認証スイッチの接続を認証する装置及びその方法
【課題】認証スイッチが不正に交換されることを防止し、交換された場合に通報する。
【解決手段】IEEE802.1x認証機能を有するスイッチ3と、スイッチ6と、を備え、スイッチ3は、スイッチ3のIDと、スイッチ3のパスワードと、スイッチ3の接続認証を有効にするポート番号と、を含む第一の認証情報を設定し、スイッチ6は、スイッチ6のIDと、スイッチ6のパスワードと、スイッチ6の接続認証を有効にするポート番号と、を含む第二の認証情報を設定し、スイッチ3は、スイッチ6から第二の認証情報を、スイッチ6は、スイッチ3から第一の認証情報を、それぞれ取得し、スイッチ3及びスイッチ6は、第一の認証情報及び第二の認証情報に基づいて接続要求をそれぞれ判定し、この判定の結果を端末にそれぞれ通報し、この接続要求が第一の認証情報及び第二の認証情報に適合する場合にそれぞれ接続を許可する。
【解決手段】IEEE802.1x認証機能を有するスイッチ3と、スイッチ6と、を備え、スイッチ3は、スイッチ3のIDと、スイッチ3のパスワードと、スイッチ3の接続認証を有効にするポート番号と、を含む第一の認証情報を設定し、スイッチ6は、スイッチ6のIDと、スイッチ6のパスワードと、スイッチ6の接続認証を有効にするポート番号と、を含む第二の認証情報を設定し、スイッチ3は、スイッチ6から第二の認証情報を、スイッチ6は、スイッチ3から第一の認証情報を、それぞれ取得し、スイッチ3及びスイッチ6は、第一の認証情報及び第二の認証情報に基づいて接続要求をそれぞれ判定し、この判定の結果を端末にそれぞれ通報し、この接続要求が第一の認証情報及び第二の認証情報に適合する場合にそれぞれ接続を許可する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明の認証スイッチの接続を認証する方式は、それを有する認証スイッチが不正にネットワークから取り外され、別のスイッチに交換されることを防止する認証スイッチの接続を認証する装置及びその方法に関する。
【背景技術】
【0002】
ネットワーク認証はIEEE802.1x認証機能を用いて、認証スイッチに接続する端末であるパソコンに実装されたIEEE802.1xサプリカントソフトが認証を実行し、認証をパスしたパソコンだけがネットワークに接続できる仕組みである。
【0003】
IEEE802.1xサプリカントソフトはパソコンにインストールされるもので、スイッチ同士の接続を認証するような仕組みではなかった。このため、従来の方法では不正なスイッチに交換されるとネットワークに接続できてしまうという問題点があった。
【0004】
従来のIEEE802.1x認証の仕組みではパソコンが接続されるスイッチをIEEE802.1x認証用スイッチにすることで不正なパソコンが接続されることを防止する機能であるが、パソコンに隣接するIEEE802.1x認証用スイッチが不正スイッチへ交換されることを防止することはできなかった。また不正スイッチに交換されたことを通報する手段も無かった。
【0005】
そのため、IEEE802.1x認証以外の認証方式をサポートする特許文献1と、IEEE802.x準拠の認証スイッチを有するシステムにおいて、認証スイッチを運用する技術に関する特許文献2と、スイッチ間で認証情報を交換し、この交換した認証情報に基づいて認証を行う特許文献3に係る技術がある。
【特許文献1】特開2007−267315号公報
【特許文献2】特開2007−049709号公報
【特許文献3】特開2007−306369号公報
【発明の開示】
【発明が解決しようとする課題】
【0006】
しかしながら、特許文献1にはIEEE802.1x認証以外の認証方式をサポートするマルチ認証機能スイッチが記載されているがマルチ認証スイッチ自体を不正に交換されることを防止することについての記述は無い。
【0007】
特許文献2は、認証スイッチを他のスイッチへ交換された場合、クライアントの認証を行うことができなくなるが、「認証スイッチの不正交換」と言う脆弱点を防止する手段がないという問題がある。
【0008】
特許文献3は、無線機器間での相互認証にはIDコードの設定が必須ではあるものの、ポート毎で相互認証の実行/非実行を選択可能ではないという問題がある。
【0009】
本発明は上記に鑑みてなされたもので、認証スイッチが不正に交換されることを防止し、交換された場合に通報し得る認証スイッチの接続を認証する装置及びその方法を得ることを目的とする。
【課題を解決するための手段】
【0010】
上述の課題を解決するため、本発明に係る認証スイッチの接続を認証する装置は、端末と、IEEE802.1xの認証サーバと、に接続される認証スイッチの接続を認証する装置であって、IEEE802.1x認証機能を有する第一のスイッチと、第二のスイッチと、を備え、前記第一のスイッチは、前記第一のスイッチのIDと、前記第一のスイッチのパスワードと、前記第一のスイッチの接続認証を有効にするポート番号と、を含む第一の認証情報を設定し、前記第二のスイッチは、前記第二のスイッチのIDと、前記第二のスイッチのパスワードと、前記第二のスイッチの接続認証を有効にするポート番号と、を含む第二の認証情報を設定し、前記第一のスイッチは、前記第二のスイッチから前記第二の認証情報を、前記第二のスイッチは、前記第一のスイッチから前記第一の認証情報を、それぞれ取得し、前記第一のスイッチ及び前記第二のスイッチは、前記第一の認証情報及び前記第二の認証情報に基づいて接続要求をそれぞれ判定し、該判定の結果を前記端末にそれぞれ通報し、該接続要求が前記第一の認証情報及び前記第二の認証情報に適合する場合にそれぞれ接続を許可することを特徴とする。
【0011】
上述の問題を解決するため、本発明に係る認証スイッチの接続を認証する方法は、端末と、IEEE802.1xの認証サーバと、に接続されるIEEE802.1x認証機能を有する第一のスイッチと第二のスイッチとにおいて、認証スイッチの接続を認証する方法であって、前記第一のスイッチが、前記第一のスイッチのIDと、前記第一のスイッチのパスワードと、前記第一のスイッチの接続認証を有効にするポート番号と、を含む第一の認証情報を設定し記憶する手順と、前記第二のスイッチが、前記第二のスイッチのIDと、前記第二のスイッチのパスワードと、前記第二のスイッチの接続認証を有効にするポート番号と、を含む第二の認証情報を設定し記憶する手順と、前記第一のスイッチが、前記第二のスイッチから前記第二の認証情報を取得し記憶する手順と、前記第二のスイッチが、前記第一のスイッチから前記第一の認証情報を取得し記憶する手順と、前記第一のスイッチが、前記第一の認証情報及び前記第二の認証情報に基づいて第一の接続要求を判定する手順と、該判定の結果を前記端末に通報する手順と、該判定において前記第一の接続要求が前記第一の認証情報及び前記第二の認証情報に適合する場合に接続を許可する手順と、前記第二のスイッチが、前記第一の認証情報及び前記第二の認証情報に基づいて第二の接続要求を判定する手順と、該判定の結果を前記端末に通報する手順と、該判定において前記第二の接続要求が前記第一の認証情報及び前記第二の認証情報に適合する場合に接続を許可する手順と、を備えることを特徴とする。
【発明の効果】
【0012】
第一のスイッチは第二のスイッチから第二の認証情報を、第二のスイッチは第一のスイッチから第一の認証情報を、それぞれ取得し、前記第一のスイッチ及び前記第二のスイッチは、第一の認証情報及び第二の認証情報に基づいて接続要求をそれぞれ判定し、該判定の結果を端末にそれぞれ通報することにより、不正なスイッチが接続されたことを接続認証機能部5が通報することで、認証スイッチが不正に交換されることを防止し、交換された場合に通報し得る認証スイッチの接続を認証する装置及びその方法を得ることができる。
【発明を実施するための最良の形態】
【0013】
次に、本発明の実施の形態について図面を参照して詳細に説明する。図1は、本発明の実施の形態に係る認証スイッチの接続を認証する装置の全体の構成を示す図である。
【0014】
この図1において、本発明の実施の形態に係る認証スイッチの接続を認証する装置は、IEEE802.1x認証パソコン1と、パソコン2と、IEEE802.1x認証スイッチ3と、スイッチ6と、認証サーバ7とから構成される。
【0015】
IEEE802.1x認証スイッチ3は、他のスイッチと接続の認証を行う接続認証機能部4と、外部に接続されている機器との情報の入出力に使用するI/O(入出力部)8、9とを有し、スイッチ6は、認証情報の入出力を行う接続認証機能部5と、外部に接続されている機器との情報の入出力に使用するI/O10、11とを有している。
【0016】
続いて図2を用いて、本発明の実施の形態に係る本発明の実施の形態に係るIEEE802.1x認証スイッチ3と、スイッチ6との詳細な構成を説明する。
【0017】
図2に示すように、IEEE802.1x認証スイッチ3は、接続認証機能部4と、I/O8、9とを有し、このうち接続認証機能部4は、スイッチ6との認証情報の交換で使用する認証情報入出力部13と、認証情報を設定する認証情報設定手段15と、設定された認証情報及びスイッチ6と交換した認証情報を記憶する記憶装置16と、接続要求に係る認証情報と記憶装置16に記憶されている認証情報とを比較し、認証結果を判定する認証判定手段14と、認証判定手段14に基づいてI/O8からI/O9間の接続を行う接続部12と、認証結果を表示させる認証結果表示手段17、認証結果を通報する認証結果通報手段18と、を備える。
【0018】
又、図2において、スイッチ6は、接続認証機能部5と、I/O10、11とを有し、このうち接続認証機能部5は、接続認証機能部4と同様に、接続部19、認証情報入出力部20、認証判定手段21、認証情報設定手段22、記憶装置23、認証結果表示手段24及び認証結果通報手段25を備える。
【0019】
まず、IEEE802.1x認証スイッチ3及びスイッチ6は、自身のスイッチID、パスワード及び接続認証を有効にするポート番号を設定し、記憶装置16、23にそれぞれ保存する。
【0020】
次に、IEEE802.1x認証スイッチ3及びスイッチ6は、記憶装置16、23にそれぞれ保存している自身のスイッチIDと自分のパスワードの情報とを、認証情報入出力部13及び認証情報入出力部20により交換し合う。
【0021】
接続認証機能部4は、上述の交換により取得したスイッチ6のスイッチID及びパスワードと、自身のスイッチID、パスワード及び接続認証を有効にするポート番号とを、図3に示した認証情報26の形式で記憶装置16に記憶する。ここで、図3は本発明の実施の形態に係る認証情報の一例を示す図である。
【0022】
図3において、認証情報26は、「自分のスイッチID」としてIEEE802.1x認証スイッチ3のスイッチID1と、「自分のパスワード」としてIEEE802.1x認証スイッチ3のパスワード1と、「接続認証を有効にするポート番号」としてI/O9のポート番号と、接続相手であるスイッチ6のスイッチIDとしてスイッチID2と、接続相手であるスイッチ6のパスワードとしてパスワード2と、の情報を含んでいる。
【0023】
同様に、接続認証機能部5は、認証情報27を設定して、記憶装置23に記憶する。
【0024】
図3において、認証情報27は、「自分のスイッチID」としてスイッチ6のスイッチID2と、「自分のパスワード」としてスイッチ6のパスワード2と、「接続認証を有効にするポート番号」としてI/O10のポート番号と、接続相手であるIEEE802.1x認証スイッチ3のスイッチIDとしてスイッチID1と、接続相手であるIEEE802.1x認証スイッチ3のパスワードとしてパスワード1と、の情報を含んでいる。
【0025】
続いて、認証判定手段14及び認証判定手段21は、自身が記憶している認証情報26及び認証情報27と、相手のスイッチID、パスワード及びこの相手が指定してきたポート番号等の情報と、を基に図4のフローチャートの処理を行う。ここで、図4は、認証判定手段14が接続を認証し、パケットの転送を許可する手順を示したフローチャートである。
【0026】
まず、ステップS101では、接続相手が指定してきたI/Oポートが接続認証を有効にするポート番号(以下、「認証対象ポート」)か否かを認証情報26に基づいて判断する。認証情報26において認証対象ポートはI/O9となるので、接続相手が指定してきたポート番号が例えばI/O8の場合、判定はNOとなり、認証を要しないポートと判断され、パケット転送を行う(ステップS102)。一方で、相手が指定してきたI/Oポートが認証対象ポートに該当する場合は、ステップS103に移行する。
【0027】
ステップS103では、認証対象ポートから認証情報が入力されるか否かを判断する。認証対象ポートが例えばI/O9の場合、図2に示すように認証情報入出力部20よりI/O9を介して認証情報27は入力されているので、判定はYESとなり、手順はステップS104に移動する。
【0028】
一方で、認証情報が入力されなかった場合には判定はNOとなるので、I/O9でのパケット転送を拒否、認証結果表示手段17で不正スイッチ接続である旨を表示し、認証結果通報手段18で不正スイッチ接続であることを認証サーバ7への接続を要求してきた端末に通報する(ステップS105)。
【0029】
ステップS104では、認証対象ポートから入力された認証情報におけるスイッチIDの値が適正か否かを判断する。入力されたスイッチIDと記憶装置16が記憶している接続相手のスイッチIDの値が一致していれば判定はYESとなり、手順はステップS106に移動する。
【0030】
一方で、スイッチIDが異なっていた場合には判定はNOとなるので、認証対象ポートでのパケット転送を拒否、認証結果表示手段17でスイッチIDミスマッチと表示し、認証結果通報手段18でスイッチIDミスマッチであることを認証サーバ7への接続を要求してきた端末に通報する(ステップS107)。
【0031】
ステップS106では、認証対象ポートから入力された認証情報におけるパスワードの値が適正か否かを判断する。入力されたパスワードと記憶装置16の接続相手のパスワードが一致していれば判定はYESとなるので、認証対象ポートでのパケット転送を許可し、認証結果表示手段17で認証OKと表示し、認証結果通報手段18で認証OKであることを認証サーバ7への接続を要求してきた端末に通報し(ステップS108)、一連の手続は終了する。
【0032】
図4に示した一連の処理は、認証判定手段21が接続を認証し、パケットの転送を許可する場合も同様である。
【0033】
一方で、パスワードが異なっていた場合には判定はNOとなるので、認証対象ポートでのパケット転送を拒否、認証結果表示手段17でパスワードミスマッチと表示し、認証結果通報手段18でパスワードミスマッチであることを認証サーバ7への接続を要求してきた端末に通報する(ステップS109)。
【0034】
ここで、図5は図1のIEEE802.1x認証スイッチ3を通常のスイッチであるスイッチ28に交換した場合を示す図である。この場合は、スイッチ6の接続認証機能部5においてパケット転送を拒否する判定を行うため、IEEE802.1x認証パソコンではないパソコン2の通信を防止することができる。
【産業上の利用可能性】
【0035】
本発明は、認証によってクライアントからのアクセスの可否を判断するネットワーク環境での活用に適しており、ネットワークを活用しているあらゆる産業分野に利用できる。
【図面の簡単な説明】
【0036】
【図1】本発明の実施の形態に係る認証スイッチの接続を認証する装置の全体の構成を示す図である。
【図2】本発明の実施の形態に係るスイッチの詳細な構成を説明する図である。
【図3】本発明の実施の形態に係る認証情報の一例を示す図である。
【図4】認証判定手段が接続を認証し、パケットの転送を許可する手順を示したフローチャートである。
【図5】図1のIEEE802.1x認証スイッチを通常のスイッチに交換した場合を示す図である。
【符号の説明】
【0037】
1 IEEE802.1x認証パソコン
2 パソコン
3 IEEE802.1x認証スイッチ
4、5 接続認証機能部
6 スイッチ
7 認証サーバ
8、9、10、11 I/O
12 接続部
13 認証情報入出力部
14 認証判定手段
15 認証情報設定手段
16 記憶装置
17 認証結果表示手段
18 認証結果通報手段
19 接続部
20 認証情報入出力部
21 認証判定手段
22 認証情報設定手段
23 記憶装置
24 認証結果表示手段
25 認証結果通報手段
26、27 認証情報
28 スイッチ
【技術分野】
【0001】
本発明の認証スイッチの接続を認証する方式は、それを有する認証スイッチが不正にネットワークから取り外され、別のスイッチに交換されることを防止する認証スイッチの接続を認証する装置及びその方法に関する。
【背景技術】
【0002】
ネットワーク認証はIEEE802.1x認証機能を用いて、認証スイッチに接続する端末であるパソコンに実装されたIEEE802.1xサプリカントソフトが認証を実行し、認証をパスしたパソコンだけがネットワークに接続できる仕組みである。
【0003】
IEEE802.1xサプリカントソフトはパソコンにインストールされるもので、スイッチ同士の接続を認証するような仕組みではなかった。このため、従来の方法では不正なスイッチに交換されるとネットワークに接続できてしまうという問題点があった。
【0004】
従来のIEEE802.1x認証の仕組みではパソコンが接続されるスイッチをIEEE802.1x認証用スイッチにすることで不正なパソコンが接続されることを防止する機能であるが、パソコンに隣接するIEEE802.1x認証用スイッチが不正スイッチへ交換されることを防止することはできなかった。また不正スイッチに交換されたことを通報する手段も無かった。
【0005】
そのため、IEEE802.1x認証以外の認証方式をサポートする特許文献1と、IEEE802.x準拠の認証スイッチを有するシステムにおいて、認証スイッチを運用する技術に関する特許文献2と、スイッチ間で認証情報を交換し、この交換した認証情報に基づいて認証を行う特許文献3に係る技術がある。
【特許文献1】特開2007−267315号公報
【特許文献2】特開2007−049709号公報
【特許文献3】特開2007−306369号公報
【発明の開示】
【発明が解決しようとする課題】
【0006】
しかしながら、特許文献1にはIEEE802.1x認証以外の認証方式をサポートするマルチ認証機能スイッチが記載されているがマルチ認証スイッチ自体を不正に交換されることを防止することについての記述は無い。
【0007】
特許文献2は、認証スイッチを他のスイッチへ交換された場合、クライアントの認証を行うことができなくなるが、「認証スイッチの不正交換」と言う脆弱点を防止する手段がないという問題がある。
【0008】
特許文献3は、無線機器間での相互認証にはIDコードの設定が必須ではあるものの、ポート毎で相互認証の実行/非実行を選択可能ではないという問題がある。
【0009】
本発明は上記に鑑みてなされたもので、認証スイッチが不正に交換されることを防止し、交換された場合に通報し得る認証スイッチの接続を認証する装置及びその方法を得ることを目的とする。
【課題を解決するための手段】
【0010】
上述の課題を解決するため、本発明に係る認証スイッチの接続を認証する装置は、端末と、IEEE802.1xの認証サーバと、に接続される認証スイッチの接続を認証する装置であって、IEEE802.1x認証機能を有する第一のスイッチと、第二のスイッチと、を備え、前記第一のスイッチは、前記第一のスイッチのIDと、前記第一のスイッチのパスワードと、前記第一のスイッチの接続認証を有効にするポート番号と、を含む第一の認証情報を設定し、前記第二のスイッチは、前記第二のスイッチのIDと、前記第二のスイッチのパスワードと、前記第二のスイッチの接続認証を有効にするポート番号と、を含む第二の認証情報を設定し、前記第一のスイッチは、前記第二のスイッチから前記第二の認証情報を、前記第二のスイッチは、前記第一のスイッチから前記第一の認証情報を、それぞれ取得し、前記第一のスイッチ及び前記第二のスイッチは、前記第一の認証情報及び前記第二の認証情報に基づいて接続要求をそれぞれ判定し、該判定の結果を前記端末にそれぞれ通報し、該接続要求が前記第一の認証情報及び前記第二の認証情報に適合する場合にそれぞれ接続を許可することを特徴とする。
【0011】
上述の問題を解決するため、本発明に係る認証スイッチの接続を認証する方法は、端末と、IEEE802.1xの認証サーバと、に接続されるIEEE802.1x認証機能を有する第一のスイッチと第二のスイッチとにおいて、認証スイッチの接続を認証する方法であって、前記第一のスイッチが、前記第一のスイッチのIDと、前記第一のスイッチのパスワードと、前記第一のスイッチの接続認証を有効にするポート番号と、を含む第一の認証情報を設定し記憶する手順と、前記第二のスイッチが、前記第二のスイッチのIDと、前記第二のスイッチのパスワードと、前記第二のスイッチの接続認証を有効にするポート番号と、を含む第二の認証情報を設定し記憶する手順と、前記第一のスイッチが、前記第二のスイッチから前記第二の認証情報を取得し記憶する手順と、前記第二のスイッチが、前記第一のスイッチから前記第一の認証情報を取得し記憶する手順と、前記第一のスイッチが、前記第一の認証情報及び前記第二の認証情報に基づいて第一の接続要求を判定する手順と、該判定の結果を前記端末に通報する手順と、該判定において前記第一の接続要求が前記第一の認証情報及び前記第二の認証情報に適合する場合に接続を許可する手順と、前記第二のスイッチが、前記第一の認証情報及び前記第二の認証情報に基づいて第二の接続要求を判定する手順と、該判定の結果を前記端末に通報する手順と、該判定において前記第二の接続要求が前記第一の認証情報及び前記第二の認証情報に適合する場合に接続を許可する手順と、を備えることを特徴とする。
【発明の効果】
【0012】
第一のスイッチは第二のスイッチから第二の認証情報を、第二のスイッチは第一のスイッチから第一の認証情報を、それぞれ取得し、前記第一のスイッチ及び前記第二のスイッチは、第一の認証情報及び第二の認証情報に基づいて接続要求をそれぞれ判定し、該判定の結果を端末にそれぞれ通報することにより、不正なスイッチが接続されたことを接続認証機能部5が通報することで、認証スイッチが不正に交換されることを防止し、交換された場合に通報し得る認証スイッチの接続を認証する装置及びその方法を得ることができる。
【発明を実施するための最良の形態】
【0013】
次に、本発明の実施の形態について図面を参照して詳細に説明する。図1は、本発明の実施の形態に係る認証スイッチの接続を認証する装置の全体の構成を示す図である。
【0014】
この図1において、本発明の実施の形態に係る認証スイッチの接続を認証する装置は、IEEE802.1x認証パソコン1と、パソコン2と、IEEE802.1x認証スイッチ3と、スイッチ6と、認証サーバ7とから構成される。
【0015】
IEEE802.1x認証スイッチ3は、他のスイッチと接続の認証を行う接続認証機能部4と、外部に接続されている機器との情報の入出力に使用するI/O(入出力部)8、9とを有し、スイッチ6は、認証情報の入出力を行う接続認証機能部5と、外部に接続されている機器との情報の入出力に使用するI/O10、11とを有している。
【0016】
続いて図2を用いて、本発明の実施の形態に係る本発明の実施の形態に係るIEEE802.1x認証スイッチ3と、スイッチ6との詳細な構成を説明する。
【0017】
図2に示すように、IEEE802.1x認証スイッチ3は、接続認証機能部4と、I/O8、9とを有し、このうち接続認証機能部4は、スイッチ6との認証情報の交換で使用する認証情報入出力部13と、認証情報を設定する認証情報設定手段15と、設定された認証情報及びスイッチ6と交換した認証情報を記憶する記憶装置16と、接続要求に係る認証情報と記憶装置16に記憶されている認証情報とを比較し、認証結果を判定する認証判定手段14と、認証判定手段14に基づいてI/O8からI/O9間の接続を行う接続部12と、認証結果を表示させる認証結果表示手段17、認証結果を通報する認証結果通報手段18と、を備える。
【0018】
又、図2において、スイッチ6は、接続認証機能部5と、I/O10、11とを有し、このうち接続認証機能部5は、接続認証機能部4と同様に、接続部19、認証情報入出力部20、認証判定手段21、認証情報設定手段22、記憶装置23、認証結果表示手段24及び認証結果通報手段25を備える。
【0019】
まず、IEEE802.1x認証スイッチ3及びスイッチ6は、自身のスイッチID、パスワード及び接続認証を有効にするポート番号を設定し、記憶装置16、23にそれぞれ保存する。
【0020】
次に、IEEE802.1x認証スイッチ3及びスイッチ6は、記憶装置16、23にそれぞれ保存している自身のスイッチIDと自分のパスワードの情報とを、認証情報入出力部13及び認証情報入出力部20により交換し合う。
【0021】
接続認証機能部4は、上述の交換により取得したスイッチ6のスイッチID及びパスワードと、自身のスイッチID、パスワード及び接続認証を有効にするポート番号とを、図3に示した認証情報26の形式で記憶装置16に記憶する。ここで、図3は本発明の実施の形態に係る認証情報の一例を示す図である。
【0022】
図3において、認証情報26は、「自分のスイッチID」としてIEEE802.1x認証スイッチ3のスイッチID1と、「自分のパスワード」としてIEEE802.1x認証スイッチ3のパスワード1と、「接続認証を有効にするポート番号」としてI/O9のポート番号と、接続相手であるスイッチ6のスイッチIDとしてスイッチID2と、接続相手であるスイッチ6のパスワードとしてパスワード2と、の情報を含んでいる。
【0023】
同様に、接続認証機能部5は、認証情報27を設定して、記憶装置23に記憶する。
【0024】
図3において、認証情報27は、「自分のスイッチID」としてスイッチ6のスイッチID2と、「自分のパスワード」としてスイッチ6のパスワード2と、「接続認証を有効にするポート番号」としてI/O10のポート番号と、接続相手であるIEEE802.1x認証スイッチ3のスイッチIDとしてスイッチID1と、接続相手であるIEEE802.1x認証スイッチ3のパスワードとしてパスワード1と、の情報を含んでいる。
【0025】
続いて、認証判定手段14及び認証判定手段21は、自身が記憶している認証情報26及び認証情報27と、相手のスイッチID、パスワード及びこの相手が指定してきたポート番号等の情報と、を基に図4のフローチャートの処理を行う。ここで、図4は、認証判定手段14が接続を認証し、パケットの転送を許可する手順を示したフローチャートである。
【0026】
まず、ステップS101では、接続相手が指定してきたI/Oポートが接続認証を有効にするポート番号(以下、「認証対象ポート」)か否かを認証情報26に基づいて判断する。認証情報26において認証対象ポートはI/O9となるので、接続相手が指定してきたポート番号が例えばI/O8の場合、判定はNOとなり、認証を要しないポートと判断され、パケット転送を行う(ステップS102)。一方で、相手が指定してきたI/Oポートが認証対象ポートに該当する場合は、ステップS103に移行する。
【0027】
ステップS103では、認証対象ポートから認証情報が入力されるか否かを判断する。認証対象ポートが例えばI/O9の場合、図2に示すように認証情報入出力部20よりI/O9を介して認証情報27は入力されているので、判定はYESとなり、手順はステップS104に移動する。
【0028】
一方で、認証情報が入力されなかった場合には判定はNOとなるので、I/O9でのパケット転送を拒否、認証結果表示手段17で不正スイッチ接続である旨を表示し、認証結果通報手段18で不正スイッチ接続であることを認証サーバ7への接続を要求してきた端末に通報する(ステップS105)。
【0029】
ステップS104では、認証対象ポートから入力された認証情報におけるスイッチIDの値が適正か否かを判断する。入力されたスイッチIDと記憶装置16が記憶している接続相手のスイッチIDの値が一致していれば判定はYESとなり、手順はステップS106に移動する。
【0030】
一方で、スイッチIDが異なっていた場合には判定はNOとなるので、認証対象ポートでのパケット転送を拒否、認証結果表示手段17でスイッチIDミスマッチと表示し、認証結果通報手段18でスイッチIDミスマッチであることを認証サーバ7への接続を要求してきた端末に通報する(ステップS107)。
【0031】
ステップS106では、認証対象ポートから入力された認証情報におけるパスワードの値が適正か否かを判断する。入力されたパスワードと記憶装置16の接続相手のパスワードが一致していれば判定はYESとなるので、認証対象ポートでのパケット転送を許可し、認証結果表示手段17で認証OKと表示し、認証結果通報手段18で認証OKであることを認証サーバ7への接続を要求してきた端末に通報し(ステップS108)、一連の手続は終了する。
【0032】
図4に示した一連の処理は、認証判定手段21が接続を認証し、パケットの転送を許可する場合も同様である。
【0033】
一方で、パスワードが異なっていた場合には判定はNOとなるので、認証対象ポートでのパケット転送を拒否、認証結果表示手段17でパスワードミスマッチと表示し、認証結果通報手段18でパスワードミスマッチであることを認証サーバ7への接続を要求してきた端末に通報する(ステップS109)。
【0034】
ここで、図5は図1のIEEE802.1x認証スイッチ3を通常のスイッチであるスイッチ28に交換した場合を示す図である。この場合は、スイッチ6の接続認証機能部5においてパケット転送を拒否する判定を行うため、IEEE802.1x認証パソコンではないパソコン2の通信を防止することができる。
【産業上の利用可能性】
【0035】
本発明は、認証によってクライアントからのアクセスの可否を判断するネットワーク環境での活用に適しており、ネットワークを活用しているあらゆる産業分野に利用できる。
【図面の簡単な説明】
【0036】
【図1】本発明の実施の形態に係る認証スイッチの接続を認証する装置の全体の構成を示す図である。
【図2】本発明の実施の形態に係るスイッチの詳細な構成を説明する図である。
【図3】本発明の実施の形態に係る認証情報の一例を示す図である。
【図4】認証判定手段が接続を認証し、パケットの転送を許可する手順を示したフローチャートである。
【図5】図1のIEEE802.1x認証スイッチを通常のスイッチに交換した場合を示す図である。
【符号の説明】
【0037】
1 IEEE802.1x認証パソコン
2 パソコン
3 IEEE802.1x認証スイッチ
4、5 接続認証機能部
6 スイッチ
7 認証サーバ
8、9、10、11 I/O
12 接続部
13 認証情報入出力部
14 認証判定手段
15 認証情報設定手段
16 記憶装置
17 認証結果表示手段
18 認証結果通報手段
19 接続部
20 認証情報入出力部
21 認証判定手段
22 認証情報設定手段
23 記憶装置
24 認証結果表示手段
25 認証結果通報手段
26、27 認証情報
28 スイッチ
【特許請求の範囲】
【請求項1】
端末と、IEEE802.1xの認証サーバと、に接続される認証スイッチの接続を認証する装置であって、
IEEE802.1x認証機能を有する第一のスイッチと、第二のスイッチと、を備え、
前記第一のスイッチは、前記第一のスイッチのIDと、前記第一のスイッチのパスワードと、前記第一のスイッチの接続認証を有効にするポート番号と、を含む第一の認証情報を設定し、
前記第二のスイッチは、前記第二のスイッチのIDと、前記第二のスイッチのパスワードと、前記第二のスイッチの接続認証を有効にするポート番号と、を含む第二の認証情報を設定し、
前記第一のスイッチは、前記第二のスイッチから前記第二の認証情報を、前記第二のスイッチは、前記第一のスイッチから前記第一の認証情報を、それぞれ取得し、
前記第一のスイッチ及び前記第二のスイッチは、前記第一の認証情報及び前記第二の認証情報に基づいて接続要求をそれぞれ判定し、該判定の結果を前記端末にそれぞれ通報し、該接続要求が前記第一の認証情報及び前記第二の認証情報に適合する場合にそれぞれ接続を許可することを特徴とする認証スイッチの接続を認証する装置。
【請求項2】
前記第一のスイッチは、外部に接続されている機器との情報の入出力に使用するI/O(入出力部)と、接続要求を認証する第一の接続認証機能部と、を備え、
前記第一の接続認証機能部は、
前記第一の認証情報を設定する第一の認証情報設定手段と、
前記第二のスイッチから前記第二の認証情報を取得する第一の認証情報入出力部と、
前記第一の認証情報と前記第二の認証情報とを記憶する第一の記憶装置と、
接続要求に係る認証情報と、前記第一の認証情報及び前記第二の認証情報と、を比較し、該接続要求を判定する第一の認証判定手段と、
該判定に基づいて接続を行う第一の接続部と、
前記第一の認証判定手段での判定結果を表示する第一の認証結果表示手段と、
前記第一の認証判定手段での判定結果を前記端末に通報する第一の認証結果通報手段と、
を有し、
前記第二のスイッチは、外部に接続されている機器との情報の入出力に使用するI/O(入出力部)と、接続要求を認証する第二の接続認証機能部と、を備え、
前記第二の接続認証機能部は、
前記第二の認証情報を設定する第二の認証情報設定手段と、
前記第一のスイッチから前記第一の認証情報を取得する第二の認証情報入出力部と、
前記第一の認証情報と前記第二の認証情報とを記憶する第二の記憶装置と、
接続要求に係る認証情報と、前記第一の認証情報及び前記第二の認証情報と、を比較し、該接続要求を判定する第二の認証判定手段と、
該判定に基づいて接続を行う第二の接続部と、
前記第二の認証判定手段での判定結果を表示する第二の認証結果表示手段と、
前記第二の認証判定手段での判定結果を前記端末に通報する第二の認証結果通報手段と、
を有することを特徴とする請求項1に記載の認証スイッチの接続を認証する装置。
【請求項3】
前記第一の認証判定手段は、接続要求が前記第一のスイッチの接続認証を有効にするポート番号と、前記第二のスイッチのIDと、前記第二のスイッチのパスワードと、を有する場合に該接続要求を許可し、
前記第二の認証判定手段は、接続要求が前記第二のスイッチの接続認証を有効にするポート番号と、前記第一のスイッチのIDと、前記第一のスイッチのパスワードと、を有する場合に該接続要求を許可することを特徴とする請求項項1又は2に記載の認証スイッチの接続を認証する装置。
【請求項4】
前記第一の記憶装置は、前記第一の認証情報と前記第二の認証情報とのうち、前記第一のスイッチのIDと、前記第一のスイッチのパスワードと、前記第一のスイッチの接続認証を有効にするポート番号と、前記第二のスイッチのIDと、前記第二のスイッチのパスワードと、を含む情報を記憶し、
前記第二の記憶装置は、前記第一の認証情報と前記第二の認証情報とのうち、前記第二のスイッチのIDと、前記第二のスイッチのパスワードと、前記第二のスイッチの接続認証を有効にするポート番号と、前記第一のスイッチのIDと、前記第一のスイッチのパスワードと、を含む情報を記憶することを特徴とする請求項1乃至3のいずれか1項に記載の認証スイッチの接続を認証する装置。
【請求項5】
端末と、IEEE802.1xの認証サーバと、に接続されるIEEE802.1x認証機能を有する第一のスイッチと第二のスイッチとにおいて、認証スイッチの接続を認証する方法であって、
前記第一のスイッチが、前記第一のスイッチのIDと、前記第一のスイッチのパスワードと、前記第一のスイッチの接続認証を有効にするポート番号と、を含む第一の認証情報を設定し記憶する手順と、
前記第二のスイッチが、前記第二のスイッチのIDと、前記第二のスイッチのパスワードと、前記第二のスイッチの接続認証を有効にするポート番号と、を含む第二の認証情報を設定し記憶する手順と、
前記第一のスイッチが、前記第二のスイッチから前記第二の認証情報を取得し記憶する手順と、
前記第二のスイッチが、前記第一のスイッチから前記第一の認証情報を取得し記憶する手順と、
前記第一のスイッチが、前記第一の認証情報及び前記第二の認証情報に基づいて第一の接続要求を判定する手順と、
該判定の結果を前記端末に通報する手順と、
該判定において前記第一の接続要求が前記第一の認証情報及び前記第二の認証情報に適合する場合に接続を許可する手順と、
前記第二のスイッチが、前記第一の認証情報及び前記第二の認証情報に基づいて第二の接続要求を判定する手順と、
該判定の結果を前記端末に通報する手順と、
該判定において前記第二の接続要求が前記第一の認証情報及び前記第二の認証情報に適合する場合に接続を許可する手順と、
を備えることを特徴とする認証スイッチの接続を認証する方法。
【請求項6】
前記第一のスイッチが、前記第一の認証情報及び前記第二の認証情報に基づいて前記第一の接続要求を判定する手順は、前記第一の接続要求が前記第一のスイッチの接続認証を有効にするポート番号と、前記第二のスイッチのIDと、前記第二のスイッチのパスワードと、を有する場合に接続を許可する判定をし、
前記第二のスイッチが、前記第一の認証情報及び前記第二の認証情報に基づいて前記第二の接続要求を判定する手順は、前記第二の接続要求が前記第二のスイッチの接続認証を有効にするポート番号と、前記第一のスイッチのIDと、前記第一のスイッチのパスワードと、を有する場合に接続を許可する判定をすることを特徴とする請求項5に記載の認証スイッチの接続を認証する方法。
【請求項7】
前記第一のスイッチ及び前記第二のスイッチは、接続を許可する場合はその旨を、接続を許可しない場合はその旨を、表示する手順を、それぞれ更に備えることを特徴とする請求項5又は6に記載の認証スイッチの接続を認証する方法。
【請求項8】
前記第一のスイッチ及び前記第二のスイッチは、接続を許可する場合はその旨を、接続を許可しない場合はその旨を、前記端末に通報する手順を、それぞれ更に備えることを特徴とする請求項5乃至7のいずれか1項に記載の認証スイッチの接続を認証する方法。
【請求項1】
端末と、IEEE802.1xの認証サーバと、に接続される認証スイッチの接続を認証する装置であって、
IEEE802.1x認証機能を有する第一のスイッチと、第二のスイッチと、を備え、
前記第一のスイッチは、前記第一のスイッチのIDと、前記第一のスイッチのパスワードと、前記第一のスイッチの接続認証を有効にするポート番号と、を含む第一の認証情報を設定し、
前記第二のスイッチは、前記第二のスイッチのIDと、前記第二のスイッチのパスワードと、前記第二のスイッチの接続認証を有効にするポート番号と、を含む第二の認証情報を設定し、
前記第一のスイッチは、前記第二のスイッチから前記第二の認証情報を、前記第二のスイッチは、前記第一のスイッチから前記第一の認証情報を、それぞれ取得し、
前記第一のスイッチ及び前記第二のスイッチは、前記第一の認証情報及び前記第二の認証情報に基づいて接続要求をそれぞれ判定し、該判定の結果を前記端末にそれぞれ通報し、該接続要求が前記第一の認証情報及び前記第二の認証情報に適合する場合にそれぞれ接続を許可することを特徴とする認証スイッチの接続を認証する装置。
【請求項2】
前記第一のスイッチは、外部に接続されている機器との情報の入出力に使用するI/O(入出力部)と、接続要求を認証する第一の接続認証機能部と、を備え、
前記第一の接続認証機能部は、
前記第一の認証情報を設定する第一の認証情報設定手段と、
前記第二のスイッチから前記第二の認証情報を取得する第一の認証情報入出力部と、
前記第一の認証情報と前記第二の認証情報とを記憶する第一の記憶装置と、
接続要求に係る認証情報と、前記第一の認証情報及び前記第二の認証情報と、を比較し、該接続要求を判定する第一の認証判定手段と、
該判定に基づいて接続を行う第一の接続部と、
前記第一の認証判定手段での判定結果を表示する第一の認証結果表示手段と、
前記第一の認証判定手段での判定結果を前記端末に通報する第一の認証結果通報手段と、
を有し、
前記第二のスイッチは、外部に接続されている機器との情報の入出力に使用するI/O(入出力部)と、接続要求を認証する第二の接続認証機能部と、を備え、
前記第二の接続認証機能部は、
前記第二の認証情報を設定する第二の認証情報設定手段と、
前記第一のスイッチから前記第一の認証情報を取得する第二の認証情報入出力部と、
前記第一の認証情報と前記第二の認証情報とを記憶する第二の記憶装置と、
接続要求に係る認証情報と、前記第一の認証情報及び前記第二の認証情報と、を比較し、該接続要求を判定する第二の認証判定手段と、
該判定に基づいて接続を行う第二の接続部と、
前記第二の認証判定手段での判定結果を表示する第二の認証結果表示手段と、
前記第二の認証判定手段での判定結果を前記端末に通報する第二の認証結果通報手段と、
を有することを特徴とする請求項1に記載の認証スイッチの接続を認証する装置。
【請求項3】
前記第一の認証判定手段は、接続要求が前記第一のスイッチの接続認証を有効にするポート番号と、前記第二のスイッチのIDと、前記第二のスイッチのパスワードと、を有する場合に該接続要求を許可し、
前記第二の認証判定手段は、接続要求が前記第二のスイッチの接続認証を有効にするポート番号と、前記第一のスイッチのIDと、前記第一のスイッチのパスワードと、を有する場合に該接続要求を許可することを特徴とする請求項項1又は2に記載の認証スイッチの接続を認証する装置。
【請求項4】
前記第一の記憶装置は、前記第一の認証情報と前記第二の認証情報とのうち、前記第一のスイッチのIDと、前記第一のスイッチのパスワードと、前記第一のスイッチの接続認証を有効にするポート番号と、前記第二のスイッチのIDと、前記第二のスイッチのパスワードと、を含む情報を記憶し、
前記第二の記憶装置は、前記第一の認証情報と前記第二の認証情報とのうち、前記第二のスイッチのIDと、前記第二のスイッチのパスワードと、前記第二のスイッチの接続認証を有効にするポート番号と、前記第一のスイッチのIDと、前記第一のスイッチのパスワードと、を含む情報を記憶することを特徴とする請求項1乃至3のいずれか1項に記載の認証スイッチの接続を認証する装置。
【請求項5】
端末と、IEEE802.1xの認証サーバと、に接続されるIEEE802.1x認証機能を有する第一のスイッチと第二のスイッチとにおいて、認証スイッチの接続を認証する方法であって、
前記第一のスイッチが、前記第一のスイッチのIDと、前記第一のスイッチのパスワードと、前記第一のスイッチの接続認証を有効にするポート番号と、を含む第一の認証情報を設定し記憶する手順と、
前記第二のスイッチが、前記第二のスイッチのIDと、前記第二のスイッチのパスワードと、前記第二のスイッチの接続認証を有効にするポート番号と、を含む第二の認証情報を設定し記憶する手順と、
前記第一のスイッチが、前記第二のスイッチから前記第二の認証情報を取得し記憶する手順と、
前記第二のスイッチが、前記第一のスイッチから前記第一の認証情報を取得し記憶する手順と、
前記第一のスイッチが、前記第一の認証情報及び前記第二の認証情報に基づいて第一の接続要求を判定する手順と、
該判定の結果を前記端末に通報する手順と、
該判定において前記第一の接続要求が前記第一の認証情報及び前記第二の認証情報に適合する場合に接続を許可する手順と、
前記第二のスイッチが、前記第一の認証情報及び前記第二の認証情報に基づいて第二の接続要求を判定する手順と、
該判定の結果を前記端末に通報する手順と、
該判定において前記第二の接続要求が前記第一の認証情報及び前記第二の認証情報に適合する場合に接続を許可する手順と、
を備えることを特徴とする認証スイッチの接続を認証する方法。
【請求項6】
前記第一のスイッチが、前記第一の認証情報及び前記第二の認証情報に基づいて前記第一の接続要求を判定する手順は、前記第一の接続要求が前記第一のスイッチの接続認証を有効にするポート番号と、前記第二のスイッチのIDと、前記第二のスイッチのパスワードと、を有する場合に接続を許可する判定をし、
前記第二のスイッチが、前記第一の認証情報及び前記第二の認証情報に基づいて前記第二の接続要求を判定する手順は、前記第二の接続要求が前記第二のスイッチの接続認証を有効にするポート番号と、前記第一のスイッチのIDと、前記第一のスイッチのパスワードと、を有する場合に接続を許可する判定をすることを特徴とする請求項5に記載の認証スイッチの接続を認証する方法。
【請求項7】
前記第一のスイッチ及び前記第二のスイッチは、接続を許可する場合はその旨を、接続を許可しない場合はその旨を、表示する手順を、それぞれ更に備えることを特徴とする請求項5又は6に記載の認証スイッチの接続を認証する方法。
【請求項8】
前記第一のスイッチ及び前記第二のスイッチは、接続を許可する場合はその旨を、接続を許可しない場合はその旨を、前記端末に通報する手順を、それぞれ更に備えることを特徴とする請求項5乃至7のいずれか1項に記載の認証スイッチの接続を認証する方法。
【図1】
【図2】
【図3】
【図4】
【図5】
【図2】
【図3】
【図4】
【図5】
【公開番号】特開2009−239427(P2009−239427A)
【公開日】平成21年10月15日(2009.10.15)
【国際特許分類】
【出願番号】特願2008−80246(P2008−80246)
【出願日】平成20年3月26日(2008.3.26)
【出願人】(000232140)NECフィールディング株式会社 (373)
【Fターム(参考)】
【公開日】平成21年10月15日(2009.10.15)
【国際特許分類】
【出願日】平成20年3月26日(2008.3.26)
【出願人】(000232140)NECフィールディング株式会社 (373)
【Fターム(参考)】
[ Back to top ]