ネットワーク中継装置
【課題】セキュリティの向上と利便性を両立させたネットワーク中継装置を提供する。
【解決手段】ネットワーク中継装置は、外部装置が接続されるとともに、接続された外部装置に対して行うべき認証の種類が予め対応づけられている複数のポートと、ネットワーク中継装置に外部装置が接続された際に、外部装置が接続されたポートに対して予め定められた認証の種類に従って、外部装置との間で必要な認証を行う認証処理部と、フレームを受信したポートに対して予め定められた認証の種類が第1の認証種類である場合は、受信フレームを中継するとともに、フレームを受信したポートに対して予め定められた認証の種類が第2の認証種類である場合は、認証処理部による認証が成功した場合に受信フレームを中継する中継処理部と、を備える。
【解決手段】ネットワーク中継装置は、外部装置が接続されるとともに、接続された外部装置に対して行うべき認証の種類が予め対応づけられている複数のポートと、ネットワーク中継装置に外部装置が接続された際に、外部装置が接続されたポートに対して予め定められた認証の種類に従って、外部装置との間で必要な認証を行う認証処理部と、フレームを受信したポートに対して予め定められた認証の種類が第1の認証種類である場合は、受信フレームを中継するとともに、フレームを受信したポートに対して予め定められた認証の種類が第2の認証種類である場合は、認証処理部による認証が成功した場合に受信フレームを中継する中継処理部と、を備える。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、ネットワーク中継装置に関する。
【背景技術】
【0002】
ICT(Information and Communication Technology)技術の進展に伴い、インテリジェントスイッチと呼ばれるスイッチ製品が登場している。このようなインテリジェントスイッチは、一般的なスイッチと比較して高機能なスイッチのことを意味する。インテリジェントスイッチは様々な機能、例えば、VLAN(Virtual Local Area Network)機能や、セキュリティ機能や、QoSサービス品質機能等を備えている(例えば、特許文献1)。このような機能の中でも、近年では、ネットワーク内部における脅威を重要視したセキュリティ機能の向上が求められている。
【0003】
一方、セキュリティの向上と利便性とはトレードオフの関係であり、一方を追求すれば他方を犠牲にせざるを得ないという実情がある。例えば、インテリジェントスイッチにおいて、一般に広く用いられているポートベースのセキュリティ(インテリジェントスイッチのポートに接続する外部装置のMACアドレスに基づいてトラフィックの入力を制限する)を採用した場合、そのポートに接続される外部装置のMACアドレスを予め知る必要がある。
【0004】
しかし、近年では、企業内において個人所有のモバイル端末やスマートフォンなどを業務に利用する従業員や、契約社員や関連会社、取引先のスタッフといったゲストユーザーも増えるようになったことから、このような不特定多数の外部装置が接続されることが想定されるポートについて厳格なセキュリティポリシーを運用することは利便性を損なうという問題があった。
【0005】
また、このような問題は、インテリジェントスイッチに限らず、セキュリティ機能を備えるネットワーク中継装置全般に共通する問題であった。
【先行技術文献】
【特許文献】
【0006】
【特許文献1】特開2008−48252号公報
【特許文献2】特開2006−128985号公報
【特許文献3】特開2009−239427号公報
【特許文献4】特開2006−50372号公報
【特許文献5】特開2002−204247号公報
【発明の概要】
【発明が解決しようとする課題】
【0007】
本発明は、セキュリティの向上と利便性を両立させたネットワーク中継装置を提供することを目的とする。
【課題を解決するための手段】
【0008】
本発明は、上述の課題の少なくとも一部を解決するためになされたものであり、以下の形態又は適用例として実現することが可能である。
【0009】
[適用例1]
ネットワーク中継装置であって、
外部装置が接続されるとともに、接続された前記外部装置に対して行うべき認証の種類が予め対応づけられている複数のポートと、
前記ネットワーク中継装置に前記外部装置が接続された際に、前記外部装置が接続されたポートに対して予め定められた前記認証の種類に従って、前記外部装置との間で必要な認証を行う認証処理部と、
フレームを受信したポートに対して予め定められた前記認証の種類が第1の認証種類である場合は、受信フレームを中継するとともに、フレームを受信したポートに対して予め定められた前記認証の種類が第2の認証種類である場合は、前記認証処理部による認証が成功した場合に受信フレームを中継する中継処理部と、
を備える、ネットワーク中継装置。
このような構成にすれば、中継処理部は、フレームを受信したポートに対して予め定められた認証の種類が第1の認証種類の場合は、外部装置からの受信フレームを中継し、フレームを受信したポートに対して予め定められた認証の種類が第2の認証種類の場合は、接続された外部装置の認証が成功した場合に、外部装置からの受信フレームを中継するため、ネットワーク中継装置において、セキュリティの向上と利便性を両立させることができる。
【0010】
[適用例2]
適用例1記載のネットワーク中継装置であって、さらに、
前記認証の種類として前記第1の認証種類が対応付けられているポートに接続された前記外部装置からの受信フレームを監視するセキュリティ管理部を備える、ネットワーク中継装置。
このような構成にすれば、認証の種類として第1の認証種類が対応付けられているポートに接続された外部装置からの受信フレームを監視するセキュリティ管理部を備えるため、ネットワーク中継装置において、セキュリティの向上を図ることができる。
【0011】
[適用例3]
適用例1または2記載のネットワーク中継装置であって、
前記セキュリティ管理部は、さらに、
前記認証の種類として前記第1の認証種類が対応付けられているポートに接続された前記外部装置からの受信フレームに、コンピュータウィルスが含まれるか否かを検出する、ネットワーク中継装置。
このような構成にすれば、セキュリティ管理部は、認証の種類として第1の認証種類が対応付けられているポートに接続された外部装置からの受信フレームに、コンピュータウィルスが含まれるか否かを検出するため、ネットワーク中継装置において、セキュリティの向上を図ることができる。
【0012】
[適用例4]
適用例1ないし3のいずれか一項記載のネットワーク中継装置であって、
前記セキュリティ管理部は、さらに、
前記外部装置が接続された際に、前記認証の種類として前記第1の認証種類が対応付けられているポートに接続された前記外部装置と、前記認証の種類として前記第2の認証種類が対応付けられているポートに接続された前記外部装置とに対して、異なる仮想ネットワークの識別子を送信する、ネットワーク中継装置。
このような構成にすれば、セキュリティ管理部は、外部装置が接続された際に、認証の種類として第1の認証種類が対応付けられているポートに接続された外部装置と、認証の種類として第2の認証種類が対応付けられているポートに接続された外部装置とに対して、異なる仮想ネットワークの識別子を送信するため、ネットワーク中継装置において、セキュリティの向上を図ることができる。
【0013】
[適用例5]
適用例1ないし4のいずれか一項記載のネットワーク中継装置であって、さらに、
前記中継処理部が前記受信フレームの中継可否を決定する際に用いる情報であって、前記受信フレームに含まれる情報を用いて中継可能なフレームを特定することができるように構成されている第1の許可リストを備え、
前記中継処理部は、さらに、
前記第1の許可リストに規定された内容を変更する認証情報管理部を含む、ネットワーク中継装置。
このような構成にすれば、中継処理部は、受信フレームに含まれる情報を用いて中継可能なフレームを特定することができるように構成されている第1の許可リストを用いて受信フレームの中継可否を決定し、認証情報管理部は、第1の許可リストに規定された内容を変更するため、ネットワーク中継装置において、セキュリティの向上を図ることができる。
【0014】
[適用例6]
適用例5記載のネットワーク中継装置であって、
前記認証情報管理部は、
前記認証の種類として前記第1の認証種類が対応付けられているポートに前記外部装置が接続された場合に、前記外部装置からの受信フレームを中継可能とするように前記第1の許可リストに規定された内容を変更し、
前記認証の種類として前記第2の認証種類が対応付けられているポートに前記外部装置が接続され、前記認証処理部による認証が成功した場合に、前記外部装置からの受信フレームを中継可能とするように前記第1の許可リストに規定された内容を変更する、
ネットワーク中継装置。
このような構成にすれば、認証情報管理部は、認証の種類として第1の認証種類が対応付けられているポートに外部装置が接続された場合に、外部装置からの受信フレームを中継可能とするように第1の許可リストに規定された内容を変更し、認証の種類として第2の認証種類が対応付けられているポートに外部装置が接続され、認証が成功した場合に、外部装置からの受信フレームを中継可能とするように第1の許可リストに規定された内容を変更するため、ネットワーク中継装置において、セキュリティの向上と利便性を両立させることができる。
【0015】
[適用例7]
適用例5または6記載のネットワーク中継装置であって、
前記認証情報管理部は、さらに、
前記第1の許可リストを変更した場合は、前記ネットワーク中継装置に接続されている他のネットワーク中継装置に対して、前記第1の許可リストの内容を送信する、ネットワーク中継装置。
このような構成にすれば、認証情報管理部は、第1の許可リストを変更した場合は、ネットワーク中継装置に接続されている他のネットワーク中継装置に対して、第1の許可リストの内容を送信するため、ネットワーク中継装置において、さらに利便性の向上を図ることができる。
【0016】
なお、本発明は、種々の態様で実現することが可能である。例えば、本発明は、ネットワーク中継装置、ネットワーク中継装置の制御方法、ネットワーク中継装置を用いたネットワークシステム、および、それらの方法または装置の機能を実現するためのコンピュータプログラム、そのコンピュータプログラムを記憶した記憶媒体等の形態で実現することができる。
【図面の簡単な説明】
【0017】
【図1】本発明の一実施例としてのネットワーク中継装置および端末の概略構成を示す説明図である。
【図2】スイッチの構成を概略的に示す説明図である。
【図3】認証方法リストの一例を示す説明図である。
【図4】許可リストの一例を示す説明図である。
【図5】フレーム受信時処理の手順を示すフローチャートである。
【図6】スイッチに新たな外部装置(PC)が接続された場合であってNo Authイニシャル処理(図5:ステップS32)が行われる際の様子を示す説明図である。
【図7】No Authイニシャル処理(図5:ステップS32)の処理の流れを示すシーケンス図である。
【図8】スイッチに新たな外部装置(PC)が接続された場合であって認証処理(図5:ステップS16)が行われる際の様子を示す説明図である。
【図9】認証処理(図5:ステップS16)の処理の流れを示すシーケンス図である。
【図10】許可リストの他の例を示す説明図である。
【図11】スイッチに新たな外部装置(他のスイッチ)が接続された場合であってNo Authイニシャル処理(図5:ステップS32)が行われる際の様子を示す説明図である。
【図12】第2実施例におけるスイッチの構成を概略的に示す説明図である。
【図13】VLAN定義情報の一例を示す説明図である。
【図14】デフォルトVLAN情報の一例を示す説明図である。
【図15】第2実施例におけるスイッチに新たな外部装置(PC)が接続された場合であってNo Authイニシャル処理(図5:ステップS32)が行われる際の様子を示す説明図である。
【図16】第2実施例におけるNo Authイニシャル処理(図5:ステップS32)の処理の流れを示すシーケンス図である。
【発明を実施するための形態】
【0018】
次に、本発明の実施の形態を実施例に基づいて以下の順序で説明する。
【0019】
A.第1実施例:
(A−1)装置構成:
図1は、本発明の一実施例としてのネットワーク中継装置および端末の概略構成を示す説明図である。ネットワーク中継装置(以降、「スイッチ」とも呼ぶ。)100は、いわゆるレイヤ2スイッチであり、MACアドレスによるフレームの中継を行う機能を有する。また、スイッチ100は、5つのポートP501〜P505を備えている。ポートには外部装置(例えば、PCや他のスイッチ)が接続される。
【0020】
図1の例では、ポートP501には、回線を通じてパーソナルコンピュータ(以降、「端末」、「PC」とも呼ぶ。)10が接続されている。PC10のMACアドレスはMAC_PC10である。ポートP502には、回線を通じてPC20が接続されている。PC20のMACアドレスはMAC_PC20である。ポートP503には、LANケーブルのみが接続されている。ポートP503は、例えば、契約社員や関連会社、取引先のスタッフといったゲストユーザー用のLAN接続口であり、不特定多数のPCが接続されることが想定されている。なお、図1では便宜上、説明上必要としない、他のネットワーク装置、回線、端末、およびネットワーク中継装置100内の構成部については図示を省略している。このことは、後述する図においても同様である。
【0021】
図2は、スイッチ100の構成を概略的に示す説明図である。スイッチ100は、CPU200と、ROM300と、RAM400と、有線通信インタフェース(有線通信I/F)500とを備えている。スイッチ100の各構成要素は、バスを介して互いに接続されている。
【0022】
CPU200は、ROM300に格納されているコンピュータプログラムをRAM400に展開して実行することにより、スイッチ100の各部を制御する。また、CPU200は、中継処理部210、EAP認証部240、セキュリティ管理部250としても機能する。中継処理部210は、さらに、認証情報管理部220と、MACアドレス認証部230とを含み、有線通信インタフェース500を介して受信したフレームである受信フレームを中継する機能を有する。認証情報管理部220は、主として、許可リスト420を更新する機能と、他のスイッチとの間において許可リスト420を交換する機能とを有する。MACアドレス認証部230は、受信フレームの中継可否を決定する機能を有する。認証処理部としてのEAP認証部240は、スイッチ100に外部装置(例えば、PCや他のスイッチ)が接続された際に、予め定められた認証方式に従って、外部装置との間で認証を行う機能を有する。セキュリティ管理部250は、受信フレームに対するセキュリティ面からの管理を行う機能を有する。これら各機能部についての詳細は後述する。
【0023】
RAM400には、認証方法リスト410と、許可リスト420とが含まれている。これら各リストについての詳細は後述する。有線通信インタフェース500は、ローカルエリアネットワーク(LAN)と接続するためのLANケーブルの接続口である。有線通信インタフェース500は、5つのポートP501〜P505を含んでいる。なお、本実施例では、ポートP501〜P504はスイッチ以外の外部装置(例えば、PCやモバイル端末等)を接続するためのポートである。ポートP505は、他のスイッチを接続するためのカスケード接続用ポートである。
【0024】
(A−2)テーブル構成:
図3は、認証方法リスト410の一例を示す説明図である。認証方法リスト410は、ポート番号フィールドと、認証の種類フィールドと、MAC認証フィールドとを含んでいる。ポート番号フィールドの各エントリには、スイッチ100が備える全てのポートについての識別子が格納されている。
【0025】
認証の種類フィールドには、ポート番号フィールドに格納されている各ポートに対して予め定められた認証の種類が格納されている。認証の種類とは、ポートに対して外部装置が接続された際に、EAP認証部240が接続された外部装置に対して行うべき認証の種類のことを意味する。本実施例における認証の種類は、「EAP」と、「No Auth」と、「Open」とを含んでいる。第2の認証種類としてのEAPは、スイッチ100に対して接続された外部装置の認証が必要であることを意味する。認証の種類がEAPである場合において実際に用いられる認証方式は、RAM400内部に予め格納されている。本実施例では、IEEE 802.1XのEAP−MD5(extensible authentication protocol-message digest version 5)を用いて認証を行う。なお、RAM400に格納されている認証方式は、利用者によるコンフィギュレーションが可能な構成としてもよい。
【0026】
第1の認証種類としてのNo Authは、スイッチ100に対して接続された外部装置の認証が不要であること(換言すれば、外部装置の認証を省略すること)を意味する。Openは、スイッチ100に対して接続された外部装置の認証を行わないことを意味する。No Authと、Openの違いについては後述する。
【0027】
MAC認証フィールドには、ポート番号フィールドに格納されている各ポートに対して予め定められたMACアドレス認証の有効(enable)/無効(disable)の設定値が格納されている。
【0028】
例えば、図3の例では、識別子P501で識別されるポート(ポートP501)に外部装置が接続された際には、EAPに基づく認証、すなわち、EAP−MD5認証方式に従って認証が行われることが規定されている。また、ポートP501からの受信フレームに対しては、MACアドレス認証を行うことが規定されている(エントリE01)。ポートP503に外部装置が接続された際には、認証を行わないこと(認証を省略すること)が規定されている。また、ポートP503からの受信フレームに対しては、MACアドレス認証を行うことが規定されている(エントリE03)。ポートP505に外部装置が接続された際には、認証を行わないことが規定されている。また、ポートP505からの受信フレームに対しては、MACアドレス認証を行わないことが規定されている(エントリE05)。
【0029】
すなわち、No Authに設定されたポート(ポートP503)と、Openに設定されたポート(ポートP505)とでは、当該ポートに接続された外部装置の認証を行わない、という点で共通する。しかし、両者は、次の点において相違する。
・認証の種類がNo Authに設定されたポートからの受信フレームに対しては、MACアドレス認証を行う。
・認証の種類がNo Authに設定されたポートからの受信フレームに対しては、後述のセキュリティ管理処理が施される。
・認証の種類がOpenに設定されたポートからの受信フレームに対しては、MACアドレス認証を行わない。
・認証の種類がOpenに設定されたポートからの受信フレームに対しては、セキュリティ管理処理を施さない。
【0030】
なお、エントリE05のように、認証の種類がOpenに設定されたポートでは、フレームの中継を正しく行うために、MACアドレス認証は無効(disable)に設定される。このため、スイッチ100は、認証の種類がOpenに設定されたポートに対しては、外部装置の接続時において認証を行わず、さらに、受信フレームに対するMACアドレス認証も行わない。この結果、認証の種類がOpenに設定されたポートがセキュリティホールになる恐れがある。
【0031】
図4は、許可リスト420の一例を示す説明図である。第1の許可リストとしての許可リスト420は、MACアドレス認証の際に使用されるリストである。許可リスト420には、スイッチ100の中継処理部210において中継を許可する受信フレームの送信元MACアドレス(フレームの送信元である装置のMACアドレス)が、許可アドレスとして格納されている。すなわち、許可リスト420には、受信フレームに含まれる情報を用いて中継可能なフレームを特定することができるように構成されているといえる。
【0032】
例えば、図4の例では、受信フレームのヘッダに含まれる送信元MACアドレスが、「MAC_PC10」、「MAC_PC20」のいずれかであれば、中継処理部210において当該フレームの中継が許可される。
【0033】
(A−3)フレーム受信時処理:
図5は、フレーム受信時処理の手順を示すフローチャートである。中継処理部210は、ポートP501〜P505のいずれかを介してフレームを受信したか否かを判定する(ステップS10)。フレームを受信していない場合(ステップS10:NO)、ステップS10へ戻る。フレームを受信した場合(ステップS10:YES)、中継処理部210は、受信フレームはEAPフレームか否かを判定する(ステップS12)。具体的には、例えば、中継処理部210は、受信フレームのヘッダに含まれるイーサタイプから判断される受信フレームのタイプがEAPOLである場合、EAPフレームを受信したと判定することができる。
【0034】
受信フレームがEAPフレームである場合(ステップS12:YES)、EAP認証部240は、認証方法リスト410を検索する(ステップS14)。具体的には、EAP認証部240は、認証方法リスト410を、フレームを受信したポートの識別子をキーとして検索し、一致するエントリの認証の種類フィールドの値を取得する。EAP認証部240は、認証処理を行った後、処理を終了する(ステップS16)。認証処理の詳細については後述する。
【0035】
一方、受信フレームがEAPフレーム以外のフレームである場合(ステップS12:NO)、EAP認証部240は認証方法リスト410を検索する(ステップS18)。具体的には、EAP認証部240は、認証方法リスト410を、フレームを受信したポートの識別子をキーとして検索し、一致するエントリの認証の種類フィールドの値と、MAC認証フィールドの値とを取得する。
【0036】
次に、EAP認証部240は、No Authポートからの最初の接続であるか否かを判定する(ステップS30)。具体的には、EAP認証部240は、ステップS18で取得した認証の種類フィールドの値が「No Auth」であり、かつ、受信フレームのヘッダに含まれる送信元MACアドレスが許可リスト420に格納されているMACアドレスのいずれかと一致するか否かを判定する。認証の種類フィールドの値がNo Auth、かつ、送信元MACアドレスが許可リスト420に格納されているMACアドレスと一致しない場合、EAP認証部240は、当該フレームは、No Authポートに接続された外部装置からの最初の受信フレームであると判定する(ステップS30:YES)。EAP認証部240は、No Authイニシャル処理を行った後、処理を終了する(ステップS32)。No Authイニシャル処理の詳細については後述する。
【0037】
一方、認証の種類フィールドの値がNo Authでない、または、認証の種類フィールドの値がNo Authであっても送信元MACアドレスが許可リスト420に格納されているMACアドレスのいずれかと一致する場合、EAP認証部240は、当該フレームは、No Authポート以外のポートに接続された外部装置からの受信フレーム、または、No Authポートに接続された外部装置からの2度目以降の受信フレームであると判定する(ステップS30:NO)。このため、MACアドレス認証部230は、MACアドレス認証を行うか否かを判定する(ステップS20)。具体的には、ステップS18において取得したMAC認証フィールドの値が「enable」であればMACアドレス認証を行い、ステップS18において取得した値が「disable」であればMACアドレス認証は行わない。MACアドレス認証を行わない場合(ステップS20:なし)、処理はステップS28へ遷移する。
【0038】
MACアドレス認証を行う場合(ステップS20:あり)、MACアドレス認証部230は、許可リスト420を検索する(ステップS22)。次に、MACアドレス認証部230は、受信フレームを中継可能であるか否かを判定する(ステップS24)。具体的には、MACアドレス認証部230は、受信フレームのヘッダに含まれる送信元MACアドレスが、許可リスト420に格納されているMACアドレスのいずれかと一致するか否かを判定する。一致しない場合(ステップS24:不可)、MACアドレス認証部230は、受信フレームを破棄し、処理を終了する(ステップS26)。受信フレームを破棄した際、MACアドレス認証部230は、破棄したフレームの送信元端末に対して、フレームを破棄した旨の通知を行ってもよい。
【0039】
一方、一致する場合(ステップS24:可)、MACアドレス認証部230は、受信フレームは中継可であるものとして、フレーム中継処理を行う(ステップS28)。フレーム中継処理において、中継処理部210は、図示しないMACアドレステーブルを参照し、フォワーディング(宛先MACアドレスがMACアドレステーブルにある場合のフレーム中継動作)もしくはフラッディング(宛先MACアドレスがMACアドレステーブルに無い場合の動作)を行った後、処理を終了する。このように、中継処理部210のMACアドレス認証部230は、許可リスト420に従って、受信フレームの中継可否を決定する。
【0040】
(A−4)新たな外部装置として端末が接続された場合:
以下では、スイッチ100に対して、新たな外部装置として端末(例えば、PC)が接続された場合について説明する。
(A−4−1)No Authイニシャル処理:
図6は、スイッチ100に新たな外部装置(PC30)が接続された場合であって、No Authイニシャル処理(図5:ステップS32)が行われる際の様子を示す説明図である。スイッチ100の構成は図1で説明した通りである。スイッチ100のうち、認証の種類がNo Authであるポート(例えば、ポートP503)に新たな外部装置(例えば、PC30、MACアドレスMAC_PC30)が接続された場合について考える。
【0041】
新たに接続されたPC30がスイッチ100(もしくはスイッチ100に接続される他のPC)へフレームを送信した場合、スイッチ100は、PC30からのフレームを検出する(図5:ステップS10:YES)。検出したフレームはEAPフレームではないため(ステップS12:NO)、EAP認証部240は、認証方法リスト410から、フレームを受信したポートP503の認証の種類フィールドの値「No Auth」と、MAC認証フィールドの値「enable」とを取得する(ステップS18)。EAP認証部240は、認証の種類フィールドの値「No Auth」であり、送信元MACアドレスのMAC_PC30が許可リスト420に格納されていないため、当該フレームは、No Authポートに接続された外部装置からの最初の受信フレームであると判定する(ステップS30:YES)。このため、EAP認証部240は、No Authイニシャル処理を行う(ステップS32)。
【0042】
図7は、No Authイニシャル処理(図5:ステップS32)の処理の流れを示すシーケンス図である。まず、スイッチ100は、PC30から送信されたフレームを受信する(ステップS100)。スイッチ100の認証情報管理部220は、PC30から受信したフレームのヘッダに含まれる送信元MACアドレスを、許可リスト420に追加する(ステップS102)。
【0043】
その後、スイッチ100のセキュリティ管理部250は、PC30に対するSyslog管理を開始する(ステップS104)。具体的には、セキュリティ管理部250は、PC30のカーネルや各種デーモン、アプリケーション等が出力するログを取得し、スイッチ100のRAM400や、他の記憶媒体(例えば、図示しないフラッシュROM、ハードディスク等)に記憶する。また、セキュリティ管理部250は、PC30から取得したログを監視し、何らかの異常を検知した場合には、スイッチ100の管理者に対して異常を検知した旨を通知してもよい。通知の方法としては、アラーム点灯、所定アドレスへの電子メール送信等、種々の方法を採用することができる。なお、PC30に対するSyslog管理は、PC30とのコネクションが切断するまで、継続して行うことが好ましい。
【0044】
なお、上記Syslog管理(ステップS104)は、あくまでセキュリティ管理部250によるセキュリティ管理の一例であり、Syslog管理に代えて、または、Syslog管理と共に、以下に挙げるような種々の管理方法を用いることができる。
・例えば、セキュリティ管理部250は、認証の種類がNo Authであるポートに接続された外部装置からの受信フレームに対してコンピュータウィルスが含まれるか否かを検出するためのウィルススキャンを実施することができる。例えば、受信フレームからコンピュータウィルスを検出した場合、セキュリティ管理部250は、当該受信フレームを中継せずに破棄することができる。また、受信フレーム破棄の際、スイッチ100の管理者に対してコンピュータウィルスを検出した旨を通知してもよい。
・例えば、セキュリティ管理部250は、認証の種類がNo Authであるポートに接続された外部装置のMACアドレスを、スイッチ100のRAM400や、他の記憶媒体(例えば、図示しないフラッシュROM、ハードディスク等)に記憶しておき、スイッチ100を含むネットワーク内部で問題が発生した場合などに参照可能な構成としておくことができる。
・例えば、セキュリティ管理部250は、No Authイニシャル処理が行われた際に、許可リスト420に対して新しく追加した外部装置の情報(例えば、PC30のMACアドレスや、PC30のユーザ名、パスワード等)を、電子メール等を用いて、スイッチ100の管理者に通知してもよい。
【0045】
上述のNo Authイニシャル処理を経て、スイッチ100の内部に格納されている許可リスト420には、既にスイッチ100に接続されている2台のPCのMACアドレス(MAC_PC10、MAC_PC20)に加えて、新たにスイッチ100に接続されたPC30のMACアドレス(MAC_PC30)が追加される(図6)。
【0046】
図6を用いて、No Authイニシャル処理が行われた後において、PC30からPC20へのフレームが送信された場合について考える。PC30からのフレームを受信したスイッチ100は(図5:ステップS10)、受信フレームはEAPフレームではないと判定する(ステップS12:NO)。EAP認証部240は、認証方法リスト410から、フレームを受信したポートP503における認証の種類フィールドの値「No Auth」と、MAC認証フィールドの値「enable」とを取得する(ステップS18)。EAP認証部240は、ステップS18で取得した認証の種類フィールドの値が「No Auth」であり、送信元MACアドレスであるMAC_PC30が許可リスト420に格納されているMACアドレスと一致するため、受信フレームは、No Authポートに接続された端末からの2度目以降の受信フレームであると判定する(ステップS30:NO)。
【0047】
次に、MACアドレス認証部230は、ステップS18で取得したMAC認証フィールドの値「enable」であるため、MACアドレス認証を行うものと判定する(ステップS20:あり)。MACアドレス認証部230は、許可リスト420を検索する(ステップS22)。送信元MACアドレスであるMAC_PC30が、許可リスト420に格納されているMACアドレスと一致するため、MACアドレス認証部230は、受信フレームを中継可能であると判定する(ステップS24:可)。スイッチ100の中継処理部210は、フレーム中継処理を行う(ステップS28)。この結果、スイッチ100がポートP503から受信したフレームは、スイッチ100のポートP502からPC20へ向けて送信される。
【0048】
なお、例えば、スイッチ100がさらに他のスイッチ(例えば、図示しないスイッチ100Z)と接続されている場合、スイッチ100は、更新後の許可リスト420に格納された許可アドレスを含むフレームを、さらに、他のスイッチ(スイッチ100Z)へ送信してもよい。このように、更新後の許可アドレスを自身が接続されている他のスイッチへ伝播する構成とすれば、MACアドレス認証で使用される許可リストの内容(すなわち、フレームの中継を許可すべき外部装置のMACアドレス)を、スイッチ間で交換することができるため、利便性がさらに向上する。なお、許可アドレスの伝播の範囲は、ルータで区切られた同一のセグメントの範囲内のスイッチとすることができる。なお、ルータそのものに対して許可アドレスの伝播を行ってもよい。そうすれば、ルータによっても、MACアドレスを管理することができる。
【0049】
以上のように、認証の種類が「No Auth」に設定されたポートに対して外部装置としての端末が接続された場合、スイッチ100は、接続された端末の認証を省略して、当該端末からのフレームの中継を許可するための処理(すなわち、No Authイニシャル処理)を行う。このため、認証の種類が「No Auth」に設定されたポートは、端末側において特別な処理(例えば、ユーザ名やパスワードの入力等)を必要せず、端末を接続するだけで通信が可能なポートとして提供可能となる。従って、例えば、スイッチ100の管理者は、不特定多数の端末の接続が考えられるポートに関しては、予め認証の種類を「No Auth」に設定しておくことで、スイッチ100における利便性を向上させることができる。
【0050】
さらに、セキュリティ管理部250は、認証の種類が「No Auth」に設定されたポートに対して、図7で説明した種々のセキュリティ管理を行う。このため、スイッチ100においては、上述のような利便性を確保しつつ、セキュリティの向上を図ることもできる。
【0051】
(A−4−2)認証処理:
図8は、スイッチ100に新たな外部装置(PC40)が接続された場合であって、認証処理(図5:ステップS16)が行われる際の様子を示す説明図である。スイッチ100の構成は図1で説明した通りである。スイッチ100のうち、認証の種類がEAPであるポート(例えば、ポートP504)に新たな外部装置(例えば、PC40、MACアドレスMAC_PC40)が接続された場合について考える。
【0052】
新たに接続されたPC40がスイッチ100へフレームを送信した場合、スイッチ100は、PC40からのフレームを検出する(図5:ステップS10:YES)。PC40からのフレームは、認証の開始を要求するためのEAPOL開始フレームであるため(ステップS12:YES)、EAP認証部240は、認証方法リスト410を検索し、認証の種類はEAPであると判定する(ステップS14)。このため、EAP認証部240は、認証処理を行う(ステップS16)。
【0053】
図9は、認証処理(図5:ステップS16)の処理の流れを示すシーケンス図である。まず、サプリカント(Supplicant)としてのPC40から、オーセンティケータ(Authenticator)としてのスイッチ100に対して、認証の開始を要求するためのEAPOL開始フレーム(EAP over LAN-Start)が送信される(ステップS200)。EAPOL開始フレームを受信したスイッチ100のEAP認証部240は、サプリカントのIDを要求するEAP要求フレームを送信する(ステップS204)。要求フレームを受信したPC40は、サプリカントのIDを含んだEAP応答フレームを送信する(ステップS206)。次に、スイッチ100のEAP認証部240は、認証に使用するEAPのタイプ(本実施例では、EAP−MD5)を通知するEAP要求フレームを送信する(ステップS208)。要求フレームを受信したPC40は、認証に使用するEAPのタイプ(本実施例では、EAP−MD5)の識別子を含んだEAP応答フレームを送信する(ステップS210)。
【0054】
その後、スイッチ100と、PC40との間で、ステップS210で通知された認証方式に則った認証が行われる(ステップS212)。認証が成功した場合、スイッチ100のEAP認証部240は、認証が成功した旨のEAPフレームを送信する(ステップS214)。なお、上述した各フレームは、EAPの規約で予め定められた形式に則った構成とされ、IDやタイプ等の値は、フレーム中の規定の位置に格納されるデータとして送受信される。認証成功後、スイッチ100の認証情報管理部220は、PC40から受信したフレームのヘッダに含まれる送信元MACアドレスを、許可リスト420に追加する(ステップS216)。
【0055】
上述の認証処理を経て、外部装置の認証が成功した際は、スイッチ100の内部に格納されている許可リスト420には、既にスイッチ100に接続されている2台のPCのMACアドレス(MAC_PC10、MAC_PC20)に加えて、新たにスイッチ100に接続されたPC40のMACアドレス(MAC_PC40)が追加される(図8)。このため、図6における説明と同様に、認証処理後は、スイッチ100とPC40との間におけるフレームは、中継処理部210によって中継される。すなわち、認証の種類が「EAP」に設定されたポートについては、認証処理成功後に、通信が可能なポートとして提供可能となる。
【0056】
(A−5)新たな外部装置として他のスイッチが接続された場合:
以下では、スイッチ100に対して、新たな外部装置として他のスイッチが接続された場合について説明する。
【0057】
図10は、許可リスト420の他の例を示す説明図である。図3に示した例との違いは、ポートP505における設定値(エントリE05)のみである。図10の例では、ポートP505(すなわち、カスケード接続用ポート)に外部装置としての他のスイッチが接続された際には、認証を行わないこと(認証を省略すること)が規定されている。また、ポートP505からの受信フレームに対しては、MACアドレス認証を行うことが規定されている(エントリE05)。
【0058】
(A−5−1)No Authイニシャル処理:
図11は、スイッチ100に新たな外部装置(他のスイッチ100X)が接続された場合であって、No Authイニシャル処理(図5:ステップS32)が行われる際の様子を示す説明図である。スイッチ100の構成は、許可リスト420に格納されている内容が図10に示した内容である点を除いては、図1に示したスイッチ100と同様である。
【0059】
また、スイッチ100Xの構成は、ポート501がカスケード接続用ポートに設定される点を除いては、図1に示したスイッチ100と同様である。スイッチ100XのポートP501は、回線を通じてスイッチ100のポートP505と接続されている。また、スイッチ100XのポートP502にはPC50が、ポートP503にはPC60が、ポートP504にはPC70が、それぞれ回線を通じて接続されている。また、PC50のMACアドレスはMAC_PC50、PC60のMACアドレスはMAC_PC60、PC70のMACアドレスはMAC_PC70である。なお、スイッチ100X内部に格納されている認証方法リスト410、許可リスト420等については、記載を省略する。
【0060】
図11のように、スイッチ100の認証の種類がNo Authであるカスケード接続用ポートP505に対して、新たなスイッチ100Xが接続され、PC50からPC20へフレームが送信された場合について考える。なお、スイッチ100Xにおけるフレームの中継処理等の処理は、説明を省略する。
【0061】
PC50がPC20へフレームを送信した場合、スイッチ100は、スイッチ100Xを介して送信されるPC50からのフレームを検出する(図5:ステップS10:YES)。検出したフレームはEAPフレームではないため(ステップS12:NO)、スイッチ100のEAP認証部240は、認証方法リスト410から、フレームを受信したポートP505の認証の種類フィールドの値「No Auth」と、MAC認証フィールドの値「enable」とを取得する(ステップS18)。スイッチ100のEAP認証部240は、認証の種類フィールドの値「No Auth」であり、送信元MACアドレスのMAC_PC50が許可リスト420に格納されていないため、当該フレームは、No Authポートに接続された外部装置からの最初の受信フレームであると判定する(ステップS30:YES)。このため、スイッチ100のEAP認証部240は、No Authイニシャル処理を行う(ステップS30)。No Authイニシャル処理は、図7で説明した通りである。
【0062】
No Authイニシャル処理を経て、スイッチ100の内部に格納されている許可リスト420には、既にスイッチ100に直接的に接続されている2台のPCのMACアドレス(MAC_PC10、MAC_PC20)に加えて、スイッチ100Xを介して新たにスイッチ100に接続されたPC50のMACアドレス(MAC_PC50)が追加される(図11)。このように、PC50のMACアドレスが許可リスト420に追加された後のスイッチ100においては、新たに接続されたPC50との間の送受信フレームについても、図6で説明したものと同様に、破棄されることなく中継される。また、スイッチ100XのPC60、PC70についても、図11で説明したPC50と同様である。すなわち、各PCからの初回のフレーム受信時に、スイッチ100がNo Authイニシャル処理を行うことによって、各PCとの送受信フレームの中継を可能とする。
【0063】
なお、図6で説明したものと同様に、例えば、スイッチ100がさらに他のスイッチ(例えば、図示しないスイッチ100Z)と接続されている場合、スイッチ100は、更新後の許可リスト420に格納された許可アドレスを含むフレームを、さらに、他のスイッチ(スイッチ100Z)へ送信してもよい。
【0064】
以上のように、カスケード接続用ポート(ポートP505)の認証の種類を「No Auth」とすれば、外部装置としての他のスイッチが接続された場合も、外部装置として端末が接続された場合と同様の処理を行い、同様の効果を得ることができる。すなわち、スイッチ100は、カスケード接続用ポートを経由して接続される他のスイッチおよび他のスイッチに接続されている外部装置からのアクセスに対しても、図7で説明した種々のセキュリティ管理を実現することが可能となる。
【0065】
(A−5−2)認証処理:
認証の種類が「EAP」に設定されたポートに対して外部装置としての他のスイッチが接続された場合であっても、外部装置として端末が接続された場合と同様の処理(具体的には、図8および図9で説明した処理)を行い、同様の効果を得ることができる。詳細な説明は省略する。
【0066】
なお、スイッチ100に対して他のスイッチが接続され、認証処理を行う場合は、スイッチ100がIEEE 802.1Xに基づく認証サーバ(オーセンティケータ)として機能するほか、スイッチ100がIEEE 802.1Xに基づく認証クライアント(サプリカント)として機能してもよい。例えば、スイッチ100は、リンクアップ検出後、一定時間内に接続先の装置からEAPOL開始フレームを受信しない場合は、接続先の装置に対してEAPOL開始フレームを送信する構成を採用することができる。このような場合、スイッチ100が認証クライアントとして機能し、接続先の装置が認証サーバとして機能する。以上のように、認証処理部としてのEAP認証部240は、IEEE 802.1Xに基づく認証クライアントと、IEEE 802.1Xに基づく認証サーバとの両方の機能を有するように構成してもよい。そうすれば、スイッチ100は、スイッチ100Xに対して、認証クライアントとしても、認証サーバとしても振舞うことができるため、柔軟性の高い認証を実現することができる。
【0067】
以上のように、第1実施例によれば、ネットワーク中継装置(スイッチ100)の中継処理部210は、フレームを受信したポートに対して予め定められた認証の種類が第1の認証種類(図3:No Auth)の場合は、接続された外部装置(例えば、PCや他のスイッチ)からの受信フレームを中継し、フレームを受信したポートに対して予め定められた認証の種類が第2の認証種類(図3:EAP)の場合は、接続された外部装置の認証が成功した場合に、外部装置からの受信フレームを中継するため、スイッチ100において、セキュリティの向上と利便性を両立させることができる。
【0068】
さらに、スイッチ100は、認証の種類として第1の認証種類(No Auth)が対応付けられているポートに接続された外部装置からの受信フレームを監視するセキュリティ管理部250を備えるため、スイッチ100において、セキュリティの向上を図ることができる。また、セキュリティ管理部250は、認証の種類として第1の認証種類(No Auth)が対応付けられているポートに接続された外部装置からの受信フレームに、コンピュータウィルスが含まれるか否かを検出することも可能であるため、スイッチ100において、セキュリティの向上を図ることができる。
【0069】
さらに、認証情報管理部220は、認証の種類として第1の認証種類(No Auth)が対応付けられているポートに外部装置が接続された場合に、外部装置からの受信フレームを中継可能とするように第1の許可リスト(許可リスト420)に規定された内容を変更し、認証の種類として第2の認証種類(EAP)が対応付けられているポートに外部装置が接続され、認証が成功した場合に、外部装置からの受信フレームを中継可能とするように許可リスト420に規定された内容を変更するため、スイッチ100において、セキュリティの向上と利便性を両立させることができる。また、認証情報管理部220は、許可リスト420を変更した場合は、スイッチ100に接続されている他のネットワーク中継装置(スイッチ)に対して、許可リスト420の内容を送信するため、スイッチ100において、利便性の向上を図ることができる。
【0070】
B.第2実施例:
本発明の第2実施例では、第1実施例で説明したネットワーク中継装置において、さらに、VLAN(Virtual LAN)を使用したセキュリティ管理が可能な構成について説明する。以下では、第1実施例と異なる構成および動作を有する部分についてのみ説明する。なお、図中において第1実施例と同様の構成部分については先に説明した第1実施例と同様の符号を付し、その詳細な説明を省略する。
【0071】
(B−1)装置構成:
図12は、第2実施例におけるスイッチ100aの構成を概略的に示す説明図である。図2に示したスイッチ100との違いは、中継処理部210に代えて中継処理部210aを備える点と、認証情報管理部220に代えて認証情報管理部220aを備える点と、セキュリティ管理部250に代えてセキュリティ管理部250aを備える点と、RAM400に代えてRAM400aを備える点のみであり、他の構成については第1実施例と同じである。中継処理部210a、認証情報管理部220a、セキュリティ管理部250aの機能についての詳細は後述する。RAM400aは、図3で説明した認証方法リスト410と、図4で説明した許可リスト420とに加えて、VLAN定義情報430と、デフォルトVLAN情報440とを備えている。
【0072】
(B−2)テーブル構成:
図13は、VLAN定義情報430の一例を示す説明図である。第1の仮想ネットワーク定義情報としてのVLAN定義情報430は、ポート番号フィールドと、VLAN IDフィールドとを含んでいる。ポート番号フィールドの各エントリには、スイッチ100aが備える全てのポートについての識別子が格納されている。VLAN IDフィールドには、ポート番号フィールドに格納されている各ポートに対して割り当てられている仮想ネットワークの識別子(VLAN ID)が格納されている。
【0073】
例えば、図13の例では、識別子P501で識別されるポート(ポートP501)に接続されている外部装置(すなわち、図1のPC10)は、識別子「1」で識別されるVLANに所属することが規定されている。同様に、識別子P502で識別されるポート(ポートP502)に接続されている外部装置(すなわち、図1のPC20)は、識別子「1」で識別されるVLANに所属することが規定されている。
【0074】
図14は、デフォルトVLAN情報440の一例を示す説明図である。デフォルトVLAN情報440は、認証の種類フィールドと、VLAN IDフィールドとを含んでいる。認証の種類フィールドには、認証方法リスト410において各ポートに割り当てられた認証の種類(EAP、No Auth、Open)が格納されている。なお、認証の種類フィールドに格納される認証の種類は、認証方法リスト410において各ポートに割り当てられた認証の種類の一部でもよい。図14の例では、認証の種類「Open」が省略されている。
【0075】
VLAN IDフィールドには、認証の種類フィールドに格納されている各認証の種類に対して、予め定められたVLANの識別子が格納されている。すなわち、デフォルトVLAN情報440は、認証の種類と、当該認証の種類が使用されるポートに接続される外部装置に割り当てるべきVLANの識別子とを対応付けて記憶するためのテーブルである。
【0076】
例えば、図14の例では、認証の種類がEAPのポートに接続される外部装置には、VLAN IDとして「1」が割り当てられることが規定されている。また、認証の種類がNo Authのポートに接続される外部装置には、VLAN IDとして「2」が割り当てられることが規定されている。このように、本実施例においては、認証の種類がEAPのポートに接続される外部装置と、認証の種類がNo Authのポートに接続される外部装置とは、異なるVLAN IDが割り当てられることが規定されている。
【0077】
(B−3)フレーム受信時処理:
第2実施例におけるフレーム受信時処理については、図5で説明したものと同様である。ただし、中継処理部210aは、第1の仮想ネットワークの定義情報としてのVLAN定義情報430に従って、スイッチ100aに直接的、または他のスイッチ等を介して間接的に接続される外部装置における仮想的なサブネットワーク(VLAN)を構築することができる。具体的には、中継処理部210aは、フレーム中継処理(図5:ステップS28)において、VLAN定義情報430を参照することにより、異なるVLANの識別子が割り当てられたポートは異なるサブネットに所属するものとして、フレームの中継処理を行う。すなわち、図13に示したVLAN定義情報430によれば、図1のPC10と、PC20とは、同じVLANに所属するため、中継処理部210によって同じサブネットに所属するものとして取り扱われる。この結果、スイッチ100は、PC10と、PC20との間におけるパケットの中継を行う。
【0078】
(B−4)新たな外部装置として端末が接続された場合:
以下では、スイッチ100aに対して、新たな外部装置として端末(例えば、PC)が接続された場合について説明する。
(B−4−1)No Authイニシャル処理:
図15は、第2実施例におけるスイッチ100aに新たな外部装置(PC30)が接続された場合であって、No Authイニシャル処理(図5:ステップS32)が行われる際の様子を示す説明図である。スイッチ100aの構成は図1および図12で説明した通りである。スイッチ100aのうち、認証の種類がNo Authであるポート(例えば、ポートP503)に新たな外部装置(例えば、PC30、MACアドレスMAC_PC30)が接続された場合について考える。
【0079】
新たに接続されたPC30がスイッチ100a(もしくはスイッチ100aに接続される他のPC)へフレームを送信した場合、図6での説明と同様の処理を経て、スイッチ100aのEAP認証部240は、No Authイニシャル処理を行う。
【0080】
図16は、第2実施例におけるNo Authイニシャル処理(図5:ステップS32)の処理の流れを示すシーケンス図である。図7で説明した第1実施例との違いは、ステップS102に代えて、ステップS200と、S202とを備える点のみであり、他の構成や動作については第1実施例と同様である。
【0081】
PC30からのフレームを受信後、スイッチ100aのセキュリティ管理部250aは、PC30に対して、PC30が所属すべきVLAN IDを送信する(ステップS200)。具体的には、セキュリティ管理部250aは、デフォルトVLAN情報440を検索し、認証の種類フィールドの値が「No Auth」であるエントリのVLAN IDフィールドの値「2」を取得する。セキュリティ管理部250aは、取得したVLAN IDフィールドの値「2」を、PC30に対して送信する。
【0082】
その後、スイッチ100aの認証情報管理部220aは、許可アドレスと、VLAN定義情報とを更新する(ステップS202)。具体的には、認証情報管理部220aは、PC30から受信したフレームのヘッダに含まれる送信元MACアドレスを、許可リスト420に追加する。さらに、認証情報管理部220aは、VLAN定義情報430を、ステップS200においてVLAN IDを送信した外部装置が接続されているポート(換言すれば、フレームを受信したポート)をキーとして検索し、一致するエントリのVLAN IDフィールドの値を、ステップS200においてPC30に送信したVLAN IDで更新する。
【0083】
第2実施例におけるNo Authイニシャル処理を経て、スイッチ100aの内部に格納されている許可リスト420には、既にスイッチ100aに接続されている2台のPCのMACアドレス(MAC_PC10、MAC_PC20)に加えて、新たにスイッチ100aに接続されたPC30のMACアドレス(MAC_PC30)が追加される(図15)。さらに、スイッチ100aに格納されているVLAN定義情報430には、新たにスイッチ100aにPC30が接続されたポートP503のVLAN ID(2)が追加される。
【0084】
なお、図6で説明したものと同様に、例えば、スイッチ100aがさらに他のスイッチ(例えば、図示しないスイッチ100Z)と接続されている場合、スイッチ100aは、更新後の許可リスト420およびVLAN定義情報430に格納された情報を含むフレームを、さらに、他のスイッチ(スイッチ100Z)へ送信してもよい。
【0085】
(B−4−2)認証処理:
第2実施例における認証処理では、図9で説明した認証処理のステップS216に代えて、図16で説明したステップS200と、S202と同様の処理を行えばよい。なお、認証処理が行われる場合はすなわち、対応する認証の種類は「EAP」である。このため、図14で説明したデフォルトVLAN情報440に基づくと、図16のステップS200と同様の処理において、セキュリティ管理部250aが送信するVLAN IDは「1」となる。
【0086】
このようにすれば、例えば、識別子「1」で識別されるVLANを通常業務用のネットワークとし、識別子「2」で識別されるVLANをインターネットアクセス専用のネットワークとすることによって、認証が成功した外部装置には通常業務用の、すなわち機密情報の多いネットワークへのアクセスを許可し、認証を省略した外部装置には機密情報の多いネットワークへのアクセスを許可しない、という運用を行うこともできる。換言すれば、VLANをセキュリティ確保のための手段として利用することができる。
【0087】
(B−5)新たな外部装置として他のスイッチが接続された場合:
スイッチ100aに対して新たな外部装置として他のスイッチが接続された場合も、外部装置として端末が接続された場合と同様の処理を行い、同様の効果を得ることができる。詳細な説明は省略する。
【0088】
以上のように、第2実施例によれば、スイッチ100aのセキュリティ管理部250は、外部装置(例えば、PCや他のスイッチ)が接続された際に、認証の種類として第1の認証種類(No Auth)が対応付けられているポートに接続された外部装置と、認証の種類として第2の認証種類(EAP)が対応付けられているポートに接続された外部装置とに対して、異なる仮想ネットワークの識別子(VLAN ID)を送信するため、スイッチ100aにおいて、セキュリティの向上を図ることができる。
【0089】
C.変形例:
なお、この発明は上記の実施例や実施形態に限られるものではなく、その要旨を逸脱しない範囲で種々の構成を採ることができる。例えば、ソフトウェアによって実現した機能は、ハードウェアによって実現するものとしてもよい。そのほか、以下のような変形が可能である。
【0090】
C1.変形例1:
上記実施例では、ネットワーク中継装置の構成について説明した。しかし、上記実施例で示したネットワーク中継装置の構成はあくまで一例であり、任意の構成を採用することができる。例えば、その構成要素の一部を省略したり、更なる構成要素を付加したりする変形が可能である。
【0091】
例えば、上記実施例におけるスイッチは、MACアドレスによるフレームの中継を行うレイヤ2スイッチであるものとした。しかし、MACアドレスによるフレームの中継に加えてIPアドレスによるパケットの中継を行うことも可能な、いわゆるレイヤ3スイッチであるものとしてもよい。また、無線通信インタフェースを備え、無線通信におけるパケットの中継が可能な、いわゆるアクセスポイントであるものとしてもよい。
【0092】
例えば、上記実施例におけるスイッチでは、認証方法リストと、許可リストと、VLAN定義情報と、デフォルトVLAN情報とはRAMに格納されているものとしたが、他の記憶媒体、例えば、フラッシュROMに格納されているものとしても良い。
【0093】
上記実施例におけるスイッチでは、CPUは、中継処理部と、EAP認証部と、セキュリティ管理部と、を備え、中継処理部は、さらに、認証情報管理部と、MACアドレス認証部とを含むものとして記載した。また、各処理部において実行される機能について説明した。しかし、これら各処理部の配置および各処理部が果たす機能の内容についてはあくまで例示であり、スイッチの構成に応じて任意に変更することが可能である。
【0094】
例えば、上記実施例において記載した中継処理部の機能のうちのフレーム中継機能は、有線通信インタフェースを構成する物理チップによって実現される機能であるものとし、中継処理部の他の機能(受信フレームの中継可否を決定する機能や、認証情報管理部の機能、MACアドレス認証部の機能)は、CPUによって実現される機能であるとしてもよい。この場合、有線通信インタフェースを構成する物理チップと、CPUとが協働することによって中継処理部の全ての機能を実現する。
【0095】
例えば、有線通信インタフェースを構成する物理チップの内部に、中継処理部と、EAP認証部と、セキュリティ管理部と、認証情報管理部と、MACアドレス認証部との全ての機能を備えるものとしてもよい。
【0096】
C2.変形例2:
上記実施例におけるスイッチは、受信したフレームのMACアドレス認証を行うためのMACアドレス認証部と、外部装置が接続された際に、接続された外部装置との間で認証を行うためのEAP認証部とを備える(すなわち、RADIUS(Remote Authentication Dial-In User Service)機能を内蔵する)構成とした。しかし、専用のRADIUSサーバをスイッチとは別に設け、外部のRADIUSサーバにおいて、実際のMACアドレス認証や、接続された外部装置認証を行う構成としてもよい。専用のRADIUSサーバをスイッチとは別に設ける場合、MACアドレス認証部と、EAP認証部は、RADIUSサーバに対して認証要求を送信し、その応答としての認証結果を得ることによって、MACアドレス認証部およびEAP認証部として機能する。
【0097】
上記実施例では、予め定められた認証方式として、認証の種類がEAPの場合にIEEE 802.1XのEAP−MD5を用いて認証を行うものとした。しかし、上記実施例における認証方式は、あくまで例示であり、任意のものを採用することができる。
【0098】
例えば、認証方式として、EAP−TLSや、EAP−TTLSや、PEAP(Protected Extensible Authentication Protocol)や、LEAP(Lightweight Extensible Authentication Protocol)のほか、EAPプロトコルを利用した独自方式等を採用することができる。
【0099】
例えば、認証方式として、IEEE 802.1XのEAPプロトコルに準拠した認証方法に代えて、次のような認証方式を用いても良い。具体的には、スイッチ内部に、接続を許可すべき外部装置(他のスイッチやPC等)のMACアドレスを予め記憶しておく。そして、EAP認証部は、外部装置が接続された際に、当該外部装置のMACアドレスが接続を許可すべきMACアドレスとして予め登録されている場合に、認証が成功したものとして取り扱う。このようにすれば、接続を許可すべき外部装置(他のスイッチやPC等)を、スイッチの管理者等によって、予め指定しておくことができる。
【0100】
C3.変形例3:
上記実施例では、認証方法リスト、許可リスト、VLAN定義情報、デフォルトVLAN情報の一例を示した。しかし、これらのテーブルはあくまで一例であり、発明の要旨を逸脱しない範囲において任意に定めることができる。例えば、上記に例示したフィールド以外のフィールドを備えるものとしても良い。また、各テーブルには、ダイレクトマップ方式を用いることも可能である。さらに、利用者が各テーブルをコンフィギュレーション可能な構成とすることも好ましい。
【0101】
上記実施例における許可リストは、フレームを受信したポートの区別なく、中継可能な送信元MACアドレスのみを格納する構成としているが、次のような変形をしてもよい。
【0102】
例えば、許可リストに対して、ポート番号フィールドを追加することで、ポート毎に中継を許可する受信フレームの送信元MACアドレスを管理する構成にしてもよい。
【0103】
例えば、許可アドレスフィールドに代えて、送信元MACアドレスフィールドと、中継可否フィールドとを設け、送信元MACアドレス毎に、フレームの中継可能/不可能を設定する構成としてもよい。
【符号の説明】
【0104】
100…スイッチ
100X…スイッチ
100Z…スイッチ
100a…スイッチ
200…CPU
210…中継処理部
210a…中継処理部
220…認証情報管理部
220a…認証情報管理部
230…MACアドレス認証部
240…EAP認証部
250…セキュリティ管理部
250a…セキュリティ管理部
300…ROM
400…RAM
410…認証方法リスト
420…許可リスト
430…VLAN定義情報
440…デフォルトVLAN情報
500…有線通信インタフェース
P501〜P505…ポート
【技術分野】
【0001】
本発明は、ネットワーク中継装置に関する。
【背景技術】
【0002】
ICT(Information and Communication Technology)技術の進展に伴い、インテリジェントスイッチと呼ばれるスイッチ製品が登場している。このようなインテリジェントスイッチは、一般的なスイッチと比較して高機能なスイッチのことを意味する。インテリジェントスイッチは様々な機能、例えば、VLAN(Virtual Local Area Network)機能や、セキュリティ機能や、QoSサービス品質機能等を備えている(例えば、特許文献1)。このような機能の中でも、近年では、ネットワーク内部における脅威を重要視したセキュリティ機能の向上が求められている。
【0003】
一方、セキュリティの向上と利便性とはトレードオフの関係であり、一方を追求すれば他方を犠牲にせざるを得ないという実情がある。例えば、インテリジェントスイッチにおいて、一般に広く用いられているポートベースのセキュリティ(インテリジェントスイッチのポートに接続する外部装置のMACアドレスに基づいてトラフィックの入力を制限する)を採用した場合、そのポートに接続される外部装置のMACアドレスを予め知る必要がある。
【0004】
しかし、近年では、企業内において個人所有のモバイル端末やスマートフォンなどを業務に利用する従業員や、契約社員や関連会社、取引先のスタッフといったゲストユーザーも増えるようになったことから、このような不特定多数の外部装置が接続されることが想定されるポートについて厳格なセキュリティポリシーを運用することは利便性を損なうという問題があった。
【0005】
また、このような問題は、インテリジェントスイッチに限らず、セキュリティ機能を備えるネットワーク中継装置全般に共通する問題であった。
【先行技術文献】
【特許文献】
【0006】
【特許文献1】特開2008−48252号公報
【特許文献2】特開2006−128985号公報
【特許文献3】特開2009−239427号公報
【特許文献4】特開2006−50372号公報
【特許文献5】特開2002−204247号公報
【発明の概要】
【発明が解決しようとする課題】
【0007】
本発明は、セキュリティの向上と利便性を両立させたネットワーク中継装置を提供することを目的とする。
【課題を解決するための手段】
【0008】
本発明は、上述の課題の少なくとも一部を解決するためになされたものであり、以下の形態又は適用例として実現することが可能である。
【0009】
[適用例1]
ネットワーク中継装置であって、
外部装置が接続されるとともに、接続された前記外部装置に対して行うべき認証の種類が予め対応づけられている複数のポートと、
前記ネットワーク中継装置に前記外部装置が接続された際に、前記外部装置が接続されたポートに対して予め定められた前記認証の種類に従って、前記外部装置との間で必要な認証を行う認証処理部と、
フレームを受信したポートに対して予め定められた前記認証の種類が第1の認証種類である場合は、受信フレームを中継するとともに、フレームを受信したポートに対して予め定められた前記認証の種類が第2の認証種類である場合は、前記認証処理部による認証が成功した場合に受信フレームを中継する中継処理部と、
を備える、ネットワーク中継装置。
このような構成にすれば、中継処理部は、フレームを受信したポートに対して予め定められた認証の種類が第1の認証種類の場合は、外部装置からの受信フレームを中継し、フレームを受信したポートに対して予め定められた認証の種類が第2の認証種類の場合は、接続された外部装置の認証が成功した場合に、外部装置からの受信フレームを中継するため、ネットワーク中継装置において、セキュリティの向上と利便性を両立させることができる。
【0010】
[適用例2]
適用例1記載のネットワーク中継装置であって、さらに、
前記認証の種類として前記第1の認証種類が対応付けられているポートに接続された前記外部装置からの受信フレームを監視するセキュリティ管理部を備える、ネットワーク中継装置。
このような構成にすれば、認証の種類として第1の認証種類が対応付けられているポートに接続された外部装置からの受信フレームを監視するセキュリティ管理部を備えるため、ネットワーク中継装置において、セキュリティの向上を図ることができる。
【0011】
[適用例3]
適用例1または2記載のネットワーク中継装置であって、
前記セキュリティ管理部は、さらに、
前記認証の種類として前記第1の認証種類が対応付けられているポートに接続された前記外部装置からの受信フレームに、コンピュータウィルスが含まれるか否かを検出する、ネットワーク中継装置。
このような構成にすれば、セキュリティ管理部は、認証の種類として第1の認証種類が対応付けられているポートに接続された外部装置からの受信フレームに、コンピュータウィルスが含まれるか否かを検出するため、ネットワーク中継装置において、セキュリティの向上を図ることができる。
【0012】
[適用例4]
適用例1ないし3のいずれか一項記載のネットワーク中継装置であって、
前記セキュリティ管理部は、さらに、
前記外部装置が接続された際に、前記認証の種類として前記第1の認証種類が対応付けられているポートに接続された前記外部装置と、前記認証の種類として前記第2の認証種類が対応付けられているポートに接続された前記外部装置とに対して、異なる仮想ネットワークの識別子を送信する、ネットワーク中継装置。
このような構成にすれば、セキュリティ管理部は、外部装置が接続された際に、認証の種類として第1の認証種類が対応付けられているポートに接続された外部装置と、認証の種類として第2の認証種類が対応付けられているポートに接続された外部装置とに対して、異なる仮想ネットワークの識別子を送信するため、ネットワーク中継装置において、セキュリティの向上を図ることができる。
【0013】
[適用例5]
適用例1ないし4のいずれか一項記載のネットワーク中継装置であって、さらに、
前記中継処理部が前記受信フレームの中継可否を決定する際に用いる情報であって、前記受信フレームに含まれる情報を用いて中継可能なフレームを特定することができるように構成されている第1の許可リストを備え、
前記中継処理部は、さらに、
前記第1の許可リストに規定された内容を変更する認証情報管理部を含む、ネットワーク中継装置。
このような構成にすれば、中継処理部は、受信フレームに含まれる情報を用いて中継可能なフレームを特定することができるように構成されている第1の許可リストを用いて受信フレームの中継可否を決定し、認証情報管理部は、第1の許可リストに規定された内容を変更するため、ネットワーク中継装置において、セキュリティの向上を図ることができる。
【0014】
[適用例6]
適用例5記載のネットワーク中継装置であって、
前記認証情報管理部は、
前記認証の種類として前記第1の認証種類が対応付けられているポートに前記外部装置が接続された場合に、前記外部装置からの受信フレームを中継可能とするように前記第1の許可リストに規定された内容を変更し、
前記認証の種類として前記第2の認証種類が対応付けられているポートに前記外部装置が接続され、前記認証処理部による認証が成功した場合に、前記外部装置からの受信フレームを中継可能とするように前記第1の許可リストに規定された内容を変更する、
ネットワーク中継装置。
このような構成にすれば、認証情報管理部は、認証の種類として第1の認証種類が対応付けられているポートに外部装置が接続された場合に、外部装置からの受信フレームを中継可能とするように第1の許可リストに規定された内容を変更し、認証の種類として第2の認証種類が対応付けられているポートに外部装置が接続され、認証が成功した場合に、外部装置からの受信フレームを中継可能とするように第1の許可リストに規定された内容を変更するため、ネットワーク中継装置において、セキュリティの向上と利便性を両立させることができる。
【0015】
[適用例7]
適用例5または6記載のネットワーク中継装置であって、
前記認証情報管理部は、さらに、
前記第1の許可リストを変更した場合は、前記ネットワーク中継装置に接続されている他のネットワーク中継装置に対して、前記第1の許可リストの内容を送信する、ネットワーク中継装置。
このような構成にすれば、認証情報管理部は、第1の許可リストを変更した場合は、ネットワーク中継装置に接続されている他のネットワーク中継装置に対して、第1の許可リストの内容を送信するため、ネットワーク中継装置において、さらに利便性の向上を図ることができる。
【0016】
なお、本発明は、種々の態様で実現することが可能である。例えば、本発明は、ネットワーク中継装置、ネットワーク中継装置の制御方法、ネットワーク中継装置を用いたネットワークシステム、および、それらの方法または装置の機能を実現するためのコンピュータプログラム、そのコンピュータプログラムを記憶した記憶媒体等の形態で実現することができる。
【図面の簡単な説明】
【0017】
【図1】本発明の一実施例としてのネットワーク中継装置および端末の概略構成を示す説明図である。
【図2】スイッチの構成を概略的に示す説明図である。
【図3】認証方法リストの一例を示す説明図である。
【図4】許可リストの一例を示す説明図である。
【図5】フレーム受信時処理の手順を示すフローチャートである。
【図6】スイッチに新たな外部装置(PC)が接続された場合であってNo Authイニシャル処理(図5:ステップS32)が行われる際の様子を示す説明図である。
【図7】No Authイニシャル処理(図5:ステップS32)の処理の流れを示すシーケンス図である。
【図8】スイッチに新たな外部装置(PC)が接続された場合であって認証処理(図5:ステップS16)が行われる際の様子を示す説明図である。
【図9】認証処理(図5:ステップS16)の処理の流れを示すシーケンス図である。
【図10】許可リストの他の例を示す説明図である。
【図11】スイッチに新たな外部装置(他のスイッチ)が接続された場合であってNo Authイニシャル処理(図5:ステップS32)が行われる際の様子を示す説明図である。
【図12】第2実施例におけるスイッチの構成を概略的に示す説明図である。
【図13】VLAN定義情報の一例を示す説明図である。
【図14】デフォルトVLAN情報の一例を示す説明図である。
【図15】第2実施例におけるスイッチに新たな外部装置(PC)が接続された場合であってNo Authイニシャル処理(図5:ステップS32)が行われる際の様子を示す説明図である。
【図16】第2実施例におけるNo Authイニシャル処理(図5:ステップS32)の処理の流れを示すシーケンス図である。
【発明を実施するための形態】
【0018】
次に、本発明の実施の形態を実施例に基づいて以下の順序で説明する。
【0019】
A.第1実施例:
(A−1)装置構成:
図1は、本発明の一実施例としてのネットワーク中継装置および端末の概略構成を示す説明図である。ネットワーク中継装置(以降、「スイッチ」とも呼ぶ。)100は、いわゆるレイヤ2スイッチであり、MACアドレスによるフレームの中継を行う機能を有する。また、スイッチ100は、5つのポートP501〜P505を備えている。ポートには外部装置(例えば、PCや他のスイッチ)が接続される。
【0020】
図1の例では、ポートP501には、回線を通じてパーソナルコンピュータ(以降、「端末」、「PC」とも呼ぶ。)10が接続されている。PC10のMACアドレスはMAC_PC10である。ポートP502には、回線を通じてPC20が接続されている。PC20のMACアドレスはMAC_PC20である。ポートP503には、LANケーブルのみが接続されている。ポートP503は、例えば、契約社員や関連会社、取引先のスタッフといったゲストユーザー用のLAN接続口であり、不特定多数のPCが接続されることが想定されている。なお、図1では便宜上、説明上必要としない、他のネットワーク装置、回線、端末、およびネットワーク中継装置100内の構成部については図示を省略している。このことは、後述する図においても同様である。
【0021】
図2は、スイッチ100の構成を概略的に示す説明図である。スイッチ100は、CPU200と、ROM300と、RAM400と、有線通信インタフェース(有線通信I/F)500とを備えている。スイッチ100の各構成要素は、バスを介して互いに接続されている。
【0022】
CPU200は、ROM300に格納されているコンピュータプログラムをRAM400に展開して実行することにより、スイッチ100の各部を制御する。また、CPU200は、中継処理部210、EAP認証部240、セキュリティ管理部250としても機能する。中継処理部210は、さらに、認証情報管理部220と、MACアドレス認証部230とを含み、有線通信インタフェース500を介して受信したフレームである受信フレームを中継する機能を有する。認証情報管理部220は、主として、許可リスト420を更新する機能と、他のスイッチとの間において許可リスト420を交換する機能とを有する。MACアドレス認証部230は、受信フレームの中継可否を決定する機能を有する。認証処理部としてのEAP認証部240は、スイッチ100に外部装置(例えば、PCや他のスイッチ)が接続された際に、予め定められた認証方式に従って、外部装置との間で認証を行う機能を有する。セキュリティ管理部250は、受信フレームに対するセキュリティ面からの管理を行う機能を有する。これら各機能部についての詳細は後述する。
【0023】
RAM400には、認証方法リスト410と、許可リスト420とが含まれている。これら各リストについての詳細は後述する。有線通信インタフェース500は、ローカルエリアネットワーク(LAN)と接続するためのLANケーブルの接続口である。有線通信インタフェース500は、5つのポートP501〜P505を含んでいる。なお、本実施例では、ポートP501〜P504はスイッチ以外の外部装置(例えば、PCやモバイル端末等)を接続するためのポートである。ポートP505は、他のスイッチを接続するためのカスケード接続用ポートである。
【0024】
(A−2)テーブル構成:
図3は、認証方法リスト410の一例を示す説明図である。認証方法リスト410は、ポート番号フィールドと、認証の種類フィールドと、MAC認証フィールドとを含んでいる。ポート番号フィールドの各エントリには、スイッチ100が備える全てのポートについての識別子が格納されている。
【0025】
認証の種類フィールドには、ポート番号フィールドに格納されている各ポートに対して予め定められた認証の種類が格納されている。認証の種類とは、ポートに対して外部装置が接続された際に、EAP認証部240が接続された外部装置に対して行うべき認証の種類のことを意味する。本実施例における認証の種類は、「EAP」と、「No Auth」と、「Open」とを含んでいる。第2の認証種類としてのEAPは、スイッチ100に対して接続された外部装置の認証が必要であることを意味する。認証の種類がEAPである場合において実際に用いられる認証方式は、RAM400内部に予め格納されている。本実施例では、IEEE 802.1XのEAP−MD5(extensible authentication protocol-message digest version 5)を用いて認証を行う。なお、RAM400に格納されている認証方式は、利用者によるコンフィギュレーションが可能な構成としてもよい。
【0026】
第1の認証種類としてのNo Authは、スイッチ100に対して接続された外部装置の認証が不要であること(換言すれば、外部装置の認証を省略すること)を意味する。Openは、スイッチ100に対して接続された外部装置の認証を行わないことを意味する。No Authと、Openの違いについては後述する。
【0027】
MAC認証フィールドには、ポート番号フィールドに格納されている各ポートに対して予め定められたMACアドレス認証の有効(enable)/無効(disable)の設定値が格納されている。
【0028】
例えば、図3の例では、識別子P501で識別されるポート(ポートP501)に外部装置が接続された際には、EAPに基づく認証、すなわち、EAP−MD5認証方式に従って認証が行われることが規定されている。また、ポートP501からの受信フレームに対しては、MACアドレス認証を行うことが規定されている(エントリE01)。ポートP503に外部装置が接続された際には、認証を行わないこと(認証を省略すること)が規定されている。また、ポートP503からの受信フレームに対しては、MACアドレス認証を行うことが規定されている(エントリE03)。ポートP505に外部装置が接続された際には、認証を行わないことが規定されている。また、ポートP505からの受信フレームに対しては、MACアドレス認証を行わないことが規定されている(エントリE05)。
【0029】
すなわち、No Authに設定されたポート(ポートP503)と、Openに設定されたポート(ポートP505)とでは、当該ポートに接続された外部装置の認証を行わない、という点で共通する。しかし、両者は、次の点において相違する。
・認証の種類がNo Authに設定されたポートからの受信フレームに対しては、MACアドレス認証を行う。
・認証の種類がNo Authに設定されたポートからの受信フレームに対しては、後述のセキュリティ管理処理が施される。
・認証の種類がOpenに設定されたポートからの受信フレームに対しては、MACアドレス認証を行わない。
・認証の種類がOpenに設定されたポートからの受信フレームに対しては、セキュリティ管理処理を施さない。
【0030】
なお、エントリE05のように、認証の種類がOpenに設定されたポートでは、フレームの中継を正しく行うために、MACアドレス認証は無効(disable)に設定される。このため、スイッチ100は、認証の種類がOpenに設定されたポートに対しては、外部装置の接続時において認証を行わず、さらに、受信フレームに対するMACアドレス認証も行わない。この結果、認証の種類がOpenに設定されたポートがセキュリティホールになる恐れがある。
【0031】
図4は、許可リスト420の一例を示す説明図である。第1の許可リストとしての許可リスト420は、MACアドレス認証の際に使用されるリストである。許可リスト420には、スイッチ100の中継処理部210において中継を許可する受信フレームの送信元MACアドレス(フレームの送信元である装置のMACアドレス)が、許可アドレスとして格納されている。すなわち、許可リスト420には、受信フレームに含まれる情報を用いて中継可能なフレームを特定することができるように構成されているといえる。
【0032】
例えば、図4の例では、受信フレームのヘッダに含まれる送信元MACアドレスが、「MAC_PC10」、「MAC_PC20」のいずれかであれば、中継処理部210において当該フレームの中継が許可される。
【0033】
(A−3)フレーム受信時処理:
図5は、フレーム受信時処理の手順を示すフローチャートである。中継処理部210は、ポートP501〜P505のいずれかを介してフレームを受信したか否かを判定する(ステップS10)。フレームを受信していない場合(ステップS10:NO)、ステップS10へ戻る。フレームを受信した場合(ステップS10:YES)、中継処理部210は、受信フレームはEAPフレームか否かを判定する(ステップS12)。具体的には、例えば、中継処理部210は、受信フレームのヘッダに含まれるイーサタイプから判断される受信フレームのタイプがEAPOLである場合、EAPフレームを受信したと判定することができる。
【0034】
受信フレームがEAPフレームである場合(ステップS12:YES)、EAP認証部240は、認証方法リスト410を検索する(ステップS14)。具体的には、EAP認証部240は、認証方法リスト410を、フレームを受信したポートの識別子をキーとして検索し、一致するエントリの認証の種類フィールドの値を取得する。EAP認証部240は、認証処理を行った後、処理を終了する(ステップS16)。認証処理の詳細については後述する。
【0035】
一方、受信フレームがEAPフレーム以外のフレームである場合(ステップS12:NO)、EAP認証部240は認証方法リスト410を検索する(ステップS18)。具体的には、EAP認証部240は、認証方法リスト410を、フレームを受信したポートの識別子をキーとして検索し、一致するエントリの認証の種類フィールドの値と、MAC認証フィールドの値とを取得する。
【0036】
次に、EAP認証部240は、No Authポートからの最初の接続であるか否かを判定する(ステップS30)。具体的には、EAP認証部240は、ステップS18で取得した認証の種類フィールドの値が「No Auth」であり、かつ、受信フレームのヘッダに含まれる送信元MACアドレスが許可リスト420に格納されているMACアドレスのいずれかと一致するか否かを判定する。認証の種類フィールドの値がNo Auth、かつ、送信元MACアドレスが許可リスト420に格納されているMACアドレスと一致しない場合、EAP認証部240は、当該フレームは、No Authポートに接続された外部装置からの最初の受信フレームであると判定する(ステップS30:YES)。EAP認証部240は、No Authイニシャル処理を行った後、処理を終了する(ステップS32)。No Authイニシャル処理の詳細については後述する。
【0037】
一方、認証の種類フィールドの値がNo Authでない、または、認証の種類フィールドの値がNo Authであっても送信元MACアドレスが許可リスト420に格納されているMACアドレスのいずれかと一致する場合、EAP認証部240は、当該フレームは、No Authポート以外のポートに接続された外部装置からの受信フレーム、または、No Authポートに接続された外部装置からの2度目以降の受信フレームであると判定する(ステップS30:NO)。このため、MACアドレス認証部230は、MACアドレス認証を行うか否かを判定する(ステップS20)。具体的には、ステップS18において取得したMAC認証フィールドの値が「enable」であればMACアドレス認証を行い、ステップS18において取得した値が「disable」であればMACアドレス認証は行わない。MACアドレス認証を行わない場合(ステップS20:なし)、処理はステップS28へ遷移する。
【0038】
MACアドレス認証を行う場合(ステップS20:あり)、MACアドレス認証部230は、許可リスト420を検索する(ステップS22)。次に、MACアドレス認証部230は、受信フレームを中継可能であるか否かを判定する(ステップS24)。具体的には、MACアドレス認証部230は、受信フレームのヘッダに含まれる送信元MACアドレスが、許可リスト420に格納されているMACアドレスのいずれかと一致するか否かを判定する。一致しない場合(ステップS24:不可)、MACアドレス認証部230は、受信フレームを破棄し、処理を終了する(ステップS26)。受信フレームを破棄した際、MACアドレス認証部230は、破棄したフレームの送信元端末に対して、フレームを破棄した旨の通知を行ってもよい。
【0039】
一方、一致する場合(ステップS24:可)、MACアドレス認証部230は、受信フレームは中継可であるものとして、フレーム中継処理を行う(ステップS28)。フレーム中継処理において、中継処理部210は、図示しないMACアドレステーブルを参照し、フォワーディング(宛先MACアドレスがMACアドレステーブルにある場合のフレーム中継動作)もしくはフラッディング(宛先MACアドレスがMACアドレステーブルに無い場合の動作)を行った後、処理を終了する。このように、中継処理部210のMACアドレス認証部230は、許可リスト420に従って、受信フレームの中継可否を決定する。
【0040】
(A−4)新たな外部装置として端末が接続された場合:
以下では、スイッチ100に対して、新たな外部装置として端末(例えば、PC)が接続された場合について説明する。
(A−4−1)No Authイニシャル処理:
図6は、スイッチ100に新たな外部装置(PC30)が接続された場合であって、No Authイニシャル処理(図5:ステップS32)が行われる際の様子を示す説明図である。スイッチ100の構成は図1で説明した通りである。スイッチ100のうち、認証の種類がNo Authであるポート(例えば、ポートP503)に新たな外部装置(例えば、PC30、MACアドレスMAC_PC30)が接続された場合について考える。
【0041】
新たに接続されたPC30がスイッチ100(もしくはスイッチ100に接続される他のPC)へフレームを送信した場合、スイッチ100は、PC30からのフレームを検出する(図5:ステップS10:YES)。検出したフレームはEAPフレームではないため(ステップS12:NO)、EAP認証部240は、認証方法リスト410から、フレームを受信したポートP503の認証の種類フィールドの値「No Auth」と、MAC認証フィールドの値「enable」とを取得する(ステップS18)。EAP認証部240は、認証の種類フィールドの値「No Auth」であり、送信元MACアドレスのMAC_PC30が許可リスト420に格納されていないため、当該フレームは、No Authポートに接続された外部装置からの最初の受信フレームであると判定する(ステップS30:YES)。このため、EAP認証部240は、No Authイニシャル処理を行う(ステップS32)。
【0042】
図7は、No Authイニシャル処理(図5:ステップS32)の処理の流れを示すシーケンス図である。まず、スイッチ100は、PC30から送信されたフレームを受信する(ステップS100)。スイッチ100の認証情報管理部220は、PC30から受信したフレームのヘッダに含まれる送信元MACアドレスを、許可リスト420に追加する(ステップS102)。
【0043】
その後、スイッチ100のセキュリティ管理部250は、PC30に対するSyslog管理を開始する(ステップS104)。具体的には、セキュリティ管理部250は、PC30のカーネルや各種デーモン、アプリケーション等が出力するログを取得し、スイッチ100のRAM400や、他の記憶媒体(例えば、図示しないフラッシュROM、ハードディスク等)に記憶する。また、セキュリティ管理部250は、PC30から取得したログを監視し、何らかの異常を検知した場合には、スイッチ100の管理者に対して異常を検知した旨を通知してもよい。通知の方法としては、アラーム点灯、所定アドレスへの電子メール送信等、種々の方法を採用することができる。なお、PC30に対するSyslog管理は、PC30とのコネクションが切断するまで、継続して行うことが好ましい。
【0044】
なお、上記Syslog管理(ステップS104)は、あくまでセキュリティ管理部250によるセキュリティ管理の一例であり、Syslog管理に代えて、または、Syslog管理と共に、以下に挙げるような種々の管理方法を用いることができる。
・例えば、セキュリティ管理部250は、認証の種類がNo Authであるポートに接続された外部装置からの受信フレームに対してコンピュータウィルスが含まれるか否かを検出するためのウィルススキャンを実施することができる。例えば、受信フレームからコンピュータウィルスを検出した場合、セキュリティ管理部250は、当該受信フレームを中継せずに破棄することができる。また、受信フレーム破棄の際、スイッチ100の管理者に対してコンピュータウィルスを検出した旨を通知してもよい。
・例えば、セキュリティ管理部250は、認証の種類がNo Authであるポートに接続された外部装置のMACアドレスを、スイッチ100のRAM400や、他の記憶媒体(例えば、図示しないフラッシュROM、ハードディスク等)に記憶しておき、スイッチ100を含むネットワーク内部で問題が発生した場合などに参照可能な構成としておくことができる。
・例えば、セキュリティ管理部250は、No Authイニシャル処理が行われた際に、許可リスト420に対して新しく追加した外部装置の情報(例えば、PC30のMACアドレスや、PC30のユーザ名、パスワード等)を、電子メール等を用いて、スイッチ100の管理者に通知してもよい。
【0045】
上述のNo Authイニシャル処理を経て、スイッチ100の内部に格納されている許可リスト420には、既にスイッチ100に接続されている2台のPCのMACアドレス(MAC_PC10、MAC_PC20)に加えて、新たにスイッチ100に接続されたPC30のMACアドレス(MAC_PC30)が追加される(図6)。
【0046】
図6を用いて、No Authイニシャル処理が行われた後において、PC30からPC20へのフレームが送信された場合について考える。PC30からのフレームを受信したスイッチ100は(図5:ステップS10)、受信フレームはEAPフレームではないと判定する(ステップS12:NO)。EAP認証部240は、認証方法リスト410から、フレームを受信したポートP503における認証の種類フィールドの値「No Auth」と、MAC認証フィールドの値「enable」とを取得する(ステップS18)。EAP認証部240は、ステップS18で取得した認証の種類フィールドの値が「No Auth」であり、送信元MACアドレスであるMAC_PC30が許可リスト420に格納されているMACアドレスと一致するため、受信フレームは、No Authポートに接続された端末からの2度目以降の受信フレームであると判定する(ステップS30:NO)。
【0047】
次に、MACアドレス認証部230は、ステップS18で取得したMAC認証フィールドの値「enable」であるため、MACアドレス認証を行うものと判定する(ステップS20:あり)。MACアドレス認証部230は、許可リスト420を検索する(ステップS22)。送信元MACアドレスであるMAC_PC30が、許可リスト420に格納されているMACアドレスと一致するため、MACアドレス認証部230は、受信フレームを中継可能であると判定する(ステップS24:可)。スイッチ100の中継処理部210は、フレーム中継処理を行う(ステップS28)。この結果、スイッチ100がポートP503から受信したフレームは、スイッチ100のポートP502からPC20へ向けて送信される。
【0048】
なお、例えば、スイッチ100がさらに他のスイッチ(例えば、図示しないスイッチ100Z)と接続されている場合、スイッチ100は、更新後の許可リスト420に格納された許可アドレスを含むフレームを、さらに、他のスイッチ(スイッチ100Z)へ送信してもよい。このように、更新後の許可アドレスを自身が接続されている他のスイッチへ伝播する構成とすれば、MACアドレス認証で使用される許可リストの内容(すなわち、フレームの中継を許可すべき外部装置のMACアドレス)を、スイッチ間で交換することができるため、利便性がさらに向上する。なお、許可アドレスの伝播の範囲は、ルータで区切られた同一のセグメントの範囲内のスイッチとすることができる。なお、ルータそのものに対して許可アドレスの伝播を行ってもよい。そうすれば、ルータによっても、MACアドレスを管理することができる。
【0049】
以上のように、認証の種類が「No Auth」に設定されたポートに対して外部装置としての端末が接続された場合、スイッチ100は、接続された端末の認証を省略して、当該端末からのフレームの中継を許可するための処理(すなわち、No Authイニシャル処理)を行う。このため、認証の種類が「No Auth」に設定されたポートは、端末側において特別な処理(例えば、ユーザ名やパスワードの入力等)を必要せず、端末を接続するだけで通信が可能なポートとして提供可能となる。従って、例えば、スイッチ100の管理者は、不特定多数の端末の接続が考えられるポートに関しては、予め認証の種類を「No Auth」に設定しておくことで、スイッチ100における利便性を向上させることができる。
【0050】
さらに、セキュリティ管理部250は、認証の種類が「No Auth」に設定されたポートに対して、図7で説明した種々のセキュリティ管理を行う。このため、スイッチ100においては、上述のような利便性を確保しつつ、セキュリティの向上を図ることもできる。
【0051】
(A−4−2)認証処理:
図8は、スイッチ100に新たな外部装置(PC40)が接続された場合であって、認証処理(図5:ステップS16)が行われる際の様子を示す説明図である。スイッチ100の構成は図1で説明した通りである。スイッチ100のうち、認証の種類がEAPであるポート(例えば、ポートP504)に新たな外部装置(例えば、PC40、MACアドレスMAC_PC40)が接続された場合について考える。
【0052】
新たに接続されたPC40がスイッチ100へフレームを送信した場合、スイッチ100は、PC40からのフレームを検出する(図5:ステップS10:YES)。PC40からのフレームは、認証の開始を要求するためのEAPOL開始フレームであるため(ステップS12:YES)、EAP認証部240は、認証方法リスト410を検索し、認証の種類はEAPであると判定する(ステップS14)。このため、EAP認証部240は、認証処理を行う(ステップS16)。
【0053】
図9は、認証処理(図5:ステップS16)の処理の流れを示すシーケンス図である。まず、サプリカント(Supplicant)としてのPC40から、オーセンティケータ(Authenticator)としてのスイッチ100に対して、認証の開始を要求するためのEAPOL開始フレーム(EAP over LAN-Start)が送信される(ステップS200)。EAPOL開始フレームを受信したスイッチ100のEAP認証部240は、サプリカントのIDを要求するEAP要求フレームを送信する(ステップS204)。要求フレームを受信したPC40は、サプリカントのIDを含んだEAP応答フレームを送信する(ステップS206)。次に、スイッチ100のEAP認証部240は、認証に使用するEAPのタイプ(本実施例では、EAP−MD5)を通知するEAP要求フレームを送信する(ステップS208)。要求フレームを受信したPC40は、認証に使用するEAPのタイプ(本実施例では、EAP−MD5)の識別子を含んだEAP応答フレームを送信する(ステップS210)。
【0054】
その後、スイッチ100と、PC40との間で、ステップS210で通知された認証方式に則った認証が行われる(ステップS212)。認証が成功した場合、スイッチ100のEAP認証部240は、認証が成功した旨のEAPフレームを送信する(ステップS214)。なお、上述した各フレームは、EAPの規約で予め定められた形式に則った構成とされ、IDやタイプ等の値は、フレーム中の規定の位置に格納されるデータとして送受信される。認証成功後、スイッチ100の認証情報管理部220は、PC40から受信したフレームのヘッダに含まれる送信元MACアドレスを、許可リスト420に追加する(ステップS216)。
【0055】
上述の認証処理を経て、外部装置の認証が成功した際は、スイッチ100の内部に格納されている許可リスト420には、既にスイッチ100に接続されている2台のPCのMACアドレス(MAC_PC10、MAC_PC20)に加えて、新たにスイッチ100に接続されたPC40のMACアドレス(MAC_PC40)が追加される(図8)。このため、図6における説明と同様に、認証処理後は、スイッチ100とPC40との間におけるフレームは、中継処理部210によって中継される。すなわち、認証の種類が「EAP」に設定されたポートについては、認証処理成功後に、通信が可能なポートとして提供可能となる。
【0056】
(A−5)新たな外部装置として他のスイッチが接続された場合:
以下では、スイッチ100に対して、新たな外部装置として他のスイッチが接続された場合について説明する。
【0057】
図10は、許可リスト420の他の例を示す説明図である。図3に示した例との違いは、ポートP505における設定値(エントリE05)のみである。図10の例では、ポートP505(すなわち、カスケード接続用ポート)に外部装置としての他のスイッチが接続された際には、認証を行わないこと(認証を省略すること)が規定されている。また、ポートP505からの受信フレームに対しては、MACアドレス認証を行うことが規定されている(エントリE05)。
【0058】
(A−5−1)No Authイニシャル処理:
図11は、スイッチ100に新たな外部装置(他のスイッチ100X)が接続された場合であって、No Authイニシャル処理(図5:ステップS32)が行われる際の様子を示す説明図である。スイッチ100の構成は、許可リスト420に格納されている内容が図10に示した内容である点を除いては、図1に示したスイッチ100と同様である。
【0059】
また、スイッチ100Xの構成は、ポート501がカスケード接続用ポートに設定される点を除いては、図1に示したスイッチ100と同様である。スイッチ100XのポートP501は、回線を通じてスイッチ100のポートP505と接続されている。また、スイッチ100XのポートP502にはPC50が、ポートP503にはPC60が、ポートP504にはPC70が、それぞれ回線を通じて接続されている。また、PC50のMACアドレスはMAC_PC50、PC60のMACアドレスはMAC_PC60、PC70のMACアドレスはMAC_PC70である。なお、スイッチ100X内部に格納されている認証方法リスト410、許可リスト420等については、記載を省略する。
【0060】
図11のように、スイッチ100の認証の種類がNo Authであるカスケード接続用ポートP505に対して、新たなスイッチ100Xが接続され、PC50からPC20へフレームが送信された場合について考える。なお、スイッチ100Xにおけるフレームの中継処理等の処理は、説明を省略する。
【0061】
PC50がPC20へフレームを送信した場合、スイッチ100は、スイッチ100Xを介して送信されるPC50からのフレームを検出する(図5:ステップS10:YES)。検出したフレームはEAPフレームではないため(ステップS12:NO)、スイッチ100のEAP認証部240は、認証方法リスト410から、フレームを受信したポートP505の認証の種類フィールドの値「No Auth」と、MAC認証フィールドの値「enable」とを取得する(ステップS18)。スイッチ100のEAP認証部240は、認証の種類フィールドの値「No Auth」であり、送信元MACアドレスのMAC_PC50が許可リスト420に格納されていないため、当該フレームは、No Authポートに接続された外部装置からの最初の受信フレームであると判定する(ステップS30:YES)。このため、スイッチ100のEAP認証部240は、No Authイニシャル処理を行う(ステップS30)。No Authイニシャル処理は、図7で説明した通りである。
【0062】
No Authイニシャル処理を経て、スイッチ100の内部に格納されている許可リスト420には、既にスイッチ100に直接的に接続されている2台のPCのMACアドレス(MAC_PC10、MAC_PC20)に加えて、スイッチ100Xを介して新たにスイッチ100に接続されたPC50のMACアドレス(MAC_PC50)が追加される(図11)。このように、PC50のMACアドレスが許可リスト420に追加された後のスイッチ100においては、新たに接続されたPC50との間の送受信フレームについても、図6で説明したものと同様に、破棄されることなく中継される。また、スイッチ100XのPC60、PC70についても、図11で説明したPC50と同様である。すなわち、各PCからの初回のフレーム受信時に、スイッチ100がNo Authイニシャル処理を行うことによって、各PCとの送受信フレームの中継を可能とする。
【0063】
なお、図6で説明したものと同様に、例えば、スイッチ100がさらに他のスイッチ(例えば、図示しないスイッチ100Z)と接続されている場合、スイッチ100は、更新後の許可リスト420に格納された許可アドレスを含むフレームを、さらに、他のスイッチ(スイッチ100Z)へ送信してもよい。
【0064】
以上のように、カスケード接続用ポート(ポートP505)の認証の種類を「No Auth」とすれば、外部装置としての他のスイッチが接続された場合も、外部装置として端末が接続された場合と同様の処理を行い、同様の効果を得ることができる。すなわち、スイッチ100は、カスケード接続用ポートを経由して接続される他のスイッチおよび他のスイッチに接続されている外部装置からのアクセスに対しても、図7で説明した種々のセキュリティ管理を実現することが可能となる。
【0065】
(A−5−2)認証処理:
認証の種類が「EAP」に設定されたポートに対して外部装置としての他のスイッチが接続された場合であっても、外部装置として端末が接続された場合と同様の処理(具体的には、図8および図9で説明した処理)を行い、同様の効果を得ることができる。詳細な説明は省略する。
【0066】
なお、スイッチ100に対して他のスイッチが接続され、認証処理を行う場合は、スイッチ100がIEEE 802.1Xに基づく認証サーバ(オーセンティケータ)として機能するほか、スイッチ100がIEEE 802.1Xに基づく認証クライアント(サプリカント)として機能してもよい。例えば、スイッチ100は、リンクアップ検出後、一定時間内に接続先の装置からEAPOL開始フレームを受信しない場合は、接続先の装置に対してEAPOL開始フレームを送信する構成を採用することができる。このような場合、スイッチ100が認証クライアントとして機能し、接続先の装置が認証サーバとして機能する。以上のように、認証処理部としてのEAP認証部240は、IEEE 802.1Xに基づく認証クライアントと、IEEE 802.1Xに基づく認証サーバとの両方の機能を有するように構成してもよい。そうすれば、スイッチ100は、スイッチ100Xに対して、認証クライアントとしても、認証サーバとしても振舞うことができるため、柔軟性の高い認証を実現することができる。
【0067】
以上のように、第1実施例によれば、ネットワーク中継装置(スイッチ100)の中継処理部210は、フレームを受信したポートに対して予め定められた認証の種類が第1の認証種類(図3:No Auth)の場合は、接続された外部装置(例えば、PCや他のスイッチ)からの受信フレームを中継し、フレームを受信したポートに対して予め定められた認証の種類が第2の認証種類(図3:EAP)の場合は、接続された外部装置の認証が成功した場合に、外部装置からの受信フレームを中継するため、スイッチ100において、セキュリティの向上と利便性を両立させることができる。
【0068】
さらに、スイッチ100は、認証の種類として第1の認証種類(No Auth)が対応付けられているポートに接続された外部装置からの受信フレームを監視するセキュリティ管理部250を備えるため、スイッチ100において、セキュリティの向上を図ることができる。また、セキュリティ管理部250は、認証の種類として第1の認証種類(No Auth)が対応付けられているポートに接続された外部装置からの受信フレームに、コンピュータウィルスが含まれるか否かを検出することも可能であるため、スイッチ100において、セキュリティの向上を図ることができる。
【0069】
さらに、認証情報管理部220は、認証の種類として第1の認証種類(No Auth)が対応付けられているポートに外部装置が接続された場合に、外部装置からの受信フレームを中継可能とするように第1の許可リスト(許可リスト420)に規定された内容を変更し、認証の種類として第2の認証種類(EAP)が対応付けられているポートに外部装置が接続され、認証が成功した場合に、外部装置からの受信フレームを中継可能とするように許可リスト420に規定された内容を変更するため、スイッチ100において、セキュリティの向上と利便性を両立させることができる。また、認証情報管理部220は、許可リスト420を変更した場合は、スイッチ100に接続されている他のネットワーク中継装置(スイッチ)に対して、許可リスト420の内容を送信するため、スイッチ100において、利便性の向上を図ることができる。
【0070】
B.第2実施例:
本発明の第2実施例では、第1実施例で説明したネットワーク中継装置において、さらに、VLAN(Virtual LAN)を使用したセキュリティ管理が可能な構成について説明する。以下では、第1実施例と異なる構成および動作を有する部分についてのみ説明する。なお、図中において第1実施例と同様の構成部分については先に説明した第1実施例と同様の符号を付し、その詳細な説明を省略する。
【0071】
(B−1)装置構成:
図12は、第2実施例におけるスイッチ100aの構成を概略的に示す説明図である。図2に示したスイッチ100との違いは、中継処理部210に代えて中継処理部210aを備える点と、認証情報管理部220に代えて認証情報管理部220aを備える点と、セキュリティ管理部250に代えてセキュリティ管理部250aを備える点と、RAM400に代えてRAM400aを備える点のみであり、他の構成については第1実施例と同じである。中継処理部210a、認証情報管理部220a、セキュリティ管理部250aの機能についての詳細は後述する。RAM400aは、図3で説明した認証方法リスト410と、図4で説明した許可リスト420とに加えて、VLAN定義情報430と、デフォルトVLAN情報440とを備えている。
【0072】
(B−2)テーブル構成:
図13は、VLAN定義情報430の一例を示す説明図である。第1の仮想ネットワーク定義情報としてのVLAN定義情報430は、ポート番号フィールドと、VLAN IDフィールドとを含んでいる。ポート番号フィールドの各エントリには、スイッチ100aが備える全てのポートについての識別子が格納されている。VLAN IDフィールドには、ポート番号フィールドに格納されている各ポートに対して割り当てられている仮想ネットワークの識別子(VLAN ID)が格納されている。
【0073】
例えば、図13の例では、識別子P501で識別されるポート(ポートP501)に接続されている外部装置(すなわち、図1のPC10)は、識別子「1」で識別されるVLANに所属することが規定されている。同様に、識別子P502で識別されるポート(ポートP502)に接続されている外部装置(すなわち、図1のPC20)は、識別子「1」で識別されるVLANに所属することが規定されている。
【0074】
図14は、デフォルトVLAN情報440の一例を示す説明図である。デフォルトVLAN情報440は、認証の種類フィールドと、VLAN IDフィールドとを含んでいる。認証の種類フィールドには、認証方法リスト410において各ポートに割り当てられた認証の種類(EAP、No Auth、Open)が格納されている。なお、認証の種類フィールドに格納される認証の種類は、認証方法リスト410において各ポートに割り当てられた認証の種類の一部でもよい。図14の例では、認証の種類「Open」が省略されている。
【0075】
VLAN IDフィールドには、認証の種類フィールドに格納されている各認証の種類に対して、予め定められたVLANの識別子が格納されている。すなわち、デフォルトVLAN情報440は、認証の種類と、当該認証の種類が使用されるポートに接続される外部装置に割り当てるべきVLANの識別子とを対応付けて記憶するためのテーブルである。
【0076】
例えば、図14の例では、認証の種類がEAPのポートに接続される外部装置には、VLAN IDとして「1」が割り当てられることが規定されている。また、認証の種類がNo Authのポートに接続される外部装置には、VLAN IDとして「2」が割り当てられることが規定されている。このように、本実施例においては、認証の種類がEAPのポートに接続される外部装置と、認証の種類がNo Authのポートに接続される外部装置とは、異なるVLAN IDが割り当てられることが規定されている。
【0077】
(B−3)フレーム受信時処理:
第2実施例におけるフレーム受信時処理については、図5で説明したものと同様である。ただし、中継処理部210aは、第1の仮想ネットワークの定義情報としてのVLAN定義情報430に従って、スイッチ100aに直接的、または他のスイッチ等を介して間接的に接続される外部装置における仮想的なサブネットワーク(VLAN)を構築することができる。具体的には、中継処理部210aは、フレーム中継処理(図5:ステップS28)において、VLAN定義情報430を参照することにより、異なるVLANの識別子が割り当てられたポートは異なるサブネットに所属するものとして、フレームの中継処理を行う。すなわち、図13に示したVLAN定義情報430によれば、図1のPC10と、PC20とは、同じVLANに所属するため、中継処理部210によって同じサブネットに所属するものとして取り扱われる。この結果、スイッチ100は、PC10と、PC20との間におけるパケットの中継を行う。
【0078】
(B−4)新たな外部装置として端末が接続された場合:
以下では、スイッチ100aに対して、新たな外部装置として端末(例えば、PC)が接続された場合について説明する。
(B−4−1)No Authイニシャル処理:
図15は、第2実施例におけるスイッチ100aに新たな外部装置(PC30)が接続された場合であって、No Authイニシャル処理(図5:ステップS32)が行われる際の様子を示す説明図である。スイッチ100aの構成は図1および図12で説明した通りである。スイッチ100aのうち、認証の種類がNo Authであるポート(例えば、ポートP503)に新たな外部装置(例えば、PC30、MACアドレスMAC_PC30)が接続された場合について考える。
【0079】
新たに接続されたPC30がスイッチ100a(もしくはスイッチ100aに接続される他のPC)へフレームを送信した場合、図6での説明と同様の処理を経て、スイッチ100aのEAP認証部240は、No Authイニシャル処理を行う。
【0080】
図16は、第2実施例におけるNo Authイニシャル処理(図5:ステップS32)の処理の流れを示すシーケンス図である。図7で説明した第1実施例との違いは、ステップS102に代えて、ステップS200と、S202とを備える点のみであり、他の構成や動作については第1実施例と同様である。
【0081】
PC30からのフレームを受信後、スイッチ100aのセキュリティ管理部250aは、PC30に対して、PC30が所属すべきVLAN IDを送信する(ステップS200)。具体的には、セキュリティ管理部250aは、デフォルトVLAN情報440を検索し、認証の種類フィールドの値が「No Auth」であるエントリのVLAN IDフィールドの値「2」を取得する。セキュリティ管理部250aは、取得したVLAN IDフィールドの値「2」を、PC30に対して送信する。
【0082】
その後、スイッチ100aの認証情報管理部220aは、許可アドレスと、VLAN定義情報とを更新する(ステップS202)。具体的には、認証情報管理部220aは、PC30から受信したフレームのヘッダに含まれる送信元MACアドレスを、許可リスト420に追加する。さらに、認証情報管理部220aは、VLAN定義情報430を、ステップS200においてVLAN IDを送信した外部装置が接続されているポート(換言すれば、フレームを受信したポート)をキーとして検索し、一致するエントリのVLAN IDフィールドの値を、ステップS200においてPC30に送信したVLAN IDで更新する。
【0083】
第2実施例におけるNo Authイニシャル処理を経て、スイッチ100aの内部に格納されている許可リスト420には、既にスイッチ100aに接続されている2台のPCのMACアドレス(MAC_PC10、MAC_PC20)に加えて、新たにスイッチ100aに接続されたPC30のMACアドレス(MAC_PC30)が追加される(図15)。さらに、スイッチ100aに格納されているVLAN定義情報430には、新たにスイッチ100aにPC30が接続されたポートP503のVLAN ID(2)が追加される。
【0084】
なお、図6で説明したものと同様に、例えば、スイッチ100aがさらに他のスイッチ(例えば、図示しないスイッチ100Z)と接続されている場合、スイッチ100aは、更新後の許可リスト420およびVLAN定義情報430に格納された情報を含むフレームを、さらに、他のスイッチ(スイッチ100Z)へ送信してもよい。
【0085】
(B−4−2)認証処理:
第2実施例における認証処理では、図9で説明した認証処理のステップS216に代えて、図16で説明したステップS200と、S202と同様の処理を行えばよい。なお、認証処理が行われる場合はすなわち、対応する認証の種類は「EAP」である。このため、図14で説明したデフォルトVLAN情報440に基づくと、図16のステップS200と同様の処理において、セキュリティ管理部250aが送信するVLAN IDは「1」となる。
【0086】
このようにすれば、例えば、識別子「1」で識別されるVLANを通常業務用のネットワークとし、識別子「2」で識別されるVLANをインターネットアクセス専用のネットワークとすることによって、認証が成功した外部装置には通常業務用の、すなわち機密情報の多いネットワークへのアクセスを許可し、認証を省略した外部装置には機密情報の多いネットワークへのアクセスを許可しない、という運用を行うこともできる。換言すれば、VLANをセキュリティ確保のための手段として利用することができる。
【0087】
(B−5)新たな外部装置として他のスイッチが接続された場合:
スイッチ100aに対して新たな外部装置として他のスイッチが接続された場合も、外部装置として端末が接続された場合と同様の処理を行い、同様の効果を得ることができる。詳細な説明は省略する。
【0088】
以上のように、第2実施例によれば、スイッチ100aのセキュリティ管理部250は、外部装置(例えば、PCや他のスイッチ)が接続された際に、認証の種類として第1の認証種類(No Auth)が対応付けられているポートに接続された外部装置と、認証の種類として第2の認証種類(EAP)が対応付けられているポートに接続された外部装置とに対して、異なる仮想ネットワークの識別子(VLAN ID)を送信するため、スイッチ100aにおいて、セキュリティの向上を図ることができる。
【0089】
C.変形例:
なお、この発明は上記の実施例や実施形態に限られるものではなく、その要旨を逸脱しない範囲で種々の構成を採ることができる。例えば、ソフトウェアによって実現した機能は、ハードウェアによって実現するものとしてもよい。そのほか、以下のような変形が可能である。
【0090】
C1.変形例1:
上記実施例では、ネットワーク中継装置の構成について説明した。しかし、上記実施例で示したネットワーク中継装置の構成はあくまで一例であり、任意の構成を採用することができる。例えば、その構成要素の一部を省略したり、更なる構成要素を付加したりする変形が可能である。
【0091】
例えば、上記実施例におけるスイッチは、MACアドレスによるフレームの中継を行うレイヤ2スイッチであるものとした。しかし、MACアドレスによるフレームの中継に加えてIPアドレスによるパケットの中継を行うことも可能な、いわゆるレイヤ3スイッチであるものとしてもよい。また、無線通信インタフェースを備え、無線通信におけるパケットの中継が可能な、いわゆるアクセスポイントであるものとしてもよい。
【0092】
例えば、上記実施例におけるスイッチでは、認証方法リストと、許可リストと、VLAN定義情報と、デフォルトVLAN情報とはRAMに格納されているものとしたが、他の記憶媒体、例えば、フラッシュROMに格納されているものとしても良い。
【0093】
上記実施例におけるスイッチでは、CPUは、中継処理部と、EAP認証部と、セキュリティ管理部と、を備え、中継処理部は、さらに、認証情報管理部と、MACアドレス認証部とを含むものとして記載した。また、各処理部において実行される機能について説明した。しかし、これら各処理部の配置および各処理部が果たす機能の内容についてはあくまで例示であり、スイッチの構成に応じて任意に変更することが可能である。
【0094】
例えば、上記実施例において記載した中継処理部の機能のうちのフレーム中継機能は、有線通信インタフェースを構成する物理チップによって実現される機能であるものとし、中継処理部の他の機能(受信フレームの中継可否を決定する機能や、認証情報管理部の機能、MACアドレス認証部の機能)は、CPUによって実現される機能であるとしてもよい。この場合、有線通信インタフェースを構成する物理チップと、CPUとが協働することによって中継処理部の全ての機能を実現する。
【0095】
例えば、有線通信インタフェースを構成する物理チップの内部に、中継処理部と、EAP認証部と、セキュリティ管理部と、認証情報管理部と、MACアドレス認証部との全ての機能を備えるものとしてもよい。
【0096】
C2.変形例2:
上記実施例におけるスイッチは、受信したフレームのMACアドレス認証を行うためのMACアドレス認証部と、外部装置が接続された際に、接続された外部装置との間で認証を行うためのEAP認証部とを備える(すなわち、RADIUS(Remote Authentication Dial-In User Service)機能を内蔵する)構成とした。しかし、専用のRADIUSサーバをスイッチとは別に設け、外部のRADIUSサーバにおいて、実際のMACアドレス認証や、接続された外部装置認証を行う構成としてもよい。専用のRADIUSサーバをスイッチとは別に設ける場合、MACアドレス認証部と、EAP認証部は、RADIUSサーバに対して認証要求を送信し、その応答としての認証結果を得ることによって、MACアドレス認証部およびEAP認証部として機能する。
【0097】
上記実施例では、予め定められた認証方式として、認証の種類がEAPの場合にIEEE 802.1XのEAP−MD5を用いて認証を行うものとした。しかし、上記実施例における認証方式は、あくまで例示であり、任意のものを採用することができる。
【0098】
例えば、認証方式として、EAP−TLSや、EAP−TTLSや、PEAP(Protected Extensible Authentication Protocol)や、LEAP(Lightweight Extensible Authentication Protocol)のほか、EAPプロトコルを利用した独自方式等を採用することができる。
【0099】
例えば、認証方式として、IEEE 802.1XのEAPプロトコルに準拠した認証方法に代えて、次のような認証方式を用いても良い。具体的には、スイッチ内部に、接続を許可すべき外部装置(他のスイッチやPC等)のMACアドレスを予め記憶しておく。そして、EAP認証部は、外部装置が接続された際に、当該外部装置のMACアドレスが接続を許可すべきMACアドレスとして予め登録されている場合に、認証が成功したものとして取り扱う。このようにすれば、接続を許可すべき外部装置(他のスイッチやPC等)を、スイッチの管理者等によって、予め指定しておくことができる。
【0100】
C3.変形例3:
上記実施例では、認証方法リスト、許可リスト、VLAN定義情報、デフォルトVLAN情報の一例を示した。しかし、これらのテーブルはあくまで一例であり、発明の要旨を逸脱しない範囲において任意に定めることができる。例えば、上記に例示したフィールド以外のフィールドを備えるものとしても良い。また、各テーブルには、ダイレクトマップ方式を用いることも可能である。さらに、利用者が各テーブルをコンフィギュレーション可能な構成とすることも好ましい。
【0101】
上記実施例における許可リストは、フレームを受信したポートの区別なく、中継可能な送信元MACアドレスのみを格納する構成としているが、次のような変形をしてもよい。
【0102】
例えば、許可リストに対して、ポート番号フィールドを追加することで、ポート毎に中継を許可する受信フレームの送信元MACアドレスを管理する構成にしてもよい。
【0103】
例えば、許可アドレスフィールドに代えて、送信元MACアドレスフィールドと、中継可否フィールドとを設け、送信元MACアドレス毎に、フレームの中継可能/不可能を設定する構成としてもよい。
【符号の説明】
【0104】
100…スイッチ
100X…スイッチ
100Z…スイッチ
100a…スイッチ
200…CPU
210…中継処理部
210a…中継処理部
220…認証情報管理部
220a…認証情報管理部
230…MACアドレス認証部
240…EAP認証部
250…セキュリティ管理部
250a…セキュリティ管理部
300…ROM
400…RAM
410…認証方法リスト
420…許可リスト
430…VLAN定義情報
440…デフォルトVLAN情報
500…有線通信インタフェース
P501〜P505…ポート
【特許請求の範囲】
【請求項1】
ネットワーク中継装置であって、
外部装置が接続されるとともに、接続された前記外部装置に対して行うべき認証の種類が予め対応づけられている複数のポートと、
前記ネットワーク中継装置に前記外部装置が接続された際に、前記外部装置が接続されたポートに対して予め定められた前記認証の種類に従って、前記外部装置との間で必要な認証を行う認証処理部と、
フレームを受信したポートに対して予め定められた前記認証の種類が第1の認証種類である場合は、受信フレームを中継するとともに、フレームを受信したポートに対して予め定められた前記認証の種類が第2の認証種類である場合は、前記認証処理部による認証が成功した場合に受信フレームを中継する中継処理部と、
を備える、ネットワーク中継装置。
【請求項2】
請求項1記載のネットワーク中継装置であって、さらに、
前記認証の種類として前記第1の認証種類が対応付けられているポートに接続された前記外部装置からの受信フレームを監視するセキュリティ管理部を備える、ネットワーク中継装置。
【請求項3】
請求項1または2記載のネットワーク中継装置であって、
前記セキュリティ管理部は、さらに、
前記認証の種類として前記第1の認証種類が対応付けられているポートに接続された前記外部装置からの受信フレームに、コンピュータウィルスが含まれるか否かを検出する、ネットワーク中継装置。
【請求項4】
請求項1ないし3のいずれか一項記載のネットワーク中継装置であって、
前記セキュリティ管理部は、さらに、
前記外部装置が接続された際に、前記認証の種類として前記第1の認証種類が対応付けられているポートに接続された前記外部装置と、前記認証の種類として前記第2の認証種類が対応付けられているポートに接続された前記外部装置とに対して、異なる仮想ネットワークの識別子を送信する、ネットワーク中継装置。
【請求項5】
請求項1ないし4のいずれか一項記載のネットワーク中継装置であって、さらに、
前記中継処理部が前記受信フレームの中継可否を決定する際に用いる情報であって、前記受信フレームに含まれる情報を用いて中継可能なフレームを特定することができるように構成されている第1の許可リストを備え、
前記中継処理部は、さらに、
前記第1の許可リストに規定された内容を変更する認証情報管理部を含む、ネットワーク中継装置。
【請求項6】
請求項5記載のネットワーク中継装置であって、
前記認証情報管理部は、
前記認証の種類として前記第1の認証種類が対応付けられているポートに前記外部装置が接続された場合に、前記外部装置からの受信フレームを中継可能とするように前記第1の許可リストに規定された内容を変更し、
前記認証の種類として前記第2の認証種類が対応付けられているポートに前記外部装置が接続され、前記認証処理部による認証が成功した場合に、前記外部装置からの受信フレームを中継可能とするように前記第1の許可リストに規定された内容を変更する、
ネットワーク中継装置。
【請求項7】
請求項5または6記載のネットワーク中継装置であって、
前記認証情報管理部は、さらに、
前記第1の許可リストを変更した場合は、前記ネットワーク中継装置に接続されている他のネットワーク中継装置に対して、前記第1の許可リストの内容を送信する、ネットワーク中継装置。
【請求項1】
ネットワーク中継装置であって、
外部装置が接続されるとともに、接続された前記外部装置に対して行うべき認証の種類が予め対応づけられている複数のポートと、
前記ネットワーク中継装置に前記外部装置が接続された際に、前記外部装置が接続されたポートに対して予め定められた前記認証の種類に従って、前記外部装置との間で必要な認証を行う認証処理部と、
フレームを受信したポートに対して予め定められた前記認証の種類が第1の認証種類である場合は、受信フレームを中継するとともに、フレームを受信したポートに対して予め定められた前記認証の種類が第2の認証種類である場合は、前記認証処理部による認証が成功した場合に受信フレームを中継する中継処理部と、
を備える、ネットワーク中継装置。
【請求項2】
請求項1記載のネットワーク中継装置であって、さらに、
前記認証の種類として前記第1の認証種類が対応付けられているポートに接続された前記外部装置からの受信フレームを監視するセキュリティ管理部を備える、ネットワーク中継装置。
【請求項3】
請求項1または2記載のネットワーク中継装置であって、
前記セキュリティ管理部は、さらに、
前記認証の種類として前記第1の認証種類が対応付けられているポートに接続された前記外部装置からの受信フレームに、コンピュータウィルスが含まれるか否かを検出する、ネットワーク中継装置。
【請求項4】
請求項1ないし3のいずれか一項記載のネットワーク中継装置であって、
前記セキュリティ管理部は、さらに、
前記外部装置が接続された際に、前記認証の種類として前記第1の認証種類が対応付けられているポートに接続された前記外部装置と、前記認証の種類として前記第2の認証種類が対応付けられているポートに接続された前記外部装置とに対して、異なる仮想ネットワークの識別子を送信する、ネットワーク中継装置。
【請求項5】
請求項1ないし4のいずれか一項記載のネットワーク中継装置であって、さらに、
前記中継処理部が前記受信フレームの中継可否を決定する際に用いる情報であって、前記受信フレームに含まれる情報を用いて中継可能なフレームを特定することができるように構成されている第1の許可リストを備え、
前記中継処理部は、さらに、
前記第1の許可リストに規定された内容を変更する認証情報管理部を含む、ネットワーク中継装置。
【請求項6】
請求項5記載のネットワーク中継装置であって、
前記認証情報管理部は、
前記認証の種類として前記第1の認証種類が対応付けられているポートに前記外部装置が接続された場合に、前記外部装置からの受信フレームを中継可能とするように前記第1の許可リストに規定された内容を変更し、
前記認証の種類として前記第2の認証種類が対応付けられているポートに前記外部装置が接続され、前記認証処理部による認証が成功した場合に、前記外部装置からの受信フレームを中継可能とするように前記第1の許可リストに規定された内容を変更する、
ネットワーク中継装置。
【請求項7】
請求項5または6記載のネットワーク中継装置であって、
前記認証情報管理部は、さらに、
前記第1の許可リストを変更した場合は、前記ネットワーク中継装置に接続されている他のネットワーク中継装置に対して、前記第1の許可リストの内容を送信する、ネットワーク中継装置。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【公開番号】特開2012−49589(P2012−49589A)
【公開日】平成24年3月8日(2012.3.8)
【国際特許分類】
【出願番号】特願2010−186829(P2010−186829)
【出願日】平成22年8月24日(2010.8.24)
【出願人】(390040187)株式会社バッファロー (378)
【Fターム(参考)】
【公開日】平成24年3月8日(2012.3.8)
【国際特許分類】
【出願日】平成22年8月24日(2010.8.24)
【出願人】(390040187)株式会社バッファロー (378)
【Fターム(参考)】
[ Back to top ]