JP4881672B2 - Communication device and communication control program - Google Patents
Communication device and communication control program Download PDFInfo
- Publication number
- JP4881672B2 JP4881672B2 JP2006209084A JP2006209084A JP4881672B2 JP 4881672 B2 JP4881672 B2 JP 4881672B2 JP 2006209084 A JP2006209084 A JP 2006209084A JP 2006209084 A JP2006209084 A JP 2006209084A JP 4881672 B2 JP4881672 B2 JP 4881672B2
- Authority
- JP
- Japan
- Prior art keywords
- terminal
- address
- authentication
- address table
- authenticated
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Description
本発明は、ネットワーク接続時に端末にユーザ認証を行い、認証サーバによって認証された端末によって送受信される通信データを中継する通信装置及び通信制御プログラムに関する。 The present invention relates to a communication apparatus and a communication control program for performing user authentication on a terminal when connected to a network and relaying communication data transmitted and received by a terminal authenticated by an authentication server.
従来より、正当な権限を有するユーザのみがネットワークにアクセスすることを管理する技術としては、下記の特許文献1や特許文献2に記載された技術が知られている。
Conventionally, techniques described in
下記の特許文献1には、PHS(Personal Handyphone System)通信システムにおけるPHS子機をPHS親機で管理するために、PHS子機の発信時に、PHS子機からPHS親機にIDを送信して、当該PHS親機によってIDが、事前に登録されているIDであるか否かを認証することが記載されている。
In
また、下記の特許文献2には、無線接続制御装置に無線端末のMAC(Media Access Control)アドレスを登録しておき、無線端末からパケットを無線接続制御装置で受信すると、受信したパケットに含まれるMACアドレスと予め登録されたMACアドレスとを比較して、接続の可否を判断することが記載されている。
Also, in
更に、近年においては、認証サーバで端末をユーザ認証させるためのIEEE(The Institute of Electrical and Electronics Engineers)802.1xサプリカント(認証クライアントソフトウェア)を汎用のOS(Operation System)に付属させ、当該IEEE802.1xサプリカントと、同じくIEEE802.1xに対応したLAN(Local Area Network)スイッチ等のアクセスポイント(認証装置)と、RADIUS(Remote Authentication Dial-In-User-Service)サーバ等の認証サーバとによって、端末のユーザ認証ができるようになっている。 Further, in recent years, an IEEE (The Institute of Electrical and Electronics Engineers) 802.1x supplicant (authentication client software) for authenticating a user with a authentication server is attached to a general-purpose OS (Operation System), and the IEEE 802 A 1x supplicant, an access point (authentication device) such as a LAN (Local Area Network) switch that also supports IEEE 802.1x, and an authentication server such as a RADIUS (Remote Authentication Dial-In-User-Service) server, User authentication of the terminal can be performed.
具体的には、IEEE802.1xに準拠したLANスイッチに端末が接続された場合に、LANスイッチから端末に認証情報の返信を要求するリクエストパケットを送信し、当該端末のIEEE802.1xサプリカントからLANスイッチに認証情報を送信して、当該認証情報をLANスイッチからRADIUSサーバに送信する。そして、RADIUSサーバによって、認証が許可された場合にはLANスイッチを介した端末の通信を許可し、認証が失敗した場合にはLANスイッチを介した端末の通信を禁止している。このように、IEEE802.1xサプリカントとLANスイッチとRADIUSサーバとによる認証プロセスは、LANスイッチによって端末が接続されたことを検知した場合に、LANスイッチがリクエストパケットを送信することによって開始されていた。
しかしながら、上述の認証プロセスにおいて、IEEE802.1xサプリカントは、自ら認証スタートパケットを送信しないために、LANスイッチの配下にハブやスイッチ等の中継装置を介して端末が接続された場合には、LANスイッチによる認証プロセスが開始されない。 However, in the above-described authentication process, the IEEE 802.1x supplicant does not transmit an authentication start packet by itself, so when a terminal is connected via a relay device such as a hub or switch under the LAN switch, The authentication process by the switch does not start.
これに対し、LANスイッチを、定期的にIEEE802.1xに準拠したリクエストパケットをマルチキャストで送信するように構成したり、端末からのIPパケットをLANスイッチで受信する度に、当該IPパケットに含まれるMACアドレスを宛先としてIEEE802.1xのリクエストパケットを送信していた。 On the other hand, every time a LAN switch is configured to periodically send a request packet conforming to IEEE802.1x by multicast or an IP packet from a terminal is received by the LAN switch, it is included in the IP packet. An IEEE802.1x request packet was transmitted with the MAC address as the destination.
しかしながら、定期的にリクエストパケットを送信するようにLANスイッチを構成した場合には、リクエストパケットの送信間隔を長くすると、端末がリクエストパケットを受信するまでの待ち時間がながくなって、端末がLANスイッチに接続されたにも拘わらずRADIUSサーバによる認証が行われないという問題がある。また、マルチキャストするリクエストパケットの送信間隔を短くすると、一度認証された端末に対してもリクエストパケットを送信してしまうことによって常に認証プロセスを行い続けるために、LANスイッチにおけるCPUの処理負荷が大きく、且つRADIUSサーバへも大量の認証結果ログが蓄積されてしまう問題がある。 However, when the LAN switch is configured to periodically transmit request packets, if the request packet transmission interval is lengthened, there is no waiting time until the terminal receives the request packet, and the terminal However, there is a problem that authentication by the RADIUS server is not performed despite being connected to. In addition, if the transmission interval of request packets to be multicast is shortened, the processing load of the CPU in the LAN switch is large in order to always perform the authentication process by transmitting the request packet even to a terminal once authenticated, In addition, there is a problem that a large amount of authentication result logs are accumulated in the RADIUS server.
また、端末からIPパケットを受信する度にLANスイッチからリクエストパケットを送信する場合には、端末の通信が発生する度に認証プロセスを行い続けるために、LANスイッチの処理負荷の増大する問題、RADIUSサーバへ大量の認証結果ログが蓄積される問題があった。 In addition, when a request packet is transmitted from the LAN switch every time an IP packet is received from the terminal, the authentication process continues to be performed every time the terminal communication occurs, which increases the processing load of the LAN switch. There was a problem that a large amount of authentication result logs were accumulated on the server.
そこで、本発明は、上述した実情に鑑みて提案されたものであり、所定の認証プロセスによって端末を認証できない場合であっても、処理負荷の増大等を招くことなく当該端末を認証することができる通信装置及び通信制御プログラムを提供することを目的とする。 Therefore, the present invention has been proposed in view of the above-described circumstances, and even when a terminal cannot be authenticated by a predetermined authentication process, the terminal can be authenticated without causing an increase in processing load or the like. An object of the present invention is to provide a communication device and a communication control program.
本発明は、一又は複数の認証処理対象となる端末が接続されるとともに当該端末の認証処理を行う認証サーバが接続されたネットワークに接続される通信装置において、前記端末から送信された通信データに含まれるアドレスを登録するアドレステーブルであって、前記端末の認証情報に基づいて前記認証サーバによって認証された端末のアドレスを登録するアドレステーブルを備え、前記アドレステーブルは、認証サーバによって認証された端末のアドレスを登録する第1のアドレステーブルと、通信データに含まれるアドレスが前記第1のアドレステーブルに登録されていない場合に、当該アドレスを前記認証サーバによって認証処理がされていない端末のアドレスとして登録する第2のアドレステーブルを有し、端末から送信された通信データに前記第2のアドレステーブルに登録されたアドレスが含まれている場合に、当該アドレスを有する端末に認証情報を返送するリクエストを供給することによって当該端末の認証情報を取得して、当該認証情報に基づく認証処理を前記認証サーバに行わせ、当該認証サーバによる認証処理の結果、当該端末の通信を許可する場合には、当該端末のアドレスを前記第1のアドレステーブルに登録すると共に前記第2のアドレステーブルから削除する。 The present invention relates to communication data transmitted from a terminal in a communication device connected to a network to which one or a plurality of authentication target terminals are connected and an authentication server that performs authentication processing of the terminals is connected. An address table for registering addresses contained therein, comprising an address table for registering addresses of terminals authenticated by the authentication server based on authentication information of the terminals, wherein the address table is a terminal authenticated by an authentication server If the address included in the communication data is not registered in the first address table and the address included in the first address table is the address of the terminal that has not been authenticated by the authentication server It has a second address table to be registered and the communication sent from the terminal When the data includes an address registered in the second address table, the authentication information of the terminal is obtained by supplying a request for returning the authentication information to the terminal having the address, and the authentication When the authentication server is caused to perform authentication processing based on information, and as a result of the authentication processing by the authentication server, communication of the terminal is permitted, the address of the terminal is registered in the first address table and the first address table is registered. 2 is deleted from the address table .
更に、本発明を適用した他の通信装置は、一又は複数の認証処理対象となる端末が接続されるとともに当該端末の認証処理を行う認証サーバが接続されたネットワークに接続される通信装置において、前記端末から送信された通信データに含まれるアドレスを登録するアドレステーブルであって、前記端末の認証情報に基づいて前記認証サーバによって認証された端末のアドレスを登録するアドレステーブルを備え、前記アドレステーブルは、認証サーバによって認証された端末のアドレスを登録する第1のアドレステーブルと、通信データに含まれるアドレスが前記第1のアドレステーブルに登録されていない場合に、当該アドレスを前記認証サーバによって認証処理がされていない端末のアドレスとして登録する第2のアドレステーブルを有し、端末から送信された通信データに前記第2のアドレステーブルに登録されたアドレスが含まれている場合に、当該アドレスを有する端末を代理して当該端末の認証情報を自ら生成し、この認証情報を前記認証サーバに供給して認証処理を行わせ、当該認証サーバによる認証処理の結果、当該端末の通信を許可する場合には、当該端末のアドレスを前記第1のアドレステーブルに登録すると共に前記第2のアドレステーブルから削除する。 Furthermore, another communication device to which the present invention is applied is a communication device connected to a network to which one or a plurality of terminals to be authenticated is connected and to which an authentication server that performs authentication processing of the terminal is connected. an address table for registering address included in the communication data transmitted from the terminal, an address table for registering addresses of the terminals that have been authenticated by the authentication server based on the authentication information of the terminal, the address table The first address table for registering the address of the terminal authenticated by the authentication server, and when the address included in the communication data is not registered in the first address table, the address is authenticated by the authentication server. Second address table registered as an address of a terminal that has not been processed And when the communication data transmitted from the terminal includes an address registered in the second address table, the authentication information of the terminal is generated on behalf of the terminal having the address, When authentication information is supplied to the authentication server to perform authentication processing and, as a result of the authentication processing by the authentication server, communication of the terminal is permitted, the address of the terminal is registered in the first address table. At the same time, it is deleted from the second address table .
本発明を適用した通信制御プログラムは、一又は複数の認証処理対象となる端末が接続されるとともに当該端末の認証処理を行う認証サーバが接続されたネットワークに接続される通信装置のコンピュータに記憶される通信制御プログラムであって、前記端末から送信された通信データに含まれるアドレスを登録するアドレステーブルであって、前記端末の認証情報に基づいて前記認証サーバによって認証された端末のアドレスを登録するアドレステーブルであって、前記認証サーバによって認証された端末のアドレスを登録する第1のアドレステーブルと、通信データに含まれるアドレスが前記第1のアドレステーブルに登録されていない場合に、当該アドレスを前記認証サーバによって認証処理がされていない端末のアドレスとして登録する第2のアドレステーブルを有する前記アドレステーブルを作成する機能と、端末から送信された通信データに前記第2のアドレステーブルに登録されたアドレスが含まれている場合に、当該アドレスを有する端末に認証情報を返送するリクエストを供給することによって当該端末の認証情報を取得して、当該認証情報に基づく認証処理を前記認証サーバに行わせ、当該認証サーバによる認証処理の結果、当該端末の通信を許可する場合には、当該端末のアドレスを前記第1のアドレステーブルに登録すると共に前記第2のアドレステーブルから削除する機能とを前記通信装置のコンピュータに実現させる。 A communication control program to which the present invention is applied is stored in a computer of a communication device connected to a network to which one or a plurality of authentication target terminals are connected and an authentication server that performs authentication processing of the terminals is connected. A communication control program for registering an address included in communication data transmitted from the terminal, wherein the address of the terminal authenticated by the authentication server is registered based on authentication information of the terminal A first address table for registering an address of a terminal authenticated by the authentication server, and an address included in communication data when the address included in the communication data is not registered in the first address table. Registered as the address of a terminal that has not been authenticated by the authentication server A function of generating the address table having a second address table that, if it contains the transmitted address registered in the second address table in the communication data from the terminal, the terminal having the address The authentication information of the terminal is acquired by supplying a request for returning authentication information, and the authentication server is caused to perform authentication processing based on the authentication information. As a result of the authentication processing by the authentication server, communication of the terminal is performed. In the case of permitting, the function of registering the address of the terminal in the first address table and deleting it from the second address table is realized in the computer of the communication apparatus.
また、本発明を適用した他の通信制御プログラムは、一又は複数の認証処理対象となる端末が接続されるとともに当該端末の認証処理を行う認証サーバが接続されたネットワークに接続される通信装置のコンピュータに記憶される通信制御プログラムであって、前記端末から送信された通信データに含まれるアドレスを登録するアドレステーブルであって、前記端末の認証情報に基づいて前記認証サーバによって認証された端末のアドレスを登録するアドレステーブルであって、前記認証サーバによって認証された端末のアドレスを登録する第1のアドレステーブルと、通信データに含まれるアドレスが前記第1のアドレステーブルに登録されていない場合に、当該アドレスを前記認証サーバによって認証処理がされていない端末のアドレスとして登録する第2のアドレステーブルを有する前記アドレステーブルを作成する機能と、端末から送信された通信データに前記第2のアドレステーブルに登録されたアドレスが含まれている場合に、当該アドレスを有する端末を代理して当該端末の認証情報を自ら生成し、この認証情報を前記認証サーバに供給して認証処理を行わせ、当該認証サーバによる認証処理の結果、当該端末の通信を許可する場合には、当該端末のアドレスを前記第1のアドレステーブルに登録すると共に前記第2のアドレステーブルから削除する機能とを前記通信装置のコンピュータに実現させる。
In addition, another communication control program to which the present invention is applied is a communication apparatus connected to a network to which an authentication server for performing authentication processing of the terminal is connected as well as one or a plurality of authentication processing target terminals. A communication control program stored in a computer, an address table for registering addresses included in communication data transmitted from the terminal, the terminal being authenticated by the authentication server based on authentication information of the terminal An address table for registering an address , the first address table for registering the address of the terminal authenticated by the authentication server, and the address included in the communication data is not registered in the first address table , The address of the terminal that has not been authenticated by the authentication server And the ability to create the address table having a second address table for registering, if it contains the transmitted address registered in the second address table in the communication data from the terminal, the address When generating authentication information of the terminal itself on behalf of the terminal having it, supplying the authentication information to the authentication server to perform authentication processing, and permitting communication of the terminal as a result of the authentication processing by the authentication server The function of registering the address of the terminal in the first address table and deleting it from the second address table is realized in the computer of the communication device.
本発明に係る通信装置によれば、端末の認証情報に基づいて認証サーバによって認証された端末のアドレスを登録するアドレステーブルを備え、端末から受信した通信データに含まれるアドレスがアドレステーブルに登録されていない場合に、当該アドレスを有する端末から認証情報を取得し、当該認証情報に基づく認証処理を認証サーバに行わせることができるので、端末が自ら認証情報を送信しなく所定の認証プロセスによって端末を認証できない場合であっても、処理負荷の増大等を招くことなく当該端末を認証することができる。 The communication device according to the present invention includes an address table for registering the address of the terminal authenticated by the authentication server based on the authentication information of the terminal, and the address included in the communication data received from the terminal is registered in the address table. If the authentication information is acquired from the terminal having the address and the authentication server is allowed to perform authentication processing based on the authentication information, the terminal does not transmit the authentication information by itself and the terminal performs a predetermined authentication process. Even if the authentication cannot be performed, the terminal can be authenticated without increasing the processing load.
また、この通信装置によれば、認証サーバによって認証された端末のアドレスを登録する第1のアドレステーブルと、認証サーバによって認証処理がされていない端末のアドレスを登録する第2のアドレステーブルを備え、端末から送信された通信データに第2のアドレステーブルに登録されたアドレスが含まれている場合に、当該アドレスを有する端末の認証情報を取得し、当該認証情報に基づく認証処理を認証サーバに行わせることができるので、端末が自ら認証情報を送信しなく所定の認証プロセスによって端末を認証できない場合であっても、処理負荷の増大等を招くことなく当該端末を認証することができる。 In addition, according to this communication apparatus, the first address table for registering the address of the terminal authenticated by the authentication server and the second address table for registering the address of the terminal that has not been authenticated by the authentication server are provided. When the communication data transmitted from the terminal includes the address registered in the second address table, the authentication information of the terminal having the address is acquired, and the authentication process based on the authentication information is performed on the authentication server. Therefore, even if the terminal does not transmit authentication information by itself and cannot authenticate the terminal by a predetermined authentication process, the terminal can be authenticated without causing an increase in processing load.
更に、本発明を適用した他の通信装置によれば、認証サーバによって認証された端末のアドレスを登録するアドレステーブルを備え、端末から通信データを受信した場合に、当該通信データに含まれるアドレスがアドレステーブルに登録されていない場合には、当該アドレスを有する端末を代理して当該端末の認証情報を自ら生成して認証サーバに認証処理を行わせることができるので、所定の認証プロセスを行うことができない端末であっても、当該端末を認証させることができる。 Furthermore, according to another communication apparatus to which the present invention is applied, an address table for registering the address of the terminal authenticated by the authentication server is provided, and when communication data is received from the terminal, the address included in the communication data is If it is not registered in the address table, it can generate authentication information of the terminal itself on behalf of the terminal having the address and cause the authentication server to perform the authentication process. Even a terminal that cannot be authenticated can be authenticated.
また、この通信装置によれば、認証サーバによって認証された端末のアドレスを登録する第1のアドレステーブルと、認証サーバによって認証処理がされていない端末のアドレスを登録する第2のアドレステーブルを備え、端末から送信された通信データに第2のアドレステーブルに登録されたアドレスが含まれている場合に、当該アドレスを有する端末を代理して当該端末の認証情報を自ら生成するので、所定の認証プロセスを行うことができない端末であっても、当該端末を認証させることができる。 In addition, according to this communication apparatus, the first address table for registering the address of the terminal authenticated by the authentication server and the second address table for registering the address of the terminal that has not been authenticated by the authentication server are provided. When the communication data transmitted from the terminal includes an address registered in the second address table, the terminal generates the authentication information for the terminal on behalf of the terminal having the address. Even a terminal that cannot perform a process can be authenticated.
本発明を適用した通信制御プログラムによれば、通信装置のコンピュータに、端末の認証情報に基づいて認証サーバによって認証された端末のアドレスを登録するアドレステーブルを作成する機能を実現し、更に、端末から送信された通信データに含まれるアドレスがアドレステーブルに登録されていない場合に、当該アドレスを有する端末の認証情報を取得して認証サーバに認証処理を行わせることができるので、端末が自ら認証情報を送信しなく所定の認証プロセスによって端末を認証できない場合であっても、処理負荷の増大等を招くことなく当該端末を認証することができる。 According to the communication control program to which the present invention is applied, the function of creating an address table for registering the address of the terminal authenticated by the authentication server based on the authentication information of the terminal is realized in the computer of the communication apparatus. When the address included in the communication data sent from the server is not registered in the address table, the authentication information of the terminal having the address can be acquired and the authentication server can perform the authentication process. Even when the terminal cannot be authenticated by a predetermined authentication process without transmitting information, the terminal can be authenticated without increasing the processing load.
また、本発明を適用した他の通信制御プログラムによれば、通信装置のコンピュータに、認証サーバによって認証された端末のアドレスを登録するアドレステーブルを作成する機能を実現し、端末から通信データを受信した場合に、当該通信データに含まれるアドレスがアドレステーブルに登録されていない場合には、当該アドレスを有する端末を代理して当該端末の認証情報を自ら生成して認証サーバに認証処理を行わせることができるので、所定の認証プロセスを行うことができない端末であっても、当該端末を認証させることができる。 Further, according to another communication control program to which the present invention is applied, the function of creating an address table for registering the address of the terminal authenticated by the authentication server is realized in the computer of the communication apparatus, and communication data is received from the terminal. If the address included in the communication data is not registered in the address table, the terminal having the address is represented on its behalf and authentication information of the terminal is generated and the authentication server performs the authentication process. Therefore, even a terminal that cannot perform a predetermined authentication process can be authenticated.
以下、本発明の実施の形態について図面を参照して説明する。 Hereinafter, embodiments of the present invention will be described with reference to the drawings.
本発明は、例えば図1に示すような通信システムにおけるLANスイッチ1(通信装置)に適用される。この通信システムは、LANスイッチ1を介して端末3A,3B,3C(以下、総称する場合には単に「端末3」と呼ぶ。)がネットワークNWに通信を行う場合に、LANスイッチ1及びRADIUSサーバ2によって端末3を認証するものである。この通信システムは、例えばIEEE802.1x規格に準拠した認証プロセスを行うものであり、端末3A,3B,3Cが認証クライアント(認証処理対象)となり、LANスイッチ1が認証装置となり、RADIUSサーバ2が認証サーバとなる。
The present invention is applied to, for example, a LAN switch 1 (communication device) in a communication system as shown in FIG. This communication system includes a
LANスイッチ1は、ネットワークNWを介してRADIUSサーバ2と接続されると共に、端末3と接続されている。端末3Aは、LANスイッチ1に直接接続され、端末3Bは、スイッチングハブ4Aを介して間接的にLANスイッチ1に接続され、端末3Cは、スイッチングハブ4Bを介して間接的にLANスイッチ1に接続されている。
The
IEEE802.1xに準拠した認証プロセスを行うために、端末3A,3BはIEEE802.1xサプリカントがインストールされ、LANスイッチ1と、RADIUSサーバ2とは、それぞれ、IEEE802.1xに準拠したプログラムがインストールされている。また、端末3Cは、IEEE802.1xサプリカントがインストールされていないものとする。
In order to perform an authentication process compliant with IEEE802.1x, the
このIEEE802.1xに準拠した認証プロセスについて説明する。通常、IEEE802.1xの認証プロセスは、LANスイッチ1に直接的に端末3Aが接続されたことをLANスイッチ1で検知すると、LANスイッチ1から端末3Aに認証情報の返信を要求する認証リクエストパケットを送信することによって開始される。
An authentication process compliant with IEEE 802.1x will be described. Normally, when the IEEE 802.1x authentication process detects that the terminal 3A is directly connected to the
端末3Aは、LANスイッチ1から認証リクエストパケットを受信すると、当該認証リクエストパケットに応答して、ユーザID、パスワード、電子証明書等の認証情報を含む認証スタートパケットをLANスイッチ1に返信する。LANスイッチ1は、端末3Aから認証情報を取得すると、当該認証情報をRADIUSサーバ2に送信して、RADIUSサーバ2で認証を行わせる。このとき、RADIUSサーバ2は、予め登録されている端末3Aの認証情報と、LANスイッチ1から送信された認証情報とが合致するか否かを判定して、合致する場合には端末3Aの通信を許可する認証結果をLANスイッチ1に返信する。この認証結果によって端末3Aの通信が許可された場合には、LANスイッチ1は、以降において端末3Aから送信されたパケット(通信データ)の中継を行い、認証結果によって端末3Aの通信が許可されなかった場合には、以降において端末3Aから送信されたパケットを破棄する。これによって、LANスイッチ1は、RADIUSサーバ2によってユーザ認証された端末3のみをネットワークNWに対してアクセス可能とする。
Upon receiving the authentication request packet from the
スイッチングハブ4A,4Bは、所謂ノンインテリジェントハブであり、SNMP(Simple Network Management Protocol)エージェントの機能を有しておらず、遠隔からのネットワーク管理に対応していないものである。すなわち、スイッチングハブ4A,4Bは、当該ハブを流れるデータに関する情報をSNMPマネージャに送信したり、SNMPマネージャの要求に従ってデータを制御することができない。したがって、スイッチングハブ4A,4Bは、喩えLANスイッチ1がSNMPマネージャの機能を有していても、自己に接続されている端末3B,3Cの情報をLANスイッチ1に通知することはできない。
The
このようなスイッチングハブ4Aに接続された端末3Bは、IEEE802.1xサプリカントがインストールされていても、既にスイッチングハブ4AがLANスイッチ1に接続された状態で、スイッチングハブ4Aに接続された場合には、LANスイッチ1によって新たな端末3Bが接続されたことが検知されないために、LANスイッチ1から認証リクエストパケットを送信することはできない。
When the terminal 3B connected to the switching hub 4A is connected to the switching hub 4A with the switching hub 4A already connected to the
また、LANスイッチ1には、IEEE802.1xサプリカントがインストールされていない端末3Cが接続された場合には、当該端末3Cに認証リクエストパケットを送信しても、当該端末3Cからは認証情報を含む認証スタートパケットを受信することができない。
In addition, when a terminal 3C in which no IEEE 802.1x supplicant is installed is connected to the
これに対し、LANスイッチ1は、スイッチングハブ4Aを介して接続された端末3B、及び、IEEE802.1xサプリカントを実装していない端末3Cの認証を行う構成を備えている。
On the other hand, the
LANスイッチ1は、図2に示すように、通信制御部11と、RADIUSサーバ2によって認証済の端末3のMACアドレスを登録した認証済端末アドレステーブル(第1のアドレステーブル)12と、RADIUSサーバ2によって未認証の端末3のMACアドレスを登録した未認証端末アドレステーブル(第2のアドレステーブル)13とを備える。また、LANスイッチ1は、端末3が直接的又は端末3がスイッチングハブ4を介して間接的に接続されるポート番号が「1」〜「6」の複数のポートP1〜P6と、ネットワークNW側のポート番号が「7」〜「12」の複数のポートP7〜P12とを有する。LANスイッチ1は、認証済端末アドレステーブル12を参照して、端末3で送受信されるパケットがポートP1〜P6とポートP7〜P12との間で通信されることの可否を制御する。
As shown in FIG. 2, the
認証済端末アドレステーブル12は、図3に示すように、RADIUSサーバ2によって認証済であって通信が許可された端末3のMACアドレスと、当該MACアドレスを有する端末3が接続された図2に示すLANスイッチ1のポート番号とを対応付けしている。認証済端末アドレステーブル12は、認証プロセスによって作成され、端末3で送受信されるパケットをLANスイッチ1で受信した場合に、通信制御部11によって参照される。
As shown in FIG. 3, the authenticated terminal address table 12 is shown in FIG. 2 in which the MAC address of the
未認証端末アドレステーブル13は、LANスイッチ1及びRADIUSサーバ2によって認証プロセスが未だ行われていない未認証の端末3のMACアドレスと、当該MACアドレスを有する端末3が接続された図2に示すLANスイッチ1のポート番号とを対応付けしている。未認証端末アドレステーブル13は、端末3からのパケット受信時に作成され、予め設定した所定期間ごとに通信制御部11によって参照される。
The unauthenticated terminal address table 13 includes the MAC address of the
通信制御部11は、プログラムを記憶したプログラム用メモリ及び当該プログラムを読み込んで実行するCPU(Central Processing Unit)等からなる。通信制御部11が記憶・実行するプログラムは、認証プロセスによって認証済端末アドレステーブル12を作成する認証プログラム21と、端末3で送受信されるパケットを認証済端末アドレステーブル12を参照して中継すると共に未認証端末アドレステーブル13及び端末3の認証情報を作成する中継/テーブル作成プログラム22とからなる。これら認証プログラム21及び中継/テーブル作成プログラム22は、通信制御部11のCPU(コンピュータ)に、端末3をRADIUSサーバ2でユーザ認証させる機能、認証済端末アドレステーブル12と未認証端末アドレステーブル13と認証情報とを作成させる機能、端末3で送受信されるパケットを中継又は破棄する機能を実現させる。
The
中継/テーブル作成プログラム22は、端末3からパケットを受信した場合に、認証済端末アドレステーブル12を参照して、当該受信したパケットに認証済端末アドレステーブル12に登録されたMACアドレスが含まれている場合には当該パケットの中継を行い、認証済端末アドレステーブル12に登録されたMACアドレスが含まれていない場合には、当該MACアドレスを未認証端末アドレステーブル13に登録する。
When the relay /
認証プログラム21は、認証プロセスによってRADIUSサーバ2によって認証された端末3のアドレスを登録する認証済端末アドレステーブル12を作成する。認証プログラム21は、端末3から送信されたパケットに含まれるMACアドレスが認証済端末アドレステーブル12に登録されていない場合に、当該MACアドレスを有する端末3に認証情報を返送する認証リクエストパケットを供給して、端末3の認証情報を取得し、当該認証情報に基づく認証処理をRADIUSサーバ2に行わせ、当該RADIUSサーバ2による認証処理の結果、当該端末3の通信を許可する場合には、当該端末3のアドレスを認証済端末アドレステーブル12に登録する。これにより、LANスイッチ1は、スイッチングハブ4を介して端末3Bが接続されていて、端末3Bが自ら認証情報を送信しない場合であっても、当該端末3Bからパケットを受信した時に、当該パケットに含まれるMACアドレス宛に認証リクエストパケットを送信して、端末3Bから認証スタートパケットに含まれる認証情報を取得することができる。
The
また、認証プログラム21は、端末3から送信されたパケットに未認証端末アドレステーブル13に登録されたMACアドレスが含まれている場合に、当該MACアドレスを有する端末3に認証情報を返送する認証リクエストパケットを供給することによって当該端末3の認証情報を取得して、当該認証情報に基づく認証処理をRADIUSサーバ2に行わせ、当該RADIUSサーバ2による認証処理の結果、当該端末3の通信を許可する場合には、当該端末3のMACアドレスを認証済端末アドレステーブル12に登録すると共に未認証端末アドレステーブル13から削除する。これによって、認証プログラム21は、スイッチングハブ4Aを介して接続された端末3Bに対して認証リクエストパケットを送信することによって当該端末3Bから認証スタートパケットを取得できる。
The
更に、認証プログラム21は、IEEE802.1xサプリカントを実装していない端末3Cから送信されたパケットを受信した場合であって、当該パケットに含まれるMACアドレスが認証済端末アドレステーブル12に登録されていない場合に、中継/テーブル作成プログラム22で生成した認証情報をRADIUSサーバ2に送信する。そして、RADIUSサーバ2による認証処理の結果、当該端末3Cの通信を許可する場合には、当該端末3CのMACアドレスを認証済端末アドレステーブル12に登録する。これにより、LANスイッチ1は、IEEE802.1xサプリカントを実装していない端末3Cが接続されている場合であっても、当該端末3Cから送信されたパケットから端末3Cの認証情報を作成して、端末3Cに代理して認証プロセスを行うことができる。
Further, the
更にまた、認証プログラム21は、MACアドレスを含むパケットを解析して、端末3の認証情報を自ら作成する。例えば、端末3Cから取得したパケットを解析した結果としてのMACアドレスやIPアドレスを、端末3Cを特定する情報として取得しておく。
Furthermore, the
つぎに、上述したように構成されたLANスイッチ1の通信制御部11によって中継/テーブル作成プログラム22を実行することによって行われる処理について図4を参照して説明する。
Next, processing performed by executing the relay /
通信制御部11は、先ずステップS1において、端末側のポートP1〜P12からパケットを受信したか否かを判定し、パケットを受信していない場合にはアイドル状態に戻り(ステップS2)、パケットを受信した場合にはステップS3に処理を進める。
First, in step S1, the
ステップS3において通信制御部11は、ステップS1で受信したパケットに含まれるMACアドレスを取り出し、当該MACアドレスが認証済端末アドレステーブル12に登録されたMACアドレスか否かを判定する。そして、通信制御部11は、ステップS1で受信したパケットに含まれるMACアドレスが認証済端末アドレステーブル12に登録されている場合には当該パケットを中継し(ステップS4)、ステップS1で受信したパケットに含まれるMACアドレスが認証済端末アドレステーブル12に登録されていない場合にはステップS5に処理を進める。
In step S <b> 3, the
ステップS5において通信制御部11は、認証済端末アドレステーブル12にMACアドレスが登録されていない端末3からのパケットを破棄する。
In step S5, the
次のステップS6において通信制御部11は、ステップS1で受信したパケットに含まれるMACアドレスを未認証端末アドレステーブル13に登録する。このとき、通信制御部11は、ステップS1でパケットを受信したポート番号と共にMACアドレスを未認証端末アドレステーブル13に登録する。
In next step S <b> 6, the
このように、LANスイッチ1は、RADIUSサーバ2によって認証されて通信が許可された端末3のMACアドレスを認証済端末アドレステーブル12に登録しておき、当該認証済端末アドレステーブル12に登録されていないMACアドレスを含むパケットを受信した場合に、当該MACアドレスを未認証端末アドレステーブル13に登録する。これにより、図1に示したように、端末3AのようにLANスイッチ1に対して直接的に接続されておらず、端末3Bのようにスイッチングハブ4Aを介して接続されている場合に、認証プロセスによって端末3Bが認証されない場合であっても、スイッチングハブ4Aを介してLANスイッチ1に接続されている端末3BのMACアドレスを未認証端末アドレステーブル13に登録することができる。
As described above, the
つぎに、LANスイッチ1の通信制御部11により、認証プログラム21を実行することによって行われる認証プロセスについて図5を参照して説明する。なお、この認証プロセスには、(1)LANスイッチ1に対する端末3の切断時の処理、(2)LANスイッチ1に対するIEEE802.1xサプリカントを実装した端末3がスイッチングハブ4を介さずに直接接続された時の認証プロセス、(3)LANスイッチ1に対するIEEE802.1xサプリカントを実装した端末3がスイッチングハブ4を介して接続されているときの認証プロセス、(4)LANスイッチ1に対してIEEE802.1xサプリカントを実装していない端末3を認証する認証プロセスを含んでいる。
Next, an authentication process performed by executing the
通信制御部11は、先ず、ポートP1〜P6に対する端末3の接続の切断を検出した場合(ステップS11)、端末3Aのように直接的にLANスイッチ1に接続されたことを検出した場合(ステップS12)、未認証端末アドレステーブル13にMACアドレスが登録されているか否かを検出する所定時間が経過したことを検出した場合(ステップS13)に、ステップS10のアイドル状態から遷移する。
First, when the
ステップS11において端末3の接続の切断を検出した場合、通信制御部11は、ステップS14において、当該切断された端末3のMACアドレス及びポート番号を認証済端末アドレステーブル12から削除して、ステップS10のアイドル状態に戻る。
When the disconnection of the connection of the
このように、LANスイッチ1は、上記(1)のLANスイッチ1に対する端末3の切断時の処理を行って、切断された端末3が認証済端末アドレステーブル12に登録され続けることを回避する。
As described above, the
ステップS12において端末3が直接的にLANスイッチ1のポートP1〜P6の何れかに接続されたことを検出した場合、通信制御部11は、ステップS15において、認証情報の返信を要求する認証リクエストパケットを送信する。そして、通信制御部11は、送信した認証リクエストパケットに対する応答の認証スタートパケットを端末3から受信したか否かを判定し、受信していない場合にはステップS10のアイドル状態に戻り、端末3から認証スタートパケットを受信した場合にはステップS17に処理を進める。
If it is detected in step S12 that the
ステップS17において通信制御部11は、ステップS16において受信した認証スタートパケットの送信元の端末3のMACアドレスが、当該パケットを受信したポートのポート番号に対応付けられて認証済端末アドレステーブル12に登録されているか否かを判定する。認証済端末アドレステーブル12に登録されている場合には、通信制御部11は、ステップS18において、ステップS16で受信した認証スタートパケットに含まれる認証情報をRADIUSサーバ2に送信する。
In step S17, the
一方、認証済端末アドレステーブル12に登録されていない場合には、ステップS19に処理を進め、通信制御部11は、ステップS16で認証スタートパケットを受信したポートのポート番号以外のポート番号に対応付けられて、ステップS16で受信した認証スタートパケットの送信元の端末3のMACアドレスが登録されているか否かを判定し、そうである場合には、ステップS20において当該MACアドレスを認証済端末アドレステーブル12から削除し、そうではない場合には、ステップS21において、認証済端末アドレステーブル12に登録されたMACアドレス数が所定数未満か否かを判定する。
On the other hand, if it is not registered in the authenticated terminal address table 12, the process proceeds to step S19, and the
ステップS21において認証済端末アドレステーブル12に登録されたMACアドレス数が所定数未満であると判定した場合には、ステップS18に処理を進めて認証情報をRADIUSサーバ2に送信し、所定数未満ではない場合にはステップS10のアイドル状態に戻る。
If it is determined in step S21 that the number of MAC addresses registered in the authenticated terminal address table 12 is less than the predetermined number, the process proceeds to step S18 to transmit authentication information to the
ステップS18において端末3から送信された認証情報を送信した後のステップS22において、通信制御部11は、RADIUSサーバ2の認証結果を受信して、RADIUSサーバ2によるユーザ認証によって端末3の通信が許可されたか否かを判定する。端末3の通信が許可されたと判定した場合、通信制御部11は、ステップS23に処理を進め、端末3の通信が許可されていないと判定した場合には、ステップS25に処理を進める。
In step S22 after transmitting the authentication information transmitted from the
ステップS23において、通信制御部11は、端末3のMACアドレス及び端末3が接続されているポートのポート番号を認証済端末アドレステーブル12に登録する。次に通信制御部11は、ステップS24において、認証済端末アドレステーブル12に登録したMACアドレスが未認証端末アドレステーブル13に登録されているかを判定して、登録されている場合には未認証端末アドレステーブル13から削除して、ステップS10のアイドル状態に戻る。
In step S <b> 23, the
一方、ステップS22において、RADIUSサーバ2によって端末3の通信が許可されなかった場合には、ステップS25において、通信制御部11は、当該端末3のMACアドレスが認証済端末アドレステーブル12に登録されているか否かを判定する。認証済端末アドレステーブル12に登録されている場合、ステップS26において、通信制御部11は、認証済端末アドレステーブル12から当該端末3のMACアドレスを削除して、ステップS10のアイドル状態に戻る。
On the other hand, if communication of the
このように、LANスイッチ1は、ステップS12において、IEEE802.1xに準拠した端末3Aが新たにLANスイッチ1に接続された場合には、認証リクエストパケットを送信することによって端末3からの認証情報を得てRADIUSサーバ2で認証を行わせて、認証済端末アドレステーブル12に登録することができる。
As described above, when a terminal 3A compliant with IEEE802.1x is newly connected to the
通信制御部11は、ステップS13において未認証端末アドレステーブル13にMACアドレスが登録されているか否かを参照する所定時間が経過したことを検出した場合には、ステップS27において、図4に示す処理によって未認証端末アドレステーブル13にMACアドレスが登録されているか否かを判定する。なお、ステップS13で検出する所定時間は、例えば5秒といったように、任意の時間を設定しておくことができる。
If the
ステップS27において未認証端末アドレステーブル13にMACアドレスが登録されていると判定した場合には、ステップS28に処理を進め、MACアドレスが登録されていないと判定した場合には再度ステップS10のアイドル状態に戻る。 If it is determined in step S27 that the MAC address is registered in the unauthenticated terminal address table 13, the process proceeds to step S28. If it is determined that the MAC address is not registered, the idle state in step S10 is performed again. Return to.
ステップS28において通信制御部11は、未認証端末アドレステーブル13に登録されているMACアドレスを宛先とした認証リクエストパケットを送信し、ステップS29において通信制御部11は、送信した認証リクエストパケットに対して端末3から認証スタートパケットを受信したか否かを判定する。ここで、未認証端末アドレステーブル13に登録されているMACアドレスを有する端末3がスイッチングハブ4を介して間接接続されている場合には、当該端末3から認証スタートパケットを受信することができ、ステップS17以降に処理を進める。
In step S28, the
このように、LANスイッチ1は、スイッチングハブ4を介して間接接続されている端末3BのMACアドレスを未認証端末アドレステーブル13に登録することによって、当該端末3Bに認証リクエストパケットを送信して端末3Bの認証情報を得て、RADIUSサーバ2でユーザ認証を行わせることができる。
As described above, the
また、ステップS28において未認証端末アドレステーブル13に登録されている端末3に認証リクエストパケットを送信したにも拘わらず、ステップS29において認証スタートパケットを受信できない場合には、ステップS30において、通信制御部11は、端末3の認証情報を含む要求を、端末3に代理してRADIUSサーバ2に送信して、ステップS22に処理を進める。このとき、通信制御部11は、当該端末3からのパケットに含まれる情報を解析して、端末3の認証情報を自ら作成する。
If the authentication start packet cannot be received in step S29 even though the authentication request packet is transmitted to the
また、LANスイッチ1は、認証済端末アドレステーブル12に登録されていないMACアドレスを含むパケットを受信した場合に、当該パケットに含まれる情報から、端末3の認証情報を自ら作成することができる。これにより、端末3CのようにIEEE802.1xサプリカントを実装していない端末3Cに代理してRADIUSサーバ2に送信する認証情報を自ら作成できる。
In addition, when the
そして、RADIUSサーバ2は、LANスイッチ1によって作成された認証情報と、予め記憶しておいた認証情報とを用いて認証を行って認証結果をLANスイッチ1に返信する。ここで、RADIUSサーバ2は、LANスイッチ1で作成された認証情報で認証を行うために、予め正当な端末3Cの認証情報(IPアドレス、MACアドレス、その他ユーザを特定する情報、その組み合わせ)を登録しておく必要がある。
Then, the
このように、LANスイッチ1は、IEEE802.1xサプリカントを実装していない端末3Cの認証情報を自ら作成し、当該端末3Cから認証スタートパケットを受信していない場合であっても、端末3Cに代理して認証情報をRADIUSサーバ2に送信して、端末3Cのユーザ認証を行わせることができる。
In this way, the
以上詳細に説明したように、本発明を適用したLANスイッチ1によれば、IEEE802.1xに準拠した認証プロセスによって端末3を認証できない場合であっても、認証されていない端末3からのパケットを受信する度又は定期的に認証リクエストパケットを送信する必要ないので、処理負荷の増大を招くことがなく、正当なユーザが使用している端末3の認証を行うことができる。また、LANスイッチ1によれば、認証されていない端末3を複数回に亘ってRADIUSサーバ2でユーザ認証をさせることも無いので、RADIUSサーバ2に認証結果のログが大量に蓄積されることを回避できる。
As described above in detail, according to the
なお、上述の実施の形態は本発明の一例である。このため、本発明は、上述の実施形態に限定されることはなく、この実施の形態以外であっても、本発明に係る技術的思想を逸脱しない範囲であれば、設計等に応じて種々の変更が可能であることは勿論である。 The above-described embodiment is an example of the present invention. For this reason, the present invention is not limited to the above-described embodiment, and various modifications can be made depending on the design and the like as long as the technical idea according to the present invention is not deviated from this embodiment. Of course, it is possible to change.
1 LANスイッチ(通信装置)
2 RADIUSサーバ(認証サーバ)
3A,3B,3C 端末
4A,4B スイッチングハブ
11 通信制御部
12 認証済端末アドレステーブル(第1のアドレステーブル)
13 未認証端末アドレステーブル(第2のアドレステーブル)
21 認証プログラム
22 中継/テーブル作成プログラム
1 LAN switch (communication device)
2 RADIUS server (authentication server)
3A, 3B,
13 Unauthenticated terminal address table (second address table)
21
Claims (4)
前記端末から送信された通信データに含まれるアドレスを登録するアドレステーブルであって、前記端末の認証情報に基づいて前記認証サーバによって認証された端末のアドレスを登録するアドレステーブルを備え、
前記アドレステーブルは、認証サーバによって認証された端末のアドレスを登録する第1のアドレステーブルと、通信データに含まれるアドレスが前記第1のアドレステーブルに登録されていない場合に、当該アドレスを前記認証サーバによって認証処理がされていない端末のアドレスとして登録する第2のアドレステーブルを有し、
端末から送信された通信データに前記第2のアドレステーブルに登録されたアドレスが含まれている場合に、当該アドレスを有する端末に認証情報を返送するリクエストを供給することによって当該端末の認証情報を取得して、当該認証情報に基づく認証処理を前記認証サーバに行わせ、当該認証サーバによる認証処理の結果、当該端末の通信を許可する場合には、当該端末のアドレスを前記第1のアドレステーブルに登録すると共に前記第2のアドレステーブルから削除する
ことを特徴とする通信装置。 In a communication device connected to a network to which an authentication server for performing authentication processing of the terminal is connected while one or more terminals to be authenticated are connected,
An address table for registering an address included in communication data transmitted from the terminal, comprising an address table for registering an address of a terminal authenticated by the authentication server based on authentication information of the terminal;
The address table includes a first address table for registering an address of a terminal authenticated by an authentication server, and an address included in communication data when the address included in the communication data is not registered in the first address table. A second address table registered as an address of a terminal that has not been authenticated by the server;
When the communication data transmitted from the terminal includes an address registered in the second address table, the authentication information of the terminal is obtained by supplying a request for returning the authentication information to the terminal having the address. When the authentication server performs authentication processing based on the authentication information and permits the communication of the terminal as a result of the authentication processing by the authentication server, the address of the terminal is set to the first address table. And deleting from the second address table .
前記端末から送信された通信データに含まれるアドレスを登録するアドレステーブルであって、前記端末の認証情報に基づいて前記認証サーバによって認証された端末のアドレスを登録するアドレステーブルを備え、
前記アドレステーブルは、認証サーバによって認証された端末のアドレスを登録する第1のアドレステーブルと、通信データに含まれるアドレスが前記第1のアドレステーブルに登録されていない場合に、当該アドレスを前記認証サーバによって認証処理がされていない端末のアドレスとして登録する第2のアドレステーブルを有し、
端末から送信された通信データに前記第2のアドレステーブルに登録されたアドレスが含まれている場合に、当該アドレスを有する端末を代理して当該端末の認証情報を自ら生成し、この認証情報を前記認証サーバに供給して認証処理を行わせ、当該認証サーバによる認証処理の結果、当該端末の通信を許可する場合には、当該端末のアドレスを前記第1のアドレステーブルに登録すると共に前記第2のアドレステーブルから削除する
ことを特徴とする通信装置。 In a communication device connected to a network to which an authentication server for performing authentication processing of the terminal is connected while one or more terminals to be authenticated are connected,
An address table for registering an address included in communication data transmitted from the terminal, comprising an address table for registering an address of a terminal authenticated by the authentication server based on authentication information of the terminal;
The address table includes a first address table for registering an address of a terminal authenticated by an authentication server, and an address included in communication data when the address included in the communication data is not registered in the first address table. A second address table registered as an address of a terminal that has not been authenticated by the server;
When the communication data transmitted from the terminal includes the address registered in the second address table, the terminal generates the authentication information for the terminal on behalf of the terminal having the address. When the authentication process is performed by supplying to the authentication server and the communication of the terminal is permitted as a result of the authentication process by the authentication server, the address of the terminal is registered in the first address table and the first address table is registered. 2. A communication apparatus that is deleted from the address table of No. 2 .
前記端末から送信された通信データに含まれるアドレスを登録するアドレステーブルであって、前記端末の認証情報に基づいて前記認証サーバによって認証された端末のアドレスを登録するアドレステーブルであって、前記認証サーバによって認証された端末のアドレスを登録する第1のアドレステーブルと、通信データに含まれるアドレスが前記第1のアドレステーブルに登録されていない場合に、当該アドレスを前記認証サーバによって認証処理がされていない端末のアドレスとして登録する第2のアドレステーブルを有する前記アドレステーブルを作成する機能と、
端末から送信された通信データに前記第2のアドレステーブルに登録されたアドレスが含まれている場合に、当該アドレスを有する端末に認証情報を返送するリクエストを供給することによって当該端末の認証情報を取得して、当該認証情報に基づく認証処理を前記認証サーバに行わせ、当該認証サーバによる認証処理の結果、当該端末の通信を許可する場合には、当該端末のアドレスを前記第1のアドレステーブルに登録すると共に前記第2のアドレステーブルから削除する機能と
を前記通信装置のコンピュータに実現させることを特徴とする通信制御プログラム。 A communication control program stored in a computer of a communication device connected to a network to which an authentication server for performing authentication processing of the terminal is connected and one or a plurality of authentication processing target terminals are connected,
An address table for registering an address included in communication data transmitted from the terminal, the address table for registering an address of a terminal authenticated by the authentication server based on authentication information of the terminal , wherein the authentication The first address table for registering the address of the terminal authenticated by the server and when the address included in the communication data is not registered in the first address table, the address is subjected to authentication processing by the authentication server. A function of creating the address table having a second address table registered as an address of a non-terminal ,
When the communication data transmitted from the terminal includes an address registered in the second address table, the authentication information of the terminal is obtained by supplying a request for returning the authentication information to the terminal having the address. When the authentication server performs authentication processing based on the authentication information and permits the communication of the terminal as a result of the authentication processing by the authentication server, the address of the terminal is set to the first address table. A communication control program for causing a computer of the communication device to realize a function of registering in the second address table and deleting from the second address table .
前記端末から送信された通信データに含まれるアドレスを登録するアドレステーブルであって、前記端末の認証情報に基づいて前記認証サーバによって認証された端末のアドレスを登録するアドレステーブルであって、前記認証サーバによって認証された端末のアドレスを登録する第1のアドレステーブルと、通信データに含まれるアドレスが前記第1のアドレステーブルに登録されていない場合に、当該アドレスを前記認証サーバによって認証処理がされていない端末のアドレスとして登録する第2のアドレステーブルを有する前記アドレステーブルを作成する機能と、
端末から送信された通信データに前記第2のアドレステーブルに登録されたアドレスが含まれている場合に、当該アドレスを有する端末を代理して当該端末の認証情報を自ら生成し、この認証情報を前記認証サーバに供給して認証処理を行わせ、当該認証サーバによる認証処理の結果、当該端末の通信を許可する場合には、当該端末のアドレスを前記第1のアドレステーブルに登録すると共に前記第2のアドレステーブルから削除する機能と
を前記通信装置のコンピュータに実現させることを特徴とする通信制御プログラム。 A communication control program stored in a computer of a communication device connected to a network to which an authentication server for performing authentication processing of the terminal is connected and one or a plurality of authentication processing target terminals are connected,
An address table for registering an address included in communication data transmitted from the terminal, the address table for registering an address of a terminal authenticated by the authentication server based on authentication information of the terminal , wherein the authentication The first address table for registering the address of the terminal authenticated by the server and when the address included in the communication data is not registered in the first address table, the address is subjected to authentication processing by the authentication server. A function of creating the address table having a second address table registered as an address of a non-terminal ,
When the communication data transmitted from the terminal includes the address registered in the second address table, the terminal generates the authentication information for the terminal on behalf of the terminal having the address. When the authentication process is performed by supplying to the authentication server and the communication of the terminal is permitted as a result of the authentication process by the authentication server, the address of the terminal is registered in the first address table and the first address table is registered. A communication control program for causing a computer of the communication device to realize the function of deleting from the address table of 2 .
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2006209084A JP4881672B2 (en) | 2006-07-31 | 2006-07-31 | Communication device and communication control program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2006209084A JP4881672B2 (en) | 2006-07-31 | 2006-07-31 | Communication device and communication control program |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2008033831A JP2008033831A (en) | 2008-02-14 |
JP4881672B2 true JP4881672B2 (en) | 2012-02-22 |
Family
ID=39123141
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2006209084A Active JP4881672B2 (en) | 2006-07-31 | 2006-07-31 | Communication device and communication control program |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP4881672B2 (en) |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2009245301A (en) * | 2008-03-31 | 2009-10-22 | Nec Corp | Session management-control device, method, and program |
JP5011574B2 (en) * | 2008-07-03 | 2012-08-29 | Necインフロンティア株式会社 | Information processing apparatus, usage restriction method, and program |
JP5269641B2 (en) * | 2009-02-23 | 2013-08-21 | 富士通テレコムネットワークス株式会社 | User authentication system and user authentication method |
JP5712262B2 (en) * | 2013-09-17 | 2015-05-07 | アラクサラネットワークス株式会社 | Communication device |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2002314549A (en) * | 2001-04-18 | 2002-10-25 | Nec Corp | User authentication system and user authentication method used for the same |
JP2005011245A (en) * | 2003-06-20 | 2005-01-13 | Furukawa Electric Co Ltd:The | Recipient authentication method, inter-network connection device therefor and recipient authentication system |
-
2006
- 2006-07-31 JP JP2006209084A patent/JP4881672B2/en active Active
Also Published As
Publication number | Publication date |
---|---|
JP2008033831A (en) | 2008-02-14 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP5364671B2 (en) | Terminal connection status management in network authentication | |
JP4347335B2 (en) | Network relay program, network relay device, communication system, and network relay method | |
US8646033B2 (en) | Packet relay apparatus | |
JP5143125B2 (en) | Authentication method, system and apparatus for inter-domain information communication | |
US7849499B2 (en) | Enterprise wireless local area network (LAN) guest access | |
US20080184354A1 (en) | Single sign-on system, information terminal device, single sign-on server, single sign-on utilization method, storage medium, and data signal | |
US20060129677A1 (en) | Communication device and setting method therefor | |
JP5239341B2 (en) | Gateway, relay method and program | |
JP2007005847A (en) | Data transmission control in network | |
JP2002314549A (en) | User authentication system and user authentication method used for the same | |
JP5143199B2 (en) | Network relay device | |
US11302451B2 (en) | Internet of things connectivity device and method | |
JP2004201046A (en) | Access authentication technology for radio network | |
JP2006203300A (en) | Transfer apparatus, accessibility determining method and program | |
CN113824685B (en) | Mobile terminal directional flow agent system and method based on Android VpnService | |
JP5143198B2 (en) | Network relay device | |
KR100667284B1 (en) | Authentication Method in Network System and System Thereof | |
JP4881672B2 (en) | Communication device and communication control program | |
JP2005099980A (en) | Service provision method, service provision program, host device, and service provision device | |
JP2006074451A (en) | IPv6/IPv4 TUNNELING METHOD | |
WO2015100874A1 (en) | Home gateway access management method and system | |
JP2015050496A (en) | Communication system and authentication switch | |
KR20170038568A (en) | SDN Controller and Method for Identifying Switch thereof | |
JP2004078280A (en) | Remote access mediation system and method | |
US8607058B2 (en) | Port access control in a shared link environment |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20090421 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20110810 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20110816 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20111017 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20111115 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20111205 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 4881672 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20141209 Year of fee payment: 3 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |