JP4768547B2 - 通信装置の認証システム - Google Patents

通信装置の認証システム Download PDF

Info

Publication number
JP4768547B2
JP4768547B2 JP2006223132A JP2006223132A JP4768547B2 JP 4768547 B2 JP4768547 B2 JP 4768547B2 JP 2006223132 A JP2006223132 A JP 2006223132A JP 2006223132 A JP2006223132 A JP 2006223132A JP 4768547 B2 JP4768547 B2 JP 4768547B2
Authority
JP
Japan
Prior art keywords
authentication
communication device
communication
packet
unauthorized
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2006223132A
Other languages
English (en)
Other versions
JP2008048252A (ja
Inventor
隆弘 古川
基行 滝澤
透 湊
孝一 関
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Telecom Networks Ltd
Original Assignee
Fujitsu Telecom Networks Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Telecom Networks Ltd filed Critical Fujitsu Telecom Networks Ltd
Priority to JP2006223132A priority Critical patent/JP4768547B2/ja
Publication of JP2008048252A publication Critical patent/JP2008048252A/ja
Application granted granted Critical
Publication of JP4768547B2 publication Critical patent/JP4768547B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Description

本発明は、通信装置の認証システムに関し、特に、インターネット等、外部のネットワークへ送信する通信装置を認証し、外部のネットワークと通信することができる通信装置を認証に成功した通信端末に制限し、正当な通信装置に成りすました通信端末の通信を防ぐ認証システムに関する。
インターネットなどの通信において、正当な通信装置が通信を行っている通信経路を不正通信装置に利用されることにより、不正通信装置による不正なアクセスが行われ、正当な通信装置の通信経路の乗っ取りや、WebサーバやFTPサーバ、メールサーバなどのインターネット上の各種サーバに対して大量の(無意味な)サービス接続要求を送り付けなどにより、サーバの負荷を高めてサーバをダウンさせたり、ほかの正当なユーザへのサービスを妨げたりするDoS(Denial of service)攻撃などの様々な問題が引き起こされている。
このため、許可された通信装置のみがインターネットなどのネットワークを介した通信を行うことができ、許可されていない通信装置はネットワークを介した通信を行うことができないようにするためのシステムとして、現在、一般的にはIEEE802.1xやMAC/IPアドレスフィルタリングなどの技術が利用されている。
しかし、IEEE802.1xは、ネットワーク側の装置において、認証に成功した通信装置の物理ポートやMACアドレスのみを管理し、ポートの開閉を行うことで、認証に成功した通信装置が接続されている物理ポートや、認証に成功した通信装置のMACアドレスによる通信のみを疎通させる方式であり、MAC/IPフィルタリングは、ネットワーク側の装置において、登録されているMAC/IPアドレスを管理し、MAC/IPアドレスを基にフィルタリングを行うことで、登録されているMAC/IPアドレスによる通信のみを、インターネットなどのネットワーク側に対して疎通させる方式であるため、例えば、不正な通信装置がMAC/IPアドレスを詐称し、正当な通信装置に成りすました場合、ネットワーク側への通信が可能となってしまう。
以上のことから、認証された正当な通信装置のみにインターネットなどのネットワークを介する通信を許可し、認証されていない不正な通信装置にはネットワークを介する通信を許可しないようにすることは、IEEE802.1xやMAC/IPフィルタリングの技術だけでは難しい。
IEEE802.1xによる認証については下記の特許文献1〜3等に記載されている。下記の特許文献1には、Radiusクライアントから送信される認証パケットのヘッダ情報を解析し、予め設定されたフォワーディングポートに応じて、認証パケットの宛先MACアドレスをマルチキャストアドレス、サプリカント又はRadiusクライアントのMACアドレス、ブロードキャストアドレスに書き換える手段を備えたネットワーク機器について記載されている。
また、特許文献2には、自通信装置が属するグループネットワークとの接続を行う通信装置と地域網管理サーバとは、各通信装置のMACアドレスをキーとする事前共有鍵を共有し、通信装置が地域ネットワークを介してグループネットワークとの通信を開始する際、事前共有鍵によってセキュリティが確保された地域網管理サーバとの接続を中継して、通信装置と認証サーバとの間で通信を行い、認証に成功した場合、地域網管理サーバは、新たな主通信鍵を通信装置と宅側エッジスイッチとに設定するネットワーク管理サーバ、通信装置、エッジスイッチ装置等について記載されている。
また、特許文献3には、予め各ユーザとISPとの関係を示すテーブルを保存し、ユーザ通信装置から所定のISPに対する接続要求を受けると、ユーザ通信装置との間でIEEE802.1xに基づく認証を行い、認証が成立した際に、ISPから送付されるIPアドレスを記憶し、ユーザ通信装置からのIPアドレス要求に応答して該IPアドレスをユーザ通信装置に対して送信するインターネット中継装置について記載されている。
特開2006−67057号公報 特開2004−266516号公報 特開2003−224577号公報
前述したように、認証により許可された正当な通信装置のみをインターネットなどのネットワーク側と通信可能とし、許可されていない不正通信装置をインターネットなどのネットワーク側との通信を不可能にするシステムにおいて、従来ではスイッチなどの認証装置にIEEE802.1xやMAC/IPフィルタリング技術を適用することで上記の機能を実現していたが、この場合、不正通信装置がMACアドレスやIPアドレスなどを詐称し、許可された通信装置に成りすましてインターネットなどのネットワーク側と通信することができた。
本発明は、許可された通信装置に不正通信装置が成りすました場合においても、不正通信装置をインターネットなどのネットワーク側と通信することができないようにし、許可された正当な通信装置のみインターネットなどのネットワーク側との通信を可能にすることを目的とする。
(1)本発明の通信装置の認証システムは、図2等に示すように、通信装置102において、認証装置101による認証成立の通知を受けると、自装置のMACアドレス又はIPアドレスについてのアドレス解決を求めるネットワークアドレス確認パケット201を送信し、該ネットワークアドレス確認パケット201に対する応答パケット202を受信したとき、自装置に成りすました不正な通信装置105の存在を検出する不正端末検出部103を備えたことを特徴とする。
(2)また、図5等に示すように、認証装置101は、通信装置102の正当性を認証すると、該通信装置102のMACアドレス又はIPアドレスについてのアドレス解決を求めるネットワークアドレス確認パケット501を送信し、該ネットワークアドレス確認パケット501に対する応答パケット502,503を複数受信したとき、通信装置102に成りすました不正な通信装置105の存在を検出する不正端末検出部401を備えたことを特徴とする。
(3)また、図6等に示すように、認証装置101は、通信装置102の正当性を認証すると、該通信装置102に対して、ネットワーク接続状態を確認するための接続確認パケット601を送信し、該接続確認パケット601に対する応答パケット602,603を複数受信したとき、通信装置102に成りすました不正な通信装置105の存在を検出する不正端末検出部401を備えたことを特徴とする。
(4)また、図7等に示すように、通信装置102は、不正な通信装置105の存在を検出すると、認証装置101へ接続解除パケット702を送信し、認証装置101は、前記接続解除パケット702を受信すると、通信装置102の認証状態を認証不成立の状態に変更し、該通信装置102及び不正な通信装置105のインターネット側への通信経路を遮断することを特徴とする。
(5)また、図8等に示すように、認証装置101は、不正な通信装置105の存在を検出すると、通信装置102の認証状態を認証不成立の状態に変更し、通信装置102及び不正な通信装置105のインターネット側への通信経路を遮断し、通信装置102へ不正検出通知パケット801を送信することを特徴とする。
(6)また、認証装置101は、前記接続確認パケットを定期的に送信し、該接続確認パケットに対する応答パケットの受信結果に基づいて、前記通信装置102に成りすました不正な通信装置105の存在を検出することを特徴とする。
(7)また、図10等に示すように、認証装置101は、通信装置102に対して付与した認証IDを接続確認パケットに格納して通信装置へ送信し、該接続確認パケットを受信した通信装置102は、認証時に配布された認証IDと該接続確認パケットに格納された認証IDとを比較し、それらの認証IDの一致検出により自装置宛の接続確認パケットと判断し、認証時に配布された認証IDを格納した接続確認応答パケットを認証装置101へ送信し、認証装置101は、正当な認証IDが格納された接続確認応答パケットを受信することで、通信装置102の正当性及び接続状態を確認し、異なる認証IDが付された接続確認応答パケットが返送された場合、認証IDの無い接続確認応答パケットが返送された場合、又は接続確認応答パケットが認証装置まで到達しない場合に、通信装置102の認証状態を認証不成立の状態に変更すると共に、認証IDを削除することを特徴とする。
(8)また、図11等に示すように、通信装置102は、認証装置101による認証成立の通知を受けた後、データ通信開始時に認証情報を含む通信要求パケットを送信し、前記認証装置101は、前記通信要求パケットの認証を行い、該通信要求パケットの正当性を確認したとき、その後一定時間、前記通信装置102からのデータ通信の正当性を保証することを特徴とする。
(9)また、図12等に示すように、通信装置102は、認証装置101による認証成立の通知を受けた後、データ通信開始時に認証情報を含む通信開始パケットを送信し、かつ、データ通信終了時に通信終了パケットを送信し、認証装置101は、前記通信開始パケットの送信から前記通信終了パケットの送信までの間に送信された通信装置102からのデータ通信の正当性を保証することを特徴とする。
(10)また、図17等に示すように、通信装置102は、認証装置101による認証成立の通知を受けた後、他の通信装置1303宛のパケット群及び該パケット群の認証情報を含む認証パケットを送信し、認証装置101は、通信装置102から前記パケット群及び認証パケットを受信し、該パケット群から抽出した情報と認証パケットの認証情報とを比較し、それらが一致したときにのみ、該パケット群を前記他の通信装置1303宛に送信し、前記パケット群からの抽出情報と認証パケットの認証情報とが一致しなかったとき、通信装置102の認証状態を認証不成立の状態に戻し、該通信装置102に対して不正なパケットを検出したことを通知することを特徴とする。
本発明によれば、ネットワークアドレス確認パケット又は接続確認パケットを送信し、それらのパケットに対して送信される応答パケットを受信し、該応答パケットを基に不正通信装置を検出することにより、正当な通信装置に成りすました不正通信装置の存在を認識することができる。また、成りすましによる通信装置の存在を検出した場合に、該通信装置の認証状態を不成立とすることにより、成りすましによる通信装置のインターネットなどのネットワーク側との通信を不能にすることができる。
更に、許可された正当な通信装置が通信を行う際に、該通信装置から送信するデータ通信のパケット群の認証情報を認証装置に通知し、認証装置で該パケット群の正当性を認証することにより、許可された正当な通信装置からのデータ通信を保証することが可能となる。
図1は本発明の第1の適用形態を示す。同図において、認証装置101はインターネット側の装置であり、通信装置102,104,105はLAN(Local Area Network)等により接続されたプライベート側の装置である。通信装置102は、インターネット通信を開始する前に認証装置101に対して認証要求を行い、認証装置101は、通信装置102からの例えばID及びパスワード等のチェックにより通信装置102の正当性を確認し、正当な通信装置であれば、IPアドレスを払い出すなどしてインターネット側との通信を可能にする。
認証装置101は、内部に認証状態管理テーブル109を備え、認証を行った通信装置の認証状態を該認証状態管理テーブル109に保持し、該認証状態を基に通信許可/不許可の管理を行う。ここで、通信装置102の正当性が認証され、正常に認証が終了すると、認証状態管理テーブル109に、通信装置102の識別情報に対応させて認証成立を示す「済」の情報を認証状態として格納する。
通信装置102には不正端末検出部103を備え、該不正端末検出部103は、受信したパケットに書き込まれているアドレス情報をチェックし、送信先アドレス以外のアドレスとして、自装置のMACアドレス又はIPアドレスと同一のアドレスが書き込まれているパケットが受信されたことを検出すると、不正な通信装置が同一ネットワーク上に存在すると判定する。
通信装置102には、同一ネットワーク上の通信装置104からの送信パケット106及び通信装置102に成りすました不正な通信装置105からの不正パケット107、並びに認証装置101からの送信パケット108を受信する。そのうち、成りすましによる不正パケット107は、自装置のMACアドレス又はIPアドレスと同一の送信元アドレスを有することから、不正パケットであると判定し、同一ネットワーク上に不正な通信装置105が接続されていることを認識する。
図2は本発明の第2の適用形態を示す。なお、以下の適用形態の説明図において、図1の第1の適用形態における構成要素と同様の構成要素には同一の符号を付し、重複した説明は省略する。不正な通信装置105は、認証装置101に認証されていないが、MACアドレス又はIPアドレスなどを詐称し、通信装置102に成りすまし、インターネット通信が可能な状態になっているものとする。
通信装置102は、認証装置101による認証に成功すると、不正端末検出部103により、同一ネットワーク上に不正通信装置が接続されていないかを確認するために、ネットワークアドレス確認パケット201を送信し、自装置のMACアドレス又はIPアドレスなどが詐称されていないかをチェックする。
ネットワークアドレス確認パケット201には、IPアドレスを元にMACアドレスを求めるARP(Address Resolution Protocol)パケット若しくはその逆にMACアドレスを元にIPアドレスを求めるRARP(Reverse Address Resolution Protocol)パケット、又はそれらと同様に、MACアドレス又はIPアドレスについての問い合わせに対して、自装置のMACアドレス又はIPアドレスが一致する場合に応答を返すよう独自に定めたパケットを使用することができる。
通信装置102から、ネットワークアドレス確認パケット201を送信すると、認証装置101及び通信装置104は、それぞれ自装置のIPアドレス及びMACアドレスが、ネットワークアドレス確認パケット201で求められているアドレスと一致しないため何も応答を返さないが、不正な通信装置205はIPアドレス又はMACアドレスが一致するため、応答パケット202を返送する。
通信装置102の不正端末検出部103は、不正な通信装置105からの応答パケット202を受信すると、第1の適用形態と同様に、自装置のMACアドレス又はIPアドレスと同一のアドレスを有する通信装置105が同一ネットワーク上に接続されていることを認識する。
図3は本発明の第3の適用形態を示す。不正な通信装置105は認証装置101に認証されていないが、MACアドレス、IPアドレス及び通信プロトコルのセッションIDを詐称し、通信装置102に成りすまして通信が可能な状態になっているものとする。
通信装置102の不正端末検出部103は、通信装置104からの送信パケット106、不正な通信装置105からの不正パケット107及び認証装置101からの送信パケット108を受信すると、それらのパケットに自装置のMACアドレス、IPアドレス及び自装置に割り当てられた通信プロトコルのセッションIDが含まれていないかをチェックするととにより不正パケット307を検出し、同一ネットワーク上に不正な通信装置105が接続されていることを認識する。
図4は本発明の第4の適用形態を示す。第4の適用形態では、認証装置101に不正端末検出部401を備え、不正端末検出部401は、受信したパケットを確認し、通信装置102からの送信パケット402、通信装置104からの送信パケット106、不正な通信装置105からの不正パケット107を受信し、以下に述べる手法で不正パケット107を検出し、同一ネットワーク上に不正な通信装置105が接続されていることを検出する。
図5は本発明の第5の適用形態を示す。認証装置101の不正端末検出部401は、通信装置の認証が成功すると、同一ネットワーク上に不正通信装置が接続されていないかを確認するために、認証状態管理テーブル109によって管理している通信装置の認証状態が「済」である通信装置のMACアドレス又はIPアドレスなどを詐称した不正通信装置が接続されていないかを、ネットワークアドレス確認パケット501を送信することで確認する。
ネットワークアドレス確認パケット501には、ARPパケット若しくはRARPパケット又はMACアドレス又はIPアドレスについての問い合わせに対して自装置のMACアドレス又はIPアドレスが一致する場合に応答を返すよう独自に定めたパケットを使用することができる。
この場合、ネットワークアドレス確認パケット501に対して、通信装置104は、MACアドレス又はIPアドレスが一致しないため何も応答を返さないが、通信装置102及び不正な通信装置105は、MACアドレス又はIPアドレスが一致するため、それぞれ応答パケット502,503を返送する。
認証装置101の不正端末検出部401は、通信装置102及び不正な通信装置105からの応答パケット502,503を受信すると、同一ネットワーク上に重複したMACアドレス又はIPアドレスを有する通信装置が存在すること、即ち、成りすましによる不正な通信装置105が接続されていることを認識する。
図6は本発明の第6の適用形態を示す。認証装置101の不正端末検出部401は、接続確認パケット601を定期的に送信し、MACアドレス又はIPアドレスを詐称した不正通信装置が接続されていないかをチェックする。接続確認パケット601には、MAC層であればRARPパケット、IP層であればICMP(Internet Control Message Protocol)やICMPv6など、ネットワーク機器間で互いの接続状態を確認するためのパケットを使用することができる。
この場合、通信装置104は接続確認パケット601に対して何も応答しないが、通信装置102及び不正な通信装置105は、それぞれ応答パケット602,603を送信する。認証装置101の不正端末検出部401は、通信装置102及び不正な通信装置105からの応答パケット602,603を受信すると、重複した応答パケットを受信したことで同一ネットワーク上に不正な通信装置105が接続されていることを認識する。
図7は本発明の第7の適用形態を示す。通信装置102は、第1〜第3の適用形態を用い、不正端末検出部103で同一ネットワークに不正な通信装置105が接続されていることを検出すると、不正な通信装置105による不正通信を防止するために、接続解除処理部701において接続解除パケット702を認証装置101へ送信する。
認証装置101は、接続解除パケット702を受信すると、認証状態管理テーブル109における通信装置102の認証状態を「済」から、認証不成立を示す「未」に変更し、不正な通信装置705によるインターネット側への通信経路を遮断する。
図8は本発明の第8の適用形態を示す。認証装置101は、第4〜第6の適用形態を用い、不正端末検出部401でネットワークに不正な通信装置105が接続されていることを認識すると、不正な通信装置105による不正通信を防止するために、認証状態管理テーブル109の通信装置102の認証状態を「済」から、認証不成立を示す「未」に変更し、通信装置102の通信に使用していた通信経路を遮断する。このとき、認証装置101は通信経路を遮断したことを通信装置102へ通知するために、不正検出通知パケット801を通信装置102に送信する。
図9は本発明の第9の適用形態を示す。認証装置101は、認証に成功した通信装置102の接続状態を確認するために、接続確認処理部901から接続確認パケット902を通信装置102に対して送信する。接続確認パケット902には、MAC層であればRARPパケット、IP層であればICMPパケットやICMPv6など、ネットワーク機器間で互いの接続状態を確認するためのパケットを使用する。
この場合、通信装置102は、受信した接続確認パケット902を接続確認処理部903にて処理し、応答パケット904を認証装置101に送信する。応答パケット904を受信した認証装置101は、接続確認処理部901において受信パケットの正当性を判断し、正当な場合は現在の通信経路を維持し、不正の場合は認証管理テーブル109の通信装置102の認証状態を「済」から認証不成立を示す「未」に変更し、通信装置102の通信に使用していた通信経路を遮断する。
また、接続確認パケット902に対して通信装置102からの応答が無い場合は、未接続と判断し、認証管理テーブル109における通信装置102の認証状態を「済」から「未」に変更し、通信装置102の通信に使用していた通信経路を遮断する。このとき、接続状態の確認は、1回の接続確認パケット902の送信に対する応答パケット904で判断しても良いが、誤動作に対する保護のために、複数回の接続確認パケット902の送信に対する応答パケット904を基に判断する構成とすることもできる。なお、接続状態の確認は定期的に行い、確認間隔はネットワークシステムに応じて変更する構成とすることができる。
図10は本発明の第10の適用形態を示す。認証装置101は、通信装置102の認証要求(1001)のメッセージに対し認証を行い、認証が成功した場合、認証状態管理テーブル109の認証状態を「未」から「済」に変更すると共に、通信装置固有の認証ID(例えば“102”)を付与し、該認証IDを通信装置102への認証応答(1002)のメッセージと共に送付する。この認証IDは装置毎に異なる値である。
第9の適用形態において、通信装置102の接続確認を行う場合、認証装置101は付与した認証IDを格納した接続確認パケット902を通信装置102へ送信して接続確認要求(1003)のメッセージを送付する。該接続確認要求(1003)のメッセージを受けた通信装置102は、認証時に配布された認証IDと接続確認パケット902に格納された認証IDとを比較し、その一致により自装置宛の接続確認パケットと判断した場合、認証時に配布された認証IDを格納した接続確認応答(1004)のメッセージを認証装置101へ送信する。
認証装置101は、正式な認証IDが格納された接続確認応答(1004)のメッセージを受信することで、通信装置102の正当性及び接続状態を確認する。もし、認証IDとして “102”を付した接続確認要求(1005)のメッセージに対して、異なる認証ID(例えば“001”)が付された接続確認応答(1006)のメッセージが返送された場合や、認証IDの無い接続確認応答(1007)のメッセージが返送された場合や、接続確認応答(1008)のメッセージが認証装置101まで到達しないなど、異常応答(1009)の場合、未接続と判断し、認証状態管理テーブル109における通信装置102の認証状態を「済」から「未」へ変更すると共に、認証IDも削除する。なお、認証IDは装置毎に固定の値であってもよいし、乱数で決めた値でもよい。
図11は本発明の第11の適用形態を示す。認証装置101は、通信装置102に対して端末認証(1101)のメッセージを送信し、通信装置102の認証が成功した場合、認証状態管理テーブル109の認証状態を「未」から「済」に変更することで、通信装置102の外部ネットワークへの通信を許可する。
通信装置102は、データ通信開始時に認証情報を含む通信要求パケット(1102)を送信し、認証装置101は該通信要求パケット(1102)の認証を行うことで、その後の一定時間(Valid time)のデータ通信(1103)の正当性を保証する。なお、通信要求パケット(1102)には、デジタル署名やデジタル証明書などを使用する外に独自の認証データを含むパケットを使用することもできる。
認証装置101が受信した通信要求パケット(1102)を正当なパケットと判断し、通信装置102からの通信を許可した場合、或る一定時間(Valid time)はデータ通信(1103)を許可する。また、通信装置102が一定時間(Valid time)を超えてデータ通信(1105)を続けて行う場合は、認証装置101に通信要求パケット(1104)を再送信し、送信可能時間(Valid time)の更新を行い、データ通信(1105)を行う。
このため、不正な通信装置105が通信装置102に成りすましてデータ通信(1106)を行おうとしても、通信要求パケットを送信できない、又は通信要求パケットの認証に成功しないため、認証装置101は不正な端末105からのデータ通信(1106)を許可しない。なお、再び通信装置102が通信を開始するときは、通信要求パケット(1107)を送信してからデータ通信(1108)を行う。
図12は本発明の第12の適用形態を示す。認証装置101は、通信装置102に対して端末認証(1201)を行い、認証が成功した場合、認証状態管理テーブル109の認証状態を「未」から「済」に変更することで通信装置102の外部ネットワークへの通信を許可している。
通信装置102はデータ通信開始時に認証情報を含む通信開始パケット(1202)を送信し、かつ、データ通信終了時にも認証情報を含む通信終了パケット(1204)を送信し、認証装置101で認証を行うことで、その間のデータ通信(1203)の正当性を保証する。なお、通信開始パケット(1202)及び通信終了パケット(1204)にはデジタル署名やデジタル証明書などの外に独自フレームの外に独自の認証データを含むパケットを使用することができる。
認証装置101は、受信した通信開始パケット(1202)が正当なパケットであると判断することで通信を許可し、受信した通信終了パケット(1204)が正当なパケットと判断することで、以降の通信を拒否するように状態変化させ、通信開始パケット(1202)と通信終了パケット(1204)の期間(図12中のValid time)のみ、データ通信(1203)を可能にする。なお、通信終了パケット(1204)は、処理負荷を軽くするため、認証情報を含まずにデータ通信の終了を通知するだけのパケットを用いてもよい。
このため、不正な通信装置105が通信装置102に成りすましてデータ通信(1205)を行おうとしても、通信開始パケットを送信できない、又は通信開始パケットの認証に成功しないため、認証装置101は不正な端末105からのデータ通信(1205)を許可しない。なお、再び通信装置102が通信を開始するときは、通信開始パケット(1206)を送信してからデータ通信(1207)を行い、通信終了時には通信終了パケット(1208)を送信する。
図13は本発明の第13の適用形態を示す。通信装置102は通信装置1303と通信を行っており、通信装置1303宛のパケット群(1301)を送信する。認証パケット(1102)は通信装置102が送出したパケットで、送信するパケット群(1301)の認証情報を含んでいる。パケット群(1302)は認証装置101によって認証されたパケットで、通信装置102から通信装置1303へ送信されたパケットである。
認証装置101は通信装置102から認証パケット(1102)を受信すると、それに続くパケット群(1301)を受信し、パケット群(1301)から抽出した情報と認証パケット(1102)の認証情報とを比較して一致すれば、パケット群(1301)は通信装置102が送信した正当なパケットであると認識し、認証パケット(1102)を取り除いて通信装置1303へ送信する。
パケットの正当性の確認にはCRC(Cyclic Redundancy Check)符号を用いてもよい。また、通信装置102が送出したデータであることを証明するために、デジタル署名やデジタル証明書を用いてもよい。また、認証装置101の処理を簡素化するために、認証パケット(1102)に署名情報を含むパケットの個数やオクテット数の情報を含める構成とすることもできる。
図14は本発明の第14の適用形態を示す。1401は第13の適用形態の通信装置であり、通常のデータ通信用パケットの他に認証用パケットを生成して送出する機能を有する。アプリケーションソフトウェア1402は、ネットワークを介して送信するデータが有れば、このデータをTCP/UDP/IP処理部1403へ渡す。
TCP/UDP/IP処理部1403は、送信データをカプセル化し、アドレス付与の処理を行って署名情報処理部1404へ送信データをパケット化して渡す。署名情報処理部1404は、受け取ったパケットをパケットバッファ部1405に一旦保存し、受け取った複数のパケット情報より認証情報を抽出し、認証用パケットを生成する。署名情報処理部1404は、生成した認証パケットを通信処理部1406へ渡し、その後すぐに署名情報を抽出したパケット群を渡す。通信処理部1406では受け取ったパケットをそのまま通信路1407へ送出する。
パケットの正当性確認のために、認証パケットへ埋め込む情報としてCRC(Cyclic Redundancy Check)符号を用いてもよい。また、本発明の通信装置1401が送出したデータであることを証明するために、デジタル署名やデジタル証明書を付与してもよい。また、認証パケット受信側の処理を簡素化するために、認証パケットに署名情報を含むパケットの個数やオクテット数の情報を含める構成とすることができる。
図15は本発明の第15の適用形態を示す。通信装置102は、通信装置1303と通信を行っており、通信装置1303宛のパケット群(1301)を送信する。認証パケット(1102)は、通信装置102が送出したパケットで、送信されたパケット群(1301)の認証情報を含んでいる。パケット群(1302)は、認証装置101によって認証されたパケットで、通信装置102から通信装置1303へ送信されたパケットである。
認証装置101は、通信装置102から通常の送信データであるパケット群(1301)を受信すると、一旦、自装置のデータバッファに保存する。その後、通信装置102より認証パケット(1501)を受信すると、データバッファに保存していたパケット群(1301)から抽出した情報と、受信した認証パケット(1501)の認証情報とを比較して一致すれば、パケット群(1301)は通信装置102が送信した正当なパケットであると認識し、認証パケット(1501)を取り除いて通信装置1303へ送信する。
パケットの正当性の確認にはCRC(Cyclic Redundancy Check)符号を用いてもよい。また、通信装置102が送信したデータであることを証明するためにデジタル署名やデジタル証明書を用いてもよい。また、認証装置101の処理を簡素化するために、認証パケット1501に署名情報を含むパケットの個数やオクテット数の情報を含める構成とすることができる。
図16は本発明の第16の適用形態を示す。1601は第15の形態の通信装置であり、通常のデータ通信用パケットの他に認証用パケットを生成して送出する。アプリケーションソフトウェア1402、TCP/UDP/IP処理部1403は、図14で説明したものと同様のものである。
TCP/UDP/IP処理部1403は、パケット化した送信データを署名情報処理部1602へ渡す。署名情報処理部1602は、受け取ったパケット化送信データからリアルタイムに認証情報を抽出し、認証用パケットを生成する。アプリケーションソフトウェア1402が送信したデータを含むパケットは、そのまますぐに通信処理部1406へ渡され、その後、署名情報処理部1602からこれらパケットの認証情報を含む認証パケットが通信処理部1406に渡される。通信処理部1406では、受け取ったパケットをそのまま通信路1407へ送信する。
パケットの正当性確認のために、認証パケットへ埋め込む情報としてCRC(Cyclic Redundancy Check)符号を用いてもよい。また、本発明の通信装置1601が送信したデータであることを証明するために、デジタル署名やデジタル証明書を付与してもよい。また、認証パケット受信側の処理を簡素化するために、認証パケットに署名情報を含むパケットの個数やオクテット数の情報を含める構成としてもよい。
図17は本発明の第17の適用形態を示す。通信装置102は、通信開始前に認証要求を行い、認証装置101によって認証されて通信装置1303と通信を行っているものとする。認証装置101は、認証状態管理テーブル109により通信装置の認証状態の管理を行っており、今、通信装置102は正常に認証されたため、認証状態が「済」の状態となっている。
また、認証装置101は、通信装置102からのパケット群(1301)及び認証パケット(1501)を監視し、リアルタイムに通信装置102からのパケットの正当性を確認する。ここで、不正な通信装置105は、認証装置101に認証されていないが、MACアドレス、IPアドレス又は通信プロトコルのセッションID等を詐称し、通信装置102に成りすまして不正パケット(107)を送信したものとする。
認証装置101では、不正パケット(107)が混入したパケット群(1301)を受け取るが、認証パケット(1501)の認証情報とパケット群(1301)から抽出した情報が一致しないため、不正パケット(107)の混入を検出する。
不正パケットの混入、パケットの欠落又はパケットデータの欠落などにより、データパケットからの抽出情報と認証パケットの認証情報とが不一致となった場合、認証装置101は、認証状態管理テーブル109の認証状態を、認証不成立を示す「未」の状態に戻し、通信装置102に向けて不正検出通知パケット(801)を送信し、不正なパケットを検出したことを通知する。通信装置102はこれを受けて、再認証依頼、IPアドレス等のネットワークアドレスやセッションIDの変更又は通信の停止を実行する。
本発明の第1の適用形態を示す図である。 本発明の第2の適用形態を示す図である。 本発明の第3の適用形態を示す図である。 本発明の第4の適用形態を示す図である。 本発明の第5の適用形態を示す図である。 本発明の第6の適用形態を示す図である。 本発明の第7の適用形態を示す図である。 本発明の第8の適用形態を示す図である。 本発明の第9の適用形態を示す図である。 本発明の第10の適用形態を示す図である。 本発明の第11の適用形態を示す図である。 本発明の第12の適用形態を示す図である。 本発明の第13の適用形態を示す図である。 本発明の第14の適用形態を示す図である。 本発明の第15の適用形態を示す図である。 本発明の第16の適用形態を示す図である。 本発明の第17の適用形態を示す図である。
符号の説明
101 認証装置
102 通信装置
103 不正端末検出部
104 通信装置
105 不正な通信装置
106 送信パケット
107 不正パケット
108 送信パケット
109 認証状態管理テーブル
201 ネットワークアドレス確認パケット
202 応答パケット

Claims (3)

  1. ネットワークを介して認証装置と通信装置とが接続され、通信装置から認証装置に対して自装置の認証要求を行い、認証装置は該通信装置の正当性を認証し、正当な通信装置に対してインターネット通信を許可する認証システムにおいて、
    前記通信装置は、前記認証装置による認証成立の通知を受けると、自装置のMACアドレス又はIPアドレスについてのアドレス解決を求めるネットワークアドレス確認パケットを送信し、該ネットワークアドレス確認パケットに対する応答パケットを受信したとき、自装置に成りすました不正な通信装置の存在を検出する不正端末検出部を備え
    前記通信装置は、不正な通信装置の存在を検出すると、前記認証装置へ接続解除パケットを送信し、
    前記認証装置は、前記接続解除パケットを受信すると、前記通信装置の認証状態を認証不成立の状態に変更し、前記通信装置及び不正な通信装置のインターネット側への通信経路を遮断することを特徴とする通信装置の認証システム。
  2. ネットワークを介して認証装置と通信装置とが接続され、通信装置から認証装置に対して自装置の認証要求を行い、認証装置は該通信装置の正当性を認証し、正当な通信装置に対してインターネット通信を許可する認証システムにおいて、
    前記認証装置は、前記通信装置の正当性を認証すると、該通信装置のMACアドレス又はIPアドレスについてのアドレス解決を求めるネットワークアドレス確認パケットを送信し、該ネットワークアドレス確認パケットに対する応答パケットを複数受信したとき、前記通信装置に成りすました不正な通信装置の存在を検出する不正端末検出部を備え
    前記認証装置は、不正な通信装置の存在を検出すると、前記通信装置の認証状態を認証不成立の状態に変更し、前記通信装置及び不正な通信装置のインターネット側への通信経路を遮断し、前記通信装置へ不正検出通知パケットを送信することを特徴とする通信装置の認証システム。
  3. ネットワークを介して認証装置と通信装置とが接続され、通信装置から認証装置に対して自装置の認証要求を行い、認証装置は該通信装置の正当性を認証し、正当な通信装置に対してインターネット通信を許可する認証システムにおいて、
    前記認証装置は、前記通信装置の正当性を認証すると、該通信装置に対して、ネットワーク接続状態を確認するための接続確認パケットを送信し、
    前記接続確認パケットに対する応答パケットを複数受信したとき、前記通信装置に成りすました不正な通信装置の存在を検出する不正端末検出部を備え
    前記認証装置は、不正な通信装置の存在を検出すると、前記通信装置の認証状態を認証不成立の状態に変更し、前記通信装置及び不正な通信装置のインターネット側への通信経路を遮断し、前記通信装置へ不正検出通知パケットを送信することを特徴とする通信装置の認証システム。
JP2006223132A 2006-08-18 2006-08-18 通信装置の認証システム Expired - Fee Related JP4768547B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2006223132A JP4768547B2 (ja) 2006-08-18 2006-08-18 通信装置の認証システム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2006223132A JP4768547B2 (ja) 2006-08-18 2006-08-18 通信装置の認証システム

Publications (2)

Publication Number Publication Date
JP2008048252A JP2008048252A (ja) 2008-02-28
JP4768547B2 true JP4768547B2 (ja) 2011-09-07

Family

ID=39181540

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006223132A Expired - Fee Related JP4768547B2 (ja) 2006-08-18 2006-08-18 通信装置の認証システム

Country Status (1)

Country Link
JP (1) JP4768547B2 (ja)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2009139465A1 (ja) * 2008-05-16 2009-11-19 日本電気株式会社 通信装置、通信方法および通信制御プログラム
JP5470145B2 (ja) * 2009-04-22 2014-04-16 アラクサラネットワークス株式会社 認証スイッチおよび端末認証方法
US9088609B2 (en) 2009-12-24 2015-07-21 International Business Machines Corporation Logical partition media access control impostor detector

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH11127468A (ja) * 1997-10-20 1999-05-11 Fujitsu Ltd 通信制御装置及び無線通信システム
JP2004032134A (ja) * 2002-06-24 2004-01-29 Kobe Steel Ltd 通信監視システム
JP2004146969A (ja) * 2002-10-23 2004-05-20 Murata Mach Ltd ネットワーク接続通信装置
JP4245486B2 (ja) * 2004-01-08 2009-03-25 富士通株式会社 ネットワーク不正接続防止方法及び装置

Also Published As

Publication number Publication date
JP2008048252A (ja) 2008-02-28

Similar Documents

Publication Publication Date Title
Aboba et al. RADIUS (remote authentication dial in user service) support for extensible authentication protocol (EAP)
EP1502463B1 (en) Method , apparatus and computer program product for checking the secure use of routing address information of a wireless terminal device in a wireless local area network
JP4347335B2 (ja) ネットワーク中継プログラム、ネットワーク中継装置、通信システム、ネットワーク中継方法
US7624181B2 (en) Techniques for authenticating a subscriber for an access network using DHCP
US8139521B2 (en) Wireless nodes with active authentication and associated methods
US7861076B2 (en) Using authentication server accounting to create a common security database
JP2010086529A (ja) 連続する再認証を必要としないsipシグナリング
WO2010048838A1 (zh) 网络认证方法、客户端请求认证的方法、客户端和装置
WO2014117525A1 (zh) 静态用户终端认证处理方法及装置
JP2008154164A (ja) アドレス認証情報払い出し装置、アドレス認証情報付加装置、アドレス詐称チェック装置およびネットワークシステム
WO2015174100A1 (ja) パケット転送装置、パケット転送システム及びパケット転送方法
JP2006203300A (ja) 転送装置、アクセス可否判定方法およびプログラム
CN101715009A (zh) 一种安全的地址分配方法、检测装置、设备和系统
JP2007018081A (ja) ユーザ認証システム、ユーザ認証方法、ユーザ認証方法を実現するためのプログラム、及びプログラムを記憶した記憶媒体
JP4299621B2 (ja) サービス提供方法、サービス提供プログラム、ホスト装置、および、サービス提供装置
WO2003081839A1 (fr) Procede d'etablissement d'une liaison entre le dispositif d'acces au reseau et l'utilisateur mettant en oeuvre le protocole 802.1x
US20110055571A1 (en) Method and system for preventing lower-layer level attacks in a network
JP4768547B2 (ja) 通信装置の認証システム
CN111416824B (zh) 一种网络接入认证控制系统
KR100856918B1 (ko) IPv6 기반 네트워크상에서의 IP 주소 인증 방법 및IPv6 기반 네트워크 시스템
JP2010062667A (ja) ネットワーク機器及びネットワークシステム
JP2010187314A (ja) 認証機能付きネットワーク中継機器及びそれを用いた端末の認証方法
JPH11161618A (ja) 移動計算機管理装置、移動計算機装置及び移動計算機登録方法
US10079857B2 (en) Method of slowing down a communication in a network
Aboba et al. RFC3579: RADIUS (Remote Authentication Dial In User Service) Support For Extensible Authentication Protocol (EAP)

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20090312

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20110117

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20110208

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20110323

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20110614

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20110616

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140624

Year of fee payment: 3

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees