JP6126062B2 - ネットワーク装置及びネットワーク装置のmacアドレス認証方法 - Google Patents

ネットワーク装置及びネットワーク装置のmacアドレス認証方法 Download PDF

Info

Publication number
JP6126062B2
JP6126062B2 JP2014214405A JP2014214405A JP6126062B2 JP 6126062 B2 JP6126062 B2 JP 6126062B2 JP 2014214405 A JP2014214405 A JP 2014214405A JP 2014214405 A JP2014214405 A JP 2014214405A JP 6126062 B2 JP6126062 B2 JP 6126062B2
Authority
JP
Japan
Prior art keywords
mac address
authentication
mac
packet
network device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2014214405A
Other languages
English (en)
Other versions
JP2016082499A (ja
Inventor
勝美 中村
勝美 中村
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Platforms Ltd
Original Assignee
NEC Platforms Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Platforms Ltd filed Critical NEC Platforms Ltd
Priority to JP2014214405A priority Critical patent/JP6126062B2/ja
Publication of JP2016082499A publication Critical patent/JP2016082499A/ja
Application granted granted Critical
Publication of JP6126062B2 publication Critical patent/JP6126062B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Description

本発明は、ネットワーク装置及びネットワーク装置のMAC(Media Access Control)アドレス認証方法に関し、特に、MACアドレス認証が完了状態であれば、通信が遮断されないネットワーク装置及びネットワーク装置のMACアドレス認証方法に関する。
クライアントに対する端末認証方式として、クライアント端末からログイン等の認証を必要とする要求があった場合に、クライアント端末からユーザ情報をサーバに送信したのち認証処理が行われる方式が知られている。ここでは、認証されていないネットワーク機器は、ネットワークを経由して他のネットワーク機器にアクセスすることができず、また他のネットワーク機器からのアクセスもできない。
例えば、RADIUS(Remote Authentication Dial In User Service)による認証システムは、ユーザ、RADIUSクライアント、RADIUSサーバから構成される。RADIUSクライアントは、アクセスしてくるユーザの認証要求を受け付け、RADIUSサーバに転送する。RADIUSサーバは、転送されてきた認証要求に応じて実際に認証を実行し、アクセスを許可するかどうかを決定する。
図9に関連するネットワーク装置の構成の一例を示す。図9に示すように、ネットワーク装置12の構成としては、MACアドレステーブル4はスイッチ部10の内部にあり、本スイッチ部は、市販のスイッチチップで構成されている。また、MAC認証制御部3とMAC認証テーブル5はCPUとその周辺チップで構成されている。よって、MACアドレステーブル4とMAC認証テーブル5の2つのテーブルを制御する必要がある。そのため、MACアドレス認証完了状態において、MAC認証テーブル5には、該当のMACアドレスが登録されているにも関わらず、MACアドレステーブル4から該当するMACアドレスが削除されてしまう状態が発生し、パケットが遮断されるという課題があった。
アドレス認証に関連する技術として、特許文献1には、認証処理のための負荷処理を軽減しつつセキュリティを劣化させることなく、ユーザ端末のネットワーク接続をスムーズに行わせるために、第1のネットワークとの接続について切断要求を送信した後又はそれ以前に、ユーザ端末が現在使用しているアドレスとは別で且つ認証装置により生成されるアドレスと同一のアドレスを所定時間有効な再接続用のアドレスとして生成している。さらに、再接続用アドレス格納部に格納する工程と、第1のネットワークとの接続が切断された後所定時間内であれば、認証装置による認証を受けることなく、再接続用アドレス格納部に格納されている再接続用のアドレスで第1のネットワークへ再接続をする工程とを含む技術が開示されている。
また、特許文献2には、MACアドレスを用いて通信の確立を許可するか否かを決定するため、少なくとも1つの通信端末と通信を確立可能な局側装置が、通信を許可する通信端末のMACアドレスを予め記憶するMAC認証テーブルと、通信端末のMACアドレスを含む開局要求パケットを受信する受信手段とを備えている。さらに、開局要求パケットが受信された場合、該開局要求パケットに含まれるMACアドレスがMAC認証テーブルに記憶されていることを条件に、MACアドレス宛に通信を許可するための許可パケットを送信する許可信号送信手段とを備えて、通信を確立する通信端末を制御する技術が開示されている。
特開2010−93585号公報 特開2005−27083号公報
特許文献1に記載の技術では、ネットワークの接続が切断された後の再接続を行う技術であるため、再接続用のアドレスを生成するなどの処理が複雑であるという課題があった。
また、特許文献2の技術では、ネットワークの接続を行う端末を制限する技術であるため、接続を制限する処理が複雑になるという課題があった。
本発明の目的は、上述した課題を解決し、簡単な構成で、MAC認証テーブルにMACアドレス認証が成功したMACアドレスが登録されていれば、通信が遮断されることなく通信品質を向上させることである。
本発明は、上記課題を解決するために、認証データベースにアクセスして認証するネットワーク装置において、認証データベースで認証されたMACアドレスを格納するMAC認証テーブルと、MAC認証テーブルを制御するMAC認証制御部と、パケットのMACアドレスを格納するMACアドレステーブルと、MACアドレステーブルを制御するパケット通信管理部と、パケットを所定の時間、保持するパケットバッファとを有し、MAC認証テーブルにはMACアドレスが格納された状態で、MACアドレステーブルにMACアドレスが格納されていない場合に、パケットを所定の時間、パケットバッファに保管することを特徴としている。
また、本発明は、上記課題を解決するために、認証データベースにアクセスして認証するネットワーク装置において、認証データベースで認証されたMACアドレスを格納するMAC認証テーブルと、MAC認証テーブルを制御するMAC認証制御部と、パケットのMACアドレスを格納するMACアドレステーブルと、MACアドレステーブルを制御するパケット通信管理部とを有し、MAC認証テーブルにはMACアドレスが格納された状態で、MACアドレステーブルにMACアドレスが格納されるようMAC認証制御部とパケット通信管理部とを制御することを特徴としている。
また、本発明は、上記課題を解決するために、認証データベースにアクセスして認証するネットワーク装置において、認証データベースで認証されたMACアドレスを格納するMAC認証テーブルと、MAC認証テーブルを制御するMAC認証制御部と、パケットのMACアドレスを格納するMACアドレステーブルと、MACアドレステーブルを制御するパケット通信管理部と、MACアドレステーブルを監視するタイマと
を有し、パケット通信管理部が、タイマに同期した割り込み信号をMAC認証制御部へ出力して、MAC認証テーブルとMACアドレステーブルのMACアドレスの格納状態を一致させるよう制御することを特徴としている。
また、本発明は、上記課題を解決するために、認証データベースにアクセスして認証するネットワーク装置のMACアドレス認証方法において、認証データベースで認証されたMACアドレスを格納するステップと、MACアドレスが格納されるMAC認証テーブルを制御するステップと、パケットのMACアドレスを格納するステップと、パケットのMACアドレスが格納されたMACアドレステーブルを制御するステップとを有し、MAC認証テーブルにはMACアドレスが格納された状態で、MACアドレステーブルにMACアドレスが格納されていない場合に、パケットを所定の時間、パケットバッファに保管すること特徴としている。
また、本発明は、上記課題を解決するために、認証データベースにアクセスして認証するネットワーク装置のMACアドレス認証方法において、認証データベースで認証されたMACアドレスを格納するステップと、MACアドレスが格納されるMAC認証テーブルを制御するステップと、パケットのMACアドレスを格納するステップと、パケットのMACアドレスが格納されたMACアドレステーブルを制御するステップとを有し、MAC認証テーブルにはMACアドレスが格納された状態で、MACアドレステーブルにMACアドレスが格納されるように制御することを特徴としている。
また、本発明は、上記課題を解決するために、認証データベースにアクセスして認証するネットワーク装置のMACアドレス認証方法において、認証データベースで認証されたMACアドレスを格納するステップと、MACアドレスが格納されるMAC認証テーブルを制御するステップと、パケットのMACアドレスを格納するステップと、パケットのMACアドレスが格納されたMACアドレステーブルを制御するステップと、MACアドレステーブルを監視するステップとを有し、MACアドレステーブルの状態が変化したタイミングで割り込み信号を出力して、MAC認証テーブルとMACアドレステーブルのMACアドレスの格納状態を一致させるよう制御することを特徴としている。
本発明によれば、簡単な構成で、MAC認証テーブルにMACアドレス認証が成功したMACアドレスが登録されていれば、通信が遮断されることなく通信品質を向上させることが可能である。
本発明の第1の実施形態におけるネットワーク装置の構成を示すブロック図である。 本発明の関連技術におけるネットワーク装置の動作を示す図である。 本発明の関連技術におけるネットワーク装置の動作を示す図である。 本発明の第1の実施形態におけるネットワーク装置の動作を示す図である。 本発明の第2の実施形態におけるネットワーク装置の構成を示すブロック図である。 本発明の第2の実施形態におけるネットワーク装置の動作を示す図である。 本発明の第3の実施形態におけるネットワーク装置の構成を示すブロック図である。 本発明の第3の実施形態におけるネットワーク装置の動作を示す図である。 本発明の関連技術におけるネットワーク装置の構成を示すブロック図である。
以下、本発明の実施形態について図面を参照して詳細に説明する。
(第1の実施形態)
まず、図2、図3、図9を用いて、RADIUSベースのMACアドレス認証について、関連するネットワーク装置の構成と動作を説明する。図9は、本発明の関連技術におけるネットワーク装置の構成を示すブロック図である。図2、図3は、関連技術におけるネットワーク装置の動作を示す図である。
RADIUSベースのMACアドレス認証において、図9に示すネットワーク装置12は、RADIUSクライアントとして動作し、RADIUSサーバ11は、認証データベース(認証DB9)を管理する。RADIUSクライアントであるネットワーク装置12は、RADIUSサーバ11に対し、MACアドレス認証についての、情報のやり取りを行う。ネットワーク装置12は、RADIUSサーバ11を使用しない場合は、認証データベース(内部認証DB7)を装置内部で管理し、MACアドレス認証を行うことが可能である。例えば、ユーザ13を認証するために、RADIUSサーバ11に、IDとパスワードとして検知したユーザ13のMACアドレスを転送し、さらに、RADIUSサーバ11に、そのMACアドレスが登録されていると認証が成功し、ユーザ13に対し、ネットワークリソースにアクセスする許可が与えられ、通信が可能となる。
ユーザ14に対しても、同様の動作が可能である。
図9に示すように、ネットワーク装置12は、MACアドレステーブル4とMAC認証テーブル5の2つのテーブルを管理してMACアドレス認証を実行する。スイッチ部10は、パケット通信管理部2とMACアドレステーブル4で構成され、MACアドレステーブル4は、パケット通信管理部2で制御され、MAC認証テーブル5は、MAC認証制御部3で制御される。
ユーザ13からパケットを受信すると、ネットワーク装置12は、通信ポート1を経由してスイッチ部10のパケット通信管理部2へパケットを送信する。パケット通信管理部2は、スイッチ部10のMACアドレステーブル4に、ユーザ13から受信したパケットのMACアドレス(以降ユーザ13のMACアドレス)が登録されているか確認し、登録されていなければ、新たにそのMACアドレスをMACアドレステーブル4に登録する。
ただし、MACアドレス認証が完了していないため、MACアドレステーブル4に登録されたユーザ13のMACアドレスには、ネットワークリソースにアクセスする許可は与えず、ユーザ13から受信したパケットは他の通信ポートへの転送は遮断された状態であるため、廃棄される。
パケット通信管理部2は、MACアドレステーブル4にユーザ13のMACアドレスを新たに登録した後、MAC認証制御部3へユーザ13のMACアドレスを送信する。さらにMAC認証制御部3は、認証DB制御部6にID、パスワードとしてユーザ13のMACアドレスを転送する。認証DB制御部6は、ユーザ13のMACアドレスを通信ポート8を経由してRADIUSサーバ11に転送し、RADIUSサーバ11と情報交換を行い、そのMACアドレスがRADIUSサーバ11に登録されていると認証が成功する。
認証が成功すると、認証DB制御部6は、その情報をMAC認証制御部3に送信し、MAC認証制御部3は、認証に成功したMACアドレスをMAC認証テーブル5に登録する。MAC認証テーブル5に、ユーザ13のMACアドレスが登録されると、パケット通信管理部2は、MACアドレステーブル4に登録されているユーザ13のMACアドレスに対し、ネットワークリソースにアクセスする許可を与え、ユーザ13のMACアドレスを持つパケットの転送が可能となる。
MAC認証制御部3は、内蔵するオフライン検出タイマ23のインターバルごとに、ユーザ13が、オフライン状態(MACアドレステーブル4において、ユーザ13のMACアドレスが削除された状態)にあるか否かを確認する。ユーザ13からの通信がなくなると、パケット通信管理部2内のMACアドレスエージングタイマ22によりMACアドレステーブル4からユーザ13のMACアドレスが削除され、ユーザ13がオフライン状態となる。MAC認証制御部3は、オフライン検出タイマ23のインターバルごとに、ユーザ13がオフライン状態かどうかを確認し、オフライン状態であれば、その情報を認証DB制御部6へ送信する。認証DB制御部6は、RADIUSサーバ11へMACアドレス認証の停止要求を送信し、さらにMAC認証制御部3は、MAC認証テーブル5からユーザ13のMACアドレスを削除する。
MACアドレスエージングタイマ22は、あるパケットを受信すると、その送信元アドレスをMACアドレステーブル4に登録する。しかし、一定期間、登録済みの送信元アドレスを持つパケットを受信しない場合、このMACエージングタイマ22により、MACアドレステーブル4から削除する。MACアドレスエージングタイマ22のインターバルが経過すると、MACアドレステーブル4に登録されているMACアドレスのhit bitが1であれば、hit bitを0とし、hit bitが0であれば、MACアドレステーブルから削除する。MACアドレスエージングタイマ22のインターバルが経過する前に該当のパケットを受信すると、hit bitは0から1になる。つまり、次のMACアドレスエージングタイマ22の監視時間が経過する前に該当のパケットを受信しないとMACアドレステーブル4から削除される。
オフライン検出タイマ23は、インターバル毎に確認するタイマで、MAC認証が完了してから、通信が継続しているか確認を行う。MACアドレステーブルから該当のMACアドレスがない場合は、無通信と判断する。
MACアドレステーブル4については、動的にMACアドレスの追加が行われるため、テーブルのリソースの浪費を防ぐ為に、エージングメカニズムがある。MACアドレスエージングタイマ22のインターバルを適切な時間に設定し、有効期限切れのMACアドレスがあれば、そのMACアドレスをMACアドレステーブル4から削除する。
MACアドレスのエージング時間を管理するMACアドレスエージングタイマ22は、パケット通信管理部2が制御する。MACアドレスエージングタイマ22が、X秒に設定されていた場合、X秒単位でMACアドレステーブル4の状態を監視し、MACアドレスの保持や削除などを制御する。
MACアドレステーブル4の監視、登録、保持、削除などの制御は、パケット通信管理部2にて行う。
パケット通信管理部2の動作について、図2を用いて説明する。図2は、図9のネットワーク装置12がユーザ13からパケットを受信した後の、MACアドレステーブル4とhit bitの状態の時間変化を説明する図である。
図2において、MACアドレステーブル4にユーザ13のMACアドレスの登録がない状態1で、ユーザ13からパケットを受信すると(パケット受信A)、受信したユーザ13のパケットのMACアドレスを、MACアドレステーブル4に登録する。MACアドレステーブル4に登録、保持されている各ユーザのMACアドレスには、それぞれhit bitが付与される。受信したユーザ13のパケットのMACアドレスを、MACアドレステーブル4へ登録する時、そのhit bitは0→1へ変更され、状態2となる。
この状態で、MACアドレスエージングタイマ22のインターバルであるX秒が経過すると、MACアドレステーブル4に登録、保持されている全てのMACアドレスのhit bitが1→0へ変更されるため、ユーザ13のMACアドレスのhit bitも1→0へ変更され、状態3となる。
このとき、登録されているユーザ13のMACアドレスはMACアドレステーブル4に保持される。
状態3でユーザ13のパケットを受信すると(パケット受信B)、受信したユーザ13のMACアドレスが、MACアドレステーブル4に保持されているため、hit bitを0→1へ変更し、状態4となる。
この状態で、MACアドレスエージングタイマのX秒が経過すると、登録されている全てのMACアドレスのhit bitが再び1→0に変更されるため、ユーザ13のMACアドレスのhit bitも1→0へ変更され、状態5となる。
状態5で、ユーザ13のパケットの受信がないまま、MACアドレスエージングタイマ22のX秒が経過すると、hit bitが0のユーザ13のMACアドレスは、MACアドレステーブル4から削除され、状態6となる。
上記のようなエージングメカニズムにより、有効期限切れのMACアドレスとしてMACアドレステーブル4から削除される。
図3は、図9のネットワーク装置12がユーザ13からパケットを受信した後の、MACアドレステーブル4とMAC認証テーブル5とhit bitの状態の時間変化を説明する図である。
図3に示すように、MACアドレス認証は、MACアドレスエージングタイマ22とオフライン検出タイマ23の2つのタイマがある。しかしそれぞれ独立に動作するタイマであってタイマのインターバル(秒数)と開始・終了の時刻は一致しない。そのため、MACアドレス認証が完了状態において、MAC認証テーブル5にMACアドレス認証が成功したMACアドレスが登録されているにも関わらず、MACアドレステーブル4からMACアドレス認証が成功したMACアドレスが削除されてしまう状態が発生してしまう。
本状態が発生すると、認証が完了し、ネットワークリソースにアクセスする許可が与えられるにも関わらず、許可が与えられているユーザの通信が遮断されてしまうという課題がある。
この課題の動作について、図3および図9を用いて説明する。
図3の状態5と状態6について、状態5で、オフライン検出タイマ23のY秒が経過すると、図9のユーザ13がオフライン状態(MACアドレステーブル4にユーザ13のMACアドレスが削除された状態)にあるか否かを確認する。状態5では、MACアドレステーブル4が保持の状態であり、オフライン状態ではないため、MACアドレス認証は保持される。その後、状態5で、ユーザ13のパケットの受信がないまま、MACアドレスエージングタイマのX秒が経過すると、hit bitが0のユーザ13のMACアドレスは、MACアドレステーブル4から削除され、状態6となる。状態6で、オフライン検出タイマのY秒が経過すると、図9のユーザ13が、オフライン状態にあるか否かを確認する。状態6ではMACアドレスが、なしの状態であり、オフライン状態であるため、MACアドレス認証が停止され、MAC認証テーブル5からMACアドレスが削除される。
このように、状態6では、MAC認証テーブル5には、MACアドレス認証が成功したMACアドレスが登録されているにも関わらず、MACアドレステーブル4からMACアドレス認証が成功したMACアドレスが削除されてしまうという状態が発生する。
次に本発明の第1の実施形態を説明する。図1は第1の実施形態であるネットワーク装置の構成を示すブロック図である。図1において、図9と同じ名称の構成は、同じ機能を有している。本実施形態のネットワーク装置112は、図9に示すネットワーク装置12に対し、パケット通信管理部112が一時的にパケットを保管するパケットバッファ115が追加されている。
図1において、ネットワーク装置112は、ユーザ113やユーザ114などを収容する通信ポート101と、認証DB109を有するRADIUSサーバ111との間で通信を行う通信ポート108とを備えている。ネットワーク装置112の内部には、内部認証DB107や認証DB109を制御する認証DB制御部106と、MAC認証テーブル105を制御するMAC認証制御部103と、スイッチ部110が備えられている。
スイッチ部110は、パケット通信管理部102とMACアドレステーブル104を有しており、パケット通信管理部102が一時的にパケットを保管するパケットバッファ115と、接続されている。
パケット通信管理部102は、通信ポート101へのパケットの送受信を管理し、MACアドレス認証時にMAC認証制御部103へMACアドレス認証に必要な情報を送信し、受信したパケットのMACアドレスをMACアドレステーブル104に登録する。さらに、内蔵するMACアドレスエージングタイマ122の設定時間によりMACアドレステーブル104に登録してあるMACアドレスを保持及び削除する。
MAC認証制御部103は、パケット通信管理部102から入手したMACアドレス認証に必要な情報を認証DB制御部106へ送信し、認証の結果を受信する。さらに、認証が成功した場合は、そのMACアドレスをMAC認証テーブル105に登録し、オフライン検出タイマ123の設定時間によりMAC認証テーブル105に登録してあるMACアドレスを保持及び削除する。
認証DB制御部106は、MAC認証制御部103から入手した情報を元に、通信ポート108に収容されるRADIUSサーバ111の認証DB109または、内部認証DB107とMACアドレス認証を制御する。
次に、図1、図4を用いて、本発明の第1の実施形態の動作について説明する。図4は、本発明の第1の実施形態の動作を示す図である。
ネットワーク装置112は、図4に示す状態6で、ユーザ113からパケットが送信されると(パケット受信C)、ネットワーク装置112が、通信ポート101を経由してスイッチ部110内部のパケット通信管理部102へパケットを送付する。パケット通信管理部102は、スイッチ部110内部のMACアドレステーブル104に、ユーザ113から送信されたパケットのMACアドレスが登録されているか確認するが、登録されていない場合、新たにそのMACアドレスをMACアドレステーブル104に登録する。
ただし、まだネットワークリソースにアクセスする許可は与えられておらず、そのパケットは他の通信ポートへの転送は遮断された状態であるため、パケット通信管理部102は、そのパケットを一時的にパケットバッファ115に保管する。パケット通信管理部102は、保管したMACアドレスをMACアドレステーブル104に新たに登録し、MACアドレスのhit bitを0→1へ変更した後、受信したMACアドレスをMAC認証制御部103へ送信する。さらにMAC認証制御部103は、MAC認証テーブル105に、すでにMACアドレス認証は完了していると判断する。MACアドレス認証が完了していると、パケット通信管理部102は、MACアドレステーブル104に登録されているユーザ113のMACアドレスに対し、ネットワークリソースにアクセスする許可を与え、そのMACアドレスを持つパケットの転送が可能となる。
その後、パケットバッファ115に保管されていたパケットを送信する。このようにしてパケットの廃棄を防ぐことが可能となる。
以上のように、本実施形態では、ユーザ113からパケットが送信された時点で、MACアドレス認証完了状態であるが、MACアドレステーブル104にMACアドレスが登録されていない場合に、そのパケットを一時的にパケットバッファ115に保管することにより、MACアドレスがMACアドレステーブル104に登録されるのを待つことができるので、パケットの廃棄を防ぎ、通信品質を向上させることを可能としている。
(第2の実施形態)
図5を用いて、本発明の第2の実施形態であるネットワーク装置の構成を説明する。図5は、第2の実施形態であるネットワーク装置の構成を示すブロック図である。
図5において、ネットワーク装置212は、ユーザ213やユーザ214などを収容する通信ポート201と、認証DB209を有するRADIUSサーバ211との間で通信を行う通信ポート208とを備えている。ネットワーク装置212の内部には、内部認証DB207や認証DB209を制御する認証DB制御部206と、MAC認証テーブル205を制御するMAC認証制御部203と、スイッチ部210が備えられている。
スイッチ部210は、パケット通信管理部202とMACアドレステーブル204を有している。
パケット通信管理部202は、通信ポート201へのパケットの送受信を管理し、MACアドレス認証時にMAC認証制御部203へMACアドレス認証に必要な情報を送信し、受信したパケットのMACアドレスをMACアドレステーブル204に登録する。さらに内蔵するMACアドレスエージングタイマ222の設定時間を利用して、MACアドレステーブル204に登録してあるMACアドレスを保持及び削除する。
MAC認証制御部203は、パケット通信管理部202から入手したMACアドレス認証に必要な情報を認証DB制御部206へ送信し、認証の結果を受信する。さらに認証が成功した場合は、そのMACアドレスをMAC認証テーブル205に登録し、オフライン検出タイマ223の設定時間によりMAC認証テーブル205に登録してあるMACアドレスを保持及び削除する。
以下に図9のネットワーク装置12との動作の差分を説明する。
ネットワーク装置12では、図3に示すように、状態5でパケットの受信がないまま、MACアドレスエージングタイマ22のX秒が経過すると、hit bitが0のMACアドレスは、MACアドレステーブル4から削除されていた。この第2の実施形態では、図6に示すように、パケット通信管理部202が、状態5で、パケットの受信がないままMACアドレスエージングタイマ222のX秒が経過しても、hit bitが0のMACアドレスをMACアドレステーブル204から削除せず保持するよう制御する。
さらに図9のネットワーク装置12では、MAC認証制御部3が、オフライン検出タイマ23のインターバルで、ユーザ13が、オフライン状態(MACアドレステーブル4に該当のMACアドレスが削除された状態)にあるか否かを確認していた。しかし、第2の実施形態では、図6に示すようにMAC認証制御部203が、オフライン検出タイマ223のインターバルで、ユーザ213のMACアドレステーブル204上にある該当のMACアドレスのhit bitを監視する。図6の状態5とそれに続く状態6のように、hit bitが0の状態が連続した場合は、オフライン状態であると判断し、認証DB制御部206より、RADIUSサーバ211にMACアドレス認証の停止要求を送信し、MAC認証テーブル205からユーザ213のMACアドレスを削除する。さらにMACアドレステーブル204から、ユーザ213のMACアドレスを削除する。
以上により、MACアドレス認証完了状態(該当のMACアドレスがMAC認証テーブルに登録された状態)であるが、MACテーブルなしの状態(該当のMACアドレスがMACアドレステーブルから削除された状態)は、発生しなくなる。
以上のように、本実施形態では、パケット通信管理部202が、状態5で、パケットの受信がないままMACアドレスエージングタイマ222のX秒が経過しても、hit bitが0のMACアドレスをMACアドレステーブル204から削除せず保持するために発生していた、MACアドレス認証完了状態であるがMACテーブルなしの状態、は発生しなくなる。
また、MAC認証制御部203は、オフライン検出タイマ223のインターバルで、ユーザ213のMACアドレステーブル204上にある該当のMACアドレスのhit bitを監視する。そして、hit bitが0の状態が連続した場合は、オフライン状態であると判断し、MAC認証テーブル205からユーザ213のMACアドレスを削除し、さらにMACアドレステーブル204から、ユーザ213のMACアドレスを削除する。
そのためMACアドレス認証テーブルと、MACアドレステーブルとの不一致状態が解消されるので、通信品質が向上する。
(第3の実施形態)
図7を用いて、本発明の第3の実施形態であるネットワーク装置の構成について説明する。
図7は、本発明の第3の実施形態であるネットワーク装置の構成を示すブロック図である。
RADIUSベースのMACアドレス認証において、図7に示すネットワーク装置312は、RADIUSクライアントとして動作し、RADIUSサーバ311は、認証データベース(認証DB309)を管理する。RADIUSクライアントであるネットワーク装置312は、RADIUSサーバ311に対し、MACアドレス認証についての、情報のやり取りを行う。ネットワーク装置312は、RADIUSサーバ311を使用しない場合は、認証データベース(内部認証DB307)を装置内部で管理し、MACアドレス認証を実施することが可能である。例えば、ユーザ313を認証するためには、ユーザ313のMACアドレスは、通信ポート301を経て、ネットワーク装置312のスイッチ部310へ転送される。さらに、MAC認証制御部303と認証DB制御部306と通信ポート308を経て、RADIUSサーバ311へ転送される。RADIUSサーバ311にIDとパスワードとして検知したユーザ313のMACアドレスを転送し、RADIUSサーバ311にそのMACアドレスが登録されていると、認証が成功し、ユーザ313に対しネットワークリソースにアクセスする許可が与えられ、通信が可能となる。ユーザ314に対しても、同様の動作が可能である。
図9のネットワーク装置12との構成についての差分としては、図7に示すように、パケット通信管理部302は、MAC認証制御部303に対する割り込み信号331が追加されていることである。さらにMAC認証制御部303はオフライン検出タイマを持たず、本割り込み信号331を受信したタイミングでオフライン検出を実施する。
図7、図8を用いて、本発明の第3の実施形態であるネットワーク装置の動作について説明する。
図8は、本発明の第3の実施形態の動作を説明する図である。図8に示すように、MACアドレスエージングタイマ322のインターバル(図8では状態4の終了時点)で、図7のパケット通信管理部302は、MAC認証制御部303に対し、割り込み信号を送信する。MAC認証制御部303は、割り込み信号331を受信すると、ユーザ313がオフライン状態(MACアドレステーブル304に該当のMACアドレスが削除された状態)にあるか否かを確認する。
図8において、図7のMACアドレステーブル304が、状態5から状態6に変化した場合、パケット通信管理部302からMAC認証制御部303へ割り込み信号331が送信されると、MAC認証制御部303は、直ちにオフライン状態(MACアドレステーブル304に該当のMACアドレスが削除された状態)であるか確認する。オフライン状態であると判断すると、認証DB制御部306より、RADIUSサーバ311にMACアドレス認証の停止要求を送信し、MAC認証テーブル305からユーザ313のMACアドレスを削除する。
その結果MAC認証テーブルとMACアドレステーブルへのMACアドレスの格納状態が一致する。
以上により、MACアドレス認証完了状態(該当のMACアドレスがMAC認証テーブルに登録された状態)であるが、MACテーブルなしの状態(該当のMACアドレスがMACアドレステーブルから削除された状態)は発生しなくなるので、通信品質を向上させることができる。
尚、本願発明は、上述の実施の形態に限定されるものではなく、本願発明の要旨を逸脱しない範囲で種々変更、変形して実施することが出来る。
本発明は、MACアドレス認証を行うネットワーク装置に利用可能である。
1、101、201、301 通信ポート
2、102、202、302 パケット通信管理部
3、103、203、303 MAC認証制御部
4、104、204、304 MACアドレステーブル
5、105、205、305 MAC認証テーブル
6、106、206、306 認証DB制御部
7、107、207、307 内部認証DB
8、108、208、308 通信ポート
9、109、209、309 認証DB
10、110、210、310 スイッチ部
11、111、211、311 RADIUSサーバ
12、112、212、312 ネットワーク装置
13、113、213、313 ユーザ
14、114、214、314 ユーザ
22、122、222、322 MACアドレスエージングタイマ
23、123、223 オフライン検出タイマ
115 パケットバッファ
331 割り込み信号

Claims (10)

  1. 認証データベースにアクセスして認証するネットワーク装置において、
    前記認証データベースで認証されたMACアドレスを格納するMAC認証テーブルと、
    前記MAC認証テーブルを制御するMAC認証制御部と、
    パケットのMACアドレスを格納するMACアドレステーブルと、
    前記MACアドレステーブルを制御するパケット通信管理部と、
    前記パケットを所定の時間、保持するパケットバッファと、
    を有し、
    前記MAC認証テーブルには前記MACアドレスが格納された状態で、前記MACアドレステーブルに前記MACアドレスが格納されていない場合に、前記パケットを所定の時間、前記パケットバッファに保管することを特徴とするネットワーク装置。
  2. 前記ネットワーク装置は、
    前記MAC認証制御部に制御され、前記MAC認証テーブルを監視する第1のタイマと、
    前記パケット通信管理部に制御され、前記MACアドレステーブルを監視する第2のタイマと、
    を有することを特徴とする請求項1に記載のネットワーク装置。
  3. 認証データベースにアクセスして認証するネットワーク装置において、
    前記認証データベースで認証されたMACアドレスを格納するMAC認証テーブルと、
    前記MAC認証テーブルを制御するMAC認証制御部と、
    パケットのMACアドレスを格納するMACアドレステーブルと、
    前記MACアドレステーブルを制御するパケット通信管理部と、
    を有し、
    前記MAC認証テーブルには前記MACアドレスが格納された状態で、前記MACアドレステーブルに前記MACアドレスが格納されるよう前記MAC認証制御部と前記パケット通信管理部とを制御することを特徴とするネットワーク装置。
  4. 前記ネットワーク装置は、
    前記MAC認証制御部に制御され、前記MAC認証テーブルを監視する第1のタイマと、
    前記パケット通信管理部に制御され、前記MACアドレステーブルを監視する第2のタイマと、
    を有することを特徴とする請求項3に記載のネットワーク装置。
  5. 認証データベースにアクセスして認証するネットワーク装置において、
    前記認証データベースで認証されたMACアドレスを格納するMAC認証テーブルと、
    前記MAC認証テーブルを制御するMAC認証制御部と、
    パケットのMACアドレスを格納するMACアドレステーブルと、
    前記MACアドレステーブルを制御するパケット通信管理部と、
    前記MACアドレステーブルを監視するタイマと、
    を有し、
    前記パケット通信管理部が、前記タイマに同期した割り込み信号を前記MAC認証制御部へ出力して、前記MAC認証テーブルと前記MACアドレステーブルの前記MACアドレスの格納状態を一致させるよう制御することを特徴とするネットワーク装置。
  6. 前記タイマは、前記パケット通信管理部に内蔵されていることを特徴とする請求項5に記載のネットワーク装置。
  7. 認証データベースにアクセスして認証するネットワーク装置のMACアドレス認証方法において、
    前記認証データベースで認証されたMACアドレスを格納するステップと、
    前記MACアドレスが格納されるMAC認証テーブルを制御するステップと、
    パケットのMACアドレスを格納するステップと、
    前記パケットのMACアドレスが格納されたMACアドレステーブルを制御するステップと、
    を有し、
    前記MAC認証テーブルには前記MACアドレスが格納された状態で、前記MACアドレステーブルに前記MACアドレスが格納されていない場合に、前記パケットを所定の時間、ケットバッファに保管すること特徴とするネットワーク装置のMACアドレス認証方法。

  8. 認証データベースにアクセスして認証するネットワーク装置のMACアドレス認証方法において、
    前記認証データベースで認証されたMACアドレスを格納するステップと、
    前記MACアドレスが格納されるMAC認証テーブルを制御するステップと、
    パケットのMACアドレスを格納するステップと、
    前記パケットのMACアドレスが格納されたMACアドレステーブルを制御するステップと、
    を有し、
    前記MAC認証テーブルには前記MACアドレスが格納された状態で、前記MACアドレステーブルに前記MACアドレスが格納されるように制御することを特徴とするネットワーク装置のMACアドレス認証方法。
  9. 認証データベースにアクセスして認証するネットワーク装置のMACアドレス認証方法において、
    前記認証データベースで認証されたMACアドレスを格納するステップと、
    前記MACアドレスが格納されるMAC認証テーブルを制御するステップと、
    パケットのMACアドレスを格納するステップと、
    前記パケットのMACアドレスが格納されたMACアドレステーブルを制御するステップと、
    前記MACアドレステーブルを監視するステップと、
    を有し、
    前記MACアドレステーブルの状態が変化したタイミングで割り込み信号を出力して、前記MAC認証テーブルと前記MACアドレステーブルの前記MACアドレスの格納状態を一致させるよう制御することを特徴とするネットワーク装置のMACアドレス認証方法。
  10. 前記MACアドレステーブルの状態が変化とは、前記MACアドレスを受信した際のhit bitの変更であることを特徴とする請求項9に記載のネットワーク装置のMACアドレス認証方法。
JP2014214405A 2014-10-21 2014-10-21 ネットワーク装置及びネットワーク装置のmacアドレス認証方法 Active JP6126062B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2014214405A JP6126062B2 (ja) 2014-10-21 2014-10-21 ネットワーク装置及びネットワーク装置のmacアドレス認証方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2014214405A JP6126062B2 (ja) 2014-10-21 2014-10-21 ネットワーク装置及びネットワーク装置のmacアドレス認証方法

Publications (2)

Publication Number Publication Date
JP2016082499A JP2016082499A (ja) 2016-05-16
JP6126062B2 true JP6126062B2 (ja) 2017-05-10

Family

ID=55956568

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2014214405A Active JP6126062B2 (ja) 2014-10-21 2014-10-21 ネットワーク装置及びネットワーク装置のmacアドレス認証方法

Country Status (1)

Country Link
JP (1) JP6126062B2 (ja)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11870777B2 (en) * 2018-05-18 2024-01-09 Mitsubishi Electric Corporation Relay device and communication system

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006067057A (ja) * 2004-08-25 2006-03-09 Furukawa Electric Co Ltd:The ネットワーク機器、Radiusクライアント、有線LAN認証システム、認証パケット透過方法、制御プログラム、記録媒体及びサプリカント
JP2010093585A (ja) * 2008-10-08 2010-04-22 Fujitsu Ltd ネットワーク接続制御プログラム及び方法、ネットワーク接続プログラム及び方法、認証装置

Also Published As

Publication number Publication date
JP2016082499A (ja) 2016-05-16

Similar Documents

Publication Publication Date Title
EP3073699B1 (en) System and method for controlling mutual access of smart devices
CN105635084B (zh) 终端认证装置及方法
CN101605108B (zh) 一种即时通信的方法、系统及装置
US9344417B2 (en) Authentication method and system
WO2016062002A1 (zh) 连接管理方法及装置、电子设备
JP5068495B2 (ja) 分散型認証機能
CN109286593B (zh) 传输重连的方法及装置、计算机设备及存储介质
US8627493B1 (en) Single sign-on for network applications
WO2016160457A1 (en) Secure transmission of a session identifier during service authentication
WO2018010146A1 (zh) 一种虚拟网络计算认证中应答的方法、装置、系统和代理服务器
US20130227660A1 (en) Registration server, gateway apparatus and method for providing a secret value to devices
JP2006203300A (ja) 転送装置、アクセス可否判定方法およびプログラム
JP2007310512A (ja) 通信システム、サービス提供サーバおよびユーザ認証サーバ
CN107277058B (zh) 一种基于bfd协议的接口认证方法及系统
JP2008158903A (ja) 認証システム、および主端末
WO2017005163A1 (zh) 基于无线通信的安全认证装置
WO2003081839A1 (fr) Procede d'etablissement d'une liaison entre le dispositif d'acces au reseau et l'utilisateur mettant en oeuvre le protocole 802.1x
CN109936515B (zh) 接入配置方法、信息提供方法及装置
JP6126062B2 (ja) ネットワーク装置及びネットワーク装置のmacアドレス認証方法
EP2891299B1 (en) Systems and methods for efficient remote security panel configuration and management
CN105978774B (zh) 一种接入认证的方法和装置
CN106304071B (zh) 一种网络接入认证方法、接入认证设备及系统
JP2021140821A (ja) 画面制御装置及び画面制御方法
JP6267462B2 (ja) 接続制御装置、接続制御方法、及びプログラム
JP2021068421A (ja) 無人車両のリモートログイン処理方法、装置、機器、及び記憶媒体

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20160217

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20160916

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20160927

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20161117

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20170314

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20170406

R150 Certificate of patent or registration of utility model

Ref document number: 6126062

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150