認証サーバ
【課題】認証サーバにてユーザの状態をトレースする。
【解決手段】RADIUSサーバ(認証サーバ)31内に、ユーザトレース機能を有するトレース情報管理部36を設け、ユーザ毎にユーザ端末のIPアドレスとMACアドレス、ユーザ端末が繋がっているパケット中継装置のIPアドレスとポート番号、ログイン時間、ログアウト時間をトレース情報管理DB60に格納する。これらの情報は、認証サーバ31が認証とアカウンティングのためにユーザ属性管理DB50に保持しているユーザ毎の属性、及びパケット中継装置のARPテーブルと認証ログから取得する。これらの情報を照合することによって、各ユーザが任意の時刻にどこに存在し、どの端末でアクセスしているかをトレースすることができる。
【解決手段】RADIUSサーバ(認証サーバ)31内に、ユーザトレース機能を有するトレース情報管理部36を設け、ユーザ毎にユーザ端末のIPアドレスとMACアドレス、ユーザ端末が繋がっているパケット中継装置のIPアドレスとポート番号、ログイン時間、ログアウト時間をトレース情報管理DB60に格納する。これらの情報は、認証サーバ31が認証とアカウンティングのためにユーザ属性管理DB50に保持しているユーザ毎の属性、及びパケット中継装置のARPテーブルと認証ログから取得する。これらの情報を照合することによって、各ユーザが任意の時刻にどこに存在し、どの端末でアクセスしているかをトレースすることができる。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、認証サーバに係り、特に、管理しているユーザ端末(サプリカント)の属性をもとにユーザの位置をトレースする認証サーバに関する。
【背景技術】
【0002】
ユーザ端末がLAN(Local Area Network)へ接続する際に、IEEE 802.1X認証(以下、802.1X認証)を用いてユーザを認証し、ネットワーク利用の可否を制御する形式が広く利用されている。
802.1X認証を使ったユーザ認証方式は、サプリカントを呼ばれる認証クライアントソフトウェアを搭載したユーザ端末、NAS(Network Access Server)として機能するパケット中継装置、そして認証サーバで構成される。認証サーバには、RADIUS(Remote Authentication Dial In User Service)サーバとTACACS(Terminal Access Controller Access Control System)サーバとが一般に利用されているが、以降、記述の簡略化のためRADIUSサーバの場合のみを記す。
【0003】
ユーザのLAN利用の可否を認証する手続きは、ユーザ端末が、パケット中継装置に対してEAP(Extended Authentication Protocol)開始パケットを発行することで始まる。EAP開始パケットを受信したパケット中継装置は、EAPリクエストパケットをユーザ端末に対して送信し、それに対してユーザ端末はEAPレスポンスパケットを返信する。EAPレスポンスパケットを受信したパケット中継装置は、EAPレスポンスパケットをRADIUSリクエストパケットへ載せ、RADIUSサーバへ送信する。RADIUSサーバがRADIUSリクエストパケットを受信すると、ユーザ端末とRADIUSサーバとの間で認証処理がスタートする。認証処理の方式は複数方式が存在し、IDとパスワードで認証するEAP−MD5(Message Digest 5)や、電子証明書を用いて認証するEAP−TLS(Transport Layer Security)などがある。
【0004】
認証が成立すると、RADIUSサーバは、認証結果をEAP成功パケットに記し、更にそれをRADIUSアクセプトパケットへ載せ、パケット中継装置へ送信する。一方、認証に失敗すると、RADIUSサーバは、認証結果をEAP失敗パケットに記し、更にそれをRADIUSリジェクトパケットへ載せ、パケット中継装置へ送信する。パケット中継装置は、RADIUSアクセプトパケットを受信すると、ユーザ端末が接続するポートからの社内LANアクセスを許可する。また、受信したRADIUSアクセプトパケットからRADIUSヘッダを取り除き、EAP成功パケットのみをユーザ端末へ転送し、ユーザ端末に認証成功の旨を通知する。これによりユーザ端末は、社内LANへのアクセス要求が認可されたことを認識する。一方、パケット中継装置がRADIUSリジェクトパケットを受信すると、ユーザ端末が接続するポートからの社内LANアクセスを不許可とする。また、受信したRADIUSリジェクトパケットからRADIUSヘッダを取り除き、EAP失敗パケットのみをユーザ端末へ転送し、ユーザ端末に認証失敗の旨を通知する。これによりユーザ端末は、社内LANへのアクセス要求が拒絶されたことを認識する。
【0005】
このときRADIUSサーバでは、認証とアカウンティングのため、各ユーザのユーザ名やパスワード、ユーザ端末が繋がるパケット中継装置のポート番号などをユーザ属性と言う形式で一元管理している。これらの情報は、RADIUSサーバがパケット中継装置からRADIUSリクエストパケットを受信する際に取得可能である。
ユーザ名やユーザ端末のMACアドレスやIPアドレスを組み合わせて管理する方式について述べた公知文献としては、例えば特許文献1及び特許文献2がある。
【先行技術文献】
【特許文献】
【0006】
【特許文献1】特開2004−242142号公報
【特許文献2】特開2003−348114号公報
【発明の概要】
【発明が解決しようとする課題】
【0007】
認証サーバを利用してユーザを認証するのは、成りすましをした不正ユーザや不正端末からのネットワーク利用を排除するためである。しかしながら、現在認証サーバで管理しているユーザ属性は、ログイン時の認証とアカウンティングのためにしか利用されて来なかった。ユーザが任意の時刻にどこに存在し、どの端末を利用してネットワークにアクセスしているのか、といった情報を継続的に確認する機能はなかった。また、ユーザ端末がどのIPアドレスを割り当てられているのかも時系列に管理されていなかった。そのため、仮にある特定の時刻に、あるIPアドレスを送信元アドレスとしたユーザ端末が不正アクセスをしていて、それ認識したとしても、そのユーザを特定することはできなかった。
【0008】
本発明は、以上の点に鑑み、認証サーバがユーザ端末の持つIPアドレスと、ユーザのログアウト時間情報等を取得し、ユーザ毎に、ユーザ端末のIPアドレスとMACアドレス、ユーザ端末が繋がっているパケット中継装置のIPアドレスとポート番号、ログイン時間情報、ログアウト時間情報のログを取ることを目的とする。そして、本発明は、これらのログ情報(以下、トレース情報管理DB又はトレース情報と呼ぶ)を、ユーザ毎にログイン時間、ログアウト時間に従ってソートすることにより、ユーザ端末が最初にどのパケット中継装置を介してログインし、その後ログアウトしてどのパケット中継装置を介して再びログインしたなどのユーザの行動をトレースすることを目的のひとつとする。また、本発明は、このトレース情報管理DBを使うことによって、例えば、ユーザIDが同一にも関わらずMACアドレスが頻繁に異なっているユーザがいた場合、不正端末によるアクセスや、成りすましを警告することを目的のひとつとする。他にも、本発明は、任意の時刻に、ある特定のIPアドレスを利用したユーザが不正にネットワークを利用していることを検知した場合、時刻とIPアドレスからそのユーザを特定することを目的のひとつとする。
【課題を解決するための手段】
【0009】
上記課題を解決するため、認証サーバ内にトレース情報管理部を設け、トレース情報管理部内にはARP(Address Resolution Protocol)テーブル取得部、認証ログ取得部を設ける。ARPテーブル取得部は、パケット中継装置内にあるARPテーブルを取得し、格納する。そして、トレース情報管理部からの要求に従い、MACアドレス情報を基に、IPアドレス情報を提供する。認証ログ取得部は、パケット中継装置内にある認証ログ情報を取得し、認証ログDBに格納する。そして、トレース情報管理部からの要求に従い、ユーザID情報を基にログアウト時間情報を提供する。
【0010】
トレース情報管理部によるトレース情報管理DBを生成する処理について説明する。まず、トレース情報管理部は、認証サーバの既存認証ログ情報(ユーザ属性)から、認証したユーザのID情報、認証したユーザが使っている端末のMACアドレス、端末が繋がっているパケット中継装置のIPアドレスとポート番号、ログイン時間情報を取り出す。
次に、ARPテーブル管理部を通して、既ユーザID情報に対応したMACアドレス(該ユーザが使用している端末のMACアドレス)を基に該当するIPアドレスを検索し、取得する。
【0011】
次に、認証ログ取得部を通して、既ユーザID情報に対応した認証ログアウト時間情報を取得する。
次に、それらの情報をユーザ単位にトレース情報管理DBに格納する。つまり、トレース情報管理DBには、ユーザ毎に、そのユーザが使用している端末のIPアドレスとMACアドレス、端末が繋がっているパケット中継装置のIPアドレスとポート番号、ログイン時間、ログアウト時間情報が記録されているため、各ユーザが任意の時刻にどこに存在し、どの端末でアクセスしているかをトレースすることができる。
【0012】
認証サーバは、例えば、パケット処理部と回線インタフェースとで構成される認証サーバであって、
パケット処理部は、ユーザ属性制御部とトレース情報管理部とを有し、
ユーザ属性制御部はユーザ属性管理DB、トレース情報管理部はトレース情報管理DBを有することを特徴とし、
トレース情報管理部にて、ユーザ毎にユーザ端末のIPアドレス、MACアドレス、ユーザ端末が接続しているパケット中継装置のIPアドレス、ポート番号、ユーザのログイン時間、ログアウト時間を記録する。
【0013】
また、上述のRADIUSサーバは、例えば、
トレース情報管理部内にMAC−IPテーブル取得部とMAC−IPテーブル、認証ログ取得部と認証ログを有することを特徴とし、
DHCPサーバからMAC−IPテーブルを取得すると、ユーザ属性管理DBにて保持しているログイン済みユーザ端末のMACアドレスを検索キーとしてMAC−IPテーブルを検索し、検索することによって該当ユーザ端末に対応するIPアドレスを取得し、トレース情報管理DBへそのIPアドレスを追加登録することを特徴とし、
パケット中継装置から認証ログを定期的に取得すると、ユーザ属性管理DBにて保持しているログイン済みユーザのユーザ名、及びユーザ端末のMACアドレスを検索キーとして認証ログを検索し、検索することによって該当ユーザのログアウト情報を取得し、トレース情報管理DBへその時刻を追加登録する。
【0014】
本発明の第1の解決手段によると、
接続されるユーザ端末のMACアドレスと該ユーザ端末のIPアドレスが対応して記憶されたアドレス解決テーブルを有し、前記ユーザ端末との認証又は通信についてのログを管理するひとつ又は複数のパケット中継装置と、該パケット中継装置を介して前記ユーザ端末と通信してユーザ認証を行う認証サーバとを備えたシステムにおける前記認証サーバであって、
ユーザ識別子に対応して、前記ユーザ端末のMACアドレスと、前記ユーザ端末のIPアドレスと、前記パケット中継装置のIPアドレスと、前記ユーザ端末が繋がる前記パケット中継装置のポートのポート識別子と、前記ユーザ端末のログイン時刻又はログアウト時刻とが記憶されるトレース情報記憶部と、
前記ユーザ端末とのユーザ認証において受信される情報から、少なくともユーザ識別子と、前記ユーザ端末のMACアドレスと、前記パケット中継装置のIPアドレスと、前記ユーザ端末が接続される前記パケット中継装置のポートのポート識別子とを取得し、取得した各情報を対応して前記トレース情報記憶部に記憶する認証制御部と、
前記ユーザ端末が接続された前記パケット中継装置の前記アドレス解決テーブルを参照して、前記認証制御部で取得された前記ユーザ端末のMACアドレスに基づき、対応する前記ユーザ端末のIPアドレスを取得し、取得した前記ユーザ端末のIPアドレスをユーザ識別子に対応して前記トレース情報記憶部に記憶するアドレス解決部と、
前記パケット中継装置での前記ログを参照して前記ユーザ端末のログアウト時刻を求め、求められたログアウト時刻をユーザ識別子に対応して前記トレース情報記憶部に記憶するログ管理部と
を備えた前記認証サーバが提供される。
【0015】
本発明の第2の解決手段によると、
ユーザ端末のMACアドレスと該ユーザ端末のIPアドレスが対応して記憶されたアドレス対応テーブルを有するアドレス管理装置と、前記ユーザ端末との認証又は通信についてのログを管理するひとつ又は複数のパケット中継装置と、該パケット中継装置を介して前記ユーザ端末と通信してユーザ認証を行う認証サーバとを備えたシステムにおける前記認証サーバであって、
ユーザ識別子に対応して、前記ユーザ端末のMACアドレスと、前記ユーザ端末のIPアドレスと、前記パケット中継装置のIPアドレスと、前記ユーザ端末が繋がる前記パケット中継装置のポートのポート識別子と、前記ユーザ端末のログイン時刻又はログアウト時刻とが記憶されるトレース情報記憶部と、
前記ユーザ端末とのユーザ認証において受信される情報から、少なくともユーザ識別子と、前記ユーザ端末のMACアドレスと、前記パケット中継装置のIPアドレスと、前記ユーザ端末が接続される前記パケット中継装置のポートのポート識別子とを取得し、取得した各情報を対応して前記トレース情報記憶部に記憶する認証制御部と、
前記アドレス管理装置の前記アドレス対応テーブルを参照して、前記認証制御部で取得された前記ユーザ端末のMACアドレスに基づき、対応する前記ユーザ端末のIPアドレスを取得し、取得した前記ユーザ端末のIPアドレスをユーザ識別子に対応して前記トレース情報記憶部に記憶するアドレス解決部と、
前記パケット中継装置での前記ログを参照して前記ユーザ端末のログアウト時刻を求め、求められたログアウト時刻をユーザ識別子に対応して前記トレース情報記憶部に記憶するログ管理部と
を備えた前記認証サーバが提供される。
【発明の効果】
【0016】
従来、認証サーバが持つ認証ログ情報には、ユーザID情報、ユーザが使用する端末のMACアドレス、端末が繋がっているパケット中継装置のIPアドレスとポート番号、ログイン時間情報はあるが、ユーザ端末が持つIPアドレスやユーザのログアウト時間情報は無かった。
【0017】
これに対し、本発明は、認証サーバにトレース情報管理部を設け、ARPテーブル取得部、認証ログ取得部を制御し、認証サーバがユーザ端末の持つIPアドレスと、ユーザのログアウト時間情報を取得することができ、ユーザ毎に、ユーザ端末のIPアドレスとMACアドレス、ユーザ端末が繋がっているパケット中継装置のIPアドレスとポート番号、ログイン時間情報、ログアウト時間情報のログを取ることが可能になる。そして、本発明によると、これらのログ情報を、ユーザ毎にログイン、ログアウト時間に従ってソートすることにより、ユーザ端末が最初にどのパケット中継装置を介してログインし、その後ログアウトしてどのパケット中継装置を介して再びログインしたかが分かるので、ユーザの行動をトレースすることが可能になる。また、本発明によると、このトレース情報管理DBを使うことによって、例えば、ユーザIDが同一にも関わらずMACアドレスが頻繁に異なっているユーザがいた場合、不正端末によるアクセスや、成りすましを警告することができる。他にも、本発明によると、任意の時刻に、ある特定のIPアドレスを利用したユーザが不正にネットワークを利用していることを検知した場合、時刻とIPアドレスからそのユーザを特定することができる。
【図面の簡単な説明】
【0018】
【図1】第1の実施の形態におけるユーザ端末とパケット中継装置とRADIUSサーバが設置されるネットワーク構成を示す図である。
【図2】第1の実施の形態におけるRADIUSサーバの構成を示す図である。
【図3】第1の実施の形態におけるRADIUSサーバにて保持されるユーザ属性の説明図である。
【図4】第1の実施の形態におけるRADIUSサーバにて保持されるユーザ毎のトレース情報を記憶したトレース情報管理データベースの説明図である。
【図5】第1の実施の形態におけるトレース情報を作成するシーケンスを示す図である。
【図6】第2の実施の形態におけるRADIUSサーバの構成を示す図である。
【図7】第2の実施の形態におけるトレース情報を作成するシーケンスを示す図である。
【発明を実施するための形態】
【0019】
1.第1の実施の形態
図1〜図5を参照して認証サーバをRADIUSサーバとしたときの実施の形態について説明する。
図1に、本実施の形態におけるネットワーク構成図を示す。
本ネットワークシステムは、例えば、複数のパケット中継装置a21、b22と、RADIUSサーバ(認証サーバ)31と、DHCP(Dynamic Host Configuration Protocol)サーバ(アドレス配布サーバ)44を備える。また、パケット中継装置a21は、複数のユーザ端末a11、b13と接続され、パケット中継装置a21と、当該ユーザ端末a11、b13は、例えば社内の部署に対応するサブネットワーク(以下、便宜上部署と呼ぶ。)41を構成する。パケット中継装置b22も同様に、ユーザ端末a12、c14と接続され、サブネットワーク42を構成する。なお、ユーザ端末a11、a12は、同じ端末が移動したことを示している。
【0020】
本ネットワークシステムは、部署が複数存在し、社内LAN43を介して各部署が相互に繋がっている。RADIUSサーバ31は、複数の部署のユーザ属性を一元管理しており、例えば社内LAN43とは別のネットワークに置かれている。各部署内にはパケット中継装置a21、b22がそれぞれ置かれ、ユーザ端末(サプリカント)a11、a12、b13、c14が社内LAN43へ接続する際は、初めにパケット中継装置a21、b22を介してRADIUSサーバ31へアクセスし、社内LAN43へのアクセス許可を求める必要がある。DHCPサーバ44は、認証されたユーザ端末a11、a12、b13、c14にIPアドレスを割当てる。
なお、認証サーバは、RADIUSサーバ31に限らず適宜の認証サーバを用いてもよい。また、各ユーザ端末a11、a12、b13、c14は、直接パケット中継装置a21、b22に接続される以外にもスイッチなどを介して接続されてもよい。
【0021】
パケット中継装置a21は、接続されるユーザ端末a11、a12のMACアドレスと、当該ユーザ端末a11、a12のIPアドレスがそれぞれ対応して記憶されたARPテーブル(アドレス解決テーブル)を有し、ユーザ端末a11、a12との認証又は通信についてのログを管理する。パケット中継装置b22も同様である。RADIUSサーバ31は、パケット中継装置a21、b22を介してユーザ端末a11、a12、b13、c14と通信してユーザ認証を行う。
【0022】
図2は、第1の実施の形態におけるRADIUSサーバの構成を示す図である。
RADIUSサーバ31は、例えば、パケット処理部33と、回線インタフェース32を備える。パケット処理部33は、パケット送受信部34と、RADIUS制御部(認証制御部)35と、トレース情報管理部36を有する。RADIUS制御部35は、ユーザ属性管理データベース(以下、DB)50を有する。トレース情報管理部36は、ARPテーブル取得部(アドレス解決部)45と、認証ログ取得部(ログ管理部)46と、トレース情報管理DB(トレース情報記憶部)60を有する。ARPテーブル取得部45は、ARPテーブル37を有し、認証ログ取得部46は、認証ログDB38を有する。なお、各データベース、テーブルは、適宜の記憶装置にまとめられていてもよい。
【0023】
回線インタフェース32は、例えば、パケット中継装置a21、b22等の外部の機器と通信するためのインタフェースである。パケット処理部33は、パケットの送受信等を制御する。パケット送受信部34は、例えば、受信したパケットをRADIUS制御部35、トレース情報管理部36に転送し、また、RADIUS制御部35等からのパケットを回線インタフェース32へ転送する。RADIUS制御部35は、認証、アカウンティングに必要となるユーザ属性を管理する。
【0024】
トレース情報管理部36は、RADIUS制御部35内のユーザ属性管理DB50からユーザ名、ユーザ端末のMACアドレス、ユーザ端末が接続しているパケット中継装置のIPアドレスとポート番号を取得し、そしてRADIUS制御部35からログイン時間情報を取得し、ARPテーブル37からユーザ端末のIPアドレスを取得し、認証ログDB38からログアウト時間を取得すると、それらの情報をトレース情報管理DB60に格納する。ARPテーブル取得部45は、パケット中継装置a21、b22よりARPテーブルを取得し、ユーザ端末a11、a12、b13、c14のMACアドレスに基づいて対応するIPアドレスを検索する。認証ログ取得部46は、パケット中継装置a21、b22より認証ログを取得し、ユーザ名等に基づいて対応するユーザのログアウト時間を検索する。認証ログDB38は、例えば、ユーザ識別子(例えば、ユーザ名等)と、ユーザ端末のMACアドレスと、発生したログ内容と、ログが発生した時刻を記憶する。なお、発生するログ内容としては、例えば、ユーザのログイン、ログアウト等がある。
なお、RADIUSサーバ31は、トレース情報を表示する管理画面である出力部又は外部の装置に表示するためにトレース情報を出力する出力部70をさらに備えてもよい。
【0025】
図3は、第1の実施の形態におけるRADIUSサーバにて保持されるユーザ属性の説明図である。
ユーザ属性は、例えば、ユーザ毎に、ユーザ名(User−Name)と、ユーザ端末が接続するパケット中継装置のIPアドレス(NAS−IP−Address)と、ユーザ端末が接続するパケット中継装置のポート番号(NAS−Port)と、ユーザ端末のMACアドレス(Calling−Station−Id)を含む。これらのユーザ属性は、RADIUSリクエストパケット受信時にトレース情報管理部36により取得され、トレース情報管理DB60に記憶される。一方、ユーザ属性管理DB50には、上述のユーザ属性と、RADIUSで規定(例えば、RFC2865参照。)されている他の属性(例えば、ユーザパスワード(User−Password)等)が記憶される。
【0026】
図4は、第1の実施の形態におけるRADIUSサーバにて保持されるユーザ毎のトレース情報を記憶したトレース情報管理データベースの説明図である。
トレース情報管理DB60は、例えば、ひとつのユーザID61に対応して、ユーザ端末のMACアドレス62と、ユーザ端末のIPアドレス63と、ユーザ端末が接続するパケット中継装置のIPアドレス64と、ユーザ端末が接続するパケット中継装置のポート番号65と、ユーザのログイン時間66と、ユーザのログアウト時間67との組み合わせ68をひとつ又は複数記憶する。
【0027】
トレース情報管理DB60に格納した情報は、例えば、RADIUSサーバ31の管理画面、及びリモート端末から参照可能であり、管理者がこれらのデータを参照する場合、各情報は時系列に表示されることができる。これによって管理者は、ユーザが使用している端末のMACアドレスとIPアドレス、ユーザ端末が接続しているパケット中継装置のIPアドレスとポート番号を把握することができ、RADIUSサーバ31におけるユーザトレースが可能となる。
【0028】
図5は、第1の実施の形態におけるトレース情報を作成するシーケンスを示す図である。
ユーザ端末a11が社内LAN43へ接続するときのシーケンスを、ユーザ端末a11が初め部署A41にいたと仮定し、詳述する。
ユーザ端末a11がパケット中継装置a21に接続すると(手順S11)、パケット中継装置a21はEAPリクエストパケットをユーザ端末a11へ送信し(手順S12)、それに対してユーザ端末a11はEAPレスポンスパケットを返信する(手順S13)。EAPレスポンスパケットには、例えば、ユーザ名、ユーザ端末a11のMACアドレスなどの認証に必要な情報が記載されており、EAPレスポンスパケットを受信したパケット中継装置a21は、そのパケットにRADIUSヘッダを付与し、さらにパケット中継装置a21のIPアドレス、パケット中継装置a21のポート番号等の属性を付与して、RADIUSリクエストパケットとして、RADIUSサーバ31へ送信する(手順S14)。このとき、ユーザ端末a11が接続するパケット中継装置a21のポート01は、RADIUSパケットのみを通す設定となっている。
【0029】
パケット中継装置a21より発信されたRADIUSリクエストパケットを受信するRADIUSサーバ31は、本実施の形態においては図2に示す構成となっている。RADIUSリクエストパケットは、RADIUSサーバ31の回線インタフェース32にて受信される。その後RADIUSリクエストパケットはパケット処理部33内のパケット送受信部34を経由して、RADIUS制御部35へ到達する。RADIUS制御部35は、ユーザ属性管理DB50を保持し、認証、アカウンティングに必要となるユーザ属性51(図3参照)を管理している。RADIUS制御部35は、それらの属性を取得すると、認証シーケンスを走らせる(手順S15)。認証処理の方式は複数存在し、IDとパスワードで認証するEAP−MD5や、電子証明書を用いて認証するEAP−TLSなどがある。
【0030】
認証が成立すると、RADIUSサーバ31は、認証結果を記したEAPサクセスパケットを作成する。次に、そのパケットにRADIUSヘッダを付加してRADIUSアクセプトパケットとし、パケット中継装置a21へ送信する(手順S16)。RADIUSアクセプトパケットを受信したパケット中継装置a21は、ここでユーザ端末a11が接続するポート01を社内LAN43へアクセス可能なポートとして設定する(手順S17)。また、受信したRADIUSアクセプトパケットからRADIUSヘッダを取り除き、取り出したEAPサクセスパケットをユーザ端末a11へ転送する(手順S18)。EAPサクセスパケットを受信すると、ユーザ端末a11は自端末が認証に成功したことを認識する。
【0031】
認証に成功したユーザ端末a11は、以後RADIUSサーバ31以外へアクセスすることが可能となる。その状態に至ると、ユーザ端末a11は、まず初めにDHCPサーバ44へDHCPディスカバーを送信し、ユーザ端末a11が送信元アドレスとして利用すべきIPアドレスを要求する(手順S19)。DHCPサーバ44から送信元IPアドレスが割り当てられると(手順S20)、ユーザ端末a11は以降そのIPアドレスを送信元IPアドレスとして、社内LAN43へアクセス可能となる(手順S21)。なお、割り当てられたIPアドレスは、ユーザ端末a11のMACアドレスに対応して、パケット中継装置a21のARPテーブルに記憶される。
【0032】
このときRADIUSサーバ31内のトレース情報管理部36では、図4に示すトレース情報管理DB60を保持し、次の3段階の処理を施すことによって、ユーザトレースに必要な情報を格納していく。なお、このユーザトレースに必要な情報を格納していく処理は、3段階に限らず適宜の段階に分けてもよいし、まとめてもよい。
【0033】
まずは、ユーザログイン時のユーザ属性登録処理である。RADIUS制御部35がRADIUSリクエストパケットを受信すると、RADIUSリクエストパケットによって得られる属性のうち、図3に示すところの、User−Name(ユーザ名)、NAS−IP−Address(ユーザ端末が繋がるパケット中継装置のIPアドレス)、NAS−Port(ユーザ端末が繋がるパケット中継装置のポート番号)、Calling−Station−Id(ユーザ端末のMACアドレス)を、トレース情報管理部36へ通知する(手順S22)。また、このとき、例えば、RADIUSアクセプトパケットを発行した時間を、ユーザのログインした時間として、トレース情報管理部36に通知する。なお、RADIUSアクセプトパケットを発行した時間以外にも、適宜のログイン時間を定めてもよい。本実施の形態の場合、各属性それぞれの値及びログインした時間は、「ユーザ名:ユーザa」、「IPアドレス:10.10.10.1」、「ポート番号:01」、「MACアドレス:00:11:22:33:44:55」、及び「ログイン時間:08/04/01 09:00」であり、これらの情報をユーザID61に対応して図4のトレース情報管理DB60に登録する(段階P1)。
【0034】
次に、ユーザ端末a11のIPアドレスをトレース情報管理DB60へ登録する処理が続く。トレース情報管理部36は、ARPテーブル取得部45を保持しており、段階P1が終了すると、ARPテーブル取得部45に対してユーザ端末a11のIPアドレスを取得するよう要求する。この要求の際、トレース情報管理DB60に登録されているユーザ端末a11の「MACアドレス62:00:11:22:33:44:55」をARPテーブル取得部45へ通知する。トレース情報管理部36から要求を受け取ったARPテーブル取得部45は、例えばSNMP(Simple Network Management Protocol)或いはNETCONF(NETwork CONFiguration)を用いて、ユーザ端末a11が接続されたパケット中継装置a21が保持するARPテーブルの取得要求を発行する(手順S23)。なお、ユーザ端末a11が接続するパケット中継装置a21は、トレース情報管理DB60に基づきユーザ端末のMACアドレス62に対応するパケット中継装置のIPアドレス64より特定できる。ARPテーブル取得部45は、パケット中継装置a21からARPテーブルを取得する(手順S24)と、取得した情報をARPテーブル37に格納する。
【0035】
続いてARPテーブル取得部45は、トレース情報管理部36から受け取ったユーザ端末a11の「MACアドレス62:00:11:22:33:44:55」を検索キーとしてARPテーブル37を検索し、ユーザ端末a11のIPアドレスを取得する。本実施の形態の場合、「IPアドレス:10.10.10.2」が結果として返される。ARPテーブル取得部45は、上記「IPアドレス:10.10.10.2」をトレース情報管理部36へ通知し、トレース情報管理部36は、ユーザID61(「ユーザa」)に対応してそのIPアドレス(「10.10.10.2」)を図4のトレース情報管理DB60に追加登録する(段階P2)。
【0036】
なお、ARPテーブル取得部45は、トレース情報管理DB60に登録されているユーザ端末のMACアドレス62をユーザ端末a11が接続されたパケット中継装置a21に送信して、パケット中継装置a21がARPテーブルを検索して得られた対応するIPアドレスを、パケット中継装置a21から受信してもよい。
【0037】
次に、ユーザのログアウト時間をトレース情報管理DB60へ登録する処理が続く。トレース情報管理部36は、認証ログ取得部46を保持しており、段階P2が終了すると、認証ログ取得部46に対してユーザaのログアウト時間を取得するよう要求する。この要求の際、トレース情報管理DB60に登録されているユーザ端末a11の「ユーザID61:ユーザa」及び「MACアドレス62:00:11:22:33:44:55」を認証ログ取得部46へ通知する。トレース情報管理部36から要求を受け取った認証ログ取得部46は、パケット中継装置a21内の認証ログ情報を定期的に取得し、認証ログDB38に蓄積している。パケット中継装置a21は、ユーザ端末a11との接続が途切れたことを検知すると(手順S25)、RADIUSサーバ31内のトレース情報管理部36に対して、そのときまでのログを通知する(手順S26)。トレース情報管理部36は、通知されたログを認証ログDB38に記憶する。
【0038】
続いて認証ログ取得部46は、トレース情報管理部36から受け取ったユーザ端末a11の「ユーザID61:ユーザa」及び「MACアドレス62:00:11:22:33:44:55」をキーとして、蓄積された認証ログDB38を検索する。例えば、認証ログに、ユーザID及びユーザ端末のMACアドレスの組に対してログ発生時刻とログ内容が「ログアウト」を示すログ内容とが含まれていても良いし、最後のログの時刻に基づくログアウト時刻を定めてもよい。本実施の形態の場合、「ログアウト時間:08/04/01 12:00」が結果として返される。認証ログ取得部46は、上記「ログアウト時間:08/04/01 12:00」をトレース情報管理部36へ通知し、トレース情報管理部36は、ユーザID61(「ユーザa」)に対応して、そのログアウト時間67(「08/04/01 12:00」)を図4のトレース情報管理DB60に追加登録する(段階P3)。トレース情報管理DB60に格納した情報は、RADIUSサーバ31の管理画面、或いはリモート端末から参照可能であり、管理者はユーザの挙動を容易に理解することができる。
【0039】
ここで、ユーザaが部署B42へ移動したとする。このときも同様のシーケンスが走った後、図4のトレース情報管理DB60にトレース情報を格納する。本実施の形態の場合、各値は、「ユーザID61:ユーザa」、「ユーザ端末のMACアドレス62:00:11:22:33:44:55」、「ユーザ端末のIPアドレス63:10:10:20:2」、「パケット中継装置のIPアドレス64:10.10.20.1」、「パケット中継装置のポート番号65:02」、「ログイン時間66:08/04/01 13:00」、「ログアウト時間67:08/04/01 17:00」となっており、例えば、パケット中継装置のIPアドレス64やポート番号65からユーザ端末aが接続するパケット中継装置が、パケット中継装置a21からパケット中継装置b22へ変わったことが分かる。以上のように、ユーザ端末aがRADIUSサーバ31へ認証を求めて来るたびに、トレース情報管理部36がユーザaの上記情報を図4のトレース情報管理DB60へ格納していくことによって、ユーザaの状態をトレースしていくことができる。
【0040】
一方、図4に示すユーザbの場合、ユーザID61が同一にも関わらず、初めのログイン時と次のログイン時とでユーザ端末のMACアドレス62が、「00:12:34:56:78:9a」から「00:66:77:88:99:aa」へ変更されている。これは、認可されていない不正端末を利用してユーザbが社内LAN43へアクセスしている可能性や、ユーザb以外のユーザがユーザbのパスワードを不正に取得し成りすましている可能性を示唆している。このように、トレース情報管理部36にて、ユーザ端末のMACアドレス62を監視することによって、成りすましの検知も可能である。
【0041】
なお、RADIUSサーバ31は、トレース情報管理DB60に記憶された各情報を、ユーザID61毎に、ログイン時間66又はログアウト時間67で時系列にソートして、ユーザの行動をトレース(追跡)したトレース情報を求め出力部70に表示又は出力してもよい。また、RADIUSサーバ31は、ユーザ毎に時系列にソートされたトレース情報に対して、ユーザ端末のMACアドレス62やIPアドレス63、パケット中継装置のIPアドレス64やポート番号65などが変化した箇所を特定し、その箇所を強調して表示してもよい。
【0042】
他にも、例えば2008年4月12日の午前10時に、送信元IPアドレスを10.10.10.3とした端末から大量のDoS(Denial of Service)アタックパケットが送信されていることを、パケット中継装置a21にて検知したとする。この場合、RADIUSサーバ31にて図4のトレース情報管理DB60(例えば、ユーザ端末のIPアドレス63、ログイン時間66、ログアウト時間67等)を参照し、DoSアタックのあった時刻とDoSアタックを送信していた端末のIPアドレスから、DoSアタック送信者を特定することができる。本実施の形態の場合、RADIUSサーバ31は、ユーザbがDoSアタック送信者であったと判断することができる。例えば、このようなユーザbのユーザ名などを出力部70に表示したり、ユーザbからの当該ネットワークへのアクセスを拒否することもできる。なお、トレース情報管理DB60に記憶されたトレース情報の使い方は、上述の例に限らず適宜の使い方ができる。
【0043】
以上のように、RADIUSサーバ31内に新たにトレース情報管理部36を設け、RADIUS制御部35内のユーザ属性管理DB50からはユーザが使用している端末のMACアドレス、ユーザ端末が接続しているパケット中継装置のIPアドレスとポート番号を取得し、RADIUS制御部35からユーザのログイン時間を取得し、パケット中継装置内のARPテーブルと認証ログからはそれぞれユーザ端末のIPアドレス、ログアウト時間を取得する。これらの情報を把握することによって、RADIUSサーバ31においてユーザトレース機能を提供することが可能となる。
【0044】
2.第2の実施の形態
ユーザ端末のIPアドレスは、DHCPサーバ(アドレス管理装置)からも取得可能である。
本実施の形態のDHCPサーバは、例えば、ユーザ端末のMACアドレスと当該ユーザ端末に割り当てたIPアドレスが対応して記憶されたアドレス対応テーブルを有する。
ユーザ端末のIPアドレス以外のユーザ属性の取得は、第1の実施の形態の段階P1と段階P3と同一であるため、本実施の形態のRADIUSサーバの構成と段階P2のシーケンスを図6、7を参照して以下に詳述し、他は省略する。
【0045】
図6に、本実施の形態におけるRADIUSサーバの構成図を示す。
本実施の形態のRADIUSサーバ310は、例えば、第1の実施の形態のRADIUSサーバ31が備えるARPテーブル取得部45に換えて、MAC−IPテーブル取得部47を備える。MAC−IPテーブル取得部47は、MAC−IPテーブル(アドレス対応テーブル)39を有する。MAC−IPテーブル取得部47は、DHCPサーバ44よりMACアドレスとIPアドレスの対を含むアドレス対応テーブルを取得してMAC−IPテーブル39に記憶し、MACアドレスに基づいて対応するIPアドレスを検索する。なお、回線インタフェース32、パケット送受信部34、RADIUS制御部35、認証ログ取得部46、トレース情報管理DB60及び出力部70は、第1の実施の形態と同様である。
【0046】
図7は、第2の実施の形態におけるトレース情報を作成するシーケンスを示す図である。
なお、ステップT23、T24及びP2以外の処理(ステップT11〜T22、T25、T26、P1、P3)については、図5に示す第1の実施の形態の対応する処理(ステップS11〜S22、S25、S26、P1、P3)と同様である。従って、以下に、ステップT23、T24及びP2の処理について説明し、他のステップの説明は省略する。
【0047】
トレース情報管理部36は、MAC−IPテーブル取得部47を保持しており、段階P1が終了すると、MAC−IPテーブル取得部47に対してユーザ端末a11のIPアドレスを取得するよう要求する。この要求の際、トレース情報管理DB60に登録されているユーザ端末a11の「MACアドレス62:00:11:22:33:44:55」をMAC−IPテーブル取得部47へ通知する。トレース情報管理部36から要求を受け取ったMAC−IPテーブル取得部47は、DHCPサーバ44へMACアドレスとIPアドレスの対を記したアドレス対応テーブルの取得要求を発行する(手順T23)。DHCPサーバ44からMACアドレスとIPアドレスの対を記したアドレス対応テーブルを取得する(手順T24)と、取得した情報をMAC−IPテーブル39に格納する。
【0048】
続いてMAC−IPテーブル取得部47は、トレース情報管理部36から受け取ったユーザ端末a11の「MACアドレス62:00:11:22:33:44:55」を検索キーとしてMAC−IPテーブル39を検索し、対応するユーザ端末a11のIPアドレスを取得する。本実施の形態の場合、「IPアドレス:10.10.10.2」が結果として返される。MAC−IPテーブル取得部47は、上記「IPアドレス:10.10.10.2」をトレース情報管理部36へ通知し、トレース情報管理部36は、ユーザID61(「ユーザa」)に対応してそのIPアドレス(「10.10.10.2」)を図6のトレース情報管理DB60に追加登録する(段階P2)。
【0049】
なお、MAC−IPテーブル取得部47は、トレース情報管理DB60に登録されているユーザ端末a11のMACアドレス62をDHCPサーバ44に送信して、DHCPサーバ44がアドレス対応テーブルを検索して得られた対応するIPアドレスを、DHCPサーバ44から受信してもよい。
なお、IPアドレスを管理する装置は、DHCPサーバ44に限らず適宜のアドレス管理装置を用いてもよい。
【0050】
3.第1、第2の実施の形態の変形例
認証サーバをTACACSサーバとしたときの例について説明する。
認証サーバをRADIUSサーバにしたときと同様に、TACACSサーバ内にトレース情報管理部を設ける。トレース情報管理部は、ARPテーブル取得部と認証ログ取得部を有する。トレース情報管理部は、TACACS制御部内のTACACS属性管理DBからユーザ名、ユーザ端末のMACアドレス、ユーザ端末が接続しているパケット中継装置のIPアドレスとポート番号を取得し、そしてTACACS制御部からログイン時間情報を取得し、ARPテーブルからユーザ端末のIPアドレスを取得し、認証ログからログアウト時間を取得すると、それらの情報をトレース情報管理DBに格納する。
【0051】
トレース情報管理DBに格納した情報は、TACACSサーバの管理画面、或いはリモート端末から参照可能であり、管理者はユーザの挙動を容易に理解することができる。
なお、具体的なTACACSサーバの構成及び動作については、第1及び第2の実施の形態のRADIUSサーバと同様である。
【産業上の利用可能性】
【0052】
本発明は、例えば、802.1X認証を用いる認証サーバに適用することができる。
【符号の説明】
【0053】
11 移動前のユーザ端末a
12 移動後のユーザ端末a
13、14 ユーザ端末
21、22 パケット中継装置
31、310 RADIUSサーバ
32 回線インタフェース
33 パケット処理部
34 パケット送受信部
35 RADIUS制御部
36 トレース情報管理部
37 ARPテーブル
38 認証ログDB
39 MAC−IPテーブル
41、42 サブネットワーク(部署)
43 社内LAN
44 DHCPサーバ
45 ARPテーブル取得部
46 認証ログ取得部
47 MAC−IPテーブル取得部
50 ユーザ属性管理DB
60 トレース情報管理DB
70 出力部
【技術分野】
【0001】
本発明は、認証サーバに係り、特に、管理しているユーザ端末(サプリカント)の属性をもとにユーザの位置をトレースする認証サーバに関する。
【背景技術】
【0002】
ユーザ端末がLAN(Local Area Network)へ接続する際に、IEEE 802.1X認証(以下、802.1X認証)を用いてユーザを認証し、ネットワーク利用の可否を制御する形式が広く利用されている。
802.1X認証を使ったユーザ認証方式は、サプリカントを呼ばれる認証クライアントソフトウェアを搭載したユーザ端末、NAS(Network Access Server)として機能するパケット中継装置、そして認証サーバで構成される。認証サーバには、RADIUS(Remote Authentication Dial In User Service)サーバとTACACS(Terminal Access Controller Access Control System)サーバとが一般に利用されているが、以降、記述の簡略化のためRADIUSサーバの場合のみを記す。
【0003】
ユーザのLAN利用の可否を認証する手続きは、ユーザ端末が、パケット中継装置に対してEAP(Extended Authentication Protocol)開始パケットを発行することで始まる。EAP開始パケットを受信したパケット中継装置は、EAPリクエストパケットをユーザ端末に対して送信し、それに対してユーザ端末はEAPレスポンスパケットを返信する。EAPレスポンスパケットを受信したパケット中継装置は、EAPレスポンスパケットをRADIUSリクエストパケットへ載せ、RADIUSサーバへ送信する。RADIUSサーバがRADIUSリクエストパケットを受信すると、ユーザ端末とRADIUSサーバとの間で認証処理がスタートする。認証処理の方式は複数方式が存在し、IDとパスワードで認証するEAP−MD5(Message Digest 5)や、電子証明書を用いて認証するEAP−TLS(Transport Layer Security)などがある。
【0004】
認証が成立すると、RADIUSサーバは、認証結果をEAP成功パケットに記し、更にそれをRADIUSアクセプトパケットへ載せ、パケット中継装置へ送信する。一方、認証に失敗すると、RADIUSサーバは、認証結果をEAP失敗パケットに記し、更にそれをRADIUSリジェクトパケットへ載せ、パケット中継装置へ送信する。パケット中継装置は、RADIUSアクセプトパケットを受信すると、ユーザ端末が接続するポートからの社内LANアクセスを許可する。また、受信したRADIUSアクセプトパケットからRADIUSヘッダを取り除き、EAP成功パケットのみをユーザ端末へ転送し、ユーザ端末に認証成功の旨を通知する。これによりユーザ端末は、社内LANへのアクセス要求が認可されたことを認識する。一方、パケット中継装置がRADIUSリジェクトパケットを受信すると、ユーザ端末が接続するポートからの社内LANアクセスを不許可とする。また、受信したRADIUSリジェクトパケットからRADIUSヘッダを取り除き、EAP失敗パケットのみをユーザ端末へ転送し、ユーザ端末に認証失敗の旨を通知する。これによりユーザ端末は、社内LANへのアクセス要求が拒絶されたことを認識する。
【0005】
このときRADIUSサーバでは、認証とアカウンティングのため、各ユーザのユーザ名やパスワード、ユーザ端末が繋がるパケット中継装置のポート番号などをユーザ属性と言う形式で一元管理している。これらの情報は、RADIUSサーバがパケット中継装置からRADIUSリクエストパケットを受信する際に取得可能である。
ユーザ名やユーザ端末のMACアドレスやIPアドレスを組み合わせて管理する方式について述べた公知文献としては、例えば特許文献1及び特許文献2がある。
【先行技術文献】
【特許文献】
【0006】
【特許文献1】特開2004−242142号公報
【特許文献2】特開2003−348114号公報
【発明の概要】
【発明が解決しようとする課題】
【0007】
認証サーバを利用してユーザを認証するのは、成りすましをした不正ユーザや不正端末からのネットワーク利用を排除するためである。しかしながら、現在認証サーバで管理しているユーザ属性は、ログイン時の認証とアカウンティングのためにしか利用されて来なかった。ユーザが任意の時刻にどこに存在し、どの端末を利用してネットワークにアクセスしているのか、といった情報を継続的に確認する機能はなかった。また、ユーザ端末がどのIPアドレスを割り当てられているのかも時系列に管理されていなかった。そのため、仮にある特定の時刻に、あるIPアドレスを送信元アドレスとしたユーザ端末が不正アクセスをしていて、それ認識したとしても、そのユーザを特定することはできなかった。
【0008】
本発明は、以上の点に鑑み、認証サーバがユーザ端末の持つIPアドレスと、ユーザのログアウト時間情報等を取得し、ユーザ毎に、ユーザ端末のIPアドレスとMACアドレス、ユーザ端末が繋がっているパケット中継装置のIPアドレスとポート番号、ログイン時間情報、ログアウト時間情報のログを取ることを目的とする。そして、本発明は、これらのログ情報(以下、トレース情報管理DB又はトレース情報と呼ぶ)を、ユーザ毎にログイン時間、ログアウト時間に従ってソートすることにより、ユーザ端末が最初にどのパケット中継装置を介してログインし、その後ログアウトしてどのパケット中継装置を介して再びログインしたなどのユーザの行動をトレースすることを目的のひとつとする。また、本発明は、このトレース情報管理DBを使うことによって、例えば、ユーザIDが同一にも関わらずMACアドレスが頻繁に異なっているユーザがいた場合、不正端末によるアクセスや、成りすましを警告することを目的のひとつとする。他にも、本発明は、任意の時刻に、ある特定のIPアドレスを利用したユーザが不正にネットワークを利用していることを検知した場合、時刻とIPアドレスからそのユーザを特定することを目的のひとつとする。
【課題を解決するための手段】
【0009】
上記課題を解決するため、認証サーバ内にトレース情報管理部を設け、トレース情報管理部内にはARP(Address Resolution Protocol)テーブル取得部、認証ログ取得部を設ける。ARPテーブル取得部は、パケット中継装置内にあるARPテーブルを取得し、格納する。そして、トレース情報管理部からの要求に従い、MACアドレス情報を基に、IPアドレス情報を提供する。認証ログ取得部は、パケット中継装置内にある認証ログ情報を取得し、認証ログDBに格納する。そして、トレース情報管理部からの要求に従い、ユーザID情報を基にログアウト時間情報を提供する。
【0010】
トレース情報管理部によるトレース情報管理DBを生成する処理について説明する。まず、トレース情報管理部は、認証サーバの既存認証ログ情報(ユーザ属性)から、認証したユーザのID情報、認証したユーザが使っている端末のMACアドレス、端末が繋がっているパケット中継装置のIPアドレスとポート番号、ログイン時間情報を取り出す。
次に、ARPテーブル管理部を通して、既ユーザID情報に対応したMACアドレス(該ユーザが使用している端末のMACアドレス)を基に該当するIPアドレスを検索し、取得する。
【0011】
次に、認証ログ取得部を通して、既ユーザID情報に対応した認証ログアウト時間情報を取得する。
次に、それらの情報をユーザ単位にトレース情報管理DBに格納する。つまり、トレース情報管理DBには、ユーザ毎に、そのユーザが使用している端末のIPアドレスとMACアドレス、端末が繋がっているパケット中継装置のIPアドレスとポート番号、ログイン時間、ログアウト時間情報が記録されているため、各ユーザが任意の時刻にどこに存在し、どの端末でアクセスしているかをトレースすることができる。
【0012】
認証サーバは、例えば、パケット処理部と回線インタフェースとで構成される認証サーバであって、
パケット処理部は、ユーザ属性制御部とトレース情報管理部とを有し、
ユーザ属性制御部はユーザ属性管理DB、トレース情報管理部はトレース情報管理DBを有することを特徴とし、
トレース情報管理部にて、ユーザ毎にユーザ端末のIPアドレス、MACアドレス、ユーザ端末が接続しているパケット中継装置のIPアドレス、ポート番号、ユーザのログイン時間、ログアウト時間を記録する。
【0013】
また、上述のRADIUSサーバは、例えば、
トレース情報管理部内にMAC−IPテーブル取得部とMAC−IPテーブル、認証ログ取得部と認証ログを有することを特徴とし、
DHCPサーバからMAC−IPテーブルを取得すると、ユーザ属性管理DBにて保持しているログイン済みユーザ端末のMACアドレスを検索キーとしてMAC−IPテーブルを検索し、検索することによって該当ユーザ端末に対応するIPアドレスを取得し、トレース情報管理DBへそのIPアドレスを追加登録することを特徴とし、
パケット中継装置から認証ログを定期的に取得すると、ユーザ属性管理DBにて保持しているログイン済みユーザのユーザ名、及びユーザ端末のMACアドレスを検索キーとして認証ログを検索し、検索することによって該当ユーザのログアウト情報を取得し、トレース情報管理DBへその時刻を追加登録する。
【0014】
本発明の第1の解決手段によると、
接続されるユーザ端末のMACアドレスと該ユーザ端末のIPアドレスが対応して記憶されたアドレス解決テーブルを有し、前記ユーザ端末との認証又は通信についてのログを管理するひとつ又は複数のパケット中継装置と、該パケット中継装置を介して前記ユーザ端末と通信してユーザ認証を行う認証サーバとを備えたシステムにおける前記認証サーバであって、
ユーザ識別子に対応して、前記ユーザ端末のMACアドレスと、前記ユーザ端末のIPアドレスと、前記パケット中継装置のIPアドレスと、前記ユーザ端末が繋がる前記パケット中継装置のポートのポート識別子と、前記ユーザ端末のログイン時刻又はログアウト時刻とが記憶されるトレース情報記憶部と、
前記ユーザ端末とのユーザ認証において受信される情報から、少なくともユーザ識別子と、前記ユーザ端末のMACアドレスと、前記パケット中継装置のIPアドレスと、前記ユーザ端末が接続される前記パケット中継装置のポートのポート識別子とを取得し、取得した各情報を対応して前記トレース情報記憶部に記憶する認証制御部と、
前記ユーザ端末が接続された前記パケット中継装置の前記アドレス解決テーブルを参照して、前記認証制御部で取得された前記ユーザ端末のMACアドレスに基づき、対応する前記ユーザ端末のIPアドレスを取得し、取得した前記ユーザ端末のIPアドレスをユーザ識別子に対応して前記トレース情報記憶部に記憶するアドレス解決部と、
前記パケット中継装置での前記ログを参照して前記ユーザ端末のログアウト時刻を求め、求められたログアウト時刻をユーザ識別子に対応して前記トレース情報記憶部に記憶するログ管理部と
を備えた前記認証サーバが提供される。
【0015】
本発明の第2の解決手段によると、
ユーザ端末のMACアドレスと該ユーザ端末のIPアドレスが対応して記憶されたアドレス対応テーブルを有するアドレス管理装置と、前記ユーザ端末との認証又は通信についてのログを管理するひとつ又は複数のパケット中継装置と、該パケット中継装置を介して前記ユーザ端末と通信してユーザ認証を行う認証サーバとを備えたシステムにおける前記認証サーバであって、
ユーザ識別子に対応して、前記ユーザ端末のMACアドレスと、前記ユーザ端末のIPアドレスと、前記パケット中継装置のIPアドレスと、前記ユーザ端末が繋がる前記パケット中継装置のポートのポート識別子と、前記ユーザ端末のログイン時刻又はログアウト時刻とが記憶されるトレース情報記憶部と、
前記ユーザ端末とのユーザ認証において受信される情報から、少なくともユーザ識別子と、前記ユーザ端末のMACアドレスと、前記パケット中継装置のIPアドレスと、前記ユーザ端末が接続される前記パケット中継装置のポートのポート識別子とを取得し、取得した各情報を対応して前記トレース情報記憶部に記憶する認証制御部と、
前記アドレス管理装置の前記アドレス対応テーブルを参照して、前記認証制御部で取得された前記ユーザ端末のMACアドレスに基づき、対応する前記ユーザ端末のIPアドレスを取得し、取得した前記ユーザ端末のIPアドレスをユーザ識別子に対応して前記トレース情報記憶部に記憶するアドレス解決部と、
前記パケット中継装置での前記ログを参照して前記ユーザ端末のログアウト時刻を求め、求められたログアウト時刻をユーザ識別子に対応して前記トレース情報記憶部に記憶するログ管理部と
を備えた前記認証サーバが提供される。
【発明の効果】
【0016】
従来、認証サーバが持つ認証ログ情報には、ユーザID情報、ユーザが使用する端末のMACアドレス、端末が繋がっているパケット中継装置のIPアドレスとポート番号、ログイン時間情報はあるが、ユーザ端末が持つIPアドレスやユーザのログアウト時間情報は無かった。
【0017】
これに対し、本発明は、認証サーバにトレース情報管理部を設け、ARPテーブル取得部、認証ログ取得部を制御し、認証サーバがユーザ端末の持つIPアドレスと、ユーザのログアウト時間情報を取得することができ、ユーザ毎に、ユーザ端末のIPアドレスとMACアドレス、ユーザ端末が繋がっているパケット中継装置のIPアドレスとポート番号、ログイン時間情報、ログアウト時間情報のログを取ることが可能になる。そして、本発明によると、これらのログ情報を、ユーザ毎にログイン、ログアウト時間に従ってソートすることにより、ユーザ端末が最初にどのパケット中継装置を介してログインし、その後ログアウトしてどのパケット中継装置を介して再びログインしたかが分かるので、ユーザの行動をトレースすることが可能になる。また、本発明によると、このトレース情報管理DBを使うことによって、例えば、ユーザIDが同一にも関わらずMACアドレスが頻繁に異なっているユーザがいた場合、不正端末によるアクセスや、成りすましを警告することができる。他にも、本発明によると、任意の時刻に、ある特定のIPアドレスを利用したユーザが不正にネットワークを利用していることを検知した場合、時刻とIPアドレスからそのユーザを特定することができる。
【図面の簡単な説明】
【0018】
【図1】第1の実施の形態におけるユーザ端末とパケット中継装置とRADIUSサーバが設置されるネットワーク構成を示す図である。
【図2】第1の実施の形態におけるRADIUSサーバの構成を示す図である。
【図3】第1の実施の形態におけるRADIUSサーバにて保持されるユーザ属性の説明図である。
【図4】第1の実施の形態におけるRADIUSサーバにて保持されるユーザ毎のトレース情報を記憶したトレース情報管理データベースの説明図である。
【図5】第1の実施の形態におけるトレース情報を作成するシーケンスを示す図である。
【図6】第2の実施の形態におけるRADIUSサーバの構成を示す図である。
【図7】第2の実施の形態におけるトレース情報を作成するシーケンスを示す図である。
【発明を実施するための形態】
【0019】
1.第1の実施の形態
図1〜図5を参照して認証サーバをRADIUSサーバとしたときの実施の形態について説明する。
図1に、本実施の形態におけるネットワーク構成図を示す。
本ネットワークシステムは、例えば、複数のパケット中継装置a21、b22と、RADIUSサーバ(認証サーバ)31と、DHCP(Dynamic Host Configuration Protocol)サーバ(アドレス配布サーバ)44を備える。また、パケット中継装置a21は、複数のユーザ端末a11、b13と接続され、パケット中継装置a21と、当該ユーザ端末a11、b13は、例えば社内の部署に対応するサブネットワーク(以下、便宜上部署と呼ぶ。)41を構成する。パケット中継装置b22も同様に、ユーザ端末a12、c14と接続され、サブネットワーク42を構成する。なお、ユーザ端末a11、a12は、同じ端末が移動したことを示している。
【0020】
本ネットワークシステムは、部署が複数存在し、社内LAN43を介して各部署が相互に繋がっている。RADIUSサーバ31は、複数の部署のユーザ属性を一元管理しており、例えば社内LAN43とは別のネットワークに置かれている。各部署内にはパケット中継装置a21、b22がそれぞれ置かれ、ユーザ端末(サプリカント)a11、a12、b13、c14が社内LAN43へ接続する際は、初めにパケット中継装置a21、b22を介してRADIUSサーバ31へアクセスし、社内LAN43へのアクセス許可を求める必要がある。DHCPサーバ44は、認証されたユーザ端末a11、a12、b13、c14にIPアドレスを割当てる。
なお、認証サーバは、RADIUSサーバ31に限らず適宜の認証サーバを用いてもよい。また、各ユーザ端末a11、a12、b13、c14は、直接パケット中継装置a21、b22に接続される以外にもスイッチなどを介して接続されてもよい。
【0021】
パケット中継装置a21は、接続されるユーザ端末a11、a12のMACアドレスと、当該ユーザ端末a11、a12のIPアドレスがそれぞれ対応して記憶されたARPテーブル(アドレス解決テーブル)を有し、ユーザ端末a11、a12との認証又は通信についてのログを管理する。パケット中継装置b22も同様である。RADIUSサーバ31は、パケット中継装置a21、b22を介してユーザ端末a11、a12、b13、c14と通信してユーザ認証を行う。
【0022】
図2は、第1の実施の形態におけるRADIUSサーバの構成を示す図である。
RADIUSサーバ31は、例えば、パケット処理部33と、回線インタフェース32を備える。パケット処理部33は、パケット送受信部34と、RADIUS制御部(認証制御部)35と、トレース情報管理部36を有する。RADIUS制御部35は、ユーザ属性管理データベース(以下、DB)50を有する。トレース情報管理部36は、ARPテーブル取得部(アドレス解決部)45と、認証ログ取得部(ログ管理部)46と、トレース情報管理DB(トレース情報記憶部)60を有する。ARPテーブル取得部45は、ARPテーブル37を有し、認証ログ取得部46は、認証ログDB38を有する。なお、各データベース、テーブルは、適宜の記憶装置にまとめられていてもよい。
【0023】
回線インタフェース32は、例えば、パケット中継装置a21、b22等の外部の機器と通信するためのインタフェースである。パケット処理部33は、パケットの送受信等を制御する。パケット送受信部34は、例えば、受信したパケットをRADIUS制御部35、トレース情報管理部36に転送し、また、RADIUS制御部35等からのパケットを回線インタフェース32へ転送する。RADIUS制御部35は、認証、アカウンティングに必要となるユーザ属性を管理する。
【0024】
トレース情報管理部36は、RADIUS制御部35内のユーザ属性管理DB50からユーザ名、ユーザ端末のMACアドレス、ユーザ端末が接続しているパケット中継装置のIPアドレスとポート番号を取得し、そしてRADIUS制御部35からログイン時間情報を取得し、ARPテーブル37からユーザ端末のIPアドレスを取得し、認証ログDB38からログアウト時間を取得すると、それらの情報をトレース情報管理DB60に格納する。ARPテーブル取得部45は、パケット中継装置a21、b22よりARPテーブルを取得し、ユーザ端末a11、a12、b13、c14のMACアドレスに基づいて対応するIPアドレスを検索する。認証ログ取得部46は、パケット中継装置a21、b22より認証ログを取得し、ユーザ名等に基づいて対応するユーザのログアウト時間を検索する。認証ログDB38は、例えば、ユーザ識別子(例えば、ユーザ名等)と、ユーザ端末のMACアドレスと、発生したログ内容と、ログが発生した時刻を記憶する。なお、発生するログ内容としては、例えば、ユーザのログイン、ログアウト等がある。
なお、RADIUSサーバ31は、トレース情報を表示する管理画面である出力部又は外部の装置に表示するためにトレース情報を出力する出力部70をさらに備えてもよい。
【0025】
図3は、第1の実施の形態におけるRADIUSサーバにて保持されるユーザ属性の説明図である。
ユーザ属性は、例えば、ユーザ毎に、ユーザ名(User−Name)と、ユーザ端末が接続するパケット中継装置のIPアドレス(NAS−IP−Address)と、ユーザ端末が接続するパケット中継装置のポート番号(NAS−Port)と、ユーザ端末のMACアドレス(Calling−Station−Id)を含む。これらのユーザ属性は、RADIUSリクエストパケット受信時にトレース情報管理部36により取得され、トレース情報管理DB60に記憶される。一方、ユーザ属性管理DB50には、上述のユーザ属性と、RADIUSで規定(例えば、RFC2865参照。)されている他の属性(例えば、ユーザパスワード(User−Password)等)が記憶される。
【0026】
図4は、第1の実施の形態におけるRADIUSサーバにて保持されるユーザ毎のトレース情報を記憶したトレース情報管理データベースの説明図である。
トレース情報管理DB60は、例えば、ひとつのユーザID61に対応して、ユーザ端末のMACアドレス62と、ユーザ端末のIPアドレス63と、ユーザ端末が接続するパケット中継装置のIPアドレス64と、ユーザ端末が接続するパケット中継装置のポート番号65と、ユーザのログイン時間66と、ユーザのログアウト時間67との組み合わせ68をひとつ又は複数記憶する。
【0027】
トレース情報管理DB60に格納した情報は、例えば、RADIUSサーバ31の管理画面、及びリモート端末から参照可能であり、管理者がこれらのデータを参照する場合、各情報は時系列に表示されることができる。これによって管理者は、ユーザが使用している端末のMACアドレスとIPアドレス、ユーザ端末が接続しているパケット中継装置のIPアドレスとポート番号を把握することができ、RADIUSサーバ31におけるユーザトレースが可能となる。
【0028】
図5は、第1の実施の形態におけるトレース情報を作成するシーケンスを示す図である。
ユーザ端末a11が社内LAN43へ接続するときのシーケンスを、ユーザ端末a11が初め部署A41にいたと仮定し、詳述する。
ユーザ端末a11がパケット中継装置a21に接続すると(手順S11)、パケット中継装置a21はEAPリクエストパケットをユーザ端末a11へ送信し(手順S12)、それに対してユーザ端末a11はEAPレスポンスパケットを返信する(手順S13)。EAPレスポンスパケットには、例えば、ユーザ名、ユーザ端末a11のMACアドレスなどの認証に必要な情報が記載されており、EAPレスポンスパケットを受信したパケット中継装置a21は、そのパケットにRADIUSヘッダを付与し、さらにパケット中継装置a21のIPアドレス、パケット中継装置a21のポート番号等の属性を付与して、RADIUSリクエストパケットとして、RADIUSサーバ31へ送信する(手順S14)。このとき、ユーザ端末a11が接続するパケット中継装置a21のポート01は、RADIUSパケットのみを通す設定となっている。
【0029】
パケット中継装置a21より発信されたRADIUSリクエストパケットを受信するRADIUSサーバ31は、本実施の形態においては図2に示す構成となっている。RADIUSリクエストパケットは、RADIUSサーバ31の回線インタフェース32にて受信される。その後RADIUSリクエストパケットはパケット処理部33内のパケット送受信部34を経由して、RADIUS制御部35へ到達する。RADIUS制御部35は、ユーザ属性管理DB50を保持し、認証、アカウンティングに必要となるユーザ属性51(図3参照)を管理している。RADIUS制御部35は、それらの属性を取得すると、認証シーケンスを走らせる(手順S15)。認証処理の方式は複数存在し、IDとパスワードで認証するEAP−MD5や、電子証明書を用いて認証するEAP−TLSなどがある。
【0030】
認証が成立すると、RADIUSサーバ31は、認証結果を記したEAPサクセスパケットを作成する。次に、そのパケットにRADIUSヘッダを付加してRADIUSアクセプトパケットとし、パケット中継装置a21へ送信する(手順S16)。RADIUSアクセプトパケットを受信したパケット中継装置a21は、ここでユーザ端末a11が接続するポート01を社内LAN43へアクセス可能なポートとして設定する(手順S17)。また、受信したRADIUSアクセプトパケットからRADIUSヘッダを取り除き、取り出したEAPサクセスパケットをユーザ端末a11へ転送する(手順S18)。EAPサクセスパケットを受信すると、ユーザ端末a11は自端末が認証に成功したことを認識する。
【0031】
認証に成功したユーザ端末a11は、以後RADIUSサーバ31以外へアクセスすることが可能となる。その状態に至ると、ユーザ端末a11は、まず初めにDHCPサーバ44へDHCPディスカバーを送信し、ユーザ端末a11が送信元アドレスとして利用すべきIPアドレスを要求する(手順S19)。DHCPサーバ44から送信元IPアドレスが割り当てられると(手順S20)、ユーザ端末a11は以降そのIPアドレスを送信元IPアドレスとして、社内LAN43へアクセス可能となる(手順S21)。なお、割り当てられたIPアドレスは、ユーザ端末a11のMACアドレスに対応して、パケット中継装置a21のARPテーブルに記憶される。
【0032】
このときRADIUSサーバ31内のトレース情報管理部36では、図4に示すトレース情報管理DB60を保持し、次の3段階の処理を施すことによって、ユーザトレースに必要な情報を格納していく。なお、このユーザトレースに必要な情報を格納していく処理は、3段階に限らず適宜の段階に分けてもよいし、まとめてもよい。
【0033】
まずは、ユーザログイン時のユーザ属性登録処理である。RADIUS制御部35がRADIUSリクエストパケットを受信すると、RADIUSリクエストパケットによって得られる属性のうち、図3に示すところの、User−Name(ユーザ名)、NAS−IP−Address(ユーザ端末が繋がるパケット中継装置のIPアドレス)、NAS−Port(ユーザ端末が繋がるパケット中継装置のポート番号)、Calling−Station−Id(ユーザ端末のMACアドレス)を、トレース情報管理部36へ通知する(手順S22)。また、このとき、例えば、RADIUSアクセプトパケットを発行した時間を、ユーザのログインした時間として、トレース情報管理部36に通知する。なお、RADIUSアクセプトパケットを発行した時間以外にも、適宜のログイン時間を定めてもよい。本実施の形態の場合、各属性それぞれの値及びログインした時間は、「ユーザ名:ユーザa」、「IPアドレス:10.10.10.1」、「ポート番号:01」、「MACアドレス:00:11:22:33:44:55」、及び「ログイン時間:08/04/01 09:00」であり、これらの情報をユーザID61に対応して図4のトレース情報管理DB60に登録する(段階P1)。
【0034】
次に、ユーザ端末a11のIPアドレスをトレース情報管理DB60へ登録する処理が続く。トレース情報管理部36は、ARPテーブル取得部45を保持しており、段階P1が終了すると、ARPテーブル取得部45に対してユーザ端末a11のIPアドレスを取得するよう要求する。この要求の際、トレース情報管理DB60に登録されているユーザ端末a11の「MACアドレス62:00:11:22:33:44:55」をARPテーブル取得部45へ通知する。トレース情報管理部36から要求を受け取ったARPテーブル取得部45は、例えばSNMP(Simple Network Management Protocol)或いはNETCONF(NETwork CONFiguration)を用いて、ユーザ端末a11が接続されたパケット中継装置a21が保持するARPテーブルの取得要求を発行する(手順S23)。なお、ユーザ端末a11が接続するパケット中継装置a21は、トレース情報管理DB60に基づきユーザ端末のMACアドレス62に対応するパケット中継装置のIPアドレス64より特定できる。ARPテーブル取得部45は、パケット中継装置a21からARPテーブルを取得する(手順S24)と、取得した情報をARPテーブル37に格納する。
【0035】
続いてARPテーブル取得部45は、トレース情報管理部36から受け取ったユーザ端末a11の「MACアドレス62:00:11:22:33:44:55」を検索キーとしてARPテーブル37を検索し、ユーザ端末a11のIPアドレスを取得する。本実施の形態の場合、「IPアドレス:10.10.10.2」が結果として返される。ARPテーブル取得部45は、上記「IPアドレス:10.10.10.2」をトレース情報管理部36へ通知し、トレース情報管理部36は、ユーザID61(「ユーザa」)に対応してそのIPアドレス(「10.10.10.2」)を図4のトレース情報管理DB60に追加登録する(段階P2)。
【0036】
なお、ARPテーブル取得部45は、トレース情報管理DB60に登録されているユーザ端末のMACアドレス62をユーザ端末a11が接続されたパケット中継装置a21に送信して、パケット中継装置a21がARPテーブルを検索して得られた対応するIPアドレスを、パケット中継装置a21から受信してもよい。
【0037】
次に、ユーザのログアウト時間をトレース情報管理DB60へ登録する処理が続く。トレース情報管理部36は、認証ログ取得部46を保持しており、段階P2が終了すると、認証ログ取得部46に対してユーザaのログアウト時間を取得するよう要求する。この要求の際、トレース情報管理DB60に登録されているユーザ端末a11の「ユーザID61:ユーザa」及び「MACアドレス62:00:11:22:33:44:55」を認証ログ取得部46へ通知する。トレース情報管理部36から要求を受け取った認証ログ取得部46は、パケット中継装置a21内の認証ログ情報を定期的に取得し、認証ログDB38に蓄積している。パケット中継装置a21は、ユーザ端末a11との接続が途切れたことを検知すると(手順S25)、RADIUSサーバ31内のトレース情報管理部36に対して、そのときまでのログを通知する(手順S26)。トレース情報管理部36は、通知されたログを認証ログDB38に記憶する。
【0038】
続いて認証ログ取得部46は、トレース情報管理部36から受け取ったユーザ端末a11の「ユーザID61:ユーザa」及び「MACアドレス62:00:11:22:33:44:55」をキーとして、蓄積された認証ログDB38を検索する。例えば、認証ログに、ユーザID及びユーザ端末のMACアドレスの組に対してログ発生時刻とログ内容が「ログアウト」を示すログ内容とが含まれていても良いし、最後のログの時刻に基づくログアウト時刻を定めてもよい。本実施の形態の場合、「ログアウト時間:08/04/01 12:00」が結果として返される。認証ログ取得部46は、上記「ログアウト時間:08/04/01 12:00」をトレース情報管理部36へ通知し、トレース情報管理部36は、ユーザID61(「ユーザa」)に対応して、そのログアウト時間67(「08/04/01 12:00」)を図4のトレース情報管理DB60に追加登録する(段階P3)。トレース情報管理DB60に格納した情報は、RADIUSサーバ31の管理画面、或いはリモート端末から参照可能であり、管理者はユーザの挙動を容易に理解することができる。
【0039】
ここで、ユーザaが部署B42へ移動したとする。このときも同様のシーケンスが走った後、図4のトレース情報管理DB60にトレース情報を格納する。本実施の形態の場合、各値は、「ユーザID61:ユーザa」、「ユーザ端末のMACアドレス62:00:11:22:33:44:55」、「ユーザ端末のIPアドレス63:10:10:20:2」、「パケット中継装置のIPアドレス64:10.10.20.1」、「パケット中継装置のポート番号65:02」、「ログイン時間66:08/04/01 13:00」、「ログアウト時間67:08/04/01 17:00」となっており、例えば、パケット中継装置のIPアドレス64やポート番号65からユーザ端末aが接続するパケット中継装置が、パケット中継装置a21からパケット中継装置b22へ変わったことが分かる。以上のように、ユーザ端末aがRADIUSサーバ31へ認証を求めて来るたびに、トレース情報管理部36がユーザaの上記情報を図4のトレース情報管理DB60へ格納していくことによって、ユーザaの状態をトレースしていくことができる。
【0040】
一方、図4に示すユーザbの場合、ユーザID61が同一にも関わらず、初めのログイン時と次のログイン時とでユーザ端末のMACアドレス62が、「00:12:34:56:78:9a」から「00:66:77:88:99:aa」へ変更されている。これは、認可されていない不正端末を利用してユーザbが社内LAN43へアクセスしている可能性や、ユーザb以外のユーザがユーザbのパスワードを不正に取得し成りすましている可能性を示唆している。このように、トレース情報管理部36にて、ユーザ端末のMACアドレス62を監視することによって、成りすましの検知も可能である。
【0041】
なお、RADIUSサーバ31は、トレース情報管理DB60に記憶された各情報を、ユーザID61毎に、ログイン時間66又はログアウト時間67で時系列にソートして、ユーザの行動をトレース(追跡)したトレース情報を求め出力部70に表示又は出力してもよい。また、RADIUSサーバ31は、ユーザ毎に時系列にソートされたトレース情報に対して、ユーザ端末のMACアドレス62やIPアドレス63、パケット中継装置のIPアドレス64やポート番号65などが変化した箇所を特定し、その箇所を強調して表示してもよい。
【0042】
他にも、例えば2008年4月12日の午前10時に、送信元IPアドレスを10.10.10.3とした端末から大量のDoS(Denial of Service)アタックパケットが送信されていることを、パケット中継装置a21にて検知したとする。この場合、RADIUSサーバ31にて図4のトレース情報管理DB60(例えば、ユーザ端末のIPアドレス63、ログイン時間66、ログアウト時間67等)を参照し、DoSアタックのあった時刻とDoSアタックを送信していた端末のIPアドレスから、DoSアタック送信者を特定することができる。本実施の形態の場合、RADIUSサーバ31は、ユーザbがDoSアタック送信者であったと判断することができる。例えば、このようなユーザbのユーザ名などを出力部70に表示したり、ユーザbからの当該ネットワークへのアクセスを拒否することもできる。なお、トレース情報管理DB60に記憶されたトレース情報の使い方は、上述の例に限らず適宜の使い方ができる。
【0043】
以上のように、RADIUSサーバ31内に新たにトレース情報管理部36を設け、RADIUS制御部35内のユーザ属性管理DB50からはユーザが使用している端末のMACアドレス、ユーザ端末が接続しているパケット中継装置のIPアドレスとポート番号を取得し、RADIUS制御部35からユーザのログイン時間を取得し、パケット中継装置内のARPテーブルと認証ログからはそれぞれユーザ端末のIPアドレス、ログアウト時間を取得する。これらの情報を把握することによって、RADIUSサーバ31においてユーザトレース機能を提供することが可能となる。
【0044】
2.第2の実施の形態
ユーザ端末のIPアドレスは、DHCPサーバ(アドレス管理装置)からも取得可能である。
本実施の形態のDHCPサーバは、例えば、ユーザ端末のMACアドレスと当該ユーザ端末に割り当てたIPアドレスが対応して記憶されたアドレス対応テーブルを有する。
ユーザ端末のIPアドレス以外のユーザ属性の取得は、第1の実施の形態の段階P1と段階P3と同一であるため、本実施の形態のRADIUSサーバの構成と段階P2のシーケンスを図6、7を参照して以下に詳述し、他は省略する。
【0045】
図6に、本実施の形態におけるRADIUSサーバの構成図を示す。
本実施の形態のRADIUSサーバ310は、例えば、第1の実施の形態のRADIUSサーバ31が備えるARPテーブル取得部45に換えて、MAC−IPテーブル取得部47を備える。MAC−IPテーブル取得部47は、MAC−IPテーブル(アドレス対応テーブル)39を有する。MAC−IPテーブル取得部47は、DHCPサーバ44よりMACアドレスとIPアドレスの対を含むアドレス対応テーブルを取得してMAC−IPテーブル39に記憶し、MACアドレスに基づいて対応するIPアドレスを検索する。なお、回線インタフェース32、パケット送受信部34、RADIUS制御部35、認証ログ取得部46、トレース情報管理DB60及び出力部70は、第1の実施の形態と同様である。
【0046】
図7は、第2の実施の形態におけるトレース情報を作成するシーケンスを示す図である。
なお、ステップT23、T24及びP2以外の処理(ステップT11〜T22、T25、T26、P1、P3)については、図5に示す第1の実施の形態の対応する処理(ステップS11〜S22、S25、S26、P1、P3)と同様である。従って、以下に、ステップT23、T24及びP2の処理について説明し、他のステップの説明は省略する。
【0047】
トレース情報管理部36は、MAC−IPテーブル取得部47を保持しており、段階P1が終了すると、MAC−IPテーブル取得部47に対してユーザ端末a11のIPアドレスを取得するよう要求する。この要求の際、トレース情報管理DB60に登録されているユーザ端末a11の「MACアドレス62:00:11:22:33:44:55」をMAC−IPテーブル取得部47へ通知する。トレース情報管理部36から要求を受け取ったMAC−IPテーブル取得部47は、DHCPサーバ44へMACアドレスとIPアドレスの対を記したアドレス対応テーブルの取得要求を発行する(手順T23)。DHCPサーバ44からMACアドレスとIPアドレスの対を記したアドレス対応テーブルを取得する(手順T24)と、取得した情報をMAC−IPテーブル39に格納する。
【0048】
続いてMAC−IPテーブル取得部47は、トレース情報管理部36から受け取ったユーザ端末a11の「MACアドレス62:00:11:22:33:44:55」を検索キーとしてMAC−IPテーブル39を検索し、対応するユーザ端末a11のIPアドレスを取得する。本実施の形態の場合、「IPアドレス:10.10.10.2」が結果として返される。MAC−IPテーブル取得部47は、上記「IPアドレス:10.10.10.2」をトレース情報管理部36へ通知し、トレース情報管理部36は、ユーザID61(「ユーザa」)に対応してそのIPアドレス(「10.10.10.2」)を図6のトレース情報管理DB60に追加登録する(段階P2)。
【0049】
なお、MAC−IPテーブル取得部47は、トレース情報管理DB60に登録されているユーザ端末a11のMACアドレス62をDHCPサーバ44に送信して、DHCPサーバ44がアドレス対応テーブルを検索して得られた対応するIPアドレスを、DHCPサーバ44から受信してもよい。
なお、IPアドレスを管理する装置は、DHCPサーバ44に限らず適宜のアドレス管理装置を用いてもよい。
【0050】
3.第1、第2の実施の形態の変形例
認証サーバをTACACSサーバとしたときの例について説明する。
認証サーバをRADIUSサーバにしたときと同様に、TACACSサーバ内にトレース情報管理部を設ける。トレース情報管理部は、ARPテーブル取得部と認証ログ取得部を有する。トレース情報管理部は、TACACS制御部内のTACACS属性管理DBからユーザ名、ユーザ端末のMACアドレス、ユーザ端末が接続しているパケット中継装置のIPアドレスとポート番号を取得し、そしてTACACS制御部からログイン時間情報を取得し、ARPテーブルからユーザ端末のIPアドレスを取得し、認証ログからログアウト時間を取得すると、それらの情報をトレース情報管理DBに格納する。
【0051】
トレース情報管理DBに格納した情報は、TACACSサーバの管理画面、或いはリモート端末から参照可能であり、管理者はユーザの挙動を容易に理解することができる。
なお、具体的なTACACSサーバの構成及び動作については、第1及び第2の実施の形態のRADIUSサーバと同様である。
【産業上の利用可能性】
【0052】
本発明は、例えば、802.1X認証を用いる認証サーバに適用することができる。
【符号の説明】
【0053】
11 移動前のユーザ端末a
12 移動後のユーザ端末a
13、14 ユーザ端末
21、22 パケット中継装置
31、310 RADIUSサーバ
32 回線インタフェース
33 パケット処理部
34 パケット送受信部
35 RADIUS制御部
36 トレース情報管理部
37 ARPテーブル
38 認証ログDB
39 MAC−IPテーブル
41、42 サブネットワーク(部署)
43 社内LAN
44 DHCPサーバ
45 ARPテーブル取得部
46 認証ログ取得部
47 MAC−IPテーブル取得部
50 ユーザ属性管理DB
60 トレース情報管理DB
70 出力部
【特許請求の範囲】
【請求項1】
接続されるユーザ端末のMACアドレスと該ユーザ端末のIPアドレスが対応して記憶されたアドレス解決テーブルを有し、前記ユーザ端末との認証又は通信についてのログを管理するひとつ又は複数のパケット中継装置と、該パケット中継装置を介して前記ユーザ端末と通信してユーザ認証を行う認証サーバとを備えたシステムにおける前記認証サーバであって、
ユーザ識別子に対応して、前記ユーザ端末のMACアドレスと、前記ユーザ端末のIPアドレスと、前記パケット中継装置のIPアドレスと、前記ユーザ端末が繋がる前記パケット中継装置のポートのポート識別子と、前記ユーザ端末のログイン時刻又はログアウト時刻とが記憶されるトレース情報記憶部と、
前記ユーザ端末とのユーザ認証において受信される情報から、少なくともユーザ識別子と、前記ユーザ端末のMACアドレスと、前記パケット中継装置のIPアドレスと、前記ユーザ端末が接続される前記パケット中継装置のポートのポート識別子とを取得し、取得した各情報を対応して前記トレース情報記憶部に記憶する認証制御部と、
前記ユーザ端末が接続された前記パケット中継装置の前記アドレス解決テーブルを参照して、前記認証制御部で取得された前記ユーザ端末のMACアドレスに基づき、対応する前記ユーザ端末のIPアドレスを取得し、取得した前記ユーザ端末のIPアドレスをユーザ識別子に対応して前記トレース情報記憶部に記憶するアドレス解決部と、
前記パケット中継装置での前記ログを参照して前記ユーザ端末のログアウト時刻を求め、求められたログアウト時刻をユーザ識別子に対応して前記トレース情報記憶部に記憶するログ管理部と
を備えた前記認証サーバ。
【請求項2】
ユーザ端末のMACアドレスと該ユーザ端末のIPアドレスが対応して記憶されたアドレス対応テーブルを有するアドレス管理装置と、前記ユーザ端末との認証又は通信についてのログを管理するひとつ又は複数のパケット中継装置と、該パケット中継装置を介して前記ユーザ端末と通信してユーザ認証を行う認証サーバとを備えたシステムにおける前記認証サーバであって、
ユーザ識別子に対応して、前記ユーザ端末のMACアドレスと、前記ユーザ端末のIPアドレスと、前記パケット中継装置のIPアドレスと、前記ユーザ端末が繋がる前記パケット中継装置のポートのポート識別子と、前記ユーザ端末のログイン時刻又はログアウト時刻とが記憶されるトレース情報記憶部と、
前記ユーザ端末とのユーザ認証において受信される情報から、少なくともユーザ識別子と、前記ユーザ端末のMACアドレスと、前記パケット中継装置のIPアドレスと、前記ユーザ端末が接続される前記パケット中継装置のポートのポート識別子とを取得し、取得した各情報を対応して前記トレース情報記憶部に記憶する認証制御部と、
前記アドレス管理装置の前記アドレス対応テーブルを参照して、前記認証制御部で取得された前記ユーザ端末のMACアドレスに基づき、対応する前記ユーザ端末のIPアドレスを取得し、取得した前記ユーザ端末のIPアドレスをユーザ識別子に対応して前記トレース情報記憶部に記憶するアドレス解決部と、
前記パケット中継装置での前記ログを参照して前記ユーザ端末のログアウト時刻を求め、求められたログアウト時刻をユーザ識別子に対応して前記トレース情報記憶部に記憶するログ管理部と
を備えた前記認証サーバ。
【請求項3】
前記アドレス管理装置は、前記ユーザ端末にIPアドレスを割り当てるアドレス配布サーバである請求項2に記載の認証サーバ。
【請求項4】
前記認証制御部は、前記ユーザ端末がユーザ認証された時刻をログイン時刻とし、ユーザ識別子に対応して前記トレース情報記憶部に記憶する請求項1乃至3のいずれかに記載の認証サーバ。
【請求項5】
前記認証サーバは、RADIUSサーバ又はTACACSサーバであることを特徴とする請求項1乃至4のいずれかに記載の認証サーバ。
【請求項6】
前記アドレス解決部は、前記パケット中継装置から前記アドレス解決テーブルを取得し、前記認証制御部で取得されたログイン済みの前記ユーザ端末のMACアドレスを検索キーとして取得した前記アドレス解決テーブルを検索し、該当ユーザ端末に対応するIPアドレスを取得する請求項1に記載の認証サーバ。
【請求項7】
前記アドレス解決部は、SNMP又はNETCOMFを利用して前記パケット中継装置から前記アドレス解決テーブルを取得する請求項6に記載の認証サーバ。
【請求項8】
前記認証管理部は、
前記パケット中継装置から前記ログを定期的に取得し、前記トレース情報記憶部に記憶されたユーザ識別子及び前記ユーザ端末のMACアドレスを検索キーとして前記ログを検索し、該当するユーザのログアウト時刻を取得する請求項1乃至7のいずれかに記載の認証サーバ。
【請求項9】
前記トレース情報記憶部に記憶された各情報を、ユーザ識別子毎に、ログイン時刻又はログアウト時刻でソートして、ユーザの行動をトレースしたトレース情報を求める請求項1乃至8のいずれかに記載の認証サーバ。
【請求項10】
求められたトレース情報を表示又は出力する出力部をさらに備える請求項1乃至9のいずれかに記載の認証サーバ。
【請求項1】
接続されるユーザ端末のMACアドレスと該ユーザ端末のIPアドレスが対応して記憶されたアドレス解決テーブルを有し、前記ユーザ端末との認証又は通信についてのログを管理するひとつ又は複数のパケット中継装置と、該パケット中継装置を介して前記ユーザ端末と通信してユーザ認証を行う認証サーバとを備えたシステムにおける前記認証サーバであって、
ユーザ識別子に対応して、前記ユーザ端末のMACアドレスと、前記ユーザ端末のIPアドレスと、前記パケット中継装置のIPアドレスと、前記ユーザ端末が繋がる前記パケット中継装置のポートのポート識別子と、前記ユーザ端末のログイン時刻又はログアウト時刻とが記憶されるトレース情報記憶部と、
前記ユーザ端末とのユーザ認証において受信される情報から、少なくともユーザ識別子と、前記ユーザ端末のMACアドレスと、前記パケット中継装置のIPアドレスと、前記ユーザ端末が接続される前記パケット中継装置のポートのポート識別子とを取得し、取得した各情報を対応して前記トレース情報記憶部に記憶する認証制御部と、
前記ユーザ端末が接続された前記パケット中継装置の前記アドレス解決テーブルを参照して、前記認証制御部で取得された前記ユーザ端末のMACアドレスに基づき、対応する前記ユーザ端末のIPアドレスを取得し、取得した前記ユーザ端末のIPアドレスをユーザ識別子に対応して前記トレース情報記憶部に記憶するアドレス解決部と、
前記パケット中継装置での前記ログを参照して前記ユーザ端末のログアウト時刻を求め、求められたログアウト時刻をユーザ識別子に対応して前記トレース情報記憶部に記憶するログ管理部と
を備えた前記認証サーバ。
【請求項2】
ユーザ端末のMACアドレスと該ユーザ端末のIPアドレスが対応して記憶されたアドレス対応テーブルを有するアドレス管理装置と、前記ユーザ端末との認証又は通信についてのログを管理するひとつ又は複数のパケット中継装置と、該パケット中継装置を介して前記ユーザ端末と通信してユーザ認証を行う認証サーバとを備えたシステムにおける前記認証サーバであって、
ユーザ識別子に対応して、前記ユーザ端末のMACアドレスと、前記ユーザ端末のIPアドレスと、前記パケット中継装置のIPアドレスと、前記ユーザ端末が繋がる前記パケット中継装置のポートのポート識別子と、前記ユーザ端末のログイン時刻又はログアウト時刻とが記憶されるトレース情報記憶部と、
前記ユーザ端末とのユーザ認証において受信される情報から、少なくともユーザ識別子と、前記ユーザ端末のMACアドレスと、前記パケット中継装置のIPアドレスと、前記ユーザ端末が接続される前記パケット中継装置のポートのポート識別子とを取得し、取得した各情報を対応して前記トレース情報記憶部に記憶する認証制御部と、
前記アドレス管理装置の前記アドレス対応テーブルを参照して、前記認証制御部で取得された前記ユーザ端末のMACアドレスに基づき、対応する前記ユーザ端末のIPアドレスを取得し、取得した前記ユーザ端末のIPアドレスをユーザ識別子に対応して前記トレース情報記憶部に記憶するアドレス解決部と、
前記パケット中継装置での前記ログを参照して前記ユーザ端末のログアウト時刻を求め、求められたログアウト時刻をユーザ識別子に対応して前記トレース情報記憶部に記憶するログ管理部と
を備えた前記認証サーバ。
【請求項3】
前記アドレス管理装置は、前記ユーザ端末にIPアドレスを割り当てるアドレス配布サーバである請求項2に記載の認証サーバ。
【請求項4】
前記認証制御部は、前記ユーザ端末がユーザ認証された時刻をログイン時刻とし、ユーザ識別子に対応して前記トレース情報記憶部に記憶する請求項1乃至3のいずれかに記載の認証サーバ。
【請求項5】
前記認証サーバは、RADIUSサーバ又はTACACSサーバであることを特徴とする請求項1乃至4のいずれかに記載の認証サーバ。
【請求項6】
前記アドレス解決部は、前記パケット中継装置から前記アドレス解決テーブルを取得し、前記認証制御部で取得されたログイン済みの前記ユーザ端末のMACアドレスを検索キーとして取得した前記アドレス解決テーブルを検索し、該当ユーザ端末に対応するIPアドレスを取得する請求項1に記載の認証サーバ。
【請求項7】
前記アドレス解決部は、SNMP又はNETCOMFを利用して前記パケット中継装置から前記アドレス解決テーブルを取得する請求項6に記載の認証サーバ。
【請求項8】
前記認証管理部は、
前記パケット中継装置から前記ログを定期的に取得し、前記トレース情報記憶部に記憶されたユーザ識別子及び前記ユーザ端末のMACアドレスを検索キーとして前記ログを検索し、該当するユーザのログアウト時刻を取得する請求項1乃至7のいずれかに記載の認証サーバ。
【請求項9】
前記トレース情報記憶部に記憶された各情報を、ユーザ識別子毎に、ログイン時刻又はログアウト時刻でソートして、ユーザの行動をトレースしたトレース情報を求める請求項1乃至8のいずれかに記載の認証サーバ。
【請求項10】
求められたトレース情報を表示又は出力する出力部をさらに備える請求項1乃至9のいずれかに記載の認証サーバ。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【公開番号】特開2010−187223(P2010−187223A)
【公開日】平成22年8月26日(2010.8.26)
【国際特許分類】
【出願番号】特願2009−30157(P2009−30157)
【出願日】平成21年2月12日(2009.2.12)
【出願人】(504411166)アラクサラネットワークス株式会社 (315)
【Fターム(参考)】
【公開日】平成22年8月26日(2010.8.26)
【国際特許分類】
【出願日】平成21年2月12日(2009.2.12)
【出願人】(504411166)アラクサラネットワークス株式会社 (315)
【Fターム(参考)】
[ Back to top ]