複数認証サーバを有効利用する装置、システム
【課題】
従来ネットワーク認証システムにおいて、複数のネットワーク認証システムを統合する場合には一つの認証サーバを利用する必要があった。そこで、認証情報データベースの異なる複数の認証サーバを統合することなく利用し、ネットワーク認証システムを構築する手段を提供する。
【解決手段】
ネットワーク機器のポート単位で、個別に認証方式や認証サーバを設定し、各ポートごとに認証する認証処理部を選択する認証処理振り分け機能を有する認証システムおよび装置を提供する。
従来ネットワーク認証システムにおいて、複数のネットワーク認証システムを統合する場合には一つの認証サーバを利用する必要があった。そこで、認証情報データベースの異なる複数の認証サーバを統合することなく利用し、ネットワーク認証システムを構築する手段を提供する。
【解決手段】
ネットワーク機器のポート単位で、個別に認証方式や認証サーバを設定し、各ポートごとに認証する認証処理部を選択する認証処理振り分け機能を有する認証システムおよび装置を提供する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、ネットワーク認証システムに関わり、特に複数の異なるデータベースを持つ認証サーバを利用する装置、システムに関する。
【背景技術】
【0002】
通信ネットワークのインフラ化とともに、セキュリティを強化するさまざまな機能が提案されている。ネットワーク認証もその1つである。ネットワーク認証システムを構成するのは、主にPC等の端末機器、認証スイッチ、認証サーバである。認証システムの基本的な動作としては、まず、PC等の端末機器から認証スイッチに対して認証リクエストパケットを出力する。認証スイッチでは、この認証リクエストパケットを受信すると受信パケット中の認証情報を基に認証サーバに対して、該認証情報が登録されているかを問い合わせる。認証スイッチは、認証サーバから該認証情報が登録済みのものであることを通知されると該認証リクエストパケットのソースMACアドレスを通信可能とする。
【0003】
ネットワーク認証スイッチでは、従来、対象となるPC/ユーザに対する認証サーバとして1台のサーバしか指定できなかった(認証サーバの冗長化機能は既存機能としてあった)また、認証方式単位にRADIUSサーバを指定する機能もあった。例えば特許文献1では、1台のクライアントPCを認証するために、複数の認証サーバを構成している。
【先行技術文献】
【特許文献】
【0004】
【特許文献1】特開2007-280221号公報
【発明の概要】
【発明が解決しようとする課題】
【0005】
複数の認証サーバと複数の認証スイッチで構成するネットワーク認証環境において、従来は、認証スイッチ単位に認証サーバを指定して運用・管理していた。このとき、異なる認証サーバで管理しているユーザの異動があるとネットワーク認証管理ができなくなる。
例えば、フロア毎、部署毎に認証サーバを設置して、管理している状況下で、これを1台の認証スイッチで複数の認証サーバを扱うことが必要となる。
【0006】
また、今まで、それぞれの認証サーバで運用していた企業同士、企業内の事業部同士が統合により、従業員が職場に混在するようになるとき、1台の認証スイッチでは、運用できなくなる。このため、1台の認証スイッチで、複数の認証サーバに対応することが課題になる。
【0007】
また、別の課題として、1台の認証スイッチで複数のフロア、複数の部署を管理し、認証方式として、Web認証を使う場合、認証画面をメッセージボードとして活用するためには、物理ポート単位に認証画面を出す必要がある。
【0008】
従来、複数RADIUSサーバを指定して運用する方法として、同じ認証データを複数のRADIUSサーバにもたせることにより、RADIUSサーバを冗長化する方法やネットワーク認証として、MAC認証を使う時とWeb認証を使う時で、別々のRADIUSサーバを指定する方法は、存在した。
【0009】
しかし、認証サーバに加えて、PCのセキュリティ状態をチェックする検疫の機能を持つ検疫サーバを部分的に適用するため、1つの認証スイッチの中で、PC単位、物理ポート単位等に分けて運用・管理させたい場合、従来の認証スイッチでは、実現できない。
【0010】
つまり、1台の認証スイッチで、複数の端末、ユーザに対して、多様なセキュリティサービスを提供するため、複数の認証サーバを接続する必要があり、認証スイッチの物理ポート毎にRADIUSサーバを指定する機能、認証方式がWeb認証の場合、物理ポート単位にRADIUSサーバを指定した場合、それぞれのポートで、別の認証画面を表示させる機能、PCから認証情報を入力する際に、認証サーバを指定できる機能を1台の認証スイッチで実現することが本発明の課題となる。
【課題を解決するための手段】
【0011】
複数の接続ポートと、前記接続ポートを介して接続された機器を認証する複数の認証処理部と、前記接続ポートごとに認証する認証処理部を選択する認証処理振り分け部とを有し、前記複数の接続ポートにはそれぞれ前記複数の認証処理部の何れかが対応付けられており、前記認証処理振り分け部は、前記接続ポートの何れかと接続された前記機器からパケットの受信があると、当該パケット送信のあった機器が接続された前記接続ポートに対応付けられた認証処理部を選択し、前記パケット送信のあった機器の認証処理を行わせることを特徴とするパケット転送装置、もしくはシステムを提供する。
【発明の効果】
【0012】
異なる認証サーバを持ち、ネットワーク認証システムを構築している企業や企業内の部署同士が、統合し、1つのネットワーク認証システムを構築する場合、認証サーバの認証データベースを統合することなしに統合したネットワーク認証システムを構築することができる。
【図面の簡単な説明】
【0013】
【図1】ネットワーク認証システム構成図
【図2】認証スイッチ内ネットワーク認証機能の機能ブロック図
【図3】ポート単位認証方式リストテーブル
【図4】認証方式リストテーブル
【図5】認証サーバグループリストテーブル
【図6】ポート単位Web認証画面データリストテーブル
【図7】認証済み端末登録リスト
【図8】認証済み/未認証判定部による処理フロー
【図9】認証処理振分け部の処理フロー
【図10】802.1X認証処理部の処理フロー
【図11】MAC認証処理部の処理フロー
【図12】Web認証処理部の処理フロー
【図13】Web認証処理部のユーザID単位で認証サーバを選択する処理フロー
【図14】ポート間移動判定部の処理フロー
【図15】企業統合する前のネットワーク認証システム
【図16】企業統合した後のネットワーク認証システム
【発明を実施するための形態】
【実施例1】
【0014】
本発明の特徴は、企業統合や組織統合により、認証サーバが複数になっても、認証スイッチ等の認証装置が複数の認証サーバを指定できることにある。
【0015】
通常、社内ネットワーク等に端末が接続すると、認証機能を有するスイッチ等(以下認証スイッチ)により、認証が行われ、認証された端末だけが社内ネットワークに接続することができる。認証スイッチは端末の認証情報を有する認証サーバに問い合わせることにより認証を行う。認証スイッチが問い合わせる認証サーバは固定である。
【0016】
ここで、異なる方式の認証システムを有する企業A,Bが合併により統合した場合を考える。A社とB社の社員は同じ建物の同じフロアで仕事をする場合も考えられるので、そのフロアに割り当てられている認証スイッチは、両社の社員の端末を認証する必要がある。すなわち、認証サーバA,Bの両方の認証サーバ、さらには認証方式を使い分ける必要がある。当該課題を解決するために、本発明の認証スイッチは、必要に応じて認証サーバや認証方式を振り分ける機能を有する。
【0017】
以下、従来のネットワーク認証システムでの企業統合などの問題点、そして本発明の構成の順に説明する。
【0018】
図15に企業統合や組織統合する前のネットワーク認証システムを示す。図15に示す認証システムは、従来の認証スイッチを使用した構成である。このシステムでは、認証サーバ1510−1に登録されている認証データベース1150−1と認証サーバ1510−2に登録されている認証データベース1150−2は、登録情報が異なる。
【0019】
認証スイッチ1500−1には、認証サーバ1510−1が登録されている。認証スイッチ1500−2には、認証サーバ1510−2が登録されている。それぞれの認証サーバが持つ認証データベース1550−1、1150−2は、それぞれの組織の認証情報が登録されており、同じものではない。簡単なネットワーク認証の流れについて説明する。ネットワーク認証方式としては、MAC認証、Web認証、802.1X認証がある。
【0020】
まず、MAC認証方式を使った認証の流れについて説明する。まず、端末1540−1が、HUB1530−1のポートに接続し、任意のパケットが端末1540−1から、認証スイッチ1500−1に送信されると、認証スイッチ1500−1では、受信パケットの送信元MACアドレスを使って、認証サーバ1510−1に対して、認証の問い合わせを行う。
【0021】
このとき、認証スイッチ1500−1には、冗長化のため、複数の認証サーバを登録できるが、認証データベースは、1種類しか持つことができない。また、1台の認証スイッチから最初にアクセスする認証サーバは、固定されていて、1台のみである。認証サーバ1510−1は、認証データベース1550−1に該当MACアドレスが登録されていた場合、認証スイッチ1500−1に対して、認証OKの通知を出す。認証スイッチ1500−1では、該当MACアドレスに対して、認証許可処理を行い、端末1540−1は、通信可能となる。
【0022】
次にWeb認証方式を使った認証の流れについて説明する。端末のユーザは、端末1540−1を、HUB1530−1に接続し、認証スイッチ1500−1に対して、http/httpsによる認証要求を行う。認証スイッチ1500−1は、認証情報登録画面データを端末1540−1に送り、ユーザは、その登録画面より、認証情報を入力し、認証スイッチ1500−1に送信する。認証スイッチ1500−1では、認証情報を受け取ると、それを元に認証サーバ1510−1に対して認証要求をする。認証スイッチ1500−1には、冗長化のため、複数の認証サーバを登録できるが、認証データベースは、1種類しか持つことができない。
【0023】
また、1台の認証スイッチから最初にアクセスする認証サーバは、固定されていて、1台のみである。認証サーバ1510−1は、認証データベース1550−1に該当認証情報が登録されていた場合、認証スイッチ1500−1に対して、認証OKの通知を出す。認証スイッチ1500−1は、該当端末のMACアドレスに対して、認証許可処理を行い、端末1540−1は、通信可能となる。802.1X認証方式でも同様の認証シーケンスで、認証が行われる。認証スイッチ1500−2を用いた認証システムでも同様のネットワーク認証処理が行われる。
【0024】
図16に従来の認証スイッチを使って企業統合や組織統合をした場合のネットワーク認証システム構成図を示す。従来の認証スイッチでは、1台のスイッチで、1種類の認証データベースを持つ認証サーバしか登録できないので、企業統合や組織統合をして、認証サーバが増えた場合は、その数に合わせて、従来の認証スイッチが必要になる。
【0025】
ネットワーク認証の流れについて簡単に説明する。ネットワーク認証方式として、Web認証を使用する場合、端末1540−1のユーザは、端末1540−1を、HUB1530−1に接続し、認証スイッチ1500−1に対して、http/httpsによる認証要求を行う。認証スイッチ1500−1は、認証情報登録画面データを端末1540−1に送り、ユーザはその登録画面より、認証情報を入力し、認証スイッチ1500−1に送信する。
【0026】
認証スイッチ1500−1では、認証情報を受け取るとそれを元に認証サーバ1510−1に対して認証要求を行う。認証サーバ1510−2へは認証要求を行わない。同様に認証スイッチ1500−2に接続するHUB1530−3に接続する端末1540−3が認証を行う場合、認証スイッチ1500−2は、認証サーバ1510−2へのみ認証要求を行い、認証サーバ1510−1へは行わない。
【0027】
このように、従来のスイッチを使った場合、認証するユーザによって認証スイッチを切り分ける必要があるため、企業統合、組織統合等でネットワーク認証システムを再構築する場合、運用・構築コストが増大する。
【0028】
以下、本発明の実施の形態について、図1〜図14を用いて説明する。図1を使って、ネットワーク認証システムの構成を説明する。ここで、図1は、認証システムのハードウエアブロック図である。図1において、ネットワーク認証システムは、L3スイッチ120とL3スイッチ120に接続された2台の認証サーバ110と2台の認証スイッチ100と認証スイッチ100に接続されたHUB130とHUB130に接続された端末140から構成される。
【0029】
認証スイッチ100のネットワーク認証機能を実現する処理部の構成を図2に示し、各処理部及び、使用するデータベースについて説明する。認証済/未認証判定部240は、端末からのパケットを受信し、受信パケットの送信元MACアドレスが認証済か未認証であるかを判定する機能を持つ。ポート間移動判定部250は、認証済端末の移動前と移動後の状態をチェックし、認証状態のローミングが可能かどうかを判定する。
【0030】
認証振り分け部200は、受け取った受信パケットと受信ポート情報を元に振り分ける認証処理部を判定し、受信パケットと受信ポート情報を該当する認証処理部へ渡す。各認証処理部(802.1X認証処理部210、Web認証処理部220、MAC認証処理部230)では、受信ポート情報を元に認証サーバグループリストテーブルより該当する認証サーバを検索して、該当認証サーバに対して認証処理を行う。
【0031】
図3〜図7に認証スイッチ100内で使用するテーブルを示す。ポート単位認証方式リストテーブル300は、認証スイッチのポート番号と認証方式リスト名の対応表であり、図3に構成例を示す。
【0032】
認証方式リストテーブル400は、認証方式リスト名と認証方式リスト、認証サーバグループリスト番号を構成要素に持つ認証方式リストと認証グループサーバの対応リストである。図4に構成例を示す。
【0033】
認証サーバグループリストテーブル500は、リスト番号、認証サーバ情報を構成要素に持つリストテーブルである。認証サーバ情報としては、認証サーバのIPアドレス、MACアドレス情報等を登録する。図5に構成例を示す。
【0034】
ポート単位Web認証画面データリストテーブル600は、認証スイッチのポート番号とWeb認証画面データ情報を要素に持つテーブルである。Web認証画面データ情報としては、認証スイッチ内に格納されたWeb認証画面データの位置情報(ディレクトリ情報等)が格納される。図6に構成例を示す。
【0035】
認証済み端末登録リスト700は、認証スイッチのポート番号と認証済みMACアドレスの対応テーブルである。図7に示す構成例では、認証スイッチのポート番号1番にMACアドレス MAC-1とMAC-2が登録されていることを示す。
【0036】
ポート単位認証方式リストテーブル300、認証方式リストテーブル400、認証サーバグループリストテーブル500を参照することにより、認証スイッチのポート毎に登録されている認証サーバの情報を取得することが可能になる。図3〜図5を使って説明する。
【0037】
図3に示すポート単位認証方式リストテーブル300から、認証スイッチのポート番号1番で登録されている認証方式リスト名 List-1を取得する。List-1を使って図4に示す認証方式リストテーブル400から、該当認証サーバグループリスト番号 1を取り出す。そして、最後に図5に示す認証サーバグループリストテーブル500から該当する認証サーバ情報「サーバ1、サーバ2」を取り出すことにより、認証スイッチのポート番号1に対応する認証サーバ情報を取得することが可能になる。
図3〜図5に示すテーブルとは別に、認証スイッチのポート番号情報と認証サーバ情報を構成要素とするテーブルを使うことも可能である。
【0038】
次に図8〜図14を使って認証スイッチ100内の各処理部の処理フローについて説明する。まず、図8を使って認証済/未認証判定部240の処理の流れについて説明する。認証済/未認証判定部240は、端末140から任意のパケットを受信(800)すると、受信パケットの送信元MACアドレスを元に認証済み端末登録リスト700を検索する。
【0039】
そして、本テーブルに該当MACアドレスが登録されていなかった場合、未認証のMACアドレスを判断して、受信パケットに受信ポート情報を付与して認証振り分け部200へ転送する(830)。本テーブルに該当MACアドレスが登録されていた場合、受信パケットの認証スイッチでの受信ポート番号と登録済MACアドレスのポート番号を比較する(840)。一致していた場合、受信パケットを認証済みの端末からのパケットと判定し、通常のパケット転送処理を行う(860)。一致しなかった場合、認証済みのMACアドレスを持つ端末が移動したと判断し、受信パケットに受信ポート情報と登録済MACのポート情報を付与して、ポート間移動判定部へ転送する(870)。
【0040】
次に、図14を使って、ポート間移動判定部250の処理の流れについて説明する。
ポート間移動判定部250は、認証済/未認証判定部240より、受信パケットと受信パケットの受信ポート情報と登録済MACのポート情報を受け取ると、受信ポート情報を元に認証サーバグループリストテーブル500を検索し、端末が移動した後のサーバグループ情報を取得する(1400)。そして、登録済MACの受信ポート情報を元に認証サーバグループリストテーブル500を検索し、端末が移動する前のサーバグループ情報を取得する(1410)。つぎに、移動前のサーバグループと移動後のサーバグループを比較し(1420)、一致しない場合は、該当端末の認証状態を解除する(1440)。一致した場合は、通常の転送処理を行う。
【0041】
このように、端末の移動前と移動後のサーバグループ情報を比較することで、異なる認証サーバが登録されているポート間を認証済み端末が移動するのを禁止することができ、認証セキュリティを確保することができる。
【0042】
従来のポート間移動判定部は、認証済み端末が、接続している認証スイッチ内のポートから別なポートに接続先を変更(移動)したときに、移動前のVALN-IDと移動後のVLAN-IDを比較して、違っていたら、認証を解除し、同一VLAN-IDの場合は、認証状態を継続(ローミング)させる機能をもっていた。
【0043】
ここで、複数ポートに同一のVLAN-IDを割り当て、トラフィックを均一化させるため、ポート単位にユーザを限定するネットワークについて説明する。本ネットワークを構築するには、本発明によるポート単位に認証サーバを設定する運用が必要である。
【0044】
次に、本ネットワークに対するポート間移動判定部の適用について説明する。従来のポート間移動判定部を用いると、認証済み端末が、ポート間を移動するときに移動した先のVLAN-IDが、移動前のVLAN-IDと同じ場合は、ローミングを許してしまう。このため、ポート別にトラフィックを制御することができない。これに対して、本発明によるポート間移動判定部では、端末の移動前と移動後の認証サーバの種別を比較するため、従来のポート間移動判定部のようなローミング判定をすることがない。つまり、端末の移動前と移動後のポートに設定された認証サーバの種別が違うと端末の移動後は、認証解除状態になり、トラフィックは分離できることになる。
【0045】
次に、図9を使って、認証処理振分け部200の処理の流れについて説明する。認証処理振分け部200は、認証済/未認証判定部240より、受信パケットと受信ポート情報を受け取ると、ポート単位認証方式リストテーブル300から、該当ポートの認証方式情報を取得(900)し、受信パケットの種別からどの認証方式を使ってネットワーク認証処理を行うかを判定する(910)。MAC認証と判定した場合は、MAC認証処理部へ受信パケットと受信ポート情報を転送する(940)。Web認証と判定した場合は、Web認証処理部へ受信パケットと受信ポート情報を転送する(950)。802.1X認証と判定した場合は、802.1X認証処理部へ受信パケットと受信ポート情報を転送する。
【0046】
次に、図11を使ってMAC認証処理部230の処理の流れを説明する。MAC認証処理部230は、認証処理振分け部200から、受信パケットと受信ポート情報を受け取ると、受信ポート情報から、ポート単位認証方式リストテーブル300、認証方式リストテーブル400、認証サーバグループリストテーブル500を使って、認証サーバグループ情報を取得する(1100)。そして、認証サーバグループ情報内の優先度の高い認証サーバから順に認証情報を問い合わせる(1100)。このようにして、認証ポート単位に認証サーバを選択し、ネットワーク認証が可能になる。
【0047】
次に、図12を使ってWeb認証処理部220の処理の流れを説明する。Web認証処理部220は、認証処理振分け部200から、受信パケットと受信ポート情報を受け取ると受信ポート情報から、ポート単位認証方式リストテーブル300、認証方式リストテーブル400、認証サーバグループリストテーブル500を使って、認証サーバグループ情報を取得する(1200)。そして、受信ポート情報を使ってポート単位Web認証画面データリストテーブル600からWeb認証画面データ情報を取り出し、端末へWeb認証画面を出力させる(1210)。そして、端末より、認証情報を受け取ると、
前に取得していた、当該認証サーバグループ情報内の優先度の高い認証サーバから順に認証情報を問い合わせる(1220)。このようにして、認証ポート単位にWeb認証画面を出力し、認証サーバを選択することによってネットワーク認証が可能になる。
【0048】
つぎに、図10を使って802.1X認証処理部210の処理の流れを説明する。802.1X認証処理部210は、認証処理振分け部200から、受信パケットと受信ポート情報を受け取ると受信ポート情報から、ポート単位認証方式リストテーブル300、認証方式リストテーブル400、認証サーバグループリストテーブル500を使って、認証サーバグループ情報を取得する(1000)。そして、該当する認証サーバ情報内の優先度の高い認証サーバから順に認証情報を問い合わせる(1010)。このようにして、認証ポート単位に認証サーバを選択し、ネットワーク認証が可能になる。
【0049】
次に、複数の認証方式を組み合わせた場合について説明する。ポート番号2番のポートに接続された端末140から任意のパケットを受信すると、認証済/未認証判定部は、受信パケットの送信元MACアドレスが認証済か未認証であるかを判定する。今回の説明では未認証とする。
【0050】
次に、未認証の送信元MACアドレスを認証する必要があるため、認証振り分け部200は、受け取った受信パケットと受信ポート情報を元に振り分ける認証処理部を判定し、受信パケットと受信ポート情報を該当する認証処理部へ渡す。具体的には、認証振り分け部200は、ポート単位認証方式リストテーブル300を参照し、ポート番号2番に対応する認証方式リスト名 List−2を入手する。
【0051】
次に、認証方式リストテーブル400を参照し、List−2に対応すする認証方式MAC,Webを入手する。次に、認証振り分け部200は入手した認証方式に対応するMAC認証処理部230、Web認証処理部220に対し受信パケットと受信ポート情報を渡す。MAC認証処理部230、Web認証処理部220では、ポート単位認証方式リストテーブル300、認証方式リストテーブル400、認証サーバグループリストテーブル500から該当する認証サーバ情報「サーバ3、サーバ4」を入手する。
【0052】
認証サーバ情報に複数のサーバが含まれる場合は優先度が定められており、優先度が2番目以降は予備の認証サーバである。本説明では番号の若いサーバほど優先度が高いとする。そうすると、MAC認証処理部230、Web認証処理部220は「サーバ3」に対し認証要求を出し、返事がない場合に「サーバ4」に対し認証要求を出す。これは1つの認証方式のみの場合も同様である。
【0053】
次に、ネットワーク認証として、Web認証を選択した場合のユーザIDによる認証サーバ選択方式の実施例について説明する。
図13を使ってWeb認証処理部220におけるユーザID単位で認証サーバを選択する処理の流れについて説明する。Web認証処理部220は、認証振り分け部200から、受信パケットを受け取ると、受信パケットからユーザID情報を取り出す。そして、ユーザID情報から、サーバグループ情報を取り出す(1300)。ユーザID情報に含まれるサーバグループ情報とは、例えば、「@」等の特殊文字で区切られた情報を示す。
【0054】
「ユーザA@サーバ1」というユーザID情報があったとすると、「ユーザA」がネットワーク認証を行うときの認証情報で、「@」で区切られた「サーバ1」が、サーバグループ情報となる。
【0055】
つぎに、サーバグループ情報を元に、認証サーバリストテーブル500を検索し、該当する認証サーバ情報を取り出す(1310)。
そして、該当する認証サーバ情報に登録されている優先度高い認証サーバから順に認証情報を問い合わせる(1320)。このようにして、ユーザID単位に認証サーバを選択し、ネットワーク認証が可能になる。
【0056】
ネットワーク認証システムに新たに検疫機能をもつ認証サーバを導入する場合、従来の認証サーバを残しつつ、検疫機能を持つ認証サーバを段階的に導入することが可能になる。また、従来の認証サーバのみを使った認証ネットワークに対し、部分的な検疫機能を持つ認証システムを導入することが可能になる。
【0057】
Web認証を使ったネットワーク認証システムにおいて、端末装置に出力する認証情報入力画面に接続先の部署等の付加的な情報を表示して運用している場合、本発明によると、1台の認証スイッチで複数の部署に対して、認証システムを構築することが可能になる。
【0058】
本発明を導入することにより、前述したように異なる認証サーバを持ち、ネットワーク認証システムを構築している企業や企業内の部署同士が、統合し、1つのネットワーク認証システムを構築する場合、認証サーバの認証データベースを統合することなしに統合したネットワーク認証システムを構築することができる。
【0059】
また、ネットワーク認証とWeb認証と連携した検疫システムを混在させる場合、ポート単位にWeb認証画面を変えることができるので、ネットワーク認証のみに使用するWeb認証画面と検疫と連動したWeb認証画面を変えて、ユーザの誤入力を防ぐことができる。
【0060】
また、組織統合等で、複数の認証サーバを使ってWeb認証システムを運用している場合、端末装置に表示するWeb認証画面に対し、認証サーバ毎の識別情報を画面に表示する運用が可能になるので、非認証者が、どの認証サーバ(組織)に所属しているのかが分かる。
【0061】
1台の認証スイッチを使って、複数の組織が入っている複数のフロアに認証システムを構築する場合、フロア間で認証サーバは、異なる。本発明では、異なる認証サーバが登録されているポート間を認証済み端末が移動するのを禁止することができるので、フロア間の認証セキュリティを確保することができる。
【0062】
また、プリンタ等、固定ポートで使用する機器に対して、1つの認証サーバを設定し、他のポートでは、ユーザ用の認証サーバを設定することによって、プリンタの接続するポートにPCを接続して、ユーザ認証させようとしても認証サーバが違うため、接続不可となる。これにより、認証セキュリティは向上する。
【符号の説明】
【0063】
100・・・認証スイッチ、110・・・認証サーバ、120・・・L3スイッチ、130・・・HUB、140・・・端末、200・・・認証処理振り分け部、210・・・802.1X認証処理部、220・・・Web認証処理部、230・・・MAC認証処理部、240・・・認証済み/未認証判定部、250・・・ポート間移動判定部、300・・・ポート単位認証方式リストテーブル、400・・・認証方式リストテーブル、500・・・認証サーバグループリストテーブル、600・・・ポート単位Web認証画面データリストテーブル、700・・・認証済み端末登録リスト
【技術分野】
【0001】
本発明は、ネットワーク認証システムに関わり、特に複数の異なるデータベースを持つ認証サーバを利用する装置、システムに関する。
【背景技術】
【0002】
通信ネットワークのインフラ化とともに、セキュリティを強化するさまざまな機能が提案されている。ネットワーク認証もその1つである。ネットワーク認証システムを構成するのは、主にPC等の端末機器、認証スイッチ、認証サーバである。認証システムの基本的な動作としては、まず、PC等の端末機器から認証スイッチに対して認証リクエストパケットを出力する。認証スイッチでは、この認証リクエストパケットを受信すると受信パケット中の認証情報を基に認証サーバに対して、該認証情報が登録されているかを問い合わせる。認証スイッチは、認証サーバから該認証情報が登録済みのものであることを通知されると該認証リクエストパケットのソースMACアドレスを通信可能とする。
【0003】
ネットワーク認証スイッチでは、従来、対象となるPC/ユーザに対する認証サーバとして1台のサーバしか指定できなかった(認証サーバの冗長化機能は既存機能としてあった)また、認証方式単位にRADIUSサーバを指定する機能もあった。例えば特許文献1では、1台のクライアントPCを認証するために、複数の認証サーバを構成している。
【先行技術文献】
【特許文献】
【0004】
【特許文献1】特開2007-280221号公報
【発明の概要】
【発明が解決しようとする課題】
【0005】
複数の認証サーバと複数の認証スイッチで構成するネットワーク認証環境において、従来は、認証スイッチ単位に認証サーバを指定して運用・管理していた。このとき、異なる認証サーバで管理しているユーザの異動があるとネットワーク認証管理ができなくなる。
例えば、フロア毎、部署毎に認証サーバを設置して、管理している状況下で、これを1台の認証スイッチで複数の認証サーバを扱うことが必要となる。
【0006】
また、今まで、それぞれの認証サーバで運用していた企業同士、企業内の事業部同士が統合により、従業員が職場に混在するようになるとき、1台の認証スイッチでは、運用できなくなる。このため、1台の認証スイッチで、複数の認証サーバに対応することが課題になる。
【0007】
また、別の課題として、1台の認証スイッチで複数のフロア、複数の部署を管理し、認証方式として、Web認証を使う場合、認証画面をメッセージボードとして活用するためには、物理ポート単位に認証画面を出す必要がある。
【0008】
従来、複数RADIUSサーバを指定して運用する方法として、同じ認証データを複数のRADIUSサーバにもたせることにより、RADIUSサーバを冗長化する方法やネットワーク認証として、MAC認証を使う時とWeb認証を使う時で、別々のRADIUSサーバを指定する方法は、存在した。
【0009】
しかし、認証サーバに加えて、PCのセキュリティ状態をチェックする検疫の機能を持つ検疫サーバを部分的に適用するため、1つの認証スイッチの中で、PC単位、物理ポート単位等に分けて運用・管理させたい場合、従来の認証スイッチでは、実現できない。
【0010】
つまり、1台の認証スイッチで、複数の端末、ユーザに対して、多様なセキュリティサービスを提供するため、複数の認証サーバを接続する必要があり、認証スイッチの物理ポート毎にRADIUSサーバを指定する機能、認証方式がWeb認証の場合、物理ポート単位にRADIUSサーバを指定した場合、それぞれのポートで、別の認証画面を表示させる機能、PCから認証情報を入力する際に、認証サーバを指定できる機能を1台の認証スイッチで実現することが本発明の課題となる。
【課題を解決するための手段】
【0011】
複数の接続ポートと、前記接続ポートを介して接続された機器を認証する複数の認証処理部と、前記接続ポートごとに認証する認証処理部を選択する認証処理振り分け部とを有し、前記複数の接続ポートにはそれぞれ前記複数の認証処理部の何れかが対応付けられており、前記認証処理振り分け部は、前記接続ポートの何れかと接続された前記機器からパケットの受信があると、当該パケット送信のあった機器が接続された前記接続ポートに対応付けられた認証処理部を選択し、前記パケット送信のあった機器の認証処理を行わせることを特徴とするパケット転送装置、もしくはシステムを提供する。
【発明の効果】
【0012】
異なる認証サーバを持ち、ネットワーク認証システムを構築している企業や企業内の部署同士が、統合し、1つのネットワーク認証システムを構築する場合、認証サーバの認証データベースを統合することなしに統合したネットワーク認証システムを構築することができる。
【図面の簡単な説明】
【0013】
【図1】ネットワーク認証システム構成図
【図2】認証スイッチ内ネットワーク認証機能の機能ブロック図
【図3】ポート単位認証方式リストテーブル
【図4】認証方式リストテーブル
【図5】認証サーバグループリストテーブル
【図6】ポート単位Web認証画面データリストテーブル
【図7】認証済み端末登録リスト
【図8】認証済み/未認証判定部による処理フロー
【図9】認証処理振分け部の処理フロー
【図10】802.1X認証処理部の処理フロー
【図11】MAC認証処理部の処理フロー
【図12】Web認証処理部の処理フロー
【図13】Web認証処理部のユーザID単位で認証サーバを選択する処理フロー
【図14】ポート間移動判定部の処理フロー
【図15】企業統合する前のネットワーク認証システム
【図16】企業統合した後のネットワーク認証システム
【発明を実施するための形態】
【実施例1】
【0014】
本発明の特徴は、企業統合や組織統合により、認証サーバが複数になっても、認証スイッチ等の認証装置が複数の認証サーバを指定できることにある。
【0015】
通常、社内ネットワーク等に端末が接続すると、認証機能を有するスイッチ等(以下認証スイッチ)により、認証が行われ、認証された端末だけが社内ネットワークに接続することができる。認証スイッチは端末の認証情報を有する認証サーバに問い合わせることにより認証を行う。認証スイッチが問い合わせる認証サーバは固定である。
【0016】
ここで、異なる方式の認証システムを有する企業A,Bが合併により統合した場合を考える。A社とB社の社員は同じ建物の同じフロアで仕事をする場合も考えられるので、そのフロアに割り当てられている認証スイッチは、両社の社員の端末を認証する必要がある。すなわち、認証サーバA,Bの両方の認証サーバ、さらには認証方式を使い分ける必要がある。当該課題を解決するために、本発明の認証スイッチは、必要に応じて認証サーバや認証方式を振り分ける機能を有する。
【0017】
以下、従来のネットワーク認証システムでの企業統合などの問題点、そして本発明の構成の順に説明する。
【0018】
図15に企業統合や組織統合する前のネットワーク認証システムを示す。図15に示す認証システムは、従来の認証スイッチを使用した構成である。このシステムでは、認証サーバ1510−1に登録されている認証データベース1150−1と認証サーバ1510−2に登録されている認証データベース1150−2は、登録情報が異なる。
【0019】
認証スイッチ1500−1には、認証サーバ1510−1が登録されている。認証スイッチ1500−2には、認証サーバ1510−2が登録されている。それぞれの認証サーバが持つ認証データベース1550−1、1150−2は、それぞれの組織の認証情報が登録されており、同じものではない。簡単なネットワーク認証の流れについて説明する。ネットワーク認証方式としては、MAC認証、Web認証、802.1X認証がある。
【0020】
まず、MAC認証方式を使った認証の流れについて説明する。まず、端末1540−1が、HUB1530−1のポートに接続し、任意のパケットが端末1540−1から、認証スイッチ1500−1に送信されると、認証スイッチ1500−1では、受信パケットの送信元MACアドレスを使って、認証サーバ1510−1に対して、認証の問い合わせを行う。
【0021】
このとき、認証スイッチ1500−1には、冗長化のため、複数の認証サーバを登録できるが、認証データベースは、1種類しか持つことができない。また、1台の認証スイッチから最初にアクセスする認証サーバは、固定されていて、1台のみである。認証サーバ1510−1は、認証データベース1550−1に該当MACアドレスが登録されていた場合、認証スイッチ1500−1に対して、認証OKの通知を出す。認証スイッチ1500−1では、該当MACアドレスに対して、認証許可処理を行い、端末1540−1は、通信可能となる。
【0022】
次にWeb認証方式を使った認証の流れについて説明する。端末のユーザは、端末1540−1を、HUB1530−1に接続し、認証スイッチ1500−1に対して、http/httpsによる認証要求を行う。認証スイッチ1500−1は、認証情報登録画面データを端末1540−1に送り、ユーザは、その登録画面より、認証情報を入力し、認証スイッチ1500−1に送信する。認証スイッチ1500−1では、認証情報を受け取ると、それを元に認証サーバ1510−1に対して認証要求をする。認証スイッチ1500−1には、冗長化のため、複数の認証サーバを登録できるが、認証データベースは、1種類しか持つことができない。
【0023】
また、1台の認証スイッチから最初にアクセスする認証サーバは、固定されていて、1台のみである。認証サーバ1510−1は、認証データベース1550−1に該当認証情報が登録されていた場合、認証スイッチ1500−1に対して、認証OKの通知を出す。認証スイッチ1500−1は、該当端末のMACアドレスに対して、認証許可処理を行い、端末1540−1は、通信可能となる。802.1X認証方式でも同様の認証シーケンスで、認証が行われる。認証スイッチ1500−2を用いた認証システムでも同様のネットワーク認証処理が行われる。
【0024】
図16に従来の認証スイッチを使って企業統合や組織統合をした場合のネットワーク認証システム構成図を示す。従来の認証スイッチでは、1台のスイッチで、1種類の認証データベースを持つ認証サーバしか登録できないので、企業統合や組織統合をして、認証サーバが増えた場合は、その数に合わせて、従来の認証スイッチが必要になる。
【0025】
ネットワーク認証の流れについて簡単に説明する。ネットワーク認証方式として、Web認証を使用する場合、端末1540−1のユーザは、端末1540−1を、HUB1530−1に接続し、認証スイッチ1500−1に対して、http/httpsによる認証要求を行う。認証スイッチ1500−1は、認証情報登録画面データを端末1540−1に送り、ユーザはその登録画面より、認証情報を入力し、認証スイッチ1500−1に送信する。
【0026】
認証スイッチ1500−1では、認証情報を受け取るとそれを元に認証サーバ1510−1に対して認証要求を行う。認証サーバ1510−2へは認証要求を行わない。同様に認証スイッチ1500−2に接続するHUB1530−3に接続する端末1540−3が認証を行う場合、認証スイッチ1500−2は、認証サーバ1510−2へのみ認証要求を行い、認証サーバ1510−1へは行わない。
【0027】
このように、従来のスイッチを使った場合、認証するユーザによって認証スイッチを切り分ける必要があるため、企業統合、組織統合等でネットワーク認証システムを再構築する場合、運用・構築コストが増大する。
【0028】
以下、本発明の実施の形態について、図1〜図14を用いて説明する。図1を使って、ネットワーク認証システムの構成を説明する。ここで、図1は、認証システムのハードウエアブロック図である。図1において、ネットワーク認証システムは、L3スイッチ120とL3スイッチ120に接続された2台の認証サーバ110と2台の認証スイッチ100と認証スイッチ100に接続されたHUB130とHUB130に接続された端末140から構成される。
【0029】
認証スイッチ100のネットワーク認証機能を実現する処理部の構成を図2に示し、各処理部及び、使用するデータベースについて説明する。認証済/未認証判定部240は、端末からのパケットを受信し、受信パケットの送信元MACアドレスが認証済か未認証であるかを判定する機能を持つ。ポート間移動判定部250は、認証済端末の移動前と移動後の状態をチェックし、認証状態のローミングが可能かどうかを判定する。
【0030】
認証振り分け部200は、受け取った受信パケットと受信ポート情報を元に振り分ける認証処理部を判定し、受信パケットと受信ポート情報を該当する認証処理部へ渡す。各認証処理部(802.1X認証処理部210、Web認証処理部220、MAC認証処理部230)では、受信ポート情報を元に認証サーバグループリストテーブルより該当する認証サーバを検索して、該当認証サーバに対して認証処理を行う。
【0031】
図3〜図7に認証スイッチ100内で使用するテーブルを示す。ポート単位認証方式リストテーブル300は、認証スイッチのポート番号と認証方式リスト名の対応表であり、図3に構成例を示す。
【0032】
認証方式リストテーブル400は、認証方式リスト名と認証方式リスト、認証サーバグループリスト番号を構成要素に持つ認証方式リストと認証グループサーバの対応リストである。図4に構成例を示す。
【0033】
認証サーバグループリストテーブル500は、リスト番号、認証サーバ情報を構成要素に持つリストテーブルである。認証サーバ情報としては、認証サーバのIPアドレス、MACアドレス情報等を登録する。図5に構成例を示す。
【0034】
ポート単位Web認証画面データリストテーブル600は、認証スイッチのポート番号とWeb認証画面データ情報を要素に持つテーブルである。Web認証画面データ情報としては、認証スイッチ内に格納されたWeb認証画面データの位置情報(ディレクトリ情報等)が格納される。図6に構成例を示す。
【0035】
認証済み端末登録リスト700は、認証スイッチのポート番号と認証済みMACアドレスの対応テーブルである。図7に示す構成例では、認証スイッチのポート番号1番にMACアドレス MAC-1とMAC-2が登録されていることを示す。
【0036】
ポート単位認証方式リストテーブル300、認証方式リストテーブル400、認証サーバグループリストテーブル500を参照することにより、認証スイッチのポート毎に登録されている認証サーバの情報を取得することが可能になる。図3〜図5を使って説明する。
【0037】
図3に示すポート単位認証方式リストテーブル300から、認証スイッチのポート番号1番で登録されている認証方式リスト名 List-1を取得する。List-1を使って図4に示す認証方式リストテーブル400から、該当認証サーバグループリスト番号 1を取り出す。そして、最後に図5に示す認証サーバグループリストテーブル500から該当する認証サーバ情報「サーバ1、サーバ2」を取り出すことにより、認証スイッチのポート番号1に対応する認証サーバ情報を取得することが可能になる。
図3〜図5に示すテーブルとは別に、認証スイッチのポート番号情報と認証サーバ情報を構成要素とするテーブルを使うことも可能である。
【0038】
次に図8〜図14を使って認証スイッチ100内の各処理部の処理フローについて説明する。まず、図8を使って認証済/未認証判定部240の処理の流れについて説明する。認証済/未認証判定部240は、端末140から任意のパケットを受信(800)すると、受信パケットの送信元MACアドレスを元に認証済み端末登録リスト700を検索する。
【0039】
そして、本テーブルに該当MACアドレスが登録されていなかった場合、未認証のMACアドレスを判断して、受信パケットに受信ポート情報を付与して認証振り分け部200へ転送する(830)。本テーブルに該当MACアドレスが登録されていた場合、受信パケットの認証スイッチでの受信ポート番号と登録済MACアドレスのポート番号を比較する(840)。一致していた場合、受信パケットを認証済みの端末からのパケットと判定し、通常のパケット転送処理を行う(860)。一致しなかった場合、認証済みのMACアドレスを持つ端末が移動したと判断し、受信パケットに受信ポート情報と登録済MACのポート情報を付与して、ポート間移動判定部へ転送する(870)。
【0040】
次に、図14を使って、ポート間移動判定部250の処理の流れについて説明する。
ポート間移動判定部250は、認証済/未認証判定部240より、受信パケットと受信パケットの受信ポート情報と登録済MACのポート情報を受け取ると、受信ポート情報を元に認証サーバグループリストテーブル500を検索し、端末が移動した後のサーバグループ情報を取得する(1400)。そして、登録済MACの受信ポート情報を元に認証サーバグループリストテーブル500を検索し、端末が移動する前のサーバグループ情報を取得する(1410)。つぎに、移動前のサーバグループと移動後のサーバグループを比較し(1420)、一致しない場合は、該当端末の認証状態を解除する(1440)。一致した場合は、通常の転送処理を行う。
【0041】
このように、端末の移動前と移動後のサーバグループ情報を比較することで、異なる認証サーバが登録されているポート間を認証済み端末が移動するのを禁止することができ、認証セキュリティを確保することができる。
【0042】
従来のポート間移動判定部は、認証済み端末が、接続している認証スイッチ内のポートから別なポートに接続先を変更(移動)したときに、移動前のVALN-IDと移動後のVLAN-IDを比較して、違っていたら、認証を解除し、同一VLAN-IDの場合は、認証状態を継続(ローミング)させる機能をもっていた。
【0043】
ここで、複数ポートに同一のVLAN-IDを割り当て、トラフィックを均一化させるため、ポート単位にユーザを限定するネットワークについて説明する。本ネットワークを構築するには、本発明によるポート単位に認証サーバを設定する運用が必要である。
【0044】
次に、本ネットワークに対するポート間移動判定部の適用について説明する。従来のポート間移動判定部を用いると、認証済み端末が、ポート間を移動するときに移動した先のVLAN-IDが、移動前のVLAN-IDと同じ場合は、ローミングを許してしまう。このため、ポート別にトラフィックを制御することができない。これに対して、本発明によるポート間移動判定部では、端末の移動前と移動後の認証サーバの種別を比較するため、従来のポート間移動判定部のようなローミング判定をすることがない。つまり、端末の移動前と移動後のポートに設定された認証サーバの種別が違うと端末の移動後は、認証解除状態になり、トラフィックは分離できることになる。
【0045】
次に、図9を使って、認証処理振分け部200の処理の流れについて説明する。認証処理振分け部200は、認証済/未認証判定部240より、受信パケットと受信ポート情報を受け取ると、ポート単位認証方式リストテーブル300から、該当ポートの認証方式情報を取得(900)し、受信パケットの種別からどの認証方式を使ってネットワーク認証処理を行うかを判定する(910)。MAC認証と判定した場合は、MAC認証処理部へ受信パケットと受信ポート情報を転送する(940)。Web認証と判定した場合は、Web認証処理部へ受信パケットと受信ポート情報を転送する(950)。802.1X認証と判定した場合は、802.1X認証処理部へ受信パケットと受信ポート情報を転送する。
【0046】
次に、図11を使ってMAC認証処理部230の処理の流れを説明する。MAC認証処理部230は、認証処理振分け部200から、受信パケットと受信ポート情報を受け取ると、受信ポート情報から、ポート単位認証方式リストテーブル300、認証方式リストテーブル400、認証サーバグループリストテーブル500を使って、認証サーバグループ情報を取得する(1100)。そして、認証サーバグループ情報内の優先度の高い認証サーバから順に認証情報を問い合わせる(1100)。このようにして、認証ポート単位に認証サーバを選択し、ネットワーク認証が可能になる。
【0047】
次に、図12を使ってWeb認証処理部220の処理の流れを説明する。Web認証処理部220は、認証処理振分け部200から、受信パケットと受信ポート情報を受け取ると受信ポート情報から、ポート単位認証方式リストテーブル300、認証方式リストテーブル400、認証サーバグループリストテーブル500を使って、認証サーバグループ情報を取得する(1200)。そして、受信ポート情報を使ってポート単位Web認証画面データリストテーブル600からWeb認証画面データ情報を取り出し、端末へWeb認証画面を出力させる(1210)。そして、端末より、認証情報を受け取ると、
前に取得していた、当該認証サーバグループ情報内の優先度の高い認証サーバから順に認証情報を問い合わせる(1220)。このようにして、認証ポート単位にWeb認証画面を出力し、認証サーバを選択することによってネットワーク認証が可能になる。
【0048】
つぎに、図10を使って802.1X認証処理部210の処理の流れを説明する。802.1X認証処理部210は、認証処理振分け部200から、受信パケットと受信ポート情報を受け取ると受信ポート情報から、ポート単位認証方式リストテーブル300、認証方式リストテーブル400、認証サーバグループリストテーブル500を使って、認証サーバグループ情報を取得する(1000)。そして、該当する認証サーバ情報内の優先度の高い認証サーバから順に認証情報を問い合わせる(1010)。このようにして、認証ポート単位に認証サーバを選択し、ネットワーク認証が可能になる。
【0049】
次に、複数の認証方式を組み合わせた場合について説明する。ポート番号2番のポートに接続された端末140から任意のパケットを受信すると、認証済/未認証判定部は、受信パケットの送信元MACアドレスが認証済か未認証であるかを判定する。今回の説明では未認証とする。
【0050】
次に、未認証の送信元MACアドレスを認証する必要があるため、認証振り分け部200は、受け取った受信パケットと受信ポート情報を元に振り分ける認証処理部を判定し、受信パケットと受信ポート情報を該当する認証処理部へ渡す。具体的には、認証振り分け部200は、ポート単位認証方式リストテーブル300を参照し、ポート番号2番に対応する認証方式リスト名 List−2を入手する。
【0051】
次に、認証方式リストテーブル400を参照し、List−2に対応すする認証方式MAC,Webを入手する。次に、認証振り分け部200は入手した認証方式に対応するMAC認証処理部230、Web認証処理部220に対し受信パケットと受信ポート情報を渡す。MAC認証処理部230、Web認証処理部220では、ポート単位認証方式リストテーブル300、認証方式リストテーブル400、認証サーバグループリストテーブル500から該当する認証サーバ情報「サーバ3、サーバ4」を入手する。
【0052】
認証サーバ情報に複数のサーバが含まれる場合は優先度が定められており、優先度が2番目以降は予備の認証サーバである。本説明では番号の若いサーバほど優先度が高いとする。そうすると、MAC認証処理部230、Web認証処理部220は「サーバ3」に対し認証要求を出し、返事がない場合に「サーバ4」に対し認証要求を出す。これは1つの認証方式のみの場合も同様である。
【0053】
次に、ネットワーク認証として、Web認証を選択した場合のユーザIDによる認証サーバ選択方式の実施例について説明する。
図13を使ってWeb認証処理部220におけるユーザID単位で認証サーバを選択する処理の流れについて説明する。Web認証処理部220は、認証振り分け部200から、受信パケットを受け取ると、受信パケットからユーザID情報を取り出す。そして、ユーザID情報から、サーバグループ情報を取り出す(1300)。ユーザID情報に含まれるサーバグループ情報とは、例えば、「@」等の特殊文字で区切られた情報を示す。
【0054】
「ユーザA@サーバ1」というユーザID情報があったとすると、「ユーザA」がネットワーク認証を行うときの認証情報で、「@」で区切られた「サーバ1」が、サーバグループ情報となる。
【0055】
つぎに、サーバグループ情報を元に、認証サーバリストテーブル500を検索し、該当する認証サーバ情報を取り出す(1310)。
そして、該当する認証サーバ情報に登録されている優先度高い認証サーバから順に認証情報を問い合わせる(1320)。このようにして、ユーザID単位に認証サーバを選択し、ネットワーク認証が可能になる。
【0056】
ネットワーク認証システムに新たに検疫機能をもつ認証サーバを導入する場合、従来の認証サーバを残しつつ、検疫機能を持つ認証サーバを段階的に導入することが可能になる。また、従来の認証サーバのみを使った認証ネットワークに対し、部分的な検疫機能を持つ認証システムを導入することが可能になる。
【0057】
Web認証を使ったネットワーク認証システムにおいて、端末装置に出力する認証情報入力画面に接続先の部署等の付加的な情報を表示して運用している場合、本発明によると、1台の認証スイッチで複数の部署に対して、認証システムを構築することが可能になる。
【0058】
本発明を導入することにより、前述したように異なる認証サーバを持ち、ネットワーク認証システムを構築している企業や企業内の部署同士が、統合し、1つのネットワーク認証システムを構築する場合、認証サーバの認証データベースを統合することなしに統合したネットワーク認証システムを構築することができる。
【0059】
また、ネットワーク認証とWeb認証と連携した検疫システムを混在させる場合、ポート単位にWeb認証画面を変えることができるので、ネットワーク認証のみに使用するWeb認証画面と検疫と連動したWeb認証画面を変えて、ユーザの誤入力を防ぐことができる。
【0060】
また、組織統合等で、複数の認証サーバを使ってWeb認証システムを運用している場合、端末装置に表示するWeb認証画面に対し、認証サーバ毎の識別情報を画面に表示する運用が可能になるので、非認証者が、どの認証サーバ(組織)に所属しているのかが分かる。
【0061】
1台の認証スイッチを使って、複数の組織が入っている複数のフロアに認証システムを構築する場合、フロア間で認証サーバは、異なる。本発明では、異なる認証サーバが登録されているポート間を認証済み端末が移動するのを禁止することができるので、フロア間の認証セキュリティを確保することができる。
【0062】
また、プリンタ等、固定ポートで使用する機器に対して、1つの認証サーバを設定し、他のポートでは、ユーザ用の認証サーバを設定することによって、プリンタの接続するポートにPCを接続して、ユーザ認証させようとしても認証サーバが違うため、接続不可となる。これにより、認証セキュリティは向上する。
【符号の説明】
【0063】
100・・・認証スイッチ、110・・・認証サーバ、120・・・L3スイッチ、130・・・HUB、140・・・端末、200・・・認証処理振り分け部、210・・・802.1X認証処理部、220・・・Web認証処理部、230・・・MAC認証処理部、240・・・認証済み/未認証判定部、250・・・ポート間移動判定部、300・・・ポート単位認証方式リストテーブル、400・・・認証方式リストテーブル、500・・・認証サーバグループリストテーブル、600・・・ポート単位Web認証画面データリストテーブル、700・・・認証済み端末登録リスト
【特許請求の範囲】
【請求項1】
複数の接続ポートと、
前記接続ポートを介して接続された機器を認証する複数の認証処理部と、
前記接続ポートごとに認証する認証処理部を選択する認証処理振り分け部とを有し、
前記複数の接続ポートにはそれぞれ前記複数の認証処理部の何れかが対応付けられており、
前記認証処理振り分け部は、前記接続ポートの何れかと接続された前記機器からパケットの受信があると、当該パケット送信のあった機器が接続された前記接続ポートに対応付けられた認証処理部を選択し、前記パケット送信のあった機器の認証処理を行わせることを特徴とするパケット転送装置。
【請求項2】
請求項1記載のパケット転送装置であって、
前記複数の認証処理部は、それぞれ異なる認証サーバを用いて前記パケット送信のあった機器の認証を行うことを特徴とするパケット転送装置。
【請求項3】
請求項2記載のパケット転送装置であって、
前記接続ポートは1以上の認証方式と対応付けられており、
前記認証処理振り分け部は、前記パケットを受信した前記接続ポートと対応付けられた認証方式で認証を行う前記認証処理部を選択することを特徴とするパケット転送装置。
【請求項4】
請求項3記載のパケット転送装置であって、
前記認証方式は1以上の前記認証サーバと対応付けられており、
前記認証処理部は、前記認証処理振り分け部から前記受信したパケットと前記パケットを受信した前記接続ポート情報を受け取ると、前記受け取った前記接続ポート情報に対応する前記認証方式の認証を行う前記認証サーバへ認証要求を送信することを特徴とするパケット転送装置。
【請求項5】
請求項4記載のパケット転送装置であって、
前記認証方式に2以上の前記認証サーバが対応付けられていた場合、
前記認証処理部は、優先順位の高い前記認証サーバに対して前記認証要求を送信することを特徴とするパケット転送装置。
【請求項6】
請求項5記載のパケット転送装置であって、
前記複数の認証処理部は、ウェブ認証、MAC認証、802.1X認証の何れかを行うことを特徴とするパケット転送装置。
【請求項7】
請求項2記載のパケット転送装置であって、
認証済みの前記機器が接続された前記接続ポートと異なる前記接続ポートに移動したとき、移動の前後の前記接続ポートで対応する前記認証サーバが異なる場合は当該移動した機器の認証済みの状態を解除し、再度認証を行うことを特徴とするパケット転送装置。
【請求項8】
パケット転送装置と複数の認証サーバからなるネットワーク認証システムであって、
前記パケット転送装置は、複数の接続ポートを有し、当該接続ポートのいずれかに接続された機器からパケットを受信すると、当該パケットを受信した接続ポートに対応する前記認証サーバに認証要求を送信し、
前記認証サーバは、前記認証要求を受信すると、前記パケットを送信した機器の認証を行い、認証結果を前記パケット転送装置に返信することを特徴とするネットワーク認証システム。
【請求項9】
請求項8記載のネットワーク認証システムであって、
前記複数の認証サーバは、それぞれ異なる認証方式を用いて前記パケット送信のあった機器の認証を行うことを特徴とするネットワーク認証システム。
【請求項10】
請求項9記載のネットワーク認証システムであって、
前記接続ポートは1以上の認証方式と対応付けられており、
前記パケット転送装置は、前記パケットを受信した前記接続ポートと対応付けられた認証方式で認証を行う前記認証サーバに前記認証要求を送信することを特徴とするネットワーク認証システム。
【請求項11】
請求項10記載のネットワーク認証システムであって、
前記認証方式に2以上の前記認証サーバが対応付けられていた場合、
前記認証処理部は、優先順位の高い前記認証サーバに対して前記認証要求を送信することを特徴とするネットワーク認証システム。
【請求項12】
請求項11記載のネットワーク認証システムであって、
前記複数の認証処理部は、ウェブ認証、MAC認証、802.1X認証の何れかを行うことを特徴とするネットワーク認証システム。
【請求項13】
請求項9記載のネットワーク認証システムであって、
前記パケット転送装置は、認証済みの前記機器が接続された前記接続ポートと異なる前記接続ポートに移動したとき、移動の前後の前記接続ポートで対応する前記認証サーバが異なる場合は当該移動した機器の認証済みの状態を解除し、再度移動先の接続ポートに対応する前記認証サーバに前記認証要求を送信することを特徴とするネットワーク認証システム。
【請求項1】
複数の接続ポートと、
前記接続ポートを介して接続された機器を認証する複数の認証処理部と、
前記接続ポートごとに認証する認証処理部を選択する認証処理振り分け部とを有し、
前記複数の接続ポートにはそれぞれ前記複数の認証処理部の何れかが対応付けられており、
前記認証処理振り分け部は、前記接続ポートの何れかと接続された前記機器からパケットの受信があると、当該パケット送信のあった機器が接続された前記接続ポートに対応付けられた認証処理部を選択し、前記パケット送信のあった機器の認証処理を行わせることを特徴とするパケット転送装置。
【請求項2】
請求項1記載のパケット転送装置であって、
前記複数の認証処理部は、それぞれ異なる認証サーバを用いて前記パケット送信のあった機器の認証を行うことを特徴とするパケット転送装置。
【請求項3】
請求項2記載のパケット転送装置であって、
前記接続ポートは1以上の認証方式と対応付けられており、
前記認証処理振り分け部は、前記パケットを受信した前記接続ポートと対応付けられた認証方式で認証を行う前記認証処理部を選択することを特徴とするパケット転送装置。
【請求項4】
請求項3記載のパケット転送装置であって、
前記認証方式は1以上の前記認証サーバと対応付けられており、
前記認証処理部は、前記認証処理振り分け部から前記受信したパケットと前記パケットを受信した前記接続ポート情報を受け取ると、前記受け取った前記接続ポート情報に対応する前記認証方式の認証を行う前記認証サーバへ認証要求を送信することを特徴とするパケット転送装置。
【請求項5】
請求項4記載のパケット転送装置であって、
前記認証方式に2以上の前記認証サーバが対応付けられていた場合、
前記認証処理部は、優先順位の高い前記認証サーバに対して前記認証要求を送信することを特徴とするパケット転送装置。
【請求項6】
請求項5記載のパケット転送装置であって、
前記複数の認証処理部は、ウェブ認証、MAC認証、802.1X認証の何れかを行うことを特徴とするパケット転送装置。
【請求項7】
請求項2記載のパケット転送装置であって、
認証済みの前記機器が接続された前記接続ポートと異なる前記接続ポートに移動したとき、移動の前後の前記接続ポートで対応する前記認証サーバが異なる場合は当該移動した機器の認証済みの状態を解除し、再度認証を行うことを特徴とするパケット転送装置。
【請求項8】
パケット転送装置と複数の認証サーバからなるネットワーク認証システムであって、
前記パケット転送装置は、複数の接続ポートを有し、当該接続ポートのいずれかに接続された機器からパケットを受信すると、当該パケットを受信した接続ポートに対応する前記認証サーバに認証要求を送信し、
前記認証サーバは、前記認証要求を受信すると、前記パケットを送信した機器の認証を行い、認証結果を前記パケット転送装置に返信することを特徴とするネットワーク認証システム。
【請求項9】
請求項8記載のネットワーク認証システムであって、
前記複数の認証サーバは、それぞれ異なる認証方式を用いて前記パケット送信のあった機器の認証を行うことを特徴とするネットワーク認証システム。
【請求項10】
請求項9記載のネットワーク認証システムであって、
前記接続ポートは1以上の認証方式と対応付けられており、
前記パケット転送装置は、前記パケットを受信した前記接続ポートと対応付けられた認証方式で認証を行う前記認証サーバに前記認証要求を送信することを特徴とするネットワーク認証システム。
【請求項11】
請求項10記載のネットワーク認証システムであって、
前記認証方式に2以上の前記認証サーバが対応付けられていた場合、
前記認証処理部は、優先順位の高い前記認証サーバに対して前記認証要求を送信することを特徴とするネットワーク認証システム。
【請求項12】
請求項11記載のネットワーク認証システムであって、
前記複数の認証処理部は、ウェブ認証、MAC認証、802.1X認証の何れかを行うことを特徴とするネットワーク認証システム。
【請求項13】
請求項9記載のネットワーク認証システムであって、
前記パケット転送装置は、認証済みの前記機器が接続された前記接続ポートと異なる前記接続ポートに移動したとき、移動の前後の前記接続ポートで対応する前記認証サーバが異なる場合は当該移動した機器の認証済みの状態を解除し、再度移動先の接続ポートに対応する前記認証サーバに前記認証要求を送信することを特徴とするネットワーク認証システム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【公開番号】特開2011−107796(P2011−107796A)
【公開日】平成23年6月2日(2011.6.2)
【国際特許分類】
【出願番号】特願2009−259428(P2009−259428)
【出願日】平成21年11月13日(2009.11.13)
【出願人】(504411166)アラクサラネットワークス株式会社 (315)
【Fターム(参考)】
【公開日】平成23年6月2日(2011.6.2)
【国際特許分類】
【出願日】平成21年11月13日(2009.11.13)
【出願人】(504411166)アラクサラネットワークス株式会社 (315)
【Fターム(参考)】
[ Back to top ]