ネットワーク中継装置
【課題】セキュリティを確保しつつ、ネットワーク構成の変化に柔軟に対応することのできるネットワーク中継装置を提供する。
【解決手段】ネットワーク中継装置は、外部装置が接続されるとともに、接続された外部装置に対して行うべき認証の種類が予め対応づけられている複数のポートと、ネットワーク中継装置に外部装置が接続された際に、外部装置が接続されたポートに対して予め定められた認証の種類を判別し、判別した前記認証の種類が第1の認証種類である場合は、所定の条件に基づいて決定された認証方式を用いて外部装置との間で認証を行う認証処理部と、認証処理部による認証が成功した場合に受信フレームを中継する中継処理部とを備える。
【解決手段】ネットワーク中継装置は、外部装置が接続されるとともに、接続された外部装置に対して行うべき認証の種類が予め対応づけられている複数のポートと、ネットワーク中継装置に外部装置が接続された際に、外部装置が接続されたポートに対して予め定められた認証の種類を判別し、判別した前記認証の種類が第1の認証種類である場合は、所定の条件に基づいて決定された認証方式を用いて外部装置との間で認証を行う認証処理部と、認証処理部による認証が成功した場合に受信フレームを中継する中継処理部とを備える。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、ネットワーク中継装置に関する。
【背景技術】
【0002】
ICT(Information and Communication Technology)技術の進展に伴い、インテリジェントスイッチと呼ばれるスイッチ製品が登場している。このようなインテリジェントスイッチは、一般的なスイッチと比較して高機能なスイッチのことを意味する。インテリジェントスイッチは様々な機能、例えば、VLAN(Virtual Local Area Network)機能や、セキュリティ機能や、QoSサービス品質機能等を備えている(例えば、特許文献1)。このような機能の中でも、近年では、ネットワーク内部における脅威を重要視したセキュリティ機能の向上が求められている。
【0003】
一方、セキュリティの強化と利便性とはトレードオフの関係であり、一方を追求すれば他方を犠牲にせざるを得ないという実情がある。例えば、インテリジェントスイッチにおいて、一般に広く用いられているポートベースのセキュリティ(インテリジェントスイッチのポートに接続する外部装置のMACアドレスに基づいてトラフィックの入力を制限する)を採用する場合、ネットワーク管理者は通常、インテリジェントスイッチの個々のポートに対して、セキュリティの有効・無効、トラフィックの入力を許可すべき外部装置のMACアドレス、セキュリティ違反時の処理の指定等の設定を行う。
【0004】
しかし、近年では、企業内において個人所有のモバイル端末やスマートフォンなどを業務に利用する従業員や、契約社員や関連会社、取引先のスタッフといったゲストユーザーも増えるようになったことから、ネットワークの構成の変更が頻繁に発生する。この結果、ネットワーク管理者は、セキュリティを確保しつつ、ネットワーク構成の変更に対応しなければならず、ネットワーク管理者における管理負担が増大するという問題があった。
【0005】
また、このような問題は、インテリジェントスイッチに限らず、セキュリティ機能を備えるネットワーク中継装置全般に共通する問題であった。
【先行技術文献】
【特許文献】
【0006】
【特許文献1】特開2008−48252号公報
【特許文献2】特開2006−128985号公報
【特許文献3】特開2009−239427号公報
【特許文献4】特開2006−50372号公報
【特許文献5】特開2002−204247号公報
【発明の概要】
【発明が解決しようとする課題】
【0007】
本発明は、セキュリティを確保しつつ、ネットワーク構成の変化に柔軟に対応することのできるネットワーク中継装置を提供することを目的とする。
【課題を解決するための手段】
【0008】
本発明は、上述の課題の少なくとも一部を解決するためになされたものであり、以下の形態又は適用例として実現することが可能である。
【0009】
[適用例1]
ネットワーク中継装置であって、
外部装置が接続されるとともに、接続された前記外部装置に対して行うべき認証の種類が予め対応づけられている複数のポートと、
前記ネットワーク中継装置に前記外部装置が接続された際に、前記外部装置が接続されたポートに対して予め定められた前記認証の種類を判別し、判別した前記認証の種類が第1の認証種類である場合は、所定の条件に従って決定された認証方式を用いて前記外部装置との間で認証を行う認証処理部と、
前記認証処理部による認証が成功した場合に受信フレームを中継する中継処理部と、
を備える、ネットワーク中継装置。
このような構成にすれば、認証処理部は、外部装置が接続されたポートに対して予め定められた認証の種類が第1の認証種類である場合は、所定の条件に従って決定された認証方式を用いて外部装置との間で認証を行い、中継処理部は、認証処理部による認証が成功した場合に受信フレームを中継するため、セキュリティを確保しつつ、ネットワーク構成の変化に柔軟に対応することのできるネットワーク中継装置を提供することができる。
【0010】
[適用例2]
適用例1記載のネットワーク中継装置であって、
前記認証処理部は、さらに、
判別した前記認証の種類が第2の認証種類である場合は、予め定められた特定の認証方式を用いて前記外部装置との間で認証を行う、ネットワーク中継装置。
このような構成にすれば、認証処理部は、外部装置が接続されたポートに対して予め定められた認証の種類が第2の認証種類である場合は、予め定められた特定の認証方式を用いて外部装置との間で認証を行うため、ネットワーク中継装置において、セキュリティの向上と利便性を両立させることができる。
【0011】
[適用例3]
適用例1または2記載のネットワーク中継装置であって、
前記所定の条件は、
受信フレームの種類と、前記受信フレームの送信元である前記外部装置の種類とに応じて、予め定められた複数の認証方式の候補から実行すべき認証方式を決定することである、ネットワーク中継装置。
このような構成にすれば、認証処理部は、受信フレームの種類と、受信フレームの送信元である外部装置の種類とに応じて、実行すべき認証方式を決定することができる。
【0012】
[適用例4]
適用例1ないし3のいずれか一項記載のネットワーク中継装置であって、
前記ネットワーク中継装置に前記外部装置が接続された際に、予め定められたトリガの発生に応じて、
前記中継処理部は、前記受信フレームの中継を停止し、
前記認証処理部は、前記認証に使用する鍵の交換を要求する旨の鍵交換フレームを受信した場合、前記鍵交換フレームを受信したポートに接続されている前記外部装置との間で、鍵交換のための処理を行う、ネットワーク中継装置。
このような構成にすれば、予め定められたトリガの発生に応じて、中継処理部は受信フレームの中継を停止し、認証処理部は鍵交換のための処理を行うため、ネットワーク中継装置と、外部装置との間で認証に使用する鍵の交換をすることができる。
【0013】
[適用例5]
適用例1ないし4のいずれか一項記載のネットワーク中継装置であって、
前記予め定められた特定の認証方式は、EAP−MD5と、EAP−TLSと、EAP−TTLSと、PEAPと、LEAPと、EAP−FASTのうちのいずれか1つであり、
前記予め定められた複数の認証方式の候補には、EAP−MD5と、EAP−TLSと、EAP−TTLSと、PEAPと、LEAPと、EAP−FASTとのうちの少なくとも1つが含まれる、ネットワーク中継装置。
【0014】
[適用例6]
適用例1ないし5のいずれか一項記載のネットワーク中継装置であって、さらに、
前記中継処理部が前記受信フレームの中継可否を決定する際に用いる情報であって、前記受信フレームに含まれる情報を用いて中継可能なフレームを特定することができるように構成されている第1の許可リストを備え、
前記中継処理部は、さらに、
前記第1の許可リストに規定された内容を変更する認証情報管理部を含む、ネットワーク中継装置。
このような構成にすれば、中継処理部は、受信フレームに含まれる情報を用いて中継可能なフレームを特定することができるように構成されている第1の許可リストを用いて受信フレームの中継可否を決定し、認証情報管理部は、第1の許可リストに規定された内容を変更するため、ネットワーク中継装置において、セキュリティの向上を図ることができる。
【0015】
[適用例7]
適用例6記載のネットワーク中継装置であって、
前記認証情報管理部は、
前記認証処理部による認証が成功した場合に、前記外部装置からの受信フレームを中継可能とするように前記第1の許可リストに規定された内容を変更する、ネットワーク中継装置。
このような構成にすれば、認証情報管理部は、外部装置が接続されて認証が成功した場合に、外部装置からの受信フレームを中継可能とするように第1の許可リストに規定された内容を変更するため、ネットワーク中継装置において、セキュリティの向上を図ることができる。
【0016】
[適用例8]
適用例6または7記載のネットワーク中継装置であって、
前記認証情報管理部は、さらに、
前記第1の許可リストを変更した場合は、前記ネットワーク中継装置に接続されている他のネットワーク中継装置に対して、前記第1の許可リストの内容を送信する、ネットワーク中継装置。
このような構成にすれば、認証情報管理部は、第1の許可リストを変更した場合は、ネットワーク中継装置に接続されている他のネットワーク中継装置に対して、第1の許可リストの内容を送信するため、ネットワーク中継装置において、利便性の向上を図ることができる。
【0017】
なお、本発明は、種々の態様で実現することが可能である。例えば、本発明は、ネットワーク中継装置、ネットワーク中継装置の制御方法、ネットワーク中継装置を用いたネットワークシステム、および、それらの方法または装置の機能を実現するためのコンピュータプログラム、そのコンピュータプログラムを記憶した記憶媒体等の形態で実現することができる。
【図面の簡単な説明】
【0018】
【図1】本発明の一実施例としてのネットワーク中継装置および端末の概略構成を示す説明図である。
【図2】スイッチの構成を概略的に示す説明図である。
【図3】認証方法リストの一例を示す説明図である。
【図4】許可リストの一例を示す説明図である。
【図5】認証方式候補の一例を示す説明図である。
【図6】フレーム受信時処理の手順を示すフローチャートである。
【図7】スイッチに新たな外部装置(他のスイッチ)が接続された場合であって認証が行われる前の様子を示す説明図である。
【図8】EAP_SWモード認証処理(図6:ステップS36)の流れを示すシーケンス図である。
【図9】スイッチに新たな外部装置(他のスイッチ)が接続された場合であって認証が行われた後の様子を示す説明図である。
【図10】スイッチに新たな外部装置(PC)が接続された場合であって認証が行われる前の様子を示す説明図である。
【図11】EAP_PCモード認証処理(図6:ステップS38)の流れを示すシーケンス図である。
【図12】スイッチに新たな外部装置(PC)が接続された場合であって認証が行われた後の様子を示す説明図である。
【図13】第2実施例におけるスイッチの構成を概略的に示す説明図である。
【図14】鍵交換処理の流れを示すシーケンス図である。
【発明を実施するための形態】
【0019】
次に、本発明の実施の形態を実施例に基づいて以下の順序で説明する。
【0020】
A.第1実施例:
(A−1)装置構成:
図1は、本発明の一実施例としてのネットワーク中継装置および端末の概略構成を示す説明図である。ネットワーク中継装置(以降、「スイッチ」とも呼ぶ。)100は、いわゆるレイヤ2スイッチであり、MACアドレスによるフレームの中継を行う機能を有する。また、スイッチ100は、5つのポートP501〜P505を備えている。ポートには外部装置(例えば、PCや他のスイッチ)が接続される。
【0021】
図1の例では、ポートP501には、回線を通じてパーソナルコンピュータ(以降、「端末」、「PC」とも呼ぶ。)10が接続されている。PC10のMACアドレスはMAC_PC10である。ポートP502には、回線を通じてPC20が接続されている。PC20のMACアドレスはMAC_PC20である。なお、図1では便宜上、説明上必要としない、他のネットワーク装置、回線、端末、およびネットワーク中継装置100内の構成部については図示を省略している。このことは、後述する図においても同様である。
【0022】
図2は、スイッチ100の構成を概略的に示す説明図である。スイッチ100は、CPU200と、ROM300と、RAM400と、有線通信インタフェース(有線通信I/F)500とを備えている。スイッチ100の各構成要素は、バスを介して互いに接続されている。
【0023】
CPU200は、ROM300に格納されているコンピュータプログラムをRAM400に展開して実行することにより、スイッチ100の各部を制御する。また、CPU200は、中継処理部210、EAP認証部240としても機能する。中継処理部210は、さらに、認証情報管理部220と、MACアドレス認証部230とを含み、有線通信インタフェース500を介して受信したフレームである受信フレームを中継する機能を有する。認証情報管理部220は、主として、許可リスト420を更新する機能と、他のスイッチとの間において許可リスト420を交換する機能とを有する。MACアドレス認証部230は、受信フレームの中継可否を決定する機能を有する。認証処理部としてのEAP認証部240は、スイッチ100に外部装置(例えば、PCや他のスイッチ)が接続された際に、外部装置との間で認証を行う機能を有する。これら各機能部についての詳細は後述する。
【0024】
RAM400には、認証方法リスト410と、許可リスト420と、認証方式候補450とが含まれている。これら各リストについての詳細は後述する。有線通信インタフェース500は、ローカルエリアネットワーク(LAN)と接続するためのLANケーブルの接続口である。有線通信インタフェース500は、5つのポートP501〜P505を含んでいる。なお、本実施例では、ポートP501〜P504はスイッチ以外の外部装置(例えば、PCやモバイル端末等)を接続するためのポートである。ポートP505は、他のスイッチを接続するためのカスケード接続用ポートである。
【0025】
(A−2)テーブル構成:
図3は、認証方法リスト410の一例を示す説明図である。認証方法リスト410は、ポート番号フィールドと、認証の種類フィールドと、MAC認証フィールドとを含んでいる。ポート番号フィールドの各エントリには、スイッチ100が備える全てのポートについての識別子が格納されている。
【0026】
認証の種類フィールドには、ポート番号フィールドに格納されている各ポートに対して予め定められた認証の種類が格納されている。認証の種類とは、スイッチ100が有するポートに対して外部装置が接続された際に、EAP認証部240が行うべき認証の種類のことを意味する。本実施例における認証の種類は、「Auto」と、「EAP」とを含んでいる。第1の認証種類としてのAutoは、所定の条件に従って決定された認証方式を用いて、スイッチ100に対して接続された外部装置との間で認証を行うことを意味する。詳細は後述する。
【0027】
第2の認証種類としてのEAPは、予め定められた特定の認証方式を用いて、スイッチ100に対して接続された外部装置との間で認証を行うことを意味する。特定の認証方式、すなわち、認証の種類がEAPである場合において実際に用いられる認証方式は、RAM400内部に予め格納されている。この特定の認証方式は、IEEE 802.1Xの、EAP−MD5(Extensible Authentication Protocol-message digest version 5)と、EAP−TLS(Extensible Authentication Protocol-Transport Layer Security)と、EAP−TTLS(Extensible Authentication Protocol-Tunneled Transport Layer Security)と、PEAP(Protected Extensible Authentication Protocol)と、LEAP(Lightweight Extensible Authentication Protocol)と、EAP−FAST(Extensible Authentication Protocol-Flexible Authentication via Secure Tunneling)とのうちのいずれかから選択されることが好ましい。本実施例では、EAP−MD5を用いて認証を行う。この特定の認証方式は利用者によるコンフィギュレーションが可能な構成としてもよい。
【0028】
なお、認証方法リスト410には、上記に例示した認証の種類以外の認証の種類(例えば、スイッチ100に対して接続された外部装置の認証を行わないことを示す「Open」等)を含んでもよい。
【0029】
MAC認証フィールドには、ポート番号フィールドに格納されている各ポートに対して予め定められたMACアドレス認証の有効(enable)/無効(disable)の設定値が格納されている。なお、MAC認証フィールドは省略可能である。MAC認証フィールドを省略した場合は、スイッチ100におけるセキュリティ向上の観点から、全てのポートについて、MACアドレス認証は有効(enable)とすることが好ましい。
【0030】
例えば、図3の例では、識別子P501で識別されるポート(ポートP501)に外部装置が接続された際には、Autoに基づく認証、すなわち、所定の条件に従って決定された認証方式を用いて認証が行われることが規定されている。また、ポートP501からの受信フレームに対しては、MACアドレス認証を行うことが規定されている(エントリE01)。ポートP502に外部装置が接続された際には、EAPに基づく認証、すなわち、EAP−MD5認証方式に従って認証が行われることが規定されている。また、ポートP502からの受信フレームに対しては、MACアドレス認証を行うことが規定されている(エントリE02)。
【0031】
図4は、許可リスト420の一例を示す説明図である。第1の許可リストとしての許可リスト420は、MACアドレス認証の際に使用されるリストである。許可リスト420には、スイッチ100の中継処理部210において中継を許可する受信フレームの送信元MACアドレス(フレームの送信元である装置のMACアドレス)が、許可アドレスとして格納されている。すなわち、許可リスト420には、受信フレームに含まれる情報を用いて中継可能なフレームを特定することができるように構成されているといえる。
【0032】
例えば、図4の例では、受信フレームのヘッダに含まれる送信元MACアドレスが、「MAC_PC10」、「MAC_PC20」のいずれかであれば、中継処理部210において当該フレームの中継が許可される。
【0033】
図5は、認証方式候補450の一例を示す説明図である。認証方式候補450は、認証処理フィールドと、認証方式フィールドとを含んでいる。認証処理フィールドには、EAP認証部240が実行することが可能な認証処理の種類が予め格納されている。本実施例における認証処理の種類は、「EAP_SWモード認証処理」と、「EAP_PCモード認証処理」とを含んでいる。EAP_SWモード認証処理は、他のスイッチが接続された場合に、EAP認証部240によって実行される認証処理である。EAP_PCモード認証処理は、スイッチ以外の端末(例えば、PC等)が接続された場合に、EAP認証部240によって実行される認証処理である。
【0034】
認証方式フィールドには、認証処理フィールドに格納されたそれぞれの認証処理において、実際に用いられる認証方式が予め格納されている。図5の例では、認証処理の種類がEAP_SWモード認証処理の場合、EAP認証部240は、IEEE 802.1XのEAP−TLSを用いて認証することが規定されている。また、認証処理の種類がEAP_PCモード認証処理の場合は、EAP認証部240は、IEEE 802.1XのEAP−MD5を用いて認証することが規定されている。なお、認証方式フィールドには、IEEE 802.1XのEAP−MD5と、EAP−TLSと、EAP−TTLSと、PEAPと、LEAPと、EAP−FASTとのうちの少なくとも1つを含むことが好ましい。
【0035】
上述の通り、認証方式候補450には、EAP認証部240が実行する認証処理の候補と、それぞれの認証処理において用いられる認証方式とが予め対応付けて格納されている。すなわち、認証方式候補450には、複数の認証方式の候補が格納されているといえる。なお、認証方式候補450の内容は、利用者によるコンフィギュレーションが可能な構成としてもよい。
【0036】
(A−3)フレーム受信時処理:
図6は、フレーム受信時処理の手順を示すフローチャートである。中継処理部210は、ポートP501〜P505のいずれかを介してフレームを受信したか否かを判定する(ステップS10)。フレームを受信していない場合(ステップS10:NO)、ステップS10へ戻る。フレームを受信した場合(ステップS10:YES)、中継処理部210は、受信フレームはEAPフレームか否かを判定する(ステップS12)。具体的には、例えば、中継処理部210は、受信フレームのヘッダに含まれるイーサタイプから判断される受信フレームのタイプがEAPOLである場合、EAPフレームを受信したと判定することができる。
【0037】
受信フレームがEAPフレームである場合(ステップS12:YES)、EAP認証部240は、認証方法リスト410を検索する(ステップS14)。具体的には、EAP認証部240は、認証方法リスト410を、フレームを受信したポートの識別子をキーとして検索し、一致するエントリの認証の種類フィールドの値を取得する。EAP認証部240は、取得した認証の種類フィールドの値に応じて処理を分岐させる(ステップS30)。認証の種類フィールドの値が「EAP」である場合(ステップS30:EAP)、EAP認証部240は、EAP_PCモード認証処理を行う(ステップS38)。EAP_PCモード認証処理の詳細は後述する。
【0038】
一方、認証の種類フィールドの値が「Auto」である場合(ステップS30:Auto)、EAP認証部240は、受信フレームがPCからのフレームであるか否かを判定する(ステップS32)。具体的には、例えば、EAP認証部240は、受信したEAPフレームのペイロードを参照し、ペイロード中の所定の位置に含まれる識別子がPCを示す値である場合に、PCからの受信フレームであると判定する。受信フレームがPCからのフレームである場合(ステップS32:YES)、EAP認証部240は、EAP_PCモード認証処理を行う(ステップS38)。EAP_PCモード認証処理の詳細は後述する。
【0039】
受信フレームがPCからの受信フレームでない場合(ステップS32:NO)、EAP認証部240は、受信フレームがスイッチからのフレームであるか否かを判定する(ステップS34)。具体的には、例えば、EAP認証部240は、受信したEAPフレームのペイロードを参照し、ペイロード中の所定の位置に含まれる識別子がスイッチを示す値である場合に、スイッチからの受信フレームであると判定する。受信フレームがスイッチからのフレームである場合(ステップS34:YES)、EAP認証部240は、EAP_SWモード認証処理を行う(ステップS36)。EAP_SWモード認証処理の詳細は後述する。一方、受信フレームがスイッチからのフレームでない場合(ステップS34:NO)、EAP認証部240は、受信フレームを破棄し、処理を終了する(ステップS26)。
【0040】
このように、認証処理部としてのEAP認証部は、フレームを受信したポート(換言すれば、外部装置が接続されたポート)に対して設定された認証の種類を判別し、判別した認証の種類に応じて処理を分岐させている(ステップS30)。
【0041】
一方、受信フレームがEAPフレーム以外のフレームである場合(ステップS12:NO)、MACアドレス認証部230は認証方法リスト410を検索する(ステップS18)。具体的には、MACアドレス認証部230は、認証方法リスト410を、フレームを受信したポートの識別子をキーとして検索し、一致するエントリのMAC認証フィールドの値、すなわち、MACアドレス認証の有効/無効の設定値を取得する。次に、MACアドレス認証部230は、MACアドレス認証を行うか否かを判定する(ステップS20)。具体的には、取得した設定値が「enable」であればMACアドレス認証を行い、取得した設定値が「disable」であればMACアドレス認証は行わない。MACアドレス認証を行わない場合(ステップS20:なし)、処理はステップS28へ遷移する。
【0042】
MACアドレス認証を行う場合(ステップS20:あり)、MACアドレス認証部230は、許可リスト420を検索する(ステップS22)。MACアドレス認証部230は、受信フレームを中継可能であるか否かを判定する(ステップS24)。具体的には、MACアドレス認証部230は、受信フレームのヘッダに含まれる送信元MACアドレスが、許可リスト420に格納されているMACアドレスのいずれかと一致するか否かを判定する。一致しない場合(ステップS24:不可)、MACアドレス認証部230は、受信フレームを破棄し、処理を終了する(ステップS26)。受信フレームを破棄した際、MACアドレス認証部230は、破棄したフレームの送信元端末に対して、フレームを破棄した旨の通知を行ってもよい。
【0043】
一方、一致する場合(ステップS24:可)、MACアドレス認証部230は、受信フレームは中継可であるものとして、フレーム中継処理を行う(ステップS28)。フレーム中継処理においては、中継処理部210は、図示しないMACアドレステーブルを参照し、フォワーディング(宛先MACアドレスがMACアドレステーブルにある場合のフレーム中継動作)もしくはフラッディング(宛先MACアドレスがMACアドレステーブルに無い場合の動作)を行った後、処理を終了する。このように、中継処理部210のMACアドレス認証部230は、許可リスト420に基づいて、受信フレームの中継可否を決定する。
【0044】
図7は、スイッチ100に新たな外部装置(他のスイッチ)が接続された場合であって、認証が行われる前の様子を示す説明図である。新たな外部装置としてのスイッチ100Xの構成は、ポートP501がカスケード接続用ポートに設定されている点を除いては、図1に示したスイッチ100と同様である。スイッチ100XのポートP501は、回線を通じてスイッチ100のポートP505と接続されている。また、スイッチ100XのポートP502にはPC30が、ポートP503にはPC40が、ポートP504にはPC50が、それぞれ回線を通じて接続されている。また、PC30のMACアドレスはMAC_PC30、PC40のMACアドレスはMAC_PC40、PC50のMACアドレスはMAC_PC50である。スイッチ100X内部に格納されている許可リスト420には、既にスイッチ100Xに接続されている3台のPCのMACアドレス(MAC_PC30、MAC_PC40、MAC_PC50)が格納されている。なお、スイッチ100X内部に格納されている認証方法リスト410については、記載を省略する。
【0045】
例えば、図7のように、スイッチ100とスイッチ100Xとの認証が行われる前において、PC30からPC20へフレームが送信された場合について考える。スイッチ100Xが受信したフレームは、スイッチ100XのポートP501からスイッチ100へ向けて送信される。
【0046】
スイッチ100Xからのフレームを受信したスイッチ100は(図6:ステップS10:YES)、受信フレームはEAPフレームではないと判定する(ステップS12:NO)。MACアドレス認証部230は、認証方法リスト410からフレームを受信したポートP505におけるMACアドレス認証が有効である旨の設定値を取得する(ステップS18、S20)。MACアドレス認証部230は、許可リスト420を検索し、送信元MACアドレスであるMAC_PC30が、許可リスト420に格納されているMACアドレスのいずれとも一致しないと判定する(ステップS22、S24:不可)。この結果、スイッチ100が受信したフレームは、MACアドレス認証部230により破棄される(ステップS26)。
【0047】
以上のように、スイッチ100とスイッチ100Xとの間の認証が行われる前においては、スイッチ100は、スイッチ100Xに接続されている外部装置からの受信フレームを中継することなく破棄する。換言すれば、スイッチ100は、スイッチ100Xとの認証前においては、スイッチ100Xからのトラフィックの入力を制限する。これは、スイッチ100が有する許可リスト420に、スイッチ100Xに接続されている外部装置(PC30〜PC50)のMACアドレスが格納されていないためである。
【0048】
図7のように、スイッチ100に他のスイッチ100Xが接続された場合、スイッチ100Xは、スイッチ100に対して、認証の開始を要求するためのEAPOL開始フレームを送信する。EAPOL開始フレームを受信したスイッチ100の中継処理部210は、受信フレームはEAPフレームであると判定する(図6:ステップS12:YES)。このため、EAP認証部240は、認証方法リスト410を検索し、フレームを受信したポートP505の認証の種類はAutoであると判定する(ステップS30:Auto)。また、EAP認証部240は、受信したEAPフレームのペイロードの所定の位置に含まれる識別子から、受信フレームはスイッチからの受信フレームであると判定する(ステップS32:NO、ステップS34:YES)以下、EAP_SWモード認証処理(ステップS36)について説明する。
【0049】
(A−4)EAP_SWモード認証処理:
図8は、EAP_SWモード認証処理(図6:ステップS36)の流れを示すシーケンス図である。スイッチ100に対してスイッチ100Xが接続された際、最初に双方の間においてリンクアップが行われる(ステップS100)。次に、サプリカント(Supplicant)としてのスイッチ100Xから、オーセンティケータ(Authenticator)としてのスイッチ100に対して、認証の開始を要求するためのEAPOL開始フレーム(EAP over LAN-Start)が送信される(ステップS102)。
【0050】
EAPOL開始フレームを受信したスイッチ100のEAP認証部240は、サプリカントのIDを要求するEAP要求フレームを送信する(ステップS104)。要求フレームを受信したスイッチ100Xは、サプリカントのIDを含んだEAP応答フレームを送信する(ステップS106)。次に、スイッチ100のEAP認証部240は、認証に使用するEAPのタイプを通知するEAP要求フレームを送信する(ステップS108)。具体的には、EAP認証部240は、認証方式候補450を、実行中の認証処理(すなわち、EAP_SWモード認証処理)をキーとして検索し、一致するエントリの認証方式フィールドの値(EAP−TLS)を取得する。そして、EAP認証部240は、取得した認証方式EAP−TLSの識別子を含んだEAP要求フレームを送信する。要求フレームを受信したスイッチ100Xは、認証に使用するEAPのタイプ(EAP−TLS)の識別子を含んだEAP応答フレームを送信する(ステップS110)。
【0051】
その後、スイッチ100と、スイッチ100Xとの間で、ステップS110で通知された認証方式に則った認証が行われる(ステップS112)。認証が成功した場合、スイッチ100のEAP認証部240は、認証が成功した旨のEAPフレームを送信する(ステップS114)。なお、上述した各フレームは、EAPの規約で予め定められた形式に則った構成とされ、IDやタイプ等の値は、フレーム中の規定の位置に格納されるデータとして送受信される。
【0052】
認証成功後、スイッチ100の認証情報管理部220は、許可リスト420に格納された許可アドレスを含んだフレームを送信する(ステップS116)。これを受信したスイッチ100Xは、スイッチ100X内の許可リスト420に格納された許可アドレスを含んだフレームを送信する(ステップS118)。最後に、スイッチ100の認証情報管理部220は、受信フレームに含まれる許可アドレスをもとにして、スイッチ100の許可リスト420に格納されている許可アドレスを更新する。具体的には、認証情報管理部220は、受信フレームに含まれる許可アドレス(MACアドレス)を、自身の許可リスト420に追加する。また、スイッチ100Xについても同様に、受信フレームに含まれる許可アドレスをもとにして、スイッチ100Xの許可リスト420に格納されている許可アドレスを更新する。
【0053】
なお、図8のステップS116〜S120は省略してもよい。ステップS116〜S120を省略した場合、例えば、以下のような処理で代替することができる。
・スイッチ100内の特定の記憶部(例えば、RAM400等)にポートP505に接続されているスイッチ100Xは認証済みである旨を記憶しておく。
・フレーム受信時処理(図6)のステップS22において、認証済みであるポートP505から受信したフレームのヘッダに含まれる送信元MACアドレスが許可リスト420にない場合、許可リスト420に新たに追加し、中継を許可する。
【0054】
なお、図8においては、スイッチ100XがIEEE 802.1Xに基づく認証クライアント(サプリカント)として機能し、スイッチ100がIEEE 802.1Xに基づく認証サーバ(オーセンティケータ)として機能しているが、これらは逆にしてもよい。例えば、スイッチ100は、リンクアップ(ステップS100)検出後、一定時間内にEAPOL開始フレームを受信しない場合は、スイッチ100Xに対してEAPOL開始フレームを送信する構成を採用することができる。このような場合、スイッチ100が認証クライアントとして機能し、スイッチ100Xが認証サーバとして機能する。以上のように、認証処理部としてのEAP認証部240がIEEE 802.1Xに基づく認証クライアントと、IEEE 802.1Xに基づく認証サーバとの両方の機能を有するようにすれば、スイッチ100は、スイッチ100Xに対して、認証クライアントとしても、認証サーバとしても振舞うことができるため、柔軟性の高い認証を実現することができる。
【0055】
図9は、スイッチ100に新たな外部装置(他のスイッチ)が接続された場合であって、認証が行われた後の様子を示す説明図である。スイッチ100およびスイッチ100Xの構成は図7で説明した通りである。スイッチ100内部に格納されている許可リスト420には、既にスイッチ100に接続されている2台のPCのMACアドレス(MAC_PC10、MAC_PC20)に加えて、スイッチ100Xの許可リスト420に格納された許可アドレス(MAC_PC30、MAC_PC40、MAC_PC50)が格納されている(図8:ステップS120)。同様に、スイッチ100X内部に格納されている許可リスト420には、既にスイッチ100Xに接続されている3台のPCのMACアドレス(MAC_PC30、MAC_PC40、MAC_PC50)に加えて、スイッチ100の許可リスト420に格納された許可アドレス(MAC_PC10、MAC_PC20)が格納されている(図8:ステップS120)。
【0056】
図9のように、スイッチ100とスイッチ100Xとの認証が行われた後において、PC30からPC20へのフレームが送信された場合について考える。スイッチ100Xが受信したフレームは、スイッチ100XのポートP501からスイッチ100へ向けて送信される。
【0057】
スイッチ100Xからのフレームを受信したスイッチ100は(図6:ステップS10:YES)、受信フレームEAPフレームではないと判定する(ステップS12:NO)。MACアドレス認証部230は、認証方法リスト410からフレームを受信したポートP505におけるMACアドレス認証が有効である旨の設定値を取得する(ステップS18、S20)。MACアドレス認証部230は、許可リスト420を検索する(ステップS22)。送信元MACアドレスであるMAC_PC30が、許可リスト420に格納されているMACアドレスと一致するため、MACアドレス認証部230は、受信フレームを中継可能であると判定する(ステップS24:可)。スイッチ100の中継処理部210は、フレーム中継処理を行う(ステップS28)。この結果、スイッチ100が受信したフレームは、スイッチ100のポートP502からPC20へ向けて送信される。
【0058】
以上のように、スイッチ100とスイッチ100Xとの間の認証が行われ、当該認証が成功した後においては、スイッチ100は、スイッチ100Xに接続されている外部装置からの受信フレームを中継する。換言すれば、スイッチ100は、スイッチ100Xとの認証成功後においては、スイッチ100Xからのトラフィックの入力を制限しない。
【0059】
図10は、スイッチ100に新たな外部装置(PC)が接続された場合であって、認証が行われる前の様子を示す説明図である。スイッチ100に新たな外部装置としてのPC60(MACアドレスMAC_PC60)が接続され、認証が行われる前においては、図7での説明と同様に、スイッチ100が受信したPC60からのフレームは、MACアドレス認証部230により破棄される(図6:ステップS26)。
【0060】
図10のように、スイッチ100にPC60が接続された場合、PC60は、接続先のスイッチ100に対して、認証の開始を要求するためのEAPOL開始フレームを送信する。EAPOL開始フレームを受信したスイッチ100の中継処理部210は、受信フレームはEAPフレームであると判定する(図6:ステップS12:YES)。このため、EAP認証部240は、認証方法リスト410を検索し、フレームを受信したポートP503の認証の種類はAutoであると判定する(ステップS30:Auto)。また、EAP認証部240は、受信したEAPフレームのペイロードの所定の位置に含まれる識別子から、受信フレームはPCからの受信フレームであると判定する(ステップS32:YES)以下、EAP_PCモード認証処理(ステップS38)について説明する。
【0061】
(A−5)EAP_PCモード認証処理:
図11は、EAP_PCモード認証処理(図6:ステップS38)の流れを示すシーケンス図である。図11のステップS100〜S114は、PC60が認証クライアント(サプリカント)として振舞う点を除いては、図8のS100〜S114とほぼ同じである。ただし、ステップS108においてEAP認証部240は、認証方式候補450を、実行中の認証処理であるEAP_PCモード認証処理をキーとして検索し、一致するエントリに格納された認証方式EAP−MD5の識別子を含んだEAP要求フレームを送信する。また、ステップS110において要求フレームを受信したPC60は、認証に使用するEAPのタイプ(EAP−MD5)の識別子を含んだEAP応答フレームを送信する。ステップS112では、EAP−MD5に則った認証が行われる。
【0062】
ステップS112の認証が成功後、スイッチ100の認証情報管理部220は、許可リスト420に格納されている許可アドレスに、PC60のMACアドレス(MAC_PC60)を追加する更新を行う(ステップS200)。
【0063】
図12は、スイッチ100に新たな外部装置(PC)が接続された場合であって、認証が行われた後の様子を示す説明図である。スイッチ100およびPC60の構成は図10で説明した通りである。スイッチ100内部に格納されている許可リスト420には、既にスイッチ100に接続されている2台のPCのMACアドレス(MAC_PC10、MAC_PC20)に加えて、新たにスイッチ100に接続されたPC60のMACアドレス(MAC_PC60)が格納されている(図11:ステップS200)。
【0064】
図12のように、スイッチ100とPC60との認証が行われた後において、PC60からPC20へのフレームが送信された場合について考える。PC60からのフレームを受信したスイッチ100は(図6:ステップS10)、受信フレームはEAPフレームではないと判定する(ステップS12:NO)。MACアドレス認証部230は、認証方法リスト410からフレームを受信したポートP503におけるMACアドレス認証が有効である旨の設定値を取得する(ステップS18、S20)。MACアドレス認証部230は、許可リスト420を検索する(ステップS22)。送信元MACアドレスであるMAC_PC60が、許可リスト420に格納されているMACアドレスと一致するため、MACアドレス認証部230は、受信フレームを中継可能であると判定する(ステップS24:可)。スイッチ100の中継処理部210は、フレーム中継処理を行う(ステップS28)。この結果、スイッチ100が受信したフレームは、スイッチ100のポートP502からPC20へ向けて送信される。
【0065】
なお、例えば、スイッチ100がさらに他のスイッチ(例えば、図示しないスイッチ100Z)と接続されている場合、スイッチ100は、更新後の許可リスト420に格納された許可アドレスを含むフレームを、さらに、他のスイッチ(スイッチ100Z)へ送信してもよい。このように、更新後の許可アドレスを自身が接続されている他のスイッチへ伝播する構成とすれば、MACアドレス認証で使用される許可リストの内容(すなわち、フレームの中継を許可すべき外部装置のMACアドレス)を、スイッチ間で交換することができるため、利便性がさらに向上する。なお、許可アドレスの伝播の範囲は、ルータで区切られた同一のセグメントの範囲内のスイッチとすることができる。なお、ルータそのものに対して許可アドレスの伝播を行ってもよい。そうすれば、ルータによっても、MACアドレスを管理することができる。
【0066】
以上のように、スイッチ100とPC60との間の認証が行われ、当該認証が成功した後においては、スイッチ100はPC60からの受信フレームを中継する。換言すれば、スイッチ100は、PC60の認証成功後においては、PC60からのトラフィックの入力を制限しない。
【0067】
以上のように、第1実施例によれば、認証処理部(EAP認証部240)は、PCや他のスイッチといった外部装置が接続されたポートに対して予め定められた認証の種類が第1の認証種類(Auto)である場合は、所定の条件、すなわち、受信フレームの種類(EAPフレームか否か)と、受信フレームの送信元である外部装置の種類(スイッチか、PC等の端末か)とに応じて、複数の認証処理の候補(EAP_PCモード認証処理、EAP_SWモード認証処理)から、実行すべき認証処理を決定する。さらに、EAP認証部240は、決定された認証処理の種類に応じた(認証方式候補450に規定された)認証方式を用いて外部装置との間で認証を行う。中継処理部210は、EAP認証部240による認証が成功した場合に受信フレームを中継する。
【0068】
このように、第1の認証種類であるAutoが対応付けられたポートに接続された外部装置と、スイッチ100との間においては、外部装置の種類に応じた認証方式を用いた認証が行われる。このため、スイッチ100の管理者は、スイッチ100の各ポートに対して第1の認証種類であるAutoを対応付けておくことで、スイッチ100の各ポートに接続される外部装置の種類(他のスイッチか、PC等の端末か)を意識する必要がなくなり、ネットワーク構成の変化に柔軟に対応することができる。また、スイッチ100と外部装置との間の認証が行われる前においては、スイッチ100は外部装置からのトラフィックの入力を制限し、スイッチ100と外部装置との間の認証成功後においては、スイッチ100は外部装置からのトラフィックの入力を制限しないため、セキュリティを確保することもできる。これらの結果、セキュリティを確保しつつ、ネットワーク構成の変化に柔軟に対応することのできるネットワーク中継装置(スイッチ100)を提供することが可能となる。
【0069】
さらに、認証処理部(EAP認証部240)は、外部装置が接続されたポートに対して予め定められた認証の種類が第2の認証種類(EAP)である場合は、RAM400内部に予め定められた特定の認証方式(EAP−MD5)を用いて外部装置との間で認証を行う。このため、例えば特定のポートについては予め定められた認証方式を用いたい等の要求に対しても対応することができる。この結果、ネットワーク中継装置(スイッチ100)において、セキュリティの向上と利便性を両立させることができる。
【0070】
さらに、認証情報管理部220は、外部装置が接続されて、認証処理(EAP_SWモード認証処理またはEAP_PCモード認証処理)が成功した場合に、外部装置からの受信フレームを中継可能とするように第1の許可リスト(許可リスト420)に規定された内容を変更するため、ネットワーク中継装置(スイッチ100)において、セキュリティの向上を図ることができる。また、認証情報管理部220は、許可リスト420を変更した場合は、スイッチ100に接続されている他のネットワーク中継装置(スイッチ)に対して、許可リスト420の内容を送信するため、利便性の向上を図ることができる。
【0071】
B.第2実施例:
本発明の第2実施例では、第1実施例で説明したネットワーク中継装置において、さらに、認証時に使用する鍵の交換処理を備える構成について説明する。以下では、第1実施例と異なる構成および動作を有する部分についてのみ説明する。なお、図中において第1実施例と同様の構成部分については先に説明した第1実施例と同様の符号を付し、その詳細な説明を省略する。
【0072】
(B−1)装置構成:
図13は、第2実施例におけるスイッチ100aの構成を概略的に示す説明図である。図2に示したスイッチ100との違いは、EAP認証部240に代えてEAP認証部240aを備える点のみであり、他の構成については第1実施例と同じである。EAP認証部240aは、さらに、鍵交換処理部260を含んでいる。
【0073】
鍵交換処理部260は、EAP認証部240による認証処理において使用される共有鍵(秘密鍵)を交換する機能を有する。なお、EAP認証部240による認証処理とは、図8で説明したEAP_SWモード認証処理と、図11で説明したEAP_PCモード認証処理を意味する。しかし、EAP認証部240がIEEE 802.1XのEAPプロトコルに準拠した認証方式以外の認証方式(例えば、WPAや、独自の認証方式等)を使用する場合であっても同様に、鍵交換処理部260は、当該認証方式において使用される共有鍵を交換することができる。なお、(B−2)テーブル構成〜(B−5)EAP_PCモード認証処理についての詳細は、(A−2)〜(A−5)で説明した通りである。
【0074】
(B−6)鍵交換処理:
図14は、鍵交換処理の流れを示すシーケンス図である。まず、スイッチ100aに対してスイッチ100Xaが有線によって接続され、双方のスイッチはこの有線接続を検出する(ステップS300)。なお、スイッチ100aと、スイッチ100Xaとは、上述(図13)の違いを除いて、図7で説明したものと同じである。
【0075】
次に、スイッチ100aは、スイッチ100aに設けられたボタンの押下を検出する(ステップS310)。このボタンは、共有鍵の交換を開始するためのボタンである。ボタン押下を検出後、スイッチ100aの鍵交換処理部260は、スイッチ100aの鍵交換モードを開始する(ステップS320)。具体的には、スイッチ100aの鍵交換処理部260は、中継処理部210による受信フレームの中継処理(図5)を停止させるとともに、中継処理部210に代わって受信フレームを取得する。なお、ステップS310、S320の処理は、スイッチ100Xaでも同様に実行される。
【0076】
鍵交換モードにおいて、スイッチ100aの鍵交換処理部260は、スイッチ100Xaに対して鍵の交換を要求する旨の鍵交換フレームを送信する(ステップS330)。スイッチ100Xaも同様に、スイッチ100aに対して鍵の交換を要求する旨の鍵交換フレームを送信する(ステップS340)。スイッチ100Xaからの鍵交換フレームを受信したスイッチ100a鍵交換処理部260は、スイッチ100Xaに対して鍵交換を開始する旨の開始要求フレームを送信する(ステップS350)。スイッチ100Xaも同様に、スイッチ100aに対して鍵交換を開始する旨の開始要求フレームを送信する(ステップS360)。なお、ステップS330およびS340、ステップS350およびS360の順序はそれぞれ逆でもよい。
【0077】
その後、スイッチ100aとスイッチ100Xaとの間で、共有鍵を交換するための鍵交換処理が行われる(ステップS370)。鍵交換処理は、任意の鍵交換方式を用いて行うことができ、例えば、DH法(Diffie- Hellman鍵交換)を用いることができる。鍵交換処理によってスイッチ100aと、スイッチ100Xaとの間で秘密鍵が送受信される。
【0078】
鍵交換処理の終了後、スイッチ100aの鍵交換処理部260は、鍵交換モードを終了する(ステップS380)。具体的には、スイッチ100aの鍵交換処理部260は、中継処理部210に代わって行っていた受信フレームの取得を停止するとともに、中継処理部210による受信フレームの中継処理(図5)を再開させる。なお、ステップS380の処理は、スイッチ100Xaでも同様に実行される。以上で鍵交換モードは終了する。なお、鍵交換モードの最中は中継処理部210によるフレームの中継が停止されることから、スイッチ100aは、利用者に注意を喚起するための表示(LED表示等)を行うことが好ましい。
【0079】
なお、上述の鍵交換処理は、ボタン押下(ステップS310)をトリガとして実行されるが、ボタン押下はあくまでトリガの一例であり、任意のものを採用することができる。また、第2実施例では、スイッチ100aと鍵交換処理を行う外部装置の例として他のスイッチ(スイッチ100Xa)挙げて説明した。しかし、外部装置としてPC等の端末装置が接続された場合であっても、図14と同様の鍵交換処理を行うことが可能である。
【0080】
以上のように、第2実施例によれば、スイッチ100aの認証処理部(鍵交換処理部260)は、予め定められたトリガ(すなわちボタン押下操作)の発生に応じて、中継処理部210による受信フレームの中継を停止させ、鍵交換処理を行うため、ネットワーク中継装置(スイッチ100a)と、外部装置との間で認証に使用する共有鍵(秘密鍵)の交換をすることができる。
【0081】
C.変形例:
なお、この発明は上記の実施例や実施形態に限られるものではなく、その要旨を逸脱しない範囲で種々の構成を採ることができる。例えば、ソフトウェアによって実現した機能は、ハードウェアによって実現するものとしてもよい。そのほか、以下のような変形が可能である。
【0082】
C1.変形例1:
上記実施例では、ネットワーク中継装置の構成について説明した。しかし、上記実施例で示したネットワーク中継装置の構成はあくまで一例であり、任意の構成を採用することができる。例えば、その構成要素の一部を省略したり、更なる構成要素を付加したりする変形が可能である。
【0083】
例えば、上記実施例におけるスイッチは、MACアドレスによるフレームの中継を行うレイヤ2スイッチであるものとした。しかし、MACアドレスによるフレームの中継に加えてIPアドレスによるパケットの中継を行うことも可能な、いわゆるレイヤ3スイッチであるものとしてもよい。また、無線通信インタフェースを備え、無線通信におけるパケットの中継が可能な、いわゆるアクセスポイントであるものとしてもよい。
【0084】
例えば、上記実施例におけるスイッチは、さらに、例えば、仮想的なサブネットワークを構築するためのVLAN(Virtual Local Area Network)機能や、複数のポートを論理的に1つにまとめて取り扱うためのリンクアグリゲーションや機能等を備えていてもよい。
【0085】
例えば、上記実施例におけるスイッチでは、認証方法リストと、許可リストと、認証方式候補とはRAMに格納されているものとしたが、他の記憶媒体、例えば、フラッシュROMに格納されているものとしても良い。
【0086】
上記実施例におけるスイッチでは、CPUは、中継処理部と、EAP認証部と、を備え、中継処理部は、さらに、認証情報管理部と、MACアドレス認証部とを含み、EAP認証部は、さらに、鍵交換処理部を含むものとして記載した。また、各処理部において実行される機能について説明した。しかし、これら各処理部の配置および各処理部が果たす機能の内容についてはあくまで例示であり、スイッチの構成に応じて任意に変更することが可能である。
【0087】
例えば、上記実施例において記載した中継処理部の機能のうちのフレーム中継機能は、有線通信インタフェースを構成する物理チップによって実現される機能であるものとし、中継処理部の他の機能(受信フレームの中継可否を決定する機能や、認証情報管理部の機能、MACアドレス認証部の機能)は、CPUによって実現される機能であるとしてもよい。この場合、有線通信インタフェースを構成する物理チップと、CPUとが協働することによって中継処理部の全ての機能を実現する。
【0088】
例えば、有線通信インタフェースを構成する物理チップの内部に、中継処理部と、EAP認証部と、認証情報管理部と、MACアドレス認証部と、鍵交換処理部との全ての機能を備えるものとしてもよい。
【0089】
C2.変形例2:
上記実施例におけるスイッチは、受信したフレームのMACアドレス認証を行うためのMACアドレス認証部と、外部装置が接続された際に、接続された外部装置との間で認証を行うためのEAP認証部とを備える(すなわち、RADIUS(Remote Authentication Dial-In User Service)機能を内蔵する)構成とした。しかし、専用のRADIUSサーバをスイッチとは別に設け、外部のRADIUSサーバにおいて、実際のMACアドレス認証や、接続された外部装置認証を行う構成としてもよい。専用のRADIUSサーバをスイッチとは別に設ける場合、MACアドレス認証部と、EAP認証部は、RADIUSサーバに対して認証要求を送信し、その応答としての認証結果を得ることによって、MACアドレス認証部およびEAP認証部として機能する。
【0090】
C3.変形例3:
上記実施例では、認証方法リスト、許可リスト、認証方式候補の一例を示した。しかし、これらのテーブルはあくまで一例であり、発明の要旨を逸脱しない範囲において任意に定めることができる。例えば、上記に例示したフィールド以外のフィールドを備えるものとしても良い。また、各テーブルには、ダイレクトマップ方式を用いることも可能である。さらに、利用者が各テーブルをコンフィギュレーション可能な構成とすることも好ましい。
【0091】
上記実施例における許可リストは、フレームを受信したポートの区別なく、中継可能な送信元MACアドレスのみを格納する構成としているが、次のような変形をしてもよい。
【0092】
例えば、許可リストに対して、ポート番号フィールドを追加することで、ポート毎に中継を許可する受信フレームの送信元MACアドレスを管理する構成にしてもよい。
【0093】
例えば、許可アドレスフィールドに代えて、送信元MACアドレスフィールドと、中継可否フィールドとを設け、送信元MACアドレス毎に、フレームの中継可能/不可能を設定する構成としてもよい。
【0094】
C4.変形例4:
上記実施例では、フレーム受信時処理(図6)において、中継処理部およびEAP認証部が、フレームの種類(EAPフレームか否か)や、フレーム送信元の装置の種類(PCか、スイッチか)を特定するための方法の一例について説明した。しかし、上記実施例で説明した方法はあくまで例示であり、任意の方法を採用することができる。
【0095】
例えば、フレーム受信時処理(図6)のステップS32、34において、EAP認証部は、受信したEAPフレームのペイロードを参照することに代えて、接続先の外部装置から送信されるサプリカントのIDを含んだ応答フレーム(図8:ステップS106)を受信し、この応答フレームの中に含まれる識別情報を参照するものとしてもよい。このようにすれば、EAP認証部は、EAPフレームのペイロード中に識別子を含まないフレームを受信した場合であっても、フレーム送信元の外部装置の種類を識別することが可能となるため、汎用性が向上する。なお、この場合、フレーム受信時処理(図6)のステップS30と、ステップS32との間に、IDを含んだEAPフレームの送受信処理が追加される。また、EAP_SWモード認証処理(図8)およびEAP_PCモード認証処理(図11)は、ステップS108から開始する。
【符号の説明】
【0096】
100…スイッチ
100X…スイッチ
100Z…スイッチ
100a…スイッチ
100Xa…スイッチ
200…CPU
210…中継処理部
220…認証情報管理部
230…MACアドレス認証部
240…EAP認証部
240a…EAP認証部
260…鍵交換処理部
300…ROM
400…RAM
410…認証方法リスト
420…許可リスト
450…認証方式候補
500…有線通信インタフェース
P501〜P505…ポート
【技術分野】
【0001】
本発明は、ネットワーク中継装置に関する。
【背景技術】
【0002】
ICT(Information and Communication Technology)技術の進展に伴い、インテリジェントスイッチと呼ばれるスイッチ製品が登場している。このようなインテリジェントスイッチは、一般的なスイッチと比較して高機能なスイッチのことを意味する。インテリジェントスイッチは様々な機能、例えば、VLAN(Virtual Local Area Network)機能や、セキュリティ機能や、QoSサービス品質機能等を備えている(例えば、特許文献1)。このような機能の中でも、近年では、ネットワーク内部における脅威を重要視したセキュリティ機能の向上が求められている。
【0003】
一方、セキュリティの強化と利便性とはトレードオフの関係であり、一方を追求すれば他方を犠牲にせざるを得ないという実情がある。例えば、インテリジェントスイッチにおいて、一般に広く用いられているポートベースのセキュリティ(インテリジェントスイッチのポートに接続する外部装置のMACアドレスに基づいてトラフィックの入力を制限する)を採用する場合、ネットワーク管理者は通常、インテリジェントスイッチの個々のポートに対して、セキュリティの有効・無効、トラフィックの入力を許可すべき外部装置のMACアドレス、セキュリティ違反時の処理の指定等の設定を行う。
【0004】
しかし、近年では、企業内において個人所有のモバイル端末やスマートフォンなどを業務に利用する従業員や、契約社員や関連会社、取引先のスタッフといったゲストユーザーも増えるようになったことから、ネットワークの構成の変更が頻繁に発生する。この結果、ネットワーク管理者は、セキュリティを確保しつつ、ネットワーク構成の変更に対応しなければならず、ネットワーク管理者における管理負担が増大するという問題があった。
【0005】
また、このような問題は、インテリジェントスイッチに限らず、セキュリティ機能を備えるネットワーク中継装置全般に共通する問題であった。
【先行技術文献】
【特許文献】
【0006】
【特許文献1】特開2008−48252号公報
【特許文献2】特開2006−128985号公報
【特許文献3】特開2009−239427号公報
【特許文献4】特開2006−50372号公報
【特許文献5】特開2002−204247号公報
【発明の概要】
【発明が解決しようとする課題】
【0007】
本発明は、セキュリティを確保しつつ、ネットワーク構成の変化に柔軟に対応することのできるネットワーク中継装置を提供することを目的とする。
【課題を解決するための手段】
【0008】
本発明は、上述の課題の少なくとも一部を解決するためになされたものであり、以下の形態又は適用例として実現することが可能である。
【0009】
[適用例1]
ネットワーク中継装置であって、
外部装置が接続されるとともに、接続された前記外部装置に対して行うべき認証の種類が予め対応づけられている複数のポートと、
前記ネットワーク中継装置に前記外部装置が接続された際に、前記外部装置が接続されたポートに対して予め定められた前記認証の種類を判別し、判別した前記認証の種類が第1の認証種類である場合は、所定の条件に従って決定された認証方式を用いて前記外部装置との間で認証を行う認証処理部と、
前記認証処理部による認証が成功した場合に受信フレームを中継する中継処理部と、
を備える、ネットワーク中継装置。
このような構成にすれば、認証処理部は、外部装置が接続されたポートに対して予め定められた認証の種類が第1の認証種類である場合は、所定の条件に従って決定された認証方式を用いて外部装置との間で認証を行い、中継処理部は、認証処理部による認証が成功した場合に受信フレームを中継するため、セキュリティを確保しつつ、ネットワーク構成の変化に柔軟に対応することのできるネットワーク中継装置を提供することができる。
【0010】
[適用例2]
適用例1記載のネットワーク中継装置であって、
前記認証処理部は、さらに、
判別した前記認証の種類が第2の認証種類である場合は、予め定められた特定の認証方式を用いて前記外部装置との間で認証を行う、ネットワーク中継装置。
このような構成にすれば、認証処理部は、外部装置が接続されたポートに対して予め定められた認証の種類が第2の認証種類である場合は、予め定められた特定の認証方式を用いて外部装置との間で認証を行うため、ネットワーク中継装置において、セキュリティの向上と利便性を両立させることができる。
【0011】
[適用例3]
適用例1または2記載のネットワーク中継装置であって、
前記所定の条件は、
受信フレームの種類と、前記受信フレームの送信元である前記外部装置の種類とに応じて、予め定められた複数の認証方式の候補から実行すべき認証方式を決定することである、ネットワーク中継装置。
このような構成にすれば、認証処理部は、受信フレームの種類と、受信フレームの送信元である外部装置の種類とに応じて、実行すべき認証方式を決定することができる。
【0012】
[適用例4]
適用例1ないし3のいずれか一項記載のネットワーク中継装置であって、
前記ネットワーク中継装置に前記外部装置が接続された際に、予め定められたトリガの発生に応じて、
前記中継処理部は、前記受信フレームの中継を停止し、
前記認証処理部は、前記認証に使用する鍵の交換を要求する旨の鍵交換フレームを受信した場合、前記鍵交換フレームを受信したポートに接続されている前記外部装置との間で、鍵交換のための処理を行う、ネットワーク中継装置。
このような構成にすれば、予め定められたトリガの発生に応じて、中継処理部は受信フレームの中継を停止し、認証処理部は鍵交換のための処理を行うため、ネットワーク中継装置と、外部装置との間で認証に使用する鍵の交換をすることができる。
【0013】
[適用例5]
適用例1ないし4のいずれか一項記載のネットワーク中継装置であって、
前記予め定められた特定の認証方式は、EAP−MD5と、EAP−TLSと、EAP−TTLSと、PEAPと、LEAPと、EAP−FASTのうちのいずれか1つであり、
前記予め定められた複数の認証方式の候補には、EAP−MD5と、EAP−TLSと、EAP−TTLSと、PEAPと、LEAPと、EAP−FASTとのうちの少なくとも1つが含まれる、ネットワーク中継装置。
【0014】
[適用例6]
適用例1ないし5のいずれか一項記載のネットワーク中継装置であって、さらに、
前記中継処理部が前記受信フレームの中継可否を決定する際に用いる情報であって、前記受信フレームに含まれる情報を用いて中継可能なフレームを特定することができるように構成されている第1の許可リストを備え、
前記中継処理部は、さらに、
前記第1の許可リストに規定された内容を変更する認証情報管理部を含む、ネットワーク中継装置。
このような構成にすれば、中継処理部は、受信フレームに含まれる情報を用いて中継可能なフレームを特定することができるように構成されている第1の許可リストを用いて受信フレームの中継可否を決定し、認証情報管理部は、第1の許可リストに規定された内容を変更するため、ネットワーク中継装置において、セキュリティの向上を図ることができる。
【0015】
[適用例7]
適用例6記載のネットワーク中継装置であって、
前記認証情報管理部は、
前記認証処理部による認証が成功した場合に、前記外部装置からの受信フレームを中継可能とするように前記第1の許可リストに規定された内容を変更する、ネットワーク中継装置。
このような構成にすれば、認証情報管理部は、外部装置が接続されて認証が成功した場合に、外部装置からの受信フレームを中継可能とするように第1の許可リストに規定された内容を変更するため、ネットワーク中継装置において、セキュリティの向上を図ることができる。
【0016】
[適用例8]
適用例6または7記載のネットワーク中継装置であって、
前記認証情報管理部は、さらに、
前記第1の許可リストを変更した場合は、前記ネットワーク中継装置に接続されている他のネットワーク中継装置に対して、前記第1の許可リストの内容を送信する、ネットワーク中継装置。
このような構成にすれば、認証情報管理部は、第1の許可リストを変更した場合は、ネットワーク中継装置に接続されている他のネットワーク中継装置に対して、第1の許可リストの内容を送信するため、ネットワーク中継装置において、利便性の向上を図ることができる。
【0017】
なお、本発明は、種々の態様で実現することが可能である。例えば、本発明は、ネットワーク中継装置、ネットワーク中継装置の制御方法、ネットワーク中継装置を用いたネットワークシステム、および、それらの方法または装置の機能を実現するためのコンピュータプログラム、そのコンピュータプログラムを記憶した記憶媒体等の形態で実現することができる。
【図面の簡単な説明】
【0018】
【図1】本発明の一実施例としてのネットワーク中継装置および端末の概略構成を示す説明図である。
【図2】スイッチの構成を概略的に示す説明図である。
【図3】認証方法リストの一例を示す説明図である。
【図4】許可リストの一例を示す説明図である。
【図5】認証方式候補の一例を示す説明図である。
【図6】フレーム受信時処理の手順を示すフローチャートである。
【図7】スイッチに新たな外部装置(他のスイッチ)が接続された場合であって認証が行われる前の様子を示す説明図である。
【図8】EAP_SWモード認証処理(図6:ステップS36)の流れを示すシーケンス図である。
【図9】スイッチに新たな外部装置(他のスイッチ)が接続された場合であって認証が行われた後の様子を示す説明図である。
【図10】スイッチに新たな外部装置(PC)が接続された場合であって認証が行われる前の様子を示す説明図である。
【図11】EAP_PCモード認証処理(図6:ステップS38)の流れを示すシーケンス図である。
【図12】スイッチに新たな外部装置(PC)が接続された場合であって認証が行われた後の様子を示す説明図である。
【図13】第2実施例におけるスイッチの構成を概略的に示す説明図である。
【図14】鍵交換処理の流れを示すシーケンス図である。
【発明を実施するための形態】
【0019】
次に、本発明の実施の形態を実施例に基づいて以下の順序で説明する。
【0020】
A.第1実施例:
(A−1)装置構成:
図1は、本発明の一実施例としてのネットワーク中継装置および端末の概略構成を示す説明図である。ネットワーク中継装置(以降、「スイッチ」とも呼ぶ。)100は、いわゆるレイヤ2スイッチであり、MACアドレスによるフレームの中継を行う機能を有する。また、スイッチ100は、5つのポートP501〜P505を備えている。ポートには外部装置(例えば、PCや他のスイッチ)が接続される。
【0021】
図1の例では、ポートP501には、回線を通じてパーソナルコンピュータ(以降、「端末」、「PC」とも呼ぶ。)10が接続されている。PC10のMACアドレスはMAC_PC10である。ポートP502には、回線を通じてPC20が接続されている。PC20のMACアドレスはMAC_PC20である。なお、図1では便宜上、説明上必要としない、他のネットワーク装置、回線、端末、およびネットワーク中継装置100内の構成部については図示を省略している。このことは、後述する図においても同様である。
【0022】
図2は、スイッチ100の構成を概略的に示す説明図である。スイッチ100は、CPU200と、ROM300と、RAM400と、有線通信インタフェース(有線通信I/F)500とを備えている。スイッチ100の各構成要素は、バスを介して互いに接続されている。
【0023】
CPU200は、ROM300に格納されているコンピュータプログラムをRAM400に展開して実行することにより、スイッチ100の各部を制御する。また、CPU200は、中継処理部210、EAP認証部240としても機能する。中継処理部210は、さらに、認証情報管理部220と、MACアドレス認証部230とを含み、有線通信インタフェース500を介して受信したフレームである受信フレームを中継する機能を有する。認証情報管理部220は、主として、許可リスト420を更新する機能と、他のスイッチとの間において許可リスト420を交換する機能とを有する。MACアドレス認証部230は、受信フレームの中継可否を決定する機能を有する。認証処理部としてのEAP認証部240は、スイッチ100に外部装置(例えば、PCや他のスイッチ)が接続された際に、外部装置との間で認証を行う機能を有する。これら各機能部についての詳細は後述する。
【0024】
RAM400には、認証方法リスト410と、許可リスト420と、認証方式候補450とが含まれている。これら各リストについての詳細は後述する。有線通信インタフェース500は、ローカルエリアネットワーク(LAN)と接続するためのLANケーブルの接続口である。有線通信インタフェース500は、5つのポートP501〜P505を含んでいる。なお、本実施例では、ポートP501〜P504はスイッチ以外の外部装置(例えば、PCやモバイル端末等)を接続するためのポートである。ポートP505は、他のスイッチを接続するためのカスケード接続用ポートである。
【0025】
(A−2)テーブル構成:
図3は、認証方法リスト410の一例を示す説明図である。認証方法リスト410は、ポート番号フィールドと、認証の種類フィールドと、MAC認証フィールドとを含んでいる。ポート番号フィールドの各エントリには、スイッチ100が備える全てのポートについての識別子が格納されている。
【0026】
認証の種類フィールドには、ポート番号フィールドに格納されている各ポートに対して予め定められた認証の種類が格納されている。認証の種類とは、スイッチ100が有するポートに対して外部装置が接続された際に、EAP認証部240が行うべき認証の種類のことを意味する。本実施例における認証の種類は、「Auto」と、「EAP」とを含んでいる。第1の認証種類としてのAutoは、所定の条件に従って決定された認証方式を用いて、スイッチ100に対して接続された外部装置との間で認証を行うことを意味する。詳細は後述する。
【0027】
第2の認証種類としてのEAPは、予め定められた特定の認証方式を用いて、スイッチ100に対して接続された外部装置との間で認証を行うことを意味する。特定の認証方式、すなわち、認証の種類がEAPである場合において実際に用いられる認証方式は、RAM400内部に予め格納されている。この特定の認証方式は、IEEE 802.1Xの、EAP−MD5(Extensible Authentication Protocol-message digest version 5)と、EAP−TLS(Extensible Authentication Protocol-Transport Layer Security)と、EAP−TTLS(Extensible Authentication Protocol-Tunneled Transport Layer Security)と、PEAP(Protected Extensible Authentication Protocol)と、LEAP(Lightweight Extensible Authentication Protocol)と、EAP−FAST(Extensible Authentication Protocol-Flexible Authentication via Secure Tunneling)とのうちのいずれかから選択されることが好ましい。本実施例では、EAP−MD5を用いて認証を行う。この特定の認証方式は利用者によるコンフィギュレーションが可能な構成としてもよい。
【0028】
なお、認証方法リスト410には、上記に例示した認証の種類以外の認証の種類(例えば、スイッチ100に対して接続された外部装置の認証を行わないことを示す「Open」等)を含んでもよい。
【0029】
MAC認証フィールドには、ポート番号フィールドに格納されている各ポートに対して予め定められたMACアドレス認証の有効(enable)/無効(disable)の設定値が格納されている。なお、MAC認証フィールドは省略可能である。MAC認証フィールドを省略した場合は、スイッチ100におけるセキュリティ向上の観点から、全てのポートについて、MACアドレス認証は有効(enable)とすることが好ましい。
【0030】
例えば、図3の例では、識別子P501で識別されるポート(ポートP501)に外部装置が接続された際には、Autoに基づく認証、すなわち、所定の条件に従って決定された認証方式を用いて認証が行われることが規定されている。また、ポートP501からの受信フレームに対しては、MACアドレス認証を行うことが規定されている(エントリE01)。ポートP502に外部装置が接続された際には、EAPに基づく認証、すなわち、EAP−MD5認証方式に従って認証が行われることが規定されている。また、ポートP502からの受信フレームに対しては、MACアドレス認証を行うことが規定されている(エントリE02)。
【0031】
図4は、許可リスト420の一例を示す説明図である。第1の許可リストとしての許可リスト420は、MACアドレス認証の際に使用されるリストである。許可リスト420には、スイッチ100の中継処理部210において中継を許可する受信フレームの送信元MACアドレス(フレームの送信元である装置のMACアドレス)が、許可アドレスとして格納されている。すなわち、許可リスト420には、受信フレームに含まれる情報を用いて中継可能なフレームを特定することができるように構成されているといえる。
【0032】
例えば、図4の例では、受信フレームのヘッダに含まれる送信元MACアドレスが、「MAC_PC10」、「MAC_PC20」のいずれかであれば、中継処理部210において当該フレームの中継が許可される。
【0033】
図5は、認証方式候補450の一例を示す説明図である。認証方式候補450は、認証処理フィールドと、認証方式フィールドとを含んでいる。認証処理フィールドには、EAP認証部240が実行することが可能な認証処理の種類が予め格納されている。本実施例における認証処理の種類は、「EAP_SWモード認証処理」と、「EAP_PCモード認証処理」とを含んでいる。EAP_SWモード認証処理は、他のスイッチが接続された場合に、EAP認証部240によって実行される認証処理である。EAP_PCモード認証処理は、スイッチ以外の端末(例えば、PC等)が接続された場合に、EAP認証部240によって実行される認証処理である。
【0034】
認証方式フィールドには、認証処理フィールドに格納されたそれぞれの認証処理において、実際に用いられる認証方式が予め格納されている。図5の例では、認証処理の種類がEAP_SWモード認証処理の場合、EAP認証部240は、IEEE 802.1XのEAP−TLSを用いて認証することが規定されている。また、認証処理の種類がEAP_PCモード認証処理の場合は、EAP認証部240は、IEEE 802.1XのEAP−MD5を用いて認証することが規定されている。なお、認証方式フィールドには、IEEE 802.1XのEAP−MD5と、EAP−TLSと、EAP−TTLSと、PEAPと、LEAPと、EAP−FASTとのうちの少なくとも1つを含むことが好ましい。
【0035】
上述の通り、認証方式候補450には、EAP認証部240が実行する認証処理の候補と、それぞれの認証処理において用いられる認証方式とが予め対応付けて格納されている。すなわち、認証方式候補450には、複数の認証方式の候補が格納されているといえる。なお、認証方式候補450の内容は、利用者によるコンフィギュレーションが可能な構成としてもよい。
【0036】
(A−3)フレーム受信時処理:
図6は、フレーム受信時処理の手順を示すフローチャートである。中継処理部210は、ポートP501〜P505のいずれかを介してフレームを受信したか否かを判定する(ステップS10)。フレームを受信していない場合(ステップS10:NO)、ステップS10へ戻る。フレームを受信した場合(ステップS10:YES)、中継処理部210は、受信フレームはEAPフレームか否かを判定する(ステップS12)。具体的には、例えば、中継処理部210は、受信フレームのヘッダに含まれるイーサタイプから判断される受信フレームのタイプがEAPOLである場合、EAPフレームを受信したと判定することができる。
【0037】
受信フレームがEAPフレームである場合(ステップS12:YES)、EAP認証部240は、認証方法リスト410を検索する(ステップS14)。具体的には、EAP認証部240は、認証方法リスト410を、フレームを受信したポートの識別子をキーとして検索し、一致するエントリの認証の種類フィールドの値を取得する。EAP認証部240は、取得した認証の種類フィールドの値に応じて処理を分岐させる(ステップS30)。認証の種類フィールドの値が「EAP」である場合(ステップS30:EAP)、EAP認証部240は、EAP_PCモード認証処理を行う(ステップS38)。EAP_PCモード認証処理の詳細は後述する。
【0038】
一方、認証の種類フィールドの値が「Auto」である場合(ステップS30:Auto)、EAP認証部240は、受信フレームがPCからのフレームであるか否かを判定する(ステップS32)。具体的には、例えば、EAP認証部240は、受信したEAPフレームのペイロードを参照し、ペイロード中の所定の位置に含まれる識別子がPCを示す値である場合に、PCからの受信フレームであると判定する。受信フレームがPCからのフレームである場合(ステップS32:YES)、EAP認証部240は、EAP_PCモード認証処理を行う(ステップS38)。EAP_PCモード認証処理の詳細は後述する。
【0039】
受信フレームがPCからの受信フレームでない場合(ステップS32:NO)、EAP認証部240は、受信フレームがスイッチからのフレームであるか否かを判定する(ステップS34)。具体的には、例えば、EAP認証部240は、受信したEAPフレームのペイロードを参照し、ペイロード中の所定の位置に含まれる識別子がスイッチを示す値である場合に、スイッチからの受信フレームであると判定する。受信フレームがスイッチからのフレームである場合(ステップS34:YES)、EAP認証部240は、EAP_SWモード認証処理を行う(ステップS36)。EAP_SWモード認証処理の詳細は後述する。一方、受信フレームがスイッチからのフレームでない場合(ステップS34:NO)、EAP認証部240は、受信フレームを破棄し、処理を終了する(ステップS26)。
【0040】
このように、認証処理部としてのEAP認証部は、フレームを受信したポート(換言すれば、外部装置が接続されたポート)に対して設定された認証の種類を判別し、判別した認証の種類に応じて処理を分岐させている(ステップS30)。
【0041】
一方、受信フレームがEAPフレーム以外のフレームである場合(ステップS12:NO)、MACアドレス認証部230は認証方法リスト410を検索する(ステップS18)。具体的には、MACアドレス認証部230は、認証方法リスト410を、フレームを受信したポートの識別子をキーとして検索し、一致するエントリのMAC認証フィールドの値、すなわち、MACアドレス認証の有効/無効の設定値を取得する。次に、MACアドレス認証部230は、MACアドレス認証を行うか否かを判定する(ステップS20)。具体的には、取得した設定値が「enable」であればMACアドレス認証を行い、取得した設定値が「disable」であればMACアドレス認証は行わない。MACアドレス認証を行わない場合(ステップS20:なし)、処理はステップS28へ遷移する。
【0042】
MACアドレス認証を行う場合(ステップS20:あり)、MACアドレス認証部230は、許可リスト420を検索する(ステップS22)。MACアドレス認証部230は、受信フレームを中継可能であるか否かを判定する(ステップS24)。具体的には、MACアドレス認証部230は、受信フレームのヘッダに含まれる送信元MACアドレスが、許可リスト420に格納されているMACアドレスのいずれかと一致するか否かを判定する。一致しない場合(ステップS24:不可)、MACアドレス認証部230は、受信フレームを破棄し、処理を終了する(ステップS26)。受信フレームを破棄した際、MACアドレス認証部230は、破棄したフレームの送信元端末に対して、フレームを破棄した旨の通知を行ってもよい。
【0043】
一方、一致する場合(ステップS24:可)、MACアドレス認証部230は、受信フレームは中継可であるものとして、フレーム中継処理を行う(ステップS28)。フレーム中継処理においては、中継処理部210は、図示しないMACアドレステーブルを参照し、フォワーディング(宛先MACアドレスがMACアドレステーブルにある場合のフレーム中継動作)もしくはフラッディング(宛先MACアドレスがMACアドレステーブルに無い場合の動作)を行った後、処理を終了する。このように、中継処理部210のMACアドレス認証部230は、許可リスト420に基づいて、受信フレームの中継可否を決定する。
【0044】
図7は、スイッチ100に新たな外部装置(他のスイッチ)が接続された場合であって、認証が行われる前の様子を示す説明図である。新たな外部装置としてのスイッチ100Xの構成は、ポートP501がカスケード接続用ポートに設定されている点を除いては、図1に示したスイッチ100と同様である。スイッチ100XのポートP501は、回線を通じてスイッチ100のポートP505と接続されている。また、スイッチ100XのポートP502にはPC30が、ポートP503にはPC40が、ポートP504にはPC50が、それぞれ回線を通じて接続されている。また、PC30のMACアドレスはMAC_PC30、PC40のMACアドレスはMAC_PC40、PC50のMACアドレスはMAC_PC50である。スイッチ100X内部に格納されている許可リスト420には、既にスイッチ100Xに接続されている3台のPCのMACアドレス(MAC_PC30、MAC_PC40、MAC_PC50)が格納されている。なお、スイッチ100X内部に格納されている認証方法リスト410については、記載を省略する。
【0045】
例えば、図7のように、スイッチ100とスイッチ100Xとの認証が行われる前において、PC30からPC20へフレームが送信された場合について考える。スイッチ100Xが受信したフレームは、スイッチ100XのポートP501からスイッチ100へ向けて送信される。
【0046】
スイッチ100Xからのフレームを受信したスイッチ100は(図6:ステップS10:YES)、受信フレームはEAPフレームではないと判定する(ステップS12:NO)。MACアドレス認証部230は、認証方法リスト410からフレームを受信したポートP505におけるMACアドレス認証が有効である旨の設定値を取得する(ステップS18、S20)。MACアドレス認証部230は、許可リスト420を検索し、送信元MACアドレスであるMAC_PC30が、許可リスト420に格納されているMACアドレスのいずれとも一致しないと判定する(ステップS22、S24:不可)。この結果、スイッチ100が受信したフレームは、MACアドレス認証部230により破棄される(ステップS26)。
【0047】
以上のように、スイッチ100とスイッチ100Xとの間の認証が行われる前においては、スイッチ100は、スイッチ100Xに接続されている外部装置からの受信フレームを中継することなく破棄する。換言すれば、スイッチ100は、スイッチ100Xとの認証前においては、スイッチ100Xからのトラフィックの入力を制限する。これは、スイッチ100が有する許可リスト420に、スイッチ100Xに接続されている外部装置(PC30〜PC50)のMACアドレスが格納されていないためである。
【0048】
図7のように、スイッチ100に他のスイッチ100Xが接続された場合、スイッチ100Xは、スイッチ100に対して、認証の開始を要求するためのEAPOL開始フレームを送信する。EAPOL開始フレームを受信したスイッチ100の中継処理部210は、受信フレームはEAPフレームであると判定する(図6:ステップS12:YES)。このため、EAP認証部240は、認証方法リスト410を検索し、フレームを受信したポートP505の認証の種類はAutoであると判定する(ステップS30:Auto)。また、EAP認証部240は、受信したEAPフレームのペイロードの所定の位置に含まれる識別子から、受信フレームはスイッチからの受信フレームであると判定する(ステップS32:NO、ステップS34:YES)以下、EAP_SWモード認証処理(ステップS36)について説明する。
【0049】
(A−4)EAP_SWモード認証処理:
図8は、EAP_SWモード認証処理(図6:ステップS36)の流れを示すシーケンス図である。スイッチ100に対してスイッチ100Xが接続された際、最初に双方の間においてリンクアップが行われる(ステップS100)。次に、サプリカント(Supplicant)としてのスイッチ100Xから、オーセンティケータ(Authenticator)としてのスイッチ100に対して、認証の開始を要求するためのEAPOL開始フレーム(EAP over LAN-Start)が送信される(ステップS102)。
【0050】
EAPOL開始フレームを受信したスイッチ100のEAP認証部240は、サプリカントのIDを要求するEAP要求フレームを送信する(ステップS104)。要求フレームを受信したスイッチ100Xは、サプリカントのIDを含んだEAP応答フレームを送信する(ステップS106)。次に、スイッチ100のEAP認証部240は、認証に使用するEAPのタイプを通知するEAP要求フレームを送信する(ステップS108)。具体的には、EAP認証部240は、認証方式候補450を、実行中の認証処理(すなわち、EAP_SWモード認証処理)をキーとして検索し、一致するエントリの認証方式フィールドの値(EAP−TLS)を取得する。そして、EAP認証部240は、取得した認証方式EAP−TLSの識別子を含んだEAP要求フレームを送信する。要求フレームを受信したスイッチ100Xは、認証に使用するEAPのタイプ(EAP−TLS)の識別子を含んだEAP応答フレームを送信する(ステップS110)。
【0051】
その後、スイッチ100と、スイッチ100Xとの間で、ステップS110で通知された認証方式に則った認証が行われる(ステップS112)。認証が成功した場合、スイッチ100のEAP認証部240は、認証が成功した旨のEAPフレームを送信する(ステップS114)。なお、上述した各フレームは、EAPの規約で予め定められた形式に則った構成とされ、IDやタイプ等の値は、フレーム中の規定の位置に格納されるデータとして送受信される。
【0052】
認証成功後、スイッチ100の認証情報管理部220は、許可リスト420に格納された許可アドレスを含んだフレームを送信する(ステップS116)。これを受信したスイッチ100Xは、スイッチ100X内の許可リスト420に格納された許可アドレスを含んだフレームを送信する(ステップS118)。最後に、スイッチ100の認証情報管理部220は、受信フレームに含まれる許可アドレスをもとにして、スイッチ100の許可リスト420に格納されている許可アドレスを更新する。具体的には、認証情報管理部220は、受信フレームに含まれる許可アドレス(MACアドレス)を、自身の許可リスト420に追加する。また、スイッチ100Xについても同様に、受信フレームに含まれる許可アドレスをもとにして、スイッチ100Xの許可リスト420に格納されている許可アドレスを更新する。
【0053】
なお、図8のステップS116〜S120は省略してもよい。ステップS116〜S120を省略した場合、例えば、以下のような処理で代替することができる。
・スイッチ100内の特定の記憶部(例えば、RAM400等)にポートP505に接続されているスイッチ100Xは認証済みである旨を記憶しておく。
・フレーム受信時処理(図6)のステップS22において、認証済みであるポートP505から受信したフレームのヘッダに含まれる送信元MACアドレスが許可リスト420にない場合、許可リスト420に新たに追加し、中継を許可する。
【0054】
なお、図8においては、スイッチ100XがIEEE 802.1Xに基づく認証クライアント(サプリカント)として機能し、スイッチ100がIEEE 802.1Xに基づく認証サーバ(オーセンティケータ)として機能しているが、これらは逆にしてもよい。例えば、スイッチ100は、リンクアップ(ステップS100)検出後、一定時間内にEAPOL開始フレームを受信しない場合は、スイッチ100Xに対してEAPOL開始フレームを送信する構成を採用することができる。このような場合、スイッチ100が認証クライアントとして機能し、スイッチ100Xが認証サーバとして機能する。以上のように、認証処理部としてのEAP認証部240がIEEE 802.1Xに基づく認証クライアントと、IEEE 802.1Xに基づく認証サーバとの両方の機能を有するようにすれば、スイッチ100は、スイッチ100Xに対して、認証クライアントとしても、認証サーバとしても振舞うことができるため、柔軟性の高い認証を実現することができる。
【0055】
図9は、スイッチ100に新たな外部装置(他のスイッチ)が接続された場合であって、認証が行われた後の様子を示す説明図である。スイッチ100およびスイッチ100Xの構成は図7で説明した通りである。スイッチ100内部に格納されている許可リスト420には、既にスイッチ100に接続されている2台のPCのMACアドレス(MAC_PC10、MAC_PC20)に加えて、スイッチ100Xの許可リスト420に格納された許可アドレス(MAC_PC30、MAC_PC40、MAC_PC50)が格納されている(図8:ステップS120)。同様に、スイッチ100X内部に格納されている許可リスト420には、既にスイッチ100Xに接続されている3台のPCのMACアドレス(MAC_PC30、MAC_PC40、MAC_PC50)に加えて、スイッチ100の許可リスト420に格納された許可アドレス(MAC_PC10、MAC_PC20)が格納されている(図8:ステップS120)。
【0056】
図9のように、スイッチ100とスイッチ100Xとの認証が行われた後において、PC30からPC20へのフレームが送信された場合について考える。スイッチ100Xが受信したフレームは、スイッチ100XのポートP501からスイッチ100へ向けて送信される。
【0057】
スイッチ100Xからのフレームを受信したスイッチ100は(図6:ステップS10:YES)、受信フレームEAPフレームではないと判定する(ステップS12:NO)。MACアドレス認証部230は、認証方法リスト410からフレームを受信したポートP505におけるMACアドレス認証が有効である旨の設定値を取得する(ステップS18、S20)。MACアドレス認証部230は、許可リスト420を検索する(ステップS22)。送信元MACアドレスであるMAC_PC30が、許可リスト420に格納されているMACアドレスと一致するため、MACアドレス認証部230は、受信フレームを中継可能であると判定する(ステップS24:可)。スイッチ100の中継処理部210は、フレーム中継処理を行う(ステップS28)。この結果、スイッチ100が受信したフレームは、スイッチ100のポートP502からPC20へ向けて送信される。
【0058】
以上のように、スイッチ100とスイッチ100Xとの間の認証が行われ、当該認証が成功した後においては、スイッチ100は、スイッチ100Xに接続されている外部装置からの受信フレームを中継する。換言すれば、スイッチ100は、スイッチ100Xとの認証成功後においては、スイッチ100Xからのトラフィックの入力を制限しない。
【0059】
図10は、スイッチ100に新たな外部装置(PC)が接続された場合であって、認証が行われる前の様子を示す説明図である。スイッチ100に新たな外部装置としてのPC60(MACアドレスMAC_PC60)が接続され、認証が行われる前においては、図7での説明と同様に、スイッチ100が受信したPC60からのフレームは、MACアドレス認証部230により破棄される(図6:ステップS26)。
【0060】
図10のように、スイッチ100にPC60が接続された場合、PC60は、接続先のスイッチ100に対して、認証の開始を要求するためのEAPOL開始フレームを送信する。EAPOL開始フレームを受信したスイッチ100の中継処理部210は、受信フレームはEAPフレームであると判定する(図6:ステップS12:YES)。このため、EAP認証部240は、認証方法リスト410を検索し、フレームを受信したポートP503の認証の種類はAutoであると判定する(ステップS30:Auto)。また、EAP認証部240は、受信したEAPフレームのペイロードの所定の位置に含まれる識別子から、受信フレームはPCからの受信フレームであると判定する(ステップS32:YES)以下、EAP_PCモード認証処理(ステップS38)について説明する。
【0061】
(A−5)EAP_PCモード認証処理:
図11は、EAP_PCモード認証処理(図6:ステップS38)の流れを示すシーケンス図である。図11のステップS100〜S114は、PC60が認証クライアント(サプリカント)として振舞う点を除いては、図8のS100〜S114とほぼ同じである。ただし、ステップS108においてEAP認証部240は、認証方式候補450を、実行中の認証処理であるEAP_PCモード認証処理をキーとして検索し、一致するエントリに格納された認証方式EAP−MD5の識別子を含んだEAP要求フレームを送信する。また、ステップS110において要求フレームを受信したPC60は、認証に使用するEAPのタイプ(EAP−MD5)の識別子を含んだEAP応答フレームを送信する。ステップS112では、EAP−MD5に則った認証が行われる。
【0062】
ステップS112の認証が成功後、スイッチ100の認証情報管理部220は、許可リスト420に格納されている許可アドレスに、PC60のMACアドレス(MAC_PC60)を追加する更新を行う(ステップS200)。
【0063】
図12は、スイッチ100に新たな外部装置(PC)が接続された場合であって、認証が行われた後の様子を示す説明図である。スイッチ100およびPC60の構成は図10で説明した通りである。スイッチ100内部に格納されている許可リスト420には、既にスイッチ100に接続されている2台のPCのMACアドレス(MAC_PC10、MAC_PC20)に加えて、新たにスイッチ100に接続されたPC60のMACアドレス(MAC_PC60)が格納されている(図11:ステップS200)。
【0064】
図12のように、スイッチ100とPC60との認証が行われた後において、PC60からPC20へのフレームが送信された場合について考える。PC60からのフレームを受信したスイッチ100は(図6:ステップS10)、受信フレームはEAPフレームではないと判定する(ステップS12:NO)。MACアドレス認証部230は、認証方法リスト410からフレームを受信したポートP503におけるMACアドレス認証が有効である旨の設定値を取得する(ステップS18、S20)。MACアドレス認証部230は、許可リスト420を検索する(ステップS22)。送信元MACアドレスであるMAC_PC60が、許可リスト420に格納されているMACアドレスと一致するため、MACアドレス認証部230は、受信フレームを中継可能であると判定する(ステップS24:可)。スイッチ100の中継処理部210は、フレーム中継処理を行う(ステップS28)。この結果、スイッチ100が受信したフレームは、スイッチ100のポートP502からPC20へ向けて送信される。
【0065】
なお、例えば、スイッチ100がさらに他のスイッチ(例えば、図示しないスイッチ100Z)と接続されている場合、スイッチ100は、更新後の許可リスト420に格納された許可アドレスを含むフレームを、さらに、他のスイッチ(スイッチ100Z)へ送信してもよい。このように、更新後の許可アドレスを自身が接続されている他のスイッチへ伝播する構成とすれば、MACアドレス認証で使用される許可リストの内容(すなわち、フレームの中継を許可すべき外部装置のMACアドレス)を、スイッチ間で交換することができるため、利便性がさらに向上する。なお、許可アドレスの伝播の範囲は、ルータで区切られた同一のセグメントの範囲内のスイッチとすることができる。なお、ルータそのものに対して許可アドレスの伝播を行ってもよい。そうすれば、ルータによっても、MACアドレスを管理することができる。
【0066】
以上のように、スイッチ100とPC60との間の認証が行われ、当該認証が成功した後においては、スイッチ100はPC60からの受信フレームを中継する。換言すれば、スイッチ100は、PC60の認証成功後においては、PC60からのトラフィックの入力を制限しない。
【0067】
以上のように、第1実施例によれば、認証処理部(EAP認証部240)は、PCや他のスイッチといった外部装置が接続されたポートに対して予め定められた認証の種類が第1の認証種類(Auto)である場合は、所定の条件、すなわち、受信フレームの種類(EAPフレームか否か)と、受信フレームの送信元である外部装置の種類(スイッチか、PC等の端末か)とに応じて、複数の認証処理の候補(EAP_PCモード認証処理、EAP_SWモード認証処理)から、実行すべき認証処理を決定する。さらに、EAP認証部240は、決定された認証処理の種類に応じた(認証方式候補450に規定された)認証方式を用いて外部装置との間で認証を行う。中継処理部210は、EAP認証部240による認証が成功した場合に受信フレームを中継する。
【0068】
このように、第1の認証種類であるAutoが対応付けられたポートに接続された外部装置と、スイッチ100との間においては、外部装置の種類に応じた認証方式を用いた認証が行われる。このため、スイッチ100の管理者は、スイッチ100の各ポートに対して第1の認証種類であるAutoを対応付けておくことで、スイッチ100の各ポートに接続される外部装置の種類(他のスイッチか、PC等の端末か)を意識する必要がなくなり、ネットワーク構成の変化に柔軟に対応することができる。また、スイッチ100と外部装置との間の認証が行われる前においては、スイッチ100は外部装置からのトラフィックの入力を制限し、スイッチ100と外部装置との間の認証成功後においては、スイッチ100は外部装置からのトラフィックの入力を制限しないため、セキュリティを確保することもできる。これらの結果、セキュリティを確保しつつ、ネットワーク構成の変化に柔軟に対応することのできるネットワーク中継装置(スイッチ100)を提供することが可能となる。
【0069】
さらに、認証処理部(EAP認証部240)は、外部装置が接続されたポートに対して予め定められた認証の種類が第2の認証種類(EAP)である場合は、RAM400内部に予め定められた特定の認証方式(EAP−MD5)を用いて外部装置との間で認証を行う。このため、例えば特定のポートについては予め定められた認証方式を用いたい等の要求に対しても対応することができる。この結果、ネットワーク中継装置(スイッチ100)において、セキュリティの向上と利便性を両立させることができる。
【0070】
さらに、認証情報管理部220は、外部装置が接続されて、認証処理(EAP_SWモード認証処理またはEAP_PCモード認証処理)が成功した場合に、外部装置からの受信フレームを中継可能とするように第1の許可リスト(許可リスト420)に規定された内容を変更するため、ネットワーク中継装置(スイッチ100)において、セキュリティの向上を図ることができる。また、認証情報管理部220は、許可リスト420を変更した場合は、スイッチ100に接続されている他のネットワーク中継装置(スイッチ)に対して、許可リスト420の内容を送信するため、利便性の向上を図ることができる。
【0071】
B.第2実施例:
本発明の第2実施例では、第1実施例で説明したネットワーク中継装置において、さらに、認証時に使用する鍵の交換処理を備える構成について説明する。以下では、第1実施例と異なる構成および動作を有する部分についてのみ説明する。なお、図中において第1実施例と同様の構成部分については先に説明した第1実施例と同様の符号を付し、その詳細な説明を省略する。
【0072】
(B−1)装置構成:
図13は、第2実施例におけるスイッチ100aの構成を概略的に示す説明図である。図2に示したスイッチ100との違いは、EAP認証部240に代えてEAP認証部240aを備える点のみであり、他の構成については第1実施例と同じである。EAP認証部240aは、さらに、鍵交換処理部260を含んでいる。
【0073】
鍵交換処理部260は、EAP認証部240による認証処理において使用される共有鍵(秘密鍵)を交換する機能を有する。なお、EAP認証部240による認証処理とは、図8で説明したEAP_SWモード認証処理と、図11で説明したEAP_PCモード認証処理を意味する。しかし、EAP認証部240がIEEE 802.1XのEAPプロトコルに準拠した認証方式以外の認証方式(例えば、WPAや、独自の認証方式等)を使用する場合であっても同様に、鍵交換処理部260は、当該認証方式において使用される共有鍵を交換することができる。なお、(B−2)テーブル構成〜(B−5)EAP_PCモード認証処理についての詳細は、(A−2)〜(A−5)で説明した通りである。
【0074】
(B−6)鍵交換処理:
図14は、鍵交換処理の流れを示すシーケンス図である。まず、スイッチ100aに対してスイッチ100Xaが有線によって接続され、双方のスイッチはこの有線接続を検出する(ステップS300)。なお、スイッチ100aと、スイッチ100Xaとは、上述(図13)の違いを除いて、図7で説明したものと同じである。
【0075】
次に、スイッチ100aは、スイッチ100aに設けられたボタンの押下を検出する(ステップS310)。このボタンは、共有鍵の交換を開始するためのボタンである。ボタン押下を検出後、スイッチ100aの鍵交換処理部260は、スイッチ100aの鍵交換モードを開始する(ステップS320)。具体的には、スイッチ100aの鍵交換処理部260は、中継処理部210による受信フレームの中継処理(図5)を停止させるとともに、中継処理部210に代わって受信フレームを取得する。なお、ステップS310、S320の処理は、スイッチ100Xaでも同様に実行される。
【0076】
鍵交換モードにおいて、スイッチ100aの鍵交換処理部260は、スイッチ100Xaに対して鍵の交換を要求する旨の鍵交換フレームを送信する(ステップS330)。スイッチ100Xaも同様に、スイッチ100aに対して鍵の交換を要求する旨の鍵交換フレームを送信する(ステップS340)。スイッチ100Xaからの鍵交換フレームを受信したスイッチ100a鍵交換処理部260は、スイッチ100Xaに対して鍵交換を開始する旨の開始要求フレームを送信する(ステップS350)。スイッチ100Xaも同様に、スイッチ100aに対して鍵交換を開始する旨の開始要求フレームを送信する(ステップS360)。なお、ステップS330およびS340、ステップS350およびS360の順序はそれぞれ逆でもよい。
【0077】
その後、スイッチ100aとスイッチ100Xaとの間で、共有鍵を交換するための鍵交換処理が行われる(ステップS370)。鍵交換処理は、任意の鍵交換方式を用いて行うことができ、例えば、DH法(Diffie- Hellman鍵交換)を用いることができる。鍵交換処理によってスイッチ100aと、スイッチ100Xaとの間で秘密鍵が送受信される。
【0078】
鍵交換処理の終了後、スイッチ100aの鍵交換処理部260は、鍵交換モードを終了する(ステップS380)。具体的には、スイッチ100aの鍵交換処理部260は、中継処理部210に代わって行っていた受信フレームの取得を停止するとともに、中継処理部210による受信フレームの中継処理(図5)を再開させる。なお、ステップS380の処理は、スイッチ100Xaでも同様に実行される。以上で鍵交換モードは終了する。なお、鍵交換モードの最中は中継処理部210によるフレームの中継が停止されることから、スイッチ100aは、利用者に注意を喚起するための表示(LED表示等)を行うことが好ましい。
【0079】
なお、上述の鍵交換処理は、ボタン押下(ステップS310)をトリガとして実行されるが、ボタン押下はあくまでトリガの一例であり、任意のものを採用することができる。また、第2実施例では、スイッチ100aと鍵交換処理を行う外部装置の例として他のスイッチ(スイッチ100Xa)挙げて説明した。しかし、外部装置としてPC等の端末装置が接続された場合であっても、図14と同様の鍵交換処理を行うことが可能である。
【0080】
以上のように、第2実施例によれば、スイッチ100aの認証処理部(鍵交換処理部260)は、予め定められたトリガ(すなわちボタン押下操作)の発生に応じて、中継処理部210による受信フレームの中継を停止させ、鍵交換処理を行うため、ネットワーク中継装置(スイッチ100a)と、外部装置との間で認証に使用する共有鍵(秘密鍵)の交換をすることができる。
【0081】
C.変形例:
なお、この発明は上記の実施例や実施形態に限られるものではなく、その要旨を逸脱しない範囲で種々の構成を採ることができる。例えば、ソフトウェアによって実現した機能は、ハードウェアによって実現するものとしてもよい。そのほか、以下のような変形が可能である。
【0082】
C1.変形例1:
上記実施例では、ネットワーク中継装置の構成について説明した。しかし、上記実施例で示したネットワーク中継装置の構成はあくまで一例であり、任意の構成を採用することができる。例えば、その構成要素の一部を省略したり、更なる構成要素を付加したりする変形が可能である。
【0083】
例えば、上記実施例におけるスイッチは、MACアドレスによるフレームの中継を行うレイヤ2スイッチであるものとした。しかし、MACアドレスによるフレームの中継に加えてIPアドレスによるパケットの中継を行うことも可能な、いわゆるレイヤ3スイッチであるものとしてもよい。また、無線通信インタフェースを備え、無線通信におけるパケットの中継が可能な、いわゆるアクセスポイントであるものとしてもよい。
【0084】
例えば、上記実施例におけるスイッチは、さらに、例えば、仮想的なサブネットワークを構築するためのVLAN(Virtual Local Area Network)機能や、複数のポートを論理的に1つにまとめて取り扱うためのリンクアグリゲーションや機能等を備えていてもよい。
【0085】
例えば、上記実施例におけるスイッチでは、認証方法リストと、許可リストと、認証方式候補とはRAMに格納されているものとしたが、他の記憶媒体、例えば、フラッシュROMに格納されているものとしても良い。
【0086】
上記実施例におけるスイッチでは、CPUは、中継処理部と、EAP認証部と、を備え、中継処理部は、さらに、認証情報管理部と、MACアドレス認証部とを含み、EAP認証部は、さらに、鍵交換処理部を含むものとして記載した。また、各処理部において実行される機能について説明した。しかし、これら各処理部の配置および各処理部が果たす機能の内容についてはあくまで例示であり、スイッチの構成に応じて任意に変更することが可能である。
【0087】
例えば、上記実施例において記載した中継処理部の機能のうちのフレーム中継機能は、有線通信インタフェースを構成する物理チップによって実現される機能であるものとし、中継処理部の他の機能(受信フレームの中継可否を決定する機能や、認証情報管理部の機能、MACアドレス認証部の機能)は、CPUによって実現される機能であるとしてもよい。この場合、有線通信インタフェースを構成する物理チップと、CPUとが協働することによって中継処理部の全ての機能を実現する。
【0088】
例えば、有線通信インタフェースを構成する物理チップの内部に、中継処理部と、EAP認証部と、認証情報管理部と、MACアドレス認証部と、鍵交換処理部との全ての機能を備えるものとしてもよい。
【0089】
C2.変形例2:
上記実施例におけるスイッチは、受信したフレームのMACアドレス認証を行うためのMACアドレス認証部と、外部装置が接続された際に、接続された外部装置との間で認証を行うためのEAP認証部とを備える(すなわち、RADIUS(Remote Authentication Dial-In User Service)機能を内蔵する)構成とした。しかし、専用のRADIUSサーバをスイッチとは別に設け、外部のRADIUSサーバにおいて、実際のMACアドレス認証や、接続された外部装置認証を行う構成としてもよい。専用のRADIUSサーバをスイッチとは別に設ける場合、MACアドレス認証部と、EAP認証部は、RADIUSサーバに対して認証要求を送信し、その応答としての認証結果を得ることによって、MACアドレス認証部およびEAP認証部として機能する。
【0090】
C3.変形例3:
上記実施例では、認証方法リスト、許可リスト、認証方式候補の一例を示した。しかし、これらのテーブルはあくまで一例であり、発明の要旨を逸脱しない範囲において任意に定めることができる。例えば、上記に例示したフィールド以外のフィールドを備えるものとしても良い。また、各テーブルには、ダイレクトマップ方式を用いることも可能である。さらに、利用者が各テーブルをコンフィギュレーション可能な構成とすることも好ましい。
【0091】
上記実施例における許可リストは、フレームを受信したポートの区別なく、中継可能な送信元MACアドレスのみを格納する構成としているが、次のような変形をしてもよい。
【0092】
例えば、許可リストに対して、ポート番号フィールドを追加することで、ポート毎に中継を許可する受信フレームの送信元MACアドレスを管理する構成にしてもよい。
【0093】
例えば、許可アドレスフィールドに代えて、送信元MACアドレスフィールドと、中継可否フィールドとを設け、送信元MACアドレス毎に、フレームの中継可能/不可能を設定する構成としてもよい。
【0094】
C4.変形例4:
上記実施例では、フレーム受信時処理(図6)において、中継処理部およびEAP認証部が、フレームの種類(EAPフレームか否か)や、フレーム送信元の装置の種類(PCか、スイッチか)を特定するための方法の一例について説明した。しかし、上記実施例で説明した方法はあくまで例示であり、任意の方法を採用することができる。
【0095】
例えば、フレーム受信時処理(図6)のステップS32、34において、EAP認証部は、受信したEAPフレームのペイロードを参照することに代えて、接続先の外部装置から送信されるサプリカントのIDを含んだ応答フレーム(図8:ステップS106)を受信し、この応答フレームの中に含まれる識別情報を参照するものとしてもよい。このようにすれば、EAP認証部は、EAPフレームのペイロード中に識別子を含まないフレームを受信した場合であっても、フレーム送信元の外部装置の種類を識別することが可能となるため、汎用性が向上する。なお、この場合、フレーム受信時処理(図6)のステップS30と、ステップS32との間に、IDを含んだEAPフレームの送受信処理が追加される。また、EAP_SWモード認証処理(図8)およびEAP_PCモード認証処理(図11)は、ステップS108から開始する。
【符号の説明】
【0096】
100…スイッチ
100X…スイッチ
100Z…スイッチ
100a…スイッチ
100Xa…スイッチ
200…CPU
210…中継処理部
220…認証情報管理部
230…MACアドレス認証部
240…EAP認証部
240a…EAP認証部
260…鍵交換処理部
300…ROM
400…RAM
410…認証方法リスト
420…許可リスト
450…認証方式候補
500…有線通信インタフェース
P501〜P505…ポート
【特許請求の範囲】
【請求項1】
ネットワーク中継装置であって、
外部装置が接続されるとともに、接続された前記外部装置に対して行うべき認証の種類が予め対応づけられている複数のポートと、
前記ネットワーク中継装置に前記外部装置が接続された際に、前記外部装置が接続されたポートに対して予め定められた前記認証の種類を判別し、判別した前記認証の種類が第1の認証種類である場合は、所定の条件に従って決定された認証方式を用いて前記外部装置との間で認証を行う認証処理部と、
前記認証処理部による認証が成功した場合に受信フレームを中継する中継処理部と、
を備える、ネットワーク中継装置。
【請求項2】
請求項1記載のネットワーク中継装置であって、
前記認証処理部は、さらに、
判別した前記認証の種類が第2の認証種類である場合は、予め定められた特定の認証方式を用いて前記外部装置との間で認証を行う、ネットワーク中継装置。
【請求項3】
請求項1または2記載のネットワーク中継装置であって、
前記所定の条件は、
受信フレームの種類と、前記受信フレームの送信元である前記外部装置の種類とに応じて、予め定められた複数の認証方式の候補から実行すべき認証方式を決定することである、ネットワーク中継装置。
【請求項4】
請求項1ないし3のいずれか一項記載のネットワーク中継装置であって、
前記ネットワーク中継装置に前記外部装置が接続された際に、予め定められたトリガの発生に応じて、
前記中継処理部は、前記受信フレームの中継を停止し、
前記認証処理部は、前記認証に使用する鍵の交換を要求する旨の鍵交換フレームを受信した場合、前記鍵交換フレームを受信したポートに接続されている前記外部装置との間で、鍵交換のための処理を行う、ネットワーク中継装置。
【請求項5】
請求項1ないし4のいずれか一項記載のネットワーク中継装置であって、
前記予め定められた特定の認証方式は、EAP−MD5と、EAP−TLSと、EAP−TTLSと、PEAPと、LEAPと、EAP−FASTのうちのいずれか1つであり、
前記予め定められた複数の認証方式の候補には、EAP−MD5と、EAP−TLSと、EAP−TTLSと、PEAPと、LEAPと、EAP−FASTとのうちの少なくとも1つが含まれる、ネットワーク中継装置。
【請求項6】
請求項1ないし5のいずれか一項記載のネットワーク中継装置であって、さらに、
前記中継処理部が前記受信フレームの中継可否を決定する際に用いる情報であって、前記受信フレームに含まれる情報を用いて中継可能なフレームを特定することができるように構成されている第1の許可リストを備え、
前記中継処理部は、さらに、
前記第1の許可リストに規定された内容を変更する認証情報管理部を含む、ネットワーク中継装置。
【請求項7】
請求項6記載のネットワーク中継装置であって、
前記認証情報管理部は、
前記認証処理部による認証が成功した場合に、前記外部装置からの受信フレームを中継可能とするように前記第1の許可リストに規定された内容を変更する、ネットワーク中継装置。
【請求項8】
請求項6または7記載のネットワーク中継装置であって、
前記認証情報管理部は、さらに、
前記第1の許可リストを変更した場合は、前記ネットワーク中継装置に接続されている他のネットワーク中継装置に対して、前記第1の許可リストの内容を送信する、ネットワーク中継装置。
【請求項1】
ネットワーク中継装置であって、
外部装置が接続されるとともに、接続された前記外部装置に対して行うべき認証の種類が予め対応づけられている複数のポートと、
前記ネットワーク中継装置に前記外部装置が接続された際に、前記外部装置が接続されたポートに対して予め定められた前記認証の種類を判別し、判別した前記認証の種類が第1の認証種類である場合は、所定の条件に従って決定された認証方式を用いて前記外部装置との間で認証を行う認証処理部と、
前記認証処理部による認証が成功した場合に受信フレームを中継する中継処理部と、
を備える、ネットワーク中継装置。
【請求項2】
請求項1記載のネットワーク中継装置であって、
前記認証処理部は、さらに、
判別した前記認証の種類が第2の認証種類である場合は、予め定められた特定の認証方式を用いて前記外部装置との間で認証を行う、ネットワーク中継装置。
【請求項3】
請求項1または2記載のネットワーク中継装置であって、
前記所定の条件は、
受信フレームの種類と、前記受信フレームの送信元である前記外部装置の種類とに応じて、予め定められた複数の認証方式の候補から実行すべき認証方式を決定することである、ネットワーク中継装置。
【請求項4】
請求項1ないし3のいずれか一項記載のネットワーク中継装置であって、
前記ネットワーク中継装置に前記外部装置が接続された際に、予め定められたトリガの発生に応じて、
前記中継処理部は、前記受信フレームの中継を停止し、
前記認証処理部は、前記認証に使用する鍵の交換を要求する旨の鍵交換フレームを受信した場合、前記鍵交換フレームを受信したポートに接続されている前記外部装置との間で、鍵交換のための処理を行う、ネットワーク中継装置。
【請求項5】
請求項1ないし4のいずれか一項記載のネットワーク中継装置であって、
前記予め定められた特定の認証方式は、EAP−MD5と、EAP−TLSと、EAP−TTLSと、PEAPと、LEAPと、EAP−FASTのうちのいずれか1つであり、
前記予め定められた複数の認証方式の候補には、EAP−MD5と、EAP−TLSと、EAP−TTLSと、PEAPと、LEAPと、EAP−FASTとのうちの少なくとも1つが含まれる、ネットワーク中継装置。
【請求項6】
請求項1ないし5のいずれか一項記載のネットワーク中継装置であって、さらに、
前記中継処理部が前記受信フレームの中継可否を決定する際に用いる情報であって、前記受信フレームに含まれる情報を用いて中継可能なフレームを特定することができるように構成されている第1の許可リストを備え、
前記中継処理部は、さらに、
前記第1の許可リストに規定された内容を変更する認証情報管理部を含む、ネットワーク中継装置。
【請求項7】
請求項6記載のネットワーク中継装置であって、
前記認証情報管理部は、
前記認証処理部による認証が成功した場合に、前記外部装置からの受信フレームを中継可能とするように前記第1の許可リストに規定された内容を変更する、ネットワーク中継装置。
【請求項8】
請求項6または7記載のネットワーク中継装置であって、
前記認証情報管理部は、さらに、
前記第1の許可リストを変更した場合は、前記ネットワーク中継装置に接続されている他のネットワーク中継装置に対して、前記第1の許可リストの内容を送信する、ネットワーク中継装置。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【公開番号】特開2012−49590(P2012−49590A)
【公開日】平成24年3月8日(2012.3.8)
【国際特許分類】
【出願番号】特願2010−186831(P2010−186831)
【出願日】平成22年8月24日(2010.8.24)
【出願人】(390040187)株式会社バッファロー (378)
【Fターム(参考)】
【公開日】平成24年3月8日(2012.3.8)
【国際特許分類】
【出願日】平成22年8月24日(2010.8.24)
【出願人】(390040187)株式会社バッファロー (378)
【Fターム(参考)】
[ Back to top ]