JP6649002B2 - Access management system and access management method - Google Patents
Access management system and access management method Download PDFInfo
- Publication number
- JP6649002B2 JP6649002B2 JP2015145741A JP2015145741A JP6649002B2 JP 6649002 B2 JP6649002 B2 JP 6649002B2 JP 2015145741 A JP2015145741 A JP 2015145741A JP 2015145741 A JP2015145741 A JP 2015145741A JP 6649002 B2 JP6649002 B2 JP 6649002B2
- Authority
- JP
- Japan
- Prior art keywords
- client
- authentication
- authentication interface
- openflow
- entry
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Description
本発明はアクセス管理技術に関する。 The present invention relates to access management technology.
近年、クラウドサービスが本格的に利用され、ネットワークでの利用形態が変化してきている。自社運用や社内運用といったオンプレミスでの各種サーバへのアクセスを主としたものから、各種パブリックサービスの利用も含めた、プライベートやパブリッククラウドへのアクセスに変化してきている。ネットワークトポロジー的には、ルータ等のポリシーベースのネットワークから、スイッチベースのVLAN(Virtual LAN)化が進んでいる。また、サーバも仮想化が進展し、ネットワーク自体の仮想化もSDN(Software Defined Network)をベースに始まっている。このような複雑化するネットワーク形態を制御するための技術として、オープンフロー(OpenFlow)などが提案されている(特許文献1参照)。 2. Description of the Related Art In recent years, cloud services have been used in earnest, and usage forms in networks have changed. Access from various types of servers on-premises, such as in-house and in-house operations, has been changed to access to private and public clouds, including the use of various public services. In terms of network topology, a switch-based VLAN (Virtual LAN) has been developed from a policy-based network such as a router. In addition, virtualization of servers has progressed, and virtualization of the network itself has begun based on SDN (Software Defined Network). As a technique for controlling such a complicated network form, OpenFlow (OpenFlow) and the like have been proposed (see Patent Document 1).
このように複雑化するネットワーク形態においても、利用者を認証し、ネットワークリソースを割り当てるなどのアクセスを管理することが求められる。 Even in such a complicated network configuration, it is required to authenticate users and manage access such as allocating network resources.
本発明はかかる実情に鑑みてなされたものであり、複雑化するネットワーク形態においても、柔軟に利用者を認証し、ネットワークリソースの割当を実現することのできるアクセス管理システム等を提供しようとするものである。 The present invention has been made in view of such circumstances, and aims to provide an access management system or the like that can flexibly authenticate users and realize network resource allocation even in a complicated network configuration. It is.
本発明の所定の実施形態に係るアクセス管理システムは、第1のネットワーク内のクライアントから、第1のネットワーク外部のサーバへの通信パケット受信するスイッチであって、クライアントが未認証のとき、クライアントを認証インタフェースに接続し、クライアントが認証済みのとき、クライアントをサーバに接続する、スイッチと、クライアントの認証処理を行うための認証インタフェースと、認証インタフェースによる認証処理の結果、認証が許可された場合に、認証インタフェースからの指示を受信するコントローラであって、指示に基づいて、クライアントが認証済みであることを記録する、コントローラと、を備える。 An access management system according to a predetermined embodiment of the present invention is a switch that receives a communication packet from a client in a first network to a server outside the first network. Connects to the authentication interface, connects the client to the server when the client is authenticated, a switch, an authentication interface for performing client authentication processing, and when authentication is permitted as a result of authentication processing by the authentication interface. A controller that receives an instruction from the authentication interface, and that records that the client has been authenticated based on the instruction.
また、本発明の所定の実施形態に係るアクセス管理方法は、スイッチと、認証インタフェースと、コントローラとを備えるシステムにおいて、第1のネットワーク内のクライアントから第1のネットワーク外部のサーバへのアクセスを管理する方法を含む。この方法は、スイッチが、第1のネットワーク内のクライアントから、第1のネットワーク外部のサーバへの通信パケット受信すること、クライアントが未認証のとき、スイッチが、クライアントを認証インタフェースに接続すること、クライアントが認証済みのとき、スイッチが、クライアントをサーバに接続すること、認証インタフェースが、クライアントの認証処理を行うこと、認証インタフェースによる認証処理の結果、認証が許可された場合に、コントローラが、認証インタフェースからの指示を受信すること、コントローラが、指示に基づいて、クライアントが認証済みであることを記録すること、を含み得る。 Further, an access management method according to a predetermined embodiment of the present invention manages access from a client in a first network to a server outside a first network in a system including a switch, an authentication interface, and a controller. Including methods to do. The method comprises: a switch receiving a communication packet from a client in the first network to a server outside the first network; when the client is unauthenticated, the switch connects the client to an authentication interface; When the client has been authenticated, the switch connects the client to the server, the authentication interface performs the client authentication processing, and if the authentication is permitted as a result of the authentication processing by the authentication interface, the controller performs the authentication. Receiving an indication from the interface and the controller recording based on the indication that the client has been authenticated may be included.
本発明の所定の実施形態に係るプログラムは、上述の方法の各処理の少なくとも一部をコンピュータに実行させるものである。ここでいうコンピュータとは、ホストコンピュータのみならず、PC(パーソナルコンピュータ)、特定用途の通信機器、その他任意の情報処理装置を含む。かかるプログラムは、CD−ROM等の光学ディスク、磁気ディスク、半導体メモリなどの各種のコンピュータ読み取り可能な記録媒体を通じて、又は、通信ネットワークなどを介してアプリケーション等をダウンロードすることにより、コンピュータにインストール又はロードすることができる。 A program according to a specific embodiment of the present invention causes a computer to execute at least a part of each process of the above-described method. The computer referred to here includes not only a host computer but also a PC (personal computer), a communication device for a specific use, and any other information processing device. Such a program is installed or loaded on a computer through various computer-readable recording media such as an optical disk such as a CD-ROM, a magnetic disk, and a semiconductor memory, or by downloading an application or the like via a communication network or the like. can do.
本発明の所定の実施形態によれば、複雑化するネットワーク形態においても、柔軟に利用者を認証し、ネットワークリソースの割当を実現することができる。 According to the predetermined embodiment of the present invention, even in a complicated network configuration, it is possible to flexibly authenticate a user and realize allocation of network resources.
以下、本発明の実施の形態について図面を参照しつつ詳細に説明する。なお、同一の要素には同一の符号を付し、重複する説明を省略することがある。また、以下の実施の形態は、本発明を説明するための例示であり、本発明をその実施の形態のみに限定する趣旨ではない。さらに、本発明は、その要旨を逸脱しない限り、さまざまな変形が可能である。 Hereinafter, embodiments of the present invention will be described in detail with reference to the drawings. Note that the same components are denoted by the same reference numerals, and redundant description may be omitted. The following embodiments are exemplifications for describing the present invention, and are not intended to limit the present invention to only the embodiments. Further, the present invention can be variously modified without departing from the gist thereof.
[第1の実施形態]
図1は、本発明の一実施形態に係るアクセス管理システム1を含むネットワーク構成の一例を示す概略図である。同図に示すとおり、本実施形態において、アクセス管理システム1は、単体のエッジ装置10により構成される。
[First Embodiment]
FIG. 1 is a schematic diagram illustrating an example of a network configuration including an
エッジ装置10は、認証機能を持つハードウェアアプライアンスであり、ネットワーク通信経路に設置することで、ネットワーク内部からのアクセスに対する認証ゲートウェイとして機能し、認証済みの通信を通過させ、それ以外の通信を遮断する。
The
図1に示す実施例において、エッジ装置10は、少なくとも2つのネットワークポート101,102を備える。一方のネットワークポート101は第1のネットワークN1に接続され、他方のネットワークポート102は第2のネットワークN2に接続される。
In the embodiment shown in FIG. 1, the
認証サーバ30は、アカウント管理と認証の許可または拒否を判断するためのサーバ装置である。図1において、認証サーバ30は、サーバ50側の第2のネットワークN2内に設置された場合が図示されているが、これに限られず、認証サーバ30は、クライアント40側の第1のネットワークN1内に設置されていてもよい。
The
クライアント40は、第1のネットワークN1内に位置するクライアント装置である。例えば、PC(パーソナルコンピュータ)、ノート型PC、タブレット端末、スマートフォン、携帯情報端末(PDA)、その他任意の情報機器により構成され得る。
The
サーバ50は、第1のネットワークN1の外部に位置するサーバコンピュータなど、第2のネットワークN2内に位置する任意のコンピュータである。
The
例えば、本アクセス管理システム1を大学の構内で用いる場合を例示すると、クライアント40は学生等が使用するPC等の端末装置であり、第1のネットワークN1は大学構内のLANなどである。エッジ装置10は、大学の構内LANから大学外部のネットワークへの通信経路上に設置される。学生が、構内LANに接続したクライアント40から、大学外部のネットワーク(第2のネットワークN2に相当する)に接続されるウェブサーバなどのサーバ50にアクセスしようとするとき、エッジ装置10は、クライアント40とサーバ50間の通信パケットを制御し、認証済みのクライアント40からの通信を通過させ、それ以外の通信、すなわち、認証していないクライアント40からサーバ50への通信を遮断する。
For example, when the
次に、図1を参照して、エッジ装置10の内部構成の概略について説明する。
Next, an outline of the internal configuration of the
エッジ装置10は、パケットの転送処理を行うスイッチ110と、スイッチ110の動作を制御するコントローラ120と、クライアント40がユーザID及びパスワードの入力操作等を行う認証インタフェース130とを含んで構成される。
The
エッジ装置10は、例えば、オープンフロー(OpenFlow)プロトコルを使ってパケットの制御を実現する。このとき、スイッチ110とコントローラ120は、いわゆるオープンフロースイッチ及びオープンフローコントローラにより構成される。しかしながら、エッジ装置10はオープンフロープロトコルによって構成されるものに限定されるものではなく、スイッチ110とコントローラ120もそれぞれ、オープンフロースイッチ及びオープンフローコントローラに限定されるものではない。
The
スイッチ110は、いわゆるネットワークスイッチとしての機能を備えるものであり、コンピュータネットワークにおいて通信の接続先を切り替えることができる。スイッチ110は、ハードウェアないしソフトウェアのいずれによっても構成可能である。一般に、ソフトウェアスイッチの方が柔軟に構成可能であるのに対し、ハードウェアスイッチの方は処理が高速に行われる。
The
また、本実施形態において、スイッチ110は、パケットの取り扱いルールを定義したテーブル115を持ち、テーブル115に定義されたルールに従って、パケットの転送や破棄等の操作が行われる。なお、テーブル115に定義された個々のルールは、エントリと呼ばれることがある。
Further, in the present embodiment, the
例えば、スイッチ110は、パケットを受信すると、受信したパケットのヘッダ情報等を参照して、受信パケットに適合するルールを持つエントリをテーブル115から検索する。適合するエントリがあれば、受信パケットに対して、当該エントリに記述された処理内容を実施する。
For example, upon receiving a packet, the
テーブル115には、例えば、あるノードから別のノードへの通信単位でパケットの取り扱いに関するルールがエントリとして定義されている。本実施形態では、個々のクライアント40毎に、エントリが生成される。各エントリは、パケットヘッダと照合するためのヘッダフィールドと、通信に関する統計情報を記録するための統計情報フィールドと、パケットの転送や破棄等の処理内容を定義するためのアクションフィールドとを含む。
In the table 115, for example, rules regarding handling of packets are defined as entries in communication units from a certain node to another node. In the present embodiment, an entry is generated for each
コントローラ120は主に、テーブル115の初期設定や更新処理を行う。例えば、スイッチ110及びその他のコンポーネントからの処理依頼に基づいてテーブル115にルールを追加ないし削除等することによって、更新処理が行われる。なお、その他のコンポーネントとは、例えば認証インタフェース130などを含む。
The
認証インタフェース130は、クライアント40に対してユーザID及びパスワード入力等の認証用のインタフェースを提供する。また、認証インタフェース130は、クライアント40から入力された情報をもとに認証サーバ30に問い合わせを行う。その後、認証結果に従って、コントローラ120にテーブル115を更新するよう通知する。
The
なお、本実施形態は、スイッチ110と、コントローラ120と、認証インタフェース130とを、物理的に1つの筐体内に収容したエッジ装置10として構成し、エッジ装置10を単体で利用するだけで、アクセス管理を行えるようにしたことに特徴を有する。例えば、エッジ装置10を無線アクセスポートに取り付けるだけで、アクセス管理を行うことができる。このとき、スイッチ110をソフトウェアスイッチにより構成すれば、エッジ装置10をチップ化することも可能となり、より低コストでアクセス管理システムを構成することができる。
In the present embodiment, the
次に、本実施形態におけるアクセス管理処理の流れを説明する。 Next, the flow of an access management process according to the present embodiment will be described.
図2は、本実施形態におけるアクセス管理処理の流れの一例を示すフローチャートである。第1のネットワークN1内に位置するクライアント40が、第1のネットワークN1の外部に位置するサーバ50にアクセスしようとするとき、その通信経路上に設置されたエッジ装置10のスイッチ110が、クライアント40からサーバ50への通信パケットを受信する(ステップS21)。
FIG. 2 is a flowchart illustrating an example of the flow of an access management process according to the present embodiment. When the
スイッチ110は、通信パケットを受信したことに応答して、テーブル115を参照し、クライアント40が認証済みであるか否かを判別する(ステップS22)。具体的には、テーブル115に記録されているエントリを参照して、クライアント40に関するエントリが登録されていれば、当該エントリに定義されている処理内容に沿って処理が行われる。図2に記載の実施例では、クライアント40が認証済みの場合(ステップS22:YES)、テーブル115に登録されているエントリに従って、サーバ50へのアクセスが許可され、サーバ50に接続される(ステップS26)。
In response to receiving the communication packet, the
他方、クライアント40が認証済みでなく、クライアント40に関するエントリが登録されていない場合(ステップS22:NO)、スイッチ110は、クライアント40を認証インタフェース130に接続し、認証インタフェース130においてクライアント40の認証処理が行われる(ステップS23)。
On the other hand, if the
認証インタフェース130は、例えば、ID及びパスワードを入力させるための画面をクライアント40に表示させ、クライアント40のユーザが入力した情報を受信する。認証インタフェース130は、クライアント40から受信したユーザ情報を認証サーバ30に転送し、認証サーバ30に認証処理を実行させる。
The
認証インタフェース130は、認証サーバ30から受け取った認証結果に基づいて、クライアント40からサーバ50への通信を許可するか否かを判断する。認証インタフェース130は、通信を許可すると判断したとき(ステップS24:YES)、コントローラ120に対して、クライアント40に関するエントリをテーブル115に追加するよう通知する。コントローラ120は、当該通知に応答して、クライアント40に関するエントリをテーブル115に追加する(ステップS25)。その後、認証が許可されたクライアント40は、テーブル115に登録されているエントリに従って、サーバ50へのアクセスが許可され、サーバ50に接続される(ステップS26)。
The
また、認証インタフェース130は、ステップS24において、クライアント40から入力されたユーザ情報に誤りがある等の理由により、通信を許可しないと判断したとき(ステップS24:NO)、エッジ装置10が受信した通信パケットが破棄され、クライアント40からサーバ50へのアクセスが拒否される。
When the
このように、未認証のクライアント40がサーバ50へアクセスしようとするとき、まずエッジ装置10の認証インタフェース130にアクセスし認証処理を行う。この際、ユーザID及びパスワード等の入力された認証情報をもとにエッジ装置10が認証サーバ30に認証処理を依頼する。認証されたクライアント40またはすでに認証済みのクライアント40からの通信は、エッジ装置10が遮断することなくサーバ50へのアクセスが可能になる。
As described above, when an
次に、図3乃至図5を参照して、本実施形態において、クライアントX40xからサーバA50aへの通信に対して実施される処理の概略を説明する。
Next, an outline of processing performed for communication from the client X 40x to the
図3は、本実施形態において、未認証のクライアントX40xからの通信に対して行われる処理の概略図である。 FIG. 3 is a schematic diagram of processing performed for communication from an unauthenticated client X40x in the present embodiment.
初期状態、すなわち、認証済みのクライアントが1つも存在しない状態において、エッジ装置10のテーブル115には、「すべてのパケットを破棄」するというエントリが登録されている。
In the initial state, that is, in a state where no authenticated client exists, an entry of “discard all packets” is registered in the table 115 of the
このとき、未認証のクライアントX40xからサーバA50aへの接続要求パケットをエッジ装置10が受信すると、当該エッジ装置10内のスイッチ110は、テーブル115を検索する。ここでは、「すべてのパケットを破棄」というエントリが適用されるので、エントリに従ってパケットを破棄し、クライアントX40xとサーバA50a間の接続確立に失敗する(S31)。
At this time, when the
図4は、本実施形態において、未認証のクライアントX40xの認証を許可する際の処理の概略図である。 FIG. 4 is a schematic diagram of a process when permitting authentication of an unauthenticated client X40x in the present embodiment.
まず、クライアントX40xがエッジ装置10の認証インタフェース130にアクセスし、ユーザID及びパスワード等のユーザ情報を入力すると(S41)、認証インタフェース130は認証サーバ30に対して認証処理を依頼する(S42)。認証インタフェース130は、認証サーバ30から取得した情報をもとに通信許可と判断した場合、コントローラ120に対して「クライアントXの通信を許可」するというエントリをテーブル115に追加する要求を通知する(S43)。コントローラ120は通知された要求にしたがって、「クライアントXの通信を許可」するというエントリをスイッチ110のテーブル115に追加する(S44)。
First, when the client X 40x accesses the
なお、S41におけるクライアント40から認証インタフェース130へのアクセスは、クライアント40が認証インタフェース130のURLを直接指定することで可能である。また、「ウェブサイトへアクセスしようとしているパケットの宛先を認証インタフェース130へ変更」するというエントリをテーブル115に予め定義しておけば、クライアント40が第1のネットワークN1の外部に位置するウェブサーバにアクセスしようとしたとき、例えば、エッジ装置10内のスイッチ110がHTTP通信のパケットを受信したときに、当該エントリのルールが適用され、強制的に認証インタフェース130へ誘導させることが可能である。また、クライアント40がエッジ装置10を介してLAN(ローカルエリアネットワーク)やWiFi(Wireless Fidelity)にアクセスしようとしたとき等に、強制的に認証インタフェース130に接続させるものとしてもよい。
The
図5は、本実施形態において、認証済みのクライアントX40xからの通信に対して行われる処理の概略図である。 FIG. 5 is a schematic diagram of processing performed for communication from the authenticated client X40x in the present embodiment.
認証済みのクライアントX40xからサーバA50aへの接続要求パケットをエッジ装置10が受信すると、当該エッジ装置10内のスイッチ110は、テーブル115を検索し、受信したパケットに適合するルールを持つエントリを検索する。その結果、図5に示す例では、「クライアントXの通信を許可」というエントリが適用される。したがって、パケットはサーバA50aへ転送されクライアントX40xとサーバA50a間の接続が確立する(S51)。
When the
なお、本実施形態において、テーブル115を書き換えたり、初期化したりすることによって、認証済みのクライアント40を、再び認証が必要な状態に戻すことができる。例えば、所定期間ごとにテーブル115を初期化すれば、初期化後最初のクライアント40からのアクセスに対して、認証処理を要するものとすることができる。
In this embodiment, by rewriting or initializing the table 115, the authenticated
第1の実施形態によれば、既存のネットワーク環境にエッジ装置10を導入することにより、高機能なアクセス管理を実現することができる。例えば、会社の会議室や学校、図書館、病院など、様々なネットワーク環境に適用可能である。
According to the first embodiment, high-performance access management can be realized by introducing the
また、第1の実施形態によれば、例えば、ユーザIDとパスワード等により認証された正当なユーザにネットワークの利用を許可することができる。また、ユーザ毎に個別にエントリを設けることができるので、利用可能なネットワークリソースをユーザ毎に限定できるなど、個人ベースでアクセスポリシーを組み込むことができる。さらに、いつ誰が利用していたのかを記録することにより、アクセスの履歴を管理できる。すなわち、ユーザ認証をベースにクライアントに最適なネットワークリソースの割当をSDN(Software Defined Network)ベースで制御することができる。 Further, according to the first embodiment, for example, a legitimate user authenticated by a user ID and a password can be permitted to use the network. In addition, since an entry can be provided for each user, an access policy can be incorporated on an individual basis, such as limiting available network resources for each user. In addition, by recording when and by whom, access history can be managed. That is, it is possible to control the allocation of the network resources optimal for the client based on the user authentication based on the SDN (Software Defined Network).
[第2の実施形態]
図6は、本発明の他の実施形態に係るアクセス管理システム1’を含むネットワーク構成の一例を示す概略図である。同図に示すとおり、本実施形態において、アクセス管理システム1’は、エッジ装置10と制御装置20とを含んで構成される。すなわち、第1の実施形態は、エッジ装置10を単体で利用する構成であったのに対し、第2の実施形態は、エッジ装置10と制御装置20とを連携させる構成である。図6は、エッジ装置10が1つの場合を例示しているが、アクセス管理システム1’は、1または複数のエッジ装置10により構成可能であり、1つの制御装置20で1または複数のエッジ装置10をまとめて一元的に管理することができる。
[Second embodiment]
FIG. 6 is a schematic diagram illustrating an example of a network configuration including an
本実施形態において、制御装置20は、第1の実施形態におけるエッジ装置10に内蔵されたコントローラ120及び認証インタフェース130に対応する機能を、1台のハードウェアアプライアンスにしたものであり、ネットワークを介してエッジ装置10内のスイッチ110と接続される。このとき、制御装置20は、クライアント40側の第1のネットワークN1またはサーバ50側の第2のネットワークN2のいずれの側に接続されてもよい。
In the present embodiment, the
また、本実施例において、制御装置20は、オープンフロー(OpenFlow)プロトコルを使って、ネットワークを介して接続されたエッジ装置10の動作を制御する機能を持つものとする。しかしながら、制御装置20とエッジ装置10は、オープンフロープロトコルによって制御されるものに限定されるものではない。
Further, in the present embodiment, the
次に、図6を参照して、本実施形態におけるエッジ装置10及び制御装置20の内部構成の概略について説明する。
Next, with reference to FIG. 6, an outline of the internal configuration of the
本実施形態において、エッジ装置10は少なくともスイッチ110を備える。本実施形態において、エッジ装置10は、コントローラ120及び認証インタフェース130を備える必要はない。しかし、図6に示す実施例では、エッジ装置10として、第1の実施形態と同じように、スイッチ110の他に、コントローラ120と認証インタフェース130とを物理的に1つの筐体に収容したものを採用した上で、コントローラ120と認証インタフェース130を無効状態としている。これにより、第1の実施形態と同じエッジ装置10を、第1の実施形態で説明したような単体でアクセス管理する用途のみならず、第2の実施形態で説明するような制御装置20と連携してアクセス管理する用途にも用いることができる。
In the present embodiment, the
制御装置20は、エッジ装置10内のスイッチ110を制御するコントローラ220と、クライアント40がユーザID及びパスワードの入力操作等を行う認証インタフェース230とを含んで構成される。図6に示す実施例において、制御装置20は、コントローラ220と認証インタフェース230とを、物理的に1つの筐体に収容して構成される。
The
コントローラ220は、第1の実施形態におけるエッジ装置10内のコントローラ120に対応する機能を持つが、本実施形態ではさらに、制御装置20に接続された1又は複数のエッジ装置10を同時に制御することができる。
The
認証インタフェース230は、第1の実施形態におけるエッジ装置10内の認証インタフェース130に対応する機能を持つが、制御装置20に接続された1又は複数のエッジ装置10の配下にあるクライアント40からの認証を処理することができる。
The
本実施形態においても第1の実施形態と同じように、エッジ装置10は認証していないクライアント40からサーバ50への通信を遮断する。クライアント40は制御装置20の認証インタフェース230にアクセスし認証処理を行う。この際、ユーザID及びパスワード等の入力された認証情報をもとにコントローラ220が認証サーバ30に認証処理を依頼する。認証されたクライアント40またはすでに認証済みのクライアント40からの通信は、エッジ装置10が遮断することなくサーバ50へのアクセスが可能になる。
In the present embodiment, similarly to the first embodiment, the
次に、図7乃至図9を参照して、本実施形態において、クライアントX40xからサーバA50aへの通信に対して実施される処理の概略を説明する。なお、本実施形態におけるアクセス管理処理の流れは、図2として示したフローチャート及びその説明のうち、コントローラ120及び認証インタフェース130をそれぞれ、コントローラ220及び認証インタフェース230に読み替えたものであるから、ここでは説明を省略する。
Next, an outline of processing performed for communication from the client X 40x to the
図7は、本実施形態において、未認証のクライアントX40xからの通信に対して行われる処理の概略図である。 FIG. 7 is a schematic diagram of a process performed for communication from an unauthenticated client X40x in the present embodiment.
同図に示す例において、初期状態のエッジ装置10のテーブル115には、「制御装置20との通信を許可」と「すべてのパケットを破棄」という2つのエントリが登録されている。このとき、認証済みのクライアント40は1つも存在しない状態であるが、どのクライアント40からも制御装置20へのアクセスは可能である。
In the example shown in the figure, two entries “permit communication with the
このとき、未認証のクライアントX40xからサーバA50aへの接続要求パケットをエッジ装置10が受信すると、当該エッジ装置10のスイッチ110は、テーブル115を検索する。ここでは、「すべてのパケットを破棄」というエントリが適用され、エントリに従ってパケットを破棄し、クライアントX40xとサーバA50a間の接続確立に失敗する(S71)。
At this time, when the
図8は、本実施形態において、未認証のクライアントX40xの認証を許可する際の処理の概略図である。 FIG. 8 is a schematic diagram of a process when permitting authentication of an unauthenticated client X40x in the present embodiment.
クライアントX40xが制御装置20の認証インタフェース230にアクセスし、ユーザID及びパスワード等の認証情報を入力すると(S81)、認証インタフェース230は認証サーバ30に対して認証処理を依頼する(S82)。認証インタフェース230は、認証サーバ30から取得した情報をもとに通信許可と判断した場合、コントローラ220に対して「クライアントXの通信を許可」するというエントリをエッジ装置10内のスイッチ110のテーブル115に追加する要求を通知する(S83)。コントローラ220は通知された要求にしたがって、「クライアントXの通信を許可」するというエントリをスイッチ110のテーブル115に追加する(S84)。
When the client X 40x accesses the
なお、S81におけるクライアント40から認証インタフェース230へのアクセスは、クライアント40が認証インタフェース230のURLを直接指定することで可能である。また、クライアント40が、第1のネットワークN1の外部に位置するサーバにアクセスしようとしたときや、エッジ装置10を介してLANやWiFiにアクセスしようとしたとき等に、認証インタフェース230に接続させるものとしてもよい。
The
図9は、本実施形態において、認証済みのクライアントX40xからの通信に対して行われる処理の概略図である。 FIG. 9 is a schematic diagram of processing performed for communication from the authenticated client X40x in the present embodiment.
認証済みのクライアントX40xからサーバA50aへの接続要求パケットをエッジ装置10が受信すると、受信したエッジ装置10内のスイッチ110はテーブル115を検索し、受信したパケットに適合するルールを持つエントリを検索する。その結果、図9に示す例では、「クライアントXの通信を許可」というエントリが適用される。したがって、パケットはサーバA50aへ転送されクライアントX40xとサーバA50a間の接続が確立する(S91)。
When the
第2の実施形態によれば、第1の実施形態と同様の効果の他に、第1の実施形態よりも多数のクライアント40のアクセスを管理することができる。すなわち、第2の実施形態によれば、1つの制御装置20ないしコントローラと認証インタフェースが、1又は複数のエッジ装置10のスイッチ110を管理することができるので、第1のネットワークN1に接続されるクライアントの数に応じてエッジ装置10を増減させることにより、柔軟に多数のクライアント40のアクセスを管理することができる。
According to the second embodiment, in addition to the same effects as in the first embodiment, it is possible to manage access of a larger number of
なお、本発明は、上記した実施の形態に限定されるものではなく、本発明の要旨を逸脱しない範囲内において、他の様々な形で実施することができる。このため、上記実施形態はあらゆる点で単なる例示にすぎず、限定的に解釈されるものではない。例えば、上述の各処理ステップは処理内容に矛盾を生じない範囲で処理ステップの一部を省略したり、各処理ステップの順番を任意に変更して又は並列に実行することができる。 It should be noted that the present invention is not limited to the above-described embodiment, and can be implemented in other various forms without departing from the gist of the present invention. Therefore, the above-described embodiment is merely an example in all aspects, and is not to be construed as limiting. For example, each of the above-described processing steps can be partially omitted, or the processing steps can be arbitrarily changed or executed in parallel as long as the processing contents do not conflict.
例えば、上述の実施形態では、コントローラ120または220がエッジ装置10内のスイッチ110を制御する例を示したが、コントローラ120または220が制御するスイッチはこれに限られず、ネットワーク上の種々のスイッチを制御することができる。例えば、パブリッククラウドやプライベートクライド内のオープンフロースイッチやテーブルを制御してもよい。これにより、ユーザのプロファイルをベースとしてクライアントやデバイスを基点としてオンプレミス(スイッチや仮想サーバ)、プライベートクラウド、パブリッククラウドからキャリアクラスまで、一貫したフロー制御を実現することができる。
For example, in the above embodiment, the example in which the
1,1’:アクセス管理システム
10:エッジ装置
20:制御装置
30:認証サーバ
40:クライアント
50:サーバ
101,102:ネットワークポート
110:スイッチ
115:テーブル
120,220:コントローラ
130,230:認証インタフェース
N1,N2:ネットワーク
1, 1 ': access management system 10: edge device 20: control device 30: authentication server 40: client 50:
Claims (6)
前記クライアントの認証処理を行うための認証インタフェースと、
前記クライアントから、第1のネットワーク外部のサーバへの通信パケット受信するオープンフロースイッチであって、前記クライアントが未認証のとき、前記クライアントを前記認証インタフェースに接続し、前記クライアントが認証済みのとき、前記クライアントを前記サーバに接続する、オープンフロースイッチと、
前記認証インタフェースによる認証処理の結果、前記認証インタフェースに接続されたクライアントの認証が許可された場合に、前記認証インタフェースからの指示を受信するオープンフローコントローラであって、前記指示に基づいて、前記クライアントが認証済みであることを記録する、オープンフローコントローラと、
を備え、
前記認証インタフェースは、前記オープンフロースイッチにより当該認証インタフェースに接続されたクライアントの認証処理を行い、
前記オープンフロースイッチは、前記パケットの取り扱いに関するルールであるエントリを定義したテーブルを備え、前記エントリに基づいて前記パケットを取り扱い、
前記オープンフローコントローラは、前記指示に基づいて、前記認証が許可されたクライアントに関する前記エントリを前記テーブルに追加し、
前記オープンフロースイッチは、前記エントリに基づき、前記クライアントが認証済みであるか否かを判断する、
アクセス管理システム。 An access management system for controlling a packet received from a client in a first network according to an OpenFlow protocol,
An authentication interface for performing authentication processing of the client;
From the client, an open flow switch for communicating packets received on the first network external server, when the client is unauthenticated, and connecting the client to the authentication interface, the client when authenticated, An OpenFlow switch connecting the client to the server;
An OpenFlow controller that receives an instruction from the authentication interface when the authentication of the client connected to the authentication interface is permitted as a result of the authentication processing by the authentication interface, wherein the client, based on the instruction, An OpenFlow controller that records that has been authenticated,
With
The authentication interface performs an authentication process of a client connected to the authentication interface by the OpenFlow switch,
The OpenFlow switch includes a table that defines an entry that is a rule regarding the handling of the packet, and handles the packet based on the entry.
The open flow controller, based on the instruction, add the entry for the client in which the authentication is permitted in said table,
The OpenFlow switch determines whether the client has been authenticated based on the entry,
Access control system.
前記認証インタフェース及び前記オープンフローコントローラが、前記複数のオープンフロースイッチをまとめて管理することを特徴とする、請求項1記載のアクセス管理システム。 Comprising a plurality of the OpenFlow switches,
The authentication interface and the open flow controller, characterized in that collectively manages the plurality of open flow switch, according to claim 1 Symbol placement access management system.
前記認証インタフェース及び前記オープンフローコントローラを物理的に1つの筐体に備えた制御装置を備え、
前記制御装置が、前記1又は複数のエッジ装置が備えるオープンフロースイッチをまとめて管理することを特徴とする、請求項1記載のアクセス管理システム。 An edge device, wherein the OpenFlow switch, the authentication interface, and the OpenFlow controller are physically provided in one housing, wherein the authentication interface and the OpenFlow controller are in an invalid state. Comprises one or more,
A control device physically including the authentication interface and the OpenFlow controller in one housing,
Wherein the controller, the one or more, characterized in that collectively manages the open flow switch edge device comprises, according to claim 1 Symbol placement access management system.
前記オープンフロースイッチが、前記第1のネットワーク内のクライアントから、第1のネットワーク外部のサーバへの通信パケット受信すること、
前記クライアントが未認証のとき、前記オープンフロースイッチが、前記クライアントを前記認証インタフェースに接続すること、
前記クライアントが認証済みのとき、前記オープンフロースイッチが、前記クライアントを前記サーバに接続すること、
前記認証インタフェースが、前記オープンフロースイッチにより当該認証インタフェースに接続されたクライアントの認証処理を行うこと、
前記認証インタフェースによる認証処理の結果、前記認証インタフェースに接続されたクライアントの認証が許可された場合に、前記オープンフローコントローラが、前記認証インタフェースからの指示を受信すること、
前記オープンフローコントローラが、前記指示に基づいて、前記クライアントが認証済みであることを記録すること、
を含み、
前記オープンフロースイッチは、前記パケットの取り扱いに関するルールであるエントリを定義したテーブルを備え、前記エントリに基づいて前記パケットを取り扱い、
前記オープンフローコントローラは、前記指示に基づいて、前記認証が許可されたクライアントに関する前記エントリを前記テーブルに追加し、
前記オープンフロースイッチは、前記エントリに基づき、前記クライアントが認証済みであるか否かを判断する、
方法。 In an access management system including an OpenFlow switch, an authentication interface, and an OpenFlow controller, a client manages access to a server outside a first network, and opens a packet received from a client in the first network. A method of controlling according to a flow protocol,
The OpenFlow switch receives a communication packet from a client in the first network to a server outside the first network;
When the client is unauthenticated, the OpenFlow switch connects the client to the authentication interface;
When the client is authenticated, the OpenFlow switch connects the client to the server;
The authentication interface performs an authentication process of a client connected to the authentication interface by the OpenFlow switch ,
As a result of the authentication process by the authentication interface, when the authentication of the client connected to the authentication interface is permitted, the OpenFlow controller receives an instruction from the authentication interface,
The OpenFlow controller records, based on the instruction, that the client has been authenticated,
Including
The OpenFlow switch includes a table that defines an entry that is a rule regarding the handling of the packet, and handles the packet based on the entry.
The open flow controller, based on the instruction, add the entry for the client in which the authentication is permitted in said table,
The OpenFlow switch determines whether the client has been authenticated based on the entry,
Method.
前記クライアントから、第1のネットワーク外部のサーバへの通信パケット受信させること、
前記クライアントが未認証のとき、前記クライアントを認証インタフェースに接続すること、
前記クライアントが認証済みのとき、前記クライアントを前記サーバに接続すること、
前記認証インタフェースによる当該認証インタフェースに接続されたクライアントの認証処理の結果、当該認証インタフェースに接続されたクライアントの認証が許可された場合に、前記認証インタフェースからの指示に基づいて、前記クライアントが認証済みであることを記録すること、
前記パケットの取り扱いに関するルールであるエントリに基づいて、前記パケットを取り扱うこと、
前記指示に基づいて、前記認証が許可されたクライアントに関する前記エントリを、前記エントリを定義するテーブルに追加すること、
前記エントリに基づき、前記クライアントが認証済みであるか否かを判断すること、
を実行させるためのプログラム。
A program for causing a computer to control a packet received from a client in a first network according to an OpenFlow protocol,
Receiving a communication packet from the client to a server outside the first network;
Connecting the client to an authentication interface when the client is unauthenticated;
Connecting the client to the server when the client is authenticated;
As a result of the authentication processing of the client connected to the authentication interface by the authentication interface, if the authentication of the client connected to the authentication interface is permitted, the client is authenticated based on an instruction from the authentication interface. Recording that
Handling the packet based on an entry that is a rule for handling the packet;
Adding the entry for the client authorized for authentication based on the instruction to a table defining the entry;
Determining whether the client is authenticated based on the entry;
A program for executing
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2015145741A JP6649002B2 (en) | 2015-07-23 | 2015-07-23 | Access management system and access management method |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2015145741A JP6649002B2 (en) | 2015-07-23 | 2015-07-23 | Access management system and access management method |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2017028522A JP2017028522A (en) | 2017-02-02 |
JP6649002B2 true JP6649002B2 (en) | 2020-02-19 |
Family
ID=57946695
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2015145741A Active JP6649002B2 (en) | 2015-07-23 | 2015-07-23 | Access management system and access management method |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6649002B2 (en) |
Family Cites Families (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP5059473B2 (en) * | 2007-04-18 | 2012-10-24 | 株式会社日立製作所 | Network system, management computer and user terminal |
JP2010187314A (en) * | 2009-02-13 | 2010-08-26 | Hitachi Cable Ltd | Network relay apparatus with authentication function, and terminal authentication method employing the same |
WO2014024481A1 (en) * | 2012-08-07 | 2014-02-13 | Nec Corporation | Network system, authentication apparatus, subnet deciding method and program |
JP5921460B2 (en) * | 2013-02-20 | 2016-05-24 | アラクサラネットワークス株式会社 | Authentication method, transfer device, and authentication server |
JP6345092B2 (en) * | 2014-11-25 | 2018-06-20 | エイチ・シー・ネットワークス株式会社 | Communications system |
-
2015
- 2015-07-23 JP JP2015145741A patent/JP6649002B2/en active Active
Also Published As
Publication number | Publication date |
---|---|
JP2017028522A (en) | 2017-02-02 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10904240B2 (en) | System and method of verifying network communication paths between applications and services | |
US9571523B2 (en) | Security actuator for a dynamically programmable computer network | |
US10728246B2 (en) | Service driven split tunneling of mobile network traffic | |
US11750614B2 (en) | Methods and systems for dynamic creation of access control lists | |
US11178104B2 (en) | Network isolation with cloud networks | |
US20190020689A1 (en) | Network privilege manager for a dynamically programmable computer network | |
US10129117B2 (en) | Conditional policies | |
US11032247B2 (en) | Enterprise mobility management and network micro-segmentation | |
US9444842B2 (en) | Security mediation for dynamically programmable network | |
JP5943006B2 (en) | COMMUNICATION SYSTEM, CONTROL DEVICE, COMMUNICATION METHOD, AND PROGRAM | |
US20180198791A1 (en) | Systems and methods for cloud-based service function chaining using security assertion markup language (saml) assertion | |
CN116601919A (en) | Dynamic optimization of client application access via a Secure Access Service Edge (SASE) Network Optimization Controller (NOC) | |
US10171504B2 (en) | Network access with dynamic authorization | |
JPWO2012086816A1 (en) | COMMUNICATION SYSTEM, CONTROL DEVICE, POLICY MANAGEMENT DEVICE, COMMUNICATION METHOD, AND PROGRAM | |
US11240207B2 (en) | Network isolation | |
US11956221B2 (en) | Encrypted data packet forwarding | |
JP2023527863A (en) | Automatic IOT Device Identification Using Statistical Payload Fingerprinting | |
EP3262802B1 (en) | Automatic discovery and provisioning of multi-chassis etherchannel peers | |
JP6649002B2 (en) | Access management system and access management method | |
US20240039956A1 (en) | Identity-based policy enforcement in wide area networks |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20180426 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20190410 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20190416 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20190617 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20190820 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20191021 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20191223 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20200116 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6649002 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |