JP5180853B2 - Authentication system - Google Patents

Authentication system Download PDF

Info

Publication number
JP5180853B2
JP5180853B2 JP2009009815A JP2009009815A JP5180853B2 JP 5180853 B2 JP5180853 B2 JP 5180853B2 JP 2009009815 A JP2009009815 A JP 2009009815A JP 2009009815 A JP2009009815 A JP 2009009815A JP 5180853 B2 JP5180853 B2 JP 5180853B2
Authority
JP
Japan
Prior art keywords
server
user terminal
user
address
authentication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2009009815A
Other languages
Japanese (ja)
Other versions
JP2010171505A (en
Inventor
肇 溝口
智明 小島
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Alaxala Networks Corp
Original Assignee
Alaxala Networks Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Alaxala Networks Corp filed Critical Alaxala Networks Corp
Priority to JP2009009815A priority Critical patent/JP5180853B2/en
Publication of JP2010171505A publication Critical patent/JP2010171505A/en
Application granted granted Critical
Publication of JP5180853B2 publication Critical patent/JP5180853B2/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Small-Scale Networks (AREA)

Description

本発明は、認証システムに係り、特にDHCPサーバを利用した認証システムに関する。   The present invention relates to an authentication system, and more particularly to an authentication system using a DHCP server.

WEB認証システムは、ユーザ認証を行うRADIUSサーバ、認証前VLAN用の仮IPアドレスをユーザ端末に払い出すDHCPサーバ、ユーザ端末にユーザIDとパスワードを入力させるための入力画面を表示するWEBサーバ、認証前VLANと認証後VLANを切り替えるスイッチ装置、認証後VLAN用のIPアドレスをユーザ端末に払い出すDHCPサーバで構成される。   A WEB authentication system includes a RADIUS server that performs user authentication, a DHCP server that issues a temporary IP address for a pre-authentication VLAN to a user terminal, a WEB server that displays an input screen for allowing the user terminal to input a user ID and a password, and authentication A switch device that switches between a pre-VLAN and a post-authentication VLAN, and a DHCP server that delivers an IP address for the post-authentication VLAN to the user terminal.

WEB認証システムは、まずユーザ端末が認証前VLANのDHCPサーバにIPアドレスを要求し、DHCPサーバがユーザ端末に任意のIPアドレスを払い出す。IPアドレスを取得したユーザ端末は、WEBサーバへのアクセスが可能となり、WEBサーバから表示された入力画面でユーザID、パスワードを入力する。WEBサーバは、ユーザ端末のIPアドレスからそのMACアドレスをDHCPサーバに問い合わせる。WEBサーバは、ユーザID、パスワードとMACアドレスをRADIUSサーバに送付し認証を要求する。RADIUSサーバは、ユーザID、パスワードにて認証を行なう。認証がOKであれば、RADIUSサーバは、ユーザID、パスワード、MACアドレスをあわせて保持する。認証OKとなったユーザ端末に対して、WEBサーバは、認証OK画面を表示させる。認証OKになるとスイッチ装置は、ユーザ端末が接続するVLANを認証前VLANから認証後VLANに切り替える。認証後VLANに切り替えられたユーザ端末は、認証後VLANのDHCPサーバにIPアドレスを要求し、認証後VLANのDHCPサーバがIPアドレスを払い出すことで、ユーザ端末は外部ネットワークにアクセスが可能となる。   In the WEB authentication system, first, the user terminal requests an IP address from the DHCP server of the pre-authentication VLAN, and the DHCP server issues an arbitrary IP address to the user terminal. The user terminal that has acquired the IP address can access the WEB server, and inputs the user ID and password on the input screen displayed from the WEB server. The WEB server inquires of the DHCP server about the MAC address from the IP address of the user terminal. The WEB server sends the user ID, password, and MAC address to the RADIUS server and requests authentication. The RADIUS server performs authentication with the user ID and password. If the authentication is OK, the RADIUS server holds the user ID, password, and MAC address together. The WEB server displays an authentication OK screen for the user terminal that has been authenticated. When the authentication is successful, the switch device switches the VLAN to which the user terminal is connected from the pre-authentication VLAN to the post-authentication VLAN. The user terminal switched to the post-authentication VLAN requests an IP address from the post-authentication VLAN DHCP server, and the post-authentication VLAN DHCP server issues the IP address, so that the user terminal can access the external network. .

特開2003−348114号公報JP 2003-348114 A

ユーザがログアウト手順を実行してログアウトした場合でも、ユーザ端末が電源断による切断や回線断により切断状態になった場合でも、認証後VLANのDHCPサーバが払い出したIPアドレスは、払い出し期間(デフォルト:1日)が満了するまで払い出し状態は継続したままとなる。DHCPサーバは、払い出し状態でないIPアドレスを払い出す仕組みである。このため、一旦払い出しを行ったIPアドレスは、利用されない状態となっていても、払い出し状態を継続したままとなる。このため、新たな払い出しに利用できなくなる。このようなIPアドレスが増加してしまうと、DHCPサーバのリソースが有効に利用できなくなる。   Even if the user logs out by executing a logout procedure, or the user terminal is disconnected due to power-off or line disconnection, the IP address issued by the DHCP server of the VLAN after authentication is the payout period (default: The payout state continues until (1 day) expires. The DHCP server is a mechanism for paying out an IP address that is not in a payout state. For this reason, the IP address once paid out remains in the paid out state even if it is not used. For this reason, it cannot be used for a new payout. If the number of such IP addresses increases, the DHCP server resource cannot be used effectively.

また、WEB認証システムにおいて、ユーザ端末がログアウト手順を実行することで、ユーザの認証状態を解除する仕組みとなっている。しかしながら、ユーザ端末の電源断による切断や回線断により切断状態となってしまう場合がある。このようにユーザ端末がログアウト手順を実行しない場合、WEB認証システムにおいて、ユーザの認証状態を解除するための契機がなく、ユーザ端末がネットワークから離脱しているにも関わらずユーザの認証状態が継続してしまうことになる。   In the WEB authentication system, the user terminal cancels the user authentication state by executing a logout procedure. However, the user terminal may be disconnected due to power disconnection or line disconnection. When the user terminal does not execute the logout procedure in this way, in the WEB authentication system, there is no opportunity to cancel the user authentication state, and the user authentication state continues even though the user terminal has left the network. Will end up.

従量制の接続サービスのようにRADIUSサーバにて課金管理を行うシステムでは、ユーザ端末の電源断や回線の切断を検出できず、ユーザの認証状態を解除できないことは問題である。また、ユーザが再度ログインした場合に、認証済みのエラーとなってしまうため、ユーザはログアウトを行なう必要があり、ユーザが操作する場合の手間が発生する。   In a system that performs billing management with a RADIUS server, such as a pay-per-use connection service, it is impossible to detect a user terminal power-off or line disconnection, and the user authentication state cannot be canceled. In addition, when the user logs in again, an authenticated error occurs, so the user needs to log out, and the user has to perform operations.

本発明では、認証システムにおいて、RADIUSサーバとDHCPサーバを連携することでその認証状態を管理する。また、DHCPサーバまたはRADIUSサーバのリソースを有効利用することを目的とする。   In the present invention, in the authentication system, the authentication state is managed by linking the RADIUS server and the DHCP server. It is another object of the present invention to effectively use resources of a DHCP server or a RADIUS server.

上記目的を達成するために本発明は、認証後VLANにあるDHCPサーバとRADIUSサーバが連携するシステムであって、DHCPサーバとRADIUSサーバは連携するために両者間に簡易な通信手段を具備する。   In order to achieve the above object, the present invention is a system in which a DHCP server and a RADIUS server in a post-authentication VLAN are linked, and the DHCP server and the RADIUS server have a simple communication means in order to cooperate.

RADIUSサーバは、ユーザ端末からのログアウトにより、ユーザの認証状態を解除した場合、認証後VLANにあるDHCPサーバに、該当するユーザのユーザ端末のMACアドレスを通知する。   When the RADIUS server releases the user authentication state by logout from the user terminal, the RADIUS server notifies the DHCP server in the authenticated VLAN of the MAC address of the user terminal of the corresponding user.

RADUISサーバからMACアドレスの通知を受けたDHCPサーバは、そのMACアドレスに該当するユーザ端末に払い出しているIPアドレスの払い出し状態を解除する。   Upon receiving the MAC address notification from the RADUIS server, the DHCP server cancels the IP address payout state assigned to the user terminal corresponding to the MAC address.

また、認証後VLANにあるDHCPサーバは、ユーザ端末に払い出し済みのIPアドレスの払い出し期間が満了した場合、RADIUSサーバに該当するユーザ端末のMACアドレスを通知する。   Further, the DHCP server in the post-authentication VLAN notifies the MAC address of the user terminal corresponding to the RADIUS server when the payout period of the IP address already issued to the user terminal expires.

認証後VLANにあるDHCPサーバから、払い出し期間が満了したユーザ端末のMACアドレスの通知を受けたRADIUSサーバは、特許文献1に記載されているようにユーザ認証が成功したユーザ端末のMACアドレスを保持する機能を具備している。本発明では、そのMACアドレスの管理テーブルから、通知されたMACアドレスに該当するユーザ情報を検索し、そのユーザの認証状態を解除する。   The RADIUS server that received the notification of the MAC address of the user terminal whose payout period has expired from the DHCP server in the post-authentication VLAN holds the MAC address of the user terminal that has been successfully authenticated as described in Patent Document 1. It has the function to do. In the present invention, the user information corresponding to the notified MAC address is searched from the management table of the MAC address, and the authentication state of the user is released.

上述した課題は、ユーザ端末の認証をする第1のサーバと、IPアドレスをユーザ端末にリースする第2のサーバと、第1のサーバと第2のサーバとの間の通信線とからなり、第1のサーバは、認証したユーザ端末の識別情報を保持し、ユーザ端末のログアウトを検出したとき、通信線を介して第2のサーバにログアウト通知を送信する認証システムにより、達成できる。   The above-described problem includes a first server that authenticates a user terminal, a second server that leases an IP address to the user terminal, and a communication line between the first server and the second server. The first server can be achieved by an authentication system that holds the identification information of the authenticated user terminal and transmits a logout notification to the second server via the communication line when logout of the user terminal is detected.

また、ユーザ端末の認証をする第1のサーバと、IPアドレスをユーザ端末にリースする第2のサーバと、第1のサーバと第2のサーバとの間の通信線とからなり、第2のサーバは、リースしたIPアドレスとリース先のユーザ端末の識別情報とを保持し、ユーザ端末のタイムアウトを検出したとき、通信線を介して第1のサーバにリースタイムアウト通知を送信する認証システムにより、達成できる。   A first server that authenticates the user terminal; a second server that leases an IP address to the user terminal; and a communication line between the first server and the second server. The server retains the leased IP address and the identification information of the leased user terminal, and when detecting the timeout of the user terminal, the authentication system transmits a lease timeout notification to the first server via the communication line. Can be achieved.

本発明では、ユーザがログアウトし認証状態を解除した場合に、RADIUSサーバが払い出し中のIPアドレスの解放を指示することができるため、DHCPサーバはタイムリーにアドレス払い出し状態を解除することができ、DHCPサーバのリソースを有効活用できる。   In the present invention, when the user logs out and cancels the authentication state, the RADIUS server can instruct the release of the IP address being issued, so that the DHCP server can release the address issue state in a timely manner, DHCP server resources can be used effectively.

また、ユーザ端末がログアウトの手順を踏まずに、電源断または回線断などにより、ネットワークから離脱した場合、DHCPサーバがリースタイムアウト検出時にこれをRADIUSサーバに通知することでユーザの認証状態を解除することができる。   Also, when the user terminal leaves the network due to power failure or line disconnection without following the logout procedure, the DHCP server notifies the RADIUS server when the lease timeout is detected, thereby canceling the user authentication state. be able to.

ネットワーク構成を説明するブロック図である。It is a block diagram explaining a network structure. RADIUSサーバのユーザ管理情報テーブルの説明図である。It is explanatory drawing of the user management information table of a RADIUS server. DHCPサーバのリース管理情報テーブルの説明図である。It is explanatory drawing of the lease management information table of a DHCP server. ユーザ端末とDHCPサーバとWEBサーバとRADIUSサーバとの間のシーケンス図である。It is a sequence diagram among a user terminal, a DHCP server, a WEB server, and a RADIUS server. ログアウト時のDHCPサーバとRADIUSサーバの機能ブロックと動作の説明図である。It is explanatory drawing of a functional block and operation | movement of a DHCP server and a RADIUS server at the time of logout. リースタイムアウト時の動作シーケンス図である。It is an operation | movement sequence diagram at the time of lease timeout. リースタイムアウト時のDHCPサーバとRADIUSサーバの機能ブロックと動作の説明図である。It is explanatory drawing of a functional block and operation | movement of a DHCP server and a RADIUS server at the time of lease timeout.

以下、本発明の実施の形態について、実施例を用い図面を参照しながら説明する。なお、実質同一部位には同じ参照番号を振り、説明を繰り返さない。   Hereinafter, embodiments of the present invention will be described with reference to the drawings using examples. Note that the same reference numerals are assigned to substantially the same parts, and the description will not be repeated.

図1を参照して、WEB認証システムのネットワーク構成を説明する。図1において、WEB認証システム1000は、認証前VLAN1100、認証後VLAN1200、制御ネットワーク113で構成されている。認証前VLAN1100は、RADIUSサーバ200、WEBサーバ300、DHCPサーバ(P)400−1、スイッチ500、ローカルネットワーク111で構成されている。一方、認証後VLAN1200は、認証前VLAN1100と共有するスイッチ500、DHCPサーバ(G)400−2、グローバルネットワーク112で構成されている。なお、PはPrivate、GはGlobalを意味する。   A network configuration of the WEB authentication system will be described with reference to FIG. In FIG. 1, the WEB authentication system 1000 includes a pre-authentication VLAN 1100, a post-authentication VLAN 1200, and a control network 113. The pre-authentication VLAN 1100 includes a RADIUS server 200, a WEB server 300, a DHCP server (P) 400-1, a switch 500, and a local network 111. On the other hand, the post-authentication VLAN 1200 includes a switch 500, a DHCP server (G) 400-2, and a global network 112 that are shared with the pre-authentication VLAN 1100. Note that P means Private and G means Global.

WEB認証システム1000のスイッチ500には、ユーザ端末600が接続される。WEB認証システム1000のグローバルネットワーク112は、DHCPサーバ(G)400−2、外部ネットワーク114を接続する。制御ネットワーク113は、RADIUSサーバ200、WEBサーバ300、DHCPサーバ(P)400−1、DHCPサーバ(G)400−2を接続する。ローカルネットワーク111は、WEBサーバ300、DHCPサーバ(P)400−1、スイッチ500を接続する。グローバルネットワーク112は、さらにスイッチ500が接続されている。   A user terminal 600 is connected to the switch 500 of the WEB authentication system 1000. The global network 112 of the WEB authentication system 1000 connects the DHCP server (G) 400-2 and the external network 114. The control network 113 connects the RADIUS server 200, the WEB server 300, the DHCP server (P) 400-1, and the DHCP server (G) 400-2. The local network 111 connects the WEB server 300, the DHCP server (P) 400-1, and the switch 500. The global network 112 is further connected to a switch 500.

DHCPサーバ(P)400−1は、ユーザ端末600がログインするための仮IPアドレスを配布する。WEBサーバ300は、ログインするためのユーザIDとパスワードのユーザ情報をユーザに入力させる画面をユーザ端末600に表示させる。WEBサーバ300は、DHCPサーバ(P)400−1からユーザ端末600のMACアドレスを取得する。WEBサーバ300は、ユーザ情報とMACアドレスをRADIUSサーバに送信する。   The DHCP server (P) 400-1 distributes a temporary IP address for the user terminal 600 to log in. The WEB server 300 causes the user terminal 600 to display a screen for allowing the user to input user information such as a user ID and a password for logging in. The WEB server 300 acquires the MAC address of the user terminal 600 from the DHCP server (P) 400-1. The WEB server 300 transmits user information and a MAC address to the RADIUS server.

DHCPサーバ(G)400−2は、ユーザ端末600にログイン後のIPアドレスを配布する。RADIUSサーバ200は、ユーザIDとパスワードのユーザ情報から認証を行なう。RADIUSサーバ200は、ユーザ情報とMACアドレスを関連付けて記憶する。
RADIUSサーバ200とDHCPサーバ(G)400−2とは、IPアドレス解放通知(矢印A)とリースタイムアウト通知(矢印B)によって、連携を行なう。 The DHCP server (G) 400-2 distributes the IP address after login to the user terminal 600. The RADIUS server 200 performs authentication from the user information of the user ID and password. The RADIUS server 200 stores user information and a MAC address in association with each other.
The RADIUS server 200 and the DHCP server (G) 400-2 cooperate with each other by an IP address release notification (arrow A) and a lease timeout notification (arrow B).

図2を参照して、RADIUSサーバが保持するユーザ管理情報を説明する。ユーザ管理情報230は、RADIUSサーバ200がユーザ情報として保持する。図2において、ユーザ管理情報230は、ユーザID231、パスワード232、MACアドレス233の3つのカラムからなる。ユーザID231、パスワード232は、ユーザがユーザ端末600からログイン時に入力したユーザ情報である。MACアドレス233は、ユーザ端末600のMACアドレスである。   The user management information held by the RADIUS server will be described with reference to FIG. The user management information 230 is held as user information by the RADIUS server 200. In FIG. 2, the user management information 230 includes three columns: a user ID 231, a password 232, and a MAC address 233. The user ID 231 and the password 232 are user information input by the user from the user terminal 600 when logging in. The MAC address 233 is the MAC address of the user terminal 600.

ここでは、ユーザID231がabc、パスワード232がhijkl、MACアドレス233がXX:XX:XX:XX:XX:XXであるユーザが認証状態であることを示している。また、別のユーザID231がdefのユーザも認証状態である。
Here, it is shown that a user whose user ID 231 is abc, password 232 is hijkl, and MAC address 233 is XX: XX: XX: XX: XX: XX is in an authenticated state. In addition, a user whose other user ID 231 is def is also in an authenticated state.

図3を参照して、DHCPサーバ(G)が保持するリース管理情報を説明する。リース管理情報440は、DHCPサーバ(G)400−2がリース情報として保持する。図3において、リース管理情報440は、IPアドレス441、MACアドレス442の2つのカラムからなる。   With reference to FIG. 3, the lease management information held by the DHCP server (G) will be described. The lease management information 440 is held as lease information by the DHCP server (G) 400-2. In FIG. 3, the lease management information 440 includes two columns, an IP address 441 and a MAC address 442.

IPアドレス441は、認証済みのユーザ端末600にDHCPサーバ(G)400−2がアドレスプール430から払い出したIPアドレスである。MACアドレス442は、ユーザ端末600のMACアドレスである。   The IP address 441 is an IP address that the DHCP server (G) 400-2 issues to the authenticated user terminal 600 from the address pool 430. The MAC address 442 is the MAC address of the user terminal 600.

ここでは、MACアドレス442がXX:XX:XX:XX:XX:XXのユーザ端末600にIPアドレス441がXXX.XX.XX.Xを払い出している状態であることを示している。また、別のユーザ端末にもIPアドレスを払い出している状態である。   Here, the MAC address 442 is XX: XX: XX: XX: XX: XX and the IP address 441 is XXX. XX. XX. It shows that X is paid out. Further, the IP address is also assigned to another user terminal.

リース管理情報440は、アドレスプール430からIPアドレス441をMACアドレス442の端末に払い出している間、該当するIPアドレス441とMACアドレス442が保持される。   The lease management information 440 holds the corresponding IP address 441 and MAC address 442 while the IP address 441 is issued from the address pool 430 to the terminal having the MAC address 442.

図4を参照して、ユーザ端末がログインしてから、ログアウトするまでのユーザ端末および各サーバ間の処理動作を説明する。図4において、ユーザ端末600は、DHCPサーバ(P)400−1にIPアドレス要求を送信する(S201)。DHCPサーバ(P)400−1は、ユーザ端末600にIPアドレス払い出し応答を送信する(S202)。ユーザ端末600は、WEBサーバ300にログインアクセスする(S203)。WEBサーバ300は、ユーザ端末600にログイン画面を送信する(S204)。ユーザ端末600は、WEBサーバ300にユーザ認証情報を送信する(S206)。   With reference to FIG. 4, the processing operation between the user terminal and each server after the user terminal logs in until the user logs out will be described. In FIG. 4, the user terminal 600 transmits an IP address request to the DHCP server (P) 400-1 (S201). The DHCP server (P) 400-1 transmits an IP address payout response to the user terminal 600 (S202). The user terminal 600 performs login access to the WEB server 300 (S203). The WEB server 300 transmits a login screen to the user terminal 600 (S204). The user terminal 600 transmits user authentication information to the WEB server 300 (S206).

WEBサーバ300は、ユーザ端末600からのユーザID abcとパスワード hijklのユーザ情報をユーザ認証情報入力で受信すると、DHCPサーバ(P)400−1に、MACアドレス要求を送信する(S207)。DHCPサーバ(P)400−1は、ログイン用の仮IPアドレスを払い出しているユーザ端末600のMACアドレス XX:XX:XX:XX:XX:XXを取得し、MACアドレス応答としてWEBサーバ300に送信する(S208)。WEBサーバ300は、ユーザ情報と取得したユーザ端末600のMACアドレスをRADIUSサーバ200に送信する(S209)。RADIUSサーバ200は、ユーザ管理情報230にユーザ情報とMACアドレスを登録する(S211)。RADIUSサーバ200は、ユーザ認証OKをWEBサーバ300に送信する(S212)。   When the WEB server 300 receives the user ID abc and the user information of the password hijkl from the user terminal 600 by inputting the user authentication information, the WEB server 300 transmits a MAC address request to the DHCP server (P) 400-1 (S207). The DHCP server (P) 400-1 acquires the MAC address XX: XX: XX: XX: XX: XX of the user terminal 600 that has issued the temporary IP address for login, and transmits it to the WEB server 300 as a MAC address response. (S208). The WEB server 300 transmits the user information and the acquired MAC address of the user terminal 600 to the RADIUS server 200 (S209). The RADIUS server 200 registers user information and a MAC address in the user management information 230 (S211). The RADIUS server 200 transmits user authentication OK to the WEB server 300 (S212).

WEBサーバ300は、ユーザ端末600にユーザ認証OKを送信する(S213)。ユーザ端末600は、DHCPサーバ(G)400−2にIPアドレス要求を送信する(S214)。DHCPサーバ(G)400−2は、払いだすIPアドレスとユーザ端末600のMACアドレスをリース管理情報440に登録する(S215)。DHCPサーバ(G)400−2は、ユーザ端末600に払い出すIPアドレスを添付したIPアドレス払い出し応答を送信する(S216)。   The WEB server 300 transmits user authentication OK to the user terminal 600 (S213). The user terminal 600 transmits an IP address request to the DHCP server (G) 400-2 (S214). The DHCP server (G) 400-2 registers the IP address to be paid out and the MAC address of the user terminal 600 in the lease management information 440 (S215). The DHCP server (G) 400-2 transmits an IP address payout response attached with an IP address to be paid out to the user terminal 600 (S216).

ユーザ端末600は、所定のリース時間の1/2に達したとき、DHCPサーバ(G)400−2にIPアドレス払い出し延長要求を送信する(S217)。DHCPサーバ(G)400−2は、ユーザ端末600にIPアドレス払い出し延長応答を送信する(S218)。   When the user terminal 600 reaches half of the predetermined lease time, the user terminal 600 transmits an IP address payout extension request to the DHCP server (G) 400-2 (S217). The DHCP server (G) 400-2 transmits an IP address payout extension response to the user terminal 600 (S218).

ログアウトするとき、ユーザ端末600は、WEBサーバ300にログアウトアクセスする(S219)。WEBサーバ300は、ユーザ端末600にログアウト画面を送信する(S221)。ユーザ端末600は、WEBサーバ300にユーザ認証情報を入力する(S222)。WEBサーバ300は、RADIUSサーバ200にログアウト要求を送信する(S223)。RADIUSサーバ200は、ユーザ管理情報230の該当するレコードを削除する(S224)。RADIUSサーバ200は、WEBサーバ300にログアウトOKを送信する(S225)。WEBサーバ300は、ユーザ端末600にログアウトOKを送信する(S226)。   When logging out, the user terminal 600 performs logout access to the WEB server 300 (S219). The WEB server 300 transmits a logout screen to the user terminal 600 (S221). The user terminal 600 inputs user authentication information to the WEB server 300 (S222). The WEB server 300 transmits a logout request to the RADIUS server 200 (S223). The RADIUS server 200 deletes the corresponding record in the user management information 230 (S224). The RADIUS server 200 transmits a logout OK to the WEB server 300 (S225). The WEB server 300 transmits logout OK to the user terminal 600 (S226).

RADIUSサーバ200は、DHCPサーバ(G)400−2にIPアドレス開放通知を送信する(S227)。DHCPサーバ(G)400−2は、リース管理情報440の該当するレコードを削除する(S228)。   The RADIUS server 200 transmits an IP address release notification to the DHCP server (G) 400-2 (S227). The DHCP server (G) 400-2 deletes the corresponding record in the lease management information 440 (S228).

これによって、ログアウトしたユーザ端末600に払い出していたIPアドレスは、リースタイムアウトを検出するまで払い出し状態のままになることはなく、ログアウトのタイミングで払い出し可能な状態となる。   As a result, the IP address that has been paid out to the user terminal 600 that has logged out does not remain in the payout state until a lease timeout is detected, and can be paid out at the logout timing.

図5を参照して、ユーザ端末がログアウトしたときのRADIUSサーバとDHCPサーバ(G)のブロック図を説明する。図5において、DHCPサーバ(G)400−2は、DHCPプロトコル処理部410、DHCPリース管理部420、解除プロトコル処理部450、リース情報解放処理部460、アドレスプール430、リース管理情報440で構成されている。   A block diagram of the RADIUS server and the DHCP server (G) when the user terminal logs out will be described with reference to FIG. In FIG. 5, the DHCP server (G) 400-2 includes a DHCP protocol processing unit 410, a DHCP lease management unit 420, a release protocol processing unit 450, a lease information release processing unit 460, an address pool 430, and lease management information 440. ing.

DHCPプロトコル処理部410は、クライアントとDHCPでの通信を実行する。DHCPリース管理部420は、クライアントに対するIPアドレス割当を管理する。解除プロトコル処理部450は、IPアドレス解放通知によりIPアドレス解放処理を実行する。リース情報解放処理部460は、リース管理情報440からログアウトしたMACアドレスのレコードを削除し、該当するIPアドレスについてアドレスプールを更新する。アドレスプール430は、IPアドレスを管理する。リース管理情報440は、図3を参照して説明した。   The DHCP protocol processing unit 410 performs DHCP communication with the client. The DHCP lease management unit 420 manages IP address allocation to clients. The release protocol processing unit 450 executes IP address release processing in response to the IP address release notification. The lease information release processing unit 460 deletes the MAC address record logged out from the lease management information 440 and updates the address pool for the corresponding IP address. The address pool 430 manages IP addresses. The lease management information 440 has been described with reference to FIG.

一方、RADIUSサーバ200は、RADIUSプロトコル処理部210、アカウント管理処理部220、解除プロトコル処理部240、認証情報管理処理部250、ユーザ管理情報230で構成されている。   On the other hand, the RADIUS server 200 includes a RADIUS protocol processing unit 210, an account management processing unit 220, a cancellation protocol processing unit 240, an authentication information management processing unit 250, and user management information 230.

RADIUSプロトコル処理部210は、RADIUSプロトコル処理を実行する。アカウント管理処理部220は、RADIUSプロトコル処理部210の制御により、ユーザ管理情報230を更新する。解除プロトコル処理部240は、IPアドレス解放通知をDHCPサーバ(G)400−2に送信する。解除プロトコル処理部240は、リースタイムアウト通知を受信したとき、認証情報管理処理部250を制御して、ユーザ管理情報230の該当レコードを削除する。ユーザ管理情報230は、図2を参照して説明した。   The RADIUS protocol processing unit 210 executes a RADIUS protocol process. The account management processing unit 220 updates the user management information 230 under the control of the RADIUS protocol processing unit 210. The cancellation protocol processing unit 240 transmits an IP address release notification to the DHCP server (G) 400-2. When the release protocol processing unit 240 receives the lease timeout notification, the release protocol processing unit 240 controls the authentication information management processing unit 250 to delete the corresponding record in the user management information 230. The user management information 230 has been described with reference to FIG.

図5において、アカウント管理処理部220は、ログアウトがあると解除プロトコル処理部240に通知する。解除プロトコル処理部240は、IPアドレス解放通知を解除プロトコル処理部450に送信する。解除プロトコル処理部450は、リース情報解放処理部460を制御して、アドレスプール430と、リース管理情報440を更新する。   In FIG. 5, the account management processing unit 220 notifies the cancellation protocol processing unit 240 when there is a logout. The release protocol processing unit 240 transmits an IP address release notification to the release protocol processing unit 450. The release protocol processing unit 450 controls the lease information release processing unit 460 to update the address pool 430 and the lease management information 440.

図6を参照して、ユーザ端末が通信断または電源断により、ログアウトの手順を実施せずネットワークから離脱した場合のユーザ端末および各サーバ間の処理動作を説明する。図6において、ステップ316〜ステップ318は、図4のステップ216〜ステップ218と同じなので、説明を省く。ステップ318のあと、ユーザ端末600の電源断による通信断が発生したとする。   With reference to FIG. 6, the processing operation between the user terminal and each server when the user terminal leaves the network without performing the logout procedure due to communication disconnection or power supply disconnection will be described. In FIG. 6, steps 316 to 318 are the same as steps 216 to 218 of FIG. After step 318, it is assumed that the communication interruption due to the power interruption of the user terminal 600 occurs.

DHCPサーバ(G)400−2は、ユーザ端末600のリースタイムアウトを検出する(S319)。DHCPサーバ(G)400−2は、リース管理情報440の該当するレコードを削除する(S320)。DHCPサーバ(G)400−2は、RADIUSサーバ200に、MACアドレスを添付したリースタイムアウト通知を送信する(S321)。RADIUSサーバ200は、ユーザ管理情報の該当するMACアドレスのレコードを削除する(S322)。   The DHCP server (G) 400-2 detects the lease timeout of the user terminal 600 (S319). The DHCP server (G) 400-2 deletes the corresponding record in the lease management information 440 (S320). The DHCP server (G) 400-2 transmits a lease timeout notification with the MAC address attached to the RADIUS server 200 (S321). The RADIUS server 200 deletes the record of the corresponding MAC address in the user management information (S322).

図7を参照して、DHCPサーバ(G)がリースタイムアウトを検出したときのRADIUSサーバとDHCPサーバ(G)のブロック図を説明する。図7において、DHCPリース管理処理部420は、リースタイムアウトを検出すると、解除プロトコル処理部450に通知する。解除プロトコル処理部450は、リースタイムアウト通知を解除プロトコル処理部240に送信する。解除プロトコル処理部240は、認証情報解除処理部250を制御してユーザ管理情報230を更新する。   A block diagram of the RADIUS server and the DHCP server (G) when the DHCP server (G) detects a lease timeout will be described with reference to FIG. In FIG. 7, the DHCP lease management processing unit 420 notifies the release protocol processing unit 450 when detecting a lease timeout. The release protocol processing unit 450 transmits a lease timeout notification to the release protocol processing unit 240. The cancellation protocol processing unit 240 controls the authentication information cancellation processing unit 250 to update the user management information 230.

これにより、通信断や電源断により認証済み状態となっていたユーザの認証状態は、リースタイムアウトのタイミングで、認証解除状態となる。   As a result, the authentication state of the user who has been authenticated due to communication disconnection or power disconnection becomes the authentication cancel state at the timing of lease timeout.

111…ローカルネットワーク、112…グローバルネットワーク、113…制御ネットワーク、114…外部ネットワーク、200…RADIUSサーバ、300…WEBサーバ、400…DHCPサーバ、500…スイッチ、600…ユーザ端末、1000…WEB認証システム、1100…認証前VLAN、1200…認証後VLAN。   DESCRIPTION OF SYMBOLS 111 ... Local network, 112 ... Global network, 113 ... Control network, 114 ... External network, 200 ... RADIUS server, 300 ... WEB server, 400 ... DHCP server, 500 ... Switch, 600 ... User terminal, 1000 ... WEB authentication system, 1100: VLAN before authentication, 1200: VLAN after authentication.

Claims (4)

ユーザ端末の認証をする第1のサーバと、IPアドレスを前記ユーザ端末にリースする第2のサーバと、前記第1のサーバと前記第2のサーバとの間の通信線とからなる認証システムにおいて、
前記第1のサーバは、認証した前記ユーザ端末のユーザ管理情報を保持し、
前記第2のサーバは、リースしたIPアドレスとリース先のユーザ端末の識別情報とを含むリース管理情報を保持し、
前記ユーザ端末のログアウトを検出したとき、前記第1のサーバは前記通信線を介して前記第2のサーバにログアウト通知の送信と前記ユーザ管理情報のレコードの削除とを実行し前記第2のサーバは受信した前記ログアウト通知に基づき前記ユーザ端末に該当する前記リース管理情報のレコードを削除し、
前記ユーザ端末のタイムアウトを検出したとき、前記第2のサーバは前記通信線を介して前記第1のサーバにリースタイムアウト通知の送信と前記リース管理情報のレコードの削除とを実行し、前記第1のサーバは前記ユーザ端末に該当する前記ユーザ管理情報のレコードを削除することを特徴とする認証システム。 In an authentication system comprising a first server that authenticates a user terminal, a second server that leases an IP address to the user terminal, and a communication line between the first server and the second server ,
The first server holds user management information of the authenticated user terminal,
The second server holds lease management information including a leased IP address and identification information of a leased user terminal,
When the logout of the user terminal is detected, the first server sends a logout notification to the second server via the communication line and deletes the record of the user management information , The server deletes the record of the lease management information corresponding to the user terminal based on the received logout notification,
When detecting the timeout of the user terminal, the second server transmits a lease timeout notification to the first server via the communication line and deletes the record of the lease management information. The server deletes the record of the user management information corresponding to the user terminal . 請求項1に記載の認証システムであって、
前記ログアウト通知には、前記ユーザ端末のMACアドレスが含まれていることを特徴とする認証システム。 The authentication system according to claim 1,
The authentication system, wherein the logout notification includes a MAC address of the user terminal. 請求項1に記載の認証システムであって、
前記リースタイムアウト通知には、前記ユーザ端末のMACアドレスが含まれていることを特徴とする認証システム。 The authentication system according to claim 1 ,
2. The authentication system according to claim 1, wherein the lease timeout notification includes a MAC address of the user terminal. 請求項1に記載の認証システムであって、
前記ユーザ端末は、前記第2のサーバからリースされた前記IPアドレスについて所定のリース時間の半分に達した場合、延長要求を前記第2のサーバに送信することを特徴とする認証システム。 The authentication system according to claim 1,
The authentication system according to claim 1, wherein when the IP address leased from the second server reaches a half of a predetermined lease time, the user terminal transmits an extension request to the second server.
JP2009009815A 2009-01-20 2009-01-20 Authentication system Expired - Fee Related JP5180853B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2009009815A JP5180853B2 (en) 2009-01-20 2009-01-20 Authentication system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2009009815A JP5180853B2 (en) 2009-01-20 2009-01-20 Authentication system

Publications (2)

Publication Number Publication Date
JP2010171505A JP2010171505A (en) 2010-08-05
JP5180853B2 true JP5180853B2 (en) 2013-04-10

Family

ID=42703243

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2009009815A Expired - Fee Related JP5180853B2 (en) 2009-01-20 2009-01-20 Authentication system

Country Status (1)

Country Link
JP (1) JP5180853B2 (en)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2016134733A (en) * 2015-01-19 2016-07-25 日立電線ネットワークス株式会社 Network system and server device
CN107809496B (en) * 2016-09-09 2020-05-12 新华三技术有限公司 Network access control method and device
JP7227727B2 (en) * 2018-10-03 2023-02-22 エヌ・ティ・ティ・コミュニケーションズ株式会社 DEVICE MANAGEMENT APPARATUS, DEVICE MANAGEMENT METHOD AND COMPUTER PROGRAM

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6614788B1 (en) * 1998-03-03 2003-09-02 Sun Microsystems, Inc. Network address management
JP3925303B2 (en) * 2002-05-22 2007-06-06 日本電気株式会社 Layer 2 authentication system and method
JP2004048157A (en) * 2002-07-09 2004-02-12 Nippon Telegr & Teleph Corp <Ntt> Contents distributioin system and its method
JP5078422B2 (en) * 2007-05-07 2012-11-21 株式会社リコー Server apparatus, information processing apparatus, program, and recording medium

Also Published As

Publication number Publication date
JP2010171505A (en) 2010-08-05

Similar Documents

Publication Publication Date Title
US7941544B2 (en) Session manager for web-based applications
US20080263654A1 (en) Dynamic security shielding through a network resource
KR101371057B1 (en) Relay communication system and access management apparatus
CN107809496B (en) Network access control method and device
JP2012221274A (en) Network management system and server
JP2014215846A (en) Network system, access support server, processing device, communication proxy device and computer program
US10298543B2 (en) Real-time association of a policy-based firewall with a dynamic DNS hostname
US9325685B2 (en) Authentication switch and network system
JP2017033331A (en) Proxy response program, proxy response device, and proxy response method
JP5180853B2 (en) Authentication system
CN104954508A (en) System for DHCP (dynamic host configuration protocol) auxiliary accounting and auxiliary accounting method of system
JP2009245268A (en) Business management system
JP5353714B2 (en) Server system and its event message transmission method
JP5351448B2 (en) Server client system and server switching method
US9571331B1 (en) Techniques for accessing local networks via a virtualized gateway
JP5272968B2 (en) Relay communication system and access management apparatus
JP2008097217A (en) Image processor and information processor
AU2012319193B2 (en) Techniques for accessing logical networks via a programmatic service call
CN101521675A (en) User certification method and device
JP2016099865A (en) Communication system
JP2016082470A (en) Server device and program
JP2008077475A (en) Server client system and communication state delivery server
JP5077311B2 (en) Relay communication system and access management apparatus
JP5272974B2 (en) Relay communication system and access management apparatus
US20230344798A1 (en) Roaming dns firewall

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20110603

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20120717

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20120724

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20120919

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20121218

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20130111

LAPS Cancellation because of no payment of annual fees