JP5712262B2 - 通信装置 - Google Patents
通信装置 Download PDFInfo
- Publication number
- JP5712262B2 JP5712262B2 JP2013191288A JP2013191288A JP5712262B2 JP 5712262 B2 JP5712262 B2 JP 5712262B2 JP 2013191288 A JP2013191288 A JP 2013191288A JP 2013191288 A JP2013191288 A JP 2013191288A JP 5712262 B2 JP5712262 B2 JP 5712262B2
- Authority
- JP
- Japan
- Prior art keywords
- authentication
- port
- server
- information
- switch
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000004891 communication Methods 0.000 title claims description 9
- 238000000034 method Methods 0.000 claims description 61
- 230000005540 biological transmission Effects 0.000 claims description 5
- 230000010354 integration Effects 0.000 description 14
- 230000008520 organization Effects 0.000 description 6
- 238000010586 diagram Methods 0.000 description 4
- 102100039558 Galectin-3 Human genes 0.000 description 1
- 101000608757 Homo sapiens Galectin-3 Proteins 0.000 description 1
- 101001046686 Homo sapiens Integrin alpha-M Proteins 0.000 description 1
- 101000935040 Homo sapiens Integrin beta-2 Proteins 0.000 description 1
- 102100022338 Integrin alpha-M Human genes 0.000 description 1
- 101000962498 Macropis fulvipes Macropin Proteins 0.000 description 1
- 239000000470 constituent Substances 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 239000000284 extract Substances 0.000 description 1
- 238000007726 management method Methods 0.000 description 1
- 230000000449 premovement Effects 0.000 description 1
- 238000010187 selection method Methods 0.000 description 1
- 238000005728 strengthening Methods 0.000 description 1
- 238000004148 unit process Methods 0.000 description 1
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Description
本発明は、ネットワーク認証システムに関わり、特に複数の異なるデータベースを持つ認証サーバを利用する装置、システムに関する。
通信ネットワークのインフラ化とともに、セキュリティを強化するさまざまな機能が提案されている。ネットワーク認証もその1つである。ネットワーク認証システムを構成するのは、主にPC等の端末機器、認証スイッチ、認証サーバである。認証システムの基本的な動作としては、まず、PC等の端末機器から認証スイッチに対して認証リクエストパケットを出力する。認証スイッチでは、この認証リクエストパケットを受信すると受信パケット中の認証情報を基に認証サーバに対して、該認証情報が登録されているかを問い合わせる。認証スイッチは、認証サーバから該認証情報が登録済みのものであることを通知されると該認証リクエストパケットのソースMACアドレスを通信可能とする。
ネットワーク認証スイッチでは、従来、対象となるPC/ユーザに対する認証サーバとして1台のサーバしか指定できなかった(認証サーバの冗長化機能は既存機能としてあった)また、認証方式単位にRADIUSサーバを指定する機能もあった。例えば特許文献1では、1台のクライアントPCを認証するために、複数の認証サーバを構成している。
複数の認証サーバと複数の認証スイッチで構成するネットワーク認証環境において、従来は、認証スイッチ単位に認証サーバを指定して運用・管理していた。このとき、異なる認証サーバで管理しているユーザの異動があるとネットワーク認証管理ができなくなる。例えば、フロア毎、部署毎に認証サーバを設置して、管理している状況下で、これを1台の認証スイッチで複数の認証サーバを扱うことが必要となる。
また、今まで、それぞれの認証サーバで運用していた企業同士、企業内の事業部同士が統合により、従業員が職場に混在するようになるとき、1台の認証スイッチでは、運用できなくなる。このため、1台の認証スイッチで、複数の認証サーバに対応することが課題になる。
また、別の課題として、1台の認証スイッチで複数のフロア、複数の部署を管理し、認証方式として、Web認証を使う場合、認証画面をメッセージボードとして活用するためには、物理ポート単位に認証画面を出す必要がある。
従来、複数RADIUSサーバを指定して運用する方法として、同じ認証データを複数のRADIUSサーバにもたせることにより、RADIUSサーバを冗長化する方法やネットワーク認証として、MAC認証を使う時とWeb認証を使う時で、別々のRADIUSサーバを指定する方法は、存在した。
しかし、認証サーバに加えて、PCのセキュリティ状態をチェックする検疫の機能を持つ検疫サーバを部分的に適用するため、1つの認証スイッチの中で、PC単位、物理ポート単位等に分けて運用・管理させたい場合、従来の認証スイッチでは、実現できない。
つまり、1台の認証スイッチで、複数の端末、ユーザに対して、多様なセキュリティサービスを提供するため、複数の認証サーバを接続する必要があり、認証スイッチの物理ポート毎にRADIUSサーバを指定する機能、認証方式がWeb認証の場合、物理ポート単位にRADIUSサーバを指定した場合、それぞれのポートで、別の認証画面を表示させる機能、PCから認証情報を入力する際に、認証サーバを指定できる機能を1台の認証スイッチで実現することが本発明の課題となる。
複数の接続ポートと、前記接続ポートを介して接続された機器を認証する複数の認証処理部と、前記接続ポートごとに認証する認証処理部を選択する認証処理振り分け部とを有し、前記複数の接続ポートにはそれぞれ前記複数の認証処理部の何れかが対応付けられており、前記認証処理振り分け部は、前記接続ポートの何れかと接続された前記機器からパケットの受信があると、当該パケット送信のあった機器が接続された前記接続ポートに対応付けられた認証処理部を選択し、前記パケット送信のあった機器の認証処理を行わせることを特徴とするパケット転送装置、もしくはシステムを提供する。
異なる認証サーバを持ち、ネットワーク認証システムを構築している企業や企業内の部署同士が、統合し、1つのネットワーク認証システムを構築する場合、認証サーバの認証データベースを統合することなしに統合したネットワーク認証システムを構築することができる。
本発明の特徴は、企業統合や組織統合により、認証サーバが複数になっても、認証スイッチ等の認証装置が複数の認証サーバを指定できることにある。
通常、社内ネットワーク等に端末が接続すると、認証機能を有するスイッチ等(以下認証スイッチ)により、認証が行われ、認証された端末だけが社内ネットワークに接続することができる。認証スイッチは端末の認証情報を有する認証サーバに問い合わせることにより認証を行う。認証スイッチが問い合わせる認証サーバは固定である。
ここで、異なる方式の認証システムを有する企業A,Bが合併により統合した場合を考える。A社とB社の社員は同じ建物の同じフロアで仕事をする場合も考えられるので、そのフロアに割り当てられている認証スイッチは、両社の社員の端末を認証する必要がある。すなわち、認証サーバA,Bの両方の認証サーバ、さらには認証方式を使い分ける必要がある。当該課題を解決するために、本発明の認証スイッチは、必要に応じて認証サーバや認証方式を振り分ける機能を有する。
以下、従来のネットワーク認証システムでの企業統合などの問題点、そして本発明の構成の順に説明する。
図15に企業統合や組織統合する前のネットワーク認証システムを示す。図15に示す認証システムは、従来の認証スイッチを使用した構成である。このシステムでは、認証サーバ1510−1に登録されている認証データベース1150−1と認証サーバ1510−2に登録されている認証データベース1150−2は、登録情報が異なる。
認証スイッチ1500−1には、認証サーバ1510−1が登録されている。認証スイッチ1500−2には、認証サーバ1510−2が登録されている。それぞれの認証サーバが持つ認証データベース1550−1、1150−2は、それぞれの組織の認証情報が登録されており、同じものではない。簡単なネットワーク認証の流れについて説明する。ネットワーク認証方式としては、MAC認証、Web認証、802.1X認証がある。
まず、MAC認証方式を使った認証の流れについて説明する。まず、端末1540−1が、HUB1530−1のポートに接続し、任意のパケットが端末1540−1から、認証スイッチ1500−1に送信されると、認証スイッチ1500−1では、受信パケットの送信元MACアドレスを使って、認証サーバ1510−1に対して、認証の問い合わせを行う。
このとき、認証スイッチ1500−1には、冗長化のため、複数の認証サーバを登録できるが、認証データベースは、1種類しか持つことができない。また、1台の認証スイッチから最初にアクセスする認証サーバは、固定されていて、1台のみである。認証サーバ1510−1は、認証データベース1550−1に該当MACアドレスが登録されていた場合、認証スイッチ1500−1に対して、認証OKの通知を出す。認証スイッチ1500−1では、該当MACアドレスに対して、認証許可処理を行い、端末1540−1は、通信可能となる。
次にWeb認証方式を使った認証の流れについて説明する。端末のユーザは、端末1540−1を、HUB1530−1に接続し、認証スイッチ1500−1に対して、http/httpsによる認証要求を行う。認証スイッチ1500−1は、認証情報登録画面データを端末1540−1に送り、ユーザは、その登録画面より、認証情報を入力し、認証スイッチ1500−1に送信する。認証スイッチ1500−1では、認証情報を受け取ると、それを元に認証サーバ1510−1に対して認証要求をする。認証スイッチ1500−1には、冗長化のため、複数の認証サーバを登録できるが、認証データベースは、1種類しか持つことができない。
また、1台の認証スイッチから最初にアクセスする認証サーバは、固定されていて、1台のみである。認証サーバ1510−1は、認証データベース1550−1に該当認証情報が登録されていた場合、認証スイッチ1500−1に対して、認証OKの通知を出す。認証スイッチ1500−1は、該当端末のMACアドレスに対して、認証許可処理を行い、端末1540−1は、通信可能となる。802.1X認証方式でも同様の認証シーケンスで、認証が行われる。認証スイッチ1500−2を用いた認証システムでも同様のネットワーク認証処理が行われる。
図16に従来の認証スイッチを使って企業統合や組織統合をした場合のネットワーク認証システム構成図を示す。従来の認証スイッチでは、1台のスイッチで、1種類の認証データベースを持つ認証サーバしか登録できないので、企業統合や組織統合をして、認証サーバが増えた場合は、その数に合わせて、従来の認証スイッチが必要になる。
ネットワーク認証の流れについて簡単に説明する。ネットワーク認証方式として、Web認証を使用する場合、端末1540−1のユーザは、端末1540−1を、HUB1530−1に接続し、認証スイッチ1500−1に対して、http/httpsによる認証要求を行う。認証スイッチ1500−1は、認証情報登録画面データを端末1540−1に送り、ユーザはその登録画面より、認証情報を入力し、認証スイッチ1500−1に送信する。
認証スイッチ1500−1では、認証情報を受け取るとそれを元に認証サーバ1510−1に対して認証要求を行う。認証サーバ1510−2へは認証要求を行わない。同様に認証スイッチ1500−2に接続するHUB1530−3に接続する端末1540−3が認証を行う場合、認証スイッチ1500−2は、認証サーバ1510−2へのみ認証要求を行い、認証サーバ1510−1へは行わない。
このように、従来のスイッチを使った場合、認証するユーザによって認証スイッチを切り分ける必要があるため、企業統合、組織統合等でネットワーク認証システムを再構築する場合、運用・構築コストが増大する。
以下、本発明の実施の形態について、図1〜図14を用いて説明する。図1を使って、ネットワーク認証システムの構成を説明する。ここで、図1は、認証システムのハードウエアブロック図である。図1において、ネットワーク認証システムは、L3スイッチ120とL3スイッチ120に接続された2台の認証サーバ110と2台の認証スイッチ100と認証スイッチ100に接続されたHUB130とHUB130に接続された端末140から構成される。
認証スイッチ100のネットワーク認証機能を実現する処理部の構成を図2に示し、各処理部及び、使用するデータベースについて説明する。認証済/未認証判定部240は、端末からのパケットを受信し、受信パケットの送信元MACアドレスが認証済か未認証であるかを判定する機能を持つ。ポート間移動判定部250は、認証済端末の移動前と移動後の状態をチェックし、認証状態のローミングが可能かどうかを判定する。
認証振り分け部200は、受け取った受信パケットと受信ポート情報を元に振り分ける認証処理部を判定し、受信パケットと受信ポート情報を該当する認証処理部へ渡す。各認証処理部(802.1X認証処理部210、Web認証処理部220、MAC認証処理部230)では、受信ポート情報を元に認証サーバグループリストテーブルより該当する認証サーバを検索して、該当認証サーバに対して認証処理を行う。
図3〜図7に認証スイッチ100内で使用するテーブルを示す。ポート単位認証方式リストテーブル300は、認証スイッチのポート番号と認証方式リスト名の対応表であり、図3に構成例を示す。
認証方式リストテーブル400は、認証方式リスト名と認証方式リスト、認証サーバグループリスト番号を構成要素に持つ認証方式リストと認証グループサーバの対応リストである。図4に構成例を示す。
認証サーバグループリストテーブル500は、リスト番号、認証サーバ情報を構成要素に持つリストテーブルである。認証サーバ情報としては、認証サーバのIPアドレス、MACアドレス情報等を登録する。図5に構成例を示す。
ポート単位Web認証画面データリストテーブル600は、認証スイッチのポート番号とWeb認証画面データ情報を要素に持つテーブルである。Web認証画面データ情報としては、認証スイッチ内に格納されたWeb認証画面データの位置情報(ディレクトリ情報等)が格納される。図6に構成例を示す。
認証済み端末登録リスト700は、認証スイッチのポート番号と認証済みMACアドレスの対応テーブルである。図7に示す構成例では、認証スイッチのポート番号1番にMACアドレス MAC-1とMAC-2が登録されていることを示す。
ポート単位認証方式リストテーブル300、認証方式リストテーブル400、認証サーバグループリストテーブル500を参照することにより、認証スイッチのポート毎に登録されている認証サーバの情報を取得することが可能になる。図3〜図5を使って説明する。
図3に示すポート単位認証方式リストテーブル300から、認証スイッチのポート番号1番で登録されている認証方式リスト名 List-1を取得する。List-1を使って図4に示す認証方式リストテーブル400から、該当認証サーバグループリスト番号 1を取り出す。そして、最後に図5に示す認証サーバグループリストテーブル500から該当する認証サーバ情報「サーバ1、サーバ2」を取り出すことにより、認証スイッチのポート番号1に対応する認証サーバ情報を取得することが可能になる。図3〜図5に示すテーブルとは別に、認証スイッチのポート番号情報と認証サーバ情報を構成要素とするテーブルを使うことも可能である。
次に図8〜図14を使って認証スイッチ100内の各処理部の処理フローについて説明する。まず、図8を使って認証済/未認証判定部240の処理の流れについて説明する。認証済/未認証判定部240は、端末140から任意のパケットを受信(800)すると、受信パケットの送信元MACアドレスを元に認証済み端末登録リスト700を検索する。
そして、本テーブルに該当MACアドレスが登録されていなかった場合、未認証のMACアドレスを判断して、受信パケットに受信ポート情報を付与して認証振り分け部200へ転送する(830)。本テーブルに該当MACアドレスが登録されていた場合、受信パケットの認証スイッチでの受信ポート番号と登録済MACアドレスのポート番号を比較する(840)。一致していた場合、受信パケットを認証済みの端末からのパケットと判定し、通常のパケット転送処理を行う(860)。一致しなかった場合、認証済みのMACアドレスを持つ端末が移動したと判断し、受信パケットに受信ポート情報と登録済MACのポート情報を付与して、ポート間移動判定部へ転送する(870)。
次に、図14を使って、ポート間移動判定部250の処理の流れについて説明する。ポート間移動判定部250は、認証済/未認証判定部240より、受信パケットと受信パケットの受信ポート情報と登録済MACのポート情報を受け取ると、受信ポート情報を元に認証サーバグループリストテーブル500を検索し、端末が移動した後のサーバグループ情報を取得する(1400)。そして、登録済MACの受信ポート情報を元に認証サーバグループリストテーブル500を検索し、端末が移動する前のサーバグループ情報を取得する(1410)。つぎに、移動前のサーバグループと移動後のサーバグループを比較し(1420)、一致しない場合は、該当端末の認証状態を解除する(1440)。一致した場合は、通常の転送処理を行う。
このように、端末の移動前と移動後のサーバグループ情報を比較することで、異なる認証サーバが登録されているポート間を認証済み端末が移動するのを禁止することができ、認証セキュリティを確保することができる。
従来のポート間移動判定部は、認証済み端末が、接続している認証スイッチ内のポートから別なポートに接続先を変更(移動)したときに、移動前のVALN-IDと移動後のVLAN-IDを比較して、違っていたら、認証を解除し、同一VLAN-IDの場合は、認証状態を継続(ローミング)させる機能をもっていた。
ここで、複数ポートに同一のVLAN-IDを割り当て、トラフィックを均一化させるため、ポート単位にユーザを限定するネットワークについて説明する。本ネットワークを構築するには、本発明によるポート単位に認証サーバを設定する運用が必要である。
次に、本ネットワークに対するポート間移動判定部の適用について説明する。従来のポート間移動判定部を用いると、認証済み端末が、ポート間を移動するときに移動した先のVLAN-IDが、移動前のVLAN-IDと同じ場合は、ローミングを許してしまう。このため、ポート別にトラフィックを制御することができない。これに対して、本発明によるポート間移動判定部では、端末の移動前と移動後の認証サーバの種別を比較するため、従来のポート間移動判定部のようなローミング判定をすることがない。つまり、端末の移動前と移動後のポートに設定された認証サーバの種別が違うと端末の移動後は、認証解除状態になり、トラフィックは分離できることになる。
次に、図9を使って、認証処理振分け部200の処理の流れについて説明する。認証処理振分け部200は、認証済/未認証判定部240より、受信パケットと受信ポート情報を受け取ると、ポート単位認証方式リストテーブル300から、該当ポートの認証方式情報を取得(900)し、受信パケットの種別からどの認証方式を使ってネットワーク認証処理を行うかを判定する(910)。MAC認証と判定した場合は、MAC認証処理部へ受信パケットと受信ポート情報を転送する(940)。Web認証と判定した場合は、Web認証処理部へ受信パケットと受信ポート情報を転送する(950)。802.1X認証と判定した場合は、802.1X認証処理部へ受信パケットと受信ポート情報を転送する。
次に、図11を使ってMAC認証処理部230の処理の流れを説明する。MAC認証処理部230は、認証処理振分け部200から、受信パケットと受信ポート情報を受け取ると、受信ポート情報から、ポート単位認証方式リストテーブル300、認証方式リストテーブル400、認証サーバグループリストテーブル500を使って、認証サーバグループ情報を取得する(1100)。そして、認証サーバグループ情報内の優先度の高い認証サーバから順に認証情報を問い合わせる(1100)。このようにして、認証ポート単位に認証サーバを選択し、ネットワーク認証が可能になる。
次に、図12を使ってWeb認証処理部220の処理の流れを説明する。Web認証処理部220は、認証処理振分け部200から、受信パケットと受信ポート情報を受け取ると受信ポート情報から、ポート単位認証方式リストテーブル300、認証方式リストテーブル400、認証サーバグループリストテーブル500を使って、認証サーバグループ情報を取得する(1200)。そして、受信ポート情報を使ってポート単位Web認証画面データリストテーブル600からWeb認証画面データ情報を取り出し、端末へWeb認証画面を出力させる(1210)。そして、端末より、認証情報を受け取ると、前に取得していた、当該認証サーバグループ情報内の優先度の高い認証サーバから順に認証情報を問い合わせる(1220)。このようにして、認証ポート単位にWeb認証画面を出力し、認証サーバを選択することによってネットワーク認証が可能になる。
つぎに、図10を使って802.1X認証処理部210の処理の流れを説明する。802.1X認証処理部210は、認証処理振分け部200から、受信パケットと受信ポート情報を受け取ると受信ポート情報から、ポート単位認証方式リストテーブル300、認証方式リストテーブル400、認証サーバグループリストテーブル500を使って、認証サーバグループ情報を取得する(1000)。そして、該当する認証サーバ情報内の優先度の高い認証サーバから順に認証情報を問い合わせる(1010)。このようにして、認証ポート単位に認証サーバを選択し、ネットワーク認証が可能になる。
次に、複数の認証方式を組み合わせた場合について説明する。ポート番号2番のポートに接続された端末140から任意のパケットを受信すると、認証済/未認証判定部は、受信パケットの送信元MACアドレスが認証済か未認証であるかを判定する。今回の説明では未認証とする。
次に、未認証の送信元MACアドレスを認証する必要があるため、認証振り分け部200は、受け取った受信パケットと受信ポート情報を元に振り分ける認証処理部を判定し、受信パケットと受信ポート情報を該当する認証処理部へ渡す。具体的には、認証振り分け部200は、ポート単位認証方式リストテーブル300を参照し、ポート番号2番に対応する認証方式リスト名 List−2を入手する。
次に、認証方式リストテーブル400を参照し、List−2に対応すする認証方式MAC,Webを入手する。次に、認証振り分け部200は入手した認証方式に対応するMAC認証処理部230、Web認証処理部220に対し受信パケットと受信ポート情報を渡す。MAC認証処理部230、Web認証処理部220では、ポート単位認証方式リストテーブル300、認証方式リストテーブル400、認証サーバグループリストテーブル500から該当する認証サーバ情報「サーバ3、サーバ4」を入手する。
認証サーバ情報に複数のサーバが含まれる場合は優先度が定められており、優先度が2番目以降は予備の認証サーバである。本説明では番号の若いサーバほど優先度が高いとする。そうすると、MAC認証処理部230、Web認証処理部220は「サーバ3」に対し認証要求を出し、返事がない場合に「サーバ4」に対し認証要求を出す。これは1つの認証方式のみの場合も同様である。
次に、ネットワーク認証として、Web認証を選択した場合のユーザIDによる認証サーバ選択方式の実施例について説明する。図13を使ってWeb認証処理部220におけるユーザID単位で認証サーバを選択する処理の流れについて説明する。Web認証処理部220は、認証振り分け部200から、受信パケットを受け取ると、受信パケットからユーザID情報を取り出す。そして、ユーザID情報から、サーバグループ情報を取り出す(1300)。ユーザID情報に含まれるサーバグループ情報とは、例えば、「@」等の特殊文字で区切られた情報を示す。
「ユーザA@サーバ1」というユーザID情報があったとすると、「ユーザA」がネットワーク認証を行うときの認証情報で、「@」で区切られた「サーバ1」が、サーバグループ情報となる。
つぎに、サーバグループ情報を元に、認証サーバリストテーブル500を検索し、該当する認証サーバ情報を取り出す(1310)。そして、該当する認証サーバ情報に登録されている優先度高い認証サーバから順に認証情報を問い合わせる(1320)。このようにして、ユーザID単位に認証サーバを選択し、ネットワーク認証が可能になる。
ネットワーク認証システムに新たに検疫機能をもつ認証サーバを導入する場合、従来の認証サーバを残しつつ、検疫機能を持つ認証サーバを段階的に導入することが可能になる。また、従来の認証サーバのみを使った認証ネットワークに対し、部分的な検疫機能を持つ認証システムを導入することが可能になる。
Web認証を使ったネットワーク認証システムにおいて、端末装置に出力する認証情報入力画面に接続先の部署等の付加的な情報を表示して運用している場合、本発明によると、1台の認証スイッチで複数の部署に対して、認証システムを構築することが可能になる。
本発明を導入することにより、前述したように異なる認証サーバを持ち、ネットワーク認証システムを構築している企業や企業内の部署同士が、統合し、1つのネットワーク認証システムを構築する場合、認証サーバの認証データベースを統合することなしに統合したネットワーク認証システムを構築することができる。
また、ネットワーク認証とWeb認証と連携した検疫システムを混在させる場合、ポート単位にWeb認証画面を変えることができるので、ネットワーク認証のみに使用するWeb認証画面と検疫と連動したWeb認証画面を変えて、ユーザの誤入力を防ぐことができる。
また、組織統合等で、複数の認証サーバを使ってWeb認証システムを運用している場合、端末装置に表示するWeb認証画面に対し、認証サーバ毎の識別情報を画面に表示する運用が可能になるので、非認証者が、どの認証サーバ(組織)に所属しているのかが分かる。
1台の認証スイッチを使って、複数の組織が入っている複数のフロアに認証システムを構築する場合、フロア間で認証サーバは、異なる。本発明では、異なる認証サーバが登録されているポート間を認証済み端末が移動するのを禁止することができるので、フロア間の認証セキュリティを確保することができる。
また、プリンタ等、固定ポートで使用する機器に対して、1つの認証サーバを設定し、他のポートでは、ユーザ用の認証サーバを設定することによって、プリンタの接続するポートにPCを接続して、ユーザ認証させようとしても認証サーバが違うため、接続不可となる。これにより、認証セキュリティは向上する。
上述の実施例によると以下の態様が提供される。
態様1のパケット転送装置は、複数の接続ポートと、前記接続ポートを介して接続された機器を認証する複数の認証処理部と、前記接続ポートごとに認証する認証処理部を選択する認証処理振り分け部とを有し、前記複数の接続ポートにはそれぞれ前記複数の認証処理部の何れかが対応付けられており、前記認証処理振り分け部は、前記接続ポートの何れかと接続された前記機器からパケットの受信があると、当該パケット送信のあった機器が接続された前記接続ポートに対応付けられた認証処理部を選択し、前記パケット送信のあった機器の認証処理を行わせる。態様2のパケット転送装置は、態様1記載のパケット転送装置であって、前記複数の認証処理部は、それぞれ異なる認証サーバを用いて前記パケット送信のあった機器の認証を行う。態様3のパケット転送装置は、態様2記載のパケット転送装置であって、前記接続ポートは1以上の認証方式と対応付けられており、 前記認証処理振り分け部は、前記パケットを受信した前記接続ポートと対応付けられた認証方式で認証を行う前記認証処理部を選択する。
態様4のパケット転送装置は、態様3記載のパケット転送装置であって、前記認証方式は1以上の前記認証サーバと対応付けられており、前記認証処理部は、前記認証処理振り分け部から前記受信したパケットと前記パケットを受信した接続ポート情報を受け取ると、前記受け取った前記接続ポート情報に対応する前記認証方式の認証を行う前記認証サーバへ認証要求を送信する。態様5のパケット転送装置は、態様4記載のパケット転送装置であって、前記認証方式に2以上の前記認証サーバが対応付けられていた場合、前記認証処理部は、優先順位の高い前記認証サーバに対して前記認証要求を送信する。態様6のパケット転送装置は、態様5記載のパケット転送装置であって、前記複数の認証処理部は、ウェブ認証、MAC認証、802.1X認証の何れかを行う。
態様4のパケット転送装置は、態様3記載のパケット転送装置であって、前記認証方式は1以上の前記認証サーバと対応付けられており、前記認証処理部は、前記認証処理振り分け部から前記受信したパケットと前記パケットを受信した接続ポート情報を受け取ると、前記受け取った前記接続ポート情報に対応する前記認証方式の認証を行う前記認証サーバへ認証要求を送信する。態様5のパケット転送装置は、態様4記載のパケット転送装置であって、前記認証方式に2以上の前記認証サーバが対応付けられていた場合、前記認証処理部は、優先順位の高い前記認証サーバに対して前記認証要求を送信する。態様6のパケット転送装置は、態様5記載のパケット転送装置であって、前記複数の認証処理部は、ウェブ認証、MAC認証、802.1X認証の何れかを行う。
態様7のパケット転送装置は、態様2記載のパケット転送装置であって、認証済みの前記機器が接続された前記接続ポートと異なる前記接続ポートに移動したとき、移動の前後の前記接続ポートで対応する前記認証サーバが異なる場合は当該移動した機器の認証済みの状態を解除し、再度認証を行う。
態様8のネットワーク認証システムは、パケット転送装置と複数の認証サーバからなり、前記パケット転送装置は、複数の接続ポートを有し、当該接続ポートのいずれかに接続された機器からパケットを受信すると、当該パケットを受信した接続ポートに対応する前記認証サーバに認証要求を送信し、 前記認証サーバは、前記認証要求を受信すると、前記パケットを送信した機器の認証を行い、認証結果を前記パケット転送装置に返信する。態様9のネットワーク認証システムは、態様8記載のネットワーク認証システムであって、 前記複数の認証サーバは、それぞれ異なる認証方式を用いて前記パケット送信のあった機器の認証を行う。態様10のネットワーク認証システムは、態様9記載のネットワーク認証システムであって、前記接続ポートは1以上の認証方式と対応付けられており、 前記パケット転送装置は、前記パケットを受信した前記接続ポートと対応付けられた認証方式で認証を行う前記認証サーバに前記認証要求を送信する。
態様8のネットワーク認証システムは、パケット転送装置と複数の認証サーバからなり、前記パケット転送装置は、複数の接続ポートを有し、当該接続ポートのいずれかに接続された機器からパケットを受信すると、当該パケットを受信した接続ポートに対応する前記認証サーバに認証要求を送信し、 前記認証サーバは、前記認証要求を受信すると、前記パケットを送信した機器の認証を行い、認証結果を前記パケット転送装置に返信する。態様9のネットワーク認証システムは、態様8記載のネットワーク認証システムであって、 前記複数の認証サーバは、それぞれ異なる認証方式を用いて前記パケット送信のあった機器の認証を行う。態様10のネットワーク認証システムは、態様9記載のネットワーク認証システムであって、前記接続ポートは1以上の認証方式と対応付けられており、 前記パケット転送装置は、前記パケットを受信した前記接続ポートと対応付けられた認証方式で認証を行う前記認証サーバに前記認証要求を送信する。
態様11のネットワーク認証システムは、態様10記載のネットワーク認証システムであって、前記認証方式に2以上の前記認証サーバが対応付けられていた場合、 前記パケット転送装置は、優先順位の高い前記認証サーバに対して前記認証要求を送信する。態様12のネットワーク認証システムは、態様11記載のネットワーク認証システムであって、 前記認証方式としてウェブ認証、MAC認証、802.1X認証の何れかを行う。態様13のネットワーク認証システムは、態様9記載のネットワーク認証システムであって、前記パケット転送装置は、認証済みの前記機器が接続された前記接続ポートと異なる前記接続ポートに移動したとき、移動の前後の前記接続ポートで対応する前記認証サーバが異なる場合は当該移動した機器の認証済みの状態を解除し、再度移動先の接続ポートに対応する前記認証サーバに前記認証要求を送信する。
100・・・認証スイッチ、110・・・認証サーバ、120・・・L3スイッチ、130・・・HUB、140・・・端末、200・・・認証処理振り分け部、210・・・802.1X認証処理部、220・・・Web認証処理部、230・・・MAC認証処理部、240・・・認証済み/未認証判定部、250・・・ポート間移動判定部、300・・・ポート単位認証方式リストテーブル、400・・・認証方式リストテーブル、500・・・認証サーバグループリストテーブル、600・・・ポート単位Web認証画面データリストテーブル、700・・・認証済み端末登録リスト
Claims (3)
- 通信装置であって、
複数の接続ポートと、
前記接続ポートを介して接続された機器のweb認証を認証サーバを用いて行なう認証処理部と、を備え、
前記認証処理部は、前記接続ポートの何れかに前記機器からパケットの受信がある場合、当該パケット送信のあった機器が接続される前記接続ポートに対応付けられた認証画面データを選択し、前記認証画面データを含む認証情報要求を前記パケット送信のあった機器に前記ポートを介して送信し、前記認証情報要求に対する認証情報を受信することを特徴とする通信装置。 - 請求項1記載の通信装置であって、
前記認証処理部は、前記認証情報に含まれる、第一の部分に対応する情報で認証サーバを選択し、前記選択された認証サーバに対して、第二の部分に対応する情報を含む認証要求を行なう、通信装置。 - 請求項1または2記載の通信装置であって、
さらに、外部の機器から接続ポートを介して受信したパケットの送信元の機器が未認証の場合にMAC認証または802.1X認証の何れかの認証方式により認証する認証処理部を備え、パケットを受信したポートに予め対応づけられる認証方式により機器の認証をする通信装置。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2013191288A JP5712262B2 (ja) | 2013-09-17 | 2013-09-17 | 通信装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2013191288A JP5712262B2 (ja) | 2013-09-17 | 2013-09-17 | 通信装置 |
Related Parent Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2009259428A Division JP5372711B2 (ja) | 2009-11-13 | 2009-11-13 | 複数認証サーバを有効利用する装置、システム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2014029710A JP2014029710A (ja) | 2014-02-13 |
| JP5712262B2 true JP5712262B2 (ja) | 2015-05-07 |
Family
ID=50202194
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2013191288A Active JP5712262B2 (ja) | 2013-09-17 | 2013-09-17 | 通信装置 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP5712262B2 (ja) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP7241620B2 (ja) * | 2019-06-21 | 2023-03-17 | APRESIA Systems株式会社 | 認証スイッチ、ネットワークシステムおよびネットワーク装置 |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP3575587B2 (ja) * | 1998-11-17 | 2004-10-13 | 矢崎総業株式会社 | 端末用伝送装置 |
| JP2006023883A (ja) * | 2004-07-07 | 2006-01-26 | Fuji Xerox Co Ltd | サーバ |
| JP2007267315A (ja) * | 2006-03-30 | 2007-10-11 | Alaxala Networks Corp | マルチ認証機能スイッチ装置 |
| JP4849962B2 (ja) * | 2006-06-06 | 2012-01-11 | 株式会社リコー | 画像処理装置、認証サーバ選択方法及びプログラム |
| JP4881672B2 (ja) * | 2006-07-31 | 2012-02-22 | パナソニック電工ネットワークス株式会社 | 通信装置及び通信制御プログラム |
| JP4909875B2 (ja) * | 2007-11-27 | 2012-04-04 | アラクサラネットワークス株式会社 | パケット中継装置 |
-
2013
- 2013-09-17 JP JP2013191288A patent/JP5712262B2/ja active Active
Also Published As
| Publication number | Publication date |
|---|---|
| JP2014029710A (ja) | 2014-02-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5372711B2 (ja) | 複数認証サーバを有効利用する装置、システム | |
| JP5507462B2 (ja) | 異なる組織に属する複数のユーザのためのクレデンシャルの複製を行わない認証方法 | |
| US8566474B2 (en) | Methods, systems, and computer readable media for providing dynamic origination-based routing key registration in a diameter network | |
| JP5811171B2 (ja) | 通信システム、データベース、制御装置、通信方法およびプログラム | |
| US7512984B2 (en) | Distributed and scalable instant multimedia communication system | |
| US20140075505A1 (en) | System and method for routing selected network traffic to a remote network security device in a network environment | |
| ES2424027T3 (es) | Datos de suscripción de localización en una red compartida por múltiples usuarios | |
| JP5143199B2 (ja) | ネットワーク中継装置 | |
| EP2958291B1 (en) | Method and system for authenticating network equipment | |
| US20100322253A1 (en) | Method and Apparatus for Simulating IP Multinetting | |
| JP5106599B2 (ja) | ネットワーク中継装置 | |
| JP2012525778A (ja) | リアルタイム通信向けのユーザ・ベース認証 | |
| JP2008140295A (ja) | 計算機システム及び在席管理計算機 | |
| US20030196107A1 (en) | Protocol, system, and method for transferring user authentication information across multiple, independent internet protocol (IP) based networks | |
| JP2009135805A (ja) | 仮想網構築プログラム、仮想網構築装置、および仮想網構築方法 | |
| JP5712262B2 (ja) | 通信装置 | |
| US11095436B2 (en) | Key-based security for cloud services | |
| KR20190043921A (ko) | 방화벽 정책 제어 장치 및 방법 | |
| KR100888979B1 (ko) | 사용자 인증에 기반한 네트워크 접속 관리 시스템 및 방법 | |
| JP2018029233A (ja) | クライアント端末認証システム及びクライアント端末認証方法 | |
| JP2017011516A (ja) | ネットワーク装置、認証システムおよび認証方法 | |
| Miyoshi et al. | Network-based single sign-on architecture for IP-VPN | |
| KR20060108291A (ko) | 네트워크 접속 제어 장치 및 방법 | |
| EP1950927A1 (en) | Method, system and communication device for collective access to a communication network | |
| CN103916304A (zh) | 一种sns系统、网络以及处理sns请求的方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20140530 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20140617 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20140807 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20140930 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20141226 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20141226 |
|
| A911 | Transfer to examiner for re-examination before appeal (zenchi) |
Free format text: JAPANESE INTERMEDIATE CODE: A911 Effective date: 20150126 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20150210 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20150309 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 5712262 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |