認証システム、通信機器、接続制御方法および接続制御プログラム
【課題】LANへの接続認証と広域ネットワークへの接続認証とを分離し、広域ネットワークへのきめ細かい接続制御を実現し、正当なユーザ以外の広域ネットワークへ接続を防止する。
【解決手段】通信機器20は、LAN10に接続された端末11から受信した認証情報を、広域ネットワーク30に接続された認証サーバ40に送信する接続処理手段と、認証サーバ40から受信した認証結果に基づいて端末11の経路情報をルーティングプロトコル間で再配布する経路再配布手段とを備え、経路再配布手段は、認証成功の認証結果の場合に前記端末11の経路情報を前記広域ネットワーク30のルーティングプロトコルに再配布し、認証エラーの認証結果の場合に前記端末の経路情報の再配布を停止する。
【解決手段】通信機器20は、LAN10に接続された端末11から受信した認証情報を、広域ネットワーク30に接続された認証サーバ40に送信する接続処理手段と、認証サーバ40から受信した認証結果に基づいて端末11の経路情報をルーティングプロトコル間で再配布する経路再配布手段とを備え、経路再配布手段は、認証成功の認証結果の場合に前記端末11の経路情報を前記広域ネットワーク30のルーティングプロトコルに再配布し、認証エラーの認証結果の場合に前記端末の経路情報の再配布を停止する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、ネットワーク接続の認証技術に関し、特に広域ネットワーク接続の認証技術に関する。
【背景技術】
【0002】
ネットワーク接続に関する認証規格として、IEEE802.1Xがある。IEEE802.1Xは、あらかじめ定めた端末以外は、LAN(Local Area Network)に接続できないように制限する規格である。このIEEE802.1Xでは、端末がLANスイッチに接続されると、端末からの認証メッセージがLANスイッチを介して認証サーバに送信され、認証サーバでの認証後に端末はLANに接続され通信が可能となる。IEEE802.1Xについては、例えば、非特許文献1に記載されている。
【非特許文献1】“IEEE802.1X - Port Based Network Access Control”、[online]、[平成20年2月18日検索]、インターネット<URL: http://standards.ieee.org/getieee802/download/802.1X-2001.pdf>
【発明の開示】
【発明が解決しようとする課題】
【0003】
IEEE802.1Xは、前述のとおりLANへの接続を認証により制限する規格である。そのため、LANを介して広域ネットワークに接続する場合や、離れた拠点にある別のLANに広域ネットワークを介して接続する場合において、LANへの接続は許可するが、広域ネットワークへの接続は許可しないなど、LANと広域ネットワークとで異なる認証(接続規制)を行う場合、IEEE802.1Xでは対応できない。
【0004】
また、LANや広域ネットワークで用いられるIP(Internet Protocol)の経路制御技術では、複数のルーティングプロトコル(例えば、RIP、OSPF、ISIS、BGP等)が使用されており、あるルーティングプロトコルの経路を他のルーティングプロトコルの経路として利用したい場合、この経路を他のルーティングプロトコルに再配布することにより、他のルーティングプロトコルの経路として利用可能となるものである。経路再配布では、特定の経路のみを再配布する場合、手動で再配布の設定を行う必要があり、認証に成功したユーザの経路を選択して再配布しようとすると、当該経路を手動でひとつひとつ設定しなければならず、作業負荷が大きい。
【0005】
本発明は上記事情に鑑みてなされたものであり、本発明の目的は、LANへの接続認証と広域ネットワークへの接続認証とを分離し、広域ネットワークへのきめ細かい接続制御を実現し、正当なユーザ以外の広域ネットワークへ接続を防止することにある。
【課題を解決するための手段】
【0006】
上記課題を解決するために、本発明は、認証システムであって、LANに接続された少なくとも1つの端末と、広域ネットワークに接続された認証サーバと、前記LANおよび前記広域ネットワークに接続された通信機器と、を有し、前記通信機器は、前記端末から前記LANを介して受信した認証情報を、前記広域ネットワークを介して認証サーバに送信する接続処理手段と、前記認証サーバから受信した認証結果に基づいて、前記端末の経路情報をルーティングプロトコル間で再配布する経路再配布手段とを備え、前記経路再配布手段は、認証成功の認証結果の場合に前記端末の経路情報を前記広域ネットワークのルーティングプロトコルに再配布し、認証エラーの認証結果の場合に前記端末の経路情報の再配布を停止する。
【0007】
また、本発明は、LANおよび広域ネットワークに接続された通信機器であって、前記LANに接続された端末から受信した認証情報を、前記広域ネットワークに接続された認証サーバに送信する接続処理手段と、前記認証サーバから受信した認証結果に基づいて、前記端末の経路情報をルーティングプロトコル間で再配布する経路再配布手段と、を備え、前記経路再配布手段は、認証成功の認証結果の場合に前記端末の経路情報を前記広域ネットワークのルーティングプロトコルに再配布し、認証エラーの認証結果の場合に前記端末の経路情報の再配布を停止する。
【0008】
また、本発明は、LANおよび広域ネットワークに接続された通信機器が行う、前記広域ネットワークへの接続制御方法であって、前記通信機器は、前記LANに接続された端末から受信した認証情報を、前記広域ネットワークに接続された認証サーバに送信する送信ステップと、前記認証サーバから受信した認証結果に基づいて、前記端末の経路情報をルーティングプロトコル間で再配布する経路再配布ステップとを行い、前記経路再配布ステップは、認証成功の認証結果の場合に前記端末の経路情報を前記広域ネットワークのルーティングプロトコルに再配布し、認証エラーの認証結果の場合に前記端末の経路情報の再配布を停止する。
【0009】
また、本発明は、LANおよび広域ネットワークに接続された通信機器が実行する、前記広域ネットワークへの接続制御プログラムであって、前記通信機器に、前記LANに接続された端末から受信した認証情報を、前記広域ネットワークに接続された認証サーバに送信する送信ステップと、前記認証サーバから受信した認証結果に基づいて、前記端末の経路情報をルーティングプロトコル間で再配布する経路再配布ステップとを実行させ、前記経路再配布ステップは、認証成功の認証結果の場合に前記端末の経路情報を前記広域ネットワークのルーティングプロトコルに再配布し、認証エラーの認証結果の場合に前記端末の経路情報の再配布を停止する。
【発明の効果】
【0010】
本発明により、LANへの接続認証と広域ネットワークの接続認証とを分離して、広域ネットワークへのきめ細かい接続制御を行い、正当なユーザ以外の広域ネットワークへ接続を防止することができる。
【発明を実施するための最良の形態】
【0011】
以下、本発明の実施の形態について説明する。
【0012】
図1は、本発明の一実施形態が適用された認証システムの全体構成図である。本実施形態では、インターネットなどの広域ネットワーク30に、ルータ(通信機器)20を介して複数のLAN10が接続されている。
【0013】
そして、各LAN10には、少なくとも1つの端末11(例えば、PC(Personal Computer)等)が接続されている。端末11は、LAN10内の他の端末と通信するとともに、広域ネットワーク30および広域ネットワーク30を介して他のLANの端末11と通信する。
【0014】
広域ネットワーク30に接続された認証サーバ40は、広域ネットワークへ接続する端末11のユーザが、正規のユーザか否かの認証を行う。図示する認証サーバ40は、正規のユーザの認証情報が記憶された認証DB41を備える。
【0015】
ルータ20は、LAN10と広域ネットワーク30の両端に設置され、異なるネットワーク10、30間を相互接続するゲートウェイの機能を有する機器である。
【0016】
図2は、ルータのブロック図を示すものである。
【0017】
図示するルータは、接続処理部21と、経路再配布部22と、フォワーディング部(中継部)23と、広域ネットワーク用ルーティングテーブル25と、LAN用ルーティングテーブル26と、認証結果テーブル27とを備える。
【0018】
接続処理部21は、端末11がLAN10を介して送信した認証情報を受信し、当該認証情報を広域ネットワーク30を介して認証サーバ40に送信する。また、接続処理部21は、認証サーバ40から受信した認証結果を認証結果テーブル27に登録する。経路再配布部22は、認証サーバ40が認証した認証結果に基づいて、端末11の経路情報を広域ネットワーク30のルーティングプロトコルに再配布する。フォワーディング部23は、広域ネットワーク用ルーティングテーブル25およびLAN用ルーティングテーブル26を参照して、端末11などから送信されたデータを広域ネットワーク30またはLAN10に中継する。
【0019】
本実施形態では、LAN10で利用するルーティングプロトコルと、広域ネットワーク30で利用するルーティングプロトコルとは、異なる。そのため、ルータ20は、広域ネットワーク用ルーティングテーブル25とLAN用ルーティングテーブル26とを備える。そして、認証に成功したユーザ(端末11)の経路のみを、LAN用ルーティングテーブル26から広域ネットワーク用ルーティングテーブル25に再配布する。
【0020】
そのため、本実施形態のLAN用ルーティングテーブル26および広域ネットワーク用ルーティングテーブル25は、ユーザ(端末11)単位で経路情報が設定されている。具体的には、各ルーティングテーブル25、26は、端末11のIPアドレス(端末識別情報)毎に、経路情報が設定されているものとする。
【0021】
なお、図1には図示されていないが、前述のIEEE802.1Xに従ってLAN10への接続を認証する認証サーバおよびLANスイッチが、各LAN10に備えられている。そして、本実施形態では、LAN10でのIEEE802.1Xに従った認証と、ルータ20および認証サーバ40を用いた広域ネットワーク30での認証とは、分離して行われるものとする。
【0022】
上記説明した、端末11、ルータ20および認証サーバ40は、いずれも、CPUと、メモリと、ネットワークと接続するための通信制御装置とを備えた機器を用いることができる。この機器において、CPUがメモリ上にロードされた所定のプログラムを実行することにより、各装置の各機能が実現される。
【0023】
例えば、端末11、ルータ20および認証サーバ40の各機能は、端末11用のプログラムの場合は端末11のCPUが、ルータ20用のプログラムの場合はルータ20のCPUが、そして、認証サーバ40用のプログラムの場合は認証サーバ40のCPUがそれぞれ実行することにより実現される。なお、ルータ20の各テーブル25、26、27には、ルータ20のメモリが用いられ、認証サーバ40の認証テーブル41には、認証サーバ40のメモリまたは外部記憶装置が用いられる。なお、各装置は、必要に応じて入力装置、出力装置、外部記憶装置を備えるものとする。
【0024】
次に、本実施形態の処理について説明する。
【0025】
図3は、本実施形態の処理を示すシーケンス図である。図示する処理は、IEEE802.1Xに従ったLAN10での認証に成功した後に行われる。
【0026】
端末11は、ユーザの指示を受け付けて、広域ネットワーク30への接続要求を、LAN10を介してルータ20に送信する(S11)。ルータ20の接続処理部21は、接続要求を受信すると、認証要求を要求元の端末11に送信する(S12)。端末11は、認証要求を受信すると、ユーザID、パスワード等の認証情報を、ルータ20に送信する(S13)。なお、認証情報には、当該端末11のIPアドレスが付加されている。
【0027】
ルータ20の接続処理部21は、端末11から受信した認証情報を、広域ネットワーク30を介して認証サーバ40に送信する(S14)。認証サーバ40は、認証DB41を参照し、受信した認証情報が正当か否かを判別する(S15)。例えば、認証情報がユーザIDおよびパスワードの場合、受信した認証情報に一致するユーザIDおよびパスワードが認証DB41に存在する場合に正当なユーザ(または端末)であると認証する。なお、認証サーバ40は、ICカード、生体情報などを用いた認証を行うことも考えられる。そして、認証サーバ40は、認証結果(認証OK、認証NG)をルータ20に送信する(S16)。
【0028】
ルータ20の接続処理部21は、認証サーバ40から受信した認証結果を当該端末11のIPアドレスとともに認証結果テーブル27に登録する(S17)。すなわち、認証結果テーブル27は、端末毎に認証OKまたは認証NGの認証結果が記憶されるものとする。
【0029】
認証結果が認証OKの場合(S18:YES)、経路再配布部22は、広域ネットワーク用ルーティングテーブル25に当該端末11の経路情報を登録し、当該端末11の経路情報を広域ネットワーク30のルーティングプロトコルに再配布する(S19)。すなわち、一般的な経路再配布の技術を用いて、端末の経路情報については、対応するIPアドレスの経路情報をLAN用ルーティングテーブル26から取得するものとする。
【0030】
広域ネットワーク用ルーティングテーブル25に登録された経路情報は、広域ネットワーク30のルーティングプロトコルにより広告され、広域ネットワーク30での当該端末11の通信が可能となる。なお、当該端末11の経路情報が既に広域ネットワーク用ルーティングテーブル25に登録されている場合、経路再配布部22は広域ネットワーク用ルーティングテーブル25への登録を行わず、次の処理に進む。
【0031】
そして、接続処理部21は、認証に成功した旨を示す認証応答を、端末11に送信する(S20)。これにより、端末11は、ルータ20を介して、広域ネットワーク30への接続が可能となり、ルータ20のフォワーディング部23は、当該端末11のデータ(パケット)を広域ネットワーク30に中継する。
【0032】
また、本実施形態では、端末11が広域ネットワーク30に接続している間、所定のタイミング(有効時間間隔)でS12に戻り、繰り返し認証を行うものとする。すなわち、接続処理部21は、S19で当該端末11の経路情報の再配布を行ってから所定の有効時間が経過したか否かを監視する(S21)。有効時間が経過した場合(S21:YES)、接続処理部21は、S12に戻り、当該端末11に認証要求を送信し、以降の処理を行う。
【0033】
なお、有効時間は、ルータ20のメモリまたは外部記憶装置にあらかじめ記憶されているものとする。また、端末毎に個別に有効時間を設定すること、あるいは、全ての端末11に対して同じ有効時間を設定することなどが考えられる。
【0034】
一方、認証結果が認証NGの場合(S18:NO)、経路再配布部22は、広域ネットワーク30のルーティングプロトコルへの経路情報の再配布を停止する(S25)。すなわち、経路再配布部22は、広域ネットワーク用ルーティングテーブル25に当該端末11の経路情報が登録されている場合は、当該経路情報を広域ネットワーク用ルーティングテーブル25から削除する。これにより、広域ネットワーク30のルーティングプロトコルによる、当該端末の経路情報の再配布が停止される。なお、当該端末11の経路情報が広域ネットワーク用ルーティングテーブル25に登録されていない場合、広域ネットワーク用ルーティングテーブル25への削除を行わず、次の処理に進む。
【0035】
そして、接続処理部21は、認証に失敗した旨を示す認証応答を、端末11に送信する(S26)。これにより、認証に失敗した端末11から、広域ネットワーク30に所定のデータを送信した場合であっても、広域ネットワーク30では当該端末の経路情報が広告されていないため、広域ネットワーク30へ通信できず、当該端末11のデータ(パケット)は広域ネットワーク30に中継されない。
【0036】
以上説明した本実施形態では、LANで利用されるIEEE802.1Xの認証とは別に、広域ネットワークへの接続を規制するための認証を新たに導入した。これにより、本実施形態では、LANへの接続認証と広域ネットワークへの接続認証とを分離し、広域ネットワークへのきめ細かい接続制御を実現し、正当なユーザ以外の広域ネットワークへ接続を防止することができる。すなわち、広域ネットワークの利用が許可された正規ユーザ以外の経路情報を広域ネットワークのルーティングプロトコルに再配布させないことにより、経路制御の観点から不正使用を防止することができる。
【0037】
また、本実施形態では、広域ネットワークでの認証に成功したユーザ(端末)のみの経路情報が、広域ネットワーク用ルーティングテーブルに自動的に登録される。これにより、ネットワーク管理者等が手動で再配布する経路情報を個別に設定する場合に比べて、作業負荷が大幅に軽減され、また、手動で設定する場合に発生する人為的なミスを防止することができる。すなわち、ネットワークの信頼性をより向上させることができる。
【0038】
また、本実施形態の広域ネットワーク用ルーティングテーブルは、ユーザ(端末11)単位で経路情報が設定されているため、柔軟できめ細かい経路制御を行うことができる。
【0039】
また、本実施形態では、所定の有効時間間隔で繰り返し認証を行うことにより、セキュリティをより強化することができる。
【0040】
なお、本発明は上記の実施形態に限定されるものではなく、その要旨の範囲内で数々の変形が可能である。
【図面の簡単な説明】
【0041】
【図1】本発明の一実施形態が適用された認証システムの全体構成を示す図である。
【図2】ルータの機能ブロック図である。
【図3】認証システムの処理を示すシーケンス図である。
【符号の説明】
【0042】
10:LAN
11:端末
20:ルータ
21:接続処理部
22:経路再配布部
23:フォワーディング部
25:広域ネットワーク用ルーティングテーブル
26:LAN用ルーティングテーブル
27:認証結果テーブル
30:広域ネットワーク
40:認証サーバ
41:認証DB
【技術分野】
【0001】
本発明は、ネットワーク接続の認証技術に関し、特に広域ネットワーク接続の認証技術に関する。
【背景技術】
【0002】
ネットワーク接続に関する認証規格として、IEEE802.1Xがある。IEEE802.1Xは、あらかじめ定めた端末以外は、LAN(Local Area Network)に接続できないように制限する規格である。このIEEE802.1Xでは、端末がLANスイッチに接続されると、端末からの認証メッセージがLANスイッチを介して認証サーバに送信され、認証サーバでの認証後に端末はLANに接続され通信が可能となる。IEEE802.1Xについては、例えば、非特許文献1に記載されている。
【非特許文献1】“IEEE802.1X - Port Based Network Access Control”、[online]、[平成20年2月18日検索]、インターネット<URL: http://standards.ieee.org/getieee802/download/802.1X-2001.pdf>
【発明の開示】
【発明が解決しようとする課題】
【0003】
IEEE802.1Xは、前述のとおりLANへの接続を認証により制限する規格である。そのため、LANを介して広域ネットワークに接続する場合や、離れた拠点にある別のLANに広域ネットワークを介して接続する場合において、LANへの接続は許可するが、広域ネットワークへの接続は許可しないなど、LANと広域ネットワークとで異なる認証(接続規制)を行う場合、IEEE802.1Xでは対応できない。
【0004】
また、LANや広域ネットワークで用いられるIP(Internet Protocol)の経路制御技術では、複数のルーティングプロトコル(例えば、RIP、OSPF、ISIS、BGP等)が使用されており、あるルーティングプロトコルの経路を他のルーティングプロトコルの経路として利用したい場合、この経路を他のルーティングプロトコルに再配布することにより、他のルーティングプロトコルの経路として利用可能となるものである。経路再配布では、特定の経路のみを再配布する場合、手動で再配布の設定を行う必要があり、認証に成功したユーザの経路を選択して再配布しようとすると、当該経路を手動でひとつひとつ設定しなければならず、作業負荷が大きい。
【0005】
本発明は上記事情に鑑みてなされたものであり、本発明の目的は、LANへの接続認証と広域ネットワークへの接続認証とを分離し、広域ネットワークへのきめ細かい接続制御を実現し、正当なユーザ以外の広域ネットワークへ接続を防止することにある。
【課題を解決するための手段】
【0006】
上記課題を解決するために、本発明は、認証システムであって、LANに接続された少なくとも1つの端末と、広域ネットワークに接続された認証サーバと、前記LANおよび前記広域ネットワークに接続された通信機器と、を有し、前記通信機器は、前記端末から前記LANを介して受信した認証情報を、前記広域ネットワークを介して認証サーバに送信する接続処理手段と、前記認証サーバから受信した認証結果に基づいて、前記端末の経路情報をルーティングプロトコル間で再配布する経路再配布手段とを備え、前記経路再配布手段は、認証成功の認証結果の場合に前記端末の経路情報を前記広域ネットワークのルーティングプロトコルに再配布し、認証エラーの認証結果の場合に前記端末の経路情報の再配布を停止する。
【0007】
また、本発明は、LANおよび広域ネットワークに接続された通信機器であって、前記LANに接続された端末から受信した認証情報を、前記広域ネットワークに接続された認証サーバに送信する接続処理手段と、前記認証サーバから受信した認証結果に基づいて、前記端末の経路情報をルーティングプロトコル間で再配布する経路再配布手段と、を備え、前記経路再配布手段は、認証成功の認証結果の場合に前記端末の経路情報を前記広域ネットワークのルーティングプロトコルに再配布し、認証エラーの認証結果の場合に前記端末の経路情報の再配布を停止する。
【0008】
また、本発明は、LANおよび広域ネットワークに接続された通信機器が行う、前記広域ネットワークへの接続制御方法であって、前記通信機器は、前記LANに接続された端末から受信した認証情報を、前記広域ネットワークに接続された認証サーバに送信する送信ステップと、前記認証サーバから受信した認証結果に基づいて、前記端末の経路情報をルーティングプロトコル間で再配布する経路再配布ステップとを行い、前記経路再配布ステップは、認証成功の認証結果の場合に前記端末の経路情報を前記広域ネットワークのルーティングプロトコルに再配布し、認証エラーの認証結果の場合に前記端末の経路情報の再配布を停止する。
【0009】
また、本発明は、LANおよび広域ネットワークに接続された通信機器が実行する、前記広域ネットワークへの接続制御プログラムであって、前記通信機器に、前記LANに接続された端末から受信した認証情報を、前記広域ネットワークに接続された認証サーバに送信する送信ステップと、前記認証サーバから受信した認証結果に基づいて、前記端末の経路情報をルーティングプロトコル間で再配布する経路再配布ステップとを実行させ、前記経路再配布ステップは、認証成功の認証結果の場合に前記端末の経路情報を前記広域ネットワークのルーティングプロトコルに再配布し、認証エラーの認証結果の場合に前記端末の経路情報の再配布を停止する。
【発明の効果】
【0010】
本発明により、LANへの接続認証と広域ネットワークの接続認証とを分離して、広域ネットワークへのきめ細かい接続制御を行い、正当なユーザ以外の広域ネットワークへ接続を防止することができる。
【発明を実施するための最良の形態】
【0011】
以下、本発明の実施の形態について説明する。
【0012】
図1は、本発明の一実施形態が適用された認証システムの全体構成図である。本実施形態では、インターネットなどの広域ネットワーク30に、ルータ(通信機器)20を介して複数のLAN10が接続されている。
【0013】
そして、各LAN10には、少なくとも1つの端末11(例えば、PC(Personal Computer)等)が接続されている。端末11は、LAN10内の他の端末と通信するとともに、広域ネットワーク30および広域ネットワーク30を介して他のLANの端末11と通信する。
【0014】
広域ネットワーク30に接続された認証サーバ40は、広域ネットワークへ接続する端末11のユーザが、正規のユーザか否かの認証を行う。図示する認証サーバ40は、正規のユーザの認証情報が記憶された認証DB41を備える。
【0015】
ルータ20は、LAN10と広域ネットワーク30の両端に設置され、異なるネットワーク10、30間を相互接続するゲートウェイの機能を有する機器である。
【0016】
図2は、ルータのブロック図を示すものである。
【0017】
図示するルータは、接続処理部21と、経路再配布部22と、フォワーディング部(中継部)23と、広域ネットワーク用ルーティングテーブル25と、LAN用ルーティングテーブル26と、認証結果テーブル27とを備える。
【0018】
接続処理部21は、端末11がLAN10を介して送信した認証情報を受信し、当該認証情報を広域ネットワーク30を介して認証サーバ40に送信する。また、接続処理部21は、認証サーバ40から受信した認証結果を認証結果テーブル27に登録する。経路再配布部22は、認証サーバ40が認証した認証結果に基づいて、端末11の経路情報を広域ネットワーク30のルーティングプロトコルに再配布する。フォワーディング部23は、広域ネットワーク用ルーティングテーブル25およびLAN用ルーティングテーブル26を参照して、端末11などから送信されたデータを広域ネットワーク30またはLAN10に中継する。
【0019】
本実施形態では、LAN10で利用するルーティングプロトコルと、広域ネットワーク30で利用するルーティングプロトコルとは、異なる。そのため、ルータ20は、広域ネットワーク用ルーティングテーブル25とLAN用ルーティングテーブル26とを備える。そして、認証に成功したユーザ(端末11)の経路のみを、LAN用ルーティングテーブル26から広域ネットワーク用ルーティングテーブル25に再配布する。
【0020】
そのため、本実施形態のLAN用ルーティングテーブル26および広域ネットワーク用ルーティングテーブル25は、ユーザ(端末11)単位で経路情報が設定されている。具体的には、各ルーティングテーブル25、26は、端末11のIPアドレス(端末識別情報)毎に、経路情報が設定されているものとする。
【0021】
なお、図1には図示されていないが、前述のIEEE802.1Xに従ってLAN10への接続を認証する認証サーバおよびLANスイッチが、各LAN10に備えられている。そして、本実施形態では、LAN10でのIEEE802.1Xに従った認証と、ルータ20および認証サーバ40を用いた広域ネットワーク30での認証とは、分離して行われるものとする。
【0022】
上記説明した、端末11、ルータ20および認証サーバ40は、いずれも、CPUと、メモリと、ネットワークと接続するための通信制御装置とを備えた機器を用いることができる。この機器において、CPUがメモリ上にロードされた所定のプログラムを実行することにより、各装置の各機能が実現される。
【0023】
例えば、端末11、ルータ20および認証サーバ40の各機能は、端末11用のプログラムの場合は端末11のCPUが、ルータ20用のプログラムの場合はルータ20のCPUが、そして、認証サーバ40用のプログラムの場合は認証サーバ40のCPUがそれぞれ実行することにより実現される。なお、ルータ20の各テーブル25、26、27には、ルータ20のメモリが用いられ、認証サーバ40の認証テーブル41には、認証サーバ40のメモリまたは外部記憶装置が用いられる。なお、各装置は、必要に応じて入力装置、出力装置、外部記憶装置を備えるものとする。
【0024】
次に、本実施形態の処理について説明する。
【0025】
図3は、本実施形態の処理を示すシーケンス図である。図示する処理は、IEEE802.1Xに従ったLAN10での認証に成功した後に行われる。
【0026】
端末11は、ユーザの指示を受け付けて、広域ネットワーク30への接続要求を、LAN10を介してルータ20に送信する(S11)。ルータ20の接続処理部21は、接続要求を受信すると、認証要求を要求元の端末11に送信する(S12)。端末11は、認証要求を受信すると、ユーザID、パスワード等の認証情報を、ルータ20に送信する(S13)。なお、認証情報には、当該端末11のIPアドレスが付加されている。
【0027】
ルータ20の接続処理部21は、端末11から受信した認証情報を、広域ネットワーク30を介して認証サーバ40に送信する(S14)。認証サーバ40は、認証DB41を参照し、受信した認証情報が正当か否かを判別する(S15)。例えば、認証情報がユーザIDおよびパスワードの場合、受信した認証情報に一致するユーザIDおよびパスワードが認証DB41に存在する場合に正当なユーザ(または端末)であると認証する。なお、認証サーバ40は、ICカード、生体情報などを用いた認証を行うことも考えられる。そして、認証サーバ40は、認証結果(認証OK、認証NG)をルータ20に送信する(S16)。
【0028】
ルータ20の接続処理部21は、認証サーバ40から受信した認証結果を当該端末11のIPアドレスとともに認証結果テーブル27に登録する(S17)。すなわち、認証結果テーブル27は、端末毎に認証OKまたは認証NGの認証結果が記憶されるものとする。
【0029】
認証結果が認証OKの場合(S18:YES)、経路再配布部22は、広域ネットワーク用ルーティングテーブル25に当該端末11の経路情報を登録し、当該端末11の経路情報を広域ネットワーク30のルーティングプロトコルに再配布する(S19)。すなわち、一般的な経路再配布の技術を用いて、端末の経路情報については、対応するIPアドレスの経路情報をLAN用ルーティングテーブル26から取得するものとする。
【0030】
広域ネットワーク用ルーティングテーブル25に登録された経路情報は、広域ネットワーク30のルーティングプロトコルにより広告され、広域ネットワーク30での当該端末11の通信が可能となる。なお、当該端末11の経路情報が既に広域ネットワーク用ルーティングテーブル25に登録されている場合、経路再配布部22は広域ネットワーク用ルーティングテーブル25への登録を行わず、次の処理に進む。
【0031】
そして、接続処理部21は、認証に成功した旨を示す認証応答を、端末11に送信する(S20)。これにより、端末11は、ルータ20を介して、広域ネットワーク30への接続が可能となり、ルータ20のフォワーディング部23は、当該端末11のデータ(パケット)を広域ネットワーク30に中継する。
【0032】
また、本実施形態では、端末11が広域ネットワーク30に接続している間、所定のタイミング(有効時間間隔)でS12に戻り、繰り返し認証を行うものとする。すなわち、接続処理部21は、S19で当該端末11の経路情報の再配布を行ってから所定の有効時間が経過したか否かを監視する(S21)。有効時間が経過した場合(S21:YES)、接続処理部21は、S12に戻り、当該端末11に認証要求を送信し、以降の処理を行う。
【0033】
なお、有効時間は、ルータ20のメモリまたは外部記憶装置にあらかじめ記憶されているものとする。また、端末毎に個別に有効時間を設定すること、あるいは、全ての端末11に対して同じ有効時間を設定することなどが考えられる。
【0034】
一方、認証結果が認証NGの場合(S18:NO)、経路再配布部22は、広域ネットワーク30のルーティングプロトコルへの経路情報の再配布を停止する(S25)。すなわち、経路再配布部22は、広域ネットワーク用ルーティングテーブル25に当該端末11の経路情報が登録されている場合は、当該経路情報を広域ネットワーク用ルーティングテーブル25から削除する。これにより、広域ネットワーク30のルーティングプロトコルによる、当該端末の経路情報の再配布が停止される。なお、当該端末11の経路情報が広域ネットワーク用ルーティングテーブル25に登録されていない場合、広域ネットワーク用ルーティングテーブル25への削除を行わず、次の処理に進む。
【0035】
そして、接続処理部21は、認証に失敗した旨を示す認証応答を、端末11に送信する(S26)。これにより、認証に失敗した端末11から、広域ネットワーク30に所定のデータを送信した場合であっても、広域ネットワーク30では当該端末の経路情報が広告されていないため、広域ネットワーク30へ通信できず、当該端末11のデータ(パケット)は広域ネットワーク30に中継されない。
【0036】
以上説明した本実施形態では、LANで利用されるIEEE802.1Xの認証とは別に、広域ネットワークへの接続を規制するための認証を新たに導入した。これにより、本実施形態では、LANへの接続認証と広域ネットワークへの接続認証とを分離し、広域ネットワークへのきめ細かい接続制御を実現し、正当なユーザ以外の広域ネットワークへ接続を防止することができる。すなわち、広域ネットワークの利用が許可された正規ユーザ以外の経路情報を広域ネットワークのルーティングプロトコルに再配布させないことにより、経路制御の観点から不正使用を防止することができる。
【0037】
また、本実施形態では、広域ネットワークでの認証に成功したユーザ(端末)のみの経路情報が、広域ネットワーク用ルーティングテーブルに自動的に登録される。これにより、ネットワーク管理者等が手動で再配布する経路情報を個別に設定する場合に比べて、作業負荷が大幅に軽減され、また、手動で設定する場合に発生する人為的なミスを防止することができる。すなわち、ネットワークの信頼性をより向上させることができる。
【0038】
また、本実施形態の広域ネットワーク用ルーティングテーブルは、ユーザ(端末11)単位で経路情報が設定されているため、柔軟できめ細かい経路制御を行うことができる。
【0039】
また、本実施形態では、所定の有効時間間隔で繰り返し認証を行うことにより、セキュリティをより強化することができる。
【0040】
なお、本発明は上記の実施形態に限定されるものではなく、その要旨の範囲内で数々の変形が可能である。
【図面の簡単な説明】
【0041】
【図1】本発明の一実施形態が適用された認証システムの全体構成を示す図である。
【図2】ルータの機能ブロック図である。
【図3】認証システムの処理を示すシーケンス図である。
【符号の説明】
【0042】
10:LAN
11:端末
20:ルータ
21:接続処理部
22:経路再配布部
23:フォワーディング部
25:広域ネットワーク用ルーティングテーブル
26:LAN用ルーティングテーブル
27:認証結果テーブル
30:広域ネットワーク
40:認証サーバ
41:認証DB
【特許請求の範囲】
【請求項1】
認証システムであって、
LANに接続された少なくとも1つの端末と、広域ネットワークに接続された認証サーバと、前記LANおよび前記広域ネットワークに接続された通信機器と、を有し、
前記通信機器は、
前記端末から前記LANを介して受信した認証情報を、前記広域ネットワークを介して認証サーバに送信する接続処理手段と、
前記認証サーバから受信した認証結果に基づいて、前記端末の経路情報をルーティングプロトコル間で再配布する経路再配布手段と、を備え、
前記経路再配布手段は、認証成功の認証結果の場合に前記端末の経路情報を前記広域ネットワークのルーティングプロトコルに再配布し、認証エラーの認証結果の場合に前記端末の経路情報の再配布を停止すること
を特徴とする認証システム。
【請求項2】
請求項1記載の認証システムであって、
前記通信機器は、前記広域ネットワーク用のルーティングテーブルを有し、
前記経路再配布手段は、認証成功の認証結果の場合に前記端末の経路情報を、前記ルーティングテーブルに登録することにより当該端末の経路情報を再配布し、認証エラーの認証結果の場合に前記端末の経路情報を、前記ルーティングテーブルから削除することにより当該端末の経路情報の再配布を停止すること
を特徴とする認証システム。
【請求項3】
請求項2記載の認証システムであって、
前記経路再配布手段は、端末毎に、前記ルーティングテーブルへ登録または削除を行うこと
を特徴とする認証システム。
【請求項4】
請求項1から請求項3のいずれか1項に記載の認証システムであって、
前記接続処理手段は、認証成功の端末に対して、所定の有効時間毎に前記認証情報を取得し、当該認証情報を認証サーバに送信し、
前記経路再配布手段は、前記所定の有効時間毎に前記認証サーバから受信した認証結果に基づいて、前記端末の経路情報の再配布または再配布停止を行うこと
を特徴とする認証システム。
【請求項5】
LANおよび広域ネットワークに接続された通信機器であって、
前記LANに接続された端末から受信した認証情報を、前記広域ネットワークに接続された認証サーバに送信する接続処理手段と、
前記認証サーバから受信した認証結果に基づいて、前記端末の経路情報をルーティングプロトコル間で再配布する経路再配布手段と、を備え、
前記経路再配布手段は、認証成功の認証結果の場合に前記端末の経路情報を前記広域ネットワークのルーティングプロトコルに再配布し、認証エラーの認証結果の場合に前記端末の経路情報の再配布を停止すること
を特徴とする通信機器。
【請求項6】
請求項5記載の通信機器であって、
前記広域ネットワーク用のルーティングテーブルを有し、
前記経路再配布手段は、認証成功の認証結果の場合に前記端末の経路情報を、前記ルーティングテーブルに登録することにより当該端末の経路情報を再配布し、認証エラーの認証結果の場合に前記端末の経路情報を、前記ルーティングテーブルから削除することにより当該端末の経路情報の再配布を停止すること
を特徴とする通信機器。
【請求項7】
請求項6記載の通信機器であって、
前記経路再配布手段は、端末毎に、前記ルーティングテーブルへ登録または削除を行うこと
を特徴とする通信機器。
【請求項8】
請求項5から請求項7のいずれか1項に記載の通信機器であって、
前記接続処理手段は、認証成功の端末に対して、所定の有効時間毎に前記認証情報を取得し、当該認証情報を認証サーバに送信し、
前記経路再配布手段は、前記所定の有効時間毎に前記認証サーバから受信した認証結果に基づいて、前記端末の経路情報の再配布または再配布停止を行うこと
を特徴とする通信機器。
【請求項9】
LANおよび広域ネットワークに接続された通信機器が行う、前記広域ネットワークへの接続制御方法であって、
前記通信機器は、
前記LANに接続された端末から受信した認証情報を、前記広域ネットワークに接続された認証サーバに送信する送信ステップと、
前記認証サーバから受信した認証結果に基づいて、前記端末の経路情報をルーティングプロトコル間で再配布する経路再配布ステップと、を行い、
前記経路再配布ステップは、認証成功の認証結果の場合に前記端末の経路情報を前記広域ネットワークのルーティングプロトコルに再配布し、認証エラーの認証結果の場合に前記端末の経路情報の再配布を停止すること
を特徴とする接続制御方法。
【請求項10】
LANおよび広域ネットワークに接続された通信機器が実行する、前記広域ネットワークへの接続制御プログラムであって、
前記通信機器に、
前記LANに接続された端末から受信した認証情報を、前記広域ネットワークに接続された認証サーバに送信する送信ステップと、
前記認証サーバから受信した認証結果に基づいて、前記端末の経路情報をルーティングプロトコル間で再配布する経路再配布ステップと、を実行させ、
前記経路再配布ステップは、認証成功の認証結果の場合に前記端末の経路情報を前記広域ネットワークのルーティングプロトコルに再配布し、認証エラーの認証結果の場合に前記端末の経路情報の再配布を停止すること
を特徴とする接続制御プログラム。
【請求項1】
認証システムであって、
LANに接続された少なくとも1つの端末と、広域ネットワークに接続された認証サーバと、前記LANおよび前記広域ネットワークに接続された通信機器と、を有し、
前記通信機器は、
前記端末から前記LANを介して受信した認証情報を、前記広域ネットワークを介して認証サーバに送信する接続処理手段と、
前記認証サーバから受信した認証結果に基づいて、前記端末の経路情報をルーティングプロトコル間で再配布する経路再配布手段と、を備え、
前記経路再配布手段は、認証成功の認証結果の場合に前記端末の経路情報を前記広域ネットワークのルーティングプロトコルに再配布し、認証エラーの認証結果の場合に前記端末の経路情報の再配布を停止すること
を特徴とする認証システム。
【請求項2】
請求項1記載の認証システムであって、
前記通信機器は、前記広域ネットワーク用のルーティングテーブルを有し、
前記経路再配布手段は、認証成功の認証結果の場合に前記端末の経路情報を、前記ルーティングテーブルに登録することにより当該端末の経路情報を再配布し、認証エラーの認証結果の場合に前記端末の経路情報を、前記ルーティングテーブルから削除することにより当該端末の経路情報の再配布を停止すること
を特徴とする認証システム。
【請求項3】
請求項2記載の認証システムであって、
前記経路再配布手段は、端末毎に、前記ルーティングテーブルへ登録または削除を行うこと
を特徴とする認証システム。
【請求項4】
請求項1から請求項3のいずれか1項に記載の認証システムであって、
前記接続処理手段は、認証成功の端末に対して、所定の有効時間毎に前記認証情報を取得し、当該認証情報を認証サーバに送信し、
前記経路再配布手段は、前記所定の有効時間毎に前記認証サーバから受信した認証結果に基づいて、前記端末の経路情報の再配布または再配布停止を行うこと
を特徴とする認証システム。
【請求項5】
LANおよび広域ネットワークに接続された通信機器であって、
前記LANに接続された端末から受信した認証情報を、前記広域ネットワークに接続された認証サーバに送信する接続処理手段と、
前記認証サーバから受信した認証結果に基づいて、前記端末の経路情報をルーティングプロトコル間で再配布する経路再配布手段と、を備え、
前記経路再配布手段は、認証成功の認証結果の場合に前記端末の経路情報を前記広域ネットワークのルーティングプロトコルに再配布し、認証エラーの認証結果の場合に前記端末の経路情報の再配布を停止すること
を特徴とする通信機器。
【請求項6】
請求項5記載の通信機器であって、
前記広域ネットワーク用のルーティングテーブルを有し、
前記経路再配布手段は、認証成功の認証結果の場合に前記端末の経路情報を、前記ルーティングテーブルに登録することにより当該端末の経路情報を再配布し、認証エラーの認証結果の場合に前記端末の経路情報を、前記ルーティングテーブルから削除することにより当該端末の経路情報の再配布を停止すること
を特徴とする通信機器。
【請求項7】
請求項6記載の通信機器であって、
前記経路再配布手段は、端末毎に、前記ルーティングテーブルへ登録または削除を行うこと
を特徴とする通信機器。
【請求項8】
請求項5から請求項7のいずれか1項に記載の通信機器であって、
前記接続処理手段は、認証成功の端末に対して、所定の有効時間毎に前記認証情報を取得し、当該認証情報を認証サーバに送信し、
前記経路再配布手段は、前記所定の有効時間毎に前記認証サーバから受信した認証結果に基づいて、前記端末の経路情報の再配布または再配布停止を行うこと
を特徴とする通信機器。
【請求項9】
LANおよび広域ネットワークに接続された通信機器が行う、前記広域ネットワークへの接続制御方法であって、
前記通信機器は、
前記LANに接続された端末から受信した認証情報を、前記広域ネットワークに接続された認証サーバに送信する送信ステップと、
前記認証サーバから受信した認証結果に基づいて、前記端末の経路情報をルーティングプロトコル間で再配布する経路再配布ステップと、を行い、
前記経路再配布ステップは、認証成功の認証結果の場合に前記端末の経路情報を前記広域ネットワークのルーティングプロトコルに再配布し、認証エラーの認証結果の場合に前記端末の経路情報の再配布を停止すること
を特徴とする接続制御方法。
【請求項10】
LANおよび広域ネットワークに接続された通信機器が実行する、前記広域ネットワークへの接続制御プログラムであって、
前記通信機器に、
前記LANに接続された端末から受信した認証情報を、前記広域ネットワークに接続された認証サーバに送信する送信ステップと、
前記認証サーバから受信した認証結果に基づいて、前記端末の経路情報をルーティングプロトコル間で再配布する経路再配布ステップと、を実行させ、
前記経路再配布ステップは、認証成功の認証結果の場合に前記端末の経路情報を前記広域ネットワークのルーティングプロトコルに再配布し、認証エラーの認証結果の場合に前記端末の経路情報の再配布を停止すること
を特徴とする接続制御プログラム。
【図1】
【図2】
【図3】
【図2】
【図3】
【公開番号】特開2009−212585(P2009−212585A)
【公開日】平成21年9月17日(2009.9.17)
【国際特許分類】
【出願番号】特願2008−50908(P2008−50908)
【出願日】平成20年2月29日(2008.2.29)
【国等の委託研究の成果に係る記載事項】(出願人による申告)平成19年度、独立行政法人情報通信研究機構、「λアクセス技術の研究開発」委託研究、産業技術力強化法第19条の適用を受ける特許出願
【出願人】(399035766)エヌ・ティ・ティ・コミュニケーションズ株式会社 (321)
【Fターム(参考)】
【公開日】平成21年9月17日(2009.9.17)
【国際特許分類】
【出願日】平成20年2月29日(2008.2.29)
【国等の委託研究の成果に係る記載事項】(出願人による申告)平成19年度、独立行政法人情報通信研究機構、「λアクセス技術の研究開発」委託研究、産業技術力強化法第19条の適用を受ける特許出願
【出願人】(399035766)エヌ・ティ・ティ・コミュニケーションズ株式会社 (321)
【Fターム(参考)】
[ Back to top ]