JP6649002B2 - Access management system and access management method - Google Patents

Access management system and access management method Download PDF

Info

Publication number
JP6649002B2
JP6649002B2 JP2015145741A JP2015145741A JP6649002B2 JP 6649002 B2 JP6649002 B2 JP 6649002B2 JP 2015145741 A JP2015145741 A JP 2015145741A JP 2015145741 A JP2015145741 A JP 2015145741A JP 6649002 B2 JP6649002 B2 JP 6649002B2
Authority
JP
Japan
Prior art keywords
client
authentication
authentication interface
openflow
entry
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2015145741A
Other languages
Japanese (ja)
Other versions
JP2017028522A (en
Inventor
進 西武
進 西武
秋成 上田
秋成 上田
Original Assignee
株式会社ネットスプリング
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 株式会社ネットスプリング filed Critical 株式会社ネットスプリング
Priority to JP2015145741A priority Critical patent/JP6649002B2/en
Publication of JP2017028522A publication Critical patent/JP2017028522A/en
Application granted granted Critical
Publication of JP6649002B2 publication Critical patent/JP6649002B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明はアクセス管理技術に関する。   The present invention relates to access management technology.

近年、クラウドサービスが本格的に利用され、ネットワークでの利用形態が変化してきている。自社運用や社内運用といったオンプレミスでの各種サーバへのアクセスを主としたものから、各種パブリックサービスの利用も含めた、プライベートやパブリッククラウドへのアクセスに変化してきている。ネットワークトポロジー的には、ルータ等のポリシーベースのネットワークから、スイッチベースのVLAN(Virtual LAN)化が進んでいる。また、サーバも仮想化が進展し、ネットワーク自体の仮想化もSDN(Software Defined Network)をベースに始まっている。このような複雑化するネットワーク形態を制御するための技術として、オープンフロー(OpenFlow)などが提案されている(特許文献1参照)。   2. Description of the Related Art In recent years, cloud services have been used in earnest, and usage forms in networks have changed. Access from various types of servers on-premises, such as in-house and in-house operations, has been changed to access to private and public clouds, including the use of various public services. In terms of network topology, a switch-based VLAN (Virtual LAN) has been developed from a policy-based network such as a router. In addition, virtualization of servers has progressed, and virtualization of the network itself has begun based on SDN (Software Defined Network). As a technique for controlling such a complicated network form, OpenFlow (OpenFlow) and the like have been proposed (see Patent Document 1).

国際公開第2012/086816号International Publication No. 2012/086816

このように複雑化するネットワーク形態においても、利用者を認証し、ネットワークリソースを割り当てるなどのアクセスを管理することが求められる。   Even in such a complicated network configuration, it is required to authenticate users and manage access such as allocating network resources.

本発明はかかる実情に鑑みてなされたものであり、複雑化するネットワーク形態においても、柔軟に利用者を認証し、ネットワークリソースの割当を実現することのできるアクセス管理システム等を提供しようとするものである。   The present invention has been made in view of such circumstances, and aims to provide an access management system or the like that can flexibly authenticate users and realize network resource allocation even in a complicated network configuration. It is.

本発明の所定の実施形態に係るアクセス管理システムは、第1のネットワーク内のクライアントから、第1のネットワーク外部のサーバへの通信パケット受信するスイッチであって、クライアントが未認証のとき、クライアントを認証インタフェースに接続し、クライアントが認証済みのとき、クライアントをサーバに接続する、スイッチと、クライアントの認証処理を行うための認証インタフェースと、認証インタフェースによる認証処理の結果、認証が許可された場合に、認証インタフェースからの指示を受信するコントローラであって、指示に基づいて、クライアントが認証済みであることを記録する、コントローラと、を備える。   An access management system according to a predetermined embodiment of the present invention is a switch that receives a communication packet from a client in a first network to a server outside the first network. Connects to the authentication interface, connects the client to the server when the client is authenticated, a switch, an authentication interface for performing client authentication processing, and when authentication is permitted as a result of authentication processing by the authentication interface. A controller that receives an instruction from the authentication interface, and that records that the client has been authenticated based on the instruction.

また、本発明の所定の実施形態に係るアクセス管理方法は、スイッチと、認証インタフェースと、コントローラとを備えるシステムにおいて、第1のネットワーク内のクライアントから第1のネットワーク外部のサーバへのアクセスを管理する方法を含む。この方法は、スイッチが、第1のネットワーク内のクライアントから、第1のネットワーク外部のサーバへの通信パケット受信すること、クライアントが未認証のとき、スイッチが、クライアントを認証インタフェースに接続すること、クライアントが認証済みのとき、スイッチが、クライアントをサーバに接続すること、認証インタフェースが、クライアントの認証処理を行うこと、認証インタフェースによる認証処理の結果、認証が許可された場合に、コントローラが、認証インタフェースからの指示を受信すること、コントローラが、指示に基づいて、クライアントが認証済みであることを記録すること、を含み得る。   Further, an access management method according to a predetermined embodiment of the present invention manages access from a client in a first network to a server outside a first network in a system including a switch, an authentication interface, and a controller. Including methods to do. The method comprises: a switch receiving a communication packet from a client in the first network to a server outside the first network; when the client is unauthenticated, the switch connects the client to an authentication interface; When the client has been authenticated, the switch connects the client to the server, the authentication interface performs the client authentication processing, and if the authentication is permitted as a result of the authentication processing by the authentication interface, the controller performs the authentication. Receiving an indication from the interface and the controller recording based on the indication that the client has been authenticated may be included.

本発明の所定の実施形態に係るプログラムは、上述の方法の各処理の少なくとも一部をコンピュータに実行させるものである。ここでいうコンピュータとは、ホストコンピュータのみならず、PC(パーソナルコンピュータ)、特定用途の通信機器、その他任意の情報処理装置を含む。かかるプログラムは、CD−ROM等の光学ディスク、磁気ディスク、半導体メモリなどの各種のコンピュータ読み取り可能な記録媒体を通じて、又は、通信ネットワークなどを介してアプリケーション等をダウンロードすることにより、コンピュータにインストール又はロードすることができる。   A program according to a specific embodiment of the present invention causes a computer to execute at least a part of each process of the above-described method. The computer referred to here includes not only a host computer but also a PC (personal computer), a communication device for a specific use, and any other information processing device. Such a program is installed or loaded on a computer through various computer-readable recording media such as an optical disk such as a CD-ROM, a magnetic disk, and a semiconductor memory, or by downloading an application or the like via a communication network or the like. can do.

本発明の所定の実施形態によれば、複雑化するネットワーク形態においても、柔軟に利用者を認証し、ネットワークリソースの割当を実現することができる。   According to the predetermined embodiment of the present invention, even in a complicated network configuration, it is possible to flexibly authenticate a user and realize allocation of network resources.

第1の実施形態に係るアクセス管理システム1を含むネットワーク構成の一例を示す概略図である。1 is a schematic diagram illustrating an example of a network configuration including an access management system 1 according to a first embodiment. 第1の実施形態におけるアクセス管理処理の流れの一例を示すフローチャートである。5 is a flowchart illustrating an example of a flow of an access management process according to the first embodiment. 第1の実施形態において、未認証のクライアントX40xからの通信に対して行われる処理の概略図である。FIG. 9 is a schematic diagram of a process performed for communication from an unauthenticated client X40x in the first embodiment. 第1の実施形態において、未認証のクライアントX40xの認証を許可する際の処理の概略図である。FIG. 7 is a schematic diagram of a process when permitting authentication of an unauthenticated client X40x in the first embodiment. 第1の実施形態において、認証済みのクライアントX40xからの通信に対して行われる処理の概略図である。FIG. 9 is a schematic diagram of a process performed for communication from an authenticated client X40x in the first embodiment. 第2の実施形態に係るアクセス管理システム1’を含むネットワーク構成の一例を示す概略図である。It is a schematic diagram showing an example of a network configuration including an access management system 1 ′ according to the second embodiment. 第2の実施形態において、未認証のクライアントX40xからの通信に対して行われる処理の概略図である。FIG. 13 is a schematic diagram of a process performed for communication from an unauthenticated client X40x in the second embodiment. 第2の実施形態において、未認証のクライアントX40xの認証を許可する際の処理の概略図である。FIG. 13 is a schematic diagram of a process when permitting authentication of an unauthenticated client X40x in the second embodiment. 第2の実施形態において、認証済みのクライアントX40xからの通信に対して行われる処理の概略図である。FIG. 14 is a schematic diagram of a process performed for communication from an authenticated client X40x in the second embodiment.

以下、本発明の実施の形態について図面を参照しつつ詳細に説明する。なお、同一の要素には同一の符号を付し、重複する説明を省略することがある。また、以下の実施の形態は、本発明を説明するための例示であり、本発明をその実施の形態のみに限定する趣旨ではない。さらに、本発明は、その要旨を逸脱しない限り、さまざまな変形が可能である。   Hereinafter, embodiments of the present invention will be described in detail with reference to the drawings. Note that the same components are denoted by the same reference numerals, and redundant description may be omitted. The following embodiments are exemplifications for describing the present invention, and are not intended to limit the present invention to only the embodiments. Further, the present invention can be variously modified without departing from the gist thereof.

[第1の実施形態]
図1は、本発明の一実施形態に係るアクセス管理システム1を含むネットワーク構成の一例を示す概略図である。同図に示すとおり、本実施形態において、アクセス管理システム1は、単体のエッジ装置10により構成される。
[First Embodiment]
FIG. 1 is a schematic diagram illustrating an example of a network configuration including an access management system 1 according to an embodiment of the present invention. As shown in FIG. 1, in the present embodiment, the access management system 1 is configured by a single edge device 10.

エッジ装置10は、認証機能を持つハードウェアアプライアンスであり、ネットワーク通信経路に設置することで、ネットワーク内部からのアクセスに対する認証ゲートウェイとして機能し、認証済みの通信を通過させ、それ以外の通信を遮断する。   The edge device 10 is a hardware appliance having an authentication function. By installing the edge device 10 on a network communication path, the edge device 10 functions as an authentication gateway for access from the inside of the network, passes authenticated communication, and blocks other communication. I do.

図1に示す実施例において、エッジ装置10は、少なくとも2つのネットワークポート101,102を備える。一方のネットワークポート101は第1のネットワークN1に接続され、他方のネットワークポート102は第2のネットワークN2に接続される。   In the embodiment shown in FIG. 1, the edge device 10 includes at least two network ports 101 and 102. One network port 101 is connected to a first network N1, and the other network port 102 is connected to a second network N2.

認証サーバ30は、アカウント管理と認証の許可または拒否を判断するためのサーバ装置である。図1において、認証サーバ30は、サーバ50側の第2のネットワークN2内に設置された場合が図示されているが、これに限られず、認証サーバ30は、クライアント40側の第1のネットワークN1内に設置されていてもよい。   The authentication server 30 is a server device for determining whether to permit or reject account management and authentication. FIG. 1 illustrates a case where the authentication server 30 is installed in the second network N2 on the server 50 side, but the present invention is not limited thereto. It may be installed inside.

クライアント40は、第1のネットワークN1内に位置するクライアント装置である。例えば、PC(パーソナルコンピュータ)、ノート型PC、タブレット端末、スマートフォン、携帯情報端末(PDA)、その他任意の情報機器により構成され得る。   The client 40 is a client device located in the first network N1. For example, it can be constituted by a PC (personal computer), a notebook PC, a tablet terminal, a smartphone, a personal digital assistant (PDA), or any other information device.

サーバ50は、第1のネットワークN1の外部に位置するサーバコンピュータなど、第2のネットワークN2内に位置する任意のコンピュータである。   The server 50 is any computer located in the second network N2, such as a server computer located outside the first network N1.

例えば、本アクセス管理システム1を大学の構内で用いる場合を例示すると、クライアント40は学生等が使用するPC等の端末装置であり、第1のネットワークN1は大学構内のLANなどである。エッジ装置10は、大学の構内LANから大学外部のネットワークへの通信経路上に設置される。学生が、構内LANに接続したクライアント40から、大学外部のネットワーク(第2のネットワークN2に相当する)に接続されるウェブサーバなどのサーバ50にアクセスしようとするとき、エッジ装置10は、クライアント40とサーバ50間の通信パケットを制御し、認証済みのクライアント40からの通信を通過させ、それ以外の通信、すなわち、認証していないクライアント40からサーバ50への通信を遮断する。   For example, when the access management system 1 is used in a campus of a university, the client 40 is a terminal device such as a PC used by students and the like, and the first network N1 is a LAN in the campus of the university. The edge device 10 is installed on a communication path from a university LAN to a network outside the university. When a student tries to access a server 50 such as a web server connected to a network outside the university (corresponding to the second network N2) from the client 40 connected to the campus LAN, the edge device 10 A communication packet between the client 40 and the server 50 is controlled so that communication from the authenticated client 40 is passed, and other communication, that is, communication from the unauthenticated client 40 to the server 50 is cut off.

次に、図1を参照して、エッジ装置10の内部構成の概略について説明する。   Next, an outline of the internal configuration of the edge device 10 will be described with reference to FIG.

エッジ装置10は、パケットの転送処理を行うスイッチ110と、スイッチ110の動作を制御するコントローラ120と、クライアント40がユーザID及びパスワードの入力操作等を行う認証インタフェース130とを含んで構成される。   The edge device 10 includes a switch 110 for performing a packet transfer process, a controller 120 for controlling the operation of the switch 110, and an authentication interface 130 for the client 40 to input a user ID and a password.

エッジ装置10は、例えば、オープンフロー(OpenFlow)プロトコルを使ってパケットの制御を実現する。このとき、スイッチ110とコントローラ120は、いわゆるオープンフロースイッチ及びオープンフローコントローラにより構成される。しかしながら、エッジ装置10はオープンフロープロトコルによって構成されるものに限定されるものではなく、スイッチ110とコントローラ120もそれぞれ、オープンフロースイッチ及びオープンフローコントローラに限定されるものではない。   The edge device 10 realizes packet control using, for example, an open flow (OpenFlow) protocol. At this time, the switch 110 and the controller 120 are constituted by a so-called OpenFlow switch and an OpenFlow controller. However, the edge device 10 is not limited to the one configured by the OpenFlow protocol, and the switch 110 and the controller 120 are not limited to the OpenFlow switch and the OpenFlow controller, respectively.

スイッチ110は、いわゆるネットワークスイッチとしての機能を備えるものであり、コンピュータネットワークにおいて通信の接続先を切り替えることができる。スイッチ110は、ハードウェアないしソフトウェアのいずれによっても構成可能である。一般に、ソフトウェアスイッチの方が柔軟に構成可能であるのに対し、ハードウェアスイッチの方は処理が高速に行われる。   The switch 110 has a function as a so-called network switch, and can switch a communication connection destination in a computer network. The switch 110 can be configured by either hardware or software. Generally, a software switch can be configured more flexibly, whereas a hardware switch performs processing at a higher speed.

また、本実施形態において、スイッチ110は、パケットの取り扱いルールを定義したテーブル115を持ち、テーブル115に定義されたルールに従って、パケットの転送や破棄等の操作が行われる。なお、テーブル115に定義された個々のルールは、エントリと呼ばれることがある。   Further, in the present embodiment, the switch 110 has a table 115 in which rules for handling packets are defined, and operations such as transfer and discard of packets are performed according to the rules defined in the table 115. Note that each rule defined in the table 115 may be called an entry.

例えば、スイッチ110は、パケットを受信すると、受信したパケットのヘッダ情報等を参照して、受信パケットに適合するルールを持つエントリをテーブル115から検索する。適合するエントリがあれば、受信パケットに対して、当該エントリに記述された処理内容を実施する。   For example, upon receiving a packet, the switch 110 searches the table 115 for an entry having a rule that matches the received packet, with reference to header information and the like of the received packet. If there is a matching entry, the processing content described in the entry is performed on the received packet.

テーブル115には、例えば、あるノードから別のノードへの通信単位でパケットの取り扱いに関するルールがエントリとして定義されている。本実施形態では、個々のクライアント40毎に、エントリが生成される。各エントリは、パケットヘッダと照合するためのヘッダフィールドと、通信に関する統計情報を記録するための統計情報フィールドと、パケットの転送や破棄等の処理内容を定義するためのアクションフィールドとを含む。   In the table 115, for example, rules regarding handling of packets are defined as entries in communication units from a certain node to another node. In the present embodiment, an entry is generated for each client 40. Each entry includes a header field for collating with a packet header, a statistic information field for recording statistical information on communication, and an action field for defining processing contents such as packet transfer and discard.

コントローラ120は主に、テーブル115の初期設定や更新処理を行う。例えば、スイッチ110及びその他のコンポーネントからの処理依頼に基づいてテーブル115にルールを追加ないし削除等することによって、更新処理が行われる。なお、その他のコンポーネントとは、例えば認証インタフェース130などを含む。   The controller 120 mainly performs initialization and update processing of the table 115. For example, an update process is performed by adding or deleting a rule to the table 115 based on a processing request from the switch 110 and other components. The other components include, for example, the authentication interface 130 and the like.

認証インタフェース130は、クライアント40に対してユーザID及びパスワード入力等の認証用のインタフェースを提供する。また、認証インタフェース130は、クライアント40から入力された情報をもとに認証サーバ30に問い合わせを行う。その後、認証結果に従って、コントローラ120にテーブル115を更新するよう通知する。   The authentication interface 130 provides the client 40 with an interface for authentication such as input of a user ID and a password. The authentication interface 130 makes an inquiry to the authentication server 30 based on the information input from the client 40. Thereafter, the controller 120 is notified to update the table 115 according to the authentication result.

なお、本実施形態は、スイッチ110と、コントローラ120と、認証インタフェース130とを、物理的に1つの筐体内に収容したエッジ装置10として構成し、エッジ装置10を単体で利用するだけで、アクセス管理を行えるようにしたことに特徴を有する。例えば、エッジ装置10を無線アクセスポートに取り付けるだけで、アクセス管理を行うことができる。このとき、スイッチ110をソフトウェアスイッチにより構成すれば、エッジ装置10をチップ化することも可能となり、より低コストでアクセス管理システムを構成することができる。   In the present embodiment, the switch 110, the controller 120, and the authentication interface 130 are configured as the edge device 10 physically housed in one housing, and the access is performed only by using the edge device 10 alone. The feature is that management can be performed. For example, access management can be performed only by attaching the edge device 10 to the wireless access port. At this time, if the switch 110 is configured by a software switch, the edge device 10 can be formed into a chip, and an access management system can be configured at lower cost.

次に、本実施形態におけるアクセス管理処理の流れを説明する。   Next, the flow of an access management process according to the present embodiment will be described.

図2は、本実施形態におけるアクセス管理処理の流れの一例を示すフローチャートである。第1のネットワークN1内に位置するクライアント40が、第1のネットワークN1の外部に位置するサーバ50にアクセスしようとするとき、その通信経路上に設置されたエッジ装置10のスイッチ110が、クライアント40からサーバ50への通信パケットを受信する(ステップS21)。   FIG. 2 is a flowchart illustrating an example of the flow of an access management process according to the present embodiment. When the client 40 located in the first network N1 attempts to access the server 50 located outside the first network N1, the switch 110 of the edge device 10 installed on the communication path is set to the client 40. Receives a communication packet from the server to the server 50 (step S21).

スイッチ110は、通信パケットを受信したことに応答して、テーブル115を参照し、クライアント40が認証済みであるか否かを判別する(ステップS22)。具体的には、テーブル115に記録されているエントリを参照して、クライアント40に関するエントリが登録されていれば、当該エントリに定義されている処理内容に沿って処理が行われる。図2に記載の実施例では、クライアント40が認証済みの場合(ステップS22:YES)、テーブル115に登録されているエントリに従って、サーバ50へのアクセスが許可され、サーバ50に接続される(ステップS26)。   In response to receiving the communication packet, the switch 110 refers to the table 115 and determines whether the client 40 has been authenticated (step S22). Specifically, with reference to the entry recorded in the table 115, if an entry relating to the client 40 is registered, the processing is performed according to the processing content defined in the entry. In the embodiment illustrated in FIG. 2, when the client 40 has been authenticated (step S22: YES), access to the server 50 is permitted according to the entry registered in the table 115, and the client 50 is connected to the server 50 (step S22). S26).

他方、クライアント40が認証済みでなく、クライアント40に関するエントリが登録されていない場合(ステップS22:NO)、スイッチ110は、クライアント40を認証インタフェース130に接続し、認証インタフェース130においてクライアント40の認証処理が行われる(ステップS23)。   On the other hand, if the client 40 has not been authenticated and an entry relating to the client 40 has not been registered (step S22: NO), the switch 110 connects the client 40 to the authentication interface 130, and the authentication interface 130 performs an authentication process on the client 40. Is performed (step S23).

認証インタフェース130は、例えば、ID及びパスワードを入力させるための画面をクライアント40に表示させ、クライアント40のユーザが入力した情報を受信する。認証インタフェース130は、クライアント40から受信したユーザ情報を認証サーバ30に転送し、認証サーバ30に認証処理を実行させる。   The authentication interface 130 causes the client 40 to display a screen for inputting an ID and a password, for example, and receives information input by a user of the client 40. The authentication interface 130 transfers the user information received from the client 40 to the authentication server 30 and causes the authentication server 30 to execute an authentication process.

認証インタフェース130は、認証サーバ30から受け取った認証結果に基づいて、クライアント40からサーバ50への通信を許可するか否かを判断する。認証インタフェース130は、通信を許可すると判断したとき(ステップS24:YES)、コントローラ120に対して、クライアント40に関するエントリをテーブル115に追加するよう通知する。コントローラ120は、当該通知に応答して、クライアント40に関するエントリをテーブル115に追加する(ステップS25)。その後、認証が許可されたクライアント40は、テーブル115に登録されているエントリに従って、サーバ50へのアクセスが許可され、サーバ50に接続される(ステップS26)。   The authentication interface 130 determines whether to permit communication from the client 40 to the server 50 based on the authentication result received from the authentication server 30. When determining that the communication is permitted (step S24: YES), the authentication interface 130 notifies the controller 120 to add an entry relating to the client 40 to the table 115. The controller 120 adds an entry relating to the client 40 to the table 115 in response to the notification (step S25). Thereafter, the client 40 permitted to be authenticated is permitted to access the server 50 according to the entry registered in the table 115, and is connected to the server 50 (step S26).

また、認証インタフェース130は、ステップS24において、クライアント40から入力されたユーザ情報に誤りがある等の理由により、通信を許可しないと判断したとき(ステップS24:NO)、エッジ装置10が受信した通信パケットが破棄され、クライアント40からサーバ50へのアクセスが拒否される。   When the authentication interface 130 determines in step S24 that the communication is not permitted due to a reason such as an error in the user information input from the client 40 (step S24: NO), the communication received by the edge device 10 is performed. The packet is discarded, and access from the client 40 to the server 50 is denied.

このように、未認証のクライアント40がサーバ50へアクセスしようとするとき、まずエッジ装置10の認証インタフェース130にアクセスし認証処理を行う。この際、ユーザID及びパスワード等の入力された認証情報をもとにエッジ装置10が認証サーバ30に認証処理を依頼する。認証されたクライアント40またはすでに認証済みのクライアント40からの通信は、エッジ装置10が遮断することなくサーバ50へのアクセスが可能になる。   As described above, when an unauthenticated client 40 attempts to access the server 50, the client 40 first accesses the authentication interface 130 of the edge device 10 and performs an authentication process. At this time, the edge device 10 requests the authentication server 30 to perform an authentication process based on the input authentication information such as the user ID and the password. The communication from the authenticated client 40 or the already authenticated client 40 allows the edge device 10 to access the server 50 without interruption.

次に、図3乃至図5を参照して、本実施形態において、クライアントX40xからサーバA50aへの通信に対して実施される処理の概略を説明する。   Next, an outline of processing performed for communication from the client X 40x to the server A 50a in the present embodiment will be described with reference to FIGS.

図3は、本実施形態において、未認証のクライアントX40xからの通信に対して行われる処理の概略図である。   FIG. 3 is a schematic diagram of processing performed for communication from an unauthenticated client X40x in the present embodiment.

初期状態、すなわち、認証済みのクライアントが1つも存在しない状態において、エッジ装置10のテーブル115には、「すべてのパケットを破棄」するというエントリが登録されている。   In the initial state, that is, in a state where no authenticated client exists, an entry of “discard all packets” is registered in the table 115 of the edge device 10.

このとき、未認証のクライアントX40xからサーバA50aへの接続要求パケットをエッジ装置10が受信すると、当該エッジ装置10内のスイッチ110は、テーブル115を検索する。ここでは、「すべてのパケットを破棄」というエントリが適用されるので、エントリに従ってパケットを破棄し、クライアントX40xとサーバA50a間の接続確立に失敗する(S31)。   At this time, when the edge device 10 receives a connection request packet from the unauthenticated client X 40x to the server A 50a, the switch 110 in the edge device 10 searches the table 115. Here, since the entry "discard all packets" is applied, the packet is discarded according to the entry, and the connection establishment between the client X 40x and the server A 50a fails (S31).

図4は、本実施形態において、未認証のクライアントX40xの認証を許可する際の処理の概略図である。   FIG. 4 is a schematic diagram of a process when permitting authentication of an unauthenticated client X40x in the present embodiment.

まず、クライアントX40xがエッジ装置10の認証インタフェース130にアクセスし、ユーザID及びパスワード等のユーザ情報を入力すると(S41)、認証インタフェース130は認証サーバ30に対して認証処理を依頼する(S42)。認証インタフェース130は、認証サーバ30から取得した情報をもとに通信許可と判断した場合、コントローラ120に対して「クライアントXの通信を許可」するというエントリをテーブル115に追加する要求を通知する(S43)。コントローラ120は通知された要求にしたがって、「クライアントXの通信を許可」するというエントリをスイッチ110のテーブル115に追加する(S44)。   First, when the client X 40x accesses the authentication interface 130 of the edge device 10 and inputs user information such as a user ID and a password (S41), the authentication interface 130 requests the authentication server 30 to perform an authentication process (S42). If the authentication interface 130 determines that communication is permitted based on the information acquired from the authentication server 30, the authentication interface 130 notifies the controller 120 of a request to add an entry “permit communication of the client X” to the table 115 ( S43). In accordance with the notified request, the controller 120 adds an entry of “permit the communication of the client X” to the table 115 of the switch 110 (S44).

なお、S41におけるクライアント40から認証インタフェース130へのアクセスは、クライアント40が認証インタフェース130のURLを直接指定することで可能である。また、「ウェブサイトへアクセスしようとしているパケットの宛先を認証インタフェース130へ変更」するというエントリをテーブル115に予め定義しておけば、クライアント40が第1のネットワークN1の外部に位置するウェブサーバにアクセスしようとしたとき、例えば、エッジ装置10内のスイッチ110がHTTP通信のパケットを受信したときに、当該エントリのルールが適用され、強制的に認証インタフェース130へ誘導させることが可能である。また、クライアント40がエッジ装置10を介してLAN(ローカルエリアネットワーク)やWiFi(Wireless Fidelity)にアクセスしようとしたとき等に、強制的に認証インタフェース130に接続させるものとしてもよい。   The client 40 can access the authentication interface 130 in S41 by directly specifying the URL of the authentication interface 130 by the client 40. In addition, if an entry of “changing the destination of a packet attempting to access a website to the authentication interface 130” is defined in advance in the table 115, the client 40 can communicate with the web server located outside the first network N1. When an attempt is made to access, for example, when the switch 110 in the edge device 10 receives an HTTP communication packet, the rule of the entry is applied, and it is possible to forcibly guide the authentication interface 130. Further, when the client 40 tries to access a LAN (Local Area Network) or WiFi (Wireless Fidelity) via the edge device 10, the client 40 may be forcibly connected to the authentication interface 130.

図5は、本実施形態において、認証済みのクライアントX40xからの通信に対して行われる処理の概略図である。   FIG. 5 is a schematic diagram of processing performed for communication from the authenticated client X40x in the present embodiment.

認証済みのクライアントX40xからサーバA50aへの接続要求パケットをエッジ装置10が受信すると、当該エッジ装置10内のスイッチ110は、テーブル115を検索し、受信したパケットに適合するルールを持つエントリを検索する。その結果、図5に示す例では、「クライアントXの通信を許可」というエントリが適用される。したがって、パケットはサーバA50aへ転送されクライアントX40xとサーバA50a間の接続が確立する(S51)。   When the edge device 10 receives a connection request packet from the authenticated client X 40x to the server A 50a, the switch 110 in the edge device 10 searches the table 115 and searches for an entry having a rule that matches the received packet. . As a result, in the example shown in FIG. 5, the entry “permit communication of client X” is applied. Therefore, the packet is transferred to the server A50a, and a connection between the client X40x and the server A50a is established (S51).

なお、本実施形態において、テーブル115を書き換えたり、初期化したりすることによって、認証済みのクライアント40を、再び認証が必要な状態に戻すことができる。例えば、所定期間ごとにテーブル115を初期化すれば、初期化後最初のクライアント40からのアクセスに対して、認証処理を要するものとすることができる。   In this embodiment, by rewriting or initializing the table 115, the authenticated client 40 can be returned to a state requiring authentication again. For example, if the table 115 is initialized every predetermined period, an authentication process may be required for the first access from the client 40 after the initialization.

第1の実施形態によれば、既存のネットワーク環境にエッジ装置10を導入することにより、高機能なアクセス管理を実現することができる。例えば、会社の会議室や学校、図書館、病院など、様々なネットワーク環境に適用可能である。   According to the first embodiment, high-performance access management can be realized by introducing the edge device 10 into an existing network environment. For example, the present invention is applicable to various network environments such as a conference room of a company, a school, a library, and a hospital.

また、第1の実施形態によれば、例えば、ユーザIDとパスワード等により認証された正当なユーザにネットワークの利用を許可することができる。また、ユーザ毎に個別にエントリを設けることができるので、利用可能なネットワークリソースをユーザ毎に限定できるなど、個人ベースでアクセスポリシーを組み込むことができる。さらに、いつ誰が利用していたのかを記録することにより、アクセスの履歴を管理できる。すなわち、ユーザ認証をベースにクライアントに最適なネットワークリソースの割当をSDN(Software Defined Network)ベースで制御することができる。   Further, according to the first embodiment, for example, a legitimate user authenticated by a user ID and a password can be permitted to use the network. In addition, since an entry can be provided for each user, an access policy can be incorporated on an individual basis, such as limiting available network resources for each user. In addition, by recording when and by whom, access history can be managed. That is, it is possible to control the allocation of the network resources optimal for the client based on the user authentication based on the SDN (Software Defined Network).

[第2の実施形態]
図6は、本発明の他の実施形態に係るアクセス管理システム1’を含むネットワーク構成の一例を示す概略図である。同図に示すとおり、本実施形態において、アクセス管理システム1’は、エッジ装置10と制御装置20とを含んで構成される。すなわち、第1の実施形態は、エッジ装置10を単体で利用する構成であったのに対し、第2の実施形態は、エッジ装置10と制御装置20とを連携させる構成である。図6は、エッジ装置10が1つの場合を例示しているが、アクセス管理システム1’は、1または複数のエッジ装置10により構成可能であり、1つの制御装置20で1または複数のエッジ装置10をまとめて一元的に管理することができる。
[Second embodiment]
FIG. 6 is a schematic diagram illustrating an example of a network configuration including an access management system 1 ′ according to another embodiment of the present invention. As shown in the figure, in the present embodiment, the access management system 1 'includes an edge device 10 and a control device 20. That is, the first embodiment has a configuration in which the edge device 10 is used alone, whereas the second embodiment has a configuration in which the edge device 10 and the control device 20 are linked. FIG. 6 illustrates a case in which one edge device 10 is provided. 10 can be collectively managed.

本実施形態において、制御装置20は、第1の実施形態におけるエッジ装置10に内蔵されたコントローラ120及び認証インタフェース130に対応する機能を、1台のハードウェアアプライアンスにしたものであり、ネットワークを介してエッジ装置10内のスイッチ110と接続される。このとき、制御装置20は、クライアント40側の第1のネットワークN1またはサーバ50側の第2のネットワークN2のいずれの側に接続されてもよい。   In the present embodiment, the control device 20 has a function corresponding to the controller 120 and the authentication interface 130 incorporated in the edge device 10 according to the first embodiment in a single hardware appliance. To the switch 110 in the edge device 10. At this time, the control device 20 may be connected to either the first network N1 on the client 40 side or the second network N2 on the server 50 side.

また、本実施例において、制御装置20は、オープンフロー(OpenFlow)プロトコルを使って、ネットワークを介して接続されたエッジ装置10の動作を制御する機能を持つものとする。しかしながら、制御装置20とエッジ装置10は、オープンフロープロトコルによって制御されるものに限定されるものではない。   Further, in the present embodiment, the control device 20 has a function of controlling the operation of the edge device 10 connected via a network using an OpenFlow protocol. However, the control device 20 and the edge device 10 are not limited to those controlled by the OpenFlow protocol.

次に、図6を参照して、本実施形態におけるエッジ装置10及び制御装置20の内部構成の概略について説明する。   Next, with reference to FIG. 6, an outline of the internal configuration of the edge device 10 and the control device 20 in the present embodiment will be described.

本実施形態において、エッジ装置10は少なくともスイッチ110を備える。本実施形態において、エッジ装置10は、コントローラ120及び認証インタフェース130を備える必要はない。しかし、図6に示す実施例では、エッジ装置10として、第1の実施形態と同じように、スイッチ110の他に、コントローラ120と認証インタフェース130とを物理的に1つの筐体に収容したものを採用した上で、コントローラ120と認証インタフェース130を無効状態としている。これにより、第1の実施形態と同じエッジ装置10を、第1の実施形態で説明したような単体でアクセス管理する用途のみならず、第2の実施形態で説明するような制御装置20と連携してアクセス管理する用途にも用いることができる。   In the present embodiment, the edge device 10 includes at least a switch 110. In the present embodiment, the edge device 10 does not need to include the controller 120 and the authentication interface 130. However, in the example shown in FIG. 6, as in the first embodiment, a controller 120 and an authentication interface 130 are physically housed in a single housing in addition to the switch 110 as in the first embodiment. In addition, the controller 120 and the authentication interface 130 are disabled. Accordingly, the edge device 10 which is the same as that of the first embodiment is used not only for the purpose of access management alone as described in the first embodiment, but also in cooperation with the control device 20 as described in the second embodiment. It can also be used for purposes such as access management.

制御装置20は、エッジ装置10内のスイッチ110を制御するコントローラ220と、クライアント40がユーザID及びパスワードの入力操作等を行う認証インタフェース230とを含んで構成される。図6に示す実施例において、制御装置20は、コントローラ220と認証インタフェース230とを、物理的に1つの筐体に収容して構成される。   The control device 20 includes a controller 220 that controls the switch 110 in the edge device 10 and an authentication interface 230 in which the client 40 performs a user ID and password input operation and the like. In the embodiment shown in FIG. 6, the control device 20 is configured by physically housing the controller 220 and the authentication interface 230 in one housing.

コントローラ220は、第1の実施形態におけるエッジ装置10内のコントローラ120に対応する機能を持つが、本実施形態ではさらに、制御装置20に接続された1又は複数のエッジ装置10を同時に制御することができる。   The controller 220 has a function corresponding to the controller 120 in the edge device 10 in the first embodiment. In the present embodiment, the controller 220 further controls one or more edge devices 10 connected to the control device 20 at the same time. Can be.

認証インタフェース230は、第1の実施形態におけるエッジ装置10内の認証インタフェース130に対応する機能を持つが、制御装置20に接続された1又は複数のエッジ装置10の配下にあるクライアント40からの認証を処理することができる。   The authentication interface 230 has a function corresponding to the authentication interface 130 in the edge device 10 in the first embodiment, but performs authentication from the client 40 under one or more edge devices 10 connected to the control device 20. Can be processed.

本実施形態においても第1の実施形態と同じように、エッジ装置10は認証していないクライアント40からサーバ50への通信を遮断する。クライアント40は制御装置20の認証インタフェース230にアクセスし認証処理を行う。この際、ユーザID及びパスワード等の入力された認証情報をもとにコントローラ220が認証サーバ30に認証処理を依頼する。認証されたクライアント40またはすでに認証済みのクライアント40からの通信は、エッジ装置10が遮断することなくサーバ50へのアクセスが可能になる。   In the present embodiment, similarly to the first embodiment, the edge device 10 cuts off communication from the unauthenticated client 40 to the server 50. The client 40 accesses the authentication interface 230 of the control device 20 and performs an authentication process. At this time, the controller 220 requests the authentication server 30 to perform an authentication process based on the input authentication information such as the user ID and the password. The communication from the authenticated client 40 or the already authenticated client 40 allows the edge device 10 to access the server 50 without interruption.

次に、図7乃至図9を参照して、本実施形態において、クライアントX40xからサーバA50aへの通信に対して実施される処理の概略を説明する。なお、本実施形態におけるアクセス管理処理の流れは、図2として示したフローチャート及びその説明のうち、コントローラ120及び認証インタフェース130をそれぞれ、コントローラ220及び認証インタフェース230に読み替えたものであるから、ここでは説明を省略する。   Next, an outline of processing performed for communication from the client X 40x to the server A 50a in the present embodiment will be described with reference to FIGS. The flow of the access management process in this embodiment is the same as the flow chart shown in FIG. 2 and the description thereof, except that the controller 120 and the authentication interface 130 are replaced with the controller 220 and the authentication interface 230, respectively. Description is omitted.

図7は、本実施形態において、未認証のクライアントX40xからの通信に対して行われる処理の概略図である。   FIG. 7 is a schematic diagram of a process performed for communication from an unauthenticated client X40x in the present embodiment.

同図に示す例において、初期状態のエッジ装置10のテーブル115には、「制御装置20との通信を許可」と「すべてのパケットを破棄」という2つのエントリが登録されている。このとき、認証済みのクライアント40は1つも存在しない状態であるが、どのクライアント40からも制御装置20へのアクセスは可能である。   In the example shown in the figure, two entries “permit communication with the control device 20” and “discard all packets” are registered in the table 115 of the edge device 10 in the initial state. At this time, there is no client 40 that has been authenticated, but any client 40 can access the control device 20.

このとき、未認証のクライアントX40xからサーバA50aへの接続要求パケットをエッジ装置10が受信すると、当該エッジ装置10のスイッチ110は、テーブル115を検索する。ここでは、「すべてのパケットを破棄」というエントリが適用され、エントリに従ってパケットを破棄し、クライアントX40xとサーバA50a間の接続確立に失敗する(S71)。   At this time, when the edge device 10 receives a connection request packet from the unauthenticated client X 40x to the server A 50a, the switch 110 of the edge device 10 searches the table 115. Here, the entry "discard all packets" is applied, the packet is discarded according to the entry, and the connection establishment between the client X 40x and the server A 50a fails (S71).

図8は、本実施形態において、未認証のクライアントX40xの認証を許可する際の処理の概略図である。   FIG. 8 is a schematic diagram of a process when permitting authentication of an unauthenticated client X40x in the present embodiment.

クライアントX40xが制御装置20の認証インタフェース230にアクセスし、ユーザID及びパスワード等の認証情報を入力すると(S81)、認証インタフェース230は認証サーバ30に対して認証処理を依頼する(S82)。認証インタフェース230は、認証サーバ30から取得した情報をもとに通信許可と判断した場合、コントローラ220に対して「クライアントXの通信を許可」するというエントリをエッジ装置10内のスイッチ110のテーブル115に追加する要求を通知する(S83)。コントローラ220は通知された要求にしたがって、「クライアントXの通信を許可」するというエントリをスイッチ110のテーブル115に追加する(S84)。   When the client X 40x accesses the authentication interface 230 of the control device 20 and inputs authentication information such as a user ID and a password (S81), the authentication interface 230 requests the authentication server 30 to perform an authentication process (S82). If the authentication interface 230 determines that communication is permitted based on the information acquired from the authentication server 30, the authentication interface 230 makes an entry “permit communication of client X” to the controller 220 in the table 115 of the switch 110 in the edge device 10. (S83). In accordance with the notified request, the controller 220 adds an entry “permit communication of client X” to the table 115 of the switch 110 (S84).

なお、S81におけるクライアント40から認証インタフェース230へのアクセスは、クライアント40が認証インタフェース230のURLを直接指定することで可能である。また、クライアント40が、第1のネットワークN1の外部に位置するサーバにアクセスしようとしたときや、エッジ装置10を介してLANやWiFiにアクセスしようとしたとき等に、認証インタフェース230に接続させるものとしてもよい。   The client 40 can access the authentication interface 230 in S81 by directly specifying the URL of the authentication interface 230 by the client 40. Also, when the client 40 tries to access a server located outside the first network N1 or when trying to access a LAN or WiFi via the edge device 10, the client 40 is connected to the authentication interface 230. It may be.

図9は、本実施形態において、認証済みのクライアントX40xからの通信に対して行われる処理の概略図である。   FIG. 9 is a schematic diagram of processing performed for communication from the authenticated client X40x in the present embodiment.

認証済みのクライアントX40xからサーバA50aへの接続要求パケットをエッジ装置10が受信すると、受信したエッジ装置10内のスイッチ110はテーブル115を検索し、受信したパケットに適合するルールを持つエントリを検索する。その結果、図9に示す例では、「クライアントXの通信を許可」というエントリが適用される。したがって、パケットはサーバA50aへ転送されクライアントX40xとサーバA50a間の接続が確立する(S91)。   When the edge device 10 receives a connection request packet from the authenticated client X 40x to the server A 50a, the switch 110 in the received edge device 10 searches the table 115 and searches for an entry having a rule matching the received packet. . As a result, in the example shown in FIG. 9, the entry “permit communication of client X” is applied. Therefore, the packet is transferred to the server A50a, and a connection between the client X40x and the server A50a is established (S91).

第2の実施形態によれば、第1の実施形態と同様の効果の他に、第1の実施形態よりも多数のクライアント40のアクセスを管理することができる。すなわち、第2の実施形態によれば、1つの制御装置20ないしコントローラと認証インタフェースが、1又は複数のエッジ装置10のスイッチ110を管理することができるので、第1のネットワークN1に接続されるクライアントの数に応じてエッジ装置10を増減させることにより、柔軟に多数のクライアント40のアクセスを管理することができる。   According to the second embodiment, in addition to the same effects as in the first embodiment, it is possible to manage access of a larger number of clients 40 than in the first embodiment. That is, according to the second embodiment, one control device 20 or a controller and an authentication interface can manage the switch 110 of one or a plurality of edge devices 10, and thus are connected to the first network N1. By increasing or decreasing the number of edge devices 10 according to the number of clients, it is possible to flexibly manage access of a large number of clients 40.

なお、本発明は、上記した実施の形態に限定されるものではなく、本発明の要旨を逸脱しない範囲内において、他の様々な形で実施することができる。このため、上記実施形態はあらゆる点で単なる例示にすぎず、限定的に解釈されるものではない。例えば、上述の各処理ステップは処理内容に矛盾を生じない範囲で処理ステップの一部を省略したり、各処理ステップの順番を任意に変更して又は並列に実行することができる。   It should be noted that the present invention is not limited to the above-described embodiment, and can be implemented in other various forms without departing from the gist of the present invention. Therefore, the above-described embodiment is merely an example in all aspects, and is not to be construed as limiting. For example, each of the above-described processing steps can be partially omitted, or the processing steps can be arbitrarily changed or executed in parallel as long as the processing contents do not conflict.

例えば、上述の実施形態では、コントローラ120または220がエッジ装置10内のスイッチ110を制御する例を示したが、コントローラ120または220が制御するスイッチはこれに限られず、ネットワーク上の種々のスイッチを制御することができる。例えば、パブリッククラウドやプライベートクライド内のオープンフロースイッチやテーブルを制御してもよい。これにより、ユーザのプロファイルをベースとしてクライアントやデバイスを基点としてオンプレミス(スイッチや仮想サーバ)、プライベートクラウド、パブリッククラウドからキャリアクラスまで、一貫したフロー制御を実現することができる。   For example, in the above embodiment, the example in which the controller 120 or 220 controls the switch 110 in the edge device 10 has been described. Can be controlled. For example, an open flow switch or a table in a public cloud or a private client may be controlled. As a result, it is possible to realize consistent flow control from on-premises (switches and virtual servers), private cloud, public cloud to carrier class based on a client or device based on a user profile.

1,1’:アクセス管理システム
10:エッジ装置
20:制御装置
30:認証サーバ
40:クライアント
50:サーバ
101,102:ネットワークポート
110:スイッチ
115:テーブル
120,220:コントローラ
130,230:認証インタフェース
N1,N2:ネットワーク
1, 1 ': access management system 10: edge device 20: control device 30: authentication server 40: client 50: server 101, 102: network port 110: switch 115: table 120, 220: controller 130, 230: authentication interface N1 , N2: Network

Claims (6)

第1のネットワーク内のクライアントから受信したパケットをオープンフロープロトコルに従って制御するアクセス管理システムであって、
前記クライアントの認証処理を行うための認証インタフェースと、
前記クライアントから、第1のネットワーク外部のサーバへの通信パケット受信するオープンフロースイッチであって、前記クライアントが未認証のとき、前記クライアントを前記認証インタフェースに接続し、前記クライアントが認証済みのとき、前記クライアントを前記サーバに接続する、オープンフロースイッチと、
前記認証インタフェースによる認証処理の結果、前記認証インタフェースに接続されたクライアントの認証が許可された場合に、前記認証インタフェースからの指示を受信するオープンフローコントローラであって、前記指示に基づいて、前記クライアントが認証済みであることを記録する、オープンフローコントローラと、
を備え、
前記認証インタフェースは、前記オープンフロースイッチにより当該認証インタフェースに接続されたクライアントの認証処理を行い、
前記オープンフロースイッチは、前記パケットの取り扱いに関するルールであるエントリを定義したテーブルを備え、前記エントリに基づいて前記パケットを取り扱い、
前記オープンフローコントローラは、前記指示に基づいて、前記認証が許可されたクライアントに関する前記エントリを前記テーブルに追加
前記オープンフロースイッチは、前記エントリに基づき、前記クライアントが認証済みであるか否かを判断する、
アクセス管理システム。
An access management system for controlling a packet received from a client in a first network according to an OpenFlow protocol,
An authentication interface for performing authentication processing of the client;
From the client, an open flow switch for communicating packets received on the first network external server, when the client is unauthenticated, and connecting the client to the authentication interface, the client when authenticated, An OpenFlow switch connecting the client to the server;
An OpenFlow controller that receives an instruction from the authentication interface when the authentication of the client connected to the authentication interface is permitted as a result of the authentication processing by the authentication interface, wherein the client, based on the instruction, An OpenFlow controller that records that has been authenticated,
With
The authentication interface performs an authentication process of a client connected to the authentication interface by the OpenFlow switch,
The OpenFlow switch includes a table that defines an entry that is a rule regarding the handling of the packet, and handles the packet based on the entry.
The open flow controller, based on the instruction, add the entry for the client in which the authentication is permitted in said table,
The OpenFlow switch determines whether the client has been authenticated based on the entry,
Access control system.
前記オープンフロースイッチと、前記認証インタフェースと、前記オープンフローコントローラとを、物理的に1つの筐体に備えたことを特徴とする、請求項1記載のアクセス管理システム。 The open flow switch and the authentication interface and the open flow controller and the physically characterized by comprising in one housing claim 1 Symbol placement access management system. 前記オープンフロースイッチを複数備え、
前記認証インタフェース及び前記オープンフローコントローラが、前記複数のオープンフロースイッチをまとめて管理することを特徴とする、請求項1記載のアクセス管理システム。
Comprising a plurality of the OpenFlow switches,
The authentication interface and the open flow controller, characterized in that collectively manages the plurality of open flow switch, according to claim 1 Symbol placement access management system.
前記オープンフロースイッチと、前記認証インタフェースと、前記オープンフローコントローラとを、物理的に1つの筐体に備えたエッジ装置であって、前記認証インタフェース及び前記オープンフローコントローラを無効状態とした、エッジ装置を、1又は複数備え、
前記認証インタフェース及び前記オープンフローコントローラを物理的に1つの筐体に備えた制御装置を備え、
前記制御装置が、前記1又は複数のエッジ装置が備えるオープンフロースイッチをまとめて管理することを特徴とする、請求項1記載のアクセス管理システム。
An edge device, wherein the OpenFlow switch, the authentication interface, and the OpenFlow controller are physically provided in one housing, wherein the authentication interface and the OpenFlow controller are in an invalid state. Comprises one or more,
A control device physically including the authentication interface and the OpenFlow controller in one housing,
Wherein the controller, the one or more, characterized in that collectively manages the open flow switch edge device comprises, according to claim 1 Symbol placement access management system.
オープンフロースイッチと、認証インタフェースと、オープンフローコントローラとを備えるアクセス管理システムにおいて、クライアントから第1のネットワーク外部のサーバへのアクセスを管理し、前記第1のネットワーク内のクライアントから受信したパケットをオープンフロープロトコルに従って制御する方法であって、
前記オープンフロースイッチが、前記第1のネットワーク内のクライアントから、第1のネットワーク外部のサーバへの通信パケット受信すること、
前記クライアントが未認証のとき、前記オープンフロースイッチが、前記クライアントを前記認証インタフェースに接続すること、
前記クライアントが認証済みのとき、前記オープンフロースイッチが、前記クライアントを前記サーバに接続すること、
前記認証インタフェースが、前記オープンフロースイッチにより当該認証インタフェースに接続されたクライアントの認証処理を行うこと、
前記認証インタフェースによる認証処理の結果、前記認証インタフェースに接続されたクライアントの認証が許可された場合に、前記オープンフローコントローラが、前記認証インタフェースからの指示を受信すること、
前記オープンフローコントローラが、前記指示に基づいて、前記クライアントが認証済みであることを記録すること、
を含み、
前記オープンフロースイッチは、前記パケットの取り扱いに関するルールであるエントリを定義したテーブルを備え、前記エントリに基づいて前記パケットを取り扱い、
前記オープンフローコントローラは、前記指示に基づいて、前記認証が許可されたクライアントに関する前記エントリを前記テーブルに追加
前記オープンフロースイッチは、前記エントリに基づき、前記クライアントが認証済みであるか否かを判断する、
方法。
In an access management system including an OpenFlow switch, an authentication interface, and an OpenFlow controller, a client manages access to a server outside a first network, and opens a packet received from a client in the first network. A method of controlling according to a flow protocol,
The OpenFlow switch receives a communication packet from a client in the first network to a server outside the first network;
When the client is unauthenticated, the OpenFlow switch connects the client to the authentication interface;
When the client is authenticated, the OpenFlow switch connects the client to the server;
The authentication interface performs an authentication process of a client connected to the authentication interface by the OpenFlow switch ,
As a result of the authentication process by the authentication interface, when the authentication of the client connected to the authentication interface is permitted, the OpenFlow controller receives an instruction from the authentication interface,
The OpenFlow controller records, based on the instruction, that the client has been authenticated,
Including
The OpenFlow switch includes a table that defines an entry that is a rule regarding the handling of the packet, and handles the packet based on the entry.
The open flow controller, based on the instruction, add the entry for the client in which the authentication is permitted in said table,
The OpenFlow switch determines whether the client has been authenticated based on the entry,
Method.
コンピュータに第1のネットワーク内のクライアントから受信したパケットをオープンフロープロトコルに従って制御することを実現させるためのプログラムであって、
前記クライアントから、第1のネットワーク外部のサーバへの通信パケット受信させること、
前記クライアントが未認証のとき、前記クライアントを認証インタフェースに接続すること、
前記クライアントが認証済みのとき、前記クライアントを前記サーバに接続すること、
前記認証インタフェースによる当該認証インタフェースに接続されたクライアントの認証処理の結果、当該認証インタフェースに接続されたクライアントの認証が許可された場合に、前記認証インタフェースからの指示に基づいて、前記クライアントが認証済みであることを記録すること、
前記パケットの取り扱いに関するルールであるエントリに基づいて、前記パケットを取り扱うこと、
前記指示に基づいて、前記認証が許可されたクライアントに関する前記エントリを、前記エントリを定義するテーブルに追加すること、
前記エントリに基づき、前記クライアントが認証済みであるか否かを判断すること、
を実行させるためのプログラム。
A program for causing a computer to control a packet received from a client in a first network according to an OpenFlow protocol,
Receiving a communication packet from the client to a server outside the first network;
Connecting the client to an authentication interface when the client is unauthenticated;
Connecting the client to the server when the client is authenticated;
As a result of the authentication processing of the client connected to the authentication interface by the authentication interface, if the authentication of the client connected to the authentication interface is permitted, the client is authenticated based on an instruction from the authentication interface. Recording that
Handling the packet based on an entry that is a rule for handling the packet;
Adding the entry for the client authorized for authentication based on the instruction to a table defining the entry;
Determining whether the client is authenticated based on the entry;
A program for executing
JP2015145741A 2015-07-23 2015-07-23 Access management system and access management method Active JP6649002B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2015145741A JP6649002B2 (en) 2015-07-23 2015-07-23 Access management system and access management method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2015145741A JP6649002B2 (en) 2015-07-23 2015-07-23 Access management system and access management method

Publications (2)

Publication Number Publication Date
JP2017028522A JP2017028522A (en) 2017-02-02
JP6649002B2 true JP6649002B2 (en) 2020-02-19

Family

ID=57946695

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2015145741A Active JP6649002B2 (en) 2015-07-23 2015-07-23 Access management system and access management method

Country Status (1)

Country Link
JP (1) JP6649002B2 (en)

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5059473B2 (en) * 2007-04-18 2012-10-24 株式会社日立製作所 Network system, management computer and user terminal
JP2010187314A (en) * 2009-02-13 2010-08-26 Hitachi Cable Ltd Network relay apparatus with authentication function, and terminal authentication method employing the same
WO2014024481A1 (en) * 2012-08-07 2014-02-13 Nec Corporation Network system, authentication apparatus, subnet deciding method and program
JP5921460B2 (en) * 2013-02-20 2016-05-24 アラクサラネットワークス株式会社 Authentication method, transfer device, and authentication server
JP6345092B2 (en) * 2014-11-25 2018-06-20 エイチ・シー・ネットワークス株式会社 Communications system

Also Published As

Publication number Publication date
JP2017028522A (en) 2017-02-02

Similar Documents

Publication Publication Date Title
US10904240B2 (en) System and method of verifying network communication paths between applications and services
US9571523B2 (en) Security actuator for a dynamically programmable computer network
US10728246B2 (en) Service driven split tunneling of mobile network traffic
US11750614B2 (en) Methods and systems for dynamic creation of access control lists
US11178104B2 (en) Network isolation with cloud networks
US20190020689A1 (en) Network privilege manager for a dynamically programmable computer network
US10129117B2 (en) Conditional policies
US11032247B2 (en) Enterprise mobility management and network micro-segmentation
US9444842B2 (en) Security mediation for dynamically programmable network
JP5943006B2 (en) COMMUNICATION SYSTEM, CONTROL DEVICE, COMMUNICATION METHOD, AND PROGRAM
US20180198791A1 (en) Systems and methods for cloud-based service function chaining using security assertion markup language (saml) assertion
CN116601919A (en) Dynamic optimization of client application access via a Secure Access Service Edge (SASE) Network Optimization Controller (NOC)
US10171504B2 (en) Network access with dynamic authorization
JPWO2012086816A1 (en) COMMUNICATION SYSTEM, CONTROL DEVICE, POLICY MANAGEMENT DEVICE, COMMUNICATION METHOD, AND PROGRAM
US11240207B2 (en) Network isolation
US11956221B2 (en) Encrypted data packet forwarding
JP2023527863A (en) Automatic IOT Device Identification Using Statistical Payload Fingerprinting
EP3262802B1 (en) Automatic discovery and provisioning of multi-chassis etherchannel peers
JP6649002B2 (en) Access management system and access management method
US20240039956A1 (en) Identity-based policy enforcement in wide area networks

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20180426

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20190410

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20190416

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20190617

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20190820

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20191021

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20191223

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20200116

R150 Certificate of patent or registration of utility model

Ref document number: 6649002

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350