JP3925303B2 - レイヤ2認証システム及び方法 - Google Patents

レイヤ2認証システム及び方法 Download PDF

Info

Publication number
JP3925303B2
JP3925303B2 JP2002148352A JP2002148352A JP3925303B2 JP 3925303 B2 JP3925303 B2 JP 3925303B2 JP 2002148352 A JP2002148352 A JP 2002148352A JP 2002148352 A JP2002148352 A JP 2002148352A JP 3925303 B2 JP3925303 B2 JP 3925303B2
Authority
JP
Japan
Prior art keywords
user
address
layer
authentication
assigned
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2002148352A
Other languages
English (en)
Other versions
JP2003348114A (ja
Inventor
稔彦 本林
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP2002148352A priority Critical patent/JP3925303B2/ja
Publication of JP2003348114A publication Critical patent/JP2003348114A/ja
Application granted granted Critical
Publication of JP3925303B2 publication Critical patent/JP3925303B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Landscapes

  • Small-Scale Networks (AREA)

Description

【0001】
【発明の属する技術分野】
本発明はレイヤ2認証システム及び方法に関し、特にIPネットワークに接続するユーザを、OSI参照モデルのレイヤ2で認証し、レイヤ2での認証結果をレイヤ2アドレスで管理するシステムにおいて、ユーザをユーザIDで特定して該ユーザにレイヤ3アドレスを割り当てることを可能とする、レイヤ2認証システム及び方法に関する。
【0002】
【従来の技術】
OSI参照モデル(Open Systems Interconnection Reference Model)に準ずるIP(Internet Protocol )ネットワークに、ユーザの使用する加入者IP端末を接続するためには、先ず、レイヤ3アドレスであるところのIPアドレスを加入者IP端末に割り当てることが必要である。
【0003】
IPアドレスの割り当て方式としては、各種の方式が存在するが、その一例として図3に示すDHCP(Dynamic Host Configuration Protocol :動的ホスト構成プロトコル)を使用する方式がある。DHCPは、IPネットワーク内のシステムのIPアドレスを一元管理するためのメカニズムを提供するプロトコルであり、DHCPのサーバは、加入者IP端末(DHCPクライアントと称される)からの要求に応じてレイヤ3アドレスであるところのIPアドレスを動的に割り当てるようになっている。
【0004】
図3において、パーソナルコンピュータなどの加入者IP端末101をIPネットワーク104に接続しようとする場合、加入者IP端末101から、ゲートウェイ102を介しDHCPサーバ103に対して、IPアドレスの割り当て要求を送出する。IPアドレスの割り当て要求には、加入者IP端末101を一意に識別可能なユニークIDを設定しておくことが必要であり、ユニークIDとしては通常、加入者IP端末101のレイヤ2アドレスであるところのMAC(Media Access Control:媒体アクセス制御)アドレスが用いられるようになっている。IPアドレスの割り当て要求を受け付けると、DHCPサーバ103は、DHCPサーバ103内に用意されているIPアドレスプールから、加入者IP端末101に対するIPアドレスを動的に払い出して割り当て、これを加入者IP端末101に通知すると共に、加入者IP端末101のMACアドレスと割り当てたIPアドレスとを対にして管理するようになっている。IPアドレスを割り当てられた加入者IP端末101は、これ以降、IPネットワーク104内の他の端末或いはサーバ等との通信を行うことが可能となる。
【0005】
また、IPアドレスの割り当て方式の他の一例として、図4に示すPPP(Point to Point Protocol :ポイント・ツー・ポイント・プロトコル)を使用する方式がある。PPPは、専用回線、モデムを利用した電話回線、あるいはISDNなどの1対1通信を行うシリアル回線上で、NSP(Network Service Provider:ネットワーク・サービス・プロバイダ)などとユーザとをIP接続するためのプロトコルであり、ユーザの使用する加入者IP端末の接続時に、NSPなどにより加入者IP端末にIPアドレスを動的に割り当てるようになっている。
【0006】
図4において、パーソナルコンピュータなどの加入者IP端末201をIPネットワーク204に接続しようとする場合、加入者IP端末201から、NSPなどの設置するアクセスサーバ202にPPP手順でアクセスを行う。アクセスサーバ202は、PPP手順に従って加入者IP端末201との間で、動的に割り当てたIPアドレスの送受信などのIPネゴシエーションを行って、ネットワークの確立/設定を行う。PPP手順においては、通常、加入者IP端末201からユーザIDとパスワードとを送信するようになっており、アクセスサーバ202において、加入者IP端末201のユーザID、パスワードと割り当てたIPアドレスとを対にして管理するようになっている。IPアドレスを割り当てられた加入者IP端末201は、これ以降、IPネットワーク204内のNSP、或いは他の端末やサーバとの通信を行うことが可能となる。
【0007】
なお、加入者IP端末201をIPネットワーク204に接続しようとする際に、加入者IP端末201のユーザ認証を行って接続の許可又は不許可を行うシステムである場合には、アクセスサーバ202からユーザ認証を行うRADIUS(Remote Authentification Dial in User Service:リモート認証ダイヤル・イン・ユーザ・サービス)サーバ203に対して、加入者IP端末201のユーザID、パスワードなどを送出し、RADIUSサーバ203で該ユーザID、パスワードなどを元に加入者IP端末201のユーザ認証を行うようになっている。
【0008】
【発明が解決しようとする課題】
上述したように、加入者IP端末をIPネットワークに接続するためには、加入者IP端末にIPアドレスが割り当てられなければならない。そして、IPネットワークの管理者側にとっては、割り当てたIPアドレスがどのユーザに使用されたかを特定することが必要となっている。例えば、ネットワーク管理者は、IPアドレス毎にネットワーク使用料の課金を行う必要があり、そのために、IPアドレスがどのユーザに使用されたかを特定する必要がある。また、ネットワーク管理者は、加入者IP端末が正規のユーザに使用されていることを保証しなければ、ユーザへの課金を正しく行うことが出来なくなるため、加入者IP端末のユーザ認証を行って、ユーザ認証の結果が成功した場合にのみ、該加入者IP端末をIPネットワークに接続許可するようにすることが望まれてきている。
【0009】
図3に示したDHCPによるIPアドレスの割り当て方式は、IPアドレスを動的に割り当て可能という利点があるが、IPアドレスを割り当てる際に加入者IP端末のユーザ認証は一切行っていない。そのため、IPネットワークに接続してしまえば、如何なる加入者IP端末でもIPアドレスを取得することが可能となって、IPネットワーク上での通信を行うことが可能となるため、IPネットワークのセキュリティ上の課題を有するものとなっている。また、DHCPでは、MACアドレス毎にIPアドレスを対応付けて管理しているため、複数端末を有するユーザには複数のIPアドレスが割り当てられ、ユーザ単位での管理が困難なものとなっている。
【0010】
図4に示したPPPによるIPアドレスの割り当て方式は、加入者IP端末からユーザIDとパスワードを入力させ、加入者IP端末のユーザ認証を行った後にIPアドレスを割り当てているため、IPネットワークのセキュリティが強化され、またユーザIDとIPアドレスとの対応を一元的に管理可能な方式である。しかし、加入者IP端末にはPPP手順を実行する高機能ソフトウェアを実装する必要があり、かつ、アクセスサーバ側においても、コネクション型通信形態のPPPを終端する通信機能と共にレイヤ3及びより上位のレイヤを管理する高度な機能を実装する必要があるものとなっている。従って、加入者IP端末及びIPネットワーク側の双方とも、高価格な機器が必須のものとなってしまっている。
【0011】
本発明は上述した事情を改善するために成されたものであり、本発明の目的は、レイヤ2アドレスであるところのMACアドレスを有する加入者IP端末をIPネットワークに接続するに際し、該加入者IP端末のユーザ認証を行うと共に、該加入者IP端末にレイヤ3アドレスであるところのIPアドレスを動的に割り当て、ユーザ認証されたユーザが使用しているユーザIDと前記IPアドレスとを対応付けて連携管理することを可能とし、かつ、簡素な機器で実現することを可能とする、レイヤ2認証システム及び方法を提供することにある。
【0012】
【課題を解決するための手段】
請求項1に係る発明は、レイヤ2のアドレスが既知である通信を用いてレイヤ2とその上位のレイヤでユーザ認証を実行し、前記ユーザ認証の認証結果をもとにユーザが使用しているレイヤ2のアドレスに対するフィルタを解除して特定のネットワークに入ることを許可するシステムであって、
ユーザのユーザ認証を行うと共に前記ユーザに割り当てるレイヤ3アドレスを決定するユーザ認証手段と、前記ユーザからのレイヤ3アドレスの配布依頼があった場合に、前記ユーザ認証手段に対して前記ユーザに割り当てるべきレイヤ3アドレスを要求して前記ユーザに該レイヤ3アドレスを割り当てるレイヤ3アドレス配布手段と、を備えることを特徴とするレイヤ2認証システムである。
【0013】
請求項2に係る発明は、レイヤ2のアドレスが既知である通信を用いてレイヤ2とその上位のレイヤでユーザ認証を実行し、前記ユーザ認証の認証結果をもとにユーザが使用しているレイヤ2のアドレスに対するフィルタを解除して特定のネットワークに入ることを許可するシステムであって、
レイヤ2のアドレスに対するフィルタリング制御を行ってユーザからのフレームの交換転送制御を行う交換手段と、前記交換手段に接続され、ユーザ認証が成されていないユーザからのフレームを受信してユーザ認証のための準備を行う認証準備手段と、前記交換手段に接続され、ユーザ認証が完了したユーザからのレイヤ3アドレスの配布依頼があった場合に、ユーザ認証手段に対して前記ユーザに割り当てるべきレイヤ3アドレスを要求して前記ユーザに該レイヤ3アドレスを割り当てるレイヤ3アドレス配布手段と、前記認証準備手段と前記レイヤ3アドレス配布手段とに接続され、前記認証準備手段からの要求に応じてユーザ認証を行うと共に、前記レイヤ3アドレス配布手段からの要求に応じて前記ユーザに割り当てるレイヤ3アドレスを決定する前記ユーザ認証手段と、を備えることを特徴とするレイヤ2認証システムである。
【0014】
請求項3に係る発明は、レイヤ2のアドレスが既知である通信を用いてレイヤ2とその上位のレイヤでユーザ認証を実行し、前記ユーザ認証の認証結果をもとにユーザが使用しているレイヤ2のアドレスに対するフィルタを解除して特定のネットワークに入ることを許可するシステムであって、
レイヤ2のアドレスに対するフィルタリング制御を行ってユーザからのフレームの交換転送制御を行う交換手段と、前記交換手段に接続され、ユーザ認証が成されていないユーザが接続される第1のIPネットワークと、ユーザ認証が完了したユーザが接続される前記特定のネットワークであるところの第2のIPネットワークと、前記第1のIPネットワークに接続され、ユーザ認証のための準備を行う認証準備手段と、前記第2のIPネットワークに接続され、ユーザからのレイヤ3アドレスの配布依頼があった場合に、ユーザ認証手段に対して前記ユーザに割り当てるべきレイヤ3アドレスを要求して前記ユーザに該レイヤ3アドレスを割り当てるレイヤ3アドレス配布手段と、前記認証準備手段と前記レイヤ3アドレス配布手段と前記ユーザ認証手段とを接続する第3のIPネットワークと、前記第3のIPネットワークに接続され、前記認証準備手段からの要求に応じてユーザ認証を行うと共に、前記レイヤ3アドレス配布手段からの要求に応じて前記ユーザに割り当てるレイヤ3アドレスを決定する前記ユーザ認証手段と、を備えることを特徴とするレイヤ2認証システムである。
【0015】
請求項4に係る発明は、請求項3に記載のレイヤ2認証システムであって、前記認証準備手段は、ユーザ認証が成されていないユーザからのフレームを受信した場合に、該フレームに記載の該ユーザのレイヤ2アドレスであるところのMACアドレスに対応した仮のIPアドレスを割り当てるDHCPサーバと、前記仮のIPアドレスを割り当てられた前記ユーザからのアクセスがあった場合に、前記ユーザのユーザIDとパスワードを入力させるログイン用WEBサーバとから構成され、前記ユーザ認証手段は、ユーザのMACアドレスとユーザIDとパスワードとを元に該ユーザのユーザ認証を行うRADIUSサーバにて構成される、ことを特徴とする。
【0016】
請求項5に係る発明は、請求項4に記載のレイヤ2認証システムであって、前記DHCPサーバは、ユーザ認証が成されていないユーザからのフレームを受信した場合に、該フレームに記載の該ユーザのMACアドレスに対応した仮のIPアドレスを割り当てて、該MACアドレスと該仮のIPアドレスとの対を記憶すると共に、該仮のIPアドレスを該ユーザに通知し、前記ログイン用WEBサーバは、前記仮のIPアドレスを割り当てられた前記ユーザからのアクセスがあった場合に、前記ユーザから前記ユーザのユーザIDとパスワードとを送信させると共に、前記DHCPサーバから前記仮のIPアドレスに対応するMACアドレスを取得し、前記ログイン用WEBサーバは、前記MACアドレスと前記ユーザIDと前記パスワードを前記RADIUSサーバに送信して前記ユーザのユーザ認証を依頼し、前記RADIUSサーバは、前記ユーザのユーザ認証を行って認証結果を前記ログイン用WEBサーバに送信すると共に、前記MACアドレスと前記ユーザIDとの対を記憶しておき、前記ログイン用WEBサーバは、前記認証結果を前記ユーザに送信すると共に、前記認証結果が認証成功であった場合には、前記交換手段に対して前記MACアドレスのフィルタを解除して、前記MACアドレスを有するフレームを前記第2のIPネットワークへフォワードするよう指示する、ことを特徴とする。
【0017】
請求項6に係る発明は、請求項5に記載のレイヤ2認証システムであって、前記認証結果が認証成功であったことを通知された前記ユーザは、現在割り当てられている前記仮のIPアドレスのリース時間が切れ掛かると、前記レイヤ3アドレス配布手段に対してリース延長を求める要求を送信し、前記レイヤ3アドレス配布手段は、前記リース延長要求から前記ユーザのMACアドレスを取得して前記RADIUSサーバに送信し、前記RADIUSサーバは、前記MACアドレスから前記ユーザのユーザIDを取得して、前記ユーザIDに割り当てるべきIPアドレスを割り当てて、前記IPアドレスを前記レイヤ3アドレス配布手段に通知し、前記レイヤ3アドレス配布手段は、前記IPアドレスを前記ユーザに割り当てる、ことを特徴とする。
【0018】
請求項7に係る発明は、レイヤ2のアドレスが既知である通信を用いてレイヤ2とその上位のレイヤでユーザ認証を実行し、前記ユーザ認証の認証結果をもとにユーザが使用しているレイヤ2のアドレスに対するフィルタを解除して特定のネットワークに入ることを許可するシステムにおいて、
レイヤ3アドレスを配布するレイヤ3アドレス配布手段がユーザからレイヤ3アドレスの配布依頼を受信した場合に、前記レイヤ3アドレス配布手段がユーザ認証を行うユーザ認証手段に対して前記ユーザに割り当てるべきレイヤ3アドレスを要求し、前記ユーザ認証手段が前記ユーザに割り当てるレイヤ3アドレスを決定して前記レイヤ3アドレス配布手段に送出し、前記レイヤ3アドレス配布手段が前記ユーザに対し該レイヤ3アドレスを配布する、ことを特徴とするレイヤ2認証方法である。
【0019】
請求項8に係る発明は、請求項4に記載のレイヤ2認証システムにおいて、
前記DHCPサーバは、ユーザ認証が成されていないユーザからのフレームを受信した場合に、該フレームに記載の該ユーザのMACアドレスに対応した仮のIPアドレスを割り当てて、該MACアドレスと該仮のIPアドレスとの対を記憶すると共に、該仮のIPアドレスを該ユーザに通知し、前記ログイン用WEBサーバは、前記仮のIPアドレスを割り当てられた前記ユーザからのアクセスがあった場合に、前記ユーザから前記ユーザのユーザIDとパスワードとを送信させると共に、前記DHCPサーバから前記仮のIPアドレスに対応するMACアドレスを取得し、前記ログイン用WEBサーバは、前記MACアドレスと前記ユーザIDと前記パスワードを前記RADIUSサーバに送信して前記ユーザのユーザ認証を依頼し、前記RADIUSサーバは、前記ユーザのユーザ認証を行って認証結果を前記ログイン用WEBサーバに送信すると共に、前記MACアドレスと前記ユーザIDとの対を記憶しておき、前記ログイン用WEBサーバは、前記認証結果を前記ユーザに送信すると共に、前記認証結果が認証成功であった場合には、前記交換手段に対して前記MACアドレスのフィルタを解除して、前記MACアドレスを有するフレームを前記第2のIPネットワークへフォワードするよう指示し、
前記認証結果が認証成功であったことを通知された前記ユーザは、現在割り当てられている前記仮のIPアドレスのリース時間が切れ掛かると、前記レイヤ3アドレス配布手段に対してリース延長を求める要求を送信し、前記レイヤ3アドレス配布手段は、前記リース延長要求から前記ユーザのMACアドレスを取得して前記RADIUSサーバに送信し、前記RADIUSサーバは、前記MACアドレスから前記ユーザのユーザIDを取得して、前記ユーザIDに割り当てるべきIPアドレスを割り当てて、前記IPアドレスを前記レイヤ3アドレス配布手段に通知し、前記レイヤ3アドレス配布手段は、前記IPアドレスを前記ユーザに割り当てる、ことを特徴とするレイヤ2認証方法である。
【0020】
【発明の実施の形態】
次に、本発明の実施の形態について図面を参照して説明する。
【0021】
図1は、本発明のレイヤ2認証システムの一実施形態を示すブロック図である。
【0022】
図1に示す本実施の形態は、加入者を収容するデータネットワーク11と、データネットワーク11に接続されたパーソナルコンピュータなどの加入者IP端末21(複数可)と、データネットワーク11に接続され、データネットワーク11から送信されるフレームをデフォルトIP(Internet Protocol )ネットワーク12或いはターゲットIPネットワーク14へ交換転送する制御を行うVLAN(Virtual LAN (Local Area Network))スイッチ22と、を備えている。複数の加入者IP端末21は、それぞれ、自加入者IP端末21を一意に識別することを可能とするレイヤ2アドレスとしてのMAC(Media Access Control:媒体アクセス制御)アドレスを有しており、自加入者IP端末21からデータフレームとしてのフレームを送出する場合には、該フレーム中に自己のMACアドレスを付すようになっている。データネットワーク11は、MACアドレスが付されたフレームを通信可能な通信ネットワークであり、例えば、イーサネット(登録商標)などにより構成される。
【0023】
そして、VLANスイッチ22は、ユーザ認証が終了していない未定義のMACアドレスを持つフレームはデフォルトIPネットワーク12へ転送し、ユーザ認証が完了したMACアドレスを持つフレームはターゲットIPネットワーク14へ転送する機能を有している。すなわち、VLANスイッチ22は、フィルタリング機能を備えており、ユーザ認証が終了していないMACアドレスを持つフレームはデフォルトIPネットワーク12へ転送するようにフィルタリングを行っており、ユーザ認証が完了したMACアドレスを持つフレームは、該MACアドレスに対するフィルタを解除して、該フレームをターゲットIPネットワーク14へ転送するようになっている。
【0024】
なお、本実施形態においては、ユーザ認証が成されていないユーザ(すなわち加入者IP端末21)が接続されるIPネットワークをデフォルトIPネットワーク12と称するものとし、ユーザ認証が完了したユーザが接続されるIPネットワークをターゲットIPネットワーク14と称するものとする。
【0025】
また、本実施形態は、VLANスイッチ22に接続されるデフォルトIPネットワーク12を備えており、デフォルトIPネットワーク12には、レイヤ3アドレスであるところのIPアドレスの割り当て要求があった場合に、要求元のMACアドレスに対応するIPアドレスを動的に割り当てるデフォルトIPネットワーク12用のDHCP(Dynamic Host Configuration Protocol :動的ホスト構成プロトコル)サーバ23と、ユーザ(すなわち加入者IP端末21)からターゲットIPネットワーク14への接続要求があった場合に、該接続要求の処理/制御を行うログイン用WEBサーバ24と、が接続されている。ログイン用WEBサーバ24は、ターゲットIPネットワーク14への接続要求をログイン(Login )の要求として処理/制御するWWW(World Wide Web:ワールド・ワイド・ウェブ)サーバである。
【0026】
さらに、本実施形態は、VLANスイッチ22に接続されるターゲットIPネットワーク14を備えており、ターゲットIPネットワーク14には、IPアドレスの割り当て要求があった場合に、要求元のMACアドレスに対応するIPアドレスを動的に割り当てるターゲットIPネットワーク14用のDHCPサーバ31が接続されている。
【0027】
またさらに、本実施形態は、DHCPサーバ23とログイン用WEBサーバ24とDHCPサーバ31とを相互に接続する管理用IPネットワーク13を備えており、管理用IPネットワーク13には更に、加入者IP端末21から入力されるユーザID(Identifier:識別子)やパスワードを元に該加入者IP端末21のユーザ認証を行うRADIUS(Remote Authentification Dial in User Service:リモート認証ダイヤル・イン・ユーザ・サービス)サーバ32が接続されている。
【0028】
次に、図2を参照して、本実施形態の動作について説明する。
【0029】
図2は、本実施形態の動作を説明する図である。なお、図2において図1に示す構成要素に対応するものは同一の参照数字または符号を付し、その説明を省略する。
【0030】
ターゲットIPネットワーク14への接続を希望する加入者IP端末21は、加入者を収容するデータネットワーク11に接続すると、IPアドレスの割り当て要求であるところのDHCPリクエストパケットを送信する(図2のステップS1)。DHCPリクエストパケットを構成するフレームには、加入者IP端末21のMACアドレスが付されているが、該MACアドレスに対するユーザ認証は完了していないため、未定義のMACアドレスとして扱われる。
【0031】
VLANスイッチ22は、まだ未定義のMACアドレスを持つフレームをデータネットワーク11から受信すると、フィルタリング機能によりデフォルトIPネットワーク12にフォワード(送出)する。
【0032】
デフォルトIPネットワーク12に収容されているデフォルトIPネットワーク12用のDHCPサーバ23は、加入者IP端末21からのDHCPリクエストパケットを受信し、未使用のIPアドレスの割り当てを行う。ここでDHCPサーバ23が割り当てるIPアドレスは、デフォルトIPネットワーク12で主に使用されるIPアドレスであるため、仮IPアドレスと称することとする。このとき、DHCPサーバ23は、加入者IP端末21のMACアドレスと割り当てた仮IPアドレスとを対にして記憶しておく(ステップS2)。また、仮IPアドレスの割り当てにあたっては、仮IPアドレスのリース時間を5秒程度に設定しておき、該仮IPアドレスを加入者IP端末21に通知する(ステップS3)。
【0033】
加入者IP端末21に仮IPアドレスが割り当てられると、加入者IP端末21は自己の備えるWEBブラウザ(browser )を用いてログイン用WEBサーバ24をアクセスする(ステップS4)。
【0034】
ログイン用WEBサーバ24は、ユーザIDとパスワードを入力するための入力画面を、例えばHTTP(Hypertext Transfer Protocol )手順にて、加入者IP端末21に送信する(ステップS5)。加入者IP端末21からは入力画面にてユーザIDとパスワードを入力し、これをログイン用WEBサーバ24に返送する(ステップS6)。
【0035】
加入者IP端末21から、例えばHTTP手順にて、ユーザIDとパスワードを受信したログイン用WEBサーバ24は、加入者IP端末21のIPアドレス(すなわち、仮IPアドレス)を管理用IPネットワーク13を経由してDHCPサーバ23に渡し(ステップS7)、該IPアドレス(すなわち、仮IPアドレス)に対応する加入者IP端末21のMACアドレスを送信してもらう(ステップS8)。
【0036】
その後、ログイン用WEBサーバ24は、加入者IP端末21のMACアドレスとステップS6で入力されたユーザIDとパスワードとを、管理用IPネットワーク13を経由してRADIUSサーバ32に送信し、加入者IP端末21のユーザ認証を依頼する(ステップS9)。
【0037】
RADIUSサーバ32は、ステップS9のユーザ認証依頼で受信したMACアドレスとユーザIDとパスワードにより、ユーザ認証を行う。このとき、RADIUSサーバ32は、加入者IP端末21のMACアドレスとユーザIDとを対にして記憶しておき(ステップS10)、ユーザ認証の結果をログイン用WEBサーバ24に通知する(ステップS11)。
【0038】
ログイン用WEBサーバ24は、RADIUSサーバ32からのユーザ認証の結果を受信し、認証失敗であればその旨を示す画面を加入者IP端末21に送信する(ステップS12)。認証失敗の場合、加入者IP端末21はターゲットIPネットワーク14に接続することは出来ない。認証成功であれば、ログイン用WEBサーバ24は認証成功であることを示す画面を加入者IP端末21に送信する(ステップS12)と共に、VLANスイッチ22に対しては、加入者IP端末21のMACアドレスを持つフレームを、今後ターゲットIPネットワーク14にフォワードするように指示を送る。すなわちその後、VLANスイッチ22は、加入者IP端末21のMACアドレスに対するフィルタを解除し、加入者IP端末21のMACアドレスを持つフレームが来た場合には、該フレームをターゲットIPネットワーク14へフォワードするよう動作するようになる。
【0039】
ユーザ認証の結果が認証成功であったことを受信した加入者IP端末21は、現在割り当てられている仮IPアドレスのリース時間が切れ掛かると、リース延長を要求するためのDHCPリクエストパケットを送信する(ステップS13)。この要求はブロードキャストフレームとなり、ターゲットIPネットワーク14用のDHCPサーバ31が受信する。
【0040】
DHCPサーバ31は、DHCP手順にて送信されたフレームから、加入者IP端末21のMACアドレスを得て、このMACアドレスを管理用IPネットワーク13を経由してRADIUSサーバ32に送信し、加入者IP端末21に割り当てるべき適切なIPアドレスを通知するよう依頼する(ステップS14)。
【0041】
RADIUSサーバ32は、ターゲットIPネットワーク14用のDHCPサーバ31から加入者IP端末21のMACアドレスを受信すると、該MACアドレスから対応するユーザIDを取得する。MACアドレスに対応するユーザIDは、ステップS10においてRADIUSサーバ32内に記憶しておいたMACアドレスとユーザIDとの対から取得可能であり、RADIUSサーバ32は該ユーザIDに割り当てるべきIPアドレスを動的に決定し(ステップS15)、DHCPサーバ31に対して決定したIPアドレスを通知する(ステップS16)。
【0042】
DHCPサーバ31は、RADIUSサーバ32から加入者IP端末21に割り当てたIPアドレスを通知されると、該IPアドレスを加入者IP端末21に対して通知する(ステップS17)。これ以降、加入者IP端末21は、RADIUSサーバ32にて割り当てられた該IPアドレスを用いて、ターゲットIPネットワーク14上での通信を行うことが可能となる。
【0043】
【発明の効果】
以上説明したように、本発明のレイヤ2認証システム及び方法は、レイヤ2アドレスであるところのMACアドレスを有する加入者IP端末を、ターゲットIPネットワークと称した特定のIPネットワークに接続するに際し、デフォルトIPネットワーク用のDHCPサーバとログイン用WEBサーバとの連携により、加入者IP端末のMACアドレスとユーザIDとを関連付けてユーザ認証を行うことが可能となり、かつ、ターゲットIPネットワーク用のDHCPサーバとRADIUSサーバとの連携により、加入者IP端末のMACアドレスとユーザIDとを関連付けてターゲットIPネットワークとの通信を行うためのレイヤ3アドレスであるところのIPアドレスを動的に割り当てることができるので、簡素な機器によりユーザ認証されたユーザが使用しているユーザIDと前記IPアドレスとを対応付けて連携管理することが可能となる、という効果を有している。
【図面の簡単な説明】
【図1】本発明のレイヤ2認証システムの一実施形態を示すブロック図である。
【図2】本実施形態の動作を説明する図である。
【図3】従来のDHCPを使用するIPアドレスの割り当て方式を示す図である。
【図4】従来のPPPを使用するIPアドレスの割り当て方式を示す図である。
【符号の説明】
11 データネットワーク
12 デフォルトIPネットワーク
13 管理用IPネットワーク
14 ターゲットIPネットワーク
21 加入者IP端末
22 VLANスイッチ
23 DHCPサーバ
24 ログイン用WEBサーバ
31 DHCPサーバ
32 RADIUSサーバ
101 加入者IP端末
102 ゲートウェイ
103 DHCPサーバ
104 IPネットワーク
201 加入者IP端末
202 アクセスサーバ
203 RADIUSサーバ
204 IPネットワーク

Claims (8)

  1. レイヤ2のアドレスが既知である通信を用いてレイヤ2とその上位のレイヤでユーザ認証を実行し、前記ユーザ認証の認証結果をもとにユーザが使用しているレイヤ2のアドレスに対するフィルタを解除して特定のネットワークに入ることを許可するシステムであって、
    ユーザのユーザ認証を行うと共に前記ユーザに割り当てるレイヤ3アドレスを決定するユーザ認証手段と、前記ユーザからのレイヤ3アドレスの配布依頼があった場合に、前記ユーザ認証手段に対して前記ユーザに割り当てるべきレイヤ3アドレスを要求して前記ユーザに該レイヤ3アドレスを割り当てるレイヤ3アドレス配布手段と、を備えることを特徴とするレイヤ2認証システム。
  2. レイヤ2のアドレスが既知である通信を用いてレイヤ2とその上位のレイヤでユーザ認証を実行し、前記ユーザ認証の認証結果をもとにユーザが使用しているレイヤ2のアドレスに対するフィルタを解除して特定のネットワークに入ることを許可するシステムであって、
    レイヤ2のアドレスに対するフィルタリング制御を行ってユーザからのフレームの交換転送制御を行う交換手段と、前記交換手段に接続され、ユーザ認証が成されていないユーザからのフレームを受信してユーザ認証のための準備を行う認証準備手段と、前記交換手段に接続され、ユーザ認証が完了したユーザからのレイヤ3アドレスの配布依頼があった場合に、ユーザ認証手段に対して前記ユーザに割り当てるべきレイヤ3アドレスを要求して前記ユーザに該レイヤ3アドレスを割り当てるレイヤ3アドレス配布手段と、前記認証準備手段と前記レイヤ3アドレス配布手段とに接続され、前記認証準備手段からの要求に応じてユーザ認証を行うと共に、前記レイヤ3アドレス配布手段からの要求に応じて前記ユーザに割り当てるレイヤ3アドレスを決定する前記ユーザ認証手段と、を備えることを特徴とするレイヤ2認証システム。
  3. レイヤ2のアドレスが既知である通信を用いてレイヤ2とその上位のレイヤでユーザ認証を実行し、前記ユーザ認証の認証結果をもとにユーザが使用しているレイヤ2のアドレスに対するフィルタを解除して特定のネットワークに入ることを許可するシステムであって、
    レイヤ2のアドレスに対するフィルタリング制御を行ってユーザからのフレームの交換転送制御を行う交換手段と、前記交換手段に接続され、ユーザ認証が成されていないユーザが接続される第1のIPネットワークと、ユーザ認証が完了したユーザが接続される前記特定のネットワークであるところの第2のIPネットワークと、前記第1のIPネットワークに接続され、ユーザ認証のための準備を行う認証準備手段と、前記第2のIPネットワークに接続され、ユーザからのレイヤ3アドレスの配布依頼があった場合に、ユーザ認証手段に対して前記ユーザに割り当てるべきレイヤ3アドレスを要求して前記ユーザに該レイヤ3アドレスを割り当てるレイヤ3アドレス配布手段と、前記認証準備手段と前記レイヤ3アドレス配布手段と前記ユーザ認証手段とを接続する第3のIPネットワークと、前記第3のIPネットワークに接続され、前記認証準備手段からの要求に応じてユーザ認証を行うと共に、前記レイヤ3アドレス配布手段からの要求に応じて前記ユーザに割り当てるレイヤ3アドレスを決定する前記ユーザ認証手段と、を備えることを特徴とするレイヤ2認証システム。
  4. 前記認証準備手段は、ユーザ認証が成されていないユーザからのフレームを受信した場合に、該フレームに記載の該ユーザのレイヤ2アドレスであるところのMACアドレスに対応した仮のIPアドレスを割り当てるDHCPサーバと、前記仮のIPアドレスを割り当てられた前記ユーザからのアクセスがあった場合に、前記ユーザのユーザIDとパスワードを入力させるログイン用WEBサーバとから構成され、前記ユーザ認証手段は、ユーザのMACアドレスとユーザIDとパスワードとを元に該ユーザのユーザ認証を行うRADIUSサーバにて構成される、ことを特徴とする請求項3に記載のレイヤ2認証システム。
  5. 前記DHCPサーバは、ユーザ認証が成されていないユーザからのフレームを受信した場合に、該フレームに記載の該ユーザのMACアドレスに対応した仮のIPアドレスを割り当てて、該MACアドレスと該仮のIPアドレスとの対を記憶すると共に、該仮のIPアドレスを該ユーザに通知し、前記ログイン用WEBサーバは、前記仮のIPアドレスを割り当てられた前記ユーザからのアクセスがあった場合に、前記ユーザから前記ユーザのユーザIDとパスワードとを送信させると共に、前記DHCPサーバから前記仮のIPアドレスに対応するMACアドレスを取得し、前記ログイン用WEBサーバは、前記MACアドレスと前記ユーザIDと前記パスワードを前記RADIUSサーバに送信して前記ユーザのユーザ認証を依頼し、前記RADIUSサーバは、前記ユーザのユーザ認証を行って認証結果を前記ログイン用WEBサーバに送信すると共に、前記MACアドレスと前記ユーザIDとの対を記憶しておき、前記ログイン用WEBサーバは、前記認証結果を前記ユーザに送信すると共に、前記認証結果が認証成功であった場合には、前記交換手段に対して前記MACアドレスのフィルタを解除して、前記MACアドレスを有するフレームを前記第2のIPネットワークへフォワードするよう指示する、ことを特徴とする請求項4に記載のレイヤ2認証システム。
  6. 前記認証結果が認証成功であったことを通知された前記ユーザは、現在割り当てられている前記仮のIPアドレスのリース時間が切れ掛かると、前記レイヤ3アドレス配布手段に対してリース延長を求める要求を送信し、前記レイヤ3アドレス配布手段は、前記リース延長要求から前記ユーザのMACアドレスを取得して前記RADIUSサーバに送信し、前記RADIUSサーバは、前記MACアドレスから前記ユーザのユーザIDを取得して、前記ユーザIDに割り当てるべきIPアドレスを割り当てて、前記IPアドレスを前記レイヤ3アドレス配布手段に通知し、前記レイヤ3アドレス配布手段は、前記IPアドレスを前記ユーザに割り当てる、ことを特徴とする請求項5に記載のレイヤ2認証システム。
  7. レイヤ2のアドレスが既知である通信を用いてレイヤ2とその上位のレイヤでユーザ認証を実行し、前記ユーザ認証の認証結果をもとにユーザが使用しているレイヤ2のアドレスに対するフィルタを解除して特定のネットワークに入ることを許可するシステムにおいて、
    レイヤ3アドレスを配布するレイヤ3アドレス配布手段がユーザからレイヤ3アドレスの配布依頼を受信した場合に、前記レイヤ3アドレス配布手段がユーザ認証を行うユーザ認証手段に対して前記ユーザに割り当てるべきレイヤ3アドレスを要求し、前記ユーザ認証手段が前記ユーザに割り当てるレイヤ3アドレスを決定して前記レイヤ3アドレス配布手段に送出し、前記レイヤ3アドレス配布手段が前記ユーザに対し該レイヤ3アドレスを配布する、ことを特徴とするレイヤ2認証方法。
  8. 請求項4に記載のレイヤ2認証システムにおいて、
    前記DHCPサーバは、ユーザ認証が成されていないユーザからのフレームを受信した場合に、該フレームに記載の該ユーザのMACアドレスに対応した仮のIPアドレスを割り当てて、該MACアドレスと該仮のIPアドレスとの対を記憶すると共に、該仮のIPアドレスを該ユーザに通知し、前記ログイン用WEBサーバは、前記仮のIPアドレスを割り当てられた前記ユーザからのアクセスがあった場合に、前記ユーザから前記ユーザのユーザIDとパスワードとを送信させると共に、前記DHCPサーバから前記仮のIPアドレスに対応するMACアドレスを取得し、前記ログイン用WEBサーバは、前記MACアドレスと前記ユーザIDと前記パスワードを前記RADIUSサーバに送信して前記ユーザのユーザ認証を依頼し、前記RADIUSサーバは、前記ユーザのユーザ認証を行って認証結果を前記ログイン用WEBサーバに送信すると共に、前記MACアドレスと前記ユーザIDとの対を記憶しておき、前記ログイン用WEBサーバは、前記認証結果を前記ユーザに送信すると共に、前記認証結果が認証成功であった場合には、前記交換手段に対して前記MACアドレスのフィルタを解除して、前記MACアドレスを有するフレームを前記第2のIPネットワークへフォワードするよう指示し、
    前記認証結果が認証成功であったことを通知された前記ユーザは、現在割り当てられている前記仮のIPアドレスのリース時間が切れ掛かると、前記レイヤ3アドレス配布手段に対してリース延長を求める要求を送信し、前記レイヤ3アドレス配布手段は、前記リース延長要求から前記ユーザのMACアドレスを取得して前記RADIUSサーバに送信し、前記RADIUSサーバは、前記MACアドレスから前記ユーザのユーザIDを取得して、前記ユーザIDに割り当てるべきIPアドレスを割り当てて、前記IPアドレスを前記レイヤ3アドレス配布手段に通知し、前記レイヤ3アドレス配布手段は、前記IPアドレスを前記ユーザに割り当てる、ことを特徴とするレイヤ2認証方法。
JP2002148352A 2002-05-22 2002-05-22 レイヤ2認証システム及び方法 Expired - Fee Related JP3925303B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2002148352A JP3925303B2 (ja) 2002-05-22 2002-05-22 レイヤ2認証システム及び方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2002148352A JP3925303B2 (ja) 2002-05-22 2002-05-22 レイヤ2認証システム及び方法

Publications (2)

Publication Number Publication Date
JP2003348114A JP2003348114A (ja) 2003-12-05
JP3925303B2 true JP3925303B2 (ja) 2007-06-06

Family

ID=29766964

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2002148352A Expired - Fee Related JP3925303B2 (ja) 2002-05-22 2002-05-22 レイヤ2認証システム及び方法

Country Status (1)

Country Link
JP (1) JP3925303B2 (ja)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5180853B2 (ja) * 2009-01-20 2013-04-10 アラクサラネットワークス株式会社 認証システム
JP2012073892A (ja) * 2010-09-29 2012-04-12 Nifty Corp 認証サーバ、認証システム、認証方法及び認証プログラム
JP5364671B2 (ja) 2010-10-04 2013-12-11 アラクサラネットワークス株式会社 ネットワーク認証における端末接続状態管理
JP2016134733A (ja) * 2015-01-19 2016-07-25 日立電線ネットワークス株式会社 ネットワークシステムおよびサーバ装置
CN107809496B (zh) 2016-09-09 2020-05-12 新华三技术有限公司 网络访问控制方法和装置

Also Published As

Publication number Publication date
JP2003348114A (ja) 2003-12-05

Similar Documents

Publication Publication Date Title
JP4401913B2 (ja) パケット転送装置およびアクセスネットワークシステム
JP4541848B2 (ja) ユーザ端末接続制御方法および装置
EP1876754B1 (en) Method system and server for implementing dhcp address security allocation
US7684405B2 (en) Broadband access method with great capacity and the device and the system thereof
EP1266508B1 (en) Method and apparatus for coordinating a change in service provider between a client and a server
US6603758B1 (en) System for supporting multiple internet service providers on a single network
CA2403832C (en) Method and apparatus for coordinating a change in service provider between a client and a server with identity based service access management
US7058022B1 (en) Method for managing access to networks by employing client software and a configuration protocol timeout
US8125993B2 (en) Network element having a DHCP lease timer
JP3920305B1 (ja) パケット転送装置
CN101110847B (zh) 一种获取介质访问控制地址的方法、系统及装置
US20100107223A1 (en) Network Access Method, System, and Apparatus
US8150951B2 (en) System and method for communicating in a loadbalancing environment
JP2004048234A (ja) ユーザ認証システムおよびユーザ認証方法
CN1184776C (zh) 通过点对点协议上网的用户获取互联网协议地址的方法
RU2387089C2 (ru) Способ предоставления ресурсов с ограниченным доступом
JP3925303B2 (ja) レイヤ2認証システム及び方法
JP3616570B2 (ja) インターネット中継接続方式
KR20070024116A (ko) 단말인증에 기반한 네트워크 서비스 접속 관리 시스템 및방법
JP4495049B2 (ja) パケット通信サービスシステム、パケット通信サービス方法、エッジ側ゲートウェイ装置、およびセンタ側ゲートウェイ装置
JP4352547B2 (ja) リモートアクセスサーバ装置
JP4143663B2 (ja) ネットワークシステム
KR20180050181A (ko) 모뎀 장치 및 고정 ip 제공 시스템
WO2011150867A2 (zh) 一种终端认证方法及装置
JP2004194098A (ja) 通信装置、無線通信端末、通信システム、通信方法

Legal Events

Date Code Title Description
RD01 Notification of change of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7421

Effective date: 20050307

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20050418

RD01 Notification of change of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7421

Effective date: 20070119

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20070201

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20070206

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20070219

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100309

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110309

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110309

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120309

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120309

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130309

Year of fee payment: 6

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130309

Year of fee payment: 6

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140309

Year of fee payment: 7

LAPS Cancellation because of no payment of annual fees