JP4881672B2 - Communication device and communication control program - Google Patents

Communication device and communication control program Download PDF

Info

Publication number
JP4881672B2
JP4881672B2 JP2006209084A JP2006209084A JP4881672B2 JP 4881672 B2 JP4881672 B2 JP 4881672B2 JP 2006209084 A JP2006209084 A JP 2006209084A JP 2006209084 A JP2006209084 A JP 2006209084A JP 4881672 B2 JP4881672 B2 JP 4881672B2
Authority
JP
Japan
Prior art keywords
terminal
address
authentication
address table
authenticated
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2006209084A
Other languages
Japanese (ja)
Other versions
JP2008033831A (en
Inventor
敦史 仲野
範彦 二反田
章 松崎
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Panasonic Corp
Panasonic Electric Works Co Ltd
Original Assignee
Panasonic Corp
Matsushita Electric Works Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Panasonic Corp, Matsushita Electric Works Ltd filed Critical Panasonic Corp
Priority to JP2006209084A priority Critical patent/JP4881672B2/en
Publication of JP2008033831A publication Critical patent/JP2008033831A/en
Application granted granted Critical
Publication of JP4881672B2 publication Critical patent/JP4881672B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Description

本発明は、ネットワーク接続時に端末にユーザ認証を行い、認証サーバによって認証された端末によって送受信される通信データを中継する通信装置及び通信制御プログラムに関する。   The present invention relates to a communication apparatus and a communication control program for performing user authentication on a terminal when connected to a network and relaying communication data transmitted and received by a terminal authenticated by an authentication server.

従来より、正当な権限を有するユーザのみがネットワークにアクセスすることを管理する技術としては、下記の特許文献1や特許文献2に記載された技術が知られている。   Conventionally, techniques described in Patent Document 1 and Patent Document 2 below are known as techniques for managing access to a network by only a user having a legitimate authority.

下記の特許文献1には、PHS(Personal Handyphone System)通信システムにおけるPHS子機をPHS親機で管理するために、PHS子機の発信時に、PHS子機からPHS親機にIDを送信して、当該PHS親機によってIDが、事前に登録されているIDであるか否かを認証することが記載されている。   In Patent Document 1 below, in order to manage a PHS slave unit in a PHS (Personal Handyphone System) communication system with the PHS master unit, an ID is transmitted from the PHS slave unit to the PHS master unit when the PHS slave unit originates. The PHS master unit authenticates whether the ID is an ID registered in advance.

また、下記の特許文献2には、無線接続制御装置に無線端末のMAC(Media Access Control)アドレスを登録しておき、無線端末からパケットを無線接続制御装置で受信すると、受信したパケットに含まれるMACアドレスと予め登録されたMACアドレスとを比較して、接続の可否を判断することが記載されている。   Also, in Patent Document 2 below, when a MAC (Media Access Control) address of a wireless terminal is registered in the wireless connection control device and a packet is received from the wireless terminal by the wireless connection control device, it is included in the received packet. The document describes that a MAC address and a previously registered MAC address are compared to determine whether or not connection is possible.

更に、近年においては、認証サーバで端末をユーザ認証させるためのIEEE(The Institute of Electrical and Electronics Engineers)802.1xサプリカント(認証クライアントソフトウェア)を汎用のOS(Operation System)に付属させ、当該IEEE802.1xサプリカントと、同じくIEEE802.1xに対応したLAN(Local Area Network)スイッチ等のアクセスポイント(認証装置)と、RADIUS(Remote Authentication Dial-In-User-Service)サーバ等の認証サーバとによって、端末のユーザ認証ができるようになっている。   Further, in recent years, an IEEE (The Institute of Electrical and Electronics Engineers) 802.1x supplicant (authentication client software) for authenticating a user with a authentication server is attached to a general-purpose OS (Operation System), and the IEEE 802 A 1x supplicant, an access point (authentication device) such as a LAN (Local Area Network) switch that also supports IEEE 802.1x, and an authentication server such as a RADIUS (Remote Authentication Dial-In-User-Service) server, User authentication of the terminal can be performed.

具体的には、IEEE802.1xに準拠したLANスイッチに端末が接続された場合に、LANスイッチから端末に認証情報の返信を要求するリクエストパケットを送信し、当該端末のIEEE802.1xサプリカントからLANスイッチに認証情報を送信して、当該認証情報をLANスイッチからRADIUSサーバに送信する。そして、RADIUSサーバによって、認証が許可された場合にはLANスイッチを介した端末の通信を許可し、認証が失敗した場合にはLANスイッチを介した端末の通信を禁止している。このように、IEEE802.1xサプリカントとLANスイッチとRADIUSサーバとによる認証プロセスは、LANスイッチによって端末が接続されたことを検知した場合に、LANスイッチがリクエストパケットを送信することによって開始されていた。
特開2001−16646号公報 特開2006−74680号公報 Specifically, when a terminal is connected to a LAN switch compliant with IEEE 802.1x, a request packet for requesting a return of authentication information is transmitted from the LAN switch to the terminal, and the IEEE 802.1x supplicant of the terminal Authentication information is transmitted to the switch, and the authentication information is transmitted from the LAN switch to the RADIUS server. If the authentication is permitted by the RADIUS server, the communication of the terminal via the LAN switch is permitted, and if the authentication fails, the communication of the terminal via the LAN switch is prohibited. As described above, the authentication process by the IEEE 802.1x supplicant, the LAN switch, and the RADIUS server was started by transmitting a request packet when the LAN switch detects that the terminal is connected. .
JP 2001-16646 A JP 2006-74680 A

しかしながら、上述の認証プロセスにおいて、IEEE802.1xサプリカントは、自ら認証スタートパケットを送信しないために、LANスイッチの配下にハブやスイッチ等の中継装置を介して端末が接続された場合には、LANスイッチによる認証プロセスが開始されない。   However, in the above-described authentication process, the IEEE 802.1x supplicant does not transmit an authentication start packet by itself, so when a terminal is connected via a relay device such as a hub or switch under the LAN switch, The authentication process by the switch does not start.

これに対し、LANスイッチを、定期的にIEEE802.1xに準拠したリクエストパケットをマルチキャストで送信するように構成したり、端末からのIPパケットをLANスイッチで受信する度に、当該IPパケットに含まれるMACアドレスを宛先としてIEEE802.1xのリクエストパケットを送信していた。   On the other hand, every time a LAN switch is configured to periodically send a request packet conforming to IEEE802.1x by multicast or an IP packet from a terminal is received by the LAN switch, it is included in the IP packet. An IEEE802.1x request packet was transmitted with the MAC address as the destination.

しかしながら、定期的にリクエストパケットを送信するようにLANスイッチを構成した場合には、リクエストパケットの送信間隔を長くすると、端末がリクエストパケットを受信するまでの待ち時間がながくなって、端末がLANスイッチに接続されたにも拘わらずRADIUSサーバによる認証が行われないという問題がある。また、マルチキャストするリクエストパケットの送信間隔を短くすると、一度認証された端末に対してもリクエストパケットを送信してしまうことによって常に認証プロセスを行い続けるために、LANスイッチにおけるCPUの処理負荷が大きく、且つRADIUSサーバへも大量の認証結果ログが蓄積されてしまう問題がある。   However, when the LAN switch is configured to periodically transmit request packets, if the request packet transmission interval is lengthened, there is no waiting time until the terminal receives the request packet, and the terminal However, there is a problem that authentication by the RADIUS server is not performed despite being connected to. In addition, if the transmission interval of request packets to be multicast is shortened, the processing load of the CPU in the LAN switch is large in order to always perform the authentication process by transmitting the request packet even to a terminal once authenticated, In addition, there is a problem that a large amount of authentication result logs are accumulated in the RADIUS server.

また、端末からIPパケットを受信する度にLANスイッチからリクエストパケットを送信する場合には、端末の通信が発生する度に認証プロセスを行い続けるために、LANスイッチの処理負荷の増大する問題、RADIUSサーバへ大量の認証結果ログが蓄積される問題があった。   In addition, when a request packet is transmitted from the LAN switch every time an IP packet is received from the terminal, the authentication process continues to be performed every time the terminal communication occurs, which increases the processing load of the LAN switch. There was a problem that a large amount of authentication result logs were accumulated on the server.

そこで、本発明は、上述した実情に鑑みて提案されたものであり、所定の認証プロセスによって端末を認証できない場合であっても、処理負荷の増大等を招くことなく当該端末を認証することができる通信装置及び通信制御プログラムを提供することを目的とする。   Therefore, the present invention has been proposed in view of the above-described circumstances, and even when a terminal cannot be authenticated by a predetermined authentication process, the terminal can be authenticated without causing an increase in processing load or the like. An object of the present invention is to provide a communication device and a communication control program.

本発明は、一又は複数の認証処理対象となる端末が接続されるとともに当該端末の認証処理を行う認証サーバが接続されたネットワークに接続される通信装置において、前記端末から送信された通信データに含まれるアドレスを登録するアドレステーブルであって、前記端末の認証情報に基づいて前記認証サーバによって認証された端末のアドレスを登録するアドレステーブルを備え、前記アドレステーブルは、認証サーバによって認証された端末のアドレスを登録する第1のアドレステーブルと、通信データに含まれるアドレスが前記第1のアドレステーブルに登録されていない場合に、当該アドレスを前記認証サーバによって認証処理がされていない端末のアドレスとして登録する第2のアドレステーブルを有し、端末から送信された通信データに前記第2のアドレステーブルに登録されたアドレスが含まれている場合に、当該アドレスを有する端末に認証情報を返送するリクエストを供給することによって当該端末の認証情報を取得して、当該認証情報に基づく認証処理を前記認証サーバに行わせ、当該認証サーバによる認証処理の結果、当該端末の通信を許可する場合には、当該端末のアドレスを前記第1のアドレステーブルに登録すると共に前記第2のアドレステーブルから削除するThe present invention relates to communication data transmitted from a terminal in a communication device connected to a network to which one or a plurality of authentication target terminals are connected and an authentication server that performs authentication processing of the terminals is connected. An address table for registering addresses contained therein, comprising an address table for registering addresses of terminals authenticated by the authentication server based on authentication information of the terminals, wherein the address table is a terminal authenticated by an authentication server If the address included in the communication data is not registered in the first address table and the address included in the first address table is the address of the terminal that has not been authenticated by the authentication server It has a second address table to be registered and the communication sent from the terminal When the data includes an address registered in the second address table, the authentication information of the terminal is obtained by supplying a request for returning the authentication information to the terminal having the address, and the authentication When the authentication server is caused to perform authentication processing based on information, and as a result of the authentication processing by the authentication server, communication of the terminal is permitted, the address of the terminal is registered in the first address table and the first address table is registered. 2 is deleted from the address table .

更に、本発明を適用した他の通信装置は、一又は複数の認証処理対象となる端末が接続されるとともに当該端末の認証処理を行う認証サーバが接続されたネットワークに接続される通信装置において、前記端末から送信された通信データに含まれるアドレスを登録するアドレステーブルであって、前記端末の認証情報に基づいて前記認証サーバによって認証された端末のアドレスを登録するアドレステーブルを備え、前記アドレステーブルは、認証サーバによって認証された端末のアドレスを登録する第1のアドレステーブルと、通信データに含まれるアドレスが前記第1のアドレステーブルに登録されていない場合に、当該アドレスを前記認証サーバによって認証処理がされていない端末のアドレスとして登録する第2のアドレステーブルを有し、端末から送信された通信データに前記第2のアドレステーブルに登録されたアドレスが含まれている場合に、当該アドレスを有する端末を代理して当該端末の認証情報を自ら生成し、この認証情報を前記認証サーバに供給して認証処理を行わせ、当該認証サーバによる認証処理の結果、当該端末の通信を許可する場合には、当該端末のアドレスを前記第1のアドレステーブルに登録すると共に前記第2のアドレステーブルから削除するFurthermore, another communication device to which the present invention is applied is a communication device connected to a network to which one or a plurality of terminals to be authenticated is connected and to which an authentication server that performs authentication processing of the terminal is connected. an address table for registering address included in the communication data transmitted from the terminal, an address table for registering addresses of the terminals that have been authenticated by the authentication server based on the authentication information of the terminal, the address table The first address table for registering the address of the terminal authenticated by the authentication server, and when the address included in the communication data is not registered in the first address table, the address is authenticated by the authentication server. Second address table registered as an address of a terminal that has not been processed And when the communication data transmitted from the terminal includes an address registered in the second address table, the authentication information of the terminal is generated on behalf of the terminal having the address, When authentication information is supplied to the authentication server to perform authentication processing and, as a result of the authentication processing by the authentication server, communication of the terminal is permitted, the address of the terminal is registered in the first address table. At the same time, it is deleted from the second address table .

本発明を適用した通信制御プログラムは、一又は複数の認証処理対象となる端末が接続されるとともに当該端末の認証処理を行う認証サーバが接続されたネットワークに接続される通信装置のコンピュータに記憶される通信制御プログラムであって、前記端末から送信された通信データに含まれるアドレスを登録するアドレステーブルであって、前記端末の認証情報に基づいて前記認証サーバによって認証された端末のアドレスを登録するアドレステーブルであって、前記認証サーバによって認証された端末のアドレスを登録する第1のアドレステーブルと、通信データに含まれるアドレスが前記第1のアドレステーブルに登録されていない場合に、当該アドレスを前記認証サーバによって認証処理がされていない端末のアドレスとして登録する第2のアドレステーブルを有する前記アドレステーブルを作成する機能と、端末から送信された通信データに前記第2のアドレステーブルに登録されたアドレスが含まれている場合に、当該アドレスを有する端末に認証情報を返送するリクエストを供給することによって当該端末の認証情報を取得して、当該認証情報に基づく認証処理を前記認証サーバに行わせ、当該認証サーバによる認証処理の結果、当該端末の通信を許可する場合には、当該端末のアドレスを前記第1のアドレステーブルに登録すると共に前記第2のアドレステーブルから削除する機能とを前記通信装置のコンピュータに実現させる。 A communication control program to which the present invention is applied is stored in a computer of a communication device connected to a network to which one or a plurality of authentication target terminals are connected and an authentication server that performs authentication processing of the terminals is connected. A communication control program for registering an address included in communication data transmitted from the terminal, wherein the address of the terminal authenticated by the authentication server is registered based on authentication information of the terminal A first address table for registering an address of a terminal authenticated by the authentication server, and an address included in communication data when the address included in the communication data is not registered in the first address table. Registered as the address of a terminal that has not been authenticated by the authentication server A function of generating the address table having a second address table that, if it contains the transmitted address registered in the second address table in the communication data from the terminal, the terminal having the address The authentication information of the terminal is acquired by supplying a request for returning authentication information, and the authentication server is caused to perform authentication processing based on the authentication information. As a result of the authentication processing by the authentication server, communication of the terminal is performed. In the case of permitting, the function of registering the address of the terminal in the first address table and deleting it from the second address table is realized in the computer of the communication apparatus.

また、本発明を適用した他の通信制御プログラムは、一又は複数の認証処理対象となる端末が接続されるとともに当該端末の認証処理を行う認証サーバが接続されたネットワークに接続される通信装置のコンピュータに記憶される通信制御プログラムであって、前記端末から送信された通信データに含まれるアドレスを登録するアドレステーブルであって、前記端末の認証情報に基づいて前記認証サーバによって認証された端末のアドレスを登録するアドレステーブルであって、前記認証サーバによって認証された端末のアドレスを登録する第1のアドレステーブルと、通信データに含まれるアドレスが前記第1のアドレステーブルに登録されていない場合に、当該アドレスを前記認証サーバによって認証処理がされていない端末のアドレスとして登録する第2のアドレステーブルを有する前記アドレステーブルを作成する機能と、端末から送信された通信データに前記第2のアドレステーブルに登録されたアドレスが含まれている場合に、当該アドレスを有する端末を代理して当該端末の認証情報を自ら生成し、この認証情報を前記認証サーバに供給して認証処理を行わせ、当該認証サーバによる認証処理の結果、当該端末の通信を許可する場合には、当該端末のアドレスを前記第1のアドレステーブルに登録すると共に前記第2のアドレステーブルから削除する機能とを前記通信装置のコンピュータに実現させる。



In addition, another communication control program to which the present invention is applied is a communication apparatus connected to a network to which an authentication server for performing authentication processing of the terminal is connected as well as one or a plurality of authentication processing target terminals. A communication control program stored in a computer, an address table for registering addresses included in communication data transmitted from the terminal, the terminal being authenticated by the authentication server based on authentication information of the terminal An address table for registering an address , the first address table for registering the address of the terminal authenticated by the authentication server, and the address included in the communication data is not registered in the first address table , The address of the terminal that has not been authenticated by the authentication server And the ability to create the address table having a second address table for registering, if it contains the transmitted address registered in the second address table in the communication data from the terminal, the address When generating authentication information of the terminal itself on behalf of the terminal having it, supplying the authentication information to the authentication server to perform authentication processing, and permitting communication of the terminal as a result of the authentication processing by the authentication server The function of registering the address of the terminal in the first address table and deleting it from the second address table is realized in the computer of the communication device.



本発明に係る通信装置によれば、端末の認証情報に基づいて認証サーバによって認証された端末のアドレスを登録するアドレステーブルを備え、端末から受信した通信データに含まれるアドレスがアドレステーブルに登録されていない場合に、当該アドレスを有する端末から認証情報を取得し、当該認証情報に基づく認証処理を認証サーバに行わせることができるので、端末が自ら認証情報を送信しなく所定の認証プロセスによって端末を認証できない場合であっても、処理負荷の増大等を招くことなく当該端末を認証することができる。   The communication device according to the present invention includes an address table for registering the address of the terminal authenticated by the authentication server based on the authentication information of the terminal, and the address included in the communication data received from the terminal is registered in the address table. If the authentication information is acquired from the terminal having the address and the authentication server is allowed to perform authentication processing based on the authentication information, the terminal does not transmit the authentication information by itself and the terminal performs a predetermined authentication process. Even if the authentication cannot be performed, the terminal can be authenticated without increasing the processing load.

また、この通信装置によれば、認証サーバによって認証された端末のアドレスを登録する第1のアドレステーブルと、認証サーバによって認証処理がされていない端末のアドレスを登録する第2のアドレステーブルを備え、端末から送信された通信データに第2のアドレステーブルに登録されたアドレスが含まれている場合に、当該アドレスを有する端末の認証情報を取得し、当該認証情報に基づく認証処理を認証サーバに行わせることができるので、端末が自ら認証情報を送信しなく所定の認証プロセスによって端末を認証できない場合であっても、処理負荷の増大等を招くことなく当該端末を認証することができる。   In addition, according to this communication apparatus, the first address table for registering the address of the terminal authenticated by the authentication server and the second address table for registering the address of the terminal that has not been authenticated by the authentication server are provided. When the communication data transmitted from the terminal includes the address registered in the second address table, the authentication information of the terminal having the address is acquired, and the authentication process based on the authentication information is performed on the authentication server. Therefore, even if the terminal does not transmit authentication information by itself and cannot authenticate the terminal by a predetermined authentication process, the terminal can be authenticated without causing an increase in processing load.

更に、本発明を適用した他の通信装置によれば、認証サーバによって認証された端末のアドレスを登録するアドレステーブルを備え、端末から通信データを受信した場合に、当該通信データに含まれるアドレスがアドレステーブルに登録されていない場合には、当該アドレスを有する端末を代理して当該端末の認証情報を自ら生成して認証サーバに認証処理を行わせることができるので、所定の認証プロセスを行うことができない端末であっても、当該端末を認証させることができる。   Furthermore, according to another communication apparatus to which the present invention is applied, an address table for registering the address of the terminal authenticated by the authentication server is provided, and when communication data is received from the terminal, the address included in the communication data is If it is not registered in the address table, it can generate authentication information of the terminal itself on behalf of the terminal having the address and cause the authentication server to perform the authentication process. Even a terminal that cannot be authenticated can be authenticated.

また、この通信装置によれば、認証サーバによって認証された端末のアドレスを登録する第1のアドレステーブルと、認証サーバによって認証処理がされていない端末のアドレスを登録する第2のアドレステーブルを備え、端末から送信された通信データに第2のアドレステーブルに登録されたアドレスが含まれている場合に、当該アドレスを有する端末を代理して当該端末の認証情報を自ら生成するので、所定の認証プロセスを行うことができない端末であっても、当該端末を認証させることができる。   In addition, according to this communication apparatus, the first address table for registering the address of the terminal authenticated by the authentication server and the second address table for registering the address of the terminal that has not been authenticated by the authentication server are provided. When the communication data transmitted from the terminal includes an address registered in the second address table, the terminal generates the authentication information for the terminal on behalf of the terminal having the address. Even a terminal that cannot perform a process can be authenticated.

本発明を適用した通信制御プログラムによれば、通信装置のコンピュータに、端末の認証情報に基づいて認証サーバによって認証された端末のアドレスを登録するアドレステーブルを作成する機能を実現し、更に、端末から送信された通信データに含まれるアドレスがアドレステーブルに登録されていない場合に、当該アドレスを有する端末の認証情報を取得して認証サーバに認証処理を行わせることができるので、端末が自ら認証情報を送信しなく所定の認証プロセスによって端末を認証できない場合であっても、処理負荷の増大等を招くことなく当該端末を認証することができる。   According to the communication control program to which the present invention is applied, the function of creating an address table for registering the address of the terminal authenticated by the authentication server based on the authentication information of the terminal is realized in the computer of the communication apparatus. When the address included in the communication data sent from the server is not registered in the address table, the authentication information of the terminal having the address can be acquired and the authentication server can perform the authentication process. Even when the terminal cannot be authenticated by a predetermined authentication process without transmitting information, the terminal can be authenticated without increasing the processing load.

また、本発明を適用した他の通信制御プログラムによれば、通信装置のコンピュータに、認証サーバによって認証された端末のアドレスを登録するアドレステーブルを作成する機能を実現し、端末から通信データを受信した場合に、当該通信データに含まれるアドレスがアドレステーブルに登録されていない場合には、当該アドレスを有する端末を代理して当該端末の認証情報を自ら生成して認証サーバに認証処理を行わせることができるので、所定の認証プロセスを行うことができない端末であっても、当該端末を認証させることができる。   Further, according to another communication control program to which the present invention is applied, the function of creating an address table for registering the address of the terminal authenticated by the authentication server is realized in the computer of the communication apparatus, and communication data is received from the terminal. If the address included in the communication data is not registered in the address table, the terminal having the address is represented on its behalf and authentication information of the terminal is generated and the authentication server performs the authentication process. Therefore, even a terminal that cannot perform a predetermined authentication process can be authenticated.

以下、本発明の実施の形態について図面を参照して説明する。   Hereinafter, embodiments of the present invention will be described with reference to the drawings.

本発明は、例えば図1に示すような通信システムにおけるLANスイッチ1(通信装置)に適用される。この通信システムは、LANスイッチ1を介して端末3A,3B,3C(以下、総称する場合には単に「端末3」と呼ぶ。)がネットワークNWに通信を行う場合に、LANスイッチ1及びRADIUSサーバ2によって端末3を認証するものである。この通信システムは、例えばIEEE802.1x規格に準拠した認証プロセスを行うものであり、端末3A,3B,3Cが認証クライアント(認証処理対象)となり、LANスイッチ1が認証装置となり、RADIUSサーバ2が認証サーバとなる。   The present invention is applied to, for example, a LAN switch 1 (communication device) in a communication system as shown in FIG. This communication system includes a LAN switch 1 and a RADIUS server when terminals 3A, 3B, and 3C (hereinafter simply referred to as “terminal 3” when collectively referred to) communicate with a network NW via the LAN switch 1. 2 authenticates the terminal 3. This communication system performs an authentication process compliant with, for example, the IEEE 802.1x standard. The terminals 3A, 3B, and 3C are authentication clients (authentication processing targets), the LAN switch 1 is an authentication device, and the RADIUS server 2 is authenticated. Become a server.

LANスイッチ1は、ネットワークNWを介してRADIUSサーバ2と接続されると共に、端末3と接続されている。端末3Aは、LANスイッチ1に直接接続され、端末3Bは、スイッチングハブ4Aを介して間接的にLANスイッチ1に接続され、端末3Cは、スイッチングハブ4Bを介して間接的にLANスイッチ1に接続されている。   The LAN switch 1 is connected to the RADIUS server 2 and the terminal 3 via the network NW. The terminal 3A is directly connected to the LAN switch 1, the terminal 3B is indirectly connected to the LAN switch 1 via the switching hub 4A, and the terminal 3C is indirectly connected to the LAN switch 1 via the switching hub 4B. Has been.

IEEE802.1xに準拠した認証プロセスを行うために、端末3A,3BはIEEE802.1xサプリカントがインストールされ、LANスイッチ1と、RADIUSサーバ2とは、それぞれ、IEEE802.1xに準拠したプログラムがインストールされている。また、端末3Cは、IEEE802.1xサプリカントがインストールされていないものとする。   In order to perform an authentication process compliant with IEEE802.1x, the terminals 3A and 3B are installed with an IEEE802.1x supplicant, and the LAN switch 1 and the RADIUS server 2 are installed with programs compliant with IEEE802.1x, respectively. ing. Also, assume that the terminal 3C does not have an IEEE 802.1x supplicant installed.

このIEEE802.1xに準拠した認証プロセスについて説明する。通常、IEEE802.1xの認証プロセスは、LANスイッチ1に直接的に端末3Aが接続されたことをLANスイッチ1で検知すると、LANスイッチ1から端末3Aに認証情報の返信を要求する認証リクエストパケットを送信することによって開始される。   An authentication process compliant with IEEE 802.1x will be described. Normally, when the IEEE 802.1x authentication process detects that the terminal 3A is directly connected to the LAN switch 1, the LAN switch 1 sends an authentication request packet requesting the terminal 3A to return authentication information. Start by sending.

端末3Aは、LANスイッチ1から認証リクエストパケットを受信すると、当該認証リクエストパケットに応答して、ユーザID、パスワード、電子証明書等の認証情報を含む認証スタートパケットをLANスイッチ1に返信する。LANスイッチ1は、端末3Aから認証情報を取得すると、当該認証情報をRADIUSサーバ2に送信して、RADIUSサーバ2で認証を行わせる。このとき、RADIUSサーバ2は、予め登録されている端末3Aの認証情報と、LANスイッチ1から送信された認証情報とが合致するか否かを判定して、合致する場合には端末3Aの通信を許可する認証結果をLANスイッチ1に返信する。この認証結果によって端末3Aの通信が許可された場合には、LANスイッチ1は、以降において端末3Aから送信されたパケット(通信データ)の中継を行い、認証結果によって端末3Aの通信が許可されなかった場合には、以降において端末3Aから送信されたパケットを破棄する。これによって、LANスイッチ1は、RADIUSサーバ2によってユーザ認証された端末3のみをネットワークNWに対してアクセス可能とする。   Upon receiving the authentication request packet from the LAN switch 1, the terminal 3A returns an authentication start packet including authentication information such as a user ID, a password, and an electronic certificate to the LAN switch 1 in response to the authentication request packet. When acquiring the authentication information from the terminal 3A, the LAN switch 1 transmits the authentication information to the RADIUS server 2 so that the RADIUS server 2 performs authentication. At this time, the RADIUS server 2 determines whether or not the authentication information of the terminal 3A registered in advance matches the authentication information transmitted from the LAN switch 1, and if they match, the communication of the terminal 3A is performed. An authentication result permitting the authentication is sent back to the LAN switch 1. When the communication of the terminal 3A is permitted based on the authentication result, the LAN switch 1 subsequently relays the packet (communication data) transmitted from the terminal 3A, and the communication of the terminal 3A is not permitted based on the authentication result. If the packet is received, the packet transmitted from the terminal 3A is discarded thereafter. As a result, the LAN switch 1 allows only the terminal 3 that has been authenticated by the RADIUS server 2 to access the network NW.

スイッチングハブ4A,4Bは、所謂ノンインテリジェントハブであり、SNMP(Simple Network Management Protocol)エージェントの機能を有しておらず、遠隔からのネットワーク管理に対応していないものである。すなわち、スイッチングハブ4A,4Bは、当該ハブを流れるデータに関する情報をSNMPマネージャに送信したり、SNMPマネージャの要求に従ってデータを制御することができない。したがって、スイッチングハブ4A,4Bは、喩えLANスイッチ1がSNMPマネージャの機能を有していても、自己に接続されている端末3B,3Cの情報をLANスイッチ1に通知することはできない。   The switching hubs 4A and 4B are so-called non-intelligent hubs that do not have SNMP (Simple Network Management Protocol) agent functions and do not support remote network management. That is, the switching hubs 4A and 4B cannot transmit information related to data flowing through the hub to the SNMP manager or control data according to a request from the SNMP manager. Therefore, the switching hubs 4A and 4B cannot notify the LAN switch 1 of the information of the terminals 3B and 3C connected to the switching hubs 4A and 4B, even if the LAN switch 1 has the SNMP manager function.

このようなスイッチングハブ4Aに接続された端末3Bは、IEEE802.1xサプリカントがインストールされていても、既にスイッチングハブ4AがLANスイッチ1に接続された状態で、スイッチングハブ4Aに接続された場合には、LANスイッチ1によって新たな端末3Bが接続されたことが検知されないために、LANスイッチ1から認証リクエストパケットを送信することはできない。   When the terminal 3B connected to the switching hub 4A is connected to the switching hub 4A with the switching hub 4A already connected to the LAN switch 1 even if the IEEE 802.1x supplicant is installed. Since it is not detected by the LAN switch 1 that a new terminal 3B has been connected, the authentication request packet cannot be transmitted from the LAN switch 1.

また、LANスイッチ1には、IEEE802.1xサプリカントがインストールされていない端末3Cが接続された場合には、当該端末3Cに認証リクエストパケットを送信しても、当該端末3Cからは認証情報を含む認証スタートパケットを受信することができない。   In addition, when a terminal 3C in which no IEEE 802.1x supplicant is installed is connected to the LAN switch 1, even if an authentication request packet is transmitted to the terminal 3C, the terminal 3C includes authentication information. An authentication start packet cannot be received.

これに対し、LANスイッチ1は、スイッチングハブ4Aを介して接続された端末3B、及び、IEEE802.1xサプリカントを実装していない端末3Cの認証を行う構成を備えている。   On the other hand, the LAN switch 1 has a configuration for authenticating the terminal 3B connected via the switching hub 4A and the terminal 3C not mounted with the IEEE 802.1x supplicant.

LANスイッチ1は、図2に示すように、通信制御部11と、RADIUSサーバ2によって認証済の端末3のMACアドレスを登録した認証済端末アドレステーブル(第1のアドレステーブル)12と、RADIUSサーバ2によって未認証の端末3のMACアドレスを登録した未認証端末アドレステーブル(第2のアドレステーブル)13とを備える。また、LANスイッチ1は、端末3が直接的又は端末3がスイッチングハブ4を介して間接的に接続されるポート番号が「1」〜「6」の複数のポートP1〜P6と、ネットワークNW側のポート番号が「7」〜「12」の複数のポートP7〜P12とを有する。LANスイッチ1は、認証済端末アドレステーブル12を参照して、端末3で送受信されるパケットがポートP1〜P6とポートP7〜P12との間で通信されることの可否を制御する。   As shown in FIG. 2, the LAN switch 1 includes a communication control unit 11, an authenticated terminal address table (first address table) 12 in which the MAC address of the terminal 3 authenticated by the RADIUS server 2 is registered, and a RADIUS server. 2 and an unauthenticated terminal address table (second address table) 13 in which MAC addresses of unauthenticated terminals 3 are registered. Further, the LAN switch 1 includes a plurality of ports P1 to P6 with port numbers “1” to “6” to which the terminal 3 is directly connected or indirectly connected to the terminal 3 via the switching hub 4, and the network NW side. And a plurality of ports P7 to P12 having port numbers “7” to “12”. The LAN switch 1 refers to the authenticated terminal address table 12 and controls whether packets transmitted and received by the terminal 3 can be communicated between the ports P1 to P6 and the ports P7 to P12.

認証済端末アドレステーブル12は、図3に示すように、RADIUSサーバ2によって認証済であって通信が許可された端末3のMACアドレスと、当該MACアドレスを有する端末3が接続された図2に示すLANスイッチ1のポート番号とを対応付けしている。認証済端末アドレステーブル12は、認証プロセスによって作成され、端末3で送受信されるパケットをLANスイッチ1で受信した場合に、通信制御部11によって参照される。   As shown in FIG. 3, the authenticated terminal address table 12 is shown in FIG. 2 in which the MAC address of the terminal 3 authenticated by the RADIUS server 2 and allowed to communicate with the terminal 3 having the MAC address is connected. The port number of the LAN switch 1 shown in FIG. The authenticated terminal address table 12 is created by an authentication process, and is referred to by the communication control unit 11 when a packet transmitted / received by the terminal 3 is received by the LAN switch 1.

未認証端末アドレステーブル13は、LANスイッチ1及びRADIUSサーバ2によって認証プロセスが未だ行われていない未認証の端末3のMACアドレスと、当該MACアドレスを有する端末3が接続された図2に示すLANスイッチ1のポート番号とを対応付けしている。未認証端末アドレステーブル13は、端末3からのパケット受信時に作成され、予め設定した所定期間ごとに通信制御部11によって参照される。   The unauthenticated terminal address table 13 includes the MAC address of the unauthenticated terminal 3 that has not been authenticated by the LAN switch 1 and the RADIUS server 2 and the LAN 3 shown in FIG. 2 to which the terminal 3 having the MAC address is connected. The port number of the switch 1 is associated. The unauthenticated terminal address table 13 is created when a packet is received from the terminal 3, and is referred to by the communication control unit 11 every predetermined period set in advance.

通信制御部11は、プログラムを記憶したプログラム用メモリ及び当該プログラムを読み込んで実行するCPU(Central Processing Unit)等からなる。通信制御部11が記憶・実行するプログラムは、認証プロセスによって認証済端末アドレステーブル12を作成する認証プログラム21と、端末3で送受信されるパケットを認証済端末アドレステーブル12を参照して中継すると共に未認証端末アドレステーブル13及び端末3の認証情報を作成する中継/テーブル作成プログラム22とからなる。これら認証プログラム21及び中継/テーブル作成プログラム22は、通信制御部11のCPU(コンピュータ)に、端末3をRADIUSサーバ2でユーザ認証させる機能、認証済端末アドレステーブル12と未認証端末アドレステーブル13と認証情報とを作成させる機能、端末3で送受信されるパケットを中継又は破棄する機能を実現させる。   The communication control unit 11 includes a program memory that stores a program and a CPU (Central Processing Unit) that reads and executes the program. A program stored and executed by the communication control unit 11 is an authentication program 21 that creates an authenticated terminal address table 12 through an authentication process, and relays packets transmitted and received by the terminal 3 with reference to the authenticated terminal address table 12. It comprises an unauthenticated terminal address table 13 and a relay / table creation program 22 for creating authentication information of the terminal 3. The authentication program 21 and the relay / table creation program 22 have a function of causing the CPU (computer) of the communication control unit 11 to perform user authentication of the terminal 3 with the RADIUS server 2, an authenticated terminal address table 12 and an unauthenticated terminal address table 13. A function of creating authentication information and a function of relaying or discarding packets transmitted and received by the terminal 3 are realized.

中継/テーブル作成プログラム22は、端末3からパケットを受信した場合に、認証済端末アドレステーブル12を参照して、当該受信したパケットに認証済端末アドレステーブル12に登録されたMACアドレスが含まれている場合には当該パケットの中継を行い、認証済端末アドレステーブル12に登録されたMACアドレスが含まれていない場合には、当該MACアドレスを未認証端末アドレステーブル13に登録する。   When the relay / table creation program 22 receives a packet from the terminal 3, the relay / table creation program 22 refers to the authenticated terminal address table 12, and the received packet includes the MAC address registered in the authenticated terminal address table 12. If the MAC address registered in the authenticated terminal address table 12 is not included, the MAC address is registered in the unauthenticated terminal address table 13.

認証プログラム21は、認証プロセスによってRADIUSサーバ2によって認証された端末3のアドレスを登録する認証済端末アドレステーブル12を作成する。認証プログラム21は、端末3から送信されたパケットに含まれるMACアドレスが認証済端末アドレステーブル12に登録されていない場合に、当該MACアドレスを有する端末3に認証情報を返送する認証リクエストパケットを供給して、端末3の認証情報を取得し、当該認証情報に基づく認証処理をRADIUSサーバ2に行わせ、当該RADIUSサーバ2による認証処理の結果、当該端末3の通信を許可する場合には、当該端末3のアドレスを認証済端末アドレステーブル12に登録する。これにより、LANスイッチ1は、スイッチングハブ4を介して端末3Bが接続されていて、端末3Bが自ら認証情報を送信しない場合であっても、当該端末3Bからパケットを受信した時に、当該パケットに含まれるMACアドレス宛に認証リクエストパケットを送信して、端末3Bから認証スタートパケットに含まれる認証情報を取得することができる。   The authentication program 21 creates an authenticated terminal address table 12 for registering the address of the terminal 3 authenticated by the RADIUS server 2 by the authentication process. The authentication program 21 supplies an authentication request packet for returning authentication information to the terminal 3 having the MAC address when the MAC address included in the packet transmitted from the terminal 3 is not registered in the authenticated terminal address table 12. Then, the authentication information of the terminal 3 is acquired, the authentication process based on the authentication information is performed by the RADIUS server 2, and when the communication of the terminal 3 is permitted as a result of the authentication process by the RADIUS server 2, The address of the terminal 3 is registered in the authenticated terminal address table 12. Thereby, even when the terminal 3B is connected via the switching hub 4 and the terminal 3B does not transmit the authentication information by itself, the LAN switch 1 receives the packet from the terminal 3B. The authentication request packet can be transmitted to the included MAC address, and the authentication information included in the authentication start packet can be acquired from the terminal 3B.

また、認証プログラム21は、端末3から送信されたパケットに未認証端末アドレステーブル13に登録されたMACアドレスが含まれている場合に、当該MACアドレスを有する端末3に認証情報を返送する認証リクエストパケットを供給することによって当該端末3の認証情報を取得して、当該認証情報に基づく認証処理をRADIUSサーバ2に行わせ、当該RADIUSサーバ2による認証処理の結果、当該端末3の通信を許可する場合には、当該端末3のMACアドレスを認証済端末アドレステーブル12に登録すると共に未認証端末アドレステーブル13から削除する。これによって、認証プログラム21は、スイッチングハブ4Aを介して接続された端末3Bに対して認証リクエストパケットを送信することによって当該端末3Bから認証スタートパケットを取得できる。   The authentication program 21 returns an authentication request to the terminal 3 having the MAC address when the MAC address registered in the unauthenticated terminal address table 13 is included in the packet transmitted from the terminal 3. The authentication information of the terminal 3 is acquired by supplying the packet, and the RADIUS server 2 performs authentication processing based on the authentication information. As a result of the authentication processing by the RADIUS server 2, the communication of the terminal 3 is permitted. In this case, the MAC address of the terminal 3 is registered in the authenticated terminal address table 12 and deleted from the unauthenticated terminal address table 13. Thereby, the authentication program 21 can acquire an authentication start packet from the terminal 3B by transmitting an authentication request packet to the terminal 3B connected via the switching hub 4A.

更に、認証プログラム21は、IEEE802.1xサプリカントを実装していない端末3Cから送信されたパケットを受信した場合であって、当該パケットに含まれるMACアドレスが認証済端末アドレステーブル12に登録されていない場合に、中継/テーブル作成プログラム22で生成した認証情報をRADIUSサーバ2に送信する。そして、RADIUSサーバ2による認証処理の結果、当該端末3Cの通信を許可する場合には、当該端末3CのMACアドレスを認証済端末アドレステーブル12に登録する。これにより、LANスイッチ1は、IEEE802.1xサプリカントを実装していない端末3Cが接続されている場合であっても、当該端末3Cから送信されたパケットから端末3Cの認証情報を作成して、端末3Cに代理して認証プロセスを行うことができる。   Further, the authentication program 21 receives a packet transmitted from the terminal 3C not equipped with the IEEE 802.1x supplicant, and the MAC address included in the packet is registered in the authenticated terminal address table 12. If not, the authentication information generated by the relay / table creation program 22 is transmitted to the RADIUS server 2. As a result of the authentication process by the RADIUS server 2, when the communication of the terminal 3C is permitted, the MAC address of the terminal 3C is registered in the authenticated terminal address table 12. As a result, the LAN switch 1 creates the authentication information of the terminal 3C from the packet transmitted from the terminal 3C, even when the terminal 3C not mounting the IEEE 802.1x supplicant is connected. The authentication process can be performed on behalf of the terminal 3C.

更にまた、認証プログラム21は、MACアドレスを含むパケットを解析して、端末3の認証情報を自ら作成する。例えば、端末3Cから取得したパケットを解析した結果としてのMACアドレスやIPアドレスを、端末3Cを特定する情報として取得しておく。   Furthermore, the authentication program 21 analyzes the packet including the MAC address and creates the authentication information of the terminal 3 itself. For example, a MAC address or an IP address as a result of analyzing a packet acquired from the terminal 3C is acquired as information for specifying the terminal 3C.

つぎに、上述したように構成されたLANスイッチ1の通信制御部11によって中継/テーブル作成プログラム22を実行することによって行われる処理について図4を参照して説明する。   Next, processing performed by executing the relay / table creation program 22 by the communication control unit 11 of the LAN switch 1 configured as described above will be described with reference to FIG.

通信制御部11は、先ずステップS1において、端末側のポートP1〜P12からパケットを受信したか否かを判定し、パケットを受信していない場合にはアイドル状態に戻り(ステップS2)、パケットを受信した場合にはステップS3に処理を進める。   First, in step S1, the communication control unit 11 determines whether or not a packet has been received from the ports P1 to P12 on the terminal side. If no packet has been received, the communication control unit 11 returns to the idle state (step S2). If received, the process proceeds to step S3.

ステップS3において通信制御部11は、ステップS1で受信したパケットに含まれるMACアドレスを取り出し、当該MACアドレスが認証済端末アドレステーブル12に登録されたMACアドレスか否かを判定する。そして、通信制御部11は、ステップS1で受信したパケットに含まれるMACアドレスが認証済端末アドレステーブル12に登録されている場合には当該パケットを中継し(ステップS4)、ステップS1で受信したパケットに含まれるMACアドレスが認証済端末アドレステーブル12に登録されていない場合にはステップS5に処理を進める。   In step S <b> 3, the communication control unit 11 extracts the MAC address included in the packet received in step S <b> 1 and determines whether or not the MAC address is a MAC address registered in the authenticated terminal address table 12. When the MAC address included in the packet received in step S1 is registered in the authenticated terminal address table 12, the communication control unit 11 relays the packet (step S4), and the packet received in step S1. If the MAC address included in is not registered in the authenticated terminal address table 12, the process proceeds to step S5.

ステップS5において通信制御部11は、認証済端末アドレステーブル12にMACアドレスが登録されていない端末3からのパケットを破棄する。   In step S5, the communication control unit 11 discards the packet from the terminal 3 whose MAC address is not registered in the authenticated terminal address table 12.

次のステップS6において通信制御部11は、ステップS1で受信したパケットに含まれるMACアドレスを未認証端末アドレステーブル13に登録する。このとき、通信制御部11は、ステップS1でパケットを受信したポート番号と共にMACアドレスを未認証端末アドレステーブル13に登録する。   In next step S <b> 6, the communication control unit 11 registers the MAC address included in the packet received in step S <b> 1 in the unauthenticated terminal address table 13. At this time, the communication control unit 11 registers the MAC address in the unauthenticated terminal address table 13 together with the port number that received the packet in step S1.

このように、LANスイッチ1は、RADIUSサーバ2によって認証されて通信が許可された端末3のMACアドレスを認証済端末アドレステーブル12に登録しておき、当該認証済端末アドレステーブル12に登録されていないMACアドレスを含むパケットを受信した場合に、当該MACアドレスを未認証端末アドレステーブル13に登録する。これにより、図1に示したように、端末3AのようにLANスイッチ1に対して直接的に接続されておらず、端末3Bのようにスイッチングハブ4Aを介して接続されている場合に、認証プロセスによって端末3Bが認証されない場合であっても、スイッチングハブ4Aを介してLANスイッチ1に接続されている端末3BのMACアドレスを未認証端末アドレステーブル13に登録することができる。   As described above, the LAN switch 1 registers the MAC address of the terminal 3 authenticated by the RADIUS server 2 and permitted to communicate in the authenticated terminal address table 12, and is registered in the authenticated terminal address table 12. When a packet including a non-MAC address is received, the MAC address is registered in the unauthenticated terminal address table 13. As a result, as shown in FIG. 1, when the terminal is not directly connected to the LAN switch 1 like the terminal 3A and is connected via the switching hub 4A like the terminal 3B, the authentication is performed. Even if the terminal 3B is not authenticated by the process, the MAC address of the terminal 3B connected to the LAN switch 1 via the switching hub 4A can be registered in the unauthenticated terminal address table 13.

つぎに、LANスイッチ1の通信制御部11により、認証プログラム21を実行することによって行われる認証プロセスについて図5を参照して説明する。なお、この認証プロセスには、(1)LANスイッチ1に対する端末3の切断時の処理、(2)LANスイッチ1に対するIEEE802.1xサプリカントを実装した端末3がスイッチングハブ4を介さずに直接接続された時の認証プロセス、(3)LANスイッチ1に対するIEEE802.1xサプリカントを実装した端末3がスイッチングハブ4を介して接続されているときの認証プロセス、(4)LANスイッチ1に対してIEEE802.1xサプリカントを実装していない端末3を認証する認証プロセスを含んでいる。   Next, an authentication process performed by executing the authentication program 21 by the communication control unit 11 of the LAN switch 1 will be described with reference to FIG. In this authentication process, (1) processing when the terminal 3 is disconnected from the LAN switch 1 and (2) the terminal 3 equipped with the IEEE 802.1x supplicant for the LAN switch 1 is directly connected without the switching hub 4. (3) Authentication process when the terminal 3 equipped with the IEEE 802.1x supplicant for the LAN switch 1 is connected via the switching hub 4, and (4) IEEE 802 for the LAN switch 1. It includes an authentication process for authenticating the terminal 3 that does not implement the 1x supplicant.

通信制御部11は、先ず、ポートP1〜P6に対する端末3の接続の切断を検出した場合(ステップS11)、端末3Aのように直接的にLANスイッチ1に接続されたことを検出した場合(ステップS12)、未認証端末アドレステーブル13にMACアドレスが登録されているか否かを検出する所定時間が経過したことを検出した場合(ステップS13)に、ステップS10のアイドル状態から遷移する。   First, when the communication control unit 11 detects disconnection of the terminal 3 with respect to the ports P1 to P6 (step S11), it detects that it is directly connected to the LAN switch 1 like the terminal 3A (step S11). S12) When it is detected that a predetermined time for detecting whether or not the MAC address is registered in the unauthenticated terminal address table 13 has passed (step S13), the state transits from the idle state of step S10.

ステップS11において端末3の接続の切断を検出した場合、通信制御部11は、ステップS14において、当該切断された端末3のMACアドレス及びポート番号を認証済端末アドレステーブル12から削除して、ステップS10のアイドル状態に戻る。   When the disconnection of the connection of the terminal 3 is detected in step S11, the communication control unit 11 deletes the MAC address and port number of the disconnected terminal 3 from the authenticated terminal address table 12 in step S14. Return to the idle state.

このように、LANスイッチ1は、上記(1)のLANスイッチ1に対する端末3の切断時の処理を行って、切断された端末3が認証済端末アドレステーブル12に登録され続けることを回避する。   As described above, the LAN switch 1 performs the process at the time of disconnection of the terminal 3 with respect to the LAN switch 1 of the above (1), and avoids that the disconnected terminal 3 is continuously registered in the authenticated terminal address table 12.

ステップS12において端末3が直接的にLANスイッチ1のポートP1〜P6の何れかに接続されたことを検出した場合、通信制御部11は、ステップS15において、認証情報の返信を要求する認証リクエストパケットを送信する。そして、通信制御部11は、送信した認証リクエストパケットに対する応答の認証スタートパケットを端末3から受信したか否かを判定し、受信していない場合にはステップS10のアイドル状態に戻り、端末3から認証スタートパケットを受信した場合にはステップS17に処理を進める。   If it is detected in step S12 that the terminal 3 is directly connected to any of the ports P1 to P6 of the LAN switch 1, the communication control unit 11 requests an authentication information reply in step S15. Send. Then, the communication control unit 11 determines whether or not an authentication start packet in response to the transmitted authentication request packet has been received from the terminal 3. If not received, the communication control unit 11 returns to the idle state in step S 10 and returns from the terminal 3. If the authentication start packet is received, the process proceeds to step S17.

ステップS17において通信制御部11は、ステップS16において受信した認証スタートパケットの送信元の端末3のMACアドレスが、当該パケットを受信したポートのポート番号に対応付けられて認証済端末アドレステーブル12に登録されているか否かを判定する。認証済端末アドレステーブル12に登録されている場合には、通信制御部11は、ステップS18において、ステップS16で受信した認証スタートパケットに含まれる認証情報をRADIUSサーバ2に送信する。   In step S17, the communication control unit 11 registers the MAC address of the terminal 3 that is the transmission source of the authentication start packet received in step S16 in the authenticated terminal address table 12 in association with the port number of the port that received the packet. It is determined whether or not it has been done. If registered in the authenticated terminal address table 12, the communication control unit 11 transmits the authentication information included in the authentication start packet received in step S16 to the RADIUS server 2 in step S18.

一方、認証済端末アドレステーブル12に登録されていない場合には、ステップS19に処理を進め、通信制御部11は、ステップS16で認証スタートパケットを受信したポートのポート番号以外のポート番号に対応付けられて、ステップS16で受信した認証スタートパケットの送信元の端末3のMACアドレスが登録されているか否かを判定し、そうである場合には、ステップS20において当該MACアドレスを認証済端末アドレステーブル12から削除し、そうではない場合には、ステップS21において、認証済端末アドレステーブル12に登録されたMACアドレス数が所定数未満か否かを判定する。   On the other hand, if it is not registered in the authenticated terminal address table 12, the process proceeds to step S19, and the communication control unit 11 associates with a port number other than the port number of the port that received the authentication start packet in step S16. Then, it is determined whether or not the MAC address of the terminal 3 that is the transmission source of the authentication start packet received in step S16 is registered. If so, the MAC address is registered in the authenticated terminal address table in step S20. In step S21, it is determined whether or not the number of MAC addresses registered in the authenticated terminal address table 12 is less than a predetermined number.

ステップS21において認証済端末アドレステーブル12に登録されたMACアドレス数が所定数未満であると判定した場合には、ステップS18に処理を進めて認証情報をRADIUSサーバ2に送信し、所定数未満ではない場合にはステップS10のアイドル状態に戻る。   If it is determined in step S21 that the number of MAC addresses registered in the authenticated terminal address table 12 is less than the predetermined number, the process proceeds to step S18 to transmit authentication information to the RADIUS server 2, and if it is less than the predetermined number, If not, the process returns to the idle state in step S10.

ステップS18において端末3から送信された認証情報を送信した後のステップS22において、通信制御部11は、RADIUSサーバ2の認証結果を受信して、RADIUSサーバ2によるユーザ認証によって端末3の通信が許可されたか否かを判定する。端末3の通信が許可されたと判定した場合、通信制御部11は、ステップS23に処理を進め、端末3の通信が許可されていないと判定した場合には、ステップS25に処理を進める。   In step S22 after transmitting the authentication information transmitted from the terminal 3 in step S18, the communication control unit 11 receives the authentication result of the RADIUS server 2, and permits the communication of the terminal 3 by the user authentication by the RADIUS server 2. It is determined whether or not it has been done. When it is determined that the communication of the terminal 3 is permitted, the communication control unit 11 proceeds to step S23, and when it is determined that the communication of the terminal 3 is not permitted, the communication control unit 11 proceeds to step S25.

ステップS23において、通信制御部11は、端末3のMACアドレス及び端末3が接続されているポートのポート番号を認証済端末アドレステーブル12に登録する。次に通信制御部11は、ステップS24において、認証済端末アドレステーブル12に登録したMACアドレスが未認証端末アドレステーブル13に登録されているかを判定して、登録されている場合には未認証端末アドレステーブル13から削除して、ステップS10のアイドル状態に戻る。   In step S <b> 23, the communication control unit 11 registers the MAC address of the terminal 3 and the port number of the port to which the terminal 3 is connected in the authenticated terminal address table 12. Next, in step S24, the communication control unit 11 determines whether or not the MAC address registered in the authenticated terminal address table 12 is registered in the unauthenticated terminal address table 13, and if it is registered, the unauthenticated terminal. It deletes from the address table 13, and returns to the idle state of step S10.

一方、ステップS22において、RADIUSサーバ2によって端末3の通信が許可されなかった場合には、ステップS25において、通信制御部11は、当該端末3のMACアドレスが認証済端末アドレステーブル12に登録されているか否かを判定する。認証済端末アドレステーブル12に登録されている場合、ステップS26において、通信制御部11は、認証済端末アドレステーブル12から当該端末3のMACアドレスを削除して、ステップS10のアイドル状態に戻る。   On the other hand, if communication of the terminal 3 is not permitted by the RADIUS server 2 in step S22, the communication control unit 11 registers the MAC address of the terminal 3 in the authenticated terminal address table 12 in step S25. It is determined whether or not. If registered in the authenticated terminal address table 12, in step S26, the communication control unit 11 deletes the MAC address of the terminal 3 from the authenticated terminal address table 12, and returns to the idle state in step S10.

このように、LANスイッチ1は、ステップS12において、IEEE802.1xに準拠した端末3Aが新たにLANスイッチ1に接続された場合には、認証リクエストパケットを送信することによって端末3からの認証情報を得てRADIUSサーバ2で認証を行わせて、認証済端末アドレステーブル12に登録することができる。   As described above, when a terminal 3A compliant with IEEE802.1x is newly connected to the LAN switch 1 in step S12, the LAN switch 1 transmits the authentication request packet to obtain the authentication information from the terminal 3. Then, authentication can be performed by the RADIUS server 2 and registered in the authenticated terminal address table 12.

通信制御部11は、ステップS13において未認証端末アドレステーブル13にMACアドレスが登録されているか否かを参照する所定時間が経過したことを検出した場合には、ステップS27において、図4に示す処理によって未認証端末アドレステーブル13にMACアドレスが登録されているか否かを判定する。なお、ステップS13で検出する所定時間は、例えば5秒といったように、任意の時間を設定しておくことができる。   If the communication control unit 11 detects in step S13 that a predetermined time has passed for referring to whether or not the MAC address is registered in the unauthenticated terminal address table 13, the process illustrated in FIG. 4 is performed in step S27. To determine whether or not the MAC address is registered in the unauthenticated terminal address table 13. The predetermined time detected in step S13 can be set to an arbitrary time such as 5 seconds, for example.

ステップS27において未認証端末アドレステーブル13にMACアドレスが登録されていると判定した場合には、ステップS28に処理を進め、MACアドレスが登録されていないと判定した場合には再度ステップS10のアイドル状態に戻る。   If it is determined in step S27 that the MAC address is registered in the unauthenticated terminal address table 13, the process proceeds to step S28. If it is determined that the MAC address is not registered, the idle state in step S10 is performed again. Return to.

ステップS28において通信制御部11は、未認証端末アドレステーブル13に登録されているMACアドレスを宛先とした認証リクエストパケットを送信し、ステップS29において通信制御部11は、送信した認証リクエストパケットに対して端末3から認証スタートパケットを受信したか否かを判定する。ここで、未認証端末アドレステーブル13に登録されているMACアドレスを有する端末3がスイッチングハブ4を介して間接接続されている場合には、当該端末3から認証スタートパケットを受信することができ、ステップS17以降に処理を進める。   In step S28, the communication control unit 11 transmits an authentication request packet destined for the MAC address registered in the unauthenticated terminal address table 13, and in step S29, the communication control unit 11 responds to the transmitted authentication request packet. It is determined whether or not an authentication start packet has been received from the terminal 3. Here, when the terminal 3 having the MAC address registered in the unauthenticated terminal address table 13 is indirectly connected via the switching hub 4, the authentication start packet can be received from the terminal 3. The process proceeds after step S17.

このように、LANスイッチ1は、スイッチングハブ4を介して間接接続されている端末3BのMACアドレスを未認証端末アドレステーブル13に登録することによって、当該端末3Bに認証リクエストパケットを送信して端末3Bの認証情報を得て、RADIUSサーバ2でユーザ認証を行わせることができる。   As described above, the LAN switch 1 registers the MAC address of the terminal 3B indirectly connected via the switching hub 4 in the unauthenticated terminal address table 13, thereby transmitting an authentication request packet to the terminal 3B. 3B authentication information can be obtained and user authentication can be performed by the RADIUS server 2.

また、ステップS28において未認証端末アドレステーブル13に登録されている端末3に認証リクエストパケットを送信したにも拘わらず、ステップS29において認証スタートパケットを受信できない場合には、ステップS30において、通信制御部11は、端末3の認証情報を含む要求を、端末3に代理してRADIUSサーバ2に送信して、ステップS22に処理を進める。このとき、通信制御部11は、当該端末3からのパケットに含まれる情報を解析して、端末3の認証情報を自ら作成する。   If the authentication start packet cannot be received in step S29 even though the authentication request packet is transmitted to the terminal 3 registered in the unauthenticated terminal address table 13 in step S28, the communication control unit in step S30. 11 transmits a request including the authentication information of the terminal 3 to the RADIUS server 2 on behalf of the terminal 3, and advances the process to step S22. At this time, the communication control unit 11 analyzes the information included in the packet from the terminal 3 and creates the authentication information of the terminal 3 itself.

また、LANスイッチ1は、認証済端末アドレステーブル12に登録されていないMACアドレスを含むパケットを受信した場合に、当該パケットに含まれる情報から、端末3の認証情報を自ら作成することができる。これにより、端末3CのようにIEEE802.1xサプリカントを実装していない端末3Cに代理してRADIUSサーバ2に送信する認証情報を自ら作成できる。   In addition, when the LAN switch 1 receives a packet including a MAC address that is not registered in the authenticated terminal address table 12, the LAN switch 1 can create the authentication information of the terminal 3 from the information included in the packet. As a result, the authentication information to be transmitted to the RADIUS server 2 on behalf of the terminal 3C not mounted with the IEEE 802.1x supplicant, such as the terminal 3C, can be created by itself.

そして、RADIUSサーバ2は、LANスイッチ1によって作成された認証情報と、予め記憶しておいた認証情報とを用いて認証を行って認証結果をLANスイッチ1に返信する。ここで、RADIUSサーバ2は、LANスイッチ1で作成された認証情報で認証を行うために、予め正当な端末3Cの認証情報(IPアドレス、MACアドレス、その他ユーザを特定する情報、その組み合わせ)を登録しておく必要がある。   Then, the RADIUS server 2 performs authentication using the authentication information created by the LAN switch 1 and the authentication information stored in advance, and returns an authentication result to the LAN switch 1. Here, in order to authenticate with the authentication information created by the LAN switch 1, the RADIUS server 2 uses authentication information (IP address, MAC address, other information specifying the user, and a combination thereof) of the valid terminal 3C in advance. It is necessary to register.

このように、LANスイッチ1は、IEEE802.1xサプリカントを実装していない端末3Cの認証情報を自ら作成し、当該端末3Cから認証スタートパケットを受信していない場合であっても、端末3Cに代理して認証情報をRADIUSサーバ2に送信して、端末3Cのユーザ認証を行わせることができる。   In this way, the LAN switch 1 creates the authentication information of the terminal 3C that does not have the IEEE802.1x supplicant and does not receive the authentication start packet from the terminal 3C. The authentication information can be transmitted to the RADIUS server 2 on behalf of the user, and the user authentication of the terminal 3C can be performed.

以上詳細に説明したように、本発明を適用したLANスイッチ1によれば、IEEE802.1xに準拠した認証プロセスによって端末3を認証できない場合であっても、認証されていない端末3からのパケットを受信する度又は定期的に認証リクエストパケットを送信する必要ないので、処理負荷の増大を招くことがなく、正当なユーザが使用している端末3の認証を行うことができる。また、LANスイッチ1によれば、認証されていない端末3を複数回に亘ってRADIUSサーバ2でユーザ認証をさせることも無いので、RADIUSサーバ2に認証結果のログが大量に蓄積されることを回避できる。   As described above in detail, according to the LAN switch 1 to which the present invention is applied, even if the terminal 3 cannot be authenticated by an authentication process compliant with IEEE802.1x, packets from the unauthenticated terminal 3 are received. Since it is not necessary to transmit an authentication request packet each time it is received or periodically, the terminal 3 used by a legitimate user can be authenticated without increasing the processing load. Further, according to the LAN switch 1, since the terminal 3 which is not authenticated is not authenticated by the RADIUS server 2 for a plurality of times, a large amount of authentication result logs are accumulated in the RADIUS server 2. Can be avoided.

なお、上述の実施の形態は本発明の一例である。このため、本発明は、上述の実施形態に限定されることはなく、この実施の形態以外であっても、本発明に係る技術的思想を逸脱しない範囲であれば、設計等に応じて種々の変更が可能であることは勿論である。   The above-described embodiment is an example of the present invention. For this reason, the present invention is not limited to the above-described embodiment, and various modifications can be made depending on the design and the like as long as the technical idea according to the present invention is not deviated from this embodiment. Of course, it is possible to change.

本発明を適用したLANスイッチを含む通信システムの構成を示すブロック図である。It is a block diagram which shows the structure of the communication system containing the LAN switch to which this invention is applied. 本発明を適用したLANスイッチの機能的な構成を示すブロック図である。It is a block diagram which shows the functional structure of the LAN switch to which this invention is applied. 認証済端末アドレステーブル及び未認証端末アドレステーブルを説明する図である。It is a figure explaining an authenticated terminal address table and an unauthenticated terminal address table. 本発明を適用したLANスイッチによって、端末からパケットを受信した場合の処理手順を示すフローチャートである。It is a flowchart which shows the process sequence at the time of receiving a packet from a terminal by the LAN switch to which this invention is applied. 本発明を適用したLANスイッチによる認証プロセスの処理手順を示すフローチャートである。It is a flowchart which shows the process sequence of the authentication process by the LAN switch to which this invention is applied.

符号の説明Explanation of symbols

1 LANスイッチ(通信装置)
2 RADIUSサーバ(認証サーバ)
3A,3B,3C 端末
4A,4B スイッチングハブ
11 通信制御部
12 認証済端末アドレステーブル(第1のアドレステーブル)
13 未認証端末アドレステーブル(第2のアドレステーブル)
21 認証プログラム
22 中継/テーブル作成プログラム 1 LAN switch (communication device)
2 RADIUS server (authentication server)
3A, 3B, 3C terminal 4A, 4B switching hub 11 communication control unit 12 authenticated terminal address table (first address table)
13 Unauthenticated terminal address table (second address table)
21 Authentication program 22 Relay / table creation program

Claims (4)

一又は複数の認証処理対象となる端末が接続されるとともに当該端末の認証処理を行う認証サーバが接続されたネットワークに接続される通信装置において、
前記端末から送信された通信データに含まれるアドレスを登録するアドレステーブルであって、前記端末の認証情報に基づいて前記認証サーバによって認証された端末のアドレスを登録するアドレステーブルを備え、
前記アドレステーブルは、認証サーバによって認証された端末のアドレスを登録する第1のアドレステーブルと、通信データに含まれるアドレスが前記第1のアドレステーブルに登録されていない場合に、当該アドレスを前記認証サーバによって認証処理がされていない端末のアドレスとして登録する第2のアドレステーブルを有し、
端末から送信された通信データに前記第2のアドレステーブルに登録されたアドレスが含まれている場合に、当該アドレスを有する端末に認証情報を返送するリクエストを供給することによって当該端末の認証情報を取得して、当該認証情報に基づく認証処理を前記認証サーバに行わせ、当該認証サーバによる認証処理の結果、当該端末の通信を許可する場合には、当該端末のアドレスを前記第1のアドレステーブルに登録すると共に前記第2のアドレステーブルから削除する
ことを特徴とする通信装置。 In a communication device connected to a network to which an authentication server for performing authentication processing of the terminal is connected while one or more terminals to be authenticated are connected,
An address table for registering an address included in communication data transmitted from the terminal, comprising an address table for registering an address of a terminal authenticated by the authentication server based on authentication information of the terminal;
The address table includes a first address table for registering an address of a terminal authenticated by an authentication server, and an address included in communication data when the address included in the communication data is not registered in the first address table. A second address table registered as an address of a terminal that has not been authenticated by the server;
When the communication data transmitted from the terminal includes an address registered in the second address table, the authentication information of the terminal is obtained by supplying a request for returning the authentication information to the terminal having the address. When the authentication server performs authentication processing based on the authentication information and permits the communication of the terminal as a result of the authentication processing by the authentication server, the address of the terminal is set to the first address table. And deleting from the second address table . 一又は複数の認証処理対象となる端末が接続されるとともに当該端末の認証処理を行う認証サーバが接続されたネットワークに接続される通信装置において、
前記端末から送信された通信データに含まれるアドレスを登録するアドレステーブルであって、前記端末の認証情報に基づいて前記認証サーバによって認証された端末のアドレスを登録するアドレステーブルを備え、
前記アドレステーブルは、認証サーバによって認証された端末のアドレスを登録する第1のアドレステーブルと、通信データに含まれるアドレスが前記第1のアドレステーブルに登録されていない場合に、当該アドレスを前記認証サーバによって認証処理がされていない端末のアドレスとして登録する第2のアドレステーブルを有し、
端末から送信された通信データに前記第2のアドレステーブルに登録されたアドレスが含まれている場合に、当該アドレスを有する端末を代理して当該端末の認証情報を自ら生成し、この認証情報を前記認証サーバに供給して認証処理を行わせ、当該認証サーバによる認証処理の結果、当該端末の通信を許可する場合には、当該端末のアドレスを前記第1のアドレステーブルに登録すると共に前記第2のアドレステーブルから削除する
ことを特徴とする通信装置。 In a communication device connected to a network to which an authentication server for performing authentication processing of the terminal is connected while one or more terminals to be authenticated are connected,
An address table for registering an address included in communication data transmitted from the terminal, comprising an address table for registering an address of a terminal authenticated by the authentication server based on authentication information of the terminal;
The address table includes a first address table for registering an address of a terminal authenticated by an authentication server, and an address included in communication data when the address included in the communication data is not registered in the first address table. A second address table registered as an address of a terminal that has not been authenticated by the server;
When the communication data transmitted from the terminal includes the address registered in the second address table, the terminal generates the authentication information for the terminal on behalf of the terminal having the address. When the authentication process is performed by supplying to the authentication server and the communication of the terminal is permitted as a result of the authentication process by the authentication server, the address of the terminal is registered in the first address table and the first address table is registered. 2. A communication apparatus that is deleted from the address table of No. 2 . 一又は複数の認証処理対象となる端末が接続されるとともに当該端末の認証処理を行う認証サーバが接続されたネットワークに接続される通信装置のコンピュータに記憶される通信制御プログラムであって、
前記端末から送信された通信データに含まれるアドレスを登録するアドレステーブルであって、前記端末の認証情報に基づいて前記認証サーバによって認証された端末のアドレスを登録するアドレステーブルであって、前記認証サーバによって認証された端末のアドレスを登録する第1のアドレステーブルと、通信データに含まれるアドレスが前記第1のアドレステーブルに登録されていない場合に、当該アドレスを前記認証サーバによって認証処理がされていない端末のアドレスとして登録する第2のアドレステーブルを有する前記アドレステーブルを作成する機能と、
端末から送信された通信データに前記第2のアドレステーブルに登録されたアドレスが含まれている場合に、当該アドレスを有する端末に認証情報を返送するリクエストを供給することによって当該端末の認証情報を取得して、当該認証情報に基づく認証処理を前記認証サーバに行わせ、当該認証サーバによる認証処理の結果、当該端末の通信を許可する場合には、当該端末のアドレスを前記第1のアドレステーブルに登録すると共に前記第2のアドレステーブルから削除する機能と
を前記通信装置のコンピュータに実現させることを特徴とする通信制御プログラム。 A communication control program stored in a computer of a communication device connected to a network to which an authentication server for performing authentication processing of the terminal is connected and one or a plurality of authentication processing target terminals are connected,
An address table for registering an address included in communication data transmitted from the terminal, the address table for registering an address of a terminal authenticated by the authentication server based on authentication information of the terminal , wherein the authentication The first address table for registering the address of the terminal authenticated by the server and when the address included in the communication data is not registered in the first address table, the address is subjected to authentication processing by the authentication server. A function of creating the address table having a second address table registered as an address of a non-terminal ,
When the communication data transmitted from the terminal includes an address registered in the second address table, the authentication information of the terminal is obtained by supplying a request for returning the authentication information to the terminal having the address. When the authentication server performs authentication processing based on the authentication information and permits the communication of the terminal as a result of the authentication processing by the authentication server, the address of the terminal is set to the first address table. A communication control program for causing a computer of the communication device to realize a function of registering in the second address table and deleting from the second address table . 一又は複数の認証処理対象となる端末が接続されるとともに当該端末の認証処理を行う認証サーバが接続されたネットワークに接続される通信装置のコンピュータに記憶される通信制御プログラムであって、
前記端末から送信された通信データに含まれるアドレスを登録するアドレステーブルであって、前記端末の認証情報に基づいて前記認証サーバによって認証された端末のアドレスを登録するアドレステーブルであって、前記認証サーバによって認証された端末のアドレスを登録する第1のアドレステーブルと、通信データに含まれるアドレスが前記第1のアドレステーブルに登録されていない場合に、当該アドレスを前記認証サーバによって認証処理がされていない端末のアドレスとして登録する第2のアドレステーブルを有する前記アドレステーブルを作成する機能と、
端末から送信された通信データに前記第2のアドレステーブルに登録されたアドレスが含まれている場合に、当該アドレスを有する端末を代理して当該端末の認証情報を自ら生成し、この認証情報を前記認証サーバに供給して認証処理を行わせ、当該認証サーバによる認証処理の結果、当該端末の通信を許可する場合には、当該端末のアドレスを前記第1のアドレステーブルに登録すると共に前記第2のアドレステーブルから削除する機能と
を前記通信装置のコンピュータに実現させることを特徴とする通信制御プログラム。 A communication control program stored in a computer of a communication device connected to a network to which an authentication server for performing authentication processing of the terminal is connected and one or a plurality of authentication processing target terminals are connected,
An address table for registering an address included in communication data transmitted from the terminal, the address table for registering an address of a terminal authenticated by the authentication server based on authentication information of the terminal , wherein the authentication The first address table for registering the address of the terminal authenticated by the server and when the address included in the communication data is not registered in the first address table, the address is subjected to authentication processing by the authentication server. A function of creating the address table having a second address table registered as an address of a non-terminal ,
When the communication data transmitted from the terminal includes the address registered in the second address table, the terminal generates the authentication information for the terminal on behalf of the terminal having the address. When the authentication process is performed by supplying to the authentication server and the communication of the terminal is permitted as a result of the authentication process by the authentication server, the address of the terminal is registered in the first address table and the first address table is registered. A communication control program for causing a computer of the communication device to realize the function of deleting from the address table of 2 .
JP2006209084A 2006-07-31 2006-07-31 Communication device and communication control program Active JP4881672B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2006209084A JP4881672B2 (en) 2006-07-31 2006-07-31 Communication device and communication control program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2006209084A JP4881672B2 (en) 2006-07-31 2006-07-31 Communication device and communication control program

Publications (2)

Publication Number Publication Date
JP2008033831A JP2008033831A (en) 2008-02-14
JP4881672B2 true JP4881672B2 (en) 2012-02-22

Family

ID=39123141

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006209084A Active JP4881672B2 (en) 2006-07-31 2006-07-31 Communication device and communication control program

Country Status (1)

Country Link
JP (1) JP4881672B2 (en)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009245301A (en) * 2008-03-31 2009-10-22 Nec Corp Session management-control device, method, and program
JP5011574B2 (en) * 2008-07-03 2012-08-29 Necインフロンティア株式会社 Information processing apparatus, usage restriction method, and program
JP5269641B2 (en) * 2009-02-23 2013-08-21 富士通テレコムネットワークス株式会社 User authentication system and user authentication method
JP5712262B2 (en) * 2013-09-17 2015-05-07 アラクサラネットワークス株式会社 Communication device

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002314549A (en) * 2001-04-18 2002-10-25 Nec Corp User authentication system and user authentication method used for the same
JP2005011245A (en) * 2003-06-20 2005-01-13 Furukawa Electric Co Ltd:The Recipient authentication method, inter-network connection device therefor and recipient authentication system

Also Published As

Publication number Publication date
JP2008033831A (en) 2008-02-14

Similar Documents

Publication Publication Date Title
JP5364671B2 (en) Terminal connection status management in network authentication
JP4347335B2 (en) Network relay program, network relay device, communication system, and network relay method
US8646033B2 (en) Packet relay apparatus
JP5143125B2 (en) Authentication method, system and apparatus for inter-domain information communication
US7849499B2 (en) Enterprise wireless local area network (LAN) guest access
US20080184354A1 (en) Single sign-on system, information terminal device, single sign-on server, single sign-on utilization method, storage medium, and data signal
US20060129677A1 (en) Communication device and setting method therefor
JP5239341B2 (en) Gateway, relay method and program
JP2007005847A (en) Data transmission control in network
JP2002314549A (en) User authentication system and user authentication method used for the same
JP5143199B2 (en) Network relay device
US11302451B2 (en) Internet of things connectivity device and method
JP2004201046A (en) Access authentication technology for radio network
JP2006203300A (en) Transfer apparatus, accessibility determining method and program
CN113824685B (en) Mobile terminal directional flow agent system and method based on Android VpnService
JP5143198B2 (en) Network relay device
KR100667284B1 (en) Authentication Method in Network System and System Thereof
JP4881672B2 (en) Communication device and communication control program
JP2005099980A (en) Service provision method, service provision program, host device, and service provision device
JP2006074451A (en) IPv6/IPv4 TUNNELING METHOD
WO2015100874A1 (en) Home gateway access management method and system
JP2015050496A (en) Communication system and authentication switch
KR20170038568A (en) SDN Controller and Method for Identifying Switch thereof
JP2004078280A (en) Remote access mediation system and method
US8607058B2 (en) Port access control in a shared link environment

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20090421

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20110810

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20110816

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20111017

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20111115

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20111205

R150 Certificate of patent or registration of utility model

Ref document number: 4881672

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20141209

Year of fee payment: 3

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250