JP4970189B2 - 認証装置およびネットワーク認証システム、ならびに端末装置を認証するための方法およびプログラム - Google Patents

認証装置およびネットワーク認証システム、ならびに端末装置を認証するための方法およびプログラム Download PDF

Info

Publication number
JP4970189B2
JP4970189B2 JP2007209652A JP2007209652A JP4970189B2 JP 4970189 B2 JP4970189 B2 JP 4970189B2 JP 2007209652 A JP2007209652 A JP 2007209652A JP 2007209652 A JP2007209652 A JP 2007209652A JP 4970189 B2 JP4970189 B2 JP 4970189B2
Authority
JP
Japan
Prior art keywords
authentication
terminal device
message
protocol
packet
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2007209652A
Other languages
English (en)
Other versions
JP2009044632A (ja
Inventor
坂 直 紀 江
澤 佳 道 谷
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Toshiba Corp
Original Assignee
Toshiba Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Toshiba Corp filed Critical Toshiba Corp
Priority to JP2007209652A priority Critical patent/JP4970189B2/ja
Priority to US12/188,262 priority patent/US8286224B2/en
Publication of JP2009044632A publication Critical patent/JP2009044632A/ja
Application granted granted Critical
Publication of JP4970189B2 publication Critical patent/JP4970189B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0892Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/162Implementing security features at a particular protocol layer at the data link layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/02Terminal devices

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Accounting & Taxation (AREA)
  • Small-Scale Networks (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明は、認証装置およびネットワーク認証システム、ならびに端末装置を認証するための方法およびプログラムに関する。
ネットワークアクセス認証プロトコルとしてIEEE 802.1X(非特許文献1参照)が広く普及している。しかし、IEEE 802.1X はリンク層のプロコトルでありイーサネット(登録商標)のみが対象であるため様々なデータリンク層に対応できないという問題点がある。これを解決するためIETF ではPANA(Protocol for Carrying Authentication For Network Access)(非特許文献4参照) というUDP(User Datagram Protocol)/IP(Internet Protocol) 上で動作するネットワークアクセス認証プロトコルが提案/標準化されている。
このようなPANA をネットワークアクセス認証プトコロルとして、IEEE 802.1Xがすでに運用されているネットワークに導入するときには、IEEE 802.1Xと共存しつつスムーズに移行することが望まれる。IEEE 802.1X とPANA とが共存してもそれぞれが独立したレイヤに存在する為邪魔をすることはないが、IEEE 802.1X に加えPANA の認証を行うシステムでは(すでにIEEE 802.1X のネットワークが敷かれている状態でIEEE 802.1X を残しつつPANA を必要とする機器を導入する場合)には、端末装置は、IEEE 802.1X とPANA の両方に対応して、認証サーバ(AAA) に対して複数回の認証を行う必要がある為、端末装置のサービスを開始できるまでの時間が遅くなってしまう問題がある。また、認証サーバには複数回の認証要求が発生するため負荷が高くなる。
図4はIEEE 802.1X とPANA を同時に運用しているシステムにおいてIEEE 802.1X とPANA の両方に対応の端末装置が認証プロトコルとして、EAP(Extensible Authentication Protocol)による認証(EAP認証)を受けるまで手順を概略的に示す。
図4から理解されるように、この端末装置は、まずIEEE 802.1XによるEAP認証101を受け、次にPANA によるEAP認証102を受ける。このように端末装置がサービスを使えるようになるまでにはIEEE 802.1X とPANA とによる2つの認証を行う必要があるため、端末装置がサービスを開始できるまでの時間が遅くなるとともに、認証サーバの負荷が高くなる。
したがって、IEEE 802.1X が広まっているネットワークにおいてPANA を導入する場合、
・IEEE 802.1X とPANA 対応の端末装置においてIEEE 802.1X とPANA 対応の端末装置の認証にかかる時間を軽減すること
・IEEE 802.1X のみの対応の端末装置および装置の動作に影響を与えないこと
が望まれる。
特開2005-109823公報 IEEE802. IEEE-Std802.1X-2001, 2001. http://standards.ieee.org/getieee802/download/802.1X2001.pdf. B. Aboba and M. Beadles. The Network Access Identifier. rfc 2486, IETF, January 1999. B. Aboba, L. Blunk, J. Vollbrecht, J. Carlson, H. Levkow etz, and Ed. Extensible Authentication Protocol(EAP). rfc 3748, IETF, June 2004. Dan Forsberg. Protocol for Carrying Authentication for Network Access (PANA). Internet Draft, March 2007. <draft-ietf-pana-pana-14.txt>.
本発明は、IEEE802.1Xと、UDP/IP層またはTCP/IP層より上位層で定義された上位層プロトコル(たとえばPANA)との両方の上で動作可能なある認証プロトコル(たとえばEAP)に従った認証を、IEEE802.1Xと上位層プロトコルとの両方に対して受ける端末装置に対する認証を、短時間で行うことを可能とした認証装置およびネットワーク認証システム、ならびに端末装置を認証するための方法およびプログラムを提供する。
本発明の一態様としての認証装置は、
プロトコルスタックにおいてデータリンク層で定義されたIEEE802.1Xと、前記プロトコルスタックにおいてUDP(User Datagram Protocol)/IP(Internet Protocol)層またはTCP(Transmission Control Protocol)/IP(Internet Protocol)層より上位層で定義された上位層プロトコルとの両方の上で動作可能なある認証プロトコルに従った認証を、前記IEEE802.1Xと前記上位層プロトコルとの両方に対して受ける端末装置に対する認証を行うための認証装置であって、
前記IEEE802.1Xに対する認証を受けるために必要な第1のメッセージを前記端末装置から取得する第1の取得手段と、
前記第1の取得手段により取得された前記第1のメッセージにあらかじめ定められた認証識別子が含まれるとき、前記IEEE802.1Xに対する認証が成功したとみなし、前記IEEE802.1Xに対する認証が成功したことを通知する成功メッセージを前記端末装置に返す返送手段と、
前記成功メッセージを返した前記端末装置との間に前記データリンク層のデータリンクを設定するデータリンク設定手段と、
前記端末装置から前記データリンク上で送られてくる、前記UDP/IPまたは前記TCP/IPのパケットのフィルタリングを行うフィルタリング手段と、
前記第1の取得手段により取得された前記第1のメッセージに前記認証識別子が含まれるとき、前記端末装置から送信される前記パケットのうち前記上位層プロトコルに対する認証を受けるために通過させるべき第1のパケットは通過させ前記第1のパケットと異なる第2のパケットは遮断するように前記フィルタリング手段を設定する第1のフィルタ設定手段と、
前記端末装置から前記上位層プロトコルに対する認証を受けるために必要な、前記第1のパケットによって運ばれる第2のメッセージを、前記フィルタリング手段を介して取得する第2の取得手段と、
前記第2のメッセージを送った前記端末装置に対して前記上位層プロトコルに対する認証を行う認証手段と、
前記認証手段により前記上位層プロトコルに対する認証が成功したとき、前記端末装置から前記データリンク上で送られてくる前記第2のパケットを通過させるように前記フィルタリング手段を設定する第2のフィルタ設定手段と、
を備える。
本発明の一態様としての認証方法は、
プロトコルスタックにおいてデータリンク層で定義されたIEEE802.1Xと、前記プロトコルスタックにおいてUDP/IP層またはTCP/IP層より上位層で定義された上位層プロトコルとの両方の上で動作可能なある認証プロトコルに従った認証を、前記IEEE802.1Xと前記上位層プロトコルとの両方に対して受ける端末装置に対する認証を行うための認証方法であって、
前記IEEE802.1Xに対する認証を受けるために必要な第1のメッセージを前記端末装置から取得し、
前記端末装置から取得された前記第1のメッセージにあらかじめ定められた認証識別子が含まれるとき、前記IEEE802.1Xに対する認証が成功したとみなし、前記IEEE802.1Xに対する認証が成功したことを通知する成功メッセージを前記端末装置に返し、
前記成功メッセージを返した前記端末装置との間に前記データリンク層のデータリンクを設定し、
前記端末装置から前記データリンク上で送られてくる、前記UDP/IPまたは前記TCP/IPのパケットを、前記パケットのフィルタリングを行うフィルタリング手段を用いてフィルタリングし、
前記端末装置から取得された前記第1のメッセージに前記認証識別子が含まれるとき、前記端末装置から送信される前記パケットのうち前記上位層プロトコルに対する認証を受けるために通過させるべき第1のパケットは通過させ前記第1のパケットと異なる第2のパケットは遮断するように前記フィルタリング手段を設定し、
前記端末装置から前記上位層プロトコルに対する認証を受けるために必要な、前記第1のパケットによって運ばれる第2のメッセージを前記フィルタリングを介して取得し、
前記第2のメッセージを送った前記端末装置に対して前記上位層プロトコルに対する認証を行い
前記上位層プロトコルに対する認証が成功したとき、前記端末装置から前記データリンク上で送られてくる前記第2のパケットを通過させるように前記フィルタリング手段を設定する、
ことを特徴とする。
本発明の一態様としての認証プログラムは、
プロトコルスタックにおいてデータリンク層で定義されたIEEE802.1Xと、前記プロトコルスタックにおいてUDP/IP層またはTCP/IP層より上位層で定義された上位層プロトコルとの両方の上で動作可能なある認証プロトコルに従った認証を、前記IEEE802.1Xと前記上位層プロトコルとの両方に対して受ける端末装置に対する認証を行うための認証プログラムであって、
前記IEEE802.1Xに対する認証を受けるために必要な第1のメッセージを前記端末装置から取得するステップと、
前記端末装置から取得された前記第1のメッセージにあらかじめ定められた認証識別子が含まれるとき、前記IEEE802.1Xに対する認証が成功したとみなし、前記IEEE802.1Xに対する認証が成功したことを通知する成功メッセージを前記端末装置に返すステップと、
前記成功メッセージを返した前記端末装置との間に前記データリンク層のデータリンクを設定するステップと、
前記端末装置から前記データリンク上で送られてくる、前記UDP/IPまたは前記TCP/IPのパケットを、前記パケットのフィルタリングを行うフィルタリング手段を用いてフィルタリングするステップと、
前記端末装置から取得された前記第1のメッセージに前記認証識別子が含まれるとき、前記端末装置から送信される前記パケットのうち前記上位層プロトコルに対する認証を受けるために通過させるべき第1のパケットは通過させ前記第1のパケットと異なる第2のパケットは遮断するように前記フィルタリング手段を設定するステップと、
前記端末装置から前記上位層プロトコルに対する認証を受けるために必要な、前記第1のパケットによって運ばれる第2のメッセージを前記フィルタリングを介して取得するステップと、
前記第2のメッセージを送った前記端末装置に対して前記上位層プロトコルに対する認証を行うステップと、
前記上位層プロトコルに対する認証が成功したとき、前記端末装置から前記データリンク上で送られてくる前記第2のパケットを通過させるように前記フィルタリング手段を設定するステップと、
をコンピュータに実行させる。
本発明の一態様としてのネットワークアクセス認証システムは、
プロトコルスタックにおいてデータリンク層で定義されたIEEE802.1Xと、前記プロトコルスタックにおいてUDP/IP層またはTCP/IP層より上位層で定義された上位層プロトコルとの両方の上で動作可能なある認証プロトコルに従った認証を、前記IEEE802.1Xと前記上位層プロトコルとの両方に対して受ける端末装置と、前記端末装置に対する認証を行う認証装置とを備えたネットワークアクセス認証システムであって、
前記認証装置は、
前記IEEE802.1Xに対する認証を受けるために必要な第1のメッセージを前記端末装置から取得する第1の取得手段と、
前記第1の取得手段により取得された前記第1のメッセージにあらかじめ定められた認証識別子が含まれるとき、前記IEEE802.1Xに対する認証が成功したとみなし、前記IEEE802.1Xに対する認証が成功したことを通知する成功メッセージを前記端末装置に返す返送手段と、
前記成功メッセージを返した前記端末装置との間に前記データリンク層のデータリンクを設定するデータリンク設定手段と、
前記端末装置から前記データリンク上で送られてくる、前記UDP/IPまたは前記TCP/IPのパケットのフィルタリングを行うフィルタリング手段と、
前記第1の取得手段により取得された前記第1のメッセージに前記認証識別子が含まれるとき、前記端末装置から送信される前記パケットのうち前記上位層プロトコルに対する認証を受けるために通過させるべき第1のパケットは通過させ前記第1のパケットと異なる第2のパケットは遮断するように前記フィルタリング手段を設定する第1のフィルタ設定手段と、
前記端末装置から前記上位層プロトコルに対する認証を受けるために必要な、前記第1のパケットによって運ばれる第2のメッセージを、前記フィルタリング手段を介して取得する第2の取得手段と、
前記第2のメッセージを送った前記端末装置に対して前記上位層プロトコルに対する認証を行う認証手段と、
前記認証手段により前記上位層プロトコルに対する認証が成功したとき、前記端末装置から前記データリンク上で送られてくる前記第2のパケットを通過させるように前記フィルタリング手段を設定する第2のフィルタ設定手段と、を有し、
前記端末装置は、
前記IEEE802.1Xに対する認証を受けるために必要な第1のメッセージを前記あらかじめ定められた認証識別子を含めて前記認証装置に送出する送出手段を有する、
ことを特徴とする。
本発明により、IEEE802.1Xと、UDP/IP層またはTCP/IP層より上位層で定義された上位層プロトコル(たとえばPANA)との両方の上で動作可能なある認証プロトコル(たとえばEAP)に従った認証を、IEEE802.1Xと上位層プロトコルとの両方に対して受ける端末装置に対する認証を、短時間で行うことが可能となる。
本実施形態は、IEEE 802.1X がすでに敷かれているネットワークにおいてPANA を導入する場合において、IEEE 802.1X とPANAとの両方に対応の端末装置がネットワークアクセス認証を認証エージェント装置(認証装置)に要求したとき、認証エージェント装置がIEEE 802.1Xの認証に関しては、IEEE802.1X のシーケンスの仕様に違反しないようにかつ認証サーバに問い合わせることなくIEEE802.1Xの認証が成功したとみなす処理を行い、その後、実際にPANAでの認証のみを行うことを大きな特徴の1つとするものである。本実施形態では、IEEE 802.1X がすでに敷かれているネットワークにおいてPANA を導入する場合を想定しているため、該ネットワークに参加する端末装置としては、IEEE 802.1X のみの対応の端末装置と、IEEE 802.1X とPANA との両方に対応の端末装置との2種類を想定し、PANA のみ対応の端末装置は考えないものとする。
以下図面を参照しながら、本発明の実施の形態について詳細に説明する。
図1は、本発明の一実施の形態としての認証エージェント装置(認証装置)11の構成を示すブロック図である。図2は、図1の認証エージェント装置を適用したネットワーク認証システムの概略構成を示す図である。
図2に示すように、本ネットワーク認証システムは、IEEE 802.1X とPANAとの両方に対応の端末装置12がネットワークアクセス認証を認証エージェント装置11に要求したとき、認証エージェント装置11は、IEEE 802.1Xの認証に関しては、IEEE802.1X のシーケンスの仕様に違反しないようにかつ認証サーバ13に問い合わせることなくIEEE802.1Xの認証が成功したとみなす処理を行い、その後、認証エージェント装置11は、PANAでのネットワークアクセス認証を、認証サーバ13にアクセスして行う。つまり、図2から理解できるように、このシステムでは、図4の従来のシステムに比べIEEE 802.1X の認証を実質的に行わない点が、大きく異なっている。このようにして本システムでは、認証の回数を実質的に従来の2回から1回に低減できるため、認証に要する時間を大きく短縮することができる。
以下、このようなネットワーク認証システムにおいて本発明の大きな特徴の1つとなる認証エージェント装置の実施形態について詳細に説明し、その後、図2を用いて本ネットワーク認証システムの動作概要を説明するとともに図3を用いて本システムの詳細な動作説明を行う。
図1に示すように、この認証エージェント装置11は、IP(Internet Protocol:インターネットプロトコル)フィルタ部21と、EAP(Extensible Authentication Protocol:拡張認証プロトコル)処理部22と、PANA(Protocol for Carrying Authentication For Network Access)処理部23と、IEEE 802.1X Authenticator (IEEE 802.1Xオーセンティケータ)24とを備える。
[IPフィルタ部21]
IP フィルタ部21は、 TCP(Transmission Control Protocol)/IP(Internet Protocol)パケットまたはUDP(User Datagram Protocol)/IP(Internet Protocol)パケット等のパケットのフィルタリングを行うIPフィルタ機能を有し、たとえばポート単位またはIPアドレス単位で、パケットのフィルタリングを行う。本実施形態では、IPフィルタ部21は、EAP処理部22およびPANA処理部23から指定されたポート/プロトコルをもつパケットの通過および遮断を制御する。より詳細には、IPフィルタ部21は端末装置から送られていたパケットを通過させるか否かをフィルタ設定に基づき判断し、通過させると判断したパケットはそのフィルタ設定に応じたアプリケーションまたはブロックに渡し、通過させないと判断したパケットについては廃棄するかまたはエラーメッセージを返す。たとえばIPフィルタ部21は、PANAに関連するパケット(第1のパケット)を通過させる場合はPANA処理部(PANAアプリケーション)23に渡し、インターネット等へのネットワークアクセスのパケット(第2のパケット)を通過させる場合は、インターネット側へのパケット送信を行う図示しない送信部(送信ブロック)に渡す。
ここで、PANAは、プロトコルスタックにおいてTCP/IPまたはUDP/IP層よりも上位層で定義された上位層プロトコルに相当し、IEEE 802.1XはTCP/IPまたはUDP/IP層よりも下層のデータリンク層で定義されたものである。EAPは、IEEE 802.1Xと上位層プロトコルとの両方の上で動作可能なある認証プロトコルに相当する。
[IEEE 802.1X オーセンティケータ24]
IEEE 802.1X オーセンティケータ24は、端末装置ごとに、fouceAuthorized(強制認証)状態とauto(オート)状態のいずれかの状態を保持し、状態の設定を、EAP処理部22からの指示により変更可能になっている。
IEEE 802.1X オーセンティケータ24は、auto状態のときは、端末装置から認証要求(たとえば第1のメッセージに相当するEAP-Response/Identity)を含むフレームを受信したら、受信したフレームから認証要求を取得して、EAP処理部22に渡す。EAP処理部22では、この認証要求に基づき、従来の手順にしたがったIEEE 802.1X認証(IEEE 802.1X上で行うEAP認証)を行うことを決定するか、またはIEEE 802.1X オーセンティケータ24をfouceAuthorized(強制認証)状態に設定する。
EAP処理部22においてIEEE 802.1X認証を行うことが決定された場合は、従来と同様に、IEEE 802.1X オーセンティケータ24は、EAP処理部22と協調して、認証サーバ13を用いて認証を行う。そして、IEEE 802.1X オーセンティケータ24は、端末装置に対する認証が許可された場合は、IEEE 802.1X認証(IEEE 802.1X上で行うEAP認証)が許可されたことを示すEAP Successメッセージ(成功メッセージ)EAP処理部22から受けて端末装置に返送する。以降、IEEE 802.1X オーセンティケータ24は、端末装置から送られてくるフレームを通過させる(すなわち端末装置との間にデータリンク層のデータリンクを設定し)。通過したフレームはたとえばIPフィルタ部21に渡される。また、IEEE 802.1X オーセンティケータ24は、端末装置に対する認証が許可されなかった場合は、以降、端末装置からフレームが送られてきても、該フレームを自身より先に通過させない(ただし認証要求を含むフレームを受信した場合は上記と同様の処理を行う)。
一方、IEEE 802.1X オーセンティケータ24は、EAP処理部22によりfouceAuthorized(強制認証)状態に設定された場合は、IEEE 802.1X認証を行うことなく、認証が許可された旨を通知するEAP Successメッセージ(成功メッセージ)をEAP処理部22から受けて端末装置に返送するとともに、以降、その端末装置から送られてくるフレームを通過させる(すなわち端末装置との間にデータリンク層のデータリンクを設定する)。IEEE802.1Xオーセンティケータ24はたとえば第1の取得手段、返送手段、およびデータリンク設定手段を含んでいる。
[EAP 処理部22]
EAP 処理部22は、従来のEAP処理を行う。さらに、EAP処理部22は、端末装置から送られてくる認証要求、すなわちEAP-Response/Identity メッセージ(第1のメッセージ)をIEEE 802.1Xオーセンティケータ24から受けたら、このメッセージのusernameフィールド(ユーザネーム・フィールド)に、通常のusername(図2のuser@realm)の他に、あらかじめ定められたネットワーク認証プロコトル識別子(PID)が含まれるかどうかを判断する。ネットワーク認証プロコトル識別子は、本発明による認証を要求することを示す。ネットワーク認証プロトコル識別子はたとえば認証識別子に相当する。
なおusernameフィールドのフォーマットはEAP Identity(非特許文献3参照), NAI(非特許文献2参照)およびIEEE 802.1X(非特許文献1参照)に従うようにネットワーク認証プロトコル識別子を記述することで、IEEE 802.1X認証のみを行う従来のIEEE 802.1Xオーセンティケータに影響を与えない。ただし、従来のIEEE 802.1Xオーセンティケータに対し、ネットワーク認証プロトコル識別子を含むEAP-Response/Identity メッセージを送ってもIEEE 802.1Xの認証は成功しないので、その場合、端末装置はusernameフィールドからネットワーク認証プロコトル識別子を除いた(user@realmのみを含めた)メッセージを送ってIEEE 802.1Xの認証を受け、さらにその後、PANAで認証を行う必要がある(すなわち2度の認証を受ける必要がある)。
EAP処理部22は、EAP-Response/Identity メッセージのusernameフィールドにネットワーク認証プロコトル識別子が含まれる場合、以下の手順1〜4にしたがった処理を行う。
1. PANA 処理部23に対して、PANA認証(PANA上で行うEAP認証)のため、usernameフィールドに含まれるusername(すなわちuser@realm)とネットワーク認証プロトコル識別子とを通知する。
2. IP フィルタ部21に対してネットワーク認証プロコトル識別子に対してあらかじめ対応づけられたポート/プロトコルのパケット(第1のパケット)のみ通過させるようフィルタ設定を行うことを通知する(IPフィルタ部21に「ネットワーク認証プロトコル識別子に関連するフィルタ設定」を行わせる)。すなわちPANA認証を受けるために必要なポート/プロトコルのパケット(第1のパケット)のみを通過させるようIPフィルタ部21に指示する。
3. IEEE 802.1X オーセンティケータ24の状態をforceAuthrized(強制認証)状態に変更する。
上記1-3 のいずれかが失敗した場合は、後述する、EAP-Response/Identity メッセージのusernameフィールドにネットワーク認証プロトコル識別子が含まれない場合と同じ処理を行う。その際、1-3のうち成功していた処理についてはキャンセルする。
EAP処理部22は、PANA処理部23からusername の認証(後述するPANA認証)が無効であることを通知された場合、手順2,3の処理をキャンセルし、この場合、さらに、EAP認証状態からログオフしたことを示すEAP Logoff メッセージをIEEE 802.1X オーセンティケータ24を通じて端末装置に送信する。
4. 上記1-3のすべてが成功した場合には、EAP処理部22は、IEEE 802.1X 上でEAP認証が成功したことを示すEAP Success メッセージ(成功メッセージ)をIEEE 802.1X オーセンティケータ24を通じて端末装置に送信する。
一方、EAP処理部22は、EAP-Response/Identity メッセージのusernameフィールドにネットワーク認証プロコトル識別子が含まれない場合は、usernameフィールドに含まれるusername(すなわちuser@realm)に対してIEEE 802.1X上での通常のEAP認証(IEEE 802.1X認証)を行う。この認証では、たとえばusernameから導かれる認証サーバに対して、上記EAP-Response/Identity のメッセージを送信する。なお認証サーバに相当する機能が認証エージェント装置11内に含まれてもよく、この場合はこの機能を用いてEAP認証を行う。
上述したEAP処理部22は、たとえば認証手段および第1のフィルタ設定手段に相当する。
[PANA処理部23]
PANA処理部23は、PANAのメッセージを処理する。PANA処理部23は、PANA認証(PANA上でのEAP認証)を受けようとする端末装置(IEEE 802.1Xの強制認証または通常認証をすでに受けている)から送られるEAP-Response/Identity (第2のメッセージ)のusernameフィールドに含まれるusername (すなわちuser@realm)がEAP処理部22から通知されたものに一致するかどうか確認する。
上述したようにIEEE 802.1Xの強制認証が行われた場合、IPフィルタ部21に対してはネットワーク認証プロコトル識別子に対してあらかじめ対応づけられたポート/プロトコルのパケット(第1のパケット)のみ通過させるフィルタ設定が成されている(なお、IEEE 802.1Xの通常認証が行われた場合は、IPフィルタ部21では、デフォルトのフィルタ設定に従い、基本的にすべてのパケット(第1のパケットと第2のパケット)が通過させられる)。上記EAP-Response/Identity (第2のメッセージ)は、第1のパケットで運ばれ、PANA処理部23は、IPフィルタ21を介して第1のパケットを受信し、受信した第1のパケットから上記EAP-Response/Identity (第2のメッセージ)を取得する。
PANA処理部23は、EAP-Response/Identity (第2のメッセージ)のusernameフィールドに含まれるusername がEAP処理部22から通知されたものに一致しない場合は、通常のPANAの処理を行う。一致しない場合とは、たとえば端末装置がIEEE 802.1XとPANAとでそれぞれ異なるusernameでEAP認証を行おうとする場合であり、この場合端末装置はネットワーク認証プロトコル識別子を送らずに、通常のIEEE 8021.1X認証を受けている。したがってこの端末装置は、従来と同様に、IEEE 8021.1Xの認証と、PANAの認証とそれぞれ別個に受けることとなる。
一方、PANA処理部23は、EAP-Response/Identity のusernameフィールドに含まれるusername がEAP処理部22から通知されたものに一致する場合は、通常のPANAの処理に加えて、以下の処理をさらに行う。
上記通常のPANAの処理においてusername の認証が成功した場合は、PANA処理部23は、IP フィルタ部21に対してusernameに関連づけられたサービスのポート/プロトコルのパケット(第2のパケット)を通過させるようにフィルタ設定を行うことを通知する(「Identityに関連するフィルタ設定」をIPフィルタ部21に行わせる)。すなわちPANA認証に成功したusernameをもつ端末装置から、以降に送られてくるパケット(第2のパケット)を通過させることをIPフィルタ部21に指示する。
上記通常のPANAの処理においてusernameの認証が失敗した場合、または一定時間usernameに対する認証要求(第2のメッセージ)がこない(Timeout)場合、またはPANA認証(PANA上でのEAP認証)を終了(termination) する場合、PANA 処理部23は以下の処理を行う。
1. EAP 処理部22にusername の認証が無効であることを通知し、username についてのデータをEAP処理部22に消去させる。たとえば前述したEAP処理部22の処理手順2,3をキャンセルさせる。
2. IP フィルタ部21に対してusernameに関連づけられたサービスのポート/プロトコルのパケット(第2のパケット)を遮断させることを通知する(「Identityに関連するフィルタ設定」をIPフィルタ部21に解除させる)。
上述したPANA処理部23はたとえば第2の取得手段および第2のフィルタ設定手段に相当する。
以下、図2を用いて本実施形態に係わるネットワークアクセス認証システムの動作概要について説明し、その後、図3を用いて本システムの詳細な動作について説明する。
図2に示すように、本実施形態に係わるネットワークアクセス認証システムでは、IEEE 802.1X とPANAとの両方に対応の端末装置12に対して認証を行う時に、IEEE 802.1X認証に関しては、認証サーバ13に問い合わせを行わずに成功したとみなし、その後、PANA認証のみを行っている。端末装置12はIEEE802.11X認証を省略してPANA認証のみを受けるために、EAP-Response/Identityのusernameフィールド に、通常のusername(すなわちuser@realm)に加えて、ネットワーク認証プロコトル識別子を含ませて送信している。ここでEAPOL-start にネットワーク認証プロコトル識別子を含めないのは、EAPOL-start には拡張する余地がなく、ここに含ませてしまうとIEEE 802.1X のみをサポートする装置が扱う事ができなくなってしまう為である。
IEEE 802.1X認証が成功した後、端末装置12はDHCP(Dynamic Host Configuration Protocol)に従ってIP アドレスを取得し、さらにPANA認証を受けるが、このDHCPによるIPアドレス取得および PANA認証の為のポートは、IPフィルタ部21によってあけられたものである。通常のIEEE 802.1Xではリンクのポートの開閉しか行わないが、上位層プロトコル(ここではPANA)のパケットを通過させるためのフィルタ設定をIPフィルタ部21に依頼することで、DHCPおよびPANAの通信のみを許可し、PANA 認証が通った段階で、他の通信(たとえばインタネットへのアクセス)のパケットをIPフィルタ部21へのフィルタ設定によって通すようにしている。
図3は、図2のネットワーク認証システムの詳細な動作を説明するフローチャートである。
(1) 端末装置がEAPOL-startを送信し(EAPOL-startは通常のIEEE 802.1X手順で送信される)、IEEE 802.1Xを開始する(S11)。S11はスキップすることも可能である。
(2)認証エージェント装置におけるIEEE 802.1X オーセンティケータ24がEAP の手順に従いEAP-Request/Identity を送信する(S12)。EAP-Request/Identityは、端末装置を認証するために、端末装置のIdentityを送ることを要求するメッセージである。
(3)端末装置はEAP の手順に従いEAP-Response/Identity(第1のメッセージ)を認証エージェント装置に返す(S13)。端末装置がPANA を認証手段として用いる場合、Identity のusernameフィールドに対し、通常のusername(図2のuser@realmを参照) に加え、ネットワーク認証プロコトル識別子 (図3ではPID と表記)を記述して、EAPOLフレームを送信する。端末装置は、第1のメッセージにネットワーク認証プロトコル識別子(認証識別子)を含めて認証エージェント装置に送出する送出手段を有している。
(4)IEEE802.1Xオーセンティケータ24はEAPOLフレームを受信し、その中のEAP-Response/Identityを抽出して、通常のIEEE802.1Xの手順通り、EAP処理部22へ渡す(S14)。
(5)EAP処理部22は、IEEE802.1Xオーセンティケータ24から取得したEAP-Response/Identityに基づき、Identityのusernameフィールドにネットワーク認証プロコトル識別子(PID)が含まれているかを確認する(S15)。含まれていない場合は(NO)、従来における EAP認証を行う(S16)。これはIEEE 802.1X認証のみを行う端末装置のために必要な動作である。
(6)ネットワーク認証プロコトル識別子がusernameフィールドに含まれている場合(YES)、EAP処理部22は、PANA処理部23に対してusernameフィールドに含まれるusernameとネットワーク認証プロトコル識別子(PID)とを通知する(S17)。ここでusernameを通知することでPANA処理部23はIEEE 802.1Xによる認証をスキップしているとの判断が可能になる。PANA処理部23はusernameの認証状態を管理する(たとえばPANAの認証状態(許可されているか否か)を保持し、また上記usernameをもつ端末装置から一定時間中にPANA 認証の要求があるかどうか確認する)。PANA処理部23では一定時間usernameに対応するPANAの認証要求(第2のメッセージ)が端末装置からこない場合、後述する(15)および(16)の処理を行う。
(7)またネットワーク認証プロコトル識別子がusernameフィールドに含まれている場合(S15のYES)、EAP処理部22はネットワーク認証プロコトル識別子に関連するパケット、より詳細にはPANAによる認証を受けるために通過させる必要のあるパケットを通過させるようにIPフィルタ部21に通知する(S18)。IPフィルタ部21はネットワーク認証プロコトル識別子に関連するパケット(第1のパケット)を通過させるようにフィルタ設定(「PIDに関連するフィルタの設定」)を行う。後述する、PANA理部23が手順S30で行うフィルタ設定(「Identityに関連するフィルタの設定」)は、PANA認証が許可された端末装置からのパケット(第2のパケット)を通過させるためのものであり、本手順S18のフィルタ設定とは異なることに注意する。
(8)またネットワーク認証プロコトル識別子がusernameフィールドに含まれている場合(S15のYES)、EAP処理部22はIEEE802.1Xオーセンティケータ24の状態を(たいていはauto(オート)の状態から)、forceAuthrized(強制認証)状態に遷移させる(S19)。これにより端末装置はIEEE 802.1X上では常に認証された状態にされ、このようにすることで端末装置は以後IEEE 802.1X認証に関する処理を行わなくて済むようになる。EAP 処理部22は、一定時間の間にPANA処理部22からusernameに対応する認証が成功している旨の通知を受けない場合、後述する(15)の処理を行う(この確認は定期的に行うものとする)。このような認証が成功している旨の通知を受けない場合としては、たとえば、一定時間の間にusernameに対応するPANAへの認証要求がない場合、またはPANA認証が成功しない場合、または、なんらかの理由で端末装置が通信を行わない場合があり得る。
(9)EAP処理部22は、上記(3)の手順(S13)で端末から送信されたEAP-Response/Identity(第1のメッセージ)に対する処理が成功すると、認証が成功したことを、IEEE 802.1Xオーセンティケータ24を経由して、EAP Success メッセージを使って端末装置に通知する(S20、S21)。
(10)EAP Success メッセージを受けた端末装置はDHCP に従ってIPアドレスを取得する(S22)。またはユーザが手動でIPアドレスの設定を行う。
(11)端末装置がPANA PCI (PANA-Client-Initiation)(通常のPANA の初期開始の手順)を認証エージェント装置に送ることにより、PANA認証が開始する(S23)。
(12) PANA 処理部23は、PANA認証フェーズ中で、EAP処理部22と協働して、EAP の処理を行う。IEEE 802.1Xの時と同様に端末装置にEAP-Request/Identityを送信する(S24)。EAP-Request/Identity を受けた端末装置からEAP-Response/Identity(第2のメッセージ)が返され(S25)、PANA処理部23は、端末装置から返されたEAP-Response/Identityのusernameフィールドに含まれるusernameがEAP処理部22から通知されたものと一致するかどうかを確認する。一致しない場合は、EAP処理部22はEAP-Response/Identityを(たとえばラディウスプロトコルで)認証サーバに送り(S26)、従来同様、PANA を経由するEAP認証を行う(S27)。一致する場合も、EAP処理部22は、EAP-Response/Identityを認証サーバに送り(S26)、従来同様、PANA を経由するEAP認証を行う(S27)。一致する場合、PANA処理部23は、以降、usernameの認証状態を、EAP処理部22の保持する情報と連携するため、別途、自身でも管理する。
(13)認証サーバでのPANA認証が成功すると(S28)(EAP Success)(成功処理の流れは、認証サーバ→EAP処理部→PANA 処理部→端末装置(PANA Client)という流れになる)、PANA処理部23はPANAアクセスフェーズに遷移する。
PANAアクセスフェーズに遷移するとPANA処理部23は、EAP処理部22に対して、認証が成功したことを通知する(S29)。EAP処理部22に対して成功の通知を行うことでEAP 処理部22でのusernameに関するデータの保持が継続される。また、PANA処理部23は、PANAに従った定期的なキープアライブのパケットの送信を契機にして定期的にEAP処理部22に対してusernameが認証許可の状態であることを通知する。またこの契機でPANA処理部23自身の保持するusernameに関するデータを継続して保持する。
またPANA処理部23は、IPフィルタ部21に対してusername に関連するパケット(第2のパケット)を通過させるように通知を行う(S30)。なお、これはPANA のEP(Enforcement Point)制御フレームワークにのっとり行なってもよい。IPフィルタ21は、PANA処理部23からの通知を受けてusernameに関するパケットを通過させるようフィルタ設定(「Identityに関連するフィルタの設定」)を行う。これにより端末装置はたとえばインターネット上のWebサーバにアクセスするなどの外部との通信を行うことができる。
(14)PANA処理部23は、username に関連づけられたPANA 認証が解除(Termination) される場合、または、認証が失敗した場合、または何らかの理由でPANA のセッションが終了する場合、または、一定時間内に認証要求(第2のメッセージ)を端末装置から受けない場合、PANA終了フェーズに遷移し、以下の処理を行う。
(15)
[1]PANA処理部23はIPフィルタ部21に対してusernameに関連づけられたパケット(第2のパケット)を通過させないように通知を行う。すなわちIdentityに関連するフィルタの設定の解除をIPフィルタ部21に要求する(S31)。
[2]PANA処理部23はEAP処理部22にusernameの認証が無効であることを通知する(S32)。
[3]EAP処理部22はIPフィルタ部21に対してネットワーク認証プロトコル識別子(PID)に関連づけられたパケット(第1のパケット)を通過させないように通知を行う(S33)。
[4]EAP処理部22は、IEEE 802.1X オーセンティケータ24の状態を(たいていは
forceAuthorized(強制認証)状態から)、auto(オート)へ遷移させて、端末装置をIEEE 802.1X認証(通常認証または強制認証)を必要とする状態にする(S34)。
[5]EAP処理部22はIEEE 802.1X オーセンティケータ24を経由して認証が完全に
解けたことをEAP-LogOff メッセージを使って端末装置に通知する(S35)。
[6]EAP処理部22は上記の後、自身が保持するusernameに関するデータを消去する。
(16)PANA処理部23は、自身が保持するusernameに関連するデータを消去する。
なお、上記認証エージェント装置(認証装置)は、例えば、汎用のコンピュータ装置を基本ハードウェアとして用いることでも実現することが可能である。すなわち、IPフィルタ部、EAP処理部、PANA処理部およびIEEE802.1Xオーセンティケータは、上記のコンピュータ装置に搭載されたプロセッサにプログラムを実行させることにより実現することができる。このとき、認証エージェント装置は、上記のプログラムをコンピュータ装置にあらかじめインストールすることで実現してもよいし、CD−ROMなどの記憶媒体に記憶して、あるいはネットワークを介して上記のプログラムを配布して、このプログラムをコンピュータ装置に適宜インストールすることで実現してもよい。
本発明の一実施の形態としての認証エージェント装置の構成を示すブロック図。 図1の認証エージェントを適用したネットワーク認証システムの構成例を示す図。 図2のネットワーク認証システムの動作例を説明する図。 従来においてIEEE 802.1X とPANA を同時に運用しているネットワーク認証システムの構成例を示す図。
符号の説明
21:IPフィルタ部
22:EAP処理部
23:PANA処理部
24:IEEE 802.1Xオーセンティケータ

Claims (11)

  1. プロトコルスタックにおいてデータリンク層で定義されたIEEE802.1Xと、前記プロトコルスタックにおいてUDP(User Datagram Protocol)/IP(Internet Protocol)層またはTCP(Transmission Control Protocol)/IP(Internet Protocol)層より上位層で定義された上位層プロトコルとの両方の上で動作可能なある認証プロトコルに従った認証を、前記IEEE802.1Xと前記上位層プロトコルとの両方に対して受ける端末装置に対する認証を行うための認証装置であって、
    前記IEEE802.1Xに対する認証を受けるために必要な第1のメッセージを前記端末装置から取得する第1の取得手段と、
    前記第1の取得手段により取得された前記第1のメッセージにあらかじめ定められた認証識別子が含まれるとき、前記IEEE802.1Xに対する認証が成功したとみなし、前記IEEE802.1Xに対する認証が成功したことを通知する成功メッセージを前記端末装置に返す返送手段と、
    前記成功メッセージを返した前記端末装置との間に前記データリンク層のデータリンクを設定するデータリンク設定手段と、
    前記端末装置から前記データリンク上で送られてくる、前記UDP/IPまたは前記TCP/IPのパケットのフィルタリングを行うフィルタリング手段と、
    前記第1の取得手段により取得された前記第1のメッセージに前記認証識別子が含まれるとき、前記端末装置から送信される前記パケットのうち前記上位層プロトコルに対する認証を受けるために通過させるべき第1のパケットは通過させ前記第1のパケットと異なる第2のパケットは遮断するように前記フィルタリング手段を設定する第1のフィルタ設定手段と、
    前記端末装置から前記上位層プロトコルに対する認証を受けるために必要な、前記第1のパケットによって運ばれる第2のメッセージを、前記フィルタリング手段を介して取得する第2の取得手段と、
    前記第2のメッセージを送った前記端末装置に対して前記上位層プロトコルに対する認証を行う認証手段と、
    前記認証手段により前記上位層プロトコルに対する認証が成功したとき、前記端末装置から前記データリンク上で送られてくる前記第2のパケットを通過させるように前記フィルタリング手段を設定する第2のフィルタ設定手段と、
    を備えた認証装置。
  2. 前記第2の取得手段は、前記第1の取得手段により取得された前記第1のメッセージに前記認証識別子が含まれるとき、前記第2のメッセージの到来を前記端末装置から待機し、
    前記第1のフィルタ設定手段は、前記第2の取得手段によって前記第2のメッセージが一定期間取得されないときは、前記端末装置からの前記第1のパケットを遮断するように前記フィルタリング手段を設定する、
    ことを特徴とする請求項1に記載の認証装置。
  3. 前記第1のフィルタ設定手段は、前記認証手段による前記認証が失敗したとき、前記端末装置からの前記第1のパケットを遮断するように前記フィルタリング手段を設定する、
    ことを特徴とする請求項1または2に記載の認証装置。
  4. 前記認証手段により前記端末装置に対して許可された認証が終了したとき、
    前記第2のフィルタ設定手段は、前記端末装置からの第2のパケットを遮断するように前記フィルタリング手段を設定し、
    前記第1のフィルタ設定手段は、前記端末装置からの前記第1のパケットを遮断するように前記フィルタリング手段を設定する、
    ことを特徴とする請求項1ないし3のいずれか一項に記載の認証装置。
  5. 前記認証手段は、前記第1の取得手段により取得された前記第1のメッセージに前記認証識別子が含まれないとき、前記1のメッセージを送った前記端末装置に対して前記IEEE 802.1Xに対する認証を行い、
    前記返送手段は、前記認証手段による前記IEEE 802.1Xに対する認証が成功したとき、前記IEEE802.1Xに対する認証が成功したことを通知する前記成功メッセージを前記端末装置に返す、
    ことを特徴とする請求項1ないし4のいずれか一項に記載の認証装置。
  6. 前記認証手段は、前記ある認証プロトコルに基づく認証を行う認証サーバにアクセスすることにより前記上位層プロトコルに対する認証および前記IEEE 802.1Xに対する認証を行うことを特徴とする請求項5に記載の認証装置。
  7. 前記ある認証プロトコルは、EAP (Extensible Authentication Protocol)であることを特徴とする請求項1ないし6のいずれか一項に記載の認証装置。
  8. 前記上位層プロトコルは、PANA(Protocol for Carrying Authentication For Network Access)であることを特徴とする請求項1ないし7のいずれか一項に記載の認証装置。
  9. プロトコルスタックにおいてデータリンク層で定義されたIEEE802.1Xと、前記プロトコルスタックにおいてUDP/IP層またはTCP/IP層より上位層で定義された上位層プロトコルとの両方の上で動作可能なある認証プロトコルに従った認証を、前記IEEE802.1Xと前記上位層プロトコルとの両方に対して受ける端末装置に対する認証を行うための認証方法であって、
    前記IEEE802.1Xに対する認証を受けるために必要な第1のメッセージを前記端末装置から取得し、
    前記端末装置から取得された前記第1のメッセージにあらかじめ定められた認証識別子が含まれるとき、前記IEEE802.1Xに対する認証が成功したとみなし、前記IEEE802.1Xに対する認証が成功したことを通知する成功メッセージを前記端末装置に返し、
    前記成功メッセージを返した前記端末装置との間に前記データリンク層のデータリンクを設定し、
    前記端末装置から前記データリンク上で送られてくる、前記UDP/IPまたは前記TCP/IPのパケットを、前記パケットのフィルタリングを行うフィルタリング手段を用いてフィルタリングし、
    前記端末装置から取得された前記第1のメッセージに前記認証識別子が含まれるとき、前記端末装置から送信される前記パケットのうち前記上位層プロトコルに対する認証を受けるために通過させるべき第1のパケットは通過させ前記第1のパケットと異なる第2のパケットは遮断するように前記フィルタリング手段を設定し、
    前記端末装置から前記上位層プロトコルに対する認証を受けるために必要な、前記第1のパケットによって運ばれる第2のメッセージを前記フィルタリングを介して取得し、
    前記第2のメッセージを送った前記端末装置に対して前記上位層プロトコルに対する認証を行い
    前記上位層プロトコルに対する認証が成功したとき、前記端末装置から前記データリンク上で送られてくる前記第2のパケットを通過させるように前記フィルタリング手段を設定する、
    ことを特徴とする認証方法。
  10. プロトコルスタックにおいてデータリンク層で定義されたIEEE802.1Xと、前記プロトコルスタックにおいてUDP/IP層またはTCP/IP層より上位層で定義された上位層プロトコルとの両方の上で動作可能なある認証プロトコルに従った認証を、前記IEEE802.1Xと前記上位層プロトコルとの両方に対して受ける端末装置に対する認証を行うための認証プログラムであって、
    前記IEEE802.1Xに対する認証を受けるために必要な第1のメッセージを前記端末装置から取得するステップと、
    前記端末装置から取得された前記第1のメッセージにあらかじめ定められた認証識別子が含まれるとき、前記IEEE802.1Xに対する認証が成功したとみなし、前記IEEE802.1Xに対する認証が成功したことを通知する成功メッセージを前記端末装置に返すステップと、
    前記成功メッセージを返した前記端末装置との間に前記データリンク層のデータリンクを設定するステップと、
    前記端末装置から前記データリンク上で送られてくる、前記UDP/IPまたは前記TCP/IPのパケットを、前記パケットのフィルタリングを行うフィルタリング手段を用いてフィルタリングするステップと、
    前記端末装置から取得された前記第1のメッセージに前記認証識別子が含まれるとき、前記端末装置から送信される前記パケットのうち前記上位層プロトコルに対する認証を受けるために通過させるべき第1のパケットは通過させ前記第1のパケットと異なる第2のパケットは遮断するように前記フィルタリング手段を設定するステップと、
    前記端末装置から前記上位層プロトコルに対する認証を受けるために必要な、前記第1のパケットによって運ばれる第2のメッセージを前記フィルタリングを介して取得するステップと、
    前記第2のメッセージを送った前記端末装置に対して前記上位層プロトコルに対する認証を行うステップと、
    前記上位層プロトコルに対する認証が成功したとき、前記端末装置から前記データリンク上で送られてくる前記第2のパケットを通過させるように前記フィルタリング手段を設定するステップと、
    をコンピュータに実行させるための認証プログラム。
  11. プロトコルスタックにおいてデータリンク層で定義されたIEEE802.1Xと、前記プロトコルスタックにおいてUDP/IP層またはTCP/IP層より上位層で定義された上位層プロトコルとの両方の上で動作可能なある認証プロトコルに従った認証を、前記IEEE802.1Xと前記上位層プロトコルとの両方に対して受ける端末装置と、前記端末装置に対する認証を行う認証装置とを備えたネットワークアクセス認証システムであって、
    前記認証装置は、
    前記IEEE802.1Xに対する認証を受けるために必要な第1のメッセージを前記端末装置から取得する第1の取得手段と、
    前記第1の取得手段により取得された前記第1のメッセージにあらかじめ定められた認証識別子が含まれるとき、前記IEEE802.1Xに対する認証が成功したとみなし、前記IEEE802.1Xに対する認証が成功したことを通知する成功メッセージを前記端末装置に返す返送手段と、
    前記成功メッセージを返した前記端末装置との間に前記データリンク層のデータリンクを設定するデータリンク設定手段と、
    前記端末装置から前記データリンク上で送られてくる、前記UDP/IPまたは前記TCP/IPのパケットのフィルタリングを行うフィルタリング手段と、
    前記第1の取得手段により取得された前記第1のメッセージに前記認証識別子が含まれるとき、前記端末装置から送信される前記パケットのうち前記上位層プロトコルに対する認証を受けるために通過させるべき第1のパケットは通過させ前記第1のパケットと異なる第2のパケットは遮断するように前記フィルタリング手段を設定する第1のフィルタ設定手段と、
    前記端末装置から前記上位層プロトコルに対する認証を受けるために必要な、前記第1のパケットによって運ばれる第2のメッセージを、前記フィルタリング手段を介して取得する第2の取得手段と、
    前記第2のメッセージを送った前記端末装置に対して前記上位層プロトコルに対する認証を行う認証手段と、
    前記認証手段により前記上位層プロトコルに対する認証が成功したとき、前記端末装置から前記データリンク上で送られてくる前記第2のパケットを通過させるように前記フィルタリング手段を設定する第2のフィルタ設定手段と、を有し、
    前記端末装置は、
    前記IEEE802.1Xに対する認証を受けるために必要な第1のメッセージを前記あらかじめ定められた認証識別子を含めて前記認証装置に送出する送出手段を有する、
    ことを特徴とするネットワークアクセス認証システム。
JP2007209652A 2007-08-10 2007-08-10 認証装置およびネットワーク認証システム、ならびに端末装置を認証するための方法およびプログラム Expired - Fee Related JP4970189B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2007209652A JP4970189B2 (ja) 2007-08-10 2007-08-10 認証装置およびネットワーク認証システム、ならびに端末装置を認証するための方法およびプログラム
US12/188,262 US8286224B2 (en) 2007-08-10 2008-08-08 Authentication device and network authentication system, method for authenticating terminal device and program storage medium

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2007209652A JP4970189B2 (ja) 2007-08-10 2007-08-10 認証装置およびネットワーク認証システム、ならびに端末装置を認証するための方法およびプログラム

Publications (2)

Publication Number Publication Date
JP2009044632A JP2009044632A (ja) 2009-02-26
JP4970189B2 true JP4970189B2 (ja) 2012-07-04

Family

ID=40409662

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2007209652A Expired - Fee Related JP4970189B2 (ja) 2007-08-10 2007-08-10 認証装置およびネットワーク認証システム、ならびに端末装置を認証するための方法およびプログラム

Country Status (2)

Country Link
US (1) US8286224B2 (ja)
JP (1) JP4970189B2 (ja)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103200172B (zh) * 2013-02-19 2018-06-26 中兴通讯股份有限公司 一种802.1x接入会话保活的方法及系统
JP6144934B2 (ja) * 2013-03-15 2017-06-07 キヤノン株式会社 印刷装置、その制御方法、及びプログラム
US10015153B1 (en) * 2013-12-23 2018-07-03 EMC IP Holding Company LLC Security using velocity metrics identifying authentication performance for a set of devices
KR102313265B1 (ko) 2017-11-03 2021-10-15 레노보 (싱가포르) 피티이. 엘티디. 블록체인 네트워크에 의해 제공된 접속 정보를 이용한 사용자 인증
WO2020105155A1 (ja) * 2018-11-21 2020-05-28 三菱電機株式会社 無線通信携帯端末、無線通信システム、作業支援方法、および作業支援プログラム

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3656194B2 (ja) * 2002-09-13 2005-06-08 日本電信電話株式会社 認証プロトコル処理方法、計算機端末、認証プロトコル処理プログラム、および記録媒体
US7587598B2 (en) * 2002-11-19 2009-09-08 Toshiba America Research, Inc. Interlayer fast authentication or re-authentication for network communication
WO2004112347A1 (en) * 2003-06-18 2004-12-23 Telefonaktiebolaget Lm Ericsson (Publ) Method, system and apparatus to support hierarchical mobile ip services
JP2005109823A (ja) 2003-09-30 2005-04-21 Nec Corp レイヤ2スイッチ装置、無線基地局、ネットワークシステム、および無線通信方法
US7810138B2 (en) * 2005-01-26 2010-10-05 Mcafee, Inc. Enabling dynamic authentication with different protocols on the same port for a switch
US7813319B2 (en) * 2005-02-04 2010-10-12 Toshiba America Research, Inc. Framework of media-independent pre-authentication
US8565185B2 (en) * 2005-04-13 2013-10-22 Toshiba America Research, Inc. Framework of media-independent pre-authentication support for PANA
US20070189218A1 (en) * 2006-02-11 2007-08-16 Yoshihiro Oba Mpa with mobile ip foreign agent care-of address mode
CN101123498B (zh) * 2006-08-08 2011-12-28 华为技术有限公司 一种实现接入认证的方法、设备及系统

Also Published As

Publication number Publication date
JP2009044632A (ja) 2009-02-26
US8286224B2 (en) 2012-10-09
US20090064281A1 (en) 2009-03-05

Similar Documents

Publication Publication Date Title
US8555340B2 (en) Method and apparatus for determining authentication capabilities
EP1782270B1 (en) Method and apparatus for automatically re-validating multiple clients of an authentication system
US6470453B1 (en) Validating connections to a network system
US8484695B2 (en) System and method for providing access control
JP5090116B2 (ja) ポートベース認証中のネットワークトラフィックの遮断防止
CA2517474C (en) Fast re-authentication with dynamic credentials
KR101093902B1 (ko) 사용자가 ip 망에 접속시 로컬 관리 도메인에서 사용자를 위한 접속 인증을 관리하는 방법 및 시스템
US9113332B2 (en) Method and device for managing authentication of a user
US7421503B1 (en) Method and apparatus for providing multiple authentication types using an authentication protocol that supports a single type
US11277399B2 (en) Onboarding an unauthenticated client device within a secure tunnel
US7962954B2 (en) Authenticating multiple network elements that access a network through a single network switch port
US8336082B2 (en) Method for realizing the synchronous authentication among the different authentication control devices
JP2002314549A (ja) ユーザ認証システム及びそれに用いるユーザ認証方法
WO2004015958A2 (en) Fine grained access control for wireless networks
JP2019537175A (ja) ネットワーク通信に関する改善
JP4970189B2 (ja) 認証装置およびネットワーク認証システム、ならびに端末装置を認証するための方法およびプログラム
US8213364B2 (en) Method for releasing a high rate packet data session
JP4584776B2 (ja) ゲートウェイ装置およびプログラム
JP2010061192A (ja) 中継装置、およびプログラム
JP2009212585A (ja) 認証システム、通信機器、接続制御方法および接続制御プログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20100604

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20111011

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20120313

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20120404

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20150413

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20150413

Year of fee payment: 3

LAPS Cancellation because of no payment of annual fees