JP6281516B2 - ネットワーク認証システム、ネットワーク認証方法および認証サーバ - Google Patents
ネットワーク認証システム、ネットワーク認証方法および認証サーバ Download PDFInfo
- Publication number
- JP6281516B2 JP6281516B2 JP2015065388A JP2015065388A JP6281516B2 JP 6281516 B2 JP6281516 B2 JP 6281516B2 JP 2015065388 A JP2015065388 A JP 2015065388A JP 2015065388 A JP2015065388 A JP 2015065388A JP 6281516 B2 JP6281516 B2 JP 6281516B2
- Authority
- JP
- Japan
- Prior art keywords
- authentication
- switch
- management table
- filter
- terminal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims description 32
- 238000012545 processing Methods 0.000 claims description 59
- 230000006854 communication Effects 0.000 claims description 41
- 238000004891 communication Methods 0.000 claims description 40
- 238000012544 monitoring process Methods 0.000 claims description 24
- 230000001172 regenerating effect Effects 0.000 claims description 6
- 238000012546 transfer Methods 0.000 claims description 6
- 238000010586 diagram Methods 0.000 description 21
- 238000009826 distribution Methods 0.000 description 16
- 230000008569 process Effects 0.000 description 16
- 230000008929 regeneration Effects 0.000 description 6
- 238000011069 regeneration method Methods 0.000 description 6
- 230000008859 change Effects 0.000 description 5
- 230000036541 health Effects 0.000 description 4
- YVWNECBAHBJBSI-HZOWPXDZSA-N (2E,4E)-2,4,6-trimethyldeca-2,4-dienamide Chemical compound CCCCC(C)\C=C(/C)\C=C(/C)C(N)=O YVWNECBAHBJBSI-HZOWPXDZSA-N 0.000 description 3
- 238000004519 manufacturing process Methods 0.000 description 3
- 238000003860 storage Methods 0.000 description 3
- 230000001960 triggered effect Effects 0.000 description 2
- 239000002699 waste material Substances 0.000 description 2
- 230000008901 benefit Effects 0.000 description 1
- 239000006185 dispersion Substances 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012806 monitoring device Methods 0.000 description 1
- 230000007704 transition Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N21/00—Selective content distribution, e.g. interactive television or video on demand [VOD]
- H04N21/20—Servers specifically adapted for the distribution of content, e.g. VOD servers; Operations thereof
- H04N21/25—Management operations performed by the server for facilitating the content distribution or administrating data related to end-users or client devices, e.g. end-user or client device authentication, learning user preferences for recommending movies
- H04N21/258—Client or end-user data management, e.g. managing client capabilities, user preferences or demographics, processing of multiple end-users preferences to derive collaborative data
- H04N21/25808—Management of client data
- H04N21/25816—Management of client data involving client authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N21/00—Selective content distribution, e.g. interactive television or video on demand [VOD]
- H04N21/60—Network structure or processes for video distribution between server and client or between remote clients; Control signalling between clients, server and network components; Transmission of management data between server and client, e.g. sending from server to client commands for recording incoming content stream; Communication details between server and client
- H04N21/63—Control signaling related to video distribution between client, server and network components; Network processes for video distribution between server and clients or between remote clients, e.g. transmitting basic layer and enhancement layers over different transmission paths, setting up a peer-to-peer communication via Internet between remote STB's; Communication protocols; Addressing
Landscapes
- Engineering & Computer Science (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Multimedia (AREA)
- Databases & Information Systems (AREA)
- Computer Graphics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Description
本発明は、ネットワーク認証システム、ネットワーク認証方法および認証サーバに係り、特に負荷分散を行うネットワーク認証システム、ネットワーク認証方法および認証サーバに関する。
近年、企業ネットワークや公共ネットワークなどの共用ネットワーク環境では、ネットワークセキュリティの確保は必須のものとなっている。有線LAN環境においても、IEEE 802.1X規格を適用して、その認証技術を用いたクライアント認証が用いられるようになってきている。IEEE 802.1Xでのクライアント認証システムでは、利用者のクライアント端末(Supplicant)と、その利用者認証情報を保持し認証を行うサーバ(Authentication Server)、クライアント端末と認証サーバとの認証情報の交換を中継し、クライアント端末のネットワーク接続を制御する認証スイッチ(Authenticator)で構成される。
しかしながら、セキュリティと利便性とは、トレードオフの関係にあり、セキュリティの確保と管理の簡便化を両立するための方法が課題となっている。
上記に関連する技術として、特許文献1には、無線区間の通信帯域の無駄を回避しながら無線アクセスポイント間で負荷を分散するため、かかっている負荷が最も大きい無線アクセスポイント装置からデータブロック送信されているマルチキャストグループのうちから少なくとも1つを特定する技術が開示されている。また、そのマルチキャストグループへ参加している無線端末へ、かかっている負荷が最も小さい無線アクセスポイント装置へ接続を切替えるという技術が開示されている。
さらに、特許文献2には、認証ネットワークにおいて、認証パケットを透過する認証スイッチを柔軟に変更するため、認証サーバと認証スイッチ間のヘルス・チェックの結果に基づいて、クライアント端末の認証パケットを透過する認証スイッチを決定し、それに基づき受信ポートフィルタを生成して各認証スイッチに送信するフィルタ生成・通知手段を備える技術が開示されている。
しかしながら、特許文献1は、無線区間の通信帯域の無駄を回避するため、負荷情報や識別子等を送受信する必要があり、電波環境によっては、電波環境の良い個所に集中し、無線アクセスポイント装置にかかっている負荷に偏りが出てきてしまうという課題があった。
また、特許文献2は、認証を受ける端末の分布状況や通信状況によっては、特定の認証スイッチに負荷が集中してしまい、適切な負荷分散が行えないことがあるという課題があった。
本発明の目的は、この点を鑑みたものであり、複数の認証スイッチによる大規模な認証機能によるセキュリティの確保とネットワーク利用の効率化を両立するための効率的なネットワーク認証における負荷分散方法を提供することにある。
本発明では、上記課題を解決するために、1つ以上のクライアント端末と、クライアント端末の外部ネットワークへの接続を認証する1つ以上の認証サーバと、クライアント端末の外部ネットワークへの通信を制御する複数の認証スイッチとを備えるネットワーク認証システムにおいて、認証サーバは、認証スイッチの認証を行うユーザ認証処理部と、認証スイッチがどの認証サーバに属するかを管理する認証スイッチ管理テーブルと、認証スイッチでクライアント端末の認証が行われるように、認証スイッチの受信ポートフィルタを生成して、認証スイッチ管理テーブル内のフィルタ管理テーブルに格納し、認証スイッチに通知する認証スイッチ管理処理部と、認証スイッチから通知された端末管理テーブル情報を保存する端末管理データベースとを有することを特徴としている。
また、本発明では、上記課題を解決するために、1つ以上のクライアント端末と、クライアント端末の外部ネットワークへの接続を認証する1つ以上の認証サーバと、クライアント端末の外部ネットワークへの通信を制御する複数の認証スイッチとを備えるネットワーク認証システムのネットワーク認証方法において、認証サーバは、認証スイッチの認証を行うステップと、認証スイッチがどの認証サーバに属するかを管理するステップと、認証スイッチで前記クライアント端末の認証が行われるように、認証スイッチの受信ポートフィルタを生成して、認証スイッチ管理テーブル内のフィルタ管理テーブルに格納し、認証スイッチに通知するステップと、認証スイッチから通知された端末管理テーブル情報を保存するステップとを有することを特徴としている。
また、本発明では、上記課題を解決するために、クライアント端末の外部ネットワークへの接続を認証する認証サーバにおいて、認証スイッチの認証を行うユーザ認証処理部と、認証スイッチがどの認証サーバに属するかを管理する認証スイッチ管理テーブルと、認証スイッチでクライアント端末の認証が行われるように、認証スイッチの受信ポートフィルタを生成して、認証スイッチ管理テーブル内のフィルタ管理テーブルに格納し、認証スイッチに通知する認証スイッチ管理処理部と、認証スイッチから通知された端末管理テーブル情報を保存する端末管理データベースとを有することを特徴としている。
本発明によれば、複数の認証スイッチによる大規模な認証機能によるセキュリティの確保とネットワーク利用の効率化を両立するための効率的なネットワーク認証における負荷分散方法を提供することができる。
以下、本発明の実施形態について図面を参照して詳細に説明する。
(第1の実施の形態)
図1、図2を用いて、本発明の第1の実施形態におけるネットワーク認証システムの構成について説明する。図1は、本実施形態におけるネットワーク認証システムの構成を示すブロック図である。図2は、本実施形態におけるネットワークの構成図である。
(第1の実施の形態)
図1、図2を用いて、本発明の第1の実施形態におけるネットワーク認証システムの構成について説明する。図1は、本実施形態におけるネットワーク認証システムの構成を示すブロック図である。図2は、本実施形態におけるネットワークの構成図である。
図1において、本実施形態におけるネットワーク認証システム10は、認証サーバ100と認証スイッチ200(複数台構成の場合は、200A、200B...)、クライアント端末300(300A、300B...)および外部ネットワーク400を備えている。
認証サーバ100は、認証スイッチ管理テーブル110、クライアント端末認証のための情報を格納する認証情報データベース120、認証スイッチ管理処理部130およびクライアント端末の認証処理を行うユーザ認証処理部(Authentication Server)140、端末管理のための情報を格納する端末管理データベース150を備えている。
認証スイッチ管理テーブル110は、フィルタ管理テーブル111を内部に持っている。
認証スイッチ管理処理部130は、フィルタ生成・通知処理部131とスイッチ監視処理部132からなっている。スイッチ監視処理部132は、認証スイッチ管理テーブル110に格納された認証スイッチ200の認証サーバ処理部220との間で、定期的にヘルス・チェックのための通信を行う。ここで、ヘルス・チェックとは、認証スイッチ200の稼働状況をチェックすることを言う。フィルタ生成・通知処理部131は、認証スイッチグループ内のいずれかのスイッチでクライアント端末認証が行われるように、各認証スイッチの受信ポートフィルタを生成してフィルタ管理テーブル111に格納し、複数台構成の場合、各認証スイッチ200A、200Bに通知する。
認証スイッチ200は、設定記憶部210、認証サーバ処理部220、端末認証処理部(Authenticator)230、フィルタ制御処理部240、受信ポートフィルタ250、パケット受信処理部260、パケット入力フィルタ270、パケット転送処理部280を備えている。
設定記憶部210は、認証サーバ情報211を保持し、認証サーバ情報211は認証スイッチグループ情報212を含んでいる。
認証サーバ処理部220は、認証サーバ100のスイッチ監視処理部132との間で、定期的にヘルス・チェックのための通信を行う。また、認証サーバ処理手段220は、フィルタ制御処理部240に指示して、受信ポートフィルタ250の設定を行う。
端末認証処理部230は、端末管理テーブル231を保持している。
受信ポートフィルタ250は、特定のパケットの受信の許可・拒否を定義するフィルタ
である。例えば、受信ポートフィルタ250を全パケット破棄の状態に設定した場合は、
クライアント端末300が認証要求パケットを送信しても、一切の要求パケットは破棄さ
れ、認証は開始されない。
である。例えば、受信ポートフィルタ250を全パケット破棄の状態に設定した場合は、
クライアント端末300が認証要求パケットを送信しても、一切の要求パケットは破棄さ
れ、認証は開始されない。
パケット受信処理部260は、受信ポートフィルタ250を透過した認証要求パケットを受け取る。また、パケット受信処理部260は、認証要求パケットを端末認証処理部230に通知する。
パケット入力フィルタ270は、クライアント端末300の外部ネットワーク400へ
の通信を制御するフィルタである。
の通信を制御するフィルタである。
パケット転送処理部280は、クライアント端末300からの通信トラヒックを外部ネットワーク400に転送する。
クライアント端末300は、ユーザ認証情報310、認証処理部(Supplicant)320を備えている。
本実施形態におけるネットワークの構成図について図2を用いて説明する。
認証スイッチ200A、200Bおよびクライアント端末300A、300Bは共有LANを介して接続され、クライアント端末の外部ネットワークへの通信を認証スイッチが制御する。
認証スイッチ200A、200Bは、ネットワークを介して認証サーバ100と通信を行う。認証スイッチ200A、200Bと認証サーバ100間のネットワークは外部ネットワークを介していてもよいし、同一LANなど外部ネットワークを介さない環境であってもよい。また、認証サーバ100は、各認証スイッチからみてネットワークとして一意であればよく、実態として単一サーバであってもよいし、複数サーバからなる高可用サーバであってもよい。
次に、本発明の第1の実施形態の動作について説明する。
まず、図3、図4を用いて関連するネットワーク認証システムの動作について説明する。図3は、関連するネットワーク認証システムにおいて、端末300Aが、認証スイッチ200A、200Bのうちの一つと認証を行う過程を示す図である。また、A、B、Cを付した構成要素は、例えば200A等の内部の構成を示している。
図3では、認証スイッチ200A、200Bは、認証サーバ100に認証スイッチ登録を行い、認証サーバ100は、各認証スイッチ200A、200Bが分散して端末認証を行う。そのため、各認証スイッチの受信ポートフィルタを生成し、各認証スイッチ200A、200Bに通知する。各認証スイッチは通知されたフィルタ情報を元に、受信ポートフィルタ250A、250Bを更新した状態となっている。また、認証スイッチ200Aのパケット入力フィルタは、パケット入力フィルタ270Aである。
この時、端末300AのMACアドレスは、受信ポートフィルタ250Aでは透過され、受信ポートフィルタ250Bでは破棄される状態となっているとすると、端末300Aは、認証スイッチ200Aで認証を開始する。認証スイッチ200Aは、端末300Aの認証情報を認証サーバ100に問い合わせ、認証サーバ100は、端末300A認証情報を認証情報データベース120と照合して認証の可否を決定し、認証スイッチ200Aに通知する。認証スイッチ200Aは、認証結果を端末300Aに通知するとともに、認証が成功した場合には、端末300Aが外部ネットワーク400へアクセスするのを許可するようにパケット入力フィルタ270Aを更新する。
また、図4を用いて、関連するネットワーク認証システムにおいて、運用中の認証ネットワークに、認証スイッチ200Cを追加した際の動作を説明する。図4は、稼働中のネットワークに、認証スイッチを追加した場合の動作をネットワーク構成図を用いて説明する図である。
認証スイッチ200Cは、認証サーバ100に認証スイッチ登録を行い、認証サーバ100は、認証スイッチ200A、200B、200Cの受信ポートフィルタを再生成し、各認証スイッチに通知する。各認証スイッチ200A、200B、200Cは、それぞれの受信ポートフィルタ250A、250B、250Cを更新する。
受信ポートフィルタ更新の結果、端末300Aの認証・通信処理は、認証スイッチ200Bに移動するものとする。認証スイッチ200Bが、端末300Aの認証情報を持たない場合、端末300Aは、再度認証をやり直すことになる。
このように、関連するネットワーク認証システムでは、受信ポートフィルタの再生成・更新処理により、認証を受ける端末の分布状況や通信状況によっては、特定の認証スイッチに負荷が集中してしまい、適切な負荷分散が行えないことがある。
これを改善するため、本実施形態では、後述するように、認証サーバ100に、図6に示すような端末管理データベース150を保持し、受信ポートフィルタの再生成時に、フィルタの生成方法を工夫することにより、端末の再認証処理で発生するネットワーク負荷の改善をはかる。
図1、図5〜図11を用いて、本実施形態の動作について説明する。
認証スイッチ200の認証サーバ処理部220は、認証サーバ100の認証スイッチ管理部130のスイッチ監視処理部132に対して定期的に通信を行っている。この通信処理において、認証スイッチ200の認証サーバ処理部220は、端末認証処理部230が保持する端末管理テーブル231を取得し、認証サーバ100の認証スイッチ管理部130に通知する。認証スイッチ管理部130は、各認証スイッチから通知された端末管理テーブル情報を端末管理データベース150に保存する。
一方、認証スイッチの登録・削除時など、認証スイッチの受信ポートフィルタを再生成する時、フィルタ生成・通知処理部131は、図7に示す処理を行う。
図7は、フィルタ生成・通知処理部131の動作を示すフローチャートである。図7において、まず、フィルタ管理テーブル111から現在各認証スイッチに設定されている受信ポートフィルタの値を取得する(S101)。
図5にフィルタ管理テーブル111の例を示す。図5は、フィルタ管理テーブル111の内容を示す図であり、SW−A及びSW−BのMACフィルタの例を示している。
次に、フィルタ生成・通知処理部131は、取得した受信ポートフィルタの値から、最小ハミング距離の新しい受信ポートフィルタ候補値F1、F2、...、Fnを全て生成する(S102)。各フィルタ候補値Fkは、各認証スイッチに通知するフィルタの集合{fk1、fk2、...、fks}(s:認証スイッチ数)である。 生成されたフィルタ候補値Fkそれぞれについて、端末管理データベース150から各フィルタ値fk1、fk2、...、fksの中からフィルタを選択し(S103)、該当する端末エントリを集計し(S104)、フィルタ候補値に対する指標値Skを算出する(S105)。
図6に端末管理データベース150の例を示す。図6は、端末管理データベース150の内容を示す図である。各クライアント端末の端末アドレスと所属する認証スイッチと通信量が登録してある。
図7、図8の例では、指標値として、各フィルタ値fk1、fk2、...、fksでの端末数の標準偏差と認証スイッチ間を移動する端末数を用いているが、他の指標を用いてもよい。すなわち、標準偏差は、端末数のばらつきを示すので、ばらつきが少なく認証スイッチ間の移動が少なくなるような指標値を選べば、負荷を効率よく分散していることになる。
算出された指標値Skが、それまでの指標値の中で最良の値であれば、その指標値に対応するフィルタ候補値Fkを最良フィルタとして保存する(S106)。全てのフィルタ候補値について上記、S103からS106を繰り返した後(S107)、最良フィルタとして保存されているフィルタ候補値を新しいフィルタとして、フィルタ管理テーブル111に登録し、各認証スイッチに通知する(S108)。
図8は、本実施形態のフィルタ生成・通知処理部131の動作の様子を示す図である。図8において、スイッチIDのSW-AとSW-BにSW-CとSW-Dを追加した場合は、
SW-CとSW-Dを追加した管理テーブル候補リストを生成し、その候補から最良値を求める。例えば、SW-CとSW-Dを追加したフィルタ管理テーブル候補について、所属端末数の標準偏差と移動端末数を求める。その中で最良値をとるフィルタ管理テーブルの候補を選ぶ。その選んだフィルタ管理テーブル候補を、新しいフィルタ管理テーブルとして設定する。
SW-CとSW-Dを追加した管理テーブル候補リストを生成し、その候補から最良値を求める。例えば、SW-CとSW-Dを追加したフィルタ管理テーブル候補について、所属端末数の標準偏差と移動端末数を求める。その中で最良値をとるフィルタ管理テーブルの候補を選ぶ。その選んだフィルタ管理テーブル候補を、新しいフィルタ管理テーブルとして設定する。
図9は、関連するネットワーク認証システムによって生成されたフィルタの様子を示す図である。図9に示すように、関連するネットワーク認証システムによって生成されたフィルタでは、端末のアドレス分布状況が考慮されていないため、端末の分布に偏りが生じている。すなわち、フィルタ管理テーブルにおいて、SW−C、SW−Dを追加しているが、端末管理データベースでは、所属スイッチSW−AとSW−Dだけに偏っている。また、SW−Dは後から追加されているので、再認証が必要となっている。
S108で生成されたフィルタの効果が、図10に示されている。図10は、本実施形態のネットワーク認証システムによって生成されたフィルタの様子を示す図である。図10に示すように、本実施形態のフィルタ生成方法を用いてフィルタ再生成を行った場合は、認証スイッチ間の移動が少なくなるようフィルタ候補値が選ばれるので、認証スイッチ間での端末アドレスのやり取りを必要最小限に抑え、かつ認証スイッチ間での負荷分散を適切に行えるようにフィルタが生成される。すなわち、フィルタ再生成後のフィルタ管理テーブルにおいて、SW−C、SW−Dを追加しているが、フィルタ再生成後の端末管理データベースでは、所属スイッチSW−A、SW−B、SW−C、SW−Dに分散している。
図11は、通信端末数の増加を契機として、負荷分散を行う処理を表すシーケンス図である。
図11において、認証スイッチA200Aが端末Ax(xは、1からnの整数)を許可するフィルタ設定であって(S321)、認証スイッチB200Bが端末Ax(xは、1からnの整数)を破棄するフィルタ設定であるとする(S320)。認証サーバ100は、定期的に認証スイッチの監視通信を行う(S301、S303)。認証スイッチ200A、200Bは、認証端末情報を認証サーバ100に通知する(S302、S304)。 端末Anからの認証情報が、認証スイッチA200Aに与えられたとすると(S311)、認証サーバ100は、定期的に認証スイッチの監視通信を行い(S305、S307)、認証スイッチ200A、200Bは、認証端末情報を認証サーバ100に通知する(S306、S308)。
認証サーバ100は、認証スイッチA200Aでの認証端末数の増大を検知すると(S322)、各認証スイッチの分散用フィルタを再生成し(S323)、フィルタ情報を各認証スイッチへ通知する(S309、S310)。フィルタ情報を受信した各認証スイッチは、例えば、認証スイッチA200Aは、端末A1を破棄するようフィルタを設定し(S325)、認証スイッチB200Bは、端末A1を許可するようフィルタを設定する(S324)。
認証サーバ100のスイッチ監視処理部132は、認証端末数の変化をチェックすることで、認証スイッチの負荷の偏りを検出することができる。負荷の偏りを検出した場合、前述のフィルタ再生成処理を行うことにより、認証スイッチ間の負荷を適切に再配分し、ネットワーク負荷を抑制することが可能となる。
このように本実施形態では、認証サーバ100が、端末管理データベース150を保持し、認証スイッチ200が認証端末情報を定期的に認証サーバ100に通知することにより、認証端末数の増加を契機とした、負荷分散を行うことができる。
(第2の実施の形態)
図12、図13を用いて、本発明の第2の実施形態について説明する。図12は、第2の実施形態のネットワーク認証システムの構成を示す図である。図13は、特定の端末で通信流量が増大した場合の、負荷分散を行う処理を表すシーケンス図である。
(第2の実施の形態)
図12、図13を用いて、本発明の第2の実施形態について説明する。図12は、第2の実施形態のネットワーク認証システムの構成を示す図である。図13は、特定の端末で通信流量が増大した場合の、負荷分散を行う処理を表すシーケンス図である。
図12において、第1の実施形態と同じ構成要素には、同じ番号を付して説明を省略する。図12のネットワーク認証システム20は、認証サーバ100と認証スイッチ205、クライアント端末300および外部ネットワーク400を備えている。本実施形態は、第1の実施形態の認証スイッチ200に通信量監視装置290を加えたものである。
通信量監視処理部290は、パケット転送処理部280の通信量を監視し、端末認証処理部230に通知する。
また、認証スイッチ205の端末管理テーブル231および認証サーバ100の認証端末データベース150に、各端末の通信流量のデータを保持することで、特定の認証スイッチや特定の端末で通信流量が急激に増えた場合にも、その端末のみを特別な認証スイッチに隔離することにより、検疫処理などを行うこともできる。
図13は、特定の端末300Aで通信流量が増大した場合の、負荷分散処理を示す。図13において、認証スイッチA200Aが端末Aを許可するフィルタ設定であって(S421)、認証スイッチB200Bが端末Aを破棄するフィルタ設定であるとする(S420)。認証サーバ100は、定期的に認証スイッチの監視通信を行う(S401、S403)。認証スイッチ200A、200Bは、端末の通信流量を認証サーバ100に通知する(S402、S404)。
端末Aの通信流量増大が、認証スイッチA200Aに与えられたとすると(S411)、認証サーバ100は、定期的に認証スイッチの監視通信を行い(S405、S407)、認証スイッチ200A、200Bは、端末の通信流量を認証サーバ100に通知する(S406、S408)。
認証サーバ100は、認証スイッチA200Aでの通信流量の増大を検知すると(S422)、各認証スイッチの分散用フィルタを再生成し(S423)、フィルタ情報を各認証スイッチへ通知する(S409、S410)。フィルタ情報を受信した各認証スイッチは、例えば、認証スイッチA200Aは、端末Aを破棄するようフィルタを設定し(S425)、認証スイッチB200Bは、端末Aを許可するようフィルタを設定する(S424)。
このように、認証サーバ100のスイッチ監視処理部132は、定期的に認証スイッチの監視通信を行っており、認証スイッチ205の認証サーバ処理部220は、通信流量を含む端末認証情報を認証サーバ100に通知する。認証サーバ100のスイッチ監視処理部132は、通信流量の変化をチェックすることで、認証スイッチ205の通信流量の偏りを検出することができる。
負荷の偏りを検出した場合、前述のフィルタ再生成処理を行うことにより、認証スイッチ間の通信負荷を適切に再配分し、ネットワーク負荷を抑制することが可能となる。あるいは、通信流量が増大した特定の端末のみを特別な認証スイッチに隔離することにより、検疫処理などを行うこともできる。
なお、第1の実施形態では認証端末数の増加、第2の実施形態では通信流量の変化をチェックしたが、認証端末数と通信流量の変化の両方を使ってチェックしてもよい。
以上述べてきたように、本願発明は、認証サーバに端末管理テーブルを保持し、認証スイッチに適用する受信ポートフィルタの再生成時に、それまでのフィルタを元に、端末管理テーブルに保持している端末の推移を考慮してフィルタの再生成を行うことにより、適切な負荷分散を行うことができる。
尚、本願発明は、上述の実施の形態に限定されるものではなく、本願発明の要旨を逸脱しない範囲で種々変更、変形して実施することが出来る。
本発明は、セキュリティの確保とネットワーク利用の効率化を両立させるネットワーク認証システムとして利用できる。
10 ネットワーク認証システム
100 認証サーバ
110 認証スイッチ管理テーブル
111 フィルタ管理テーブル
120 認証情報データベース
130 認証スイッチ管理部
131 フィルタ生成・通知処理部
132 スイッチ監視処理部
140 ユーザ認証処理部
150 端末管理データベース
20 ネットワーク認証システム
200 認証スイッチ
210 設定記憶部
211 認証サーバ情報
212 認証スイッチグループ情報
220 認証サーバ処理部
230 端末認証処理部
231 端末管理テーブル
240 フィルタ制御処理部
250 受信ポートフィルタ
260 パケット受信処理部
270 パケット入力フィルタ
280 パケット転送処理部
290 通信量監視処理部
300 クライアント端末
310 ユーザ認証情報
320 認証処理部
400 外部ネットワーク
100 認証サーバ
110 認証スイッチ管理テーブル
111 フィルタ管理テーブル
120 認証情報データベース
130 認証スイッチ管理部
131 フィルタ生成・通知処理部
132 スイッチ監視処理部
140 ユーザ認証処理部
150 端末管理データベース
20 ネットワーク認証システム
200 認証スイッチ
210 設定記憶部
211 認証サーバ情報
212 認証スイッチグループ情報
220 認証サーバ処理部
230 端末認証処理部
231 端末管理テーブル
240 フィルタ制御処理部
250 受信ポートフィルタ
260 パケット受信処理部
270 パケット入力フィルタ
280 パケット転送処理部
290 通信量監視処理部
300 クライアント端末
310 ユーザ認証情報
320 認証処理部
400 外部ネットワーク
Claims (5)
- 1つ以上のクライアント端末と、
前記クライアント端末の外部ネットワークへの接続を認証する1つ以上の認証サーバと、
前記クライアント端末の外部ネットワークへの通信を制御する複数の認証スイッチとを備えるネットワーク認証システムにおいて、
前記認証サーバは、
前記認証スイッチの認証を行うユーザ認証処理部と、
前記認証スイッチがどの認証サーバに属するかを管理する認証スイッチ管理テーブルと、前記認証スイッチで前記クライアント端末の認証が行われるように、前記認証スイッチの受信ポートフィルタを生成して、前記認証スイッチ管理テーブル内のフィルタ管理テーブルに格納し、前記認証スイッチに通知する認証スイッチ管理処理部と、
前記認証スイッチから通知された端末管理テーブル情報を保存する端末管理データベースと、
を有し、
前記クライアント端末の数が変化した場合に、前記認証スイッチ間での負荷の偏りを検出するスイッチ監視処理部を更に備え、
前記認証スイッチ間での負荷の偏りを検出した場合、前記認証スイッチ監視処理部は、新たな認証スイッチを追加するとともに、前記新たな認証スイッチを追加することによって生成した複数のフィルタ管理テーブル候補の中から、各認証スイッチに所属する前記クライアント端末の数の間にばらつきが少なく、かつ、前記クライアント端末の所属先の認証スイッチが変化する数が少ないフィルタ管理テーブル候補を、新しいフィルタ管理テーブルとして選択し、再生成することを特徴とするネットワーク認証システム。 - 前記認証スイッチは、前記端末管理テーブルを有する端末認証処理部に接続され、パケット転送処理部を監視して、通信量を監視する通信量監視処理部を有することを特徴とする請求項1に記載のネットワーク認証システム。
- 1つ以上のクライアント端末と、
前記クライアント端末の外部ネットワークへの接続を認証する1つ以上の認証サーバと、
前記クライアント端末の外部ネットワークへの通信を制御する複数の認証スイッチとを備えるネットワーク認証システムのネットワーク認証方法において、
前記認証サーバは、
前記認証スイッチの認証を行うステップと、
前記認証スイッチがどの認証サーバに属するかを管理するステップと、
前記認証スイッチで前記クライアント端末の認証が行われるように、前記認証スイッチの受信ポートフィルタを生成して、前記認証スイッチ管理テーブル内のフィルタ管理テーブルに格納し、前記認証スイッチに通知するステップと、
前記認証スイッチから通知された端末管理テーブル情報を保存するステップと、
前記クライアント端末の数が変化した場合に、前記認証スイッチ間での負荷の偏りを検出するステップと、
を有し、
前記認証スイッチ間での負荷の偏りを検出した場合、新たな認証スイッチを追加するとともに、前記新たな認証スイッチを追加することによって生成した複数のフィルタ管理テーブル候補の中から、各認証スイッチに所属する前記クライアント端末の数の間にばらつきが少なく、かつ、前記クライアント端末の所属先の認証スイッチが変化する数が少ないフィルタ管理テーブル候補を、新しいフィルタ管理テーブルとして選択し、再生成することを特徴とするネットワーク認証方法。 - 前記認証スイッチは、前記端末管理テーブルを有する前記端末認証処理部に接続され、パケット転送処理部を監視して、通信量を監視するステップを有することを特徴とする請求項3に記載のネットワーク認証方法。
- クライアント端末の外部ネットワークへの接続を認証する認証サーバにおいて、
認証スイッチの認証を行うユーザ認証処理部と、
前記認証スイッチがどの認証サーバに属するかを管理する認証スイッチ管理テーブルと、前記認証スイッチで前記クライアント端末の認証が行われるように、前記認証スイッチの受信ポートフィルタを生成して、前記認証スイッチ管理テーブル内のフィルタ管理テーブルに格納し、前記認証スイッチに通知する認証スイッチ管理処理部と、
前記認証スイッチから通知された端末管理テーブル情報を保存する端末管理データベースと、
を有し、
前記クライアント端末の数が変化した場合に、前記認証スイッチ間での負荷の偏りを検出するスイッチ監視処理部を更に備え、
前記認証スイッチ間での負荷の偏りを検出した場合、前記認証スイッチ監視処理部は、新たな認証スイッチを追加するとともに、前記新たな認証スイッチを追加することによって生成した複数のフィルタ管理テーブル候補の中から、各認証スイッチに所属する前記クライアント端末の数の間にばらつきが少なく、かつ、前記クライアント端末の所属先の認証スイッチが変化する数が少ないフィルタ管理テーブル候補を、新しいフィルタ管理テーブルとして選択し、再生成することを特徴とする認証サーバ。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2015065388A JP6281516B2 (ja) | 2015-03-27 | 2015-03-27 | ネットワーク認証システム、ネットワーク認証方法および認証サーバ |
| US15/060,836 US10003588B2 (en) | 2015-03-27 | 2016-03-04 | Network authentication system, network authentication method and network authentication server |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2015065388A JP6281516B2 (ja) | 2015-03-27 | 2015-03-27 | ネットワーク認証システム、ネットワーク認証方法および認証サーバ |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2016184911A JP2016184911A (ja) | 2016-10-20 |
| JP6281516B2 true JP6281516B2 (ja) | 2018-02-21 |
Family
ID=56976593
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2015065388A Active JP6281516B2 (ja) | 2015-03-27 | 2015-03-27 | ネットワーク認証システム、ネットワーク認証方法および認証サーバ |
Country Status (2)
| Country | Link |
|---|---|
| US (1) | US10003588B2 (ja) |
| JP (1) | JP6281516B2 (ja) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP6951768B2 (ja) | 2017-01-19 | 2021-10-20 | 株式会社クリエイターズ・ヘッド | 情報制御プログラム、情報制御システム、及び情報制御方法 |
| CN110381062B (zh) * | 2019-07-22 | 2021-12-21 | 黄河科技学院 | 工业互联网中信息交换安全装置 |
| EP4037277A4 (en) * | 2019-09-24 | 2022-11-30 | PRIBIT Technology, Inc. | NETWORK AUTHENTICATION AND ACCESS CONTROL SYSTEM OF A TERMINAL, AND ASSOCIATED METHOD |
Family Cites Families (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP0982970B1 (en) * | 1998-08-21 | 2006-10-04 | Nippon Telegraph and Telephone Corporation | ATM switch |
| CA2415888C (en) * | 2000-08-04 | 2008-10-21 | Avaya Technology Corporation | Intelligent demand driven recognition of url objects in connection oriented transactions |
| US8942375B2 (en) * | 2002-09-17 | 2015-01-27 | Broadcom Corporation | Method and system for providing multiple encryption in a multi-band multi-protocol hybrid wired/wireless network |
| US8151318B1 (en) * | 2003-02-25 | 2012-04-03 | Cisco Technology, Inc. | Method and apparatus for reliably and asymmetrically distributing security information within a fibre channel fabric |
| JP4252842B2 (ja) | 2003-05-22 | 2009-04-08 | 株式会社エヌ・ティ・ティ・ドコモ | 管理ノード装置、無線通信システム、負荷分散方法およびプログラム |
| US7587750B2 (en) * | 2003-06-26 | 2009-09-08 | Intel Corporation | Method and system to support network port authentication from out-of-band firmware |
| US7735114B2 (en) * | 2003-09-04 | 2010-06-08 | Foundry Networks, Inc. | Multiple tiered network security system, method and apparatus using dynamic user policy assignment |
| JP4472537B2 (ja) * | 2005-01-21 | 2010-06-02 | パナソニック株式会社 | パケット制御装置、認証サーバ及び無線通信システム |
| JP4714111B2 (ja) * | 2006-08-29 | 2011-06-29 | 株式会社日立製作所 | 管理計算機、計算機システム及びスイッチ |
| KR100931810B1 (ko) * | 2008-07-18 | 2009-12-14 | 현대자동차주식회사 | 텔레매틱스 통신 스위칭 방법 |
| JP2011048504A (ja) * | 2009-08-25 | 2011-03-10 | Nippon Telegr & Teleph Corp <Ntt> | 認証サーバ間の負荷分散方法及び装置及びプログラム |
| US8763075B2 (en) * | 2011-03-07 | 2014-06-24 | Adtran, Inc. | Method and apparatus for network access control |
| US9167612B2 (en) * | 2011-04-07 | 2015-10-20 | Hewlett-Packard Development Company, L.P. | Minimal synchronized network operations |
| JP2013098769A (ja) * | 2011-11-01 | 2013-05-20 | Kotobuki Solution Co Ltd | 告知情報に関するユニキャストデータ配信方法 |
| US9100203B2 (en) * | 2012-01-12 | 2015-08-04 | Brocade Communications Systems, Inc. | IP multicast over multi-chassis trunk |
| JPWO2014080994A1 (ja) | 2012-11-22 | 2017-01-05 | 日本電気株式会社 | 輻輳制御システム、制御装置、輻輳制御方法およびプログラム |
| JP6070280B2 (ja) * | 2013-03-04 | 2017-02-01 | 日本電気株式会社 | ネットワーク認証システム、ネットワーク認証装置、ネットワーク認証方法、及びネットワーク認証プログラムネットワーク認証装置の負荷分散方法 |
| US9674195B1 (en) * | 2014-06-25 | 2017-06-06 | Symantec Corporation | Use of highly authenticated operations to detect network address translation |
-
2015
- 2015-03-27 JP JP2015065388A patent/JP6281516B2/ja active Active
-
2016
- 2016-03-04 US US15/060,836 patent/US10003588B2/en active Active
Also Published As
| Publication number | Publication date |
|---|---|
| JP2016184911A (ja) | 2016-10-20 |
| US10003588B2 (en) | 2018-06-19 |
| US20160285846A1 (en) | 2016-09-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108432206B (zh) | 用于蜂窝物联网的无状态接入阶层安全性 | |
| US10404677B2 (en) | Secure method for MTC device triggering | |
| US9100242B2 (en) | System and method for maintaining captive portal user authentication | |
| US7848338B2 (en) | Network-based reliability of mobility gateways | |
| CN100591013C (zh) | 实现认证的方法和认证系统 | |
| KR20180030034A (ko) | 암호화된 클라이언트 디바이스 컨텍스트들에 의한 네트워크 아키텍처 및 보안 | |
| JP5850084B2 (ja) | Mtcにおいて生じるグループ変更のための方法 | |
| EP2127247B1 (en) | Intrusion prevention system for wireless networks | |
| JP2008537644A (ja) | 無線ネットワークにおけるモバイルユニットの高速ローミングの方法およびシステム | |
| US20140341185A1 (en) | Method and device for accounting in wifi roaming based on ac and ap interworking | |
| CN110383868A (zh) | 无线通信系统中的非活动状态安全支持 | |
| JP2010016834A (ja) | フィルタリング方法 | |
| JP6281516B2 (ja) | ネットワーク認証システム、ネットワーク認証方法および認証サーバ | |
| Raza et al. | vepc-sec: Securing lte network functions virtualization on public cloud | |
| JP2015035724A (ja) | ネットワーク制御装置 | |
| CN101600200A (zh) | 异构网络间切换的方法、移动节点及认证接入点 | |
| TW201521470A (zh) | 基地台及其使用者設備認證方法 | |
| CN102244857B (zh) | 无线局域网漫游用户的控制方法及其装置和网络系统 | |
| WO2017006502A1 (ja) | 通信制御装置、通話制御方法及び通話制御プログラムが格納される非一時的なコンピュータ可読媒体 | |
| JPWO2011064858A1 (ja) | 無線認証端末 | |
| CN103974223A (zh) | 无线局域网络与固网交互中实现认证及计费的方法及系统 | |
| JP3154679U (ja) | 中継機器及びネットワークシステム | |
| JP2018097821A (ja) | 制御装置および通信制御方法 | |
| WO2013189234A1 (zh) | Sta的剔除方法及装置 | |
| Mathi et al. | A flattened architecture for distributed mobility management in IPv6 networks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20160715 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20170421 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20170606 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20170712 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20171226 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20180108 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6281516 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313113 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313113 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313113 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |