JP5042127B2 - Authentication logging system, information processing apparatus, and logging method - Google Patents
Authentication logging system, information processing apparatus, and logging method Download PDFInfo
- Publication number
- JP5042127B2 JP5042127B2 JP2008150409A JP2008150409A JP5042127B2 JP 5042127 B2 JP5042127 B2 JP 5042127B2 JP 2008150409 A JP2008150409 A JP 2008150409A JP 2008150409 A JP2008150409 A JP 2008150409A JP 5042127 B2 JP5042127 B2 JP 5042127B2
- Authority
- JP
- Japan
- Prior art keywords
- authentication
- log
- switch
- user
- server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Description
本発明は、ネットワーク認証システムに関わり、特に、スイッチ間を移動するユーザの行動を記録する認証ロギングシステム、情報処理装置およびロギング方法に関する。 The present invention relates to a network authentication system, and more particularly to an authentication logging system, an information processing apparatus, and a logging method for recording a user's behavior moving between switches.
通信ネットワークのインフラ化とともに、セキュリティを強化するさまざまな機能が提案されている。ネットワーク認証もその1つである。ネットワーク認証システムは、PC等の端末機器、認証スイッチ、認証サーバで構成される。認証システムの基本的な動作は次の通りである。 Various functions for strengthening security have been proposed along with the infrastructure of communication networks. Network authentication is one of them. The network authentication system includes a terminal device such as a PC, an authentication switch, and an authentication server. The basic operation of the authentication system is as follows.
まず、PC等の端末機器から認証スイッチに対して認証リクエストパケットを出力する。認証スイッチでは、この認証リクエストパケットを受信すると受信パケット中の認証情報を基に認証サーバに対して、該認証情報が登録されているかを問い合わせる。認証スイッチは、認証サーバから該認証情報が登録済みのものであることを通知されると該認証リクエストパケットのソースMACアドレスを通信可能とする。これをネットワーク認証におけるログイン処理とする。 First, an authentication request packet is output from a terminal device such as a PC to the authentication switch. When receiving the authentication request packet, the authentication switch inquires of the authentication server whether the authentication information is registered based on the authentication information in the received packet. When notified from the authentication server that the authentication information is already registered, the authentication switch enables communication of the source MAC address of the authentication request packet. This is a login process in network authentication.
また、PC等の端末機器が、ネットワーク通信可能状態から不可状態に移行することをログアウトと呼ぶ。ログアウトの要因としては、次が挙げられる。(1)PC等の端末機器が長時間、無通信状態になったとき、(2)認証スイッチからの再認証要求に対して、無応答であったとき、(3)PC等の端末機器が認証スイッチに対して、認証を解除する通知をしたとき、等である。 In addition, the transition from a network communication enabled state to a disabled state by a terminal device such as a PC is called logout. The reasons for logout include the following. (1) When a terminal device such as a PC has been in a no-communication state for a long time, (2) When there is no response to a re-authentication request from the authentication switch, (3) A terminal device such as a PC When the authentication switch is notified to cancel the authentication.
これら、ネットワーク認証におけるログイン、ログアウト処理を行ったときの日付、時刻等の情報、認証を行ったスイッチのIPアドレスやMACアドレス情報、認証の結果とその原因の情報を記録したものを認証ログと呼ぶ。認証ログは、認証スイッチ及び、認証サーバで記録され、保存される。 These are information such as the date and time when log-in and log-out processing are performed in network authentication, the IP address and MAC address information of the switch that performed authentication, and the result of authentication and the cause information recorded as the authentication log. Call. The authentication log is recorded and stored by the authentication switch and the authentication server.
特許文献1は、ネットワーク認証における認証スイッチの認証方式について記載している。特許文献1では、未認証端末のMACアドレスを参照して、認証サーバへ問い合わせるかどうかを判定し、認証サーバからの問い合わせ結果に応じて、該当MACアドレスの通信可否を決定する。特許文献1に記載の発明には、認証ログ情報から不正アクセスPCや不正アクセスユーザを検出する手段の記述がない。
特許文献1の認証ログは、認証スイッチと認証サーバで個別に記録し管理していたので、スイッチ間を移動するユーザの行動が分からなかった。また、複数の認証スイッチからユーザIDを詐称してネットワークにログインしてくる不正ユーザを発見することができなかった。
Since the authentication log of
本発明は、前記の課題を解決するため、認証サーバにおいて複数の認証スイッチから認証ログ情報を取得し、認証サーバの認証ログとマージする手段と認証ログ情報から認証ユーザの認証スイッチ間の移動記録や認証スイッチ内の移動記録を時系列に表示する手段と認証ログ情報からユーザIDを詐称する不正ユーザを解析する手段をもつ。 In order to solve the above-mentioned problem, the present invention obtains authentication log information from a plurality of authentication switches in an authentication server, and records the movement between the authentication switch of the authentication user and the means for merging with the authentication log of the authentication server. And means for displaying movement records in the authentication switch in time series and means for analyzing an unauthorized user who misrepresents a user ID from authentication log information.
上述した課題は、複数の接続ポートを具備する複数の認証スイッチと、接続ポートを介して認証スイッチに接続された複数の端末装置と、接続ポートの一つに接続された認証サーバとから構成され、第1の端末装置を操作するユーザのユーザ情報を使って第1の認証スイッチを介して認証サーバで認証し、この認証のログを第1の認証スイッチと認証サーバとで記録し、第1の端末装置を接続させ、認証サーバは、複数の認証スイッチが記録した複数のスイッチ認証ログを収集する収集処理部と、複数のスイッチ認証ログとサーバ認証ログとをマージしてシステム認証ログを生成するマージ処理部と、システム認証ログを解析する解析処理部を備える認証ロギングシステムにより、解決できる。 The above-described problem includes a plurality of authentication switches having a plurality of connection ports, a plurality of terminal devices connected to the authentication switch via the connection ports, and an authentication server connected to one of the connection ports. Authenticate with the authentication server via the first authentication switch using the user information of the user operating the first terminal device, record this authentication log with the first authentication switch and the authentication server, The authentication server creates a system authentication log by merging multiple switch authentication logs and server authentication logs with a collection processing unit that collects multiple switch authentication logs recorded by multiple authentication switches. This can be solved by an authentication logging system including a merge processing unit that performs an analysis processing unit that analyzes a system authentication log.
また、ネットワークインタフェースを介して複数の認証スイッチと接続され、認証スイッチからの端末装置の認証要求を処理し、その結果をサーバ認証ログとして記録し、認証スイッチが記録した複数のスイッチ認証ログを収集する収集処理部と、複数のスイッチ認証ログとサーバ認証ログとをマージしてシステム認証ログを生成するマージ処理部と、システム認証ログを解析する解析処理部を備える情報処理装置により、解決できる。 In addition, it is connected to multiple authentication switches via the network interface, processes the authentication request of the terminal device from the authentication switch, records the result as a server authentication log, and collects the multiple switch authentication logs recorded by the authentication switch This can be solved by an information processing apparatus comprising: a collection processing unit that performs processing, a merge processing unit that generates a system authentication log by merging a plurality of switch authentication logs and a server authentication log, and an analysis processing unit that analyzes the system authentication log.
さらに、認証スイッチが記録した複数のスイッチ認証ログを収集する収集するステップと、複数のスイッチ認証ログとサーバ認証ログとをマージしてシステム認証ログを生成するステップと、システム認証ログを解析するステップとから構成されるロギング方法により、達成できる。 Further, a step of collecting a plurality of switch authentication logs recorded by the authentication switch, a step of generating a system authentication log by merging the plurality of switch authentication logs and the server authentication log, and a step of analyzing the system authentication log This can be achieved by a logging method comprising:
認証ユーザの認証スイッチ間の移動記録、認証スイッチ内の移動記録を採ることができる。また、複数の認証スイッチからユーザIDを詐称してネットワークにログインしてくる不正ユーザを発見することができる。 A record of movement between authentication switches of the authenticated user and a movement record within the authentication switch can be taken. Further, it is possible to find an unauthorized user who logs in to the network by misrepresenting a user ID from a plurality of authentication switches.
以下、本発明の実施の形態について、実施例を用い図面を参照しながら説明する。なお、実質同一部位には同じ参照番号を振り、説明は繰り返さない。 Hereinafter, embodiments of the present invention will be described with reference to the drawings using examples. The same reference numerals are assigned to substantially the same parts, and the description will not be repeated.
図1を参照して、認証ロギングシステムの構成を説明する。ここで、図1は認証ロギングシステムのハードウェアブロック図である。図1において、認証ロギングシステム500は、L3スイッチ300と、L3スイッチ300に接続された認証サーバ200と3台の認証スイッチ100と、認証スイッチ100に接続されたHUB400と、HUB400に接続された端末10とから、構成される。
The configuration of the authentication logging system will be described with reference to FIG. Here, FIG. 1 is a hardware block diagram of the authentication logging system. In FIG. 1, an
L3スイッチ300は、図示しないブロードバンドルータを介して、インターネットと接続されている。認証スイッチ100は、認証サーバ300との間の認証の記録を認証ログ110に保持する。認証サーバ200は、認証スイッチ100との間の認証の記録を認証ログ220に保持する。認証サーバ200は、また、認証スイッチ100−1〜100−3の認証ログ110−1〜110−3を収集し、認証ログ210に保持する。認証サーバ200は、さらに、認証ログ210と認証ログ220をマージした認証結果を、認証ログ230に保持する。認証サーバ200は、MAC認証、IEEE802.1x認証、Web認証に対応する。
The
認証スイッチ110−1には、HUB400−1とHUB400−2が接続されている。同様に、認証スイッチ110−2には、HUB400−3とHUB400−4が接続されている。認証スイッチ110−3には、HUB400−5とHUB400−6が接続されている。 HUB 400-1 and HUB 400-2 are connected to authentication switch 110-1. Similarly, HUB 400-3 and HUB 400-4 are connected to authentication switch 110-2. HUB 400-5 and HUB 400-6 are connected to authentication switch 110-3.
HUB400−1には、端末10−1と端末10−2が接続されている。同様に、HUB400−4には、端末10−3と端末10−4が接続されている。HUB400−6には、端末10−5が接続されている。 A terminal 10-1 and a terminal 10-2 are connected to the HUB 400-1. Similarly, the terminal 10-3 and the terminal 10-4 are connected to the HUB 400-4. A terminal 10-5 is connected to the HUB 400-6.
図2を参照して、認証サーバの構成を説明する。ここで、図2は認証サーバの機能ブロック図である。図2において、認証サーバ200は、ネットワークインタフェース240、ユーザインタフェース280、ネットワーク認証処理部250、認証ログ収集処理部290、認証ログ解析処理部260、認証ログ表示処理部270、認証ログ210〜230で構成される。
The configuration of the authentication server will be described with reference to FIG. Here, FIG. 2 is a functional block diagram of the authentication server. In FIG. 2, the
ネットワーク認証処理部250は、ネットワークインタフェース240を介した認証スイッチ100からの認証要求を処理して、認証結果を認証スイッチ100に返信する。ネットワーク認証処理部250は、認証結果を認証ログ220に記録する。認証ログ収集処理部290は、ネットワークインタフェース240を介して認証スイッチ100にアクセスして、認証スイッチの認証ログ110を収集して、認証ログ210にマージして記録する。認証ログ収集処理部290は、また、認証ログ220と認証ログ210をマージして、認証ログ230に記録する。認証ログ解析処理部260は、認証ログ230を解析して、ユーザIDの詐称端末を検出する。認証ログ解析処理部260は、認証ログ230を解析するための認証ログ解析テーブル261を含んでいる。認証ログ表示処理部270は、ユーザインタフェース280に接続された図示しない表示装置に、認証ログ解析処理部の処理結果を表示する。
なお、認証ログ収集処理部290は、認証スイッチ100からの報告により、認証スイッチ100の認証ログ110を収集しても良い。
The network
Note that the authentication log
図3ないし図5を参照して、認証ログの構成を説明する。ここで、図3は認証サーバの認証ログの構成を説明する図である。図4は認証スイッチの認証ログの構成を説明する図である。図5は認証サーバのマージされた認証ログの構成を説明する図である。なお、図3ないし図5は、表題部のみ記載しているが、実際には表題部とレコードとから構成される。 The configuration of the authentication log will be described with reference to FIGS. Here, FIG. 3 is a diagram illustrating the configuration of the authentication log of the authentication server. FIG. 4 is a diagram for explaining the configuration of the authentication log of the authentication switch. FIG. 5 is a diagram for explaining the configuration of the merged authentication log of the authentication server. 3 to 5 show only the title part, it is actually composed of a title part and a record.
図3において、認証サーバ200の認証ログ220は、シーケンスNo221、日付/時刻222、イベントID223、認証情報224、認証スイッチ識別情報225で構成されている。イベントID223は、認証OKまたはNGである。認証情報224は、ユーザIDおよびパスワード等である。認証スイッチ識別情報225は、IPアドレスおよびMACアドレス等である。
In FIG. 3, the
図4において、認証スイッチ100の認証ログ110は、シーケンスNo111、日付/時刻112、イベントID113、認証情報114、端末識別情報115で構成されている。イベントID113は、ログインまたはログアウトである。認証情報114は、ユーザIDおよびパスワード等である。端末識別情報225は、MACアドレス、IPアドレスおよびVLAN番号等である。
In FIG. 4, the
図5において、認証サーバ200の認証ログ230は、シーケンスNo231、日付/時刻232、イベントID(1)233、イベントID(2)234、認証情報235、認証スイッチ識別情報236、端末識別情報237で構成されている。イベントID(1)233は、ログインまたはログアウトである。イベントID(2)234は、認証OKまたはNGである。認証情報235は、ユーザIDおよびパスワード等である。認証スイッチ識別情報236は、IPアドレスおよびMACアドレス等である。端末識別情報237は、MACアドレス、IPアドレスおよびVLAN番号等である。
In FIG. 5, the
なお、図3の認証ログ220をサーバ認証ログとも呼ぶ。図4の認証スイッチ100の認証ログ110をスイッチ認証ログとも呼ぶ。図5の認証サーバ200の認証ログ230をシステム認証ログとも呼ぶ。
The
図2に戻って、認証サーバ200内の認証ログ230を使って、MACアドレスを詐称する不正端末、ユーザIDを詐称する不正ユーザの検出方法について説明する。認証ログ解析処理部260は、認証ログ230に登録されている認証情報を読み込み、以下に示すような認証情報の解析処理を行う。
Returning to FIG. 2, a method of detecting an unauthorized terminal that spoofs a MAC address and an unauthorized user that spoofs a user ID using the
まず、ネットワーク認証するユーザID、端末情報(MACアドレス)で、認証イベント(ログイン、ログアウト)情報を時系列に読み込む。次に、ログインしたユーザIDまたは端末(MACアドレス)が、ログアウトをせずに2度目のログインがされたときに注目する。すなわち、1度目にログインしたユーザIDが2度目にログインした時刻より、予め定めた時間以内で遅れてログアウトしたときは、正常な端末移動がされたと判断する。しかし、1度目にログインしたユーザIDまたはMACドレスが2度目にログインした時刻より、予め定めた時間以上たってもログアウトしない場合、当該ユーザIDまたはMACアドレスは、不正ユーザIDまたは不正端末として検出する。認証ログ解析処理部260は、認証ログ表示処理部270を制御して、管理者に対して、アラーム通知を行う。
First, authentication event (login, logout) information is read in time series with the user ID and terminal information (MAC address) for network authentication. Next, pay attention when the logged-in user ID or terminal (MAC address) logs in for the second time without logging out. That is, when the user ID logged in the first time logs out after a predetermined time from the time when the user logged in the second time, it is determined that the terminal has moved normally. However, if the user ID or MAC address logged in the first time does not log out even after a predetermined time from the time when the user logged in the second time, the user ID or MAC address is detected as an unauthorized user ID or an unauthorized terminal. The authentication log
図6を参照して、端末10が認証スイッチ100−1の支配エリアから認証スイッチ100−2の支配エリアへ移動したときのシーケンスを説明する。ここで、図6は端末と2台の認証スイッチと認証サーバとの間のシーケンス図である。図6において、端末10は、認証スイッチ100−1に認証要求を送信する(S51)。認証スイッチ100−1は、認証サーバ200に認証要求パケットを送信する(S52)。認証サーバ200は、認証要求パケット内にある認証情報に対して認証処理を行い、認証結果を認証スイッチ100−1に返す(S53)。このとき、認証サーバ200は、認証結果を認証ログに記録する(S54)。
With reference to FIG. 6, the sequence when the terminal 10 moves from the control area of the authentication switch 100-1 to the control area of the authentication switch 100-2 will be described. Here, FIG. 6 is a sequence diagram among the terminal, the two authentication switches, and the authentication server. In FIG. 6, the terminal 10 transmits an authentication request to the authentication switch 100-1 (S51). The authentication switch 100-1 transmits an authentication request packet to the authentication server 200 (S52). The
認証スイッチ100−1は、認証結果を端末に返す(S56)。認証スイッチ100−1は、認証サーバ200から認証結果を受信すると認証結果を、認証ログに記録する(S57)。ここでは、認証成功なので、ログインの認証ログが記録される。認証スイッチ100−1は、自身の認証ログ110−1に認証結果を記録するとともに、そのログ情報を認証サーバ200に送信する(S58)。ここで、端末10と認証スイッチ100−1との間の通常通信が開始される。このあと、端末10が認証スイッチ100−1の管理下から、認証スイッチ100−2の管理下に移動したとする。
The authentication switch 100-1 returns an authentication result to the terminal (S56). When receiving the authentication result from the
認証スイッチ100−1は、端末10からの通信がないことを検知すると、端末10の認証を解除(ログアウト)する。ログアウト処理をした後、ログアウトの認証ログを記録し(S59)、ログを認証サーバ200へ通知する(S61)。 When the authentication switch 100-1 detects that there is no communication from the terminal 10, the authentication switch 100-1 cancels (logs out) the authentication of the terminal 10. After logout processing, a logout authentication log is recorded (S59), and the log is notified to the authentication server 200 (S61).
認証スイッチ100−2の管理下に移動した端末10は、認証スイッチ100−2に認証要求を送信する(S62)。認証要求を受信した認証スイッチ100−2は、認証サーバ200に認証要求パケットを送信する(S63)。認証サーバ200は、認証要求パケット内にある認証情報に対して認証処理を行い、認証結果を認証スイッチ100−2に返す(S64)。このとき、認証サーバ200は、認証結果を認証ログに記録する(S65)。そして、認証スイッチ100−2は、認証結果を端末に返す(S66)。認証スイッチ100−2は、認証サーバ200から認証結果を受信すると認証結果を、認証ログに記録する(S67)。ここでは、認証成功なので、ログインの認証ログが記録される。認証スイッチ100−2は、自身の認証ログ110−2に認証結果を記録するとともに、そのログ情報を認証サーバ200に送信する(S68)。
The terminal 10 that has moved under the management of the authentication switch 100-2 transmits an authentication request to the authentication switch 100-2 (S62). Upon receiving the authentication request, the authentication switch 100-2 transmits an authentication request packet to the authentication server 200 (S63). The
図7を参照して、端末10が認証スイッチ100−1の支配エリアから認証スイッチ100−2の支配エリアへ移動したときのシーケンスを説明する。ただし、端末10の移動が速やかなため、認証スイッチ100−1のログアウト時刻よりも、認証スイッチ100−2へのログイン時刻が早くなった場合を説明する。図7は端末と2台の認証スイッチと認証サーバとの間のシーケンス図である。図7において、ステップ71からステップ78までの説明は、図6のステップ51からステップ58と同じなので、説明を省く。
With reference to FIG. 7, the sequence when the terminal 10 moves from the control area of the authentication switch 100-1 to the control area of the authentication switch 100-2 will be described. However, since the terminal 10 moves quickly, the case where the login time to the authentication switch 100-2 becomes earlier than the logout time of the authentication switch 100-1. FIG. 7 is a sequence diagram between the terminal, the two authentication switches, and the authentication server. In FIG. 7, the description from
移動に伴って、端末10は、認証スイッチ100−2に認証要求を送信する(S79)。認証要求を受信した認証スイッチ100−2は、認証サーバ200に認証要求パケットを送信する(S81)。認証サーバ200は、認証要求パケット内にある認証情報に対して認証処理を行い、認証結果を認証スイッチ100−2に返す(S82)。このとき、認証サーバ200は、認証結果を認証ログに記録する(S83)。そして、認証スイッチ100−2は、認証結果を端末に返す(S84)。認証スイッチ100−2は、認証サーバ200から認証結果を受信すると認証結果を、認証ログに記録する(S85)。ここでは、認証成功なので、ログインの認証ログが記録される。認証スイッチ100−2は、自身の認証ログ110−2に認証結果を記録するとともに、そのログ情報を認証サーバ200に送信する(S86)。
Along with the movement, the terminal 10 transmits an authentication request to the authentication switch 100-2 (S79). Upon receiving the authentication request, the authentication switch 100-2 transmits an authentication request packet to the authentication server 200 (S81). The
認証スイッチ100−1は、端末10からの通信がないことを検知すると、端末10の認証を解除(ログアウト)する。ログアウト処理をした後、ログアウトの認証ログを記録し(S87)、ログを認証サーバ200へ通知する(S88)。 When the authentication switch 100-1 detects that there is no communication from the terminal 10, the authentication switch 100-1 cancels (logs out) the authentication of the terminal 10. After logout processing, a logout authentication log is recorded (S87), and the log is notified to the authentication server 200 (S88).
図8を参照して、ユーザID詐称端末の検知を説明する。ここで、図8は2台の端末と2台の認証スイッチと認証サーバとの間のシーケンス図である。図8において、ステップ91からステップ98までの説明は、図6のステップ51からステップ58と同じなので、説明を省く。 With reference to FIG. 8, the detection of a user ID misrepresentation terminal is demonstrated. Here, FIG. 8 is a sequence diagram between two terminals, two authentication switches, and an authentication server. In FIG. 8, the description from step 91 to step 98 is the same as step 51 to step 58 in FIG.
認証スイッチ100−1と通常通信中の端末10のユーザIDを詐称する詐称端末20が認証スイッチ100−2に接続したとする。詐称端末20は、認証スイッチ100−2に認証要求を送信する(S99)。認証要求を受信した認証スイッチ100−2は、認証サーバ200に認証要求パケットを送信する(S101)。認証サーバ200は、認証要求パケット内にある認証情報に対して認証処理を行い、認証結果を認証スイッチ100−2に返す(S102)。このとき、認証サーバ200は、認証結果を認証ログに記録する(S103)。そして、認証スイッチ100−2は、認証結果を端末20に返す(S104)。認証スイッチ100−2は、認証サーバ200から認証結果を受信すると認証結果を、認証ログに記録する(S106)。ここでは、図7の説明と同様に認証成功なので、ログインの認証ログが記録される。認証スイッチ100−2は、自身の認証ログ110−2に認証結果を記録するとともに、そのログ情報を認証サーバ200に送信する(S107)。
It is assumed that the spoofing terminal 20 that misrepresents the user ID of the terminal 10 in normal communication with the authentication switch 100-1 is connected to the authentication switch 100-2. The spoofing terminal 20 transmits an authentication request to the authentication switch 100-2 (S99). Upon receiving the authentication request, the authentication switch 100-2 transmits an authentication request packet to the authentication server 200 (S101). The
この時点で、認証スイッチ100−1と通常通信中の端末10において業務が終了し、正規ユーザが端末10の電源をOFFしたとする。認証スイッチ100−1は、端末10からの通信がないことを検知すると、端末10の認証を解除(ログアウト)する。ログアウト処理をした後、ログアウトの認証ログを記録し(S108)、ログを認証サーバ200へ通知する(S109)。ここで、認証サーバ200は、認証スイッチ100−2への端末20のログイン時刻と、認証スイッチ100−1からの端末10のログアウト時刻の、差から端末10または端末20がユーザID詐称端末であると検知する(S111)。
At this time, it is assumed that the business is terminated at the terminal 10 in normal communication with the authentication switch 100-1 and the authorized user turns off the power of the terminal 10. When the authentication switch 100-1 detects that there is no communication from the terminal 10, the authentication switch 100-1 cancels (logs out) the authentication of the terminal 10. After logout processing, a logout authentication log is recorded (S108), and the log is notified to the authentication server 200 (S109). Here, in the
図9を参照して、図8のシーケンスでのユーザID「User−A」に注目した認証ログ分析テーブルを説明する。ここで、図9は認証サーバの認証ログ分析テーブルを説明する図である。 With reference to FIG. 9, an authentication log analysis table focusing on the user ID “User-A” in the sequence of FIG. 8 will be described. Here, FIG. 9 is a diagram illustrating an authentication log analysis table of the authentication server.
図9において、図5で説明した認証スイッチ識別情報236は、図示の簡便のため認証位置情報236Aに置き換え、スイッチ情報で記載している。シーケンスNo1は、図8のステップ94で認証ログ220に記録された情報である。シーケンスNo2は、図8のステップ97で認証ログ110−1に記録され、ステップ98で転送された情報である。シーケンスNo3は、図8のステップ103で認証ログ220に記録された情報である。シーケンスNo4は、図8のステップ106で認証ログ110−2に記録され、ステップ107で転送された情報である。シーケンスNo5は、図8のステップ108で認証ログ110−1に記録され、ステップ109で転送された情報である。認証ログ解析処理部260は、認証ログ解析テーブル261のシーケンスNo4とNo5の時間差が29分もあり、かつ端末のMACアドレスが異なることから、User−Aを用いる端末にユーザID詐称端末が含まれていると判定する。
In FIG. 9, the authentication
図10を参照して、認証サーバの認証ログ解析処理部の動作を説明する。ここで、図10は認証ログ解析処理部の動作フローチャートである。図10において、認証ログ解析処理部260は、認証ログ230から最新の認証ログ情報を取得する(S201)。認証ログ解析処理部260は、認証情報毎に作成した認証ログ分析テーブル261に認証ログ情報を格納する(S202)。認証ログ解析処理部260は、認証ログ情報はログイン情報か判定する(S203)。YESのとき、認証ログ解析処理部260は、現在ログイン中に同一ユーザがいるか判定する(S204)。YESのとき、認証ログ解析処理部260は、端末のMACアドレスが同一か判定する(S206)。Yesのとき、認証ログ解析処理部260は、同一ユーザで同一複数端末ログインフラグをONにして(S207)、ステップ201に戻る。
The operation of the authentication log analysis processing unit of the authentication server will be described with reference to FIG. Here, FIG. 10 is an operation flowchart of the authentication log analysis processing unit. In FIG. 10, the authentication log
ステップ206でNOのとき、認証ログ解析処理部260は、同一ユーザで複数端末ログインフラグをONにして(S208)、ステップ201に戻る。ステップ204でNOのとき、認証ログ解析処理部260は、そのままステップ201に戻る。
If NO in
ステップ203でNOのとき、認証ログ情報がログアウトか判定する(S209)。NOとき、ステップ認証ログ解析処理部260は、そのままステップ201に戻る。ステップ209でYESのとき、同一ユーザで同一複数端末ログインフラグがONか判定する(S211)。YESのとき、認証ログ解析処理部260は、そのままステップ201に戻る。
If NO in
ステップ211でNOのとき、認証ログ解析処理部260は、同一ユーザで複数端末ログインフラグがONか判定する(S212)。NOのとき、認証ログ解析処理部260は、そのままステップ201に戻る。ステップ212でYESのとき、認証ログ解析処理部260は、同一ユーザでMACアドレスの違う端末のログインとログアウトとの時間差が一定時間以上か判定する(S213)。YESのとき、認証ログ解析処理部260は、詐称端末のアクセスと判断しアラームを挙げ(S214)、ステップ201に戻る。ステップ213でNOのとき、認証ログ解析処理部260は、そのままステップ201に戻る。
When NO is determined in step 211, the authentication log
上述した実施例に拠れば、ユーザの認証スイッチ間の移動記録および認証スイッチ内の移動記録を採ることができる。また、複数の認証スイッチが存在する認証ネットワークの中でユーザIDを詐称する不正ユーザを発見することができる。
また、上述した実施例では、ユーザIDごとにソートしたが、MACアドレスごとにソートすれば、MACアドレスを詐称する不正ユーザを発見することもできる。
According to the above-described embodiment, it is possible to take a movement record between user authentication switches and a movement record in the authentication switch. In addition, it is possible to find an unauthorized user who misrepresents a user ID in an authentication network including a plurality of authentication switches.
In the above-described embodiment, sorting is performed for each user ID, but if the sorting is performed for each MAC address, an unauthorized user who spoofs the MAC address can also be found.
10…端末、20…端末、100…認証スイッチ、110…認証スイッチの認証ログ、200…認証サーバ、210…認証サーバの認証ログ、220…認証スイッチから収集した認証ログ、230…マージされた認証ログ、240…ネットワークインタフェース、250…ネットワーク認証処理部、260…認証ログ解析処理部、261…認証ログ解析テーブル、270…認証ログ表示処理部、280…ユーザインタフェース、290…認証ログ収集処理部、300…L3スイッチ、400…HUB、500…認証ロギングシステム。 DESCRIPTION OF SYMBOLS 10 ... Terminal, 20 ... Terminal, 100 ... Authentication switch, 110 ... Authentication switch authentication log, 200 ... Authentication server, 210 ... Authentication server authentication log, 220 ... Authentication log collected from authentication switch, 230 ... Merged authentication Log, 240 ... Network interface, 250 ... Network authentication processing unit, 260 ... Authentication log analysis processing unit, 261 ... Authentication log analysis table, 270 ... Authentication log display processing unit, 280 ... User interface, 290 ... Authentication log collection processing unit, 300 ... L3 switch, 400 ... HUB, 500 ... Authentication logging system.
Claims (3)
前記認証サーバは、複数の前記認証スイッチが記録した複数のスイッチ認証ログを収集する収集処理部と、複数の前記スイッチ認証ログとサーバ認証ログとをマージしてシステム認証ログを生成するマージ処理部と、前記システム認証ログを解析する解析処理部とを備え、
前記解析処理部は、前記システム認証ログをユーザIDごとに時系列にソートし、同一のユーザIDかつ異なるMACアドレスでの認証ロギングがある2つの端末装置について、一方の端末装置のログアウトのタイミングで前記ユーザIDの信憑性を判断することを特徴とする認証ロギングシステム。 A plurality of authentication switches each having a plurality of connection ports, a plurality of terminal devices connected to the authentication switch via the connection ports, and an authentication server connected to one of the connection ports, Using the user information of the user who operates one terminal device to authenticate with the authentication server via the first authentication switch, record the authentication log with the first authentication switch and the authentication server, In the authentication logging system for connecting the first terminal device,
The authentication server includes a collection processing unit that collects a plurality of switch authentication logs recorded by the plurality of authentication switches, and a merge processing unit that generates a system authentication log by merging the plurality of switch authentication logs and server authentication logs. If, comprising an analysis processor for analyzing the system authentication log,
The analysis processing unit sorts the system authentication log in time series for each user ID, and for two terminal devices having authentication logging with the same user ID and different MAC addresses, at the logout timing of one terminal device. An authentication logging system characterized by determining the authenticity of the user ID .
前記認証スイッチが記録した複数のスイッチ認証ログを収集する収集処理部と、複数の前記スイッチ認証ログと前記サーバ認証ログとをマージしてシステム認証ログを生成するマージ処理部と、前記システム認証ログを解析する解析処理部とを備え、
前記解析処理部は、前記システム認証ログをユーザIDごとに時系列にソートし、同一のユーザIDかつ異なるMACアドレスでの認証ロギングがある2つの端末装置について、一方の端末装置のログアウトのタイミングで前記ユーザIDの信憑性を判断することを特徴とする情報処理装置。 An information processing apparatus connected to a plurality of authentication switches via a network interface, processing an authentication request of a terminal device from the authentication switch, and recording the result as a server authentication log,
A collection processing unit for collecting a plurality of switch authentication logs recorded by the authentication switch, a merge processing unit for generating a system authentication log by merging the plurality of switch authentication logs and the server authentication log, and the system authentication log and a analysis processor for analyzing,
The analysis processing unit sorts the system authentication log in time series for each user ID, and for two terminal devices having authentication logging with the same user ID and different MAC addresses, at the logout timing of one terminal device. An information processing apparatus that determines the authenticity of the user ID .
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2008150409A JP5042127B2 (en) | 2008-06-09 | 2008-06-09 | Authentication logging system, information processing apparatus, and logging method |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2008150409A JP5042127B2 (en) | 2008-06-09 | 2008-06-09 | Authentication logging system, information processing apparatus, and logging method |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2009296510A JP2009296510A (en) | 2009-12-17 |
JP5042127B2 true JP5042127B2 (en) | 2012-10-03 |
Family
ID=41544226
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2008150409A Active JP5042127B2 (en) | 2008-06-09 | 2008-06-09 | Authentication logging system, information processing apparatus, and logging method |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP5042127B2 (en) |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP5470145B2 (en) * | 2009-04-22 | 2014-04-16 | アラクサラネットワークス株式会社 | Authentication switch and terminal authentication method |
JP5581141B2 (en) * | 2010-07-29 | 2014-08-27 | 株式会社Pfu | Management server, communication cutoff device, information processing system, method, and program |
JP5951274B2 (en) * | 2012-02-15 | 2016-07-13 | Kddi株式会社 | Network monitoring system and monitoring method for identifying duplicate MAC addresses |
JP6070280B2 (en) * | 2013-03-04 | 2017-02-01 | 日本電気株式会社 | Network authentication system, network authentication apparatus, network authentication method, and network authentication program |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2000059393A (en) * | 1998-08-13 | 2000-02-25 | Nec Corp | Network line concentration device |
-
2008
- 2008-06-09 JP JP2008150409A patent/JP5042127B2/en active Active
Also Published As
Publication number | Publication date |
---|---|
JP2009296510A (en) | 2009-12-17 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Pereira et al. | An authentication and access control framework for CoAP-based Internet of Things | |
US8230480B2 (en) | Method and apparatus for network security based on device security status | |
RU2514138C1 (en) | System and method for verifying public key certificate to counteract "man-in-middle" attacks | |
US10148645B2 (en) | Method and device for classifying TCP connection carrying HTTP traffic | |
EP2579539A1 (en) | Authenicated name resolution | |
EP3213209A2 (en) | Systems and methods for detecting and reacting to malicious activity in computer networks | |
CN109964196A (en) | Dual factor anthentication is as network service | |
Appenzeller et al. | User-friendly access control for public network ports | |
US20100031041A1 (en) | Method and system for securing internet communication from hacking attacks | |
JP2011233128A (en) | Virtual server and method for zombie identification, sink hole server and method for integrally managing zombie information based on virtual server | |
Pavelić et al. | Internet of things cyber security: Smart door lock system | |
US20130117829A1 (en) | Internet enabled monitoring and control device | |
Hijazi et al. | Address resolution protocol spoofing attacks and security approaches: A survey | |
JP5042127B2 (en) | Authentication logging system, information processing apparatus, and logging method | |
Al‐Hammouri et al. | ReCAP: a distributed CAPTCHA service at the edge of the network to handle server overload | |
Poger et al. | Secure Public Internet Access Handler ({{{{{SPINACH}}}}}) | |
Keromytis | Voice over IP Security: A Comprehensive Survey of Vulnerabilities and Academic Research | |
US8510845B1 (en) | Method and apparatus for monitoring identity misrepresentation by a user on a network | |
KR101473719B1 (en) | Intelligent login authentication system and method thereof | |
KR101231966B1 (en) | Server obstacle protecting system and method | |
JP6322590B2 (en) | Terminal detection system and method | |
Cisco | Cisco Secure Intrusion Detection System Sensor Configuration Note Version 2.5 | |
Narula et al. | Novel Defending and Prevention Technique for Man‐in‐the‐Middle Attacks in Cyber‐Physical Networks | |
Mao et al. | Security analysis of smart home based on life cycle | |
Younes | Modeling and performance analysis of a new secure address resolution protocol |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20100510 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20111214 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20120105 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20120222 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20120626 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20120710 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5042127 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20150720 Year of fee payment: 3 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |