ネットワーク認証における端末接続状態管理
【課題】ネットワークにおけるセキュリティを向上させる。
【解決手段】ネットワーク中継装置は、端末装置によるネットワークへの接続可否を判定するWeb認証の結果に従い認証済み端末装置を特定する第1の情報を作成し、端末装置とネットワーク上のノードとの間の通信データの中継可否を管理する認証処理部と、端末装置とDHCPサーバとの間のDHCP通信データをスヌーピングし、各端末装置に割り当てられたレイヤ3アドレスを特定する第2の情報を作成するDHCPスヌーピング処理部と、第1の情報に基づき認証済み端末装置を特定し、第2の情報に基づき認証済み端末装置に割り当てられたレイヤ3アドレスを特定し、認証済み端末装置がネットワークに接続されているか否かを確認する確認通信データを特定されたレイヤ3アドレス宛に送信うる端末検索処理部と、を備える。
【解決手段】ネットワーク中継装置は、端末装置によるネットワークへの接続可否を判定するWeb認証の結果に従い認証済み端末装置を特定する第1の情報を作成し、端末装置とネットワーク上のノードとの間の通信データの中継可否を管理する認証処理部と、端末装置とDHCPサーバとの間のDHCP通信データをスヌーピングし、各端末装置に割り当てられたレイヤ3アドレスを特定する第2の情報を作成するDHCPスヌーピング処理部と、第1の情報に基づき認証済み端末装置を特定し、第2の情報に基づき認証済み端末装置に割り当てられたレイヤ3アドレスを特定し、認証済み端末装置がネットワークに接続されているか否かを確認する確認通信データを特定されたレイヤ3アドレス宛に送信うる端末検索処理部と、を備える。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、ネットワーク認証に関し、特に、ネットワーク認証済み端末装置のネットワーク接続状態の管理に関する。
【背景技術】
【0002】
通信ネットワークのインフラ化とともに、ネットワークにおけるセキュリティを高めるための様々な仕組みが提案されている。ネットワーク認証もその内の1つである。ネットワーク認証は、パーソナルコンピュータ(PC)等の端末装置による特定のネットワークへの接続可否を管理するための認証の仕組みである(例えば特許文献1参照)。
【0003】
ネットワーク認証としては、例えば、Web認証やIEEE802.1X認証が知られている。Web認証は、Webブラウザが動作する端末装置からWeb認証機能を有するスイッチ等のネットワーク中継装置に対して発行される認証要求に応じて、認証サーバが端末装置の認証情報に基づき認証を行う認証方式である。Web認証では、ネットワーク中継装置が、認証済み端末装置のMACアドレスやユーザID、VLAN情報等を認証済み端末登録テーブルに登録し、当該テーブルを参照して、端末装置とネットワーク上のノード間の通信データの中継可否を判定する。Web認証は、端末装置がIEEE802.1X認証で使用されるような特別な認証用ソフトウェアを備えていなくてもWebブラウザさえ備えていれば実現可能であるため、汎用性の高い認証方式である。
【先行技術文献】
【特許文献】
【0004】
【特許文献1】特開2003−348114号公報
【発明の概要】
【発明が解決しようとする課題】
【0005】
Web認証では、IEEE802.1X認証のようなプロトコルが確立された認証方式と異なり、認証済み端末装置のネットワーク接続状態を管理する技術が知られていない。例えば、Web認証では、認証済み端末装置がネットワークから離脱したことを迅速に検知する技術が確立されていない。認証済み端末装置がネットワークから離脱したことを迅速に検知できないと、認証済み端末装置がネットワークから離脱した後に、MACアドレスを詐称した他の端末装置によるネットワークへの接続を許してしまう場合があり、セキュリティの点で向上の余地があった。
【0006】
本発明は、上記の課題を解決するためになされたものであり、Web認証における端末接続状態を管理してネットワークにおけるセキュリティを向上させることを目的とする。
【課題を解決するための手段】
【0007】
上記課題の少なくとも一部を解決するために、本発明は、以下の形態または適用例として実現することが可能である。
【0008】
[適用例1]ネットワーク中継装置であって、
通信データを送受信する通信部と、
前記ネットワーク中継装置と接続された端末装置による特定のネットワークへの接続の可否を判定するWeb認証の結果に従い認証済み端末装置を特定する第1の情報を作成し、前記第1の情報に基づき端末装置と前記特定のネットワーク上のノードとの間の通信データの前記通信部による中継の可否を管理する認証処理部と、
前記通信部により中継される端末装置とDHCPサーバとの間のDHCP通信データをスヌーピングし、前記DHCP通信データに基づき、各端末装置に割り当てられたレイヤ3アドレスを特定する第2の情報を作成するDHCPスヌーピング処理部と、
前記第1の情報に基づき認証済み端末装置を特定し、前記第2の情報に基づき前記特定された認証済み端末装置に割り当てられたレイヤ3アドレスを特定し、前記通信部に、前記特定された認証済み端末装置が前記特定のネットワークに接続されているか否かを確認する確認通信データを前記特定されたレイヤ3アドレス宛に送信させる端末検索処理部と、を備える、ネットワーク中継装置。
【0009】
このネットワーク中継装置では、端末検索処理部が、認証処理部により作成された認証済み端末装置を特定する第1の情報に基づき認証済み端末装置を特定し、DHCPスヌーピング処理部により作成された各端末装置に割り当てられたレイヤ3アドレスを特定する第2の情報に基づき認証済み端末装置に割り当てられたレイヤ3アドレスを特定し、通信部に、特定された認証済み端末装置が特定のネットワークに接続されているか否かを確認する確認通信データを特定されたレイヤ3アドレス宛に送信させるため、認証済み端末装置がネットワークに接続されているか否か(つまり端末接続状態)を管理することができる。そのため、このネットワーク中継装置では、Web認証における端末接続状態を管理してネットワークにおけるセキュリティを向上させることができる。
【0010】
[適用例2]適用例1に記載のネットワーク中継装置であって、
前記端末検索処理部は、所定回数の前記確認通信データの送信に対して前記特定された認証済み端末装置からの応答が無い場合には、前記認証処理部に、前記特定された認証済み端末装置についての認証を解除させる、ネットワーク中継装置。
【0011】
このネットワーク中継装置では、端末検索処理部が、所定回数の確認通信データの送信に対して認証済み端末装置からの応答が無い場合には、認証処理部に認証済み端末装置についての認証を解除させるため、認証済み端末装置がネットワークから離脱した後に、当該端末装置を詐称した他の端末装置によるネットワークへの接続を許してしまう事態の発生を抑制することができ、ネットワークにおけるセキュリティを向上させることができる。
【0012】
[適用例3]適用例1または適用例2に記載のネットワーク中継装置であって、
前記端末検索処理部は、前記第1の情報と前記第2の情報とに基づき、各認証済み端末装置について割り当てられたレイヤ3アドレスを特定する第3の情報を作成し、前記第3の情報に登録された認証済み端末装置を順に前記特定のネットワークに接続されているか否かの確認対象として選択する、ネットワーク中継装置。
【0013】
このネットワーク中継装置では、端末検索処理部が、第1の情報と第2の情報とに基づき、各認証済み端末装置について割り当てられたレイヤ3アドレスを特定する第3の情報を作成し、第3の情報に登録された認証済み端末装置を順に確認対象として選択するため、認証済み端末装置の端末接続状態を効果的にかつ効率的に管理することができ、ネットワークにおけるセキュリティを向上させることができる。
【0014】
[適用例4]適用例3に記載のネットワーク中継装置であって、
前記端末検索処理部は、前記Web認証によって端末装置が認証された際に認証済み端末装置を前記第3の情報に登録すると共に、前記確認対象として選択された認証済み端末装置について、前記第3の情報にレイヤ3アドレスが登録されていない場合、または、前記第3の情報に登録されたレイヤ3アドレスが前記第2の情報に登録されたレイヤ3アドレスと異なる場合には、前記第2の情報に登録されたレイヤ3アドレスを前記第3の情報に登録する、ネットワーク中継装置。
【0015】
このネットワーク中継装置では、第3の情報に認証済み端末装置と各認証済み端末装置について割り当てられた最新のレイヤ3アドレスとを登録することができるため、第3の情報を利用して認証済み端末装置の端末接続状態を効果的にかつ効率的に管理することができ、ネットワークにおけるセキュリティを向上させることができる。
【0016】
[適用例5]適用例4に記載のネットワーク中継装置であって、
前記端末検索処理部は、前記確認対象として選択された認証済み端末装置について、前記第3の情報に登録された認証済み端末装置とレイヤ3アドレスとの対応関係と同一の対応関係が前記第2の情報には登録されておらず、かつ、前記第2の情報に認証済み端末装置と他のレイヤ3アドレスとの対応関係が登録されている場合には、前記選択された認証済み端末装置は前記特定のネットワークから一端離脱した後に再接続したものと判定する、ネットワーク中継装置。
【0017】
このネットワーク中継装置では、認証済み端末装置が特定のネットワークから一端離脱した後に再接続したことを検知することができ、ネットワークにおけるセキュリティをさらに向上させることができる。
【0018】
[適用例6]適用例1ないし適用例5のいずれかに記載のネットワーク中継装置であって、さらに、
端末装置に認証前のVLANと認証後のVLANとが必ずしも一致しないようにVLANを設定するVLAN設定部を備える、ネットワーク中継装置。
【0019】
このネットワーク中継装置では、認証前のVLANと認証後のVLANとが必ずしも一致しないように端末装置にVLANが設定される場合にも、認証済み端末装置に割り当てられたレイヤ3アドレスを特定して、認証済み端末装置が特定のネットワークに接続されているか否かを確認する確認通信データを送信することができ、ネットワークにおけるセキュリティを向上させることができる。
【0020】
[適用例7]適用例1ないし適用例6のいずれかに記載のネットワーク中継装置であって、
前記第1の情報と前記第2の情報と前記第3の情報とは、レイヤ2アドレスにより端末装置を特定する、ネットワーク中継装置。
【0021】
なお、本発明は、種々の態様で実現することが可能であり、例えば、ネットワーク中継方法および装置、ネットワーク通信方法および装置、ネットワーク認証方法および装置、これらの方法または装置の機能を実現するためのコンピュータプログラム、そのコンピュータプログラムを記録した記録媒体、そのコンピュータプログラムを含み搬送波内に具現化されたデータ信号、等の形態で実現することができる。
【図面の簡単な説明】
【0022】
【図1】本発明の実施例におけるネットワークシステム10の構成を概略的に示す説明図である。
【図2】認証スイッチ100の構成を概略的に示す説明図である。
【図3】MACアドレステーブルMTの内容の一例を示す説明図である。
【図4】DHCPスヌーピングテーブルDTの内容の一例を示す説明図である。
【図5】認証管理テーブルATの内容の一例を示す説明図である。
【図6】ポーリング管理テーブルPTの内容の一例を示す説明図である。
【図7】ネットワークシステム10におけるWeb認証処理の流れを示すフローチャートである。
【図8】本実施例の認証スイッチ100による端末検索処理の流れを示すフローチャートである。
【発明を実施するための形態】
【0023】
次に、本発明の実施の形態を実施例に基づいて以下の順序で説明する。
A.実施例:
A−1.ネットワークシステムの構成:
A−2.Web認証処理:
A−3.端末検索処理:
B.変形例:
【0024】
A.実施例:
A−1.ネットワークシステムの構成:
図1は、本発明の実施例におけるネットワークシステム10の構成を概略的に示す説明図である。ネットワークシステム10は、端末装置210と、端末装置210を収容するハブ220と、ハブ220を収容する認証スイッチ100と、認証スイッチ100に接続されたレイヤ3スイッチ230と、レイヤ3スイッチ230に接続された認証サーバ240およびDHCPサーバ250と、を備えている。ネットワークシステム10内の各構成要素間は、リンクを介して接続されている。リンクは、通信データの伝送路であり、例えばUTPケーブル、STPケーブル、光ファイバ、同軸ケーブル、無線によって構成される。
【0025】
端末装置210は、ユーザが使用する情報処理装置であり、例えばパーソナルコンピュータ(PC)により構成されている。ハブ220は、ネットワークにおける通信データをOSI参照モデルにおける第1層(物理層)で中継するネットワーク中継装置である。認証スイッチ100は、ネットワークにおける通信データをOSI参照モデルにおける第2層(データリンク層)で中継するネットワーク中継装置(レイヤ2スイッチ)であると共に、端末装置210による特定のネットワークNETへの接続可否を管理するネットワーク認証機能を有している。レイヤ3スイッチ230は、ネットワークにおける通信データをOSI参照モデルにおける第3層(ネットワーク層)で中継するネットワーク中継装置である。認証サーバ240は、認証スイッチ100からの認証要求に応じて、端末装置210によるネットワークNETへの接続可否を判定するWeb認証を行うRADIUSサーバである。DHCPサーバ250は、端末装置210にレイヤ3アドレスとしてのIPアドレス等を自動的に割り当てるサーバである。
【0026】
図2は、認証スイッチ100の構成を概略的に示す説明図である。認証スイッチ100は、通信部124とMACアドレステーブルMTとを含んでいる。通信部124は、図示しない複数の物理ポートを有し、MACアドレステーブルMTを参照して、物理ポートを介した通信データの送受信を行う。通信部124は、例えばASIC(特定用途IC)により構成される。
【0027】
図3は、MACアドレステーブルMTの内容の一例を示す説明図である。MACアドレステーブルMTは、端末装置210のレイヤ2アドレスとしてのMACアドレスと、端末装置210の所属VLANの番号と、端末装置210が接続された物理ポートの番号と、の対応関係を規定する。例えば、図3の例では、MACアドレステーブルMTは、MACアドレス「MAC−A」の端末装置210が、VLAN番号「200」のVLANに所属し、ポート番号「1」の物理ポートに接続されていることを示している。なお、本実施例では、各テーブルにおける個々の対応関係をレコードとも呼ぶ。
【0028】
通信部124は、通信データの送受信を行いつつ、通信データに含まれる宛先MACアドレスや送信元MACアドレス、VLAN番号等を示す情報を参照して、MACアドレステーブルMTにレコードを新規登録したり、既に登録されているレコードを更新したりする。また、本実施例では、通信部124は、予め設定された長さのエージング時間中に通信データが中継されないMACアドレスについてのレコードをMACアドレステーブルMTから削除するエージング機能を有している。
【0029】
認証スイッチ100(図2)は、所定の処理を行う処理部として、認証処理部122と、DHCPスヌーピング処理部126と、端末検索処理部128と、VLAN設定部132と、を含んでいる。これらの各処理部は、例えば図示しないCPUが内部メモリに格納されたコンピュータプログラムを読み出して実行することにより実現される。また、認証スイッチ100は、各処理部に使用される情報として、DHCPスヌーピングテーブルDTと、認証管理テーブルATと、ポーリング管理テーブルPTと、を含んでいる。
【0030】
DHCPスヌーピング処理部126は、通信部124を介して中継される端末装置210とDHCPサーバ250との間のDHCP通信データ(DHCPメッセージ)を検出し、DHCPメッセージに基づき、DHCPスヌーピングテーブルDTを作成・更新する。図4は、DHCPスヌーピングテーブルDTの内容の一例を示す説明図である。DHCPスヌーピングテーブルDTは、端末装置210のMACアドレスと、端末装置210に割り当てられたIPアドレスと、端末装置210の所属VLANの番号と、端末装置210が接続された物理ポートの番号と、の対応関係(レコード)を規定する。例えば、図4の例では、DHCPスヌーピングテーブルDTは、MACアドレス「MAC−A」の端末装置210が、VLAN番号「200」のVLANに所属し、ポート番号「1」の物理ポートに接続されていることや、端末装置210にIPアドレス「IP−A」が割り当てられたことを示している。なお、DHCPスヌーピングテーブルDTは、本発明における第2の情報に相当する。DHCPスヌーピング処理部126は、通信部124がDHCPサーバ250から端末装置210に送信されるIPアドレス割り当てメッセージ(DHCP ACKメッセージ)を検出すると当該メッセージのコピーを通信部124から受領し、当該メッセージに含まれる宛先MACアドレスや割り当てIPアドレス等を示す情報を参照して、DHCPスヌーピングテーブルDTにレコードを新規登録したり、既に登録されているレコードを更新したりする。
【0031】
認証処理部122は、認証サーバ240と協働して端末装置210のWeb認証を行い、Web認証の結果に従い認証済み端末装置を特定する認証管理テーブルATを作成し、認証管理テーブルATに基づき端末装置210とネットワークNET上のノードとの間の通信データの通信部124による中継の可否を管理する。図5は、認証管理テーブルATの内容の一例を示す説明図である。認証管理テーブルATは、認証済み端末装置210のMACアドレスと、端末装置210のユーザを特定するユーザIDと、端末装置210の所属VLANの番号と、端末装置210が接続された物理ポートの番号と、の対応関係(レコード)を規定する。例えば、図5の例では、認証管理テーブルATは、MACアドレス「MAC−A」の端末装置210が、認証済みであると共に、VLAN番号「200」のVLANに所属し、ポート番号「1」の物理ポートに接続されていることを示している。なお、認証管理テーブルATは、本発明における第1の情報に相当する。認証処理部122は、Web認証の結果や後述の端末検索処理の結果に応じて、認証管理テーブルATにレコードを新規登録したり、既に登録されているレコードを削除したりする。認証処理部122によるWeb認証処理については、後に詳述する。
【0032】
端末検索処理部128は、ポーリング管理テーブルPTを利用して、認証済みの端末装置210がネットワークNETに接続されているか否かを確認する端末検索処理を行う。図6は、ポーリング管理テーブルPTの内容の一例を示す説明図である。ポーリング管理テーブルPTは、端末装置210のMACアドレスと、端末装置210に割り当てられたIPアドレスと、端末装置210のユーザのユーザIDと、端末装置210の所属VLANの番号と、端末装置210が接続された物理ポートの番号と、の対応関係(レコード)を規定する。なお、ポーリング管理テーブルPTは、本発明における第3の情報に相当する。端末検索処理部128による端末検索処理については、後に詳述する。
【0033】
VLAN設定部132は、通信部124の各物理ポートにVLANを設定する。なお、本実施例の認証スイッチ100は、認証の前後で端末装置210の所属VLANが変更されない固定VLAN方式と、認証の前後で端末装置210の所属VLANが変更されるダイナミックVLAN方式と、のいずれかを選択的に適用することができる。以下の説明では、認証スイッチ100においてダイナミックVLAN方式が選択されているものとする。
【0034】
A−2.Web認証処理:
図7は、ネットワークシステム10におけるWeb認証処理の流れを示すフローチャートである。Web認証処理は、端末装置210によるネットワークNETへの接続可否を管理するために端末装置210の認証を行う処理である。ある端末装置210についてのWeb認証実行前では、当該端末装置210(あるいは当該端末装置210のMACアドレスを詐称した他の端末装置210)によるネットワークNETへの接続は、認証スイッチ100によって禁止される。
【0035】
端末装置210のユーザが端末装置210をハブ220に接続すると、当該ハブ220を収容する認証スイッチ100のVLAN設定部132は、接続された端末装置210を認証前用のVLAN(図7の例ではVLAN「100」)に所属させる。端末装置210が、認証前用のVLANでDHCPサーバ250に対して認証前用のIPアドレスを要求すると(ステップS110)、DHCPサーバ250は、端末装置210に対してIPアドレスを割り当てる(ステップS120)。このときに割り当てられるIPアドレスは、認証前の端末装置210が所属するVLANに対応するIPサブネットを有するIPアドレスであり、Web認証実行用の暫定的なIPアドレスである。なお、よく知られているように、IPアドレスの割り当ては、具体的には、端末装置210によるDHCP Discoverメッセージのブロードキャストと、Discoverメッセージを受信したDHCPサーバ250による割り当て可能なIPアドレスを通知するDHCP Offerメッセージの端末装置210への送信と、Offerメッセージを受信した端末装置210による特定のIPアドレスを要求するDHCP RequestメッセージのDHCPサーバ250への送信と、Requestメッセージを受信したDHCPサーバ250による割り当てIPアドレスを通知するDHCP ACKメッセージの端末装置210への送信と、が順に実行されることにより実現される。認証スイッチ100は、端末装置210とDHCPサーバ250との間でやりとりされるDHCPの各メッセージを中継する。
【0036】
このとき認証スイッチ100のDHCPスヌーピング処理部126は、DHCPの各メッセージをスヌーピングして端末装置210に割り当てられたIPアドレスを特定し、特定されたIPアドレスを、端末装置210のMACアドレスやVLAN番号等に対応付けてDHCPスヌーピングテーブルDT(図4)に登録する(ステップS130)。
【0037】
IPアドレスの割り当てを受けた端末装置210は、認証スイッチ100に対して、http/httpsにより、ネットワークNETに接続するための認証を要求する(ステップS140)。具体的には、Webブラウザが動作する端末装置210が、割り当てられたIPアドレスを用いて認証スイッチ100に対して認証要求パケットを送信すると、Webサーバとしての機能を有する認証処理部122は、端末装置210に対して認証情報登録画面データを送信する。端末装置210は、認証情報登録画面データを受信して認証情報登録画面を表示し、画面上においてユーザにより入力された認証情報(例えばユーザIDとパスワード)を認証スイッチ100に送信する。
【0038】
認証スイッチ100の認証処理部122は、端末装置210から認証情報を受け取ると、認証サーバ240に対して認証情報を転送して端末装置210の認証を要求する(ステップS150)。認証サーバ240は、認証データベースに端末装置210の認証情報が登録されていなかった場合には(ステップS160:NO)、端末装置210の認証は不成功であると判定する。この場合には、認証サーバ240は、認証スイッチ100に対して認証不成功を通知し、認証スイッチ100は、端末装置210に対して認証不成功を通知する(ステップS230)。
【0039】
一方、認証サーバ240は、認証データベースに対象の端末装置210の認証情報が登録されていた場合には(ステップS160:YES)、端末装置210の認証は成功であると判定する。この場合には、認証サーバ240は、認証スイッチ100に対して認証成功を通知すると共に、端末装置210の認証後の所属VLAN(図7の例ではVLAN「200」)を特定する情報を通知する(ステップS170)。本実施例では、ダイナミックVLAN方式が選択されているため、端末装置210の認証後の所属VLANは、認証前の所属VLANとは異なっている。
【0040】
認証成功通知を受領した認証スイッチ100の認証処理部122は、端末装置210の所属VLANを認証サーバ240から通知されたVLANに変更して端末装置210に通知すると共に、認証管理テーブルAT(図5)に、認証された端末装置210についてのレコードを追加登録する(ステップS180)。また、認証スイッチ100の端末検索処理部128は、ポーリング管理テーブルPT(図6)に、認証管理テーブルATに追加登録されたレコードに対応するレコードを追加登録する(ステップS190)。従って、ポーリング管理テーブルPTに追加登録されるレコードには、MACアドレスとユーザIDとVLAN番号とポート番号とが記録され、IPアドレスはこの時点では記録されない(空欄となる)。
【0041】
認証成功通知を受領した端末装置210は、新たな所属VLAN(図7の例ではVLAN「200」)で、DHCPサーバ250に対してIPアドレスを要求する(ステップS200)。要求を受けたDHCPサーバ250は、端末装置210に対してIPアドレスを割り当てる(ステップS210)。このときに割り当てられるIPアドレスは、認証後の端末装置210が所属するVLANに対応するIPサブネットを有するIPアドレスである。
【0042】
このとき、認証スイッチ100のDHCPスヌーピング処理部126は、認証前と同様に、端末装置210とDHCPサーバ250との間でやりとりされるDHCPの各メッセージをスヌーピングして端末装置210に割り当てられたIPアドレスを特定し、特定されたIPアドレスを、端末装置210のMACアドレスやVLAN番号等に対応付けてDHCPスヌーピングテーブルDT(図4)に登録する(ステップS220)。DHCPスヌーピングテーブルDTには、この端末装置210についてのレコードが既に登録されており、DHCPスヌーピング処理部126は、このレコードにおけるIPアドレスとVLAN番号とを認証後のものに更新する。
【0043】
以上説明したWeb認証処理により、端末装置210の認証が行われ、認証が成功した端末装置210に認証後に使用するためのIPアドレスが割り当てられる。認証スイッチ100は、認証済みの端末装置210とネットワークNET上のノードとの間の通信データを中継する。これにより、端末装置210によるネットワークNETへの接続が可能となる。
【0044】
A−3.端末検索処理:
図8は、本実施例の認証スイッチ100による端末検索処理の流れを示すフローチャートである。端末検索処理は、認証済みの端末装置210がまだネットワークNETに接続されているか否かを確認し、既にネットワークNETから離脱したと判定された端末装置210についての認証を解除する処理である。
【0045】
認証スイッチ100の端末検索処理部128は、所定のタイミングで、ポーリング管理テーブルPTに登録されたレコードの1つを選択することにより、選択されたレコードのMACアドレスに対応する端末装置210をポーリング対象端末装置に設定する(ステップS410)。なお、上述したように、ポーリング管理テーブルPTには、認証成功時に認証管理テーブルATに追加登録されたレコードに対応するレコードが追加登録されるため、ポーリング管理テーブルPTに登録されたレコードのMACアドレスに対応する端末装置210は、認証済みの端末装置210である。すなわち、端末検索処理部128は、認証管理テーブルATに基づき作成されたポーリング管理テーブルPTを用いて、認証済みの端末装置210の1つをポーリング対象端末装置として選択することとなる。
【0046】
端末検索処理部128は、ポーリング対象端末装置のIPアドレスがポーリング管理テーブルPTに登録されているか否かを判定する(ステップS420)。なお、端末装置210が認証後初めてポーリング対象端末装置に設定されたときには、IPアドレスはポーリング管理テーブルPTに登録されていない。
【0047】
端末装置210のIPアドレスがポーリング管理テーブルPTに登録されていない場合には、端末検索処理部128は、ポーリング管理テーブルPTに登録されているMACアドレスをキーとして用いて、DHCPスヌーピングテーブルDTを検索する(ステップS430)。DHCPスヌーピングテーブルDTにおいて当該MACアドレスに対応するレコードが検出された場合には(ステップS440:YES)、端末検索処理部128は、検出されたレコードにおけるIPアドレスを用いてポーリング処理を行う(ステップS450)。ここで、ポーリング処理は、通信部124に、検出されたレコードにおけるIPアドレスを宛先アドレスとして、応答を要求する確認パケットを送信させる処理である。
【0048】
確認パケットに対して端末装置210からの応答があった場合には(ステップS460:YES)、端末装置210はネットワークNETに接続されていることが確認されたこととなる。この場合には、端末検索処理部128は、ポーリング管理テーブルPTにおけるポーリング対象端末装置に対応するレコードに、検出されたIPアドレスを追加登録する(ステップS470)。これにより、ポーリング管理テーブルPTに、ポーリング対象端末装置についてのMACアドレスとIPアドレスとの対応関係が登録される。その後、端末検索処理部128は、当該端末装置210のポーリング回数をリセットして(ステップS480)、次のポーリング対象端末装置の選択処理(ステップS410)を行う。
【0049】
確認パケットに対して端末装置210から応答がなかった場合には(ステップS460:NO)、端末検索処理部128は、ポーリング処理実行回数(確認パケット送信回数)が予め設定された規定値を超えるまで、ポーリング処理(ステップS450)と応答有無の判定(ステップS460)とを繰り返し実行する。ポーリング処理実行回数が規定値を超えると(ステップS490:NO)、端末検索処理部128は、端末装置210が既にネットワークNETから離脱したものと判断する。この場合には、端末検索処理部128は、ポーリング管理テーブルPTから当該端末装置210についてのレコードを削除すると共に(ステップS500)、認証処理部122に、認証管理テーブルATから当該端末装置210についてのレコードの削除をさせて当該端末装置210についての認証を解除させる(ステップS510)。これにより、当該端末装置210(あるいは当該端末装置210のMACアドレスを詐称した他の端末装置210)によるネットワークNETへの接続は、認証スイッチ100によって禁止される。
【0050】
なお、ポーリング管理テーブルPTに登録されている端末装置210のMACアドレスをキーとして用いたDHCPスヌーピングテーブルDTの検索(ステップS430)において、当該MACアドレスに対応するレコードが検出されなかった場合には(ステップS440:NO)、処理は次のポーリング対象端末装置の選択(ステップS410)に戻る。
【0051】
ポーリング対象端末装置のIPアドレスがポーリング管理テーブルPTに登録されているか否かの判定(ステップS420)において、IPアドレスがポーリング管理テーブルPTに既に登録されている場合には、端末検索処理部128は、PTに登録されたポーリング対象端末装置のMACアドレスとIPアドレスとの組み合わせをキーとして用いて、DHCPスヌーピングテーブルDTを検索する(ステップS520)。DHCPスヌーピングテーブルDTにおいて当該組み合わせに対応するレコードが検出された場合には(ステップS530:YES)、端末検索処理部128は、ポーリング管理テーブルPTに登録されたIPアドレス(すなわちDHCPスヌーピングテーブルDTに登録されたIPアドレス)を用いてポーリング処理を行い(ステップS450)、ポーリング処理に対する応答の有無に応じて上述したのと同様の処理を行う(ステップS460〜S510)。
【0052】
PTに登録されたポーリング対象端末装置のMACアドレスとIPアドレスとの組み合わせを用いたDHCPスヌーピングテーブルDTの検索(ステップS520)において、該当するレコードが検出されなかった場合には(ステップS530:NO)、端末検索処理部128は、ポーリング対象端末装置のMACアドレスのみをキーとして用いて、DHCPスヌーピングテーブルDTを検索する(ステップS540)。DHCPスヌーピングテーブルDTに該当するレコードがなかった場合には(ステップS550:NO)、ポーリング端末装置はまだDHCPによりIPアドレスを取得していないと考えられるため、接続状態の確認は後回しにし、処理は次のポーリング対象端末装置の選択(ステップS410)に戻る。
【0053】
一方、DHCPスヌーピングテーブルDTにおいて該当するレコードが検出された場合には(ステップS550:YES)、端末検索処理部128は、ポーリング対象端末装置がネットワークNETから一端離脱した後、離脱前の物理ポートと同一のまたは別の物理ポートを介してネットワークNETに再接続され、新たなIPアドレスを取得したものと判定する。この場合には、DHCPスヌーピングテーブルDTにおいて検出されたレコードに登録されたIPアドレスを用いてポーリング処理(ステップS450)を行い、ポーリング処理に対する応答の有無に応じて上述したのと同様の処理を行う(ステップS460〜S510)。
【0054】
以上説明したように、本実施例の認証スイッチ100による端末検索処理では、端末検索処理部128が、認証管理テーブルATに基づき作成されたポーリング管理テーブルPTを用いて認証済みの端末装置210の1つをポーリング対象端末装置として選択し、DHCPスヌーピングテーブルDTを用いてポーリング対象端末装置に割り当てられたIPアドレスを特定し、通信部124に、ポーリング対象端末装置がネットワークNETに接続されているか否かを確認する確認パケットを特定されたIPアドレス宛に送信させる。そのため、認証スイッチ100は、認証済みの端末装置210が、まだネットワークNETに接続されているか否か(つまり端末接続状態)を管理することができる。そのため、本実施例の認証スイッチ100では、認証済みの端末装置210がネットワークNETから離脱した後に、当該端末装置210のMACアドレスを詐称した他の端末装置210によるネットワークNETへの接続を許してしまう事態の発生を抑制することができ、ネットワークにおけるセキュリティを向上させることができる。
【0055】
具体的には、認証スイッチ100は、予め設定された回数の確認パケット送信に対して端末装置210から応答がなかった場合には、端末装置210が既にネットワークNETから離脱したものと判断し、当該端末装置210についての認証を解除する。そのため、本実施例の認証スイッチ100によれば、認証済みの端末装置210がネットワークNETから離脱したことを迅速に検知することができ、ネットワークNETから離脱した端末装置210についての認証を迅速に解除することができるため、ネットワークにおけるセキュリティを向上させることができる。
【0056】
なお、端末装置210とDHCPサーバ250との間でやり取りされるDHCPメッセージをスヌーピングするDHCPスヌーピング機能や、端末装置210とDHCPサーバ250との間でやり取りされるDHCPメッセージをリレーするDHCPリレー機能は、既に知られた技術であり、これらの機能を用いて端末装置210のIPアドレスを検知することは可能である。しかしながら、DHCPリレー機能やDHCPスヌーピング機能は、端末装置210の認証の有無を検知することはできない。また、本実施例の認証スイッチ100では、認証の前後で端末装置210の所属VLANが変更され端末装置210に割り当てられるIPアドレスも変更されるダイナミックVLAN方式が選択されている。さらに、認証済みの端末装置210がネットワークNETから離脱した後にネットワークNETに再接続した場合には、やはり端末装置210のIPアドレスは変更され得る。そのため、単に、DHCPリレー機能やDHCPスヌーピング機能を用いて端末装置210のIPアドレスを検知しても、認証済み端末装置210のネットワーク接続状態を管理することはできなかった。本実施例の認証スイッチ100では、認証管理テーブルATに基づき作成されたポーリング管理テーブルPTを用いることにより、認証済みの端末装置210を把握することができ、DHCPスヌーピングテーブルDTを用いて認証済みの端末装置210に割り当てられたIPアドレスを特定することにより、端末装置210のIPアドレスが変化し得る環境においても認証済み端末装置210のネットワーク接続状態を管理することができるため、ネットワークにおけるセキュリティを向上させることができる。
【0057】
また、認証スイッチ100において、MACアドレステーブルMTのエージング機能を利用し、エージング機能により削除されたMACアドレスに対応する端末装置210については認証を解除するものとすることは可能であるが、この場合には、実際にはネットワークNETから離脱していない端末装置210であっても、例えばユーザが離席するなどして通信が行われなかった端末装置210についての認証が解除される可能性がある。このような場合には、端末装置210の再度のWeb認証処理が必要となる。このような事態の発生を回避するためにエージング時間を長めに設定すると、ネットワークにおけるセキュリティを十分に高めることができない。一方、エージング時間を短めに設定すると、上記事態が発生してユーザ利便性が損なわれる可能性があると共に、削除されたMACアドレスを有する端末装置210に関する通信をすべてのVLANに転送するフラッディング処理のための通信負荷が増大する可能性があり、好ましくない。本実施例の認証スイッチ100は、ネットワークNETに接続されている認証済み端末装置210に対して定期的に確認パケットを送信するため、エージング処理によってネットワークNETから離脱していない端末装置210の認証が解除される事態の発生を抑制することができる。
【0058】
また、本実施例の認証スイッチ100は、ポーリング対象端末装置として選択された認証済みの端末装置210について、ポーリング管理テーブルPTに登録されたMACアドレスとIPアドレスとの対応関係と同一の対応関係がDHCPスヌーピングテーブルDTには登録されておらず、かつ、DHCPスヌーピングテーブルDTに当該MACアドレスと他のIPアドレスとの対応関係が登録されている場合には、選択された認証済み端末装置210はネットワークNETから一端離脱した後に再接続したものと判定する。そのため、本実施例の認証スイッチ100は、認証済み端末装置210の離脱や移動を検知することができ、ネットワークにおけるセキュリティをさらに向上させることができる。
【0059】
B.変形例:
なお、この発明は上記の実施例や実施形態に限られるものではなく、その要旨を逸脱しない範囲において種々の態様において実施することが可能であり、例えば次のような変形も可能である。
【0060】
B1.変形例1:
上記実施例におけるネットワークシステム10の構成は、あくまで一例であり、種々変形可能である。例えば、図1に示すネットワークシステム10は、端末装置210や認証スイッチ100を複数備えているが、ネットワークシステム10は、端末装置210および認証スイッチ100をそれぞれ少なくとも1つ備えていればよい。また、ネットワークシステム10において、端末装置210と認証スイッチ100とは、ハブ220を介さずに直接接続されているとしてもよい。また、ネットワークシステム10において、認証サーバ240およびDHCPサーバ250は、他のノードを介してレイヤ3スイッチ230と接続されているとしてもよい。
【0061】
また、認証スイッチ100は、L3スイッチとしての機能を有するとしてもよい。あるいは、認証スイッチ100は、認証サーバおよびDHCPサーバとしての機能を有しているとしてもよい。この場合に、Web認証処理は、認証スイッチ100の有する認証サーバ機能および/またはDHCPサーバ機能を用いて実行されるとしてもよい。
【0062】
B2.変形例2:
上記実施例における各テーブル(MACアドレステーブルMT、DHCPスヌーピングテーブルDT、認証管理テーブルAT、ポーリング管理テーブルPT(図3〜6))の内容はあくまで一例であり、各テーブルが各図に示した内容の一部を含まなかったり、各図に示した内容以外の内容を含んだりしてもよい。
【0063】
B3.変形例3:
上記実施例では、端末検索処理部128が、認証管理テーブルATとDHCPスヌーピングテーブルDTとに基づきポーリング管理テーブルPTを生成し、ポーリング管理テーブルPTを用いて端末検索処理を行っているが、端末検索処理部128は、ポーリング管理テーブルPTを生成せず、認証管理テーブルATとDHCPスヌーピングテーブルDTとを利用して、同様に端末検索処理を行うものとしてもよい。
【0064】
B4.変形例4:
上記実施例の端末検索処理(図8)では、ポーリング管理テーブルPTにポーリング対象端末装置のIPアドレスが登録されているか否かの判定(ステップS420)の結果に応じて次の処理内容が変更されるとしているが、ポーリング管理テーブルPTにポーリング対象端末装置のIPアドレスが登録されているか否かにかかわらず(ステップS420の判定を実行せず)、ポーリング対象端末装置のMACアドレスをキーとして用いたDHCPスヌーピングテーブルDTの検索(ステップS430)が実行されるとしてもよい。ただし、上記実施例のように、ステップS420の判定を実行し、ポーリング管理テーブルPTにポーリング対象端末装置のIPアドレスが登録されている場合にはポーリング対象端末装置のMACアドレスとIPアドレスとの組み合わせをキーとして用いたDHCPスヌーピングテーブルDTの検索(ステップS520)が実行されるとすれば、認証済み端末装置210がネットワークNETから一端離脱した後に再接続したことを検知することができるため、好ましい。
【0065】
B5.変形例5:
上記実施例では、ダイナミックVLAN方式が適用される例について説明したが、固定VLAN方式が適用される場合にも、本実施例の端末検索処理により、認証済みの端末装置210がネットワークNETに接続されているか否か(端末接続状態)を管理することができ、ネットワークにおけるセキュリティを向上させることができる。
【0066】
B6.変形例6:
上記実施例では、レイヤ2アドレスとしてMACアドレスが用いられ、レイヤ3アドレスとしてIPアドレスが用いられているが、レイヤ2アドレスおよびレイヤ3アドレスとしては、Web認証処理や端末検索処理に用いられるプロトコルに応じたアドレスが適宜用いられる。
【0067】
B7.変形例7:
上各実施例において、ハードウェアによって実現されていた構成の一部をソフトウェアに置き換えるようにしてもよく、逆に、ソフトウェアによって実現されていた構成の一部をハードウェアに置き換えるようにしてもよい。
【符号の説明】
【0068】
10…ネットワークシステム
100…認証スイッチ
122…認証処理部
124…通信部
126…DHCPスヌーピング処理部
128…端末検索処理部
132…VLAN設定部
210…端末装置
220…ハブ
230…レイヤ3スイッチ
240…認証サーバ
250…DHCPサーバ
【技術分野】
【0001】
本発明は、ネットワーク認証に関し、特に、ネットワーク認証済み端末装置のネットワーク接続状態の管理に関する。
【背景技術】
【0002】
通信ネットワークのインフラ化とともに、ネットワークにおけるセキュリティを高めるための様々な仕組みが提案されている。ネットワーク認証もその内の1つである。ネットワーク認証は、パーソナルコンピュータ(PC)等の端末装置による特定のネットワークへの接続可否を管理するための認証の仕組みである(例えば特許文献1参照)。
【0003】
ネットワーク認証としては、例えば、Web認証やIEEE802.1X認証が知られている。Web認証は、Webブラウザが動作する端末装置からWeb認証機能を有するスイッチ等のネットワーク中継装置に対して発行される認証要求に応じて、認証サーバが端末装置の認証情報に基づき認証を行う認証方式である。Web認証では、ネットワーク中継装置が、認証済み端末装置のMACアドレスやユーザID、VLAN情報等を認証済み端末登録テーブルに登録し、当該テーブルを参照して、端末装置とネットワーク上のノード間の通信データの中継可否を判定する。Web認証は、端末装置がIEEE802.1X認証で使用されるような特別な認証用ソフトウェアを備えていなくてもWebブラウザさえ備えていれば実現可能であるため、汎用性の高い認証方式である。
【先行技術文献】
【特許文献】
【0004】
【特許文献1】特開2003−348114号公報
【発明の概要】
【発明が解決しようとする課題】
【0005】
Web認証では、IEEE802.1X認証のようなプロトコルが確立された認証方式と異なり、認証済み端末装置のネットワーク接続状態を管理する技術が知られていない。例えば、Web認証では、認証済み端末装置がネットワークから離脱したことを迅速に検知する技術が確立されていない。認証済み端末装置がネットワークから離脱したことを迅速に検知できないと、認証済み端末装置がネットワークから離脱した後に、MACアドレスを詐称した他の端末装置によるネットワークへの接続を許してしまう場合があり、セキュリティの点で向上の余地があった。
【0006】
本発明は、上記の課題を解決するためになされたものであり、Web認証における端末接続状態を管理してネットワークにおけるセキュリティを向上させることを目的とする。
【課題を解決するための手段】
【0007】
上記課題の少なくとも一部を解決するために、本発明は、以下の形態または適用例として実現することが可能である。
【0008】
[適用例1]ネットワーク中継装置であって、
通信データを送受信する通信部と、
前記ネットワーク中継装置と接続された端末装置による特定のネットワークへの接続の可否を判定するWeb認証の結果に従い認証済み端末装置を特定する第1の情報を作成し、前記第1の情報に基づき端末装置と前記特定のネットワーク上のノードとの間の通信データの前記通信部による中継の可否を管理する認証処理部と、
前記通信部により中継される端末装置とDHCPサーバとの間のDHCP通信データをスヌーピングし、前記DHCP通信データに基づき、各端末装置に割り当てられたレイヤ3アドレスを特定する第2の情報を作成するDHCPスヌーピング処理部と、
前記第1の情報に基づき認証済み端末装置を特定し、前記第2の情報に基づき前記特定された認証済み端末装置に割り当てられたレイヤ3アドレスを特定し、前記通信部に、前記特定された認証済み端末装置が前記特定のネットワークに接続されているか否かを確認する確認通信データを前記特定されたレイヤ3アドレス宛に送信させる端末検索処理部と、を備える、ネットワーク中継装置。
【0009】
このネットワーク中継装置では、端末検索処理部が、認証処理部により作成された認証済み端末装置を特定する第1の情報に基づき認証済み端末装置を特定し、DHCPスヌーピング処理部により作成された各端末装置に割り当てられたレイヤ3アドレスを特定する第2の情報に基づき認証済み端末装置に割り当てられたレイヤ3アドレスを特定し、通信部に、特定された認証済み端末装置が特定のネットワークに接続されているか否かを確認する確認通信データを特定されたレイヤ3アドレス宛に送信させるため、認証済み端末装置がネットワークに接続されているか否か(つまり端末接続状態)を管理することができる。そのため、このネットワーク中継装置では、Web認証における端末接続状態を管理してネットワークにおけるセキュリティを向上させることができる。
【0010】
[適用例2]適用例1に記載のネットワーク中継装置であって、
前記端末検索処理部は、所定回数の前記確認通信データの送信に対して前記特定された認証済み端末装置からの応答が無い場合には、前記認証処理部に、前記特定された認証済み端末装置についての認証を解除させる、ネットワーク中継装置。
【0011】
このネットワーク中継装置では、端末検索処理部が、所定回数の確認通信データの送信に対して認証済み端末装置からの応答が無い場合には、認証処理部に認証済み端末装置についての認証を解除させるため、認証済み端末装置がネットワークから離脱した後に、当該端末装置を詐称した他の端末装置によるネットワークへの接続を許してしまう事態の発生を抑制することができ、ネットワークにおけるセキュリティを向上させることができる。
【0012】
[適用例3]適用例1または適用例2に記載のネットワーク中継装置であって、
前記端末検索処理部は、前記第1の情報と前記第2の情報とに基づき、各認証済み端末装置について割り当てられたレイヤ3アドレスを特定する第3の情報を作成し、前記第3の情報に登録された認証済み端末装置を順に前記特定のネットワークに接続されているか否かの確認対象として選択する、ネットワーク中継装置。
【0013】
このネットワーク中継装置では、端末検索処理部が、第1の情報と第2の情報とに基づき、各認証済み端末装置について割り当てられたレイヤ3アドレスを特定する第3の情報を作成し、第3の情報に登録された認証済み端末装置を順に確認対象として選択するため、認証済み端末装置の端末接続状態を効果的にかつ効率的に管理することができ、ネットワークにおけるセキュリティを向上させることができる。
【0014】
[適用例4]適用例3に記載のネットワーク中継装置であって、
前記端末検索処理部は、前記Web認証によって端末装置が認証された際に認証済み端末装置を前記第3の情報に登録すると共に、前記確認対象として選択された認証済み端末装置について、前記第3の情報にレイヤ3アドレスが登録されていない場合、または、前記第3の情報に登録されたレイヤ3アドレスが前記第2の情報に登録されたレイヤ3アドレスと異なる場合には、前記第2の情報に登録されたレイヤ3アドレスを前記第3の情報に登録する、ネットワーク中継装置。
【0015】
このネットワーク中継装置では、第3の情報に認証済み端末装置と各認証済み端末装置について割り当てられた最新のレイヤ3アドレスとを登録することができるため、第3の情報を利用して認証済み端末装置の端末接続状態を効果的にかつ効率的に管理することができ、ネットワークにおけるセキュリティを向上させることができる。
【0016】
[適用例5]適用例4に記載のネットワーク中継装置であって、
前記端末検索処理部は、前記確認対象として選択された認証済み端末装置について、前記第3の情報に登録された認証済み端末装置とレイヤ3アドレスとの対応関係と同一の対応関係が前記第2の情報には登録されておらず、かつ、前記第2の情報に認証済み端末装置と他のレイヤ3アドレスとの対応関係が登録されている場合には、前記選択された認証済み端末装置は前記特定のネットワークから一端離脱した後に再接続したものと判定する、ネットワーク中継装置。
【0017】
このネットワーク中継装置では、認証済み端末装置が特定のネットワークから一端離脱した後に再接続したことを検知することができ、ネットワークにおけるセキュリティをさらに向上させることができる。
【0018】
[適用例6]適用例1ないし適用例5のいずれかに記載のネットワーク中継装置であって、さらに、
端末装置に認証前のVLANと認証後のVLANとが必ずしも一致しないようにVLANを設定するVLAN設定部を備える、ネットワーク中継装置。
【0019】
このネットワーク中継装置では、認証前のVLANと認証後のVLANとが必ずしも一致しないように端末装置にVLANが設定される場合にも、認証済み端末装置に割り当てられたレイヤ3アドレスを特定して、認証済み端末装置が特定のネットワークに接続されているか否かを確認する確認通信データを送信することができ、ネットワークにおけるセキュリティを向上させることができる。
【0020】
[適用例7]適用例1ないし適用例6のいずれかに記載のネットワーク中継装置であって、
前記第1の情報と前記第2の情報と前記第3の情報とは、レイヤ2アドレスにより端末装置を特定する、ネットワーク中継装置。
【0021】
なお、本発明は、種々の態様で実現することが可能であり、例えば、ネットワーク中継方法および装置、ネットワーク通信方法および装置、ネットワーク認証方法および装置、これらの方法または装置の機能を実現するためのコンピュータプログラム、そのコンピュータプログラムを記録した記録媒体、そのコンピュータプログラムを含み搬送波内に具現化されたデータ信号、等の形態で実現することができる。
【図面の簡単な説明】
【0022】
【図1】本発明の実施例におけるネットワークシステム10の構成を概略的に示す説明図である。
【図2】認証スイッチ100の構成を概略的に示す説明図である。
【図3】MACアドレステーブルMTの内容の一例を示す説明図である。
【図4】DHCPスヌーピングテーブルDTの内容の一例を示す説明図である。
【図5】認証管理テーブルATの内容の一例を示す説明図である。
【図6】ポーリング管理テーブルPTの内容の一例を示す説明図である。
【図7】ネットワークシステム10におけるWeb認証処理の流れを示すフローチャートである。
【図8】本実施例の認証スイッチ100による端末検索処理の流れを示すフローチャートである。
【発明を実施するための形態】
【0023】
次に、本発明の実施の形態を実施例に基づいて以下の順序で説明する。
A.実施例:
A−1.ネットワークシステムの構成:
A−2.Web認証処理:
A−3.端末検索処理:
B.変形例:
【0024】
A.実施例:
A−1.ネットワークシステムの構成:
図1は、本発明の実施例におけるネットワークシステム10の構成を概略的に示す説明図である。ネットワークシステム10は、端末装置210と、端末装置210を収容するハブ220と、ハブ220を収容する認証スイッチ100と、認証スイッチ100に接続されたレイヤ3スイッチ230と、レイヤ3スイッチ230に接続された認証サーバ240およびDHCPサーバ250と、を備えている。ネットワークシステム10内の各構成要素間は、リンクを介して接続されている。リンクは、通信データの伝送路であり、例えばUTPケーブル、STPケーブル、光ファイバ、同軸ケーブル、無線によって構成される。
【0025】
端末装置210は、ユーザが使用する情報処理装置であり、例えばパーソナルコンピュータ(PC)により構成されている。ハブ220は、ネットワークにおける通信データをOSI参照モデルにおける第1層(物理層)で中継するネットワーク中継装置である。認証スイッチ100は、ネットワークにおける通信データをOSI参照モデルにおける第2層(データリンク層)で中継するネットワーク中継装置(レイヤ2スイッチ)であると共に、端末装置210による特定のネットワークNETへの接続可否を管理するネットワーク認証機能を有している。レイヤ3スイッチ230は、ネットワークにおける通信データをOSI参照モデルにおける第3層(ネットワーク層)で中継するネットワーク中継装置である。認証サーバ240は、認証スイッチ100からの認証要求に応じて、端末装置210によるネットワークNETへの接続可否を判定するWeb認証を行うRADIUSサーバである。DHCPサーバ250は、端末装置210にレイヤ3アドレスとしてのIPアドレス等を自動的に割り当てるサーバである。
【0026】
図2は、認証スイッチ100の構成を概略的に示す説明図である。認証スイッチ100は、通信部124とMACアドレステーブルMTとを含んでいる。通信部124は、図示しない複数の物理ポートを有し、MACアドレステーブルMTを参照して、物理ポートを介した通信データの送受信を行う。通信部124は、例えばASIC(特定用途IC)により構成される。
【0027】
図3は、MACアドレステーブルMTの内容の一例を示す説明図である。MACアドレステーブルMTは、端末装置210のレイヤ2アドレスとしてのMACアドレスと、端末装置210の所属VLANの番号と、端末装置210が接続された物理ポートの番号と、の対応関係を規定する。例えば、図3の例では、MACアドレステーブルMTは、MACアドレス「MAC−A」の端末装置210が、VLAN番号「200」のVLANに所属し、ポート番号「1」の物理ポートに接続されていることを示している。なお、本実施例では、各テーブルにおける個々の対応関係をレコードとも呼ぶ。
【0028】
通信部124は、通信データの送受信を行いつつ、通信データに含まれる宛先MACアドレスや送信元MACアドレス、VLAN番号等を示す情報を参照して、MACアドレステーブルMTにレコードを新規登録したり、既に登録されているレコードを更新したりする。また、本実施例では、通信部124は、予め設定された長さのエージング時間中に通信データが中継されないMACアドレスについてのレコードをMACアドレステーブルMTから削除するエージング機能を有している。
【0029】
認証スイッチ100(図2)は、所定の処理を行う処理部として、認証処理部122と、DHCPスヌーピング処理部126と、端末検索処理部128と、VLAN設定部132と、を含んでいる。これらの各処理部は、例えば図示しないCPUが内部メモリに格納されたコンピュータプログラムを読み出して実行することにより実現される。また、認証スイッチ100は、各処理部に使用される情報として、DHCPスヌーピングテーブルDTと、認証管理テーブルATと、ポーリング管理テーブルPTと、を含んでいる。
【0030】
DHCPスヌーピング処理部126は、通信部124を介して中継される端末装置210とDHCPサーバ250との間のDHCP通信データ(DHCPメッセージ)を検出し、DHCPメッセージに基づき、DHCPスヌーピングテーブルDTを作成・更新する。図4は、DHCPスヌーピングテーブルDTの内容の一例を示す説明図である。DHCPスヌーピングテーブルDTは、端末装置210のMACアドレスと、端末装置210に割り当てられたIPアドレスと、端末装置210の所属VLANの番号と、端末装置210が接続された物理ポートの番号と、の対応関係(レコード)を規定する。例えば、図4の例では、DHCPスヌーピングテーブルDTは、MACアドレス「MAC−A」の端末装置210が、VLAN番号「200」のVLANに所属し、ポート番号「1」の物理ポートに接続されていることや、端末装置210にIPアドレス「IP−A」が割り当てられたことを示している。なお、DHCPスヌーピングテーブルDTは、本発明における第2の情報に相当する。DHCPスヌーピング処理部126は、通信部124がDHCPサーバ250から端末装置210に送信されるIPアドレス割り当てメッセージ(DHCP ACKメッセージ)を検出すると当該メッセージのコピーを通信部124から受領し、当該メッセージに含まれる宛先MACアドレスや割り当てIPアドレス等を示す情報を参照して、DHCPスヌーピングテーブルDTにレコードを新規登録したり、既に登録されているレコードを更新したりする。
【0031】
認証処理部122は、認証サーバ240と協働して端末装置210のWeb認証を行い、Web認証の結果に従い認証済み端末装置を特定する認証管理テーブルATを作成し、認証管理テーブルATに基づき端末装置210とネットワークNET上のノードとの間の通信データの通信部124による中継の可否を管理する。図5は、認証管理テーブルATの内容の一例を示す説明図である。認証管理テーブルATは、認証済み端末装置210のMACアドレスと、端末装置210のユーザを特定するユーザIDと、端末装置210の所属VLANの番号と、端末装置210が接続された物理ポートの番号と、の対応関係(レコード)を規定する。例えば、図5の例では、認証管理テーブルATは、MACアドレス「MAC−A」の端末装置210が、認証済みであると共に、VLAN番号「200」のVLANに所属し、ポート番号「1」の物理ポートに接続されていることを示している。なお、認証管理テーブルATは、本発明における第1の情報に相当する。認証処理部122は、Web認証の結果や後述の端末検索処理の結果に応じて、認証管理テーブルATにレコードを新規登録したり、既に登録されているレコードを削除したりする。認証処理部122によるWeb認証処理については、後に詳述する。
【0032】
端末検索処理部128は、ポーリング管理テーブルPTを利用して、認証済みの端末装置210がネットワークNETに接続されているか否かを確認する端末検索処理を行う。図6は、ポーリング管理テーブルPTの内容の一例を示す説明図である。ポーリング管理テーブルPTは、端末装置210のMACアドレスと、端末装置210に割り当てられたIPアドレスと、端末装置210のユーザのユーザIDと、端末装置210の所属VLANの番号と、端末装置210が接続された物理ポートの番号と、の対応関係(レコード)を規定する。なお、ポーリング管理テーブルPTは、本発明における第3の情報に相当する。端末検索処理部128による端末検索処理については、後に詳述する。
【0033】
VLAN設定部132は、通信部124の各物理ポートにVLANを設定する。なお、本実施例の認証スイッチ100は、認証の前後で端末装置210の所属VLANが変更されない固定VLAN方式と、認証の前後で端末装置210の所属VLANが変更されるダイナミックVLAN方式と、のいずれかを選択的に適用することができる。以下の説明では、認証スイッチ100においてダイナミックVLAN方式が選択されているものとする。
【0034】
A−2.Web認証処理:
図7は、ネットワークシステム10におけるWeb認証処理の流れを示すフローチャートである。Web認証処理は、端末装置210によるネットワークNETへの接続可否を管理するために端末装置210の認証を行う処理である。ある端末装置210についてのWeb認証実行前では、当該端末装置210(あるいは当該端末装置210のMACアドレスを詐称した他の端末装置210)によるネットワークNETへの接続は、認証スイッチ100によって禁止される。
【0035】
端末装置210のユーザが端末装置210をハブ220に接続すると、当該ハブ220を収容する認証スイッチ100のVLAN設定部132は、接続された端末装置210を認証前用のVLAN(図7の例ではVLAN「100」)に所属させる。端末装置210が、認証前用のVLANでDHCPサーバ250に対して認証前用のIPアドレスを要求すると(ステップS110)、DHCPサーバ250は、端末装置210に対してIPアドレスを割り当てる(ステップS120)。このときに割り当てられるIPアドレスは、認証前の端末装置210が所属するVLANに対応するIPサブネットを有するIPアドレスであり、Web認証実行用の暫定的なIPアドレスである。なお、よく知られているように、IPアドレスの割り当ては、具体的には、端末装置210によるDHCP Discoverメッセージのブロードキャストと、Discoverメッセージを受信したDHCPサーバ250による割り当て可能なIPアドレスを通知するDHCP Offerメッセージの端末装置210への送信と、Offerメッセージを受信した端末装置210による特定のIPアドレスを要求するDHCP RequestメッセージのDHCPサーバ250への送信と、Requestメッセージを受信したDHCPサーバ250による割り当てIPアドレスを通知するDHCP ACKメッセージの端末装置210への送信と、が順に実行されることにより実現される。認証スイッチ100は、端末装置210とDHCPサーバ250との間でやりとりされるDHCPの各メッセージを中継する。
【0036】
このとき認証スイッチ100のDHCPスヌーピング処理部126は、DHCPの各メッセージをスヌーピングして端末装置210に割り当てられたIPアドレスを特定し、特定されたIPアドレスを、端末装置210のMACアドレスやVLAN番号等に対応付けてDHCPスヌーピングテーブルDT(図4)に登録する(ステップS130)。
【0037】
IPアドレスの割り当てを受けた端末装置210は、認証スイッチ100に対して、http/httpsにより、ネットワークNETに接続するための認証を要求する(ステップS140)。具体的には、Webブラウザが動作する端末装置210が、割り当てられたIPアドレスを用いて認証スイッチ100に対して認証要求パケットを送信すると、Webサーバとしての機能を有する認証処理部122は、端末装置210に対して認証情報登録画面データを送信する。端末装置210は、認証情報登録画面データを受信して認証情報登録画面を表示し、画面上においてユーザにより入力された認証情報(例えばユーザIDとパスワード)を認証スイッチ100に送信する。
【0038】
認証スイッチ100の認証処理部122は、端末装置210から認証情報を受け取ると、認証サーバ240に対して認証情報を転送して端末装置210の認証を要求する(ステップS150)。認証サーバ240は、認証データベースに端末装置210の認証情報が登録されていなかった場合には(ステップS160:NO)、端末装置210の認証は不成功であると判定する。この場合には、認証サーバ240は、認証スイッチ100に対して認証不成功を通知し、認証スイッチ100は、端末装置210に対して認証不成功を通知する(ステップS230)。
【0039】
一方、認証サーバ240は、認証データベースに対象の端末装置210の認証情報が登録されていた場合には(ステップS160:YES)、端末装置210の認証は成功であると判定する。この場合には、認証サーバ240は、認証スイッチ100に対して認証成功を通知すると共に、端末装置210の認証後の所属VLAN(図7の例ではVLAN「200」)を特定する情報を通知する(ステップS170)。本実施例では、ダイナミックVLAN方式が選択されているため、端末装置210の認証後の所属VLANは、認証前の所属VLANとは異なっている。
【0040】
認証成功通知を受領した認証スイッチ100の認証処理部122は、端末装置210の所属VLANを認証サーバ240から通知されたVLANに変更して端末装置210に通知すると共に、認証管理テーブルAT(図5)に、認証された端末装置210についてのレコードを追加登録する(ステップS180)。また、認証スイッチ100の端末検索処理部128は、ポーリング管理テーブルPT(図6)に、認証管理テーブルATに追加登録されたレコードに対応するレコードを追加登録する(ステップS190)。従って、ポーリング管理テーブルPTに追加登録されるレコードには、MACアドレスとユーザIDとVLAN番号とポート番号とが記録され、IPアドレスはこの時点では記録されない(空欄となる)。
【0041】
認証成功通知を受領した端末装置210は、新たな所属VLAN(図7の例ではVLAN「200」)で、DHCPサーバ250に対してIPアドレスを要求する(ステップS200)。要求を受けたDHCPサーバ250は、端末装置210に対してIPアドレスを割り当てる(ステップS210)。このときに割り当てられるIPアドレスは、認証後の端末装置210が所属するVLANに対応するIPサブネットを有するIPアドレスである。
【0042】
このとき、認証スイッチ100のDHCPスヌーピング処理部126は、認証前と同様に、端末装置210とDHCPサーバ250との間でやりとりされるDHCPの各メッセージをスヌーピングして端末装置210に割り当てられたIPアドレスを特定し、特定されたIPアドレスを、端末装置210のMACアドレスやVLAN番号等に対応付けてDHCPスヌーピングテーブルDT(図4)に登録する(ステップS220)。DHCPスヌーピングテーブルDTには、この端末装置210についてのレコードが既に登録されており、DHCPスヌーピング処理部126は、このレコードにおけるIPアドレスとVLAN番号とを認証後のものに更新する。
【0043】
以上説明したWeb認証処理により、端末装置210の認証が行われ、認証が成功した端末装置210に認証後に使用するためのIPアドレスが割り当てられる。認証スイッチ100は、認証済みの端末装置210とネットワークNET上のノードとの間の通信データを中継する。これにより、端末装置210によるネットワークNETへの接続が可能となる。
【0044】
A−3.端末検索処理:
図8は、本実施例の認証スイッチ100による端末検索処理の流れを示すフローチャートである。端末検索処理は、認証済みの端末装置210がまだネットワークNETに接続されているか否かを確認し、既にネットワークNETから離脱したと判定された端末装置210についての認証を解除する処理である。
【0045】
認証スイッチ100の端末検索処理部128は、所定のタイミングで、ポーリング管理テーブルPTに登録されたレコードの1つを選択することにより、選択されたレコードのMACアドレスに対応する端末装置210をポーリング対象端末装置に設定する(ステップS410)。なお、上述したように、ポーリング管理テーブルPTには、認証成功時に認証管理テーブルATに追加登録されたレコードに対応するレコードが追加登録されるため、ポーリング管理テーブルPTに登録されたレコードのMACアドレスに対応する端末装置210は、認証済みの端末装置210である。すなわち、端末検索処理部128は、認証管理テーブルATに基づき作成されたポーリング管理テーブルPTを用いて、認証済みの端末装置210の1つをポーリング対象端末装置として選択することとなる。
【0046】
端末検索処理部128は、ポーリング対象端末装置のIPアドレスがポーリング管理テーブルPTに登録されているか否かを判定する(ステップS420)。なお、端末装置210が認証後初めてポーリング対象端末装置に設定されたときには、IPアドレスはポーリング管理テーブルPTに登録されていない。
【0047】
端末装置210のIPアドレスがポーリング管理テーブルPTに登録されていない場合には、端末検索処理部128は、ポーリング管理テーブルPTに登録されているMACアドレスをキーとして用いて、DHCPスヌーピングテーブルDTを検索する(ステップS430)。DHCPスヌーピングテーブルDTにおいて当該MACアドレスに対応するレコードが検出された場合には(ステップS440:YES)、端末検索処理部128は、検出されたレコードにおけるIPアドレスを用いてポーリング処理を行う(ステップS450)。ここで、ポーリング処理は、通信部124に、検出されたレコードにおけるIPアドレスを宛先アドレスとして、応答を要求する確認パケットを送信させる処理である。
【0048】
確認パケットに対して端末装置210からの応答があった場合には(ステップS460:YES)、端末装置210はネットワークNETに接続されていることが確認されたこととなる。この場合には、端末検索処理部128は、ポーリング管理テーブルPTにおけるポーリング対象端末装置に対応するレコードに、検出されたIPアドレスを追加登録する(ステップS470)。これにより、ポーリング管理テーブルPTに、ポーリング対象端末装置についてのMACアドレスとIPアドレスとの対応関係が登録される。その後、端末検索処理部128は、当該端末装置210のポーリング回数をリセットして(ステップS480)、次のポーリング対象端末装置の選択処理(ステップS410)を行う。
【0049】
確認パケットに対して端末装置210から応答がなかった場合には(ステップS460:NO)、端末検索処理部128は、ポーリング処理実行回数(確認パケット送信回数)が予め設定された規定値を超えるまで、ポーリング処理(ステップS450)と応答有無の判定(ステップS460)とを繰り返し実行する。ポーリング処理実行回数が規定値を超えると(ステップS490:NO)、端末検索処理部128は、端末装置210が既にネットワークNETから離脱したものと判断する。この場合には、端末検索処理部128は、ポーリング管理テーブルPTから当該端末装置210についてのレコードを削除すると共に(ステップS500)、認証処理部122に、認証管理テーブルATから当該端末装置210についてのレコードの削除をさせて当該端末装置210についての認証を解除させる(ステップS510)。これにより、当該端末装置210(あるいは当該端末装置210のMACアドレスを詐称した他の端末装置210)によるネットワークNETへの接続は、認証スイッチ100によって禁止される。
【0050】
なお、ポーリング管理テーブルPTに登録されている端末装置210のMACアドレスをキーとして用いたDHCPスヌーピングテーブルDTの検索(ステップS430)において、当該MACアドレスに対応するレコードが検出されなかった場合には(ステップS440:NO)、処理は次のポーリング対象端末装置の選択(ステップS410)に戻る。
【0051】
ポーリング対象端末装置のIPアドレスがポーリング管理テーブルPTに登録されているか否かの判定(ステップS420)において、IPアドレスがポーリング管理テーブルPTに既に登録されている場合には、端末検索処理部128は、PTに登録されたポーリング対象端末装置のMACアドレスとIPアドレスとの組み合わせをキーとして用いて、DHCPスヌーピングテーブルDTを検索する(ステップS520)。DHCPスヌーピングテーブルDTにおいて当該組み合わせに対応するレコードが検出された場合には(ステップS530:YES)、端末検索処理部128は、ポーリング管理テーブルPTに登録されたIPアドレス(すなわちDHCPスヌーピングテーブルDTに登録されたIPアドレス)を用いてポーリング処理を行い(ステップS450)、ポーリング処理に対する応答の有無に応じて上述したのと同様の処理を行う(ステップS460〜S510)。
【0052】
PTに登録されたポーリング対象端末装置のMACアドレスとIPアドレスとの組み合わせを用いたDHCPスヌーピングテーブルDTの検索(ステップS520)において、該当するレコードが検出されなかった場合には(ステップS530:NO)、端末検索処理部128は、ポーリング対象端末装置のMACアドレスのみをキーとして用いて、DHCPスヌーピングテーブルDTを検索する(ステップS540)。DHCPスヌーピングテーブルDTに該当するレコードがなかった場合には(ステップS550:NO)、ポーリング端末装置はまだDHCPによりIPアドレスを取得していないと考えられるため、接続状態の確認は後回しにし、処理は次のポーリング対象端末装置の選択(ステップS410)に戻る。
【0053】
一方、DHCPスヌーピングテーブルDTにおいて該当するレコードが検出された場合には(ステップS550:YES)、端末検索処理部128は、ポーリング対象端末装置がネットワークNETから一端離脱した後、離脱前の物理ポートと同一のまたは別の物理ポートを介してネットワークNETに再接続され、新たなIPアドレスを取得したものと判定する。この場合には、DHCPスヌーピングテーブルDTにおいて検出されたレコードに登録されたIPアドレスを用いてポーリング処理(ステップS450)を行い、ポーリング処理に対する応答の有無に応じて上述したのと同様の処理を行う(ステップS460〜S510)。
【0054】
以上説明したように、本実施例の認証スイッチ100による端末検索処理では、端末検索処理部128が、認証管理テーブルATに基づき作成されたポーリング管理テーブルPTを用いて認証済みの端末装置210の1つをポーリング対象端末装置として選択し、DHCPスヌーピングテーブルDTを用いてポーリング対象端末装置に割り当てられたIPアドレスを特定し、通信部124に、ポーリング対象端末装置がネットワークNETに接続されているか否かを確認する確認パケットを特定されたIPアドレス宛に送信させる。そのため、認証スイッチ100は、認証済みの端末装置210が、まだネットワークNETに接続されているか否か(つまり端末接続状態)を管理することができる。そのため、本実施例の認証スイッチ100では、認証済みの端末装置210がネットワークNETから離脱した後に、当該端末装置210のMACアドレスを詐称した他の端末装置210によるネットワークNETへの接続を許してしまう事態の発生を抑制することができ、ネットワークにおけるセキュリティを向上させることができる。
【0055】
具体的には、認証スイッチ100は、予め設定された回数の確認パケット送信に対して端末装置210から応答がなかった場合には、端末装置210が既にネットワークNETから離脱したものと判断し、当該端末装置210についての認証を解除する。そのため、本実施例の認証スイッチ100によれば、認証済みの端末装置210がネットワークNETから離脱したことを迅速に検知することができ、ネットワークNETから離脱した端末装置210についての認証を迅速に解除することができるため、ネットワークにおけるセキュリティを向上させることができる。
【0056】
なお、端末装置210とDHCPサーバ250との間でやり取りされるDHCPメッセージをスヌーピングするDHCPスヌーピング機能や、端末装置210とDHCPサーバ250との間でやり取りされるDHCPメッセージをリレーするDHCPリレー機能は、既に知られた技術であり、これらの機能を用いて端末装置210のIPアドレスを検知することは可能である。しかしながら、DHCPリレー機能やDHCPスヌーピング機能は、端末装置210の認証の有無を検知することはできない。また、本実施例の認証スイッチ100では、認証の前後で端末装置210の所属VLANが変更され端末装置210に割り当てられるIPアドレスも変更されるダイナミックVLAN方式が選択されている。さらに、認証済みの端末装置210がネットワークNETから離脱した後にネットワークNETに再接続した場合には、やはり端末装置210のIPアドレスは変更され得る。そのため、単に、DHCPリレー機能やDHCPスヌーピング機能を用いて端末装置210のIPアドレスを検知しても、認証済み端末装置210のネットワーク接続状態を管理することはできなかった。本実施例の認証スイッチ100では、認証管理テーブルATに基づき作成されたポーリング管理テーブルPTを用いることにより、認証済みの端末装置210を把握することができ、DHCPスヌーピングテーブルDTを用いて認証済みの端末装置210に割り当てられたIPアドレスを特定することにより、端末装置210のIPアドレスが変化し得る環境においても認証済み端末装置210のネットワーク接続状態を管理することができるため、ネットワークにおけるセキュリティを向上させることができる。
【0057】
また、認証スイッチ100において、MACアドレステーブルMTのエージング機能を利用し、エージング機能により削除されたMACアドレスに対応する端末装置210については認証を解除するものとすることは可能であるが、この場合には、実際にはネットワークNETから離脱していない端末装置210であっても、例えばユーザが離席するなどして通信が行われなかった端末装置210についての認証が解除される可能性がある。このような場合には、端末装置210の再度のWeb認証処理が必要となる。このような事態の発生を回避するためにエージング時間を長めに設定すると、ネットワークにおけるセキュリティを十分に高めることができない。一方、エージング時間を短めに設定すると、上記事態が発生してユーザ利便性が損なわれる可能性があると共に、削除されたMACアドレスを有する端末装置210に関する通信をすべてのVLANに転送するフラッディング処理のための通信負荷が増大する可能性があり、好ましくない。本実施例の認証スイッチ100は、ネットワークNETに接続されている認証済み端末装置210に対して定期的に確認パケットを送信するため、エージング処理によってネットワークNETから離脱していない端末装置210の認証が解除される事態の発生を抑制することができる。
【0058】
また、本実施例の認証スイッチ100は、ポーリング対象端末装置として選択された認証済みの端末装置210について、ポーリング管理テーブルPTに登録されたMACアドレスとIPアドレスとの対応関係と同一の対応関係がDHCPスヌーピングテーブルDTには登録されておらず、かつ、DHCPスヌーピングテーブルDTに当該MACアドレスと他のIPアドレスとの対応関係が登録されている場合には、選択された認証済み端末装置210はネットワークNETから一端離脱した後に再接続したものと判定する。そのため、本実施例の認証スイッチ100は、認証済み端末装置210の離脱や移動を検知することができ、ネットワークにおけるセキュリティをさらに向上させることができる。
【0059】
B.変形例:
なお、この発明は上記の実施例や実施形態に限られるものではなく、その要旨を逸脱しない範囲において種々の態様において実施することが可能であり、例えば次のような変形も可能である。
【0060】
B1.変形例1:
上記実施例におけるネットワークシステム10の構成は、あくまで一例であり、種々変形可能である。例えば、図1に示すネットワークシステム10は、端末装置210や認証スイッチ100を複数備えているが、ネットワークシステム10は、端末装置210および認証スイッチ100をそれぞれ少なくとも1つ備えていればよい。また、ネットワークシステム10において、端末装置210と認証スイッチ100とは、ハブ220を介さずに直接接続されているとしてもよい。また、ネットワークシステム10において、認証サーバ240およびDHCPサーバ250は、他のノードを介してレイヤ3スイッチ230と接続されているとしてもよい。
【0061】
また、認証スイッチ100は、L3スイッチとしての機能を有するとしてもよい。あるいは、認証スイッチ100は、認証サーバおよびDHCPサーバとしての機能を有しているとしてもよい。この場合に、Web認証処理は、認証スイッチ100の有する認証サーバ機能および/またはDHCPサーバ機能を用いて実行されるとしてもよい。
【0062】
B2.変形例2:
上記実施例における各テーブル(MACアドレステーブルMT、DHCPスヌーピングテーブルDT、認証管理テーブルAT、ポーリング管理テーブルPT(図3〜6))の内容はあくまで一例であり、各テーブルが各図に示した内容の一部を含まなかったり、各図に示した内容以外の内容を含んだりしてもよい。
【0063】
B3.変形例3:
上記実施例では、端末検索処理部128が、認証管理テーブルATとDHCPスヌーピングテーブルDTとに基づきポーリング管理テーブルPTを生成し、ポーリング管理テーブルPTを用いて端末検索処理を行っているが、端末検索処理部128は、ポーリング管理テーブルPTを生成せず、認証管理テーブルATとDHCPスヌーピングテーブルDTとを利用して、同様に端末検索処理を行うものとしてもよい。
【0064】
B4.変形例4:
上記実施例の端末検索処理(図8)では、ポーリング管理テーブルPTにポーリング対象端末装置のIPアドレスが登録されているか否かの判定(ステップS420)の結果に応じて次の処理内容が変更されるとしているが、ポーリング管理テーブルPTにポーリング対象端末装置のIPアドレスが登録されているか否かにかかわらず(ステップS420の判定を実行せず)、ポーリング対象端末装置のMACアドレスをキーとして用いたDHCPスヌーピングテーブルDTの検索(ステップS430)が実行されるとしてもよい。ただし、上記実施例のように、ステップS420の判定を実行し、ポーリング管理テーブルPTにポーリング対象端末装置のIPアドレスが登録されている場合にはポーリング対象端末装置のMACアドレスとIPアドレスとの組み合わせをキーとして用いたDHCPスヌーピングテーブルDTの検索(ステップS520)が実行されるとすれば、認証済み端末装置210がネットワークNETから一端離脱した後に再接続したことを検知することができるため、好ましい。
【0065】
B5.変形例5:
上記実施例では、ダイナミックVLAN方式が適用される例について説明したが、固定VLAN方式が適用される場合にも、本実施例の端末検索処理により、認証済みの端末装置210がネットワークNETに接続されているか否か(端末接続状態)を管理することができ、ネットワークにおけるセキュリティを向上させることができる。
【0066】
B6.変形例6:
上記実施例では、レイヤ2アドレスとしてMACアドレスが用いられ、レイヤ3アドレスとしてIPアドレスが用いられているが、レイヤ2アドレスおよびレイヤ3アドレスとしては、Web認証処理や端末検索処理に用いられるプロトコルに応じたアドレスが適宜用いられる。
【0067】
B7.変形例7:
上各実施例において、ハードウェアによって実現されていた構成の一部をソフトウェアに置き換えるようにしてもよく、逆に、ソフトウェアによって実現されていた構成の一部をハードウェアに置き換えるようにしてもよい。
【符号の説明】
【0068】
10…ネットワークシステム
100…認証スイッチ
122…認証処理部
124…通信部
126…DHCPスヌーピング処理部
128…端末検索処理部
132…VLAN設定部
210…端末装置
220…ハブ
230…レイヤ3スイッチ
240…認証サーバ
250…DHCPサーバ
【特許請求の範囲】
【請求項1】
ネットワーク中継装置であって、
通信データを送受信する通信部と、
前記ネットワーク中継装置と接続された端末装置による特定のネットワークへの接続の可否を判定するWeb認証の結果に従い認証済み端末装置を特定する第1の情報を作成し、前記第1の情報に基づき端末装置と前記特定のネットワーク上のノードとの間の通信データの前記通信部による中継の可否を管理する認証処理部と、
前記通信部により中継される端末装置とDHCPサーバとの間のDHCP通信データをスヌーピングし、前記DHCP通信データに基づき、各端末装置に割り当てられたレイヤ3アドレスを特定する第2の情報を作成するDHCPスヌーピング処理部と、
前記第1の情報に基づき認証済み端末装置を特定し、前記第2の情報に基づき前記特定された認証済み端末装置に割り当てられたレイヤ3アドレスを特定し、前記通信部に、前記特定された認証済み端末装置が前記特定のネットワークに接続されているか否かを確認する確認通信データを前記特定されたレイヤ3アドレス宛に送信させる端末検索処理部と、を備える、ネットワーク中継装置。
【請求項2】
請求項1に記載のネットワーク中継装置であって、
前記端末検索処理部は、所定回数の前記確認通信データの送信に対して前記特定された認証済み端末装置からの応答が無い場合には、前記認証処理部に、前記特定された認証済み端末装置についての認証を解除させる、ネットワーク中継装置。
【請求項3】
請求項1または請求項2に記載のネットワーク中継装置であって、
前記端末検索処理部は、前記第1の情報と前記第2の情報とに基づき、各認証済み端末装置について割り当てられたレイヤ3アドレスを特定する第3の情報を作成し、前記第3の情報に登録された認証済み端末装置を順に前記特定のネットワークに接続されているか否かの確認対象として選択する、ネットワーク中継装置。
【請求項4】
請求項3に記載のネットワーク中継装置であって、
前記端末検索処理部は、前記Web認証によって端末装置が認証された際に認証済み端末装置を前記第3の情報に登録すると共に、前記確認対象として選択された認証済み端末装置について、前記第3の情報にレイヤ3アドレスが登録されていない場合、または、前記第3の情報に登録されたレイヤ3アドレスが前記第2の情報に登録されたレイヤ3アドレスと異なる場合には、前記第2の情報に登録されたレイヤ3アドレスを前記第3の情報に登録する、ネットワーク中継装置。
【請求項5】
請求項4に記載のネットワーク中継装置であって、
前記端末検索処理部は、前記確認対象として選択された認証済み端末装置について、前記第3の情報に登録された認証済み端末装置とレイヤ3アドレスとの対応関係と同一の対応関係が前記第2の情報には登録されておらず、かつ、前記第2の情報に認証済み端末装置と他のレイヤ3アドレスとの対応関係が登録されている場合には、前記選択された認証済み端末装置は前記特定のネットワークから一端離脱した後に再接続したものと判定する、ネットワーク中継装置。
【請求項6】
請求項1ないし請求項5のいずれかに記載のネットワーク中継装置であって、さらに、
端末装置に認証前のVLANと認証後のVLANとが必ずしも一致しないようにVLANを設定するVLAN設定部を備える、ネットワーク中継装置。
【請求項7】
請求項1ないし請求項6のいずれかに記載のネットワーク中継装置であって、
前記第1の情報と前記第2の情報と前記第3の情報とは、レイヤ2アドレスにより端末装置を特定する、ネットワーク中継装置。
【請求項1】
ネットワーク中継装置であって、
通信データを送受信する通信部と、
前記ネットワーク中継装置と接続された端末装置による特定のネットワークへの接続の可否を判定するWeb認証の結果に従い認証済み端末装置を特定する第1の情報を作成し、前記第1の情報に基づき端末装置と前記特定のネットワーク上のノードとの間の通信データの前記通信部による中継の可否を管理する認証処理部と、
前記通信部により中継される端末装置とDHCPサーバとの間のDHCP通信データをスヌーピングし、前記DHCP通信データに基づき、各端末装置に割り当てられたレイヤ3アドレスを特定する第2の情報を作成するDHCPスヌーピング処理部と、
前記第1の情報に基づき認証済み端末装置を特定し、前記第2の情報に基づき前記特定された認証済み端末装置に割り当てられたレイヤ3アドレスを特定し、前記通信部に、前記特定された認証済み端末装置が前記特定のネットワークに接続されているか否かを確認する確認通信データを前記特定されたレイヤ3アドレス宛に送信させる端末検索処理部と、を備える、ネットワーク中継装置。
【請求項2】
請求項1に記載のネットワーク中継装置であって、
前記端末検索処理部は、所定回数の前記確認通信データの送信に対して前記特定された認証済み端末装置からの応答が無い場合には、前記認証処理部に、前記特定された認証済み端末装置についての認証を解除させる、ネットワーク中継装置。
【請求項3】
請求項1または請求項2に記載のネットワーク中継装置であって、
前記端末検索処理部は、前記第1の情報と前記第2の情報とに基づき、各認証済み端末装置について割り当てられたレイヤ3アドレスを特定する第3の情報を作成し、前記第3の情報に登録された認証済み端末装置を順に前記特定のネットワークに接続されているか否かの確認対象として選択する、ネットワーク中継装置。
【請求項4】
請求項3に記載のネットワーク中継装置であって、
前記端末検索処理部は、前記Web認証によって端末装置が認証された際に認証済み端末装置を前記第3の情報に登録すると共に、前記確認対象として選択された認証済み端末装置について、前記第3の情報にレイヤ3アドレスが登録されていない場合、または、前記第3の情報に登録されたレイヤ3アドレスが前記第2の情報に登録されたレイヤ3アドレスと異なる場合には、前記第2の情報に登録されたレイヤ3アドレスを前記第3の情報に登録する、ネットワーク中継装置。
【請求項5】
請求項4に記載のネットワーク中継装置であって、
前記端末検索処理部は、前記確認対象として選択された認証済み端末装置について、前記第3の情報に登録された認証済み端末装置とレイヤ3アドレスとの対応関係と同一の対応関係が前記第2の情報には登録されておらず、かつ、前記第2の情報に認証済み端末装置と他のレイヤ3アドレスとの対応関係が登録されている場合には、前記選択された認証済み端末装置は前記特定のネットワークから一端離脱した後に再接続したものと判定する、ネットワーク中継装置。
【請求項6】
請求項1ないし請求項5のいずれかに記載のネットワーク中継装置であって、さらに、
端末装置に認証前のVLANと認証後のVLANとが必ずしも一致しないようにVLANを設定するVLAN設定部を備える、ネットワーク中継装置。
【請求項7】
請求項1ないし請求項6のいずれかに記載のネットワーク中継装置であって、
前記第1の情報と前記第2の情報と前記第3の情報とは、レイヤ2アドレスにより端末装置を特定する、ネットワーク中継装置。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【公開番号】特開2012−80418(P2012−80418A)
【公開日】平成24年4月19日(2012.4.19)
【国際特許分類】
【出願番号】特願2010−225111(P2010−225111)
【出願日】平成22年10月4日(2010.10.4)
【出願人】(504411166)アラクサラネットワークス株式会社 (315)
【Fターム(参考)】
【公開日】平成24年4月19日(2012.4.19)
【国際特許分類】
【出願日】平成22年10月4日(2010.10.4)
【出願人】(504411166)アラクサラネットワークス株式会社 (315)
【Fターム(参考)】
[ Back to top ]