認証スイッチおよび端末認証方法
【課題】認証機能を有するレイヤ2スイッチ(認証スイッチ)は、ユーザ認証された認証情報を個々の認証スイッチ内でのみ保存されていた。このために、複数の認証スイッチを用いたネットワークでは、認証スイッチを跨いでの端末移動によるローミングができないでいた。
【解決手段】認証スイッチ間に認証情報の受け渡しを行なう手順を設け、認証スイッチ間相互にて認証スイッチの状態配布を行い、ローミング対象であるか対向認証スイッチ可否判定を行なう。各認証スイッチで行ったユーザ認証の認証情報を、ローミング対象の認証スイッチ間で相互に通知を行ない、それぞれの認証情報を保存する。端末の移動が発生した際、認証スイッチに登録されている認証情報をもとに、ローミングを判定し、認証スイッチを跨いでの端末移動を可能とする。
【解決手段】認証スイッチ間に認証情報の受け渡しを行なう手順を設け、認証スイッチ間相互にて認証スイッチの状態配布を行い、ローミング対象であるか対向認証スイッチ可否判定を行なう。各認証スイッチで行ったユーザ認証の認証情報を、ローミング対象の認証スイッチ間で相互に通知を行ない、それぞれの認証情報を保存する。端末の移動が発生した際、認証スイッチに登録されている認証情報をもとに、ローミングを判定し、認証スイッチを跨いでの端末移動を可能とする。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、認証スイッチおよび端末認証方法に係り、特にレイヤ2スイッチおよび端末で構成されるレイヤ2ネットワークで利用認証スイッチおよび端末認証方法に関する。
【背景技術】
【0002】
レイヤ2スイッチ上で動作する端末の認証情報は、端末の認証を実行したレイヤ2スイッチ内にのみに保存されている。このため、ネットワーク内に複数のレイヤ2スイッチが設置されている場合、それぞれのレイヤ2スイッチ毎に個別に認証情報が保存されている。この状態で、端末に付いて第1のレイヤ2スイッチにてユーザ認証が行なった後に、この端末が第2のレイヤ2スイッチに移動した際、再度、ユーザ認証を行なわなければならない。この結果、作業の中断を伴なってしまう。
【0003】
一方、無線ネットワークでは、ネットワーク内に設定された各無線局からの無線をオーバーラップさせて、無線機能を具備した端末との間で常に通信を行なっている。このため、端末を移動してもユーザ認証をその都度行なうことなく作業を継続して行なうことができる。
【0004】
しかし、レイヤ2スイッチで構成されたレイヤ2ネットワークでは、ユーザ認証された端末のレイヤ2スイッチ間での移動ができない。
特許文献1は、複数のゲートウェイ装置による冗長構成に於ける負荷分散管理を開示し、複数のゲートウェイ装置から送信されたパケットから特定のゲートウェイ装置のパケットだけを端末に送信するパケット転送装置の記載がある。
【0005】
また、正規ユーザの認証情報を詐称してレイヤ2スイッチに認証する不正ユーザが懸念される。
特許文献2は、認証サーバにおいて複数のレイヤ2スイッチから取得・マージした認証ログ情報のログイン、ログアウトの時間差からユーザ名を詐称する不正ユーザを検出する手段が記載されているが、認証サーバ、ユーザ認証を実行するレイヤ2スイッチに対して専用の装置および専用のソフトウェアを使用する必要があった。
【先行技術文献】
【特許文献】
【0006】
【特許文献1】特開2008−113260号公報
【特許文献2】特開2009−296510号公報
【発明の概要】
【発明が解決しようとする課題】
【0007】
ユーザ認証を実行するレイヤ2スイッチ(以降、単に認証スイッチと呼ぶ)でユーザ認証された端末を他の認証スイッチへ移動(以降、単にローミングと呼ぶ)する際、ユーザ情報との照合を行なう専用の認証サーバ(以降、単に認証サーバと呼ぶ)で管理するのが一般的である。この場合、認証スイッチは、ユーザ認証を行なう端末と認証サーバとの間を仲介し、認証された端末のMACアドレスなどの情報を保持する。この場合、認証サーバは、各認証スイッチで認証された情報を全て保存する。すなわち、ネットワーク内には必ず認証サーバが存在しなければならない。この様な状態で、認証サーバに障害が発生すると、認証済みの端末がローミングする際にも、正常な移動が行なえない。
【0008】
また、有線で構築されたネットワークは、単純に認証スイッチ同士をオーバーラップするとネットワーク内でループ状態が発生する場合もあり、無線ネットワークで実現している方式を採用できないでいた。
【0009】
なお、通常レイヤ2スイッチの制御には、レイヤ2スイッチを制御する専用のパケット(以降、制御パケットと呼ぶ)を用いるのが一般的である。しかし、ユーザ認証された情報を受け渡す専用の制御パケットが定義されていない。このため、認証スイッチだけで構成されたネットワークでは、ユーザ認証情報の受け渡しができず、認証スイッチ間のローミング時に移動先の認証スイッチ上でユーザ認証の操作を行なう必要があった。
【0010】
また、認証スイッチ間をローミングすることにより、移動元と移動先の認証スイッチに端末のユーザ認証情報が保存される場合、保存されているユーザ認証情報と同一となる端末は認証スイッチに接続しパケット転送することができる。そのため、ユーザ認証情報を詐称した不正ユーザが認証スイッチに接続可能であり、セキュリティの懸念がされていた。また、ローミング時の移動元と移動先の認証スイッチにユーザ認証情報が同一となる端末が存在した場合に、ユーザ認証情報を詐称して正規ユーザになりすまして認証した不正ユーザが認証スイッチに接続しているのか、もしくは正規ユーザが認証スイッチ間を行き来しているのか判断が難しく、単純に不正ユーザと判断することが困難であった。
【課題を解決するための手段】
【0011】
本発明は、ネットワークに設置された認証スイッチでユーザ認証された認証情報を、複数の認証スイッチ間で冗長に保持し、認証スイッチのみで構成されたネットワークに於いて、ユーザ認証された端末のローミングに際し、移動先の認証スイッチでユーザ認証操作を行わないで移動することを可能にする。
【0012】
また、認証スイッチ間のユーザ認証情報の受け渡しには、RADIUSプロトコルを利用して実現する。このため、ネットワーク内に認証スイッチが点在して設置されていてもユーザ認証情報の受け渡しが可能となる。
【0013】
上述した課題は、配下に接続された端末の認証を行ない、認証済みの複数の端末の情報を記録する第1の情報テーブルと、複数の認証スイッチの情報を記録する第2の情報テーブルとを備え、他の認証スイッチとの間で、認証済み端末の情報と認証スイッチの情報とを交換し、交換した認証済み端末の情報と認証スイッチの情報とにより、第1のテーブルと第2のテーブルを更新する認証スイッチにより、達成できる。
【0014】
また、対向する認証スイッチに第2の照合キーを送信するステップと、対向する認証スイッチからの第1の照合キーを受信するステップと、第1の照合キーを検証するステップと、新規端末を認証するステップと、対向する認証スイッチに認証した端末の情報を送信するステップと、対向する認証スイッチからの認証された端末の情報を受信するステップと、認証した端末の情報と認証された端末の情報とを記録するステップとからなる端末認証方法により、達成できる。
【0015】
本発明の第2の解決手段として、各認証スイッチで保持しているユーザ認証情報にパケット転送数カウンタを設け、認証スイッチに認証されている端末のパケット転送数をチェックしてパケット転送中であればカウンタを増加し、一定時間のカウンタ増加値が閾値を超えた場合、正規ユーザが認証スイッチ間を頻繁に行き来している状態とは考えにくいため、正規ユーザのユーザ認証情報を詐称した不正ユーザと判断する手段をもつ。
【0016】
本発明の第3の解決手段として、各認証スイッチで保持しているユーザ認証情報に接続継続確認回数カウンタを設け、認証スイッチに認証されている端末の接続状態をチェックして接続中であればカウンタを増加し、一定時間のカウンタ増加値が閾値を超えた場合、正規ユーザが認証スイッチ間を頻繁に行き来している状態とは考えにくいため、正規ユーザのユーザ認証情報を詐称した不正ユーザと判断する手段をもつ。
【発明の効果】
【0017】
本発明によれば、認証スイッチをまたがって端末が移動した際に、移動先の認証スイッチでのユーザ認証を行わずに認証状態を継続した状態で通信をすることができる。また、専用のサーバや専用のソフトウェアを使用せずに、認証スイッチのみで構成されたネットワーク内での端末のローミングが可能となる。
【0018】
また、複数の認証スイッチから正規ユーザの認証情報を詐称してネットワークに接続してくる不正ユーザを検出することができる。
【図面の簡単な説明】
【0019】
【図1】認証スイッチネットワークのブロック図である。
【図2】認証スイッチ間の照合を説明するシーケンス図である。
【図3】RADIUS Accountingパケットのフォーマットである。
【図4】自認証スイッチの状態配布処理のフローチャートである。
【図5】対向認証スイッチ可否判定処理のフローチャートである。
【図6】認証スイッチ管理テーブル、スイッチ情報テーブルおよびユーザ認証情報テーブルを説明する図である(その0)。
【図7】認証スイッチネットワークの他のブロック図である。
【図8】認証スイッチ管理テーブルおよびスイッチ情報テーブルを説明する図である。
【図9】認証スイッチネットワークの更に他のブロック図である。
【図10】認証情報通知処理のフローチャートである。
【図11】認証情報受信処理のフローチャートである。
【図12】認証スイッチ管理テーブル、スイッチ情報テーブルおよびユーザ認証情報テーブルを説明する図である(その1)。
【図13】認証スイッチ管理テーブル、スイッチ情報テーブルおよびユーザ認証情報テーブルを説明する図である(その2)。
【図14】認証スイッチネットワークの更に更に他のブロック図である。
【図15】認証移動状態通知処理のフローチャートである。
【図16】認証スイッチ管理テーブル、スイッチ情報テーブルおよびユーザ認証情報テーブルを説明する図である(その2−2)。
【図17】端末移動情報受信処理のフローチャートである。
【図18】認証スイッチ管理テーブル、スイッチ情報テーブルおよびユーザ認証情報テーブルを説明する図である(その1−2)。
【図19】認証スイッチ管理テーブル、スイッチ情報テーブルおよびユーザ認証情報テーブルを説明する図である(その2−3)。
【図20】3台の認証スイッチからなる認証スイッチネットワークのブロック図である。
【図21】複数のローミンググループとした認証スイッチネットワークのブロック図である。
【図22】認証スイッチの冗長構成とした認証スイッチネットワークのブロック図である。
【図23】第2の実施形態における認証スイッチネットワークのブロック図である。
【図24】第2の実施形態におけるユーザ認証情報テーブルを示す図である。
【図25】パケット転送数処理部の動作を示すフローチャートである。
【図26】不正ユーザ検出処理部の動作を示すフローチャートである(その1)。
【図27】認証スイッチネットワークにて正規ユーザがローミングしている状態を説明する図である(その1)。
【図28】正規ユーザがローミングしている状態のユーザ認証情報テーブルを示す図である(その1)。
【図29】認証スイッチネットワークにて不正ユーザが接続している状態を説明する図である(その1)。
【図30】不正ユーザが接続している状態のユーザ認証情報テーブルを示す図である(その1)。
【図31】第3の実施形態における認証スイッチネットワークのブロック図である。
【図32】第3の実施形態におけるユーザ認証情報テーブルを示す図である。
【図33】接続継続確認処理部の動作を示すフローチャートである。
【図34】不正ユーザ検出処理部の動作を示すフローチャートである(その2)。
【図35】認証スイッチネットワークにて正規ユーザがローミングしている状態を説明する図である(その2)。
【図36】正規ユーザがローミングしている状態のユーザ認証情報テーブルを示す図である(その2)。
【図37】認証スイッチネットワークにて不正ユーザが接続している状態を説明する図である(その2)。
【図38】不正ユーザが接続している状態のユーザ認証情報テーブルを示す図である(その2)。
【発明を実施するための形態】
【0020】
以下、本発明の実施の形態について、実施例を用い図面を参照しながら詳細に説明する。なお、実質同一部位には、同じ参照番号を振り、説明は繰り返さない。
まず、図1を参照して、認証スイッチネットワークの構成を説明する。図1において、認証スイッチネットワーク500は、認証スイッチ100−1と対向する認証スイッチ100−2とから構成されている。認証スイッチ100−1は、端末70が接続されている。認証スイッチ100は、自認証スイッチ状態配布部120、対向認証スイッチ可否判定部130、認証情報送信部140、認証情報受信部150、認証情報保持部160、認証処理部190から構成されている。
【0021】
自認証スイッチ状態配布部120は、自認証スイッチの状態を認証スイッチ100−2に配布する。対向認証スイッチ可否判定部130は、対向認証スイッチ100−2からの自スイッチ状態を受信して、対向認証スイッチ100−2とのネットワーク形成の可否を判定する。対向認証スイッチ可否判定部130は、認証情報保存部160の認証スイッチ管理テーブルを更新する。認証情報送信部140は、端末70からの認証要求を認証処理部に転送する。認証情報送信部140は、認証情報保持部160にアクセスして、認証情報を認証スイッチ100−2に送信する。認証情報受信部150は、対向認証スイッチからの認証情報を受信して、認証情報保存部160のスイッチ情報テーブルとユーザ認証情報テーブルを更新する。認証情報保持部160は、認証情報を保存する。認証処理部190は、端末70の認証を実行する。
【0022】
最初に自認証スイッチ状態配布120は、対向認証スイッチ100−2とのやり取りを許可するための通知を行なう。対向認証スイッチ可否判定部130は、対向認証スイッチとのやり取りが許可されたものかを判定する。その後、認証端末70からの認証要求を認証情報送信部140は、受け付ける。認証情報送信部140は、認証情報保持部160に既に認証情報が存在するかの確認を行なう。新規の認証要求である場合、認証処理部190は、認証操作を実施し、認証情報保持部160に格納する。さらに、認証情報通知140は、対向認証スイッチ100−2宛てに認証情報の通知を行なう。対向認証スイッチ100−2にて認証された認証情報について、認証情報受信150は、それを受け取り、対向認証スイッチの認証情報として認証情報保持部160に格納する。
【0023】
図2を参照して、認証スイッチ間のやり取り許可の手順を説明する。図2において、まず、認証スイッチ100−1は、認証スイッチ100−2宛てに認証スイッチ100−2の照合キーが入ったパケットを送信する(S11)。認証スイッチ100−2は、認証スイッチ100−2の照合キーであるかの判定を行なう(S12)。認証スイッチ100−2は、認証スイッチ100−1に対し返答パケットを送信する(S13)。また、認証スイッチ100−2は、認証スイッチ100−1宛てに認証スイッチ100−1の照合キーが入ったパケットを送信する(S14)。認証スイッチ100−1は、認証スイッチ100−1の照合キーであるかを判定する(S16)。認証スイッチ100−1は、認証スイッチ100−2に対して返答パケットを送信する(S17)。
【0024】
図2の認証スイッチ間のやり取りに使用するRADIUS Accountingパケットについて、図3を参照して説明する。図3において、RADIUS Accountingパケット30は、IP/UDPヘッダ31、Authenticatorフィールド32、Attributeフィールド33から構成されている。照合キーの送信パケットは、RADIUS Accountingパケット30のAuthenticatorフィールド32に対向する認証スイッチの照合キー、Attributeフィールド33に認証情報を格納する。
【0025】
通常、RADIUS AccountingパケットはRADIUSへ認証結果を通知するために使用される。しかし、本実施例では、RADIUS Accountingパケット30のAuthenticatorフィールド32に格納した照合キーでローミング対象となる認証スイッチであるかを判定し、認証スイッチ100間の認証情報の受け渡しを行なう。
【0026】
図4を参照して、認証スイッチ状態配布の動作を説明する。図4において、認証スイッチ100は、対向認証スイッチ宛てに送信するパケットに対向する認証スイッチの照合キーを格納する(S41)。認証スイッチ100は、対向する認証スイッチ宛てにパケットを送信する(S42)。次に、認証スイッチ100は、対向する認証スイッチからの返答パケットを受信する(S43)。
【0027】
認証スイッチ100は、一定時間内に対向認証スイッチから返答パケットが受信できたかを判定する(S44)。受信できなかった場合、認証スイッチ100は、対向認証スイッチが管理対象外であると判定して、終了する。ステップ44でタイムアウトしていないとき、認証スイッチ100は、返答パケットが許可を示す許可パケットであるかを判定する(S46)。
【0028】
許可パケットでないとき、認証スイッチ100は、対向認証スイッチが管理対象外であると判定して、終了する。ステップ46で許可パケットのとき、認証スイッチ100は、自身の照合キーが添付されているか判定する(S47)。自身の照合キーでないとき、認証スイッチ100は、対向認証スイッチが管理対象外であると判定して、終了する。ステップ47でYESのとき、認証スイッチ100は、対向する認証スイッチを管理対象とし、認証スイッチ管理テーブルに対向認証スイッチを登録する(S48)。最後に、認証スイッチ100は、対向する認証スイッチ宛てに返信パケットを送信して(S49)、終了する。なお、ステップ44〜ステップ47の順序は順不同である。
【0029】
図5を参照して、対向認証スイッチから送られてきた照合キーを判定する認証スイッチの動作を説明する。図5において、認証スイッチ100は、対向認証スイッチからのパケットを受信する(S51)。認証スイッチ100は、受信したパケットに格納されている照合キーが自分の認証スイッチの照合キーであるかを判定する(S52)。照合キーが一致した場合(YES)、認証スイッチ100は、許可パケットを対向認証スイッチ宛てに送信する(S53)。ステップ52でNOのとき、認証スイッチ100は、拒否パケットを対向認証スイッチ宛てに送信して(S54)、終了する。
【0030】
ステップ53に続いて、認証スイッチ100は、対向認証スイッチからの返信パケットを受信する(S56)。認証スイッチ100は、さらに、対向認証スイッチが認証許可であるか判定する(S57)。YESのとき、認証スイッチ管理テーブルに対向認証スイッチを登録して(S58)、終了する。ステップ57でNOのとき、認証スイッチ100は、そのまま終了する。なお、ステップ56とステップ57の順序は、逆でもよい。
【0031】
図6を参照して、認証情報を保持する各認証情報テーブルを説明する。各認証情報テーブルは、認証情報保持部160に記憶されている。各認証情報テーブルは、認証スイッチ管理テーブル110と、スイッチ情報テーブル170と、ユーザ認証情報テーブル180とから成っている。
【0032】
認証スイッチ管理テーブル110は、認証スイッチ種別111、認証スイッチ数112、スイッチ情報テーブルへのポインタ113のコラムから成っている。認証スイッチ管理テーブル110の認証スイッチ種別111は、自装置である0、対向装置である1、障害装置である2を含んでいる。認証スイッチ数112は、それぞれの認証スイッチの数である。自装置エントリの認証スイッチ数112は、当然「1」が記録されている。スイッチ情報テーブルへのポインタ113は、スイッチ情報テーブル170に記録された最初のスイッチへのポインタを記録する。なお、障害装置のエントリで、認証スイッチ数112が「0」なので、スイッチ情報テーブルへのポインタ113は、NULL(なし)である。
【0033】
スイッチ情報テーブル170は、認証スイッチIPアドレス171、照合キー172、認証ユーザ数173、ユーザ認証テーブルへのポインタ174、次のスイッチ情報へのポインタ175のコラムから成っている。認証スイッチIPアドレス171は、当該認証スイッチのIPアドレスを記録する。照合キー172は、当該認証スイッチの照合キーを記録する。認証ユーザ数173は、当該認証スイッチの認証ユーザ(端末)数を記録する。ユーザ認証テーブルへのポインタ174は、当該認証スイッチのユーザ認証テーブル180最初のユーザ(端末)へのポインタを記録する。次のスイッチ情報へのポインタ175は、次の認証スイッチへのポインタを記録する。なお、ユーザ認証テーブルへのポインタ174および次のスイッチ情報へのポインタ175は、NULL(なし)の場合がある。
【0034】
ユーザ認証情報テーブル180は、ユーザ名181、MACアドレス182、IPアドレス183、認証時刻184、次のユーザ認証情報へのポインタ185のコラムから成っている。ユーザ名181は、当該端末のユーザ名を記録する。MACアドレス182は、当該端末のMACアドレスを記録する。IPアドレス183は、当該端末のIPアドレスを記録する。認証時刻184は、当該端末の認証時刻を記録する。次のユーザ認証情報へのポインタ185は、当該認証スイッチの次のユーザ認証情報へのポインタを記録する。なお、次のユーザ認証情報へのポインタ185は、NULL(なし)の場合がある。また、図中のポインタのセルを起点とする破線矢印は、ポインタの指し先を示している。
【0035】
図7と図8を参照して、認証スイッチ管理テーブルとスイッチ情報テーブルとの関係を詳細に説明する。図7において、認証スイッチネットワーク500Aは、レイヤ2スイッチ200と、レイヤ2スイッチ200に接続された2台の認証スイッチ100と、認証スイッチ100−1に接続された端末70−1、70−2と、認証スイッチ100に接続された端末70−3とで構成されている。ここで、認証スイッチ100−1と認証スイッチ100−2は互いにローミング可能な認証スイッチである。
【0036】
認証スイッチネットワーク500Aにおいて、最初に、図2に示した認証スイッチ間のやり取りが行われ、対向する認証スイッチがそれぞれ相手がローミング対象であるかを判定し、図8に示す認証スイッチ管理テーブルとスイッチ情報テーブルが作成される。なお、図8以降の各認証管理テーブルは、図示の簡便のため略記する。
【0037】
図8において、認証スイッチ管理テーブル110の自装置エントリ62のスイッチ情報テーブルへのポインタ113には、スイッチ情報テーブル170の最初のエントリへのポインタが格納されて、認証スイッチ管理テーブル110とスイッチ情報テーブル170とが関係付けられる。一方、対向認証スイッチは、認証スイッチ管理テーブル110の対向装置エントリ63のスイッチ情報テーブルへのポインタ113には、スイッチ情報テーブル170の2番目のエントリへのポインタが格納されて、認証スイッチ管理テーブル110とスイッチ情報テーブル170とが関係付けられる。
【0038】
次に、各認証スイッチの認証結果の交換について、図9を参照して説明する。図9において、認証スイッチ100−1と認証スイッチ100−2は互いにローミング可能な認証スイッチである。認証スイッチ100−1にてユーザ認証された端末70−1と端末70−2の認証情報は、認証スイッチ100−1の認証情報保持部160に保存される。端末70−1と端末70−2の認証情報は、同時に矢印Aで示すように認証スイッチ100−2に向けて送信される。また、認証スイッチ100−2にてユーザ認証された端末70−3の認証情報は、認証スイッチ100−2の認証情報保持部160に保存される。端末70−3の認証情報は、同時に矢印Bに示すように認証スイッチ100−1に向けて送信される。
【0039】
図10と図11を参照して、認証情報の交換をさらに説明する。図10において、端末からの認証要求について、認証スイッチ100は、認証処理部190で実行する(S61)。認証スイッチ100は、認証が成功したか判定する(S62)。NOのとき、認証スイッチ100は、そのまま終了する。ステップ62でYESのとき、認証スイッチ100は、認証に成功したユーザ情報をユーザ認証情報テーブル180に登録する(S63)。認証スイッチ100は、パケットに対向認証スイッチの照合キーと認証結果を格納する(S64)。認証スイッチ100は、パケットを送信する(S66)。認証スイッチ100は、返信パケットを受信する(S67)。認証スイッチ100は、受信タイムアウトしていたか判定する(S68)。YESのとき、認証スイッチ100は、対向認証スイッチを障害装置エントリに移動して(S69)、終了する。ステップ68でNOのとき、認証スイッチ100は、許可パケットか判定する(S71)。YESのとき、認証スイッチ100は、そのまま終了する。ステップ71でNOのとき、認証スイッチ100は、認証スイッチ管理テーブル等から対向認証スイッチに係るデータを削除して(S72)、終了する。なお、ステップ68とステップ71の順序は、逆でもよい。また、頁外結合子は、図15からの移動(新規ユーザ認証処理)である。
【0040】
図11において、認証スイッチ100は、他の認証スイッチから送られてきた認証情報を受信する(S81)。認証スイッチ100は、受信したパケットが管理対象の認証スイッチから送られてきたものか判定する(S82)。YESのとき、認証スイッチ100は、さらに、パケット内に格納されている照合キーが自身の照合キーか判定する(S83)。YESのとき、認証スイッチ100は、許可パケットを送信する(S84)。認証スイッチ100は、対向認証スイッチを認証スイッチ管理テーブルに登録して(S86)、終了する。
【0041】
ステップ82またはステップ83でNOのとき、認証スイッチ100は、拒否パケットを送信する(S87)。認証スイッチ100は、スイッチ管理テーブルから対向認証スイッチを削除し(S88)、終了する。なお、ステップ84とステップ86ならびにステップ87とステップ88の順序は、逆でもよい。
【0042】
図12および図13を参照して、図9の状態での認証スイッチ管理テーブル、スイッチ情報テーブルおよびユーザ認証情報テーブルの参照関係を説明する。ここで、図12は認証スイッチ100−1、図13は認証スイッチ100−2の各テーブルである。なお、図12および図13において、各テーブルのコラムのラベル部分の表記を省き、参照関係のみ図示している。
【0043】
認証スイッチ100−1を説明する図12において、認証スイッチ管理テーブル110の自装置エントリのスイッチ情報テーブルへのポインタ113は、スイッチ情報テーブル170の最初のエントリをポイントしている。また、対向装置エントリのスイッチ情報テーブルへのポインタ113は、スイッチ情報テーブル170の2番目のエントリをポイントしている。さらに、障害装置エントリのスイッチ情報テーブルへのポインタ113は、NULLである。したがって、スイッチ情報テーブル170の最初のエントリには、認証スイッチ100−1(認証スイッチ1と図示)の情報が記録されている。また、スイッチ情報テーブル170の2番目のエントリには、認証スイッチ100−2の情報が記録されている。
【0044】
スイッチ情報テーブル170のユーザ認証情報テーブルへのポインタ174について、最初のエントリは、ユーザ認証情報テーブル180の最初のエントリをポイントしている。また、2番目のエントリは、ユーザ認証情報テーブル180の3番目のエントリをポイントしている。ユーザ認証情報テーブル180の最初のエントリの次のユーザ認証情報へのポインタ185は、ユーザ認証情報テーブル180の2番目のエントリをポイントしている。したがって、ユーザ認証テーブル180について、最初のエントリは端末70−1(端末1と図示)のユーザ認証情報、2番目のエントリは端末70−2のユーザ認証情報、3番目のエントリは端末70−3のユーザ認証情報を記録する。なお、ユーザ認証情報テーブル180の2番目および3番目のエントリの次のユーザ認証情報へのポインタ185は、NULLである。
【0045】
認証スイッチ100−2を説明する図13において、認証スイッチ管理テーブル110の自装置エントリのスイッチ情報テーブルへのポインタ113は、スイッチ情報テーブル170の最初のエントリをポイントしている。また、対向装置エントリのスイッチ情報テーブルへのポインタ113は、スイッチ情報テーブル170の2番目のエントリをポイントしている。さらに、障害装置エントリのスイッチ情報テーブルへのポインタ113は、NULLである。したがって、スイッチ情報テーブル170の最初のエントリには、認証スイッチ100−2の情報が記録されている。また、スイッチ情報テーブル170の2番目のエントリには、認証スイッチ100−1の情報が記録されている。
【0046】
スイッチ情報テーブル170のユーザ認証情報テーブルへのポインタ174について、最初のエントリは、ユーザ認証情報テーブル180の最初のエントリをポイントしている。また、2番目のエントリは、ユーザ認証情報テーブル180の2番目のエントリをポイントしている。ユーザ認証情報テーブル180の2番目のエントリの次のユーザ認証情報へのポインタ185は、ユーザ認証情報テーブル180の3番目のエントリをポイントしている。したがって、ユーザ認証テーブル180について、最初のエントリは端末70−3のユーザ認証情報、2番目のエントリは端末70−1のユーザ認証情報、3番目のエントリは端末70−2のユーザ認証情報を記録する。なお、ユーザ認証情報テーブル180の最初および3番目のエントリの次のユーザ認証情報へのポインタ185は、NULLである。
【0047】
なお、ここでは対向する2台の認証スイッチしか考慮していないので、スイッチ情報テーブル170の次のスイッチ情報へのポインタ175は、いずれもNULLである。対向認証装置または障害認証装置が複数の場合の、次のスイッチ情報へのポインタ175の利用は、上述したユーザ認証情報テーブル180の次のユーザ認証情報へのポインタ185の利用と同様であることは、自明である。
【0048】
上述した実施例に拠れば、認証スイッチ100−1、100−2は、互いに認証済みの端末70の情報を交換しているので、端末70−1または端末70−2が認証スイッチ100−2の配下に入っても認証スイッチ100−2は、新たに認証する必要はない。同様に、端末70−3が認証スイッチ100−1の配下に入っても認証スイッチ100−1は、新たに認証する必要はない。
【0049】
図14および図15を参照して、端末70−2が認証スイッチ100−1の配下から認証スイッチ100−2にローミングした場合の動作を説明する。図14において、認証スイッチ100−1で認証された端末70−2が、矢印Cに示すように認証スイッチ100−2の配下に移動したとする。この場合、認証スイッチ100−2は、対向する認証スイッチ100−1宛てに端末70−2の認証情報(矢印D)を通知する。
【0050】
図15において、認証スイッチ100−2は、移動してきた端末70−2が管理しているユーザ認証情報テーブルに登録されているかを判定する(S91)。NOのとき、認証スイッチ100−2は、図10のステップ61(新規ユーザ認証処理)に遷移する。ステップ91でYESのとき(既に登録されている場合)、認証スイッチ100−2は、端末70−2の認証元の認証スイッチ100−1の照合キーと端末70−2の認証情報を送信パケットに格納する(S92)。
【0051】
認証スイッチ100−2は、作成した送信パケットを認証スイッチ100−1宛てに送信する(S93)。その後、認証スイッチ100−2は、認証スイッチ100−1からの返答パケットを受信する(S94)。認証スイッチ100−2は、受信タイムアウトであったか判定する(S96)。YESのとき、認証スイッチ100−2は、認証スイッチ100−1に障害があると判定し、認証スイッチ100−1について、障害装置エントリに移動する認証スイッチ管理テーブルの更新を実施して(S97)、終了する。
【0052】
ステップ96でNOのとき、認証スイッチ100−2は、受信したパケットが許可パケットか判定する(S98)。YESのとき、認証スイッチ100−2は、ユーザ認証情報テーブルの端末70−2のデータを更新して(S99)、終了する。ステップ98でNOのとき、認証スイッチ100−2は、認証スイッチ100−1がローミングの管理対象外になったと判断し、認証情報管理テーブルから認証スイッチ100−1を削除して(S101)、図10のステップ61(新規ユーザ認証処理)に遷移する。なお、ステップ96とステップ98の順序は、逆でもよい。
【0053】
図16を参照して、端末70−2の移動後の認証スイッチ100−2の各認証情報テーブルの状態を説明する。なお、端末70−2移動前の認証スイッチ100−2の各認証情報テーブルの状態は、図13である。図16において、ユーザ認証情報テーブル180の最初のエントリの次のユーザ認証情報へのポインタ185が、NULLから3番目のエントリをポイントに更新されている。また、2番目のエントリの次のユーザ認証情報へのポインタ185が、3番目のエントリをポイントからNULLに更新されている。
【0054】
端末70−2の移動後、認証スイッチ100−1では、認証スイッチ100−2から送られて認証情報をもとに認証情報テーブルの更新を行なう。この更新処理を図17を参照して説明する。図17において、認証スイッチ100−1は、認証スイッチ100−2から送られた認証情報を受信する(S111)。認証スイッチ100−1は、受信したパケットが認証スイッチ情報テーブル110に格納されている管理対象の認証スイッチかを判定する(S112)。YESのとき、認証スイッチ100−1は、さらに、送られてきたパケットに含まれる照合キーが自身の照合キーと一致しているかを判定する(S113)。YESのとき、認証スイッチ100−1は、認証スイッチ100−2宛てに、許可パケットを送信する(S114)。認証スイッチ100−1は、ユーザ認証情報テーブル180の端末70−2の情報を更新して(S116)、終了する。ステップ112またはステップ113でNOのとき、認証スイッチ100−1は、認証スイッチ100−2宛てに拒否パケットを送信する(S117)。認証スイッチ100−1は、認証スイッチ管理テーブルから認証スイッチ100−2を削除して(S118)、終了する。なお、ステップ114とステップ116ならびにステップ117とステップ118の順序は、逆でもよい。
【0055】
図18を参照して、端末70−2の移動後の認証スイッチ100−1の各認証情報テーブルの状態を説明する。なお、端末70−2移動前の認証スイッチ100−1の各認証情報テーブルの状態は、図12である。図18において、ユーザ認証情報テーブル180の最初のエントリの次のユーザ認証情報へのポインタ185が、2番目のエントリをポイントからNULLに更新されている。また、3番目のエントリの次のユーザ認証情報へのポインタ185が、NULLから2番目のエントリをポイントに更新されている。
【0056】
図19を参照して、図10と図15で対向認証スイッチの障害を検出した後の認証スイッチの各認証情報テーブルの状態を説明する。なお、ここでは認証スイッチ100−1に障害が発生したとする。状態を説明する各認証情報テーブルは、認証スイッチ100−2のそれらであり、障害発生前は、図13である。図19において、認証スイッチ100−2は、対向する認証スイッチ100−1の障害を検出すると、認証スイッチ管理テーブル110の対向装置エントリの認証スイッチ数112「1」を「0」とし、障害装置エントリの認証スイッチ数112「0」を「1」とする。認証スイッチ100−2は、認証スイッチ管理テーブル110の対向装置エントリのスイッチ情報テーブルへのポインタ113をNULLとし、障害装置エントリのスイッチ情報テーブルへのポインタ113について、スイッチ情報テーブル170の認証スイッチ100−1のエントリをポイントとする。この際、障害を起こした認証スイッチ配下の端末の認証情報は、ローミングが発生する場合を考慮し、一定時間、各認証情報テーブルの変更を行わないで、障害を起こした認証スイッチ配下で認証状態のままとする。なお、障害を起こした認証スイッチが復旧し、障害を起こした認証スイッチから装置状態を示すパケットが送信された時点で、認証情報テーブルの対向認証スイッチとして管理対象とする。
【0057】
図20を参照して、認証スイッチが3台構成で各認証スイッチ間でローミングする認証スイッチネットワークを説明する。図20において、認証スイッチ100−1、認証スイッチ100−2および認証スイッチ100−3でそれぞれの認証スイッチ100の照合キーを設定する。これにより3台の認証スイッチ間でローミング可能な認証スイッチネットワーク500Bとなり、次の端末移動(ローミング)が可能となる。(1)認証スイッチ100−1から認証スイッチ100−2または認証スイッチ100−3へのローミング。(2)認証スイッチ100−2から認証スイッチ100−1または認証スイッチ100−3へのローミング。(3)認証スイッチ100−3から認証スイッチ100−1または認証スイッチ100−2へのローミング。
【0058】
図21を参照して、端末のローミング可能な認証スイッチをグループ毎に分けた認証ネットワークを説明する。図21において、認証スイッチ100−1、認証スイッチ100−2および認証スイッチ100−3でそれぞれの認証スイッチ100の照合キーを設定する。それぞれの認証スイッチ100は、次のように照合キーを設定する。認証スイッチ100−1は、認証スイッチ100−2の照合キーのみを設定する。認証スイッチ100−2は、認証スイッチ100−1および認証スイッチ100−3の照合キーを設定する。認証スイッチ100−3は、認証スイッチ100−2の照合キーのみを設定する。
【0059】
これによってローミング可能な認証スイッチのグループを分けることができる。すなわち、グループ500Cは、認証スイッチ100−1と認証スイッチ100−2から構成する。グループ500Dは、認証スイッチ100−2と認証スイッチ100−3から構成する。
【0060】
各グループ500内では端末のローミングが可能だが、認証スイッチ100−1と認証スイッチ100−3間ではローミングはできない。これによって、不用意な端末移動を禁止することができる。具体的には、認証スイッチ100−1配下の端末70−1が認証スイッチ100−2を介さずに認証スイッチ100−3配下に直接移動した場合、端末70−1はローミングの対象とならず、認証スイッチ100−3へ移動した時点で再度ユーザ認証が必要となる。
【0061】
これに対して、認証スイッチ100−1配下の端末70−1が認証スイッチ100−2を一旦介して認証スイッチ100−3配下に移動した場合、端末70−1はローミングの対象となる。
【0062】
図22を参照して、認証スイッチを冗長化構成にし認証ネットワークの構成を説明する。図22において、認証ネットワーク500Eは、認証スイッチ100−1と認証スイッチ100−2とで構成されている。認証スイッチ100−1と認証スイッチ100−2とは、認証情報を受け渡す専用回線300で接続し、運用している認証スイッチ100−1から待機している認証スイッチ100−2へユーザ認証された端末70−1と端末70−2と端末70−3と端末70−4の認証情報が受け渡される。この状態で、認証スイッチ100−1に障害が検出されて認証スイッチ100−2に切り替えが発生した場合、認証スイッチ100−2の認証情報テーブル内の端末70−1と端末70−2と端末70−3と端末70−4の認証情報を認証スイッチ100−2の配下に移動する。
【0063】
これによって、冗長構成を取る認証スイッチの切り替えが発生しても端末の利用者は、切り替えが発生する度にユーザ認証を行うことなく通信を継続できる。また、認証スイッチ間の認証情報の受け渡しにRADIUSプロトコルを使用しているために、ネットワークの構成に自由度がある。
【0064】
[第2の実施形態]
次にユーザ認証情報を詐称し、正規ユーザになりすまして認証した不正ユーザを検出する第2の実施形態について説明する。
まず、図23を参照して、本実施形態における認証スイッチ100−1の構成について説明する。認証スイッチ100−1は図1で説明した構成に対して、さらにパケット転送数処理部210と不正ユーザ検出処理部220を追加した構成としている。なお、認証スイッチ100−2も同様の構成であるため、認証スイッチ100−1を用いて以下説明する。
【0065】
認証情報保持部160A内のユーザ認証情報テーブル180Aの構成を図24に示す。図示するように、ユーザ認証情報テーブル180Aは図6で示したユーザ認証情報テーブル180に対して、パケット転送数186および前確認時のパケット転送数187を追加した構成としている。パケット転送数186はパケット転送数処理部210によってカウントされたパケット転送数を保持する。前確認時のパケット転送数187は不正ユーザ検出処理部220が前回のタイミングで確認した時のパケット転送数を保持するものであり、詳細は後述する。
【0066】
また、端末がローミングした場合のユーザ認証情報テーブル180Aの更新方法が、先の実施形態で図18を用いて説明した方法とは異なるため説明する。先の実施形態では、図14において、端末70−2が認証スイッチ100−1配下から認証スイッチ100−2配下にローミングした場合、認証スイッチ100−1では図17の処理フローに基づいてユーザ認証情報テーブルを更新し、移動後は図18の構成となる(移動前は図12)。つまり、先の実施形態では、ユーザ認証情報テーブルのポインタを更新することによって端末のローミング状態を管理しており、ローミング前後で各端末のユーザ認証情報のエントリは常に一つであり、増えることはない。しかし、本実施形態では、端末がローミングした場合に、ローミング後の端末のユーザ認証情報のエントリを追加し、ローミングした端末についてはローミング前後の2つのユーザ認証情報のエントリがユーザ認証情報テーブルに保持される。このユーザ認証情報テーブル180Aの具体例は後述する図28に示す。
【0067】
図25を参照して、パケット転送数処理部210の詳細動作を説明する。認証スイッチ100−1は端末70からパケットを受信すると、受信したパケットに対する端末の情報(ユーザ名、MACアドレス、IPアドレスなど)がユーザ認証情報テーブル180Aに登録されているかを確認する(S121)。ユーザ認証情報テーブル180Aに登録されている場合、該当するエントリのパケット転送数186を更新(+1)する(S122)。ステップ121でNOのときは終了する。このように、認証スイッチ100−1は各端末70から送信されるパケットの転送数を、ユーザ名181、MACアドレス182、IPアドレス183毎にカウントし、パケット転送数186としてユーザ認証情報テーブル180Aに保持する。
【0068】
図26を参照して、不正ユーザ検出処理部220の詳細動作を説明する。不正ユーザ検出処理部220は定期的に図26の処理を実行し、実行する時間間隔はネットワーク環境によりネットワーク管理者が妥当な間隔を設定する。
【0069】
まず、図4、図10、図15等で説明した認証スイッチ100−2とのパケット送信や返信パケットの受信と同様の手法により、認証スイッチ100−2と認証情報の受け渡しを実施し、ユーザ認証情報テーブル180Aのパケット転送数186を更新する(S131)。この時、認証スイッチ100−1配下の端末に関するパケット転送数187は自身のパケット転送数処理部210により最新の状態に更新されているため、対向する認証スイッチ100−2がカウントしたパケット転送数187の値のみを認証スイッチ100−2から受け取り更新する。
【0070】
認証スイッチ100−1はユーザ認証情報テーブル180Aの自装置エントリに登録されているユーザ名181が対向装置エントリにも登録されているかを確認する(S132)。要するに、S132では、端末がローミングしてローミング前後の2つのユーザ認証情報のエントリがユーザ認証情報テーブルに登録されているかを確認する。登録されていない場合、前確認時のパケット転送数187にパケット転送数186の値を記録して終了する(S136)。
【0071】
ステップ132でYESのとき、各ユーザ別にパケット転送数186から前確認時のパケット転送数187の値を引いてパケット転送数の増減値を算出する(S133)。各パケット転送数の増減値が閾値を超えているかを確認する(S134)。
【0072】
各パケット転送数の増減値が閾値を超えていない場合は正規ユーザが認証スイッチ間を行き来している状態であると判断して、ステップ136を実施して終了する。ステップ134でYESの場合、正規ユーザが認証スイッチ間を頻繁に行き来している状態とは考えにくく、不正ユーザが存在すると判断し、不正ユーザ検出のアラームとして、認証スイッチ100−1および対向する認証スイッチ100−2に不正ユーザ検出ログを保存、MIBトラップ機能を使用していればMIBトラップを端末70に発行する(S135)。最後にステップ136を実施して終了する。なお、不正ユーザ検出処理部220はユーザ認証情報テーブルのエントリ分を処理する。パケット転送数増減値の閾値についてはネットワーク環境によりネットワーク管理者が妥当な間隔を設定する。
【0073】
本実施形態ではS132においてユーザ名181を用いてエントリ登録を確認したが、ユーザ名181の代わりにMACアドレス182またはIPアドレス183を確認することで、MACアドレスまたはIPアドレスを詐称する不正端末を検出することも可能である。
【0074】
以上の構成において、不正ユーザを検出する例を具体的に説明する。まず、図27を参照して正規ユーザが認証スイッチ間をローミングした例を説明する。認証スイッチネットワーク500Fは、認証スイッチ100−1と認証スイッチ100−2で構成されている。矢印Fは認証スイッチ100−2に認証された正規ユーザ(User01)の端末70−1がローミングにより認証スイッチ100−1に移動したことを示す。矢印Gは認証スイッチ100−1を経由した端末70−1のパケット転送を示す。
【0075】
図27の状態におけるユーザ認証情報テーブル180Aの状態を図28に示す。なお図28の認証スイッチ管理テーブル110とスイッチ情報テーブル170は図示の簡便のため略記する。図28のユーザ認証情報テーブル180Aには正規ユーザ(User01)の端末70−1がローミング前に接続していた認証スイッチ100−2のエントリ189とローミング後に接続している認証スイッチ100−1のエントリ188が登録されている。正規ユーザ(User01)の端末70−1は認証スイッチ100−1に接続してパケット転送しているため、エントリ188のパケット転送数186が増えている。また、エントリ189は正規ユーザ(User01)の端末70−1が認証スイッチ100−2に接続されていないため、パケット転送数186は増えておらず、ローミング前の転送数の値が保持されている。なお、エントリ189のパケット転送数186の値は、図26のS131にて更新された値である。
【0076】
図27、図28における不正ユーザ検出処理部220の動作について説明する。なお、本説明では不正ユーザ検出処理部220が実施される定期間隔は1分間、パケット増減値の閾値を10000とする。図28のユーザ認証情報テーブル180Aに同じユーザ名(User01)のエントリ188とエントリ189が登録されているため、図26のステップ132でYESとなる。但し、エントリ188のパケット増減値は閾値を超えるがエントリ189のパケット増減値は閾値を超えないため、図26のステップ134でNOとなり、User01は正規ユーザであると判断される。
【0077】
次に図29を参照して正規ユーザが認証スイッチ間をローミングした後に、不正ユーザが認証スイッチ100−2に接続した例を説明する。図29は図27、図28の状態を継続しており、図28のユーザ認証情報テーブル180Aにエントリ189が登録されているため、正規ユーザ(User01)の端末70−1の認証情報を詐称した不正ユーザ(User01)の端末70−3が認証スイッチ100−2に接続可能である。矢印Hは認証スイッチ100−2を経由した端末70−3のパケット転送を示す。
【0078】
図29の状態におけるユーザ認証情報テーブル180Aの状態を図30に示す。なお図30の認証スイッチ管理テーブル110とスイッチ情報テーブル170は図示の簡便のため略記する。図30のユーザ認証情報テーブル180Aには正規ユーザ(User01)の端末70−1のエントリ188と不正ユーザ(User01)の端末70−3のエントリ189が登録されている。正規ユーザの端末70−1と不正ユーザの端末70−3はそれぞれパケット転送しているため、エントリ188とエントリ189のパケット転送数186が増えている。なお、エントリ189のパケット転送数186の値は、図26のS131にて更新された値である。
【0079】
図29、図30における不正ユーザ検出処理部220の動作について説明する。なお、本説明では不正ユーザ検出処理部220が実施される定期間隔は1分間、パケット増減値の閾値を10000とする。図30のユーザ認証情報テーブル180Aに同じユーザ名(User01)のエントリ188とエントリ189が登録されているため、図26のステップ132でYESとなる。さらにエントリ188とエントリ189のパケット増減値が共に閾値を超えるため、図26のステップ134でYESとなり、不正ユーザが存在すると判断し、不正ユーザ検出のアラーム処理(S135)が実施される。
【0080】
[第3の実施形態]
次にユーザ認証情報を詐称して正規ユーザになりすまして認証した不正ユーザを検出する第3の実施形態について説明する。
まず、図31を参照して、本実施形態における認証スイッチ100−1の構成について説明する。認証スイッチ100−1は図1で説明した構成に対して、さらに接続継続確認処理部230と不正ユーザ検出処理部220Aを追加した構成としている。なお、認証スイッチ100−2も同様の構成であるため、認証スイッチ100−1を用いて以下説明する。
【0081】
認証情報保持部160B内のユーザ認証情報テーブル180Bの構成を図32に示す。図示するように、ユーザ認証情報テーブル180Bは図6で示したユーザ認証情報テーブル180に対して、接続継続確認回数190および前接続継続確認回数191を追加した構成としている。接続継続確認回数190は接続継続確認処理部230によって加算された接続継続確認回数を保持する。前接続継続確認回数191は不正ユーザ検出処理部220Aが前回のタイミングで確認した時の接続継続確認回数を保持するものであり、詳細は後述する。
【0082】
また、端末がローミングした場合のユーザ認証情報テーブル180Bの更新方法は、第2の実施形態と同様であり、ローミングした端末についてはローミング前後の2つのユーザ認証情報のエントリがユーザ認証情報テーブルに保持される。ユーザ認証情報テーブル180Bの具体例は後述する図36に示す。
【0083】
図33を参照して、接続継続確認処理部230の詳細動作を説明する。接続継続確認処理部230は定期的に図33の処理を実行し、実行する時間間隔はネットワーク環境によりネットワーク管理者が妥当な間隔を設定する。認証スイッチ100−1は端末70に対して例えばPingやHelloパケットのような接続確認パケットを送信する(S141)。認証スイッチ100−1は一定時間内に端末70からの応答パケットを受信したかを確認する(S142)。受信した場合、接続継続確認回数190を1つ加算し(S143)終了する。ステップ142でNOのときは終了する。
【0084】
図34を参照して、不正ユーザ検出処理部220Aの別の詳細動作を説明する。不正ユーザ検出処理部220Aは定期的に図34の処理を実行し、実行する時間間隔はネットワーク環境によりネットワーク管理者が妥当な間隔を設定する。
【0085】
まず、図4、図10、図15等で説明した認証スイッチ100−2とのパケット送信や返信パケットの受信と同様の手法により、認証スイッチ100−2と認証情報の受け渡しを実施し、ユーザ認証情報テーブル180Bの接続継続確認回数190を更新する(S151)。この時、認証スイッチ100−1配下の端末に関する接続継続確認回数190は自身の接続継続確認処理部230により最新の状態に更新されているため、対向する認証スイッチ100−2がカウントした接続継続確認回数190の値のみを認証スイッチ100−2から受け取り更新する。
【0086】
認証スイッチ100−1はユーザ認証情報テーブル180Bの自装置エントリに登録されているユーザ名181が対向装置エントリにも登録されているかを確認する(S152)。要するに、S152では、端末がローミングしてローミング前後の2つのユーザ認証情報のエントリがユーザ認証情報テーブルに登録されているかを確認する。登録されていない場合、前接続継続確認回数191に接続継続確認回数190の値を記録して終了する(S156)。
【0087】
ステップ152でYESのとき、各ユーザ別に接続継続確認回数190から前接続継続確認回数191の値を引いて接続継続確認回数の増減値を算出する(S153)。各接続継続確認回数の増減値が閾値を超えているかを確認する(S154)。
【0088】
各接続継続確認回数の増減値が閾値を超えていない場合は正規ユーザが認証スイッチ間を行き来している状態であると判断して、ステップ156を実施して終了する。ステップ154でYESの場合、正規ユーザが認証スイッチ間を頻繁に行き来している状態とは考えにくく、不正ユーザが存在すると判断し、不正ユーザ検出のアラームとして、認証スイッチ100−1および対向する認証スイッチ100−2のログに不正ユーザ検出ログを保存、MIBトラップ機能を使用していればMIBトラップを端末70に発行する(S155)。最後にステップ156を実施して終了する。なお、不正ユーザ検出処理部220Aはユーザ認証情報テーブルのエントリ分を処理する。接続継続確認回数増減値の閾値についてはネットワーク環境によりネットワーク管理者が妥当な間隔を設定する。
【0089】
本実施形態ではS152においてユーザ名181を用いてエントリ登録を確認したが、ユーザ名181の代わりにMACアドレス182またはIPアドレス183を確認することで、MACアドレスまたはIPアドレスを詐称する不正端末を検出することも可能である。
【0090】
以上の構成において、不正ユーザを検出する例を具体的に説明する。まず、図35を参照して正規ユーザが認証スイッチ間をローミングした例を説明する。認証スイッチネットワーク500Gは、認証スイッチ100−1と認証スイッチ100−2で構成されている。矢印Iは認証スイッチ100−2に認証された正規ユーザ(User01)の端末70−1がローミングにより認証スイッチ100−1に移動したことを示す。矢印Jは認証スイッチ100−1の接続継続確認処理部230が認証した端末70−1との接続が継続中であるかを定期的に確認することを示す。
【0091】
図35の状態におけるユーザ認証情報テーブル180Bの状態を図36に示す。なお図36の認証スイッチ管理テーブル110とスイッチ情報テーブル170は図示の簡便のため略記する。図36のユーザ認証情報テーブル180Bには正規ユーザ(User01)の端末70−1がローミング前に接続していた認証スイッチ100−2のエントリ189とローミング後に接続している認証スイッチ100−1のエントリ188が登録されている。正規ユーザ(User01)の端末70−1は認証スイッチ100−1に接続を継続しているため、エントリ188の接続継続確認回数190が増えている。また、エントリ189は正規ユーザ(User01)の端末70−1が認証スイッチ100−2に接続されていないため、接続継続確認回数190は増えておらず、ローミング前の接続継続確認回数の値が保持されている。なお、エントリ189の接続継続確認回数190の値は、図34のS151にて更新された値である。
【0092】
図35、図36における不正ユーザ検出処理部220Aの動作について説明する。なお、本説明では不正ユーザ検出処理部220Aが実施される定期間隔を1分間、接続継続確認処理部230が実施される定期間隔を10分間、接続継続確認回数増減値の閾値を5とする。図36のユーザ認証情報テーブル180Bに同じユーザ名(User01)のエントリ188とエントリ189が登録されているため、図34のステップ152でYESとなる。但し、エントリ188の接続継続確認回数増減値は閾値を超えるがエントリ189の接続継続確認回数増減値は閾値を超えないため、図34のステップ154でNOとなり、User01は正規ユーザであると判断される。
【0093】
次に図37を参照して正規ユーザが認証スイッチ間をローミングした後に、不正ユーザが認証スイッチ100−2に接続した例を説明する。図37は図35、図36の状態を継続しており、図36のユーザ認証情報テーブル180Bにエントリ189が登録されているため、正規ユーザ(User01)の端末70−1の認証情報を詐称した不正ユーザ(User01)の端末70−3が認証スイッチ100−2に接続可能である。矢印Kは認証スイッチ100−2が認証した端末70−3との接続が継続中であるかを定期的に確認することを示す。
【0094】
図37の状態におけるユーザ認証情報テーブル180Aの状態を図38に示す。なお図38の認証スイッチ管理テーブル110とスイッチ情報テーブル170は図示の簡便のため略記する。図38のユーザ認証情報テーブル180Bには正規ユーザ(User01)の端末70−1のエントリ188と不正ユーザ(User01)の端末70−3のエントリ189が登録されている。正規ユーザの端末70−1は認証スイッチ100−1、不正ユーザの端末70−3は認証スイッチ100−2にそれぞれ接続を継続しているため、エントリ188とエントリ189の接続継続確認回数190が増えている。なお、エントリ189の接続継続確認回数190の値は、図34のS151にて更新された値である。
【0095】
図37、図38における不正ユーザ検出処理部220Aの動作について説明する。なお、本説明では不正ユーザ検出処理部220Aが実施される定期間隔を1分間、接続継続確認処理部230が実施される定期間隔を10分間、接続継続確認回数増減値の閾値を5とする。図38のユーザ認証情報テーブル180Bに同じユーザ名(User01)のエントリ188とエントリ189が登録されているため、図34のステップ152でYESとなる。さらにエントリ188とエントリ189の接続継続確認回数増減値が共に閾値を超えるため、図34のステップ154でYESとなり、不正ユーザが存在すると判断し、不正ユーザ検出のアラーム処理(S155)が実施される。
【符号の説明】
【0096】
70…端末、100…認証スイッチ、110…認証スイッチ管理テーブル、120…自認証スイッチ状態配布部、130…対向認証スイッチ可否判定部、140…認証情報送信部、150…認証情報受信部、160…認証情報保持部、170…スイッチ情報テーブル、180…ユーザ認証情報テーブル、190…認証処理部、200…レイヤ2スイッチ、300…専用回線、500…認証スイッチネットワーク。
【技術分野】
【0001】
本発明は、認証スイッチおよび端末認証方法に係り、特にレイヤ2スイッチおよび端末で構成されるレイヤ2ネットワークで利用認証スイッチおよび端末認証方法に関する。
【背景技術】
【0002】
レイヤ2スイッチ上で動作する端末の認証情報は、端末の認証を実行したレイヤ2スイッチ内にのみに保存されている。このため、ネットワーク内に複数のレイヤ2スイッチが設置されている場合、それぞれのレイヤ2スイッチ毎に個別に認証情報が保存されている。この状態で、端末に付いて第1のレイヤ2スイッチにてユーザ認証が行なった後に、この端末が第2のレイヤ2スイッチに移動した際、再度、ユーザ認証を行なわなければならない。この結果、作業の中断を伴なってしまう。
【0003】
一方、無線ネットワークでは、ネットワーク内に設定された各無線局からの無線をオーバーラップさせて、無線機能を具備した端末との間で常に通信を行なっている。このため、端末を移動してもユーザ認証をその都度行なうことなく作業を継続して行なうことができる。
【0004】
しかし、レイヤ2スイッチで構成されたレイヤ2ネットワークでは、ユーザ認証された端末のレイヤ2スイッチ間での移動ができない。
特許文献1は、複数のゲートウェイ装置による冗長構成に於ける負荷分散管理を開示し、複数のゲートウェイ装置から送信されたパケットから特定のゲートウェイ装置のパケットだけを端末に送信するパケット転送装置の記載がある。
【0005】
また、正規ユーザの認証情報を詐称してレイヤ2スイッチに認証する不正ユーザが懸念される。
特許文献2は、認証サーバにおいて複数のレイヤ2スイッチから取得・マージした認証ログ情報のログイン、ログアウトの時間差からユーザ名を詐称する不正ユーザを検出する手段が記載されているが、認証サーバ、ユーザ認証を実行するレイヤ2スイッチに対して専用の装置および専用のソフトウェアを使用する必要があった。
【先行技術文献】
【特許文献】
【0006】
【特許文献1】特開2008−113260号公報
【特許文献2】特開2009−296510号公報
【発明の概要】
【発明が解決しようとする課題】
【0007】
ユーザ認証を実行するレイヤ2スイッチ(以降、単に認証スイッチと呼ぶ)でユーザ認証された端末を他の認証スイッチへ移動(以降、単にローミングと呼ぶ)する際、ユーザ情報との照合を行なう専用の認証サーバ(以降、単に認証サーバと呼ぶ)で管理するのが一般的である。この場合、認証スイッチは、ユーザ認証を行なう端末と認証サーバとの間を仲介し、認証された端末のMACアドレスなどの情報を保持する。この場合、認証サーバは、各認証スイッチで認証された情報を全て保存する。すなわち、ネットワーク内には必ず認証サーバが存在しなければならない。この様な状態で、認証サーバに障害が発生すると、認証済みの端末がローミングする際にも、正常な移動が行なえない。
【0008】
また、有線で構築されたネットワークは、単純に認証スイッチ同士をオーバーラップするとネットワーク内でループ状態が発生する場合もあり、無線ネットワークで実現している方式を採用できないでいた。
【0009】
なお、通常レイヤ2スイッチの制御には、レイヤ2スイッチを制御する専用のパケット(以降、制御パケットと呼ぶ)を用いるのが一般的である。しかし、ユーザ認証された情報を受け渡す専用の制御パケットが定義されていない。このため、認証スイッチだけで構成されたネットワークでは、ユーザ認証情報の受け渡しができず、認証スイッチ間のローミング時に移動先の認証スイッチ上でユーザ認証の操作を行なう必要があった。
【0010】
また、認証スイッチ間をローミングすることにより、移動元と移動先の認証スイッチに端末のユーザ認証情報が保存される場合、保存されているユーザ認証情報と同一となる端末は認証スイッチに接続しパケット転送することができる。そのため、ユーザ認証情報を詐称した不正ユーザが認証スイッチに接続可能であり、セキュリティの懸念がされていた。また、ローミング時の移動元と移動先の認証スイッチにユーザ認証情報が同一となる端末が存在した場合に、ユーザ認証情報を詐称して正規ユーザになりすまして認証した不正ユーザが認証スイッチに接続しているのか、もしくは正規ユーザが認証スイッチ間を行き来しているのか判断が難しく、単純に不正ユーザと判断することが困難であった。
【課題を解決するための手段】
【0011】
本発明は、ネットワークに設置された認証スイッチでユーザ認証された認証情報を、複数の認証スイッチ間で冗長に保持し、認証スイッチのみで構成されたネットワークに於いて、ユーザ認証された端末のローミングに際し、移動先の認証スイッチでユーザ認証操作を行わないで移動することを可能にする。
【0012】
また、認証スイッチ間のユーザ認証情報の受け渡しには、RADIUSプロトコルを利用して実現する。このため、ネットワーク内に認証スイッチが点在して設置されていてもユーザ認証情報の受け渡しが可能となる。
【0013】
上述した課題は、配下に接続された端末の認証を行ない、認証済みの複数の端末の情報を記録する第1の情報テーブルと、複数の認証スイッチの情報を記録する第2の情報テーブルとを備え、他の認証スイッチとの間で、認証済み端末の情報と認証スイッチの情報とを交換し、交換した認証済み端末の情報と認証スイッチの情報とにより、第1のテーブルと第2のテーブルを更新する認証スイッチにより、達成できる。
【0014】
また、対向する認証スイッチに第2の照合キーを送信するステップと、対向する認証スイッチからの第1の照合キーを受信するステップと、第1の照合キーを検証するステップと、新規端末を認証するステップと、対向する認証スイッチに認証した端末の情報を送信するステップと、対向する認証スイッチからの認証された端末の情報を受信するステップと、認証した端末の情報と認証された端末の情報とを記録するステップとからなる端末認証方法により、達成できる。
【0015】
本発明の第2の解決手段として、各認証スイッチで保持しているユーザ認証情報にパケット転送数カウンタを設け、認証スイッチに認証されている端末のパケット転送数をチェックしてパケット転送中であればカウンタを増加し、一定時間のカウンタ増加値が閾値を超えた場合、正規ユーザが認証スイッチ間を頻繁に行き来している状態とは考えにくいため、正規ユーザのユーザ認証情報を詐称した不正ユーザと判断する手段をもつ。
【0016】
本発明の第3の解決手段として、各認証スイッチで保持しているユーザ認証情報に接続継続確認回数カウンタを設け、認証スイッチに認証されている端末の接続状態をチェックして接続中であればカウンタを増加し、一定時間のカウンタ増加値が閾値を超えた場合、正規ユーザが認証スイッチ間を頻繁に行き来している状態とは考えにくいため、正規ユーザのユーザ認証情報を詐称した不正ユーザと判断する手段をもつ。
【発明の効果】
【0017】
本発明によれば、認証スイッチをまたがって端末が移動した際に、移動先の認証スイッチでのユーザ認証を行わずに認証状態を継続した状態で通信をすることができる。また、専用のサーバや専用のソフトウェアを使用せずに、認証スイッチのみで構成されたネットワーク内での端末のローミングが可能となる。
【0018】
また、複数の認証スイッチから正規ユーザの認証情報を詐称してネットワークに接続してくる不正ユーザを検出することができる。
【図面の簡単な説明】
【0019】
【図1】認証スイッチネットワークのブロック図である。
【図2】認証スイッチ間の照合を説明するシーケンス図である。
【図3】RADIUS Accountingパケットのフォーマットである。
【図4】自認証スイッチの状態配布処理のフローチャートである。
【図5】対向認証スイッチ可否判定処理のフローチャートである。
【図6】認証スイッチ管理テーブル、スイッチ情報テーブルおよびユーザ認証情報テーブルを説明する図である(その0)。
【図7】認証スイッチネットワークの他のブロック図である。
【図8】認証スイッチ管理テーブルおよびスイッチ情報テーブルを説明する図である。
【図9】認証スイッチネットワークの更に他のブロック図である。
【図10】認証情報通知処理のフローチャートである。
【図11】認証情報受信処理のフローチャートである。
【図12】認証スイッチ管理テーブル、スイッチ情報テーブルおよびユーザ認証情報テーブルを説明する図である(その1)。
【図13】認証スイッチ管理テーブル、スイッチ情報テーブルおよびユーザ認証情報テーブルを説明する図である(その2)。
【図14】認証スイッチネットワークの更に更に他のブロック図である。
【図15】認証移動状態通知処理のフローチャートである。
【図16】認証スイッチ管理テーブル、スイッチ情報テーブルおよびユーザ認証情報テーブルを説明する図である(その2−2)。
【図17】端末移動情報受信処理のフローチャートである。
【図18】認証スイッチ管理テーブル、スイッチ情報テーブルおよびユーザ認証情報テーブルを説明する図である(その1−2)。
【図19】認証スイッチ管理テーブル、スイッチ情報テーブルおよびユーザ認証情報テーブルを説明する図である(その2−3)。
【図20】3台の認証スイッチからなる認証スイッチネットワークのブロック図である。
【図21】複数のローミンググループとした認証スイッチネットワークのブロック図である。
【図22】認証スイッチの冗長構成とした認証スイッチネットワークのブロック図である。
【図23】第2の実施形態における認証スイッチネットワークのブロック図である。
【図24】第2の実施形態におけるユーザ認証情報テーブルを示す図である。
【図25】パケット転送数処理部の動作を示すフローチャートである。
【図26】不正ユーザ検出処理部の動作を示すフローチャートである(その1)。
【図27】認証スイッチネットワークにて正規ユーザがローミングしている状態を説明する図である(その1)。
【図28】正規ユーザがローミングしている状態のユーザ認証情報テーブルを示す図である(その1)。
【図29】認証スイッチネットワークにて不正ユーザが接続している状態を説明する図である(その1)。
【図30】不正ユーザが接続している状態のユーザ認証情報テーブルを示す図である(その1)。
【図31】第3の実施形態における認証スイッチネットワークのブロック図である。
【図32】第3の実施形態におけるユーザ認証情報テーブルを示す図である。
【図33】接続継続確認処理部の動作を示すフローチャートである。
【図34】不正ユーザ検出処理部の動作を示すフローチャートである(その2)。
【図35】認証スイッチネットワークにて正規ユーザがローミングしている状態を説明する図である(その2)。
【図36】正規ユーザがローミングしている状態のユーザ認証情報テーブルを示す図である(その2)。
【図37】認証スイッチネットワークにて不正ユーザが接続している状態を説明する図である(その2)。
【図38】不正ユーザが接続している状態のユーザ認証情報テーブルを示す図である(その2)。
【発明を実施するための形態】
【0020】
以下、本発明の実施の形態について、実施例を用い図面を参照しながら詳細に説明する。なお、実質同一部位には、同じ参照番号を振り、説明は繰り返さない。
まず、図1を参照して、認証スイッチネットワークの構成を説明する。図1において、認証スイッチネットワーク500は、認証スイッチ100−1と対向する認証スイッチ100−2とから構成されている。認証スイッチ100−1は、端末70が接続されている。認証スイッチ100は、自認証スイッチ状態配布部120、対向認証スイッチ可否判定部130、認証情報送信部140、認証情報受信部150、認証情報保持部160、認証処理部190から構成されている。
【0021】
自認証スイッチ状態配布部120は、自認証スイッチの状態を認証スイッチ100−2に配布する。対向認証スイッチ可否判定部130は、対向認証スイッチ100−2からの自スイッチ状態を受信して、対向認証スイッチ100−2とのネットワーク形成の可否を判定する。対向認証スイッチ可否判定部130は、認証情報保存部160の認証スイッチ管理テーブルを更新する。認証情報送信部140は、端末70からの認証要求を認証処理部に転送する。認証情報送信部140は、認証情報保持部160にアクセスして、認証情報を認証スイッチ100−2に送信する。認証情報受信部150は、対向認証スイッチからの認証情報を受信して、認証情報保存部160のスイッチ情報テーブルとユーザ認証情報テーブルを更新する。認証情報保持部160は、認証情報を保存する。認証処理部190は、端末70の認証を実行する。
【0022】
最初に自認証スイッチ状態配布120は、対向認証スイッチ100−2とのやり取りを許可するための通知を行なう。対向認証スイッチ可否判定部130は、対向認証スイッチとのやり取りが許可されたものかを判定する。その後、認証端末70からの認証要求を認証情報送信部140は、受け付ける。認証情報送信部140は、認証情報保持部160に既に認証情報が存在するかの確認を行なう。新規の認証要求である場合、認証処理部190は、認証操作を実施し、認証情報保持部160に格納する。さらに、認証情報通知140は、対向認証スイッチ100−2宛てに認証情報の通知を行なう。対向認証スイッチ100−2にて認証された認証情報について、認証情報受信150は、それを受け取り、対向認証スイッチの認証情報として認証情報保持部160に格納する。
【0023】
図2を参照して、認証スイッチ間のやり取り許可の手順を説明する。図2において、まず、認証スイッチ100−1は、認証スイッチ100−2宛てに認証スイッチ100−2の照合キーが入ったパケットを送信する(S11)。認証スイッチ100−2は、認証スイッチ100−2の照合キーであるかの判定を行なう(S12)。認証スイッチ100−2は、認証スイッチ100−1に対し返答パケットを送信する(S13)。また、認証スイッチ100−2は、認証スイッチ100−1宛てに認証スイッチ100−1の照合キーが入ったパケットを送信する(S14)。認証スイッチ100−1は、認証スイッチ100−1の照合キーであるかを判定する(S16)。認証スイッチ100−1は、認証スイッチ100−2に対して返答パケットを送信する(S17)。
【0024】
図2の認証スイッチ間のやり取りに使用するRADIUS Accountingパケットについて、図3を参照して説明する。図3において、RADIUS Accountingパケット30は、IP/UDPヘッダ31、Authenticatorフィールド32、Attributeフィールド33から構成されている。照合キーの送信パケットは、RADIUS Accountingパケット30のAuthenticatorフィールド32に対向する認証スイッチの照合キー、Attributeフィールド33に認証情報を格納する。
【0025】
通常、RADIUS AccountingパケットはRADIUSへ認証結果を通知するために使用される。しかし、本実施例では、RADIUS Accountingパケット30のAuthenticatorフィールド32に格納した照合キーでローミング対象となる認証スイッチであるかを判定し、認証スイッチ100間の認証情報の受け渡しを行なう。
【0026】
図4を参照して、認証スイッチ状態配布の動作を説明する。図4において、認証スイッチ100は、対向認証スイッチ宛てに送信するパケットに対向する認証スイッチの照合キーを格納する(S41)。認証スイッチ100は、対向する認証スイッチ宛てにパケットを送信する(S42)。次に、認証スイッチ100は、対向する認証スイッチからの返答パケットを受信する(S43)。
【0027】
認証スイッチ100は、一定時間内に対向認証スイッチから返答パケットが受信できたかを判定する(S44)。受信できなかった場合、認証スイッチ100は、対向認証スイッチが管理対象外であると判定して、終了する。ステップ44でタイムアウトしていないとき、認証スイッチ100は、返答パケットが許可を示す許可パケットであるかを判定する(S46)。
【0028】
許可パケットでないとき、認証スイッチ100は、対向認証スイッチが管理対象外であると判定して、終了する。ステップ46で許可パケットのとき、認証スイッチ100は、自身の照合キーが添付されているか判定する(S47)。自身の照合キーでないとき、認証スイッチ100は、対向認証スイッチが管理対象外であると判定して、終了する。ステップ47でYESのとき、認証スイッチ100は、対向する認証スイッチを管理対象とし、認証スイッチ管理テーブルに対向認証スイッチを登録する(S48)。最後に、認証スイッチ100は、対向する認証スイッチ宛てに返信パケットを送信して(S49)、終了する。なお、ステップ44〜ステップ47の順序は順不同である。
【0029】
図5を参照して、対向認証スイッチから送られてきた照合キーを判定する認証スイッチの動作を説明する。図5において、認証スイッチ100は、対向認証スイッチからのパケットを受信する(S51)。認証スイッチ100は、受信したパケットに格納されている照合キーが自分の認証スイッチの照合キーであるかを判定する(S52)。照合キーが一致した場合(YES)、認証スイッチ100は、許可パケットを対向認証スイッチ宛てに送信する(S53)。ステップ52でNOのとき、認証スイッチ100は、拒否パケットを対向認証スイッチ宛てに送信して(S54)、終了する。
【0030】
ステップ53に続いて、認証スイッチ100は、対向認証スイッチからの返信パケットを受信する(S56)。認証スイッチ100は、さらに、対向認証スイッチが認証許可であるか判定する(S57)。YESのとき、認証スイッチ管理テーブルに対向認証スイッチを登録して(S58)、終了する。ステップ57でNOのとき、認証スイッチ100は、そのまま終了する。なお、ステップ56とステップ57の順序は、逆でもよい。
【0031】
図6を参照して、認証情報を保持する各認証情報テーブルを説明する。各認証情報テーブルは、認証情報保持部160に記憶されている。各認証情報テーブルは、認証スイッチ管理テーブル110と、スイッチ情報テーブル170と、ユーザ認証情報テーブル180とから成っている。
【0032】
認証スイッチ管理テーブル110は、認証スイッチ種別111、認証スイッチ数112、スイッチ情報テーブルへのポインタ113のコラムから成っている。認証スイッチ管理テーブル110の認証スイッチ種別111は、自装置である0、対向装置である1、障害装置である2を含んでいる。認証スイッチ数112は、それぞれの認証スイッチの数である。自装置エントリの認証スイッチ数112は、当然「1」が記録されている。スイッチ情報テーブルへのポインタ113は、スイッチ情報テーブル170に記録された最初のスイッチへのポインタを記録する。なお、障害装置のエントリで、認証スイッチ数112が「0」なので、スイッチ情報テーブルへのポインタ113は、NULL(なし)である。
【0033】
スイッチ情報テーブル170は、認証スイッチIPアドレス171、照合キー172、認証ユーザ数173、ユーザ認証テーブルへのポインタ174、次のスイッチ情報へのポインタ175のコラムから成っている。認証スイッチIPアドレス171は、当該認証スイッチのIPアドレスを記録する。照合キー172は、当該認証スイッチの照合キーを記録する。認証ユーザ数173は、当該認証スイッチの認証ユーザ(端末)数を記録する。ユーザ認証テーブルへのポインタ174は、当該認証スイッチのユーザ認証テーブル180最初のユーザ(端末)へのポインタを記録する。次のスイッチ情報へのポインタ175は、次の認証スイッチへのポインタを記録する。なお、ユーザ認証テーブルへのポインタ174および次のスイッチ情報へのポインタ175は、NULL(なし)の場合がある。
【0034】
ユーザ認証情報テーブル180は、ユーザ名181、MACアドレス182、IPアドレス183、認証時刻184、次のユーザ認証情報へのポインタ185のコラムから成っている。ユーザ名181は、当該端末のユーザ名を記録する。MACアドレス182は、当該端末のMACアドレスを記録する。IPアドレス183は、当該端末のIPアドレスを記録する。認証時刻184は、当該端末の認証時刻を記録する。次のユーザ認証情報へのポインタ185は、当該認証スイッチの次のユーザ認証情報へのポインタを記録する。なお、次のユーザ認証情報へのポインタ185は、NULL(なし)の場合がある。また、図中のポインタのセルを起点とする破線矢印は、ポインタの指し先を示している。
【0035】
図7と図8を参照して、認証スイッチ管理テーブルとスイッチ情報テーブルとの関係を詳細に説明する。図7において、認証スイッチネットワーク500Aは、レイヤ2スイッチ200と、レイヤ2スイッチ200に接続された2台の認証スイッチ100と、認証スイッチ100−1に接続された端末70−1、70−2と、認証スイッチ100に接続された端末70−3とで構成されている。ここで、認証スイッチ100−1と認証スイッチ100−2は互いにローミング可能な認証スイッチである。
【0036】
認証スイッチネットワーク500Aにおいて、最初に、図2に示した認証スイッチ間のやり取りが行われ、対向する認証スイッチがそれぞれ相手がローミング対象であるかを判定し、図8に示す認証スイッチ管理テーブルとスイッチ情報テーブルが作成される。なお、図8以降の各認証管理テーブルは、図示の簡便のため略記する。
【0037】
図8において、認証スイッチ管理テーブル110の自装置エントリ62のスイッチ情報テーブルへのポインタ113には、スイッチ情報テーブル170の最初のエントリへのポインタが格納されて、認証スイッチ管理テーブル110とスイッチ情報テーブル170とが関係付けられる。一方、対向認証スイッチは、認証スイッチ管理テーブル110の対向装置エントリ63のスイッチ情報テーブルへのポインタ113には、スイッチ情報テーブル170の2番目のエントリへのポインタが格納されて、認証スイッチ管理テーブル110とスイッチ情報テーブル170とが関係付けられる。
【0038】
次に、各認証スイッチの認証結果の交換について、図9を参照して説明する。図9において、認証スイッチ100−1と認証スイッチ100−2は互いにローミング可能な認証スイッチである。認証スイッチ100−1にてユーザ認証された端末70−1と端末70−2の認証情報は、認証スイッチ100−1の認証情報保持部160に保存される。端末70−1と端末70−2の認証情報は、同時に矢印Aで示すように認証スイッチ100−2に向けて送信される。また、認証スイッチ100−2にてユーザ認証された端末70−3の認証情報は、認証スイッチ100−2の認証情報保持部160に保存される。端末70−3の認証情報は、同時に矢印Bに示すように認証スイッチ100−1に向けて送信される。
【0039】
図10と図11を参照して、認証情報の交換をさらに説明する。図10において、端末からの認証要求について、認証スイッチ100は、認証処理部190で実行する(S61)。認証スイッチ100は、認証が成功したか判定する(S62)。NOのとき、認証スイッチ100は、そのまま終了する。ステップ62でYESのとき、認証スイッチ100は、認証に成功したユーザ情報をユーザ認証情報テーブル180に登録する(S63)。認証スイッチ100は、パケットに対向認証スイッチの照合キーと認証結果を格納する(S64)。認証スイッチ100は、パケットを送信する(S66)。認証スイッチ100は、返信パケットを受信する(S67)。認証スイッチ100は、受信タイムアウトしていたか判定する(S68)。YESのとき、認証スイッチ100は、対向認証スイッチを障害装置エントリに移動して(S69)、終了する。ステップ68でNOのとき、認証スイッチ100は、許可パケットか判定する(S71)。YESのとき、認証スイッチ100は、そのまま終了する。ステップ71でNOのとき、認証スイッチ100は、認証スイッチ管理テーブル等から対向認証スイッチに係るデータを削除して(S72)、終了する。なお、ステップ68とステップ71の順序は、逆でもよい。また、頁外結合子は、図15からの移動(新規ユーザ認証処理)である。
【0040】
図11において、認証スイッチ100は、他の認証スイッチから送られてきた認証情報を受信する(S81)。認証スイッチ100は、受信したパケットが管理対象の認証スイッチから送られてきたものか判定する(S82)。YESのとき、認証スイッチ100は、さらに、パケット内に格納されている照合キーが自身の照合キーか判定する(S83)。YESのとき、認証スイッチ100は、許可パケットを送信する(S84)。認証スイッチ100は、対向認証スイッチを認証スイッチ管理テーブルに登録して(S86)、終了する。
【0041】
ステップ82またはステップ83でNOのとき、認証スイッチ100は、拒否パケットを送信する(S87)。認証スイッチ100は、スイッチ管理テーブルから対向認証スイッチを削除し(S88)、終了する。なお、ステップ84とステップ86ならびにステップ87とステップ88の順序は、逆でもよい。
【0042】
図12および図13を参照して、図9の状態での認証スイッチ管理テーブル、スイッチ情報テーブルおよびユーザ認証情報テーブルの参照関係を説明する。ここで、図12は認証スイッチ100−1、図13は認証スイッチ100−2の各テーブルである。なお、図12および図13において、各テーブルのコラムのラベル部分の表記を省き、参照関係のみ図示している。
【0043】
認証スイッチ100−1を説明する図12において、認証スイッチ管理テーブル110の自装置エントリのスイッチ情報テーブルへのポインタ113は、スイッチ情報テーブル170の最初のエントリをポイントしている。また、対向装置エントリのスイッチ情報テーブルへのポインタ113は、スイッチ情報テーブル170の2番目のエントリをポイントしている。さらに、障害装置エントリのスイッチ情報テーブルへのポインタ113は、NULLである。したがって、スイッチ情報テーブル170の最初のエントリには、認証スイッチ100−1(認証スイッチ1と図示)の情報が記録されている。また、スイッチ情報テーブル170の2番目のエントリには、認証スイッチ100−2の情報が記録されている。
【0044】
スイッチ情報テーブル170のユーザ認証情報テーブルへのポインタ174について、最初のエントリは、ユーザ認証情報テーブル180の最初のエントリをポイントしている。また、2番目のエントリは、ユーザ認証情報テーブル180の3番目のエントリをポイントしている。ユーザ認証情報テーブル180の最初のエントリの次のユーザ認証情報へのポインタ185は、ユーザ認証情報テーブル180の2番目のエントリをポイントしている。したがって、ユーザ認証テーブル180について、最初のエントリは端末70−1(端末1と図示)のユーザ認証情報、2番目のエントリは端末70−2のユーザ認証情報、3番目のエントリは端末70−3のユーザ認証情報を記録する。なお、ユーザ認証情報テーブル180の2番目および3番目のエントリの次のユーザ認証情報へのポインタ185は、NULLである。
【0045】
認証スイッチ100−2を説明する図13において、認証スイッチ管理テーブル110の自装置エントリのスイッチ情報テーブルへのポインタ113は、スイッチ情報テーブル170の最初のエントリをポイントしている。また、対向装置エントリのスイッチ情報テーブルへのポインタ113は、スイッチ情報テーブル170の2番目のエントリをポイントしている。さらに、障害装置エントリのスイッチ情報テーブルへのポインタ113は、NULLである。したがって、スイッチ情報テーブル170の最初のエントリには、認証スイッチ100−2の情報が記録されている。また、スイッチ情報テーブル170の2番目のエントリには、認証スイッチ100−1の情報が記録されている。
【0046】
スイッチ情報テーブル170のユーザ認証情報テーブルへのポインタ174について、最初のエントリは、ユーザ認証情報テーブル180の最初のエントリをポイントしている。また、2番目のエントリは、ユーザ認証情報テーブル180の2番目のエントリをポイントしている。ユーザ認証情報テーブル180の2番目のエントリの次のユーザ認証情報へのポインタ185は、ユーザ認証情報テーブル180の3番目のエントリをポイントしている。したがって、ユーザ認証テーブル180について、最初のエントリは端末70−3のユーザ認証情報、2番目のエントリは端末70−1のユーザ認証情報、3番目のエントリは端末70−2のユーザ認証情報を記録する。なお、ユーザ認証情報テーブル180の最初および3番目のエントリの次のユーザ認証情報へのポインタ185は、NULLである。
【0047】
なお、ここでは対向する2台の認証スイッチしか考慮していないので、スイッチ情報テーブル170の次のスイッチ情報へのポインタ175は、いずれもNULLである。対向認証装置または障害認証装置が複数の場合の、次のスイッチ情報へのポインタ175の利用は、上述したユーザ認証情報テーブル180の次のユーザ認証情報へのポインタ185の利用と同様であることは、自明である。
【0048】
上述した実施例に拠れば、認証スイッチ100−1、100−2は、互いに認証済みの端末70の情報を交換しているので、端末70−1または端末70−2が認証スイッチ100−2の配下に入っても認証スイッチ100−2は、新たに認証する必要はない。同様に、端末70−3が認証スイッチ100−1の配下に入っても認証スイッチ100−1は、新たに認証する必要はない。
【0049】
図14および図15を参照して、端末70−2が認証スイッチ100−1の配下から認証スイッチ100−2にローミングした場合の動作を説明する。図14において、認証スイッチ100−1で認証された端末70−2が、矢印Cに示すように認証スイッチ100−2の配下に移動したとする。この場合、認証スイッチ100−2は、対向する認証スイッチ100−1宛てに端末70−2の認証情報(矢印D)を通知する。
【0050】
図15において、認証スイッチ100−2は、移動してきた端末70−2が管理しているユーザ認証情報テーブルに登録されているかを判定する(S91)。NOのとき、認証スイッチ100−2は、図10のステップ61(新規ユーザ認証処理)に遷移する。ステップ91でYESのとき(既に登録されている場合)、認証スイッチ100−2は、端末70−2の認証元の認証スイッチ100−1の照合キーと端末70−2の認証情報を送信パケットに格納する(S92)。
【0051】
認証スイッチ100−2は、作成した送信パケットを認証スイッチ100−1宛てに送信する(S93)。その後、認証スイッチ100−2は、認証スイッチ100−1からの返答パケットを受信する(S94)。認証スイッチ100−2は、受信タイムアウトであったか判定する(S96)。YESのとき、認証スイッチ100−2は、認証スイッチ100−1に障害があると判定し、認証スイッチ100−1について、障害装置エントリに移動する認証スイッチ管理テーブルの更新を実施して(S97)、終了する。
【0052】
ステップ96でNOのとき、認証スイッチ100−2は、受信したパケットが許可パケットか判定する(S98)。YESのとき、認証スイッチ100−2は、ユーザ認証情報テーブルの端末70−2のデータを更新して(S99)、終了する。ステップ98でNOのとき、認証スイッチ100−2は、認証スイッチ100−1がローミングの管理対象外になったと判断し、認証情報管理テーブルから認証スイッチ100−1を削除して(S101)、図10のステップ61(新規ユーザ認証処理)に遷移する。なお、ステップ96とステップ98の順序は、逆でもよい。
【0053】
図16を参照して、端末70−2の移動後の認証スイッチ100−2の各認証情報テーブルの状態を説明する。なお、端末70−2移動前の認証スイッチ100−2の各認証情報テーブルの状態は、図13である。図16において、ユーザ認証情報テーブル180の最初のエントリの次のユーザ認証情報へのポインタ185が、NULLから3番目のエントリをポイントに更新されている。また、2番目のエントリの次のユーザ認証情報へのポインタ185が、3番目のエントリをポイントからNULLに更新されている。
【0054】
端末70−2の移動後、認証スイッチ100−1では、認証スイッチ100−2から送られて認証情報をもとに認証情報テーブルの更新を行なう。この更新処理を図17を参照して説明する。図17において、認証スイッチ100−1は、認証スイッチ100−2から送られた認証情報を受信する(S111)。認証スイッチ100−1は、受信したパケットが認証スイッチ情報テーブル110に格納されている管理対象の認証スイッチかを判定する(S112)。YESのとき、認証スイッチ100−1は、さらに、送られてきたパケットに含まれる照合キーが自身の照合キーと一致しているかを判定する(S113)。YESのとき、認証スイッチ100−1は、認証スイッチ100−2宛てに、許可パケットを送信する(S114)。認証スイッチ100−1は、ユーザ認証情報テーブル180の端末70−2の情報を更新して(S116)、終了する。ステップ112またはステップ113でNOのとき、認証スイッチ100−1は、認証スイッチ100−2宛てに拒否パケットを送信する(S117)。認証スイッチ100−1は、認証スイッチ管理テーブルから認証スイッチ100−2を削除して(S118)、終了する。なお、ステップ114とステップ116ならびにステップ117とステップ118の順序は、逆でもよい。
【0055】
図18を参照して、端末70−2の移動後の認証スイッチ100−1の各認証情報テーブルの状態を説明する。なお、端末70−2移動前の認証スイッチ100−1の各認証情報テーブルの状態は、図12である。図18において、ユーザ認証情報テーブル180の最初のエントリの次のユーザ認証情報へのポインタ185が、2番目のエントリをポイントからNULLに更新されている。また、3番目のエントリの次のユーザ認証情報へのポインタ185が、NULLから2番目のエントリをポイントに更新されている。
【0056】
図19を参照して、図10と図15で対向認証スイッチの障害を検出した後の認証スイッチの各認証情報テーブルの状態を説明する。なお、ここでは認証スイッチ100−1に障害が発生したとする。状態を説明する各認証情報テーブルは、認証スイッチ100−2のそれらであり、障害発生前は、図13である。図19において、認証スイッチ100−2は、対向する認証スイッチ100−1の障害を検出すると、認証スイッチ管理テーブル110の対向装置エントリの認証スイッチ数112「1」を「0」とし、障害装置エントリの認証スイッチ数112「0」を「1」とする。認証スイッチ100−2は、認証スイッチ管理テーブル110の対向装置エントリのスイッチ情報テーブルへのポインタ113をNULLとし、障害装置エントリのスイッチ情報テーブルへのポインタ113について、スイッチ情報テーブル170の認証スイッチ100−1のエントリをポイントとする。この際、障害を起こした認証スイッチ配下の端末の認証情報は、ローミングが発生する場合を考慮し、一定時間、各認証情報テーブルの変更を行わないで、障害を起こした認証スイッチ配下で認証状態のままとする。なお、障害を起こした認証スイッチが復旧し、障害を起こした認証スイッチから装置状態を示すパケットが送信された時点で、認証情報テーブルの対向認証スイッチとして管理対象とする。
【0057】
図20を参照して、認証スイッチが3台構成で各認証スイッチ間でローミングする認証スイッチネットワークを説明する。図20において、認証スイッチ100−1、認証スイッチ100−2および認証スイッチ100−3でそれぞれの認証スイッチ100の照合キーを設定する。これにより3台の認証スイッチ間でローミング可能な認証スイッチネットワーク500Bとなり、次の端末移動(ローミング)が可能となる。(1)認証スイッチ100−1から認証スイッチ100−2または認証スイッチ100−3へのローミング。(2)認証スイッチ100−2から認証スイッチ100−1または認証スイッチ100−3へのローミング。(3)認証スイッチ100−3から認証スイッチ100−1または認証スイッチ100−2へのローミング。
【0058】
図21を参照して、端末のローミング可能な認証スイッチをグループ毎に分けた認証ネットワークを説明する。図21において、認証スイッチ100−1、認証スイッチ100−2および認証スイッチ100−3でそれぞれの認証スイッチ100の照合キーを設定する。それぞれの認証スイッチ100は、次のように照合キーを設定する。認証スイッチ100−1は、認証スイッチ100−2の照合キーのみを設定する。認証スイッチ100−2は、認証スイッチ100−1および認証スイッチ100−3の照合キーを設定する。認証スイッチ100−3は、認証スイッチ100−2の照合キーのみを設定する。
【0059】
これによってローミング可能な認証スイッチのグループを分けることができる。すなわち、グループ500Cは、認証スイッチ100−1と認証スイッチ100−2から構成する。グループ500Dは、認証スイッチ100−2と認証スイッチ100−3から構成する。
【0060】
各グループ500内では端末のローミングが可能だが、認証スイッチ100−1と認証スイッチ100−3間ではローミングはできない。これによって、不用意な端末移動を禁止することができる。具体的には、認証スイッチ100−1配下の端末70−1が認証スイッチ100−2を介さずに認証スイッチ100−3配下に直接移動した場合、端末70−1はローミングの対象とならず、認証スイッチ100−3へ移動した時点で再度ユーザ認証が必要となる。
【0061】
これに対して、認証スイッチ100−1配下の端末70−1が認証スイッチ100−2を一旦介して認証スイッチ100−3配下に移動した場合、端末70−1はローミングの対象となる。
【0062】
図22を参照して、認証スイッチを冗長化構成にし認証ネットワークの構成を説明する。図22において、認証ネットワーク500Eは、認証スイッチ100−1と認証スイッチ100−2とで構成されている。認証スイッチ100−1と認証スイッチ100−2とは、認証情報を受け渡す専用回線300で接続し、運用している認証スイッチ100−1から待機している認証スイッチ100−2へユーザ認証された端末70−1と端末70−2と端末70−3と端末70−4の認証情報が受け渡される。この状態で、認証スイッチ100−1に障害が検出されて認証スイッチ100−2に切り替えが発生した場合、認証スイッチ100−2の認証情報テーブル内の端末70−1と端末70−2と端末70−3と端末70−4の認証情報を認証スイッチ100−2の配下に移動する。
【0063】
これによって、冗長構成を取る認証スイッチの切り替えが発生しても端末の利用者は、切り替えが発生する度にユーザ認証を行うことなく通信を継続できる。また、認証スイッチ間の認証情報の受け渡しにRADIUSプロトコルを使用しているために、ネットワークの構成に自由度がある。
【0064】
[第2の実施形態]
次にユーザ認証情報を詐称し、正規ユーザになりすまして認証した不正ユーザを検出する第2の実施形態について説明する。
まず、図23を参照して、本実施形態における認証スイッチ100−1の構成について説明する。認証スイッチ100−1は図1で説明した構成に対して、さらにパケット転送数処理部210と不正ユーザ検出処理部220を追加した構成としている。なお、認証スイッチ100−2も同様の構成であるため、認証スイッチ100−1を用いて以下説明する。
【0065】
認証情報保持部160A内のユーザ認証情報テーブル180Aの構成を図24に示す。図示するように、ユーザ認証情報テーブル180Aは図6で示したユーザ認証情報テーブル180に対して、パケット転送数186および前確認時のパケット転送数187を追加した構成としている。パケット転送数186はパケット転送数処理部210によってカウントされたパケット転送数を保持する。前確認時のパケット転送数187は不正ユーザ検出処理部220が前回のタイミングで確認した時のパケット転送数を保持するものであり、詳細は後述する。
【0066】
また、端末がローミングした場合のユーザ認証情報テーブル180Aの更新方法が、先の実施形態で図18を用いて説明した方法とは異なるため説明する。先の実施形態では、図14において、端末70−2が認証スイッチ100−1配下から認証スイッチ100−2配下にローミングした場合、認証スイッチ100−1では図17の処理フローに基づいてユーザ認証情報テーブルを更新し、移動後は図18の構成となる(移動前は図12)。つまり、先の実施形態では、ユーザ認証情報テーブルのポインタを更新することによって端末のローミング状態を管理しており、ローミング前後で各端末のユーザ認証情報のエントリは常に一つであり、増えることはない。しかし、本実施形態では、端末がローミングした場合に、ローミング後の端末のユーザ認証情報のエントリを追加し、ローミングした端末についてはローミング前後の2つのユーザ認証情報のエントリがユーザ認証情報テーブルに保持される。このユーザ認証情報テーブル180Aの具体例は後述する図28に示す。
【0067】
図25を参照して、パケット転送数処理部210の詳細動作を説明する。認証スイッチ100−1は端末70からパケットを受信すると、受信したパケットに対する端末の情報(ユーザ名、MACアドレス、IPアドレスなど)がユーザ認証情報テーブル180Aに登録されているかを確認する(S121)。ユーザ認証情報テーブル180Aに登録されている場合、該当するエントリのパケット転送数186を更新(+1)する(S122)。ステップ121でNOのときは終了する。このように、認証スイッチ100−1は各端末70から送信されるパケットの転送数を、ユーザ名181、MACアドレス182、IPアドレス183毎にカウントし、パケット転送数186としてユーザ認証情報テーブル180Aに保持する。
【0068】
図26を参照して、不正ユーザ検出処理部220の詳細動作を説明する。不正ユーザ検出処理部220は定期的に図26の処理を実行し、実行する時間間隔はネットワーク環境によりネットワーク管理者が妥当な間隔を設定する。
【0069】
まず、図4、図10、図15等で説明した認証スイッチ100−2とのパケット送信や返信パケットの受信と同様の手法により、認証スイッチ100−2と認証情報の受け渡しを実施し、ユーザ認証情報テーブル180Aのパケット転送数186を更新する(S131)。この時、認証スイッチ100−1配下の端末に関するパケット転送数187は自身のパケット転送数処理部210により最新の状態に更新されているため、対向する認証スイッチ100−2がカウントしたパケット転送数187の値のみを認証スイッチ100−2から受け取り更新する。
【0070】
認証スイッチ100−1はユーザ認証情報テーブル180Aの自装置エントリに登録されているユーザ名181が対向装置エントリにも登録されているかを確認する(S132)。要するに、S132では、端末がローミングしてローミング前後の2つのユーザ認証情報のエントリがユーザ認証情報テーブルに登録されているかを確認する。登録されていない場合、前確認時のパケット転送数187にパケット転送数186の値を記録して終了する(S136)。
【0071】
ステップ132でYESのとき、各ユーザ別にパケット転送数186から前確認時のパケット転送数187の値を引いてパケット転送数の増減値を算出する(S133)。各パケット転送数の増減値が閾値を超えているかを確認する(S134)。
【0072】
各パケット転送数の増減値が閾値を超えていない場合は正規ユーザが認証スイッチ間を行き来している状態であると判断して、ステップ136を実施して終了する。ステップ134でYESの場合、正規ユーザが認証スイッチ間を頻繁に行き来している状態とは考えにくく、不正ユーザが存在すると判断し、不正ユーザ検出のアラームとして、認証スイッチ100−1および対向する認証スイッチ100−2に不正ユーザ検出ログを保存、MIBトラップ機能を使用していればMIBトラップを端末70に発行する(S135)。最後にステップ136を実施して終了する。なお、不正ユーザ検出処理部220はユーザ認証情報テーブルのエントリ分を処理する。パケット転送数増減値の閾値についてはネットワーク環境によりネットワーク管理者が妥当な間隔を設定する。
【0073】
本実施形態ではS132においてユーザ名181を用いてエントリ登録を確認したが、ユーザ名181の代わりにMACアドレス182またはIPアドレス183を確認することで、MACアドレスまたはIPアドレスを詐称する不正端末を検出することも可能である。
【0074】
以上の構成において、不正ユーザを検出する例を具体的に説明する。まず、図27を参照して正規ユーザが認証スイッチ間をローミングした例を説明する。認証スイッチネットワーク500Fは、認証スイッチ100−1と認証スイッチ100−2で構成されている。矢印Fは認証スイッチ100−2に認証された正規ユーザ(User01)の端末70−1がローミングにより認証スイッチ100−1に移動したことを示す。矢印Gは認証スイッチ100−1を経由した端末70−1のパケット転送を示す。
【0075】
図27の状態におけるユーザ認証情報テーブル180Aの状態を図28に示す。なお図28の認証スイッチ管理テーブル110とスイッチ情報テーブル170は図示の簡便のため略記する。図28のユーザ認証情報テーブル180Aには正規ユーザ(User01)の端末70−1がローミング前に接続していた認証スイッチ100−2のエントリ189とローミング後に接続している認証スイッチ100−1のエントリ188が登録されている。正規ユーザ(User01)の端末70−1は認証スイッチ100−1に接続してパケット転送しているため、エントリ188のパケット転送数186が増えている。また、エントリ189は正規ユーザ(User01)の端末70−1が認証スイッチ100−2に接続されていないため、パケット転送数186は増えておらず、ローミング前の転送数の値が保持されている。なお、エントリ189のパケット転送数186の値は、図26のS131にて更新された値である。
【0076】
図27、図28における不正ユーザ検出処理部220の動作について説明する。なお、本説明では不正ユーザ検出処理部220が実施される定期間隔は1分間、パケット増減値の閾値を10000とする。図28のユーザ認証情報テーブル180Aに同じユーザ名(User01)のエントリ188とエントリ189が登録されているため、図26のステップ132でYESとなる。但し、エントリ188のパケット増減値は閾値を超えるがエントリ189のパケット増減値は閾値を超えないため、図26のステップ134でNOとなり、User01は正規ユーザであると判断される。
【0077】
次に図29を参照して正規ユーザが認証スイッチ間をローミングした後に、不正ユーザが認証スイッチ100−2に接続した例を説明する。図29は図27、図28の状態を継続しており、図28のユーザ認証情報テーブル180Aにエントリ189が登録されているため、正規ユーザ(User01)の端末70−1の認証情報を詐称した不正ユーザ(User01)の端末70−3が認証スイッチ100−2に接続可能である。矢印Hは認証スイッチ100−2を経由した端末70−3のパケット転送を示す。
【0078】
図29の状態におけるユーザ認証情報テーブル180Aの状態を図30に示す。なお図30の認証スイッチ管理テーブル110とスイッチ情報テーブル170は図示の簡便のため略記する。図30のユーザ認証情報テーブル180Aには正規ユーザ(User01)の端末70−1のエントリ188と不正ユーザ(User01)の端末70−3のエントリ189が登録されている。正規ユーザの端末70−1と不正ユーザの端末70−3はそれぞれパケット転送しているため、エントリ188とエントリ189のパケット転送数186が増えている。なお、エントリ189のパケット転送数186の値は、図26のS131にて更新された値である。
【0079】
図29、図30における不正ユーザ検出処理部220の動作について説明する。なお、本説明では不正ユーザ検出処理部220が実施される定期間隔は1分間、パケット増減値の閾値を10000とする。図30のユーザ認証情報テーブル180Aに同じユーザ名(User01)のエントリ188とエントリ189が登録されているため、図26のステップ132でYESとなる。さらにエントリ188とエントリ189のパケット増減値が共に閾値を超えるため、図26のステップ134でYESとなり、不正ユーザが存在すると判断し、不正ユーザ検出のアラーム処理(S135)が実施される。
【0080】
[第3の実施形態]
次にユーザ認証情報を詐称して正規ユーザになりすまして認証した不正ユーザを検出する第3の実施形態について説明する。
まず、図31を参照して、本実施形態における認証スイッチ100−1の構成について説明する。認証スイッチ100−1は図1で説明した構成に対して、さらに接続継続確認処理部230と不正ユーザ検出処理部220Aを追加した構成としている。なお、認証スイッチ100−2も同様の構成であるため、認証スイッチ100−1を用いて以下説明する。
【0081】
認証情報保持部160B内のユーザ認証情報テーブル180Bの構成を図32に示す。図示するように、ユーザ認証情報テーブル180Bは図6で示したユーザ認証情報テーブル180に対して、接続継続確認回数190および前接続継続確認回数191を追加した構成としている。接続継続確認回数190は接続継続確認処理部230によって加算された接続継続確認回数を保持する。前接続継続確認回数191は不正ユーザ検出処理部220Aが前回のタイミングで確認した時の接続継続確認回数を保持するものであり、詳細は後述する。
【0082】
また、端末がローミングした場合のユーザ認証情報テーブル180Bの更新方法は、第2の実施形態と同様であり、ローミングした端末についてはローミング前後の2つのユーザ認証情報のエントリがユーザ認証情報テーブルに保持される。ユーザ認証情報テーブル180Bの具体例は後述する図36に示す。
【0083】
図33を参照して、接続継続確認処理部230の詳細動作を説明する。接続継続確認処理部230は定期的に図33の処理を実行し、実行する時間間隔はネットワーク環境によりネットワーク管理者が妥当な間隔を設定する。認証スイッチ100−1は端末70に対して例えばPingやHelloパケットのような接続確認パケットを送信する(S141)。認証スイッチ100−1は一定時間内に端末70からの応答パケットを受信したかを確認する(S142)。受信した場合、接続継続確認回数190を1つ加算し(S143)終了する。ステップ142でNOのときは終了する。
【0084】
図34を参照して、不正ユーザ検出処理部220Aの別の詳細動作を説明する。不正ユーザ検出処理部220Aは定期的に図34の処理を実行し、実行する時間間隔はネットワーク環境によりネットワーク管理者が妥当な間隔を設定する。
【0085】
まず、図4、図10、図15等で説明した認証スイッチ100−2とのパケット送信や返信パケットの受信と同様の手法により、認証スイッチ100−2と認証情報の受け渡しを実施し、ユーザ認証情報テーブル180Bの接続継続確認回数190を更新する(S151)。この時、認証スイッチ100−1配下の端末に関する接続継続確認回数190は自身の接続継続確認処理部230により最新の状態に更新されているため、対向する認証スイッチ100−2がカウントした接続継続確認回数190の値のみを認証スイッチ100−2から受け取り更新する。
【0086】
認証スイッチ100−1はユーザ認証情報テーブル180Bの自装置エントリに登録されているユーザ名181が対向装置エントリにも登録されているかを確認する(S152)。要するに、S152では、端末がローミングしてローミング前後の2つのユーザ認証情報のエントリがユーザ認証情報テーブルに登録されているかを確認する。登録されていない場合、前接続継続確認回数191に接続継続確認回数190の値を記録して終了する(S156)。
【0087】
ステップ152でYESのとき、各ユーザ別に接続継続確認回数190から前接続継続確認回数191の値を引いて接続継続確認回数の増減値を算出する(S153)。各接続継続確認回数の増減値が閾値を超えているかを確認する(S154)。
【0088】
各接続継続確認回数の増減値が閾値を超えていない場合は正規ユーザが認証スイッチ間を行き来している状態であると判断して、ステップ156を実施して終了する。ステップ154でYESの場合、正規ユーザが認証スイッチ間を頻繁に行き来している状態とは考えにくく、不正ユーザが存在すると判断し、不正ユーザ検出のアラームとして、認証スイッチ100−1および対向する認証スイッチ100−2のログに不正ユーザ検出ログを保存、MIBトラップ機能を使用していればMIBトラップを端末70に発行する(S155)。最後にステップ156を実施して終了する。なお、不正ユーザ検出処理部220Aはユーザ認証情報テーブルのエントリ分を処理する。接続継続確認回数増減値の閾値についてはネットワーク環境によりネットワーク管理者が妥当な間隔を設定する。
【0089】
本実施形態ではS152においてユーザ名181を用いてエントリ登録を確認したが、ユーザ名181の代わりにMACアドレス182またはIPアドレス183を確認することで、MACアドレスまたはIPアドレスを詐称する不正端末を検出することも可能である。
【0090】
以上の構成において、不正ユーザを検出する例を具体的に説明する。まず、図35を参照して正規ユーザが認証スイッチ間をローミングした例を説明する。認証スイッチネットワーク500Gは、認証スイッチ100−1と認証スイッチ100−2で構成されている。矢印Iは認証スイッチ100−2に認証された正規ユーザ(User01)の端末70−1がローミングにより認証スイッチ100−1に移動したことを示す。矢印Jは認証スイッチ100−1の接続継続確認処理部230が認証した端末70−1との接続が継続中であるかを定期的に確認することを示す。
【0091】
図35の状態におけるユーザ認証情報テーブル180Bの状態を図36に示す。なお図36の認証スイッチ管理テーブル110とスイッチ情報テーブル170は図示の簡便のため略記する。図36のユーザ認証情報テーブル180Bには正規ユーザ(User01)の端末70−1がローミング前に接続していた認証スイッチ100−2のエントリ189とローミング後に接続している認証スイッチ100−1のエントリ188が登録されている。正規ユーザ(User01)の端末70−1は認証スイッチ100−1に接続を継続しているため、エントリ188の接続継続確認回数190が増えている。また、エントリ189は正規ユーザ(User01)の端末70−1が認証スイッチ100−2に接続されていないため、接続継続確認回数190は増えておらず、ローミング前の接続継続確認回数の値が保持されている。なお、エントリ189の接続継続確認回数190の値は、図34のS151にて更新された値である。
【0092】
図35、図36における不正ユーザ検出処理部220Aの動作について説明する。なお、本説明では不正ユーザ検出処理部220Aが実施される定期間隔を1分間、接続継続確認処理部230が実施される定期間隔を10分間、接続継続確認回数増減値の閾値を5とする。図36のユーザ認証情報テーブル180Bに同じユーザ名(User01)のエントリ188とエントリ189が登録されているため、図34のステップ152でYESとなる。但し、エントリ188の接続継続確認回数増減値は閾値を超えるがエントリ189の接続継続確認回数増減値は閾値を超えないため、図34のステップ154でNOとなり、User01は正規ユーザであると判断される。
【0093】
次に図37を参照して正規ユーザが認証スイッチ間をローミングした後に、不正ユーザが認証スイッチ100−2に接続した例を説明する。図37は図35、図36の状態を継続しており、図36のユーザ認証情報テーブル180Bにエントリ189が登録されているため、正規ユーザ(User01)の端末70−1の認証情報を詐称した不正ユーザ(User01)の端末70−3が認証スイッチ100−2に接続可能である。矢印Kは認証スイッチ100−2が認証した端末70−3との接続が継続中であるかを定期的に確認することを示す。
【0094】
図37の状態におけるユーザ認証情報テーブル180Aの状態を図38に示す。なお図38の認証スイッチ管理テーブル110とスイッチ情報テーブル170は図示の簡便のため略記する。図38のユーザ認証情報テーブル180Bには正規ユーザ(User01)の端末70−1のエントリ188と不正ユーザ(User01)の端末70−3のエントリ189が登録されている。正規ユーザの端末70−1は認証スイッチ100−1、不正ユーザの端末70−3は認証スイッチ100−2にそれぞれ接続を継続しているため、エントリ188とエントリ189の接続継続確認回数190が増えている。なお、エントリ189の接続継続確認回数190の値は、図34のS151にて更新された値である。
【0095】
図37、図38における不正ユーザ検出処理部220Aの動作について説明する。なお、本説明では不正ユーザ検出処理部220Aが実施される定期間隔を1分間、接続継続確認処理部230が実施される定期間隔を10分間、接続継続確認回数増減値の閾値を5とする。図38のユーザ認証情報テーブル180Bに同じユーザ名(User01)のエントリ188とエントリ189が登録されているため、図34のステップ152でYESとなる。さらにエントリ188とエントリ189の接続継続確認回数増減値が共に閾値を超えるため、図34のステップ154でYESとなり、不正ユーザが存在すると判断し、不正ユーザ検出のアラーム処理(S155)が実施される。
【符号の説明】
【0096】
70…端末、100…認証スイッチ、110…認証スイッチ管理テーブル、120…自認証スイッチ状態配布部、130…対向認証スイッチ可否判定部、140…認証情報送信部、150…認証情報受信部、160…認証情報保持部、170…スイッチ情報テーブル、180…ユーザ認証情報テーブル、190…認証処理部、200…レイヤ2スイッチ、300…専用回線、500…認証スイッチネットワーク。
【特許請求の範囲】
【請求項1】
配下に接続された端末の認証を行なう認証スイッチにおいて、
認証済みの複数の端末の情報を記録する第1の情報テーブルと、複数の認証スイッチの情報を記録する第2の情報テーブルとを備え、
他の認証スイッチとの間で、認証済み端末の情報と認証スイッチの情報とを交換し、交換した前記認証済み端末の情報と前記認証スイッチの情報とにより、前記第1のテーブルと前記第2のテーブルを更新することを特徴とする認証スイッチ。
【請求項2】
請求項1に記載の認証スイッチであって、
前記他の認証スイッチから取得した前記認証済み端末の情報に基づいて、配下に接続された端末の認証を省くことを特徴とする認証スイッチ。
【請求項3】
請求項1に記載の認証スイッチであって、
前記他の認証スイッチに障害を検出したとき、前記他の認証スイッチから取得した前記認証済み端末の情報について、継続的に保持して、前記他の認証スイッチの障害復旧を待つことを特徴とする認証スイッチ。
【請求項4】
対向する認証スイッチに第2の照合キーを送信するステップと、
前記対向する認証スイッチからの第1の照合キーを受信するステップと、
前記第1の照合キーを検証するステップと、
新規端末を認証するステップと、
前記対向する認証スイッチに認証した端末の情報を送信するステップと、
前記対向する認証スイッチからの認証された端末の情報を受信するステップと、
前記認証した端末の情報と前記認証された端末の情報とを記録するステップとからなる端末認証方法。
【請求項5】
請求項1に記載の認証スイッチであって、さらに、
パケット転送数処理部と不正ユーザ検出処理部を備え、
前記第1の情報テーブルは、端末のパケット転送数を保持するカウンタを含み、
前記パケット転送数処理部は、前記認証済み端末のパケット転送数をカウントして前記第1の情報テーブルのカウンタに保持させ、
前記不正ユーザ処理検出部は、前記第1の情報テーブルに前記認証済み端末のローミング前の第1のエントリとローミング後の第2エントリが存在する場合に、前記第1のエントリと第2のエントリにおける前記カウンタの増加量がいずれも閾値を超えた場合に、不正ユーザの存在を検出することを特徴とする認証スイッチ。
【請求項6】
請求項5に記載の認証スイッチであって、
前記不正ユーザ検出処理部は、ユーザ名もしくはMACアドレスもしくはIPアドレスのうち少なくとも一つの情報に基づいて、前記第1のエントリと第2のエントリが同一の認証済み端末のエントリであることを検出し、不正ユーザの存在を検出すると、認証スイッチに不正ユーザ検出ログを保存して、端末にMIBトラップを発行することを特徴とする認証スイッチ。
【請求項7】
請求項1に記載の認証スイッチであって、さらに、
接続継続確認処理部と不正ユーザ検出処理部を備え、
前記第1の情報テーブルは、認証スイッチに端末が接続中であることを確認した回数を保持するカウンタを含み、
前記接続継続確認処理部は、前記認証済み端末が接続中であることを確認した回数をカウントして前記第1の情報テーブルのカウンタに保持させ、
前記不正ユーザ検出処理部は、前記第1の情報テーブルに前記認証済み端末のローミング前の第1のエントリとローミング後の第2エントリが存在する場合に、前記第1のエントリと第2のエントリにおける前記カウンタの増加量がいずれも閾値を超えた場合に不正ユーザの存在を検出することを特徴とする認証スイッチ。
【請求項8】
請求項7に記載の認証スイッチであって、
前記不正ユーザ検出処理部は、ユーザ名もしくはMACアドレスもしくはIPアドレスのうち少なくとも一つの情報に基づいて、前記第1のエントリと第2のエントリが同一の認証済み端末のエントリであることを検出し、不正ユーザの存在を検出すると、認証スイッチに不正ユーザ検出ログを保存して、端末にMIBトラップを発行することを特徴とする認証スイッチ。
【請求項1】
配下に接続された端末の認証を行なう認証スイッチにおいて、
認証済みの複数の端末の情報を記録する第1の情報テーブルと、複数の認証スイッチの情報を記録する第2の情報テーブルとを備え、
他の認証スイッチとの間で、認証済み端末の情報と認証スイッチの情報とを交換し、交換した前記認証済み端末の情報と前記認証スイッチの情報とにより、前記第1のテーブルと前記第2のテーブルを更新することを特徴とする認証スイッチ。
【請求項2】
請求項1に記載の認証スイッチであって、
前記他の認証スイッチから取得した前記認証済み端末の情報に基づいて、配下に接続された端末の認証を省くことを特徴とする認証スイッチ。
【請求項3】
請求項1に記載の認証スイッチであって、
前記他の認証スイッチに障害を検出したとき、前記他の認証スイッチから取得した前記認証済み端末の情報について、継続的に保持して、前記他の認証スイッチの障害復旧を待つことを特徴とする認証スイッチ。
【請求項4】
対向する認証スイッチに第2の照合キーを送信するステップと、
前記対向する認証スイッチからの第1の照合キーを受信するステップと、
前記第1の照合キーを検証するステップと、
新規端末を認証するステップと、
前記対向する認証スイッチに認証した端末の情報を送信するステップと、
前記対向する認証スイッチからの認証された端末の情報を受信するステップと、
前記認証した端末の情報と前記認証された端末の情報とを記録するステップとからなる端末認証方法。
【請求項5】
請求項1に記載の認証スイッチであって、さらに、
パケット転送数処理部と不正ユーザ検出処理部を備え、
前記第1の情報テーブルは、端末のパケット転送数を保持するカウンタを含み、
前記パケット転送数処理部は、前記認証済み端末のパケット転送数をカウントして前記第1の情報テーブルのカウンタに保持させ、
前記不正ユーザ処理検出部は、前記第1の情報テーブルに前記認証済み端末のローミング前の第1のエントリとローミング後の第2エントリが存在する場合に、前記第1のエントリと第2のエントリにおける前記カウンタの増加量がいずれも閾値を超えた場合に、不正ユーザの存在を検出することを特徴とする認証スイッチ。
【請求項6】
請求項5に記載の認証スイッチであって、
前記不正ユーザ検出処理部は、ユーザ名もしくはMACアドレスもしくはIPアドレスのうち少なくとも一つの情報に基づいて、前記第1のエントリと第2のエントリが同一の認証済み端末のエントリであることを検出し、不正ユーザの存在を検出すると、認証スイッチに不正ユーザ検出ログを保存して、端末にMIBトラップを発行することを特徴とする認証スイッチ。
【請求項7】
請求項1に記載の認証スイッチであって、さらに、
接続継続確認処理部と不正ユーザ検出処理部を備え、
前記第1の情報テーブルは、認証スイッチに端末が接続中であることを確認した回数を保持するカウンタを含み、
前記接続継続確認処理部は、前記認証済み端末が接続中であることを確認した回数をカウントして前記第1の情報テーブルのカウンタに保持させ、
前記不正ユーザ検出処理部は、前記第1の情報テーブルに前記認証済み端末のローミング前の第1のエントリとローミング後の第2エントリが存在する場合に、前記第1のエントリと第2のエントリにおける前記カウンタの増加量がいずれも閾値を超えた場合に不正ユーザの存在を検出することを特徴とする認証スイッチ。
【請求項8】
請求項7に記載の認証スイッチであって、
前記不正ユーザ検出処理部は、ユーザ名もしくはMACアドレスもしくはIPアドレスのうち少なくとも一つの情報に基づいて、前記第1のエントリと第2のエントリが同一の認証済み端末のエントリであることを検出し、不正ユーザの存在を検出すると、認証スイッチに不正ユーザ検出ログを保存して、端末にMIBトラップを発行することを特徴とする認証スイッチ。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】
【図20】
【図21】
【図22】
【図23】
【図24】
【図25】
【図26】
【図27】
【図28】
【図29】
【図30】
【図31】
【図32】
【図33】
【図34】
【図35】
【図36】
【図37】
【図38】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】
【図20】
【図21】
【図22】
【図23】
【図24】
【図25】
【図26】
【図27】
【図28】
【図29】
【図30】
【図31】
【図32】
【図33】
【図34】
【図35】
【図36】
【図37】
【図38】
【公開番号】特開2010−273329(P2010−273329A)
【公開日】平成22年12月2日(2010.12.2)
【国際特許分類】
【出願番号】特願2010−94585(P2010−94585)
【出願日】平成22年4月16日(2010.4.16)
【出願人】(504411166)アラクサラネットワークス株式会社 (315)
【Fターム(参考)】
【公開日】平成22年12月2日(2010.12.2)
【国際特許分類】
【出願日】平成22年4月16日(2010.4.16)
【出願人】(504411166)アラクサラネットワークス株式会社 (315)
【Fターム(参考)】
[ Back to top ]