記アドレス置換部は、認証された前記ネットワーク機器のMACアドレスに基づいて、前記アクセス制御リストの置換すべき情報を決定する、請求項1から3のいずれかに記載の中継機器。
  8. 前記アドレスは、IPアドレスである、請求項1から7のいずれかに記載の中継機器。
  9. 前記アドレスは、MACアドレスである、請求項1から7のいずれかに記載の中継機器。
  10. ネットワーク機器と、認証サーバと、管理サーバと、前記ネットワーク機器と前記認証サーバとを中継しかつ前記ネットワーク機器と前記管理サーバとを中継する中継機器と、を備えたネットワークシステムであって、
    前記中継機器は、
    前記認証サーバが認証するための認証情報を前記ネットワーク機器から取得する認証情報取得部と、
    前記認証情報を前記認証サーバに送信する送信部と、
    前記認証サーバにおいて前記ネットワーク機器が認証された場合に、前記ネットワーク機器から当該ネットワーク機器のアドレスを取得するアドレス取得部と
    を備え、
    前記管理サーバは、
    送信元情報及び当該送信元情報に対応する宛先情報を含むアクセス制御リストを格納した記憶部と、
    前記アクセス制御リストのうちの前記送信元情報及び前記宛先情報の少なくとも一方の情報を、認証された前記ネットワーク機器の前記アドレスに置き換える、アドレス置換部と
    を備えた、ネットワークシステム。
JP2009005591U 2009-08-06 2009-08-06 中継機器及びネットワークシステム Expired - Fee Related JP3154679U (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2009005591U JP3154679U (ja) 2009-08-06 2009-08-06 中継機器及びネットワークシステム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2009005591U JP3154679U (ja) 2009-08-06 2009-08-06 中継機器及びネットワークシステム

Publications (1)

Publication Number Publication Date
JP3154679U true JP3154679U (ja) 2009-10-22

Family

ID=54858796

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2009005591U Expired - Fee Related JP3154679U (ja) 2009-08-06 2009-08-06 中継機器及びネットワークシステム

Country Status (1)

Country Link
JP (1) JP3154679U (ja)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2012070225A (ja) * 2010-09-24 2012-04-05 Hitachi Cable Ltd ネットワーク中継装置及び転送制御システム
JP2015106899A (ja) * 2013-12-03 2015-06-08 Necエンジニアリング株式会社 無線通信システム、無線lan通信装置の管理装置、及び、その管理方法

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2012070225A (ja) * 2010-09-24 2012-04-05 Hitachi Cable Ltd ネットワーク中継装置及び転送制御システム
JP2015106899A (ja) * 2013-12-03 2015-06-08 Necエンジニアリング株式会社 無線通信システム、無線lan通信装置の管理装置、及び、その管理方法

Similar Documents

Publication Publication Date Title
EP2745471B1 (en) Architecture for virtualized home ip service delivery
Mortier et al. Control and understanding: Owning your home network
CN109756450A (zh) 一种物联网通信的方法、装置和系统
JP4989745B2 (ja) 通信を中継するための装置、方法、およびプログラム
JP5090408B2 (ja) ネットワーク通信において送信データの宛先を動的に制御する方法及び機器
US20100290391A1 (en) Apparatus and method for accessing multiple wireless networks
US20130283050A1 (en) Wireless client authentication and assignment
JP4920878B2 (ja) 認証システム、ネットワーク集線装置及びそれらに用いる認証方法並びにそのプログラム
CN106416146B (zh) 通信装置、通信方法和通信系统
US20140181279A1 (en) Virtual Console-Port Management
JP4659864B2 (ja) 通信システム、認証サーバおよび通信方法
JP3154679U (ja) 中継機器及びネットワークシステム
JP2012070225A (ja) ネットワーク中継装置及び転送制御システム
JP2007150633A (ja) 無線lanアクセスポイント、これを用いたipアドレスの管理方法並びに管理プログラム
Nguyen et al. An SDN‐based connectivity control system for Wi‐Fi devices
JP2010187314A (ja) 認証機能付きネットワーク中継機器及びそれを用いた端末の認証方法
JP2015050496A (ja) 通信システム及び認証スイッチ
US20200186504A1 (en) Secure Virtual Personalized Network
JP5915314B2 (ja) 通信装置
JP2011217174A (ja) 通信システム、パケット転送方法、ネットワーク交換装置、及びプログラム
JP6036978B2 (ja) ネットワークシステム、通信端末、方法、プログラムおよび記録媒体
KR100904215B1 (ko) 사용자 인증에 기반한 네트워크 접속 관리 시스템 및 방법
JP5622088B2 (ja) 認証システム、認証方法
KR100888979B1 (ko) 사용자 인증에 기반한 네트워크 접속 관리 시스템 및 방법
JP2008244945A (ja) 無線接続環境設定システム、無線接続環境設定サーバ、情報端末、及び、プログラム

Legal Events

Date Code Title Description
R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120930

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130930

Year of fee payment: 4

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees