JP4920878B2 - 認証システム、ネットワーク集線装置及びそれらに用いる認証方法並びにそのプログラム - Google Patents

認証システム、ネットワーク集線装置及びそれらに用いる認証方法並びにそのプログラム Download PDF

Info

Publication number
JP4920878B2
JP4920878B2 JP2004206662A JP2004206662A JP4920878B2 JP 4920878 B2 JP4920878 B2 JP 4920878B2 JP 2004206662 A JP2004206662 A JP 2004206662A JP 2004206662 A JP2004206662 A JP 2004206662A JP 4920878 B2 JP4920878 B2 JP 4920878B2
Authority
JP
Japan
Prior art keywords
authentication
frame
terminal device
network
authentication server
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2004206662A
Other languages
English (en)
Other versions
JP2006033206A (ja
Inventor
貴史 平野
淳 布目
博章 平田
潔 柴山
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP2004206662A priority Critical patent/JP4920878B2/ja
Priority to US11/179,602 priority patent/US8209529B2/en
Priority to CN2005100833904A priority patent/CN1722661B/zh
Publication of JP2006033206A publication Critical patent/JP2006033206A/ja
Application granted granted Critical
Publication of JP4920878B2 publication Critical patent/JP4920878B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities

Description

本発明は認証システム、ネットワーク集線装置及びそれらに用いる認証方法並びにそのプログラムに関し、特に端末装置がネットワークに接続する際に認証用ハブにおいてアクセス制限をかける方法に関する。
従来、認証用ハブにおいてアクセス制限をかける方法としては、図7に示すIEEE(Institute of Electrical and Electronic Engineers)802.1x認証方式や、図8に示す認証VLAN(Virtual Local Area Network)方式が使用されている。
IEEE802.1X認証方式では、図7に示すように、認証前、認証用ハブ32において端末装置31から送信された一般のフレームが全て廃棄され、認証用フレームについてのみ受信している。認証用ハブ32は認証用フレームから送信元情報(送信元アドレス、ユーザ名、パスワード等)を抽出し、認証サーバ33に認証確認フレームを送信する。
認証サーバ33はその認証確認フレームに対して認証を確認した場合、認証用ハブ32に対して端末装置31が接続されたポートからのフレームまたは端末装置31固有のMAC(Media Access Control)アドレスを送信元に持つフレームについての通信許可を設定するフレームを送信する。
認証用ハブ32はそのフレームにしたがって通信制限の解除を行う。それ以降、端末装置31は認証用ハブ32、スイッチングハブ34、ルータ35を介してネットワーク300に接続可能となる。
一方、認証VLAN方式では、図8に示すように、認証前、端末装置41がデフォルトVLANと呼ばれ、かつ接続範囲が限定された認証前ネットワーク401への参加が許可される(例えば、特許文献1参照)。
端末装置41は認証前ネットワーク401から接続可能なDHCP(Dynamic Host Configuration Protocol)サーバ46に対して仮のIP(Internet Protocol)アドレス払い出しを要求し、その仮のIPアドレスで認証サーバ43に対して認証要求を行う。
認証サーバ43はその認証要求に対して認証を確認した場合、DHCPサーバ46及び認証用ハブ42に対して端末装置41が所属するべきVLAN(認証後ネットワーク402)を指示する。
DHCPサーバ46は端末装置41に対して仮のIPアドレスのリリースと認証後ネットワーク402用のIPアドレスの通知とを行う。認証用ハブ42は端末装置41に対して、認証サーバ43から指示された認証後ネットワーク402への接続許可を行う。それ以降、端末装置41は認証用ハブ42、スイッチングハブ44、ルータ45を介してネットワーク400に接続可能となる。
特開2004−64204号公報
しかしながら、上述した従来の認証用ハブにおいてアクセス制限をかける方法では、IEEE802.1x認証方式の場合、認証方式特有のプロトコルを使用するため、端末装置に対して認証を行うための特別なプログラムを実装する必要がある。
また、IEEE802.1x認証方式の場合には、認証用ハブが端末装置と認証サーバとの間の認証処理の中継を行い、その処理がソフトウェア動作となるため、認証用ハブに対して高いソフトウェア処理能力が要求される。
さらに、IEEE802.1x認証方式の場合には、認証がなされない端末装置がネットワークに一切接続することができないため、未認証の端末装置に対して限定機能の提供を行うことができない。
一方、従来の認証用ハブにおいてアクセス制限をかける方法では、認証VLAN方式の場合、認証完了後、認証前ネットワークから認証によって許可された認証後ネットワークへの切替えが発生し、その際に端末装置側でネットワーク設定の変更が必要となるため、認証を行ってから実際に通信が行えるようになるまでに時間がかかったり、端末装置で使用可能なOS(Operating System)の種類に制限がかかる場合が発生する。
また、認証VLAN方式の場合には、認証動作に対して複数の装置が連動する必要があるため、システムに使用可能な装置が限定されることとなる。例えば、DHCPサーバは認証サーバからの指示にしたがってIPアドレスをリースする必要があり、専用のDHCPサーバまたはDHCPサーバに対して機能追加プログラムを実装する必要がある。
さらに、認証VLAN方式の場合には、認証用ハブに対してVLANの切替え作業、複数のVLANのトランキング等の高度な機能が要求されるため、認証用ハブ自身が高価・高機能な装置となってしまう。
そこで、本発明の目的は上記の問題点を解消し、複雑なシステムやネットワークの切替え、高機能な認証装置を使用することなく、不正ユーザによる侵入や盗聴、攻撃を防ぎ、セキュリティ性を確保することができる認証システム、ネットワーク集線装置及びそれらに用いる認証方法並びにそのプログラムを提供することにある。
本発明による認証システムは、ネットワーク集線装置に収容される端末装置の認証を行う認証サーバを含む認証システムであって、
前記ネットワーク集線装置は、前記認証サーバによって許可された端末装置以外からのフレームのネットワークの内部及び外部への転送を制限する手段を備え、
前記フレームの転送を制限する手段は、前記端末装置から送信されたユニキャストフレームの送信を制限し、前記端末装置が認証動作を行う際に前記認証サーバとIP通信を行うために必要不可欠なブロードキャストフレームを予め許可された送信先へのユニキャストフレームに書き換えることで、認証前に、少なくとも前記端末装置の前記認証サーバへのアクセスを可能とし、
前記フレームの転送を制限する手段は、認証前に、少なくともスイッチングハブ及びルータを経由して他のノードへアクセスしようとするフレームを排除している。
本発明によるネットワーク集線装置は、認証サーバによって認証される端末装置を収容するネットワーク集線装置であって、
前記認証サーバによって許可された端末装置以外からのフレームのネットワークの内部及び外部への転送を制限する手段を備え、
前記フレームの転送を制限する手段は、前記端末装置から送信されたユニキャストフレームの送信を制限し、前記端末装置が認証動作を行う際に前記認証サーバとIP通信を行うために必要不可欠なブロードキャストフレームを予め許可された送信先へのユニキャストフレームに書き換えることで、認証前に、少なくとも前記端末装置の前記認証サーバへのアクセスを可能とし、
前記フレームの転送を制限する手段は、認証前に、少なくともスイッチングハブ及びルータを経由して他のノードへアクセスしようとするフレームを排除している。
本発明による認証方法は、ネットワーク集線装置に収容される端末装置の認証を行う認証サーバを含む認証システムに用いられる認証方法であって、
前記ネットワーク集線装置が、前記認証サーバによって許可された端末装置以外からのフレームのネットワークの内部及び外部への転送を制限するステップを実行し、
前記フレームの転送を制限するステップにおいて、前記端末装置から送信されたユニキャストフレームの送信を制限し、前記端末装置が認証動作を行う際に前記認証サーバとIP通信を行うために必要不可欠なブロードキャストフレームを予め許可された送信先へのユニキャストフレームに書き換えることで、認証前に、少なくとも前記端末装置の前記認証サーバへのアクセスを可能とし、
前記フレームの転送を制限するステップにおいて、認証前に、少なくともスイッチングハブ及びルータを経由して他のノードへアクセスしようとするフレームを排除している。
本発明によるプログラムは、ネットワーク集線装置に収容される端末装置の認証を行う認証サーバを含む認証システムにおいて前記ネットワーク集線装置内のコンピュータに実行させるプログラムであって、
前記認証サーバによって許可された端末装置以外からのフレームのネットワークの内部及び外部への転送を制限する処理を含み、
前記フレームの転送を制限する処理において、前記端末装置から送信されたユニキャストフレームの送信を制限させ、前記端末装置が認証動作を行う際に前記認証サーバとIP通信を行うために必要不可欠なブロードキャストフレームを予め許可された送信先へのユニキャストフレームに書き換えることで、認証前に、少なくとも前記端末装置の前記認証サーバへのアクセスを可能とさせ、
前記フレームの転送を制限する処理において、認証前に、少なくともスイッチングハブ及びルータを経由して他のノードへアクセスしようとするフレームを排除させることを特徴とする。
すなわち、本発明の放送範囲可変型ネットワーク集線装置(以下、認証用ハブとする)では、認証サーバによって許可された端末装置以外からのフレームのネットワークの内部及び外部への転送を制限することで、LAN(Local Area Network)環境下におけるセキュリティ性を確保することを特徴とする。
より具体的に説明すると、本発明の認証用ハブでは、端末装置から送信されたユニキャストフレームの送信を制限し、IP(Internet Protocol)アドレス取得やARP(Address Resolution Protocol)解決といった認証動作に必要不可欠なブロードキャストフレームを、許可された送信先へのユニキャストフレームに書き換えることで、必要なネットワークノード(例えば、認証サーバ)のみにアクセス可能としている。
本発明の認証用ハブでは、従来のように、認証動作を肩代わりしたり、VLAN(Virtual Local Area Network)を切替えるといった高度な機能が不要となるので、ソフトウェアの機能や性能が問われるような高性能な装置を使用する必要がない。これは以下の理由によるものである。
本発明の認証用ハブでは、ノードと認証サーバとの間の通信(認証動作)において、未認証ノードからの通信を全て遮断し、認証フレームを認証用ハブが肩代わりして認証サーバに送信するのではなく、ノードと認証サーバとの間の通信及びその他必要な通信のみを透過するように動作するため、認証用ハブ自身が認証動作にかかわる必要がない。これによって、本発明の認証用ハブでは、ノードと認証サーバとの間のプロトコルに対応する必要性がなく、フレームを作成して送信する機能を持つ必要もない。
また、本発明の認証用ハブでは、VLANを切り分けて認証前後の通信範囲の切り分けを行うのではなく、認証前の送信先を限定する方式であるため、ネットワークの切替え動作やVLAN機能自身を有する必要がない。この場合、本発明の認証用ハブでは、ソフトウェアが介在する部分が認証サーバとのテーブルのやりとりのみとなるため、非常に単純なパケットフィルタ機能、パケットコピー機能、アドレス書換え機能を含むハードウェア機能と、認証サーバから認証用ハブのテーブルを書換える機能を含むソフトウェア機能とをのみ有することで、実現可能となる。
さらに、本発明の認証用ハブでは、認証前のノードに対して一部の通信が許可される。つまり、本発明の認証用ハブでは、制限付きのノードからの送信可能ノードエントリテーブルを持つことによって、認証済みのノード以外のノードからの受信フレームを全て廃棄するのではなく、制限付きのノードからの受信としてエントリテーブル宛てのフレームを送信可能としているからである。
さらにまた、本発明の認証用ハブでは、端末のネットワーク設定を認証前後で変更する必要がない。上述した認証VLAN方式では、制限付きのノードが参加するVLANと、認証済みのノードが参加するVLANとを別のVLANとすることで、通信可能ノードの通信範囲を変更しているが、この方式ではVLANの切替えに伴ってネットワークが変わるため、ノード側でもネットワーク設定の切替えが必要になる。本発明の認証用ハブでは、認証前後でネットワークを切替えるのではなく、送信可能先を切替えているため、端末でのネットワーク設定の切替えが不要となる。
したがって、本発明の認証用ハブでは、端末装置がスイッチングハブやルータを経由してその他のネットワークノード(その他のサーバや認証済み端末装置)にアクセスするのを排除することによって、複雑なシステムやネットワークの切替え、高機能な認証装置を使用することなく、不正ユーザによる侵入や盗聴、攻撃を防ぎ、セキュリティ性を確保することが可能となる。
本発明は、以下に述べるような構成及び動作とすることで、複雑なシステムやネットワークの切替え、高機能な認証装置を使用することなく、不正ユーザによる侵入や盗聴、攻撃を防ぎ、セキュリティ性を確保することができるという効果が得られる。
次に、本発明の実施の形態について図面を参照して説明する。図1は本発明の実施の形態による認証システムの構成を示すブロック図である。図1において、本発明の実施の形態による認証システムは端末装置1と、放送範囲可変型ネットワーク集線装置(以下、認証用ハブとする)2と、認証サーバ3と、スイッチングハブ4と、ルータ5と、その他のサーバ6と、認証済み端末装置7とから構成され、認証用ハブ2が端末装置1からスイッチングハブ4やルータ5を経由したネットワーク100へのアクセス、スイッチングハブ4やルータ5を経由してその他のネットワークノード(その他のサーバ6や認証済み端末装置7)にアクセスするのを制限している。
認証用ハブ2は端末装置1から送信されたユニキャストフレームの送信を制限し、IP(Internet Protocol)アドレス取得やARP(Address Resolution Protocol)解決といった認証動作に必要不可欠なブロードキャストフレームを、許可された送信先へのユニキャストフレームに書き換えることで、必要なネットワークノード(認証サーバ3)のみにアクセス可能としている。
また、認証用ハブ2は端末装置1がスイッチングハブ4やルータ5を経由してその他のネットワークノード(その他のサーバ6や認証済み端末装置7)へのアクセスを排除することによって、複雑なシステムやネットワークの切替え、高機能な認証装置を使用することなく、不正ユーザによる侵入や盗聴、攻撃を防ぎ、セキュリティ性を確保している。
次に、本発明の実施例について図面を参照して説明する。図2は本発明の一実施例による認証システムの構成を示すブロック図である。図2において、本発明の一実施例による認証システムは端末装置1−1〜1−3と、認証用ハブ2と、認証サーバ3と、DHCP(Dynamic Host Configuration Protocol)サーバ8と、各ネットワークノード間を接続するスイッチングハブ4と、ルータ5と、ルータ5によって接続されるネットワーク100とから構成されている。
認証用ハブ2はフレーム受信回路部21と、登録情報データベース22と、送信バッファ23と、自装置の各種制御を行うためのプログラム(コンピュータで実行可能なプログラム)を格納する記録媒体24とから構成されている。尚、認証用ハブ2としては、フレーム受信回路部21と、登録情報データベース22と、送信バッファ23と、記録媒体24とを集積化して集積回路チップとすることもできる。
DHCPサーバ8は端末装置1−1〜1−3からのリクエストに対してIPアドレスの払い出しを行う。認証サーバ3は端末装置1−1〜1−3から送信される認証フレームを受信し、端末装置1−1〜1−3(ユーザ)の認証を行う。その結果、端末装置1−1〜1−3の認証が完了した場合、認証サーバ3は認証用ハブ2の登録情報データベース22に対して端末装置1−1〜1−3の通信許可(認証済み)を通知する。
認証用ハブ2は端末装置1−1〜1−3が送信したフレームをフレーム受信回路部21において受信し、その送信元情報を基に登録情報データベース22を参照することによって、フレームの送信、書換え送信、破棄を決定し、送信または書換え送信が許可された送信フレームについては送信バッファ23に送る。
図3は図2の認証用ハブ2の動作例を示すフローチャートである。これら図2及び図3を参照して認証用ハブ2の動作について説明する。尚、図3に示す処理は認証用ハブ2が記録媒体24のプログラムを実行することで実現される。
認証用ハブ2は入力されたフレームに対して、登録情報データベース22への送信元の登録状況を確認する(図3ステップS1,S2)。認証用ハブ2はそのフレームの送信元の登録状況が「認証済み」であった場合、そのフレームを送信バッファ23に送り(図3ステップS6)、その後、宛先ポートから送信する。
また、認証用ハブ2はそのフレームの送信元の登録状況が「未登録」であった場合、そのフレームの送信元を「制限付き」端末として登録情報データベース22に登録する(図3ステップS3)。この後、あるいはそのフレームの送信元の登録状況が「制限付き」であった場合、認証用ハブ2は「制限付き」フレームに対してブロードキャストかユニキャストかの判定を行う(図3ステップS4)。
認証用ハブ2はブロードキャストフレームであった場合、そのフレームをブロードキャストフレームから登録情報データベース22で指定された送信先へのユニキャストフレームに書換えを行った後(図3ステップS5)、そのフレームを送信バッファ23に送り(図3ステップS6)、その後、宛先ポートから送信する。
一方、認証用ハブ2はユニキャストフレームであった場合、フレームの送信先の確認を行い(図3ステップS7)、フレームの送信先が登録情報データベース22の設定で許可された送信先である場合、そのフレームを送信バッファ23に送り(図3ステップS6)、その後、宛先ポートから送信する。
また、認証用ハブ2はフレームの送信先が登録情報データベース22の設定で許可されていない送信先の場合、そのフレームを破棄する(図3ステップS6)。
図4は図2の認証用ハブ2の登録情報データベース22の格納情報を示す図である。図4(a)は制限付き端末でのフレーム送信可能ノードエントリ22aを示し、図4(b)は端末装置登録情報エントリ22bを示している。すなわち、登録情報データベース22の格納情報はフレーム送信可能ノードエントリ22aと、端末装置登録情報エントリ22bとの2つに分類される。
制限付き端末でのフレーム送信可能ノードエントリ22aには、制限付き端末装置からユニキャストまたはブロードキャストで送信可能なネットワークノードについての情報が格納されている。このエントリ22aには送信可能なネットワークノードの送信先識別子221aと、ユニキャストのフレーム送信可否を決めるユニキャスト送信許可フラグ222aと、ブロードキャストからユニキャストに書換えられたフレームの送信可否を決めるブロードキャスト書換え許可フラグ223aとの3項目が含まれている。
送信先識別子221aとしては、“MAC(Media Access Control)アドレス”、または“IPアドレス”、もしくはその両者を使用することが考えられる。送信先識別子221aに登録するネットワークノードとしては、認証サーバ3、DHCPサーバ8が挙げられる。この送信先識別子221aには、必要に応じてDNS(Domain Name System)サーバ等を追加することも考えられる。
端末装置登録情報エントリ22bには、端末装置1の認証状態についての情報が格納されている。このエントリ22bには、端末装置の端末識別子221bと、端末装置が認証状態か制限状態かを示す認証フラグ222bとの2項目が含まれている。端末識別子221bとしては、“MACアドレス”を使用することが考えられる。
図5及び図6は本発明の一実施例による認証システムの動作例を示すシーケンスチャートである。これら図2〜図6を参照して本発明の一実施例による認証システムの動作について説明する。本発明の一実施例による認証システムの動作は、端末装置1、認証用ハブ2、DHCPサーバ8、認証サーバ3によって行われる。その他のノードは、認証用ハブ2やスイッチングハブ4、ルータ5経由で接続されるその他のネットワーク機器や端末装置を示している。
端末装置1が「制限付き」の場合、端末装置1から送信された任意のユニキャストフレームは、認証用ハブ2において登録情報データベース22にある制限付き端末装置でのフレーム送信可能ノードエントリ22aのユニキャスト送信を許可されたエントリと一致するかが確認され、許可されたネットワークノード以外であった場合、認証用ハブ2で破棄される(図5のa1,a2)。このユニキャストフレームは許可されたネットワークノードの場合、そのまま送信される。
端末装置1から送信されたブロードキャストフレームは、認証用ハブ2において登録情報データベース22にある制限付き端末装置でのフレーム送信可能ノードエントリ22aのブロードキャスト書換え許可フラグ223aによって許可されたネットワークノード宛てのユニキャストフレームに書き換えられた後に送信される(図5のa3,a4,a6)。
本実施例ではDHCPサーバ8及び認証サーバ3を送信可能ネットワークノードとしており、DHCPサーバ8及び認証サーバ3は送られてきたユニキャストフレームを受信または破棄する(図5のa5,a7)。
端末装置1はDHCPサーバ8のIPアドレスの取得のためにDHCPサーバ8へアクセスを行う場合、ブロードキャストでDHCPフレームを送信する(図5のa8)。認証用ハブ2はブロードキャストとして受信したDHCPフレームをDHCPサーバ8及び認証サーバ3宛てのユニキャストフレームとして送信する(図5のa9,a11)。
認証サーバ3は受信したユニキャストフレームが認証用のフレームではないため、そのフレームの破棄を行う(図5のa12)。DHCPサーバ8は受信したユニキャストフレームをDHCPのリクエストとしてIPアドレス払い出し処理を行い、端末装置1に対してリプライのDHCPフレームを送信する(図5のa10,a13,a14)。端末装置1は受信したDHCPフレームからDHCPサーバ8のIPアドレスを取得する(図5のa15)。
端末装置1はユーザ認証を行う場合、まず認証サーバ3のIPアドレスからMACアドレスを取得するために、ブロードキャストにてARPフレームを送信する(図5のa16)。認証用ハブ2はブロードキャストで受信したARPフレームをDHCPサーバ8及び認証サーバ3宛てのユニキャストとしてARPフレームを送信する(図5のa17,a19)。
DHCPサーバ8は受信したARPフレームに含まれる情報が自装置のIPアドレスではないため、そのフレームを破棄する(図5のa18)。認証サーバ3はARPフレームに含まれる情報が自装置のIPアドレスであるため、ARPに対してリプライのARPフレームを送信する(図5のa20〜a22)。
端末装置1は認証サーバ3から受信したリプライのARPフレームよりMACアドレスを取得することができるので(図5のa23)、認証サーバ3に対してそのMACアドレス宛てに認証のためのユニキャスト通信を行う(図6のa24)。認証用ハブ2は端末装置1から受信したユニキャストフレーム(認証フレーム)の送信先が許可されたネットワークノードであるため、そのままフレームの送信を行う。
端末装置1と認証サーバ3との間で認証が完了すると、認証サーバ3は端末装置1に対して認証OKフレームをリプライし(図6のa25〜a27)、端末装置1は認証状態と認識される(図6のa28)。また、認証サーバ3は認証用ハブ2の登録情報データベース22にアクセスし(認証OKフレーム)(図6のa29,a30)、端末装置登録情報エントリ22bの該当する端末装置エントリに対して認証フラグ222bを「未」から「完」に更新する(図6のa31)。
認証後、端末装置1から送信されるブロードキャストフレーム、ユニキャストフレームはそのまま送信先または全ネットワークノードに対して送信が行われる(図6のa32〜a36)。
このように、本実施例では、認証用ハブ2にて、端末装置1から送信されたユニキャストフレームの送信を制限し、IPアドレス取得やARP解決といった認証動作に必要不可欠なブロードキャストフレームを、許可された送信先へのユニキャストフレームに書き換えることで、必要なネットワークノード(例えば、認証サーバ)のみにアクセス可能としている。
本実施例では、認証用ハブ2において、従来のように、認証動作を肩代わりしたり、VLAN(Virtual Local Area Network)を切替えるといった高度な機能が不要となるので、ソフトウェアの機能や性能が問われるような高性能な装置を使用する必要がない。これは以下の理由によるものである。
本実施例では、認証用ハブ2が、ノードと認証サーバ3との間の通信(認証動作)において、未認証ノードからの通信を全て遮断し、認証フレームを認証用ハブ2が肩代わりして認証サーバ3に送信するのではなく、ノードと認証サーバ3との間の通信及びその他必要な通信のみを透過するように動作するため、認証用ハブ2自身が認証動作にかかわる必要がない。これによって、本実施例では、認証用ハブ2が、ノードと認証サーバ3との間のプロトコルに対応する必要性がなく、フレームを作成して送信する機能を持つ必要もない。
また、本実施例では、認証用ハブ2が、VLANを切り分けて認証前後の通信範囲の切り分けを行うのではなく、認証前の送信先を限定する方式であるため、ネットワークの切替え動作やVLAN機能自身を有する必要がない。この場合、本実施例では、認証用ハブ2が、ソフトウェアが介在する部分が認証サーバ3とのテーブルのやりとりのみとなるため、非常に単純なパケットフィルタ機能、パケットコピー機能、アドレス書換え機能を含むハードウェア機能と、認証サーバから認証用ハブのテーブルを書換える機能を含むソフトウェア機能とをのみ有することで、実現可能となる。
さらに、本実施例では、認証用ハブ2が、認証前のノードに対して一部の通信が許可される。つまり、本実施例では、認証用ハブ2が、制限付きのノードからの送信可能ノードエントリテーブルを持つことによって、認証済みのノード以外のノードからの受信フレームを全て廃棄するのではなく、制限付きのノードからの受信としてエントリテーブル宛てのフレームを送信可能としているからである。
さらにまた、本実施例では、認証用ハブ2が、端末のネットワーク設定を認証前後で変更する必要がない。上述した認証VLAN方式では、制限付きのノードが参加するVLANと、認証済みのノードが参加するVLANとを別のVLANとすることで、通信可能ノードの通信範囲を変更しているが、この方式ではVLANの切替えに伴ってネットワークが変わるため、ノード側でもネットワーク設定の切替えが必要になる。本実施例では、認証用ハブ2が、認証前後でネットワークを切替えるのではなく、送信可能先を切替えているため、端末でのネットワーク設定の切替えが不要となる。
したがって、本実施例では、認証用ハブ2にて、端末装置1がスイッチングハブ4やルータ5を経由してその他のネットワークノード(その他のサーバ6や認証済み端末装置7)にアクセスするのを排除することによって、複雑なシステムやネットワークの切替え、高機能な認証装置を使用することなく、不正ユーザによる侵入や盗聴、攻撃を防ぎ、セキュリティ性を確保することができる。
尚、本実施例では、ネットワークの内部へのアクセス制限について述べたが、ネットワークの外部へのアクセス制限を行うことも可能である。宛先がネットワークの外部の場合、宛先MACアドレスはデフォルトゲートウェイとして機能するルータのアドレスとなり、宛先IPアドレスは目的のネットワークノードのIPアドレスとなる。この二つのアドレスを送信先識別子として制限付き端末に対応するフレーム送信可能ノードエントリに格納し、そのフレーム送信可能ノードエントリに基づいて送信判定を行う必要がある。
本発明の実施の形態による認証システムの構成を示すブロック図である。 本発明の一実施例による認証システムの構成を示すブロック図である。 図2の認証用ハブ2の動作例を示すフローチャートである。 図2の認証用ハブの登録情報データベースの格納情報を示す図である。 本発明の一実施例による認証システムの動作例を示すシーケンスチャートである。 本発明の一実施例による認証システムの動作例を示すシーケンスチャートである。 従来のIEEE802.1X認証方式の認証システムの構成を示すブロック図である。 従来の認証VLAN方式の認証システムの構成を示すブロック図である。
符号の説明
1,1−1〜1−3 端末装置
2 放送範囲可変型ネットワーク集線装置(認証用ハブ)
3 認証サーバ
4 スイッチングハブ
5 ルータ
6 その他のサーバ
7 認証済み端末装置
8 DHCPサーバ
21 フレーム受信回路部
22 登録情報データベース
22a フレーム送信可能ノードエントリ
22b 端末装置登録情報エントリ
23 送信バッファ
24 記録媒体
100 ネットワーク
221a 送信先識別子
222a ユニキャスト送信許可フラグ
223a ブロードキャスト書換え許可フラグ
221b 端末識別子
222b 認証フラグ

Claims (13)

  1. ネットワーク集線装置に収容される端末装置の認証を行う認証サーバを含む認証システムであって、
    前記ネットワーク集線装置は、前記認証サーバによって許可された端末装置以外からのフレームのネットワークの内部及び外部への転送を制限する手段を有し、
    前記フレームの転送を制限する手段は、前記端末装置から送信されたユニキャストフレームの送信を制限し、前記端末装置が認証動作を行う際に前記認証サーバとIP通信を行うために必要不可欠なブロードキャストフレームを予め許可された送信先へのユニキャストフレームに書き換えることで、認証前に、少なくとも前記端末装置の前記認証サーバへのアクセスを可能とし、
    前記フレームの転送を制限する手段は、認証前に、少なくともスイッチングハブ及びルータを経由して他のノードへアクセスしようとするフレームを排除することを特徴とする認証システム。
  2. 前記ネットワーク集線装置は、前記ブロードキャストフレームと前記ユニキャストフレームとの書き換えが可能な放送範囲可変型であることを特徴とする請求項1記載の認証システム。
  3. 前記認証動作を行う際に前記認証サーバとIP通信を行うために必要な処理として、少なくともIP(Internet Protocol)アドレス取得とARP(Address Resolution Protocol)解決とを含むことを特徴とする請求項1または請求項2記載の認証システム。
  4. 前記ネットワーク集線装置は、少なくとも前記フレームの転送を制限する手段を集積化してなる集積回路であることを特徴とする請求項1から請求項3のいずれか記載の認証システム。
  5. 認証サーバによって認証される端末装置を収容するネットワーク集線装置であって、
    前記認証サーバによって許可された端末装置以外からのフレームのネットワークの内部及び外部への転送を制限する手段を有し、
    前記フレームの転送を制限する手段は、前記端末装置から送信されたユニキャストフレームの送信を制限し、前記端末装置が認証動作を行う際に前記認証サーバとIP通信を行うために必要不可欠なブロードキャストフレームを予め許可された送信先へのユニキャストフレームに書き換えることで、認証前に、少なくとも前記端末装置の前記認証サーバへのアクセスを可能とし、
    前記フレームの転送を制限する手段は、認証前に、少なくともスイッチングハブ及びルータを経由して他のノードへアクセスしようとするフレームを排除することを特徴とするネットワーク集線装置。
  6. 前記ブロードキャストフレームと前記ユニキャストフレームとの書き換えが可能な放送範囲可変型であることを特徴とする請求項5記載のネットワーク集線装置。
  7. 前記認証動作を行う際に前記認証サーバとIP通信を行うために必要な処理として、少なくともIP(Internet Protocol)アドレス取得とARP(Address Resolution Protocol)解決とを含むことを特徴とする請求項5または請求項6記載のネットワーク集線装置。
  8. 少なくとも前記フレームの転送を制限する手段を集積化してなる集積回路であることを特徴とする請求項5から請求項7のいずれか記載のネットワーク集線装置。
  9. ネットワーク集線装置に収容される端末装置の認証を行う認証サーバを含む認証システムに用いられる認証方法であって、
    前記ネットワーク集線装置が、前記認証サーバによって許可された端末装置以外からのフレームのネットワークの内部及び外部への転送を制限するステップを実行し、
    前記フレームの転送を制限するステップにおいて、前記端末装置から送信されたユニキャストフレームの送信を制限し、前記端末装置が認証動作を行う際に前記認証サーバとIP通信を行うために必要不可欠なブロードキャストフレームを予め許可された送信先へのユニキャストフレームに書き換えることで、認証前に、少なくとも前記端末装置の前記認証サーバへのアクセスを可能とし、
    前記フレームの転送を制限するステップにおいて、認証前に、少なくともスイッチングハブ及びルータを経由して他のノードへアクセスしようとするフレームを排除することを特徴とする認証方法。
  10. 前記ネットワーク集線装置は、前記ブロードキャストフレームと前記ユニキャストフレームとの書き換えが可能な放送範囲可変型であることを特徴とする請求項9記載の認証方法。
  11. 前記認証動作を行う際に前記認証サーバとIP通信を行うために必要な処理として、少なくともIP(Internet Protocol)アドレス取得とARP(Address Resolution Protocol)解決とを含むことを特徴とする請求項9または請求項10記載の認証方法。
  12. 前記ネットワーク集線装置が、少なくとも前記フレームの転送を制限する手段を集積化してなる集積回路であることを特徴とする請求項9から請求項11のいずれか記載の認証方法。
  13. ネットワーク集線装置に収容される端末装置の認証を行う認証サーバを含む認証システムにおいて前記ネットワーク集線装置内のコンピュータに実行させるプログラムであって、
    前記認証サーバによって許可された端末装置以外からのフレームのネットワークの内部及び外部への転送を制限する処理を含み、
    前記フレームの転送を制限する処理において、前記端末装置から送信されたユニキャストフレームの送信を制限させ、前記端末装置が認証動作を行う際に前記認証サーバとIP通信を行うために必要不可欠なブロードキャストフレームを予め許可された送信先へのユニキャストフレームに書き換えることで、認証前に、少なくとも前記端末装置の前記認証サーバへのアクセスを可能とさせ、
    前記フレームの転送を制限する処理において、認証前に、少なくともスイッチングハブ及びルータを経由して他のノードへアクセスしようとするフレームを排除させることを特徴とするプログラム。
JP2004206662A 2004-07-14 2004-07-14 認証システム、ネットワーク集線装置及びそれらに用いる認証方法並びにそのプログラム Expired - Fee Related JP4920878B2 (ja)

Priority Applications (3)

Application Number Priority Date Filing Date Title
JP2004206662A JP4920878B2 (ja) 2004-07-14 2004-07-14 認証システム、ネットワーク集線装置及びそれらに用いる認証方法並びにそのプログラム
US11/179,602 US8209529B2 (en) 2004-07-14 2005-07-13 Authentication system, network line concentrator, authentication method and authentication program
CN2005100833904A CN1722661B (zh) 2004-07-14 2005-07-14 认证系统、网络线路级联器和认证方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2004206662A JP4920878B2 (ja) 2004-07-14 2004-07-14 認証システム、ネットワーク集線装置及びそれらに用いる認証方法並びにそのプログラム

Publications (2)

Publication Number Publication Date
JP2006033206A JP2006033206A (ja) 2006-02-02
JP4920878B2 true JP4920878B2 (ja) 2012-04-18

Family

ID=35600818

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004206662A Expired - Fee Related JP4920878B2 (ja) 2004-07-14 2004-07-14 認証システム、ネットワーク集線装置及びそれらに用いる認証方法並びにそのプログラム

Country Status (3)

Country Link
US (1) US8209529B2 (ja)
JP (1) JP4920878B2 (ja)
CN (1) CN1722661B (ja)

Families Citing this family (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7542468B1 (en) * 2005-10-18 2009-06-02 Intuit Inc. Dynamic host configuration protocol with security
JP2007272396A (ja) * 2006-03-30 2007-10-18 Nec Personal Products Co Ltd セキュリティ管理システム、中継装置、プログラム
JP2007274086A (ja) * 2006-03-30 2007-10-18 Nec Corp アクセス制御方法及びアクセス制御システム
JP2007279906A (ja) * 2006-04-04 2007-10-25 Mitsubishi Electric Corp ネットワークアクセス管理システム
US7953457B2 (en) * 2006-04-28 2011-05-31 Research In Motion Limited Methods and apparatus for reducing power consumption for mobile devices using broadcast-to-unicast message conversion
US8973098B2 (en) * 2007-01-11 2015-03-03 International Business Machines Corporation System and method for virtualized resource configuration
JP4773987B2 (ja) 2007-02-01 2011-09-14 アラクサラネットワークス株式会社 端末所属切換システム
US8726347B2 (en) * 2007-04-27 2014-05-13 International Business Machines Corporation Authentication based on previous authentications
JP5106938B2 (ja) 2007-07-27 2012-12-26 富士通コンポーネント株式会社 Kvmスイッチ及びそのドライバプログラム、並びに情報処理装置及び制御プログラム
US8612606B2 (en) * 2010-10-12 2013-12-17 Juniper Networks, Inc. Preserving an authentication state by maintaining a virtual local area network (VLAN) association
US8493981B2 (en) 2010-11-03 2013-07-23 Broadcom Corporation Switch module
EP2493147B1 (en) * 2011-02-23 2014-05-21 Zerogroup Holding OÜ Control system and pairing method for a control system
JP2015518297A (ja) * 2012-03-05 2015-06-25 インターデイジタル パテント ホールディングス インコーポレイテッド 通信ネットワークにおける事前関連付け検出のためのデバイスおよび方法
JP5921460B2 (ja) 2013-02-20 2016-05-24 アラクサラネットワークス株式会社 認証方法、転送装置及び認証サーバ
CN104283858B (zh) 2013-07-09 2018-02-13 华为技术有限公司 控制用户终端接入的方法、装置及系统
JP6536251B2 (ja) * 2015-07-24 2019-07-03 富士通株式会社 通信中継装置、通信ネットワーク、通信中継プログラム及び通信中継方法
JP6888437B2 (ja) * 2017-06-23 2021-06-16 住友電気工業株式会社 車載通信装置、通信制御方法および通信制御プログラム
JP7227727B2 (ja) * 2018-10-03 2023-02-22 エヌ・ティ・ティ・コミュニケーションズ株式会社 デバイス管理装置、デバイス管理方法及びコンピュータープログラム
US11595444B2 (en) * 2020-12-03 2023-02-28 International Business Machines Corporation Authenticity assessment of a requestor based on a communication request

Family Cites Families (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
NL279140A (ja) * 1961-05-31
DE3545786A1 (de) * 1985-12-21 1987-06-25 Schering Ag Pyrazolinderivate, ihre herstellung und ihre verwendung als mittel mit insektizider wirkung
DE3808896A1 (de) * 1988-03-17 1989-09-28 Hoechst Ag Pflanzenschuetzende mittel auf basis von pyrazolcarbonsaeurederivaten
JP3684262B2 (ja) * 1996-01-17 2005-08-17 富士通株式会社 ネットワークシステム及び集線装置
US6070243A (en) * 1997-06-13 2000-05-30 Xylan Corporation Deterministic user authentication service for communication network
JP2001036561A (ja) * 1999-07-15 2001-02-09 Shin Maruyama Tcp/ipネットワークシステム
MY138097A (en) * 2000-03-22 2009-04-30 Du Pont Insecticidal anthranilamides
JP2002124952A (ja) * 2000-10-12 2002-04-26 Furukawa Electric Co Ltd:The 無線ネットワークにおける無線端末の認証方法および無線ネットワークにおける無線端末の認証システム
JP2003046533A (ja) * 2001-08-02 2003-02-14 Nec Commun Syst Ltd ネットワークシステム、その認証方法及びそのプログラム
DE60236600D1 (de) * 2001-08-13 2010-07-15 Du Pont Substituierte 1h-dihydropyrazole, ihre herstellung und verwendung
AR036872A1 (es) * 2001-08-13 2004-10-13 Du Pont Compuesto de antranilamida, composicion que lo comprende y metodo para controlar una plaga de invertebrados
JP3493194B1 (ja) 2001-09-04 2004-02-03 松下電器産業株式会社 高圧放電ランプ
US7325246B1 (en) * 2002-01-07 2008-01-29 Cisco Technology, Inc. Enhanced trust relationship in an IEEE 802.1x network
JP2003224576A (ja) * 2002-01-30 2003-08-08 Nec Corp Lan型インタネット・アクセス網及びそれに用いる加入者線収容方法
KR100438431B1 (ko) * 2002-02-23 2004-07-03 삼성전자주식회사 통신 네트워크에서 가상 사설 네트워크 서비스 접속을위한 보안 시스템 및 방법
JP2004064204A (ja) * 2002-07-25 2004-02-26 Nec Corp ネットワーク機器アクセス制御方法、ネットワーク機器制御システム、アクセス制御装置及びそのプログラム
KR100492958B1 (ko) * 2002-09-10 2005-06-07 삼성전자주식회사 무선 고속 데이터 시스템에서 공중망과 사설망의 공통사용 방법 및 시스템
KR100590862B1 (ko) * 2003-04-29 2006-06-19 삼성전자주식회사 사설 무선 고속 데이터 시스템의 데이터 호 처리 장치 및그 방법

Also Published As

Publication number Publication date
JP2006033206A (ja) 2006-02-02
CN1722661A (zh) 2006-01-18
CN1722661B (zh) 2012-01-11
US20060015714A1 (en) 2006-01-19
US8209529B2 (en) 2012-06-26

Similar Documents

Publication Publication Date Title
JP4920878B2 (ja) 認証システム、ネットワーク集線装置及びそれらに用いる認証方法並びにそのプログラム
EP1987629B1 (en) Techniques for authenticating a subscriber for an access network using dhcp
EP1878169B1 (en) Operator shop selection in broadband access related application
JP6884818B2 (ja) Vxlan実装方法、ネットワークデバイス、および通信システム
US8117639B2 (en) System and method for providing access control
US8224988B2 (en) Network relay method, network relay apparatus, and network relay program
US20070248085A1 (en) Method and apparatus for managing hardware address resolution
US20110032939A1 (en) Network system, packet forwarding apparatus, and method of forwarding packets
US20070237148A1 (en) Method for IP routing when using dynamic VLANs with web based authentication
US8484715B2 (en) Method and system for network access and network connection device
WO2014043032A1 (en) System and method for routing selected network traffic to a remote network security device in a network environment
WO2017107871A1 (zh) 访问控制方法和网络设备
EP2550784B1 (en) Method of securing access to data or services that are accessible via a device implementing the method and corresponding device
JP3858884B2 (ja) ネットワークアクセスゲートウェイ及びネットワークアクセスゲートウェイの制御方法並びにプログラム
JP2006352719A (ja) ネットワーク監視装置,ネットワーク監視方法,ネットワークシステム及びネットワーク監視方法及びネットワーク通信方法
JP4825501B2 (ja) 無線lanアクセスポイント、これを用いたipアドレスの管理方法並びに管理プログラム
JP4253520B2 (ja) ネットワーク認証装置及びネットワーク認証システム
JP2010187314A (ja) 認証機能付きネットワーク中継機器及びそれを用いた端末の認証方法
JP2002084306A (ja) パケット通信装置及びネットワークシステム
JP2010239591A (ja) ネットワークシステム、中継装置、およびネットワーク制御方法
WO2003045034A1 (en) Security of data through wireless access points supporting roaming
JP4827868B2 (ja) ネットワーク接続制御システム、ネットワーク接続制御プログラムおよびネットワーク接続制御方法
Cisco Command Reference
US20230412702A1 (en) Captive portal redirection by devices with no internet protocol connectivity in the host virtual local area network
Chrástek CCNA 1 Routing and Switching Introduction to Networks v5. 0 Answers

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20070611

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20090703

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20090714

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20090914

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20100216

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20100517

A911 Transfer to examiner for re-examination before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20100524

A912 Re-examination (zenchi) completed and case transferred to appeal board

Free format text: JAPANESE INTERMEDIATE CODE: A912

Effective date: 20100611

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20120202

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20150210

Year of fee payment: 3

LAPS Cancellation because of no payment of annual fees