認証機能付きネットワーク中継機器及びそれを用いた端末の認証方法
【課題】L3機器を介して接続された未認証の端末の通信が許可されることを防止する認証機能付きネットワーク中継機器及びそれを用いた端末の認証方法を提供する。
【解決手段】認証の対象となる端末のアドレスが登録される認証対象管理テーブル111と、該認証対象管理テーブル111にアドレスが登録されている端末に対して認証処理を実行する認証処理実行手段とを備える。
【解決手段】認証の対象となる端末のアドレスが登録される認証対象管理テーブル111と、該認証対象管理テーブル111にアドレスが登録されている端末に対して認証処理を実行する認証処理実行手段とを備える。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、L3機器を介して接続された未認証の端末の通信が許可されることを防止する認証機能付きネットワーク中継機器及びそれを用いた端末の認証方法に関する。
【背景技術】
【0002】
不正なユーザや端末がネットワークへアクセスするのを防止するために、スイッチングハブ等のL(Layer;レイヤー)2に属するネットワーク中継機器(L2機器)に端末の認証機能を設ける方法がある。この認証機能付きネットワーク中継機器をネットワークと端末との間に配置する構成とする。認証機能付きネットワーク中継機器は、新たに接続されたユーザや端末の認証を行い、認証に成功したユーザや端末のみネットワークへの通信を許可する。
【0003】
図9に、認証機能付きスイッチングハブ(以下、認証SW)を用いたシステム構成を示す。端末901は、認証SW902を介してネットワーク903に接続するようになっている。認証SW902は、認証に成功した端末からのパケットはネットワーク903に中継し、認証に成功していない端末からのパケットは中継せずに廃棄する。
【0004】
認証SW902は、以下のように認証処理を行う。
【0005】
あるユーザが端末901を立ち上げて新たにネットワーク903に接続しようとしたとする。
【0006】
(1)端末901は、IPアドレスを取得するためにDHCP(Dynamic Host Configration Protocol)により、ネットワーク903に存在するDHCPサーバ904とDHCPのパケットのやりとりを行う。認証SW902は、DHCPのパケットの中継を許可するように設定されており、端末901とDHCPサーバ904との間でやりとりされるDHCPのパケットを中継する。端末901は、DHCPサーバ904から割り当てられたIPアドレスを自身に設定し、以後、このIPアドレスにより通信を行う。
【0007】
(2)ユーザは、ネットワーク903にアクセスするために、ブラウザを立ち上げる。端末901は、これに伴い、所定のサーバ(図示せず)に宛ててHTTPパケットを送信する。認証SW902は、このHTTPパケットを受信し、そのHTTPパケットの内容を参照する。認証SW902は、このHTTPパケットが(その送信元MACアドレスが認証成功として登録されたものでないことから、)未認証の端末からのものであることを判定する。認証SW902は、ユーザ名とパスワードの入力を要求する認証WEB画面をパケットにより端末901に送信する。ユーザは、端末901に表示された認証WEB画面にユーザ名とパスワードを入力し、端末901は入力されたユーザ名とパスワードをパケットにより認証SW902に送信する。
【0008】
(3)認証SW902は、ユーザ名とパスワードをパケットによりRADIUS(Remote Authentication Dial in User Service)サーバ905に送信する。RADIUSサーバ905は、正当なユーザがユーザ名とパスワードで登録されたデータベースを有し、受信したパケットのユーザ名とパスワードをデータベースに照会する。ユーザが正当なユーザであるとすると、RADIUSサーバ905は、認証成功の返信のパケットを認証SW902に送信する。認証SW902は、認証成功の返信のパケットを受信したことにより、端末901を認証成功とし、端末901のMACアドレスを登録し、端末901のMACアドレスを有するパケットはネットワーク903への中継を許可する。
【0009】
(4)以後、端末901は、認証SW902を介してネットワーク903への通信が可能となる。
【先行技術文献】
【特許文献】
【0010】
【特許文献1】特開2005−286558号公報
【特許文献2】特開2005−252717号公報
【発明の概要】
【発明が解決しようとする課題】
【0011】
図10に示されるように、認証SW902の配下にルータ等のL3機器906が接続されており、L3機器906に端末901と端末907が接続されたネットワーク構成を考える。
【0012】
端末901は、ネットワーク903へアクセスしようとするとき、認証SW902との間で前述した認証の通信を行う。L3機器906は、端末901からのパケットを受信したとき、そのパケットのMACアドレスを自分のMACアドレスに置き換えて中継する。端末901が認証SW902との認証に成功したとき、端末901からのパケットはそのMACアドレスがL3機器906のMACアドレスに置き換えられて送信されてくるので、認証SW902にはL3機器906のMACアドレスが認証成功として登録される。
【0013】
次に、端末907がL3機器906に接続されたとする。このとき、端末907が送信したパケットは、L3機器906においてMACアドレスがL3機器906のMACアドレスに置き換えられて認証SW902に中継される。L3機器906のMACアドレスは認証成功として登録されているので、未認証であるはずの端末907からのパケットは認証済みとしてネットワーク903へ中継されてしまう。
【0014】
このように、認証SW902に対して複数の端末がL3機器906を介して接続されているシステム構成においては、未認証の端末の通信が許可されてしまうことがある。
【0015】
そこで、本発明の目的は、上記課題を解決し、L3機器を介して接続された未認証の端末の通信が許可されることを防止する認証機能付きネットワーク中継機器及びそれを用いた端末の認証方法を提供することにある。
【課題を解決するための手段】
【0016】
上記目的を達成するために本発明の認証機能付きネットワーク中継機器は、認証の対象となる端末のアドレスが登録される認証対象管理テーブルと、該認証対象管理テーブルにアドレスが登録されている端末に対して認証処理を実行する認証処理実行手段とを備えるものである。
【0017】
データ領域にパケットを送信した端末のアドレスを格納しているパケットの上記データ領域に格納されているアドレスとヘッダ領域に格納されている送信元アドレスとを比較し、一致するときにそのアドレスを上記認証対象管理テーブルに登録する認証対象登録手段を備えてもよい。
【0018】
上記認証処理実行手段は、端末からのネットワークへのアクセス要求のパケットのヘッダ領域に格納されている送信元アドレスが上記認証対象管理テーブルに登録されている場合に、上記アクセス要求をしてきた端末の認証処理を実行してもよい。
【0019】
また、本発明の端末の認証方法は、認証機能付きネットワーク中継機器に認証の対象となる端末のアドレスを登録させておき、該認証機能付きネットワーク中継機器が認証の対象としてアドレスが登録されている端末に対して認証処理を実行するものである。
【0020】
上記認証機能付きネットワーク中継機器は、データ領域にパケットを送信した端末のアドレスを格納しているパケットの該データ領域に格納されているアドレスとヘッダ領域に格納されている送信元アドレスとを比較し、一致するときにそのアドレスを認証の対象となる端末のアドレスとして登録しておいてもよい。
【0021】
上記認証機能付きネットワーク中継機器は、受信されたパケットが端末からのネットワークへのアクセス要求のパケットであるとき、そのパケットのヘッダ領域に格納されている送信元アドレスが登録されている認証の対象となる端末のアドレスかどうか判定し、認証の対象となる端末のアドレスであれば認証処理を実行し、認証の対象となる端末のアドレスでなければ認証処理を実行しなくてもよい。
【発明の効果】
【0022】
本発明は次の如き優れた効果を発揮する。
【0023】
(1)L3機器を介して接続された未認証の端末の通信が許可されることが防止できる。
【図面の簡単な説明】
【0024】
【図1】本発明の一実施形態を示す認証機能付きネットワーク中継機器の内部構成図である。
【図2】本発明に用いるDHCPパケットの構成図である。
【図3】認証管理テーブルの構成図である。
【図4】認証対象管理テーブルの構成図である。
【図5】本発明の認証機能付きネットワーク中継機器を使用したシステムの構成図である。
【図6】認証対象管理テーブルの構成図である。
【図7】認証管理テーブルの構成図である。
【図8】認証管理テーブルの構成図である。
【図9】従来の認証機能付きネットワーク中継機器を使用したシステムの構成図である。
【図10】従来の認証機能付きネットワーク中継機器を使用したシステムの構成図である。
【発明を実施するための形態】
【0025】
以下、本発明の一実施形態を添付図面に基づいて詳述する。
【0026】
本発明の端末の認証方法は、従来より知られている認証機能付きネットワーク中継機器による端末の認証方法に加えて、該認証機能付きネットワーク中継機器に認証の対象となる端末のアドレスを登録させておき、該認証機能付きネットワーク中継機器が認証の対象としてアドレスが登録されている端末に対して認証処理を実行するようにしたものである。
【0027】
具体的には、認証機能付きネットワーク中継機器は、認証の対象となる端末のアドレスが登録される認証対象管理テーブルを備え、受信されたパケットがDHCP Discover、DHCP Requestのようにデータ領域に当該パケットを送信した端末のアドレスを格納しているパケットであるとき、このパケットを参照し、データ領域、例えば、DHCPメッセージのクライアントハードアドレスに格納されているMACアドレスと、ヘッダ領域に格納されている送信元MACアドレスとを比較し、これら両MACアドレスが一致するときにそのMACアドレスを認証の対象となる端末のアドレスとして認証対象管理テーブルに登録する。
【0028】
さらに、認証機能付きネットワーク中継機器は、受信されたパケットが端末からのネットワークへのアクセス要求のパケットであるとき、端末からネットワークへのアクセス要求があったと判定し、そのパケットのヘッダ領域に格納されている送信元MACアドレスで認証対象管理テーブルを照会することにより、その送信元MACアドレスが認証の対象となる端末のMACアドレスかどうか判定し、認証対象管理テーブルに登録されていれば、認証の対象となる端末のMACアドレスであるので、認証処理を続行し、認証対象管理テーブルに登録されていなければ、認証処理を止め、認証失敗とする。
【0029】
図1に示されるように、本発明に係る認証機能付きネットワーク中継機器(以下、認証SW)101は、パケットを送受信する送受信部102と、パケットのポート間の転送を制御する転送制御部103と、転送制御部103を制御する中央制御部104とを備える。
【0030】
送受信部102は、複数のポート105を備える。ポート105には、ケーブルなどの伝送路106が接続される。送受信部102は、ポート105で受信したパケットを転送制御部103に送ると共に、転送制御部103から送られてきたパケットを所定のポート105から送信するようになっている。
【0031】
転送制御部103は、パケット解析部107とFDB(Forwarding Data Base)108とフィルタリングテーブル109とを備える。パケット解析部107は、送受信部102から送られてきたパケットの内容を解析し、宛先MACアドレス、送信元MACアドレス、パケットの種類などを調べるようになっている。FDB108は、ポートとMACアドレス、VLANとの対応を記憶するテーブルである。FDB108には、パケットが受信されたとき、受信されたポート105と送信元MACアドレス、VLANとの対応が記憶される。また、受信したパケットの宛先MACアドレスによりFDB108が検索され、そのパケットの転送先のポートが決められる。フィルタリングテーブル109には、パケットのフィルタリング内容が設定されている。フィルタリング内容は、特定のパケットを転送不可としたり、特定のパケットを中央制御部104へ送ったりするものである。
【0032】
この実施形態では、フィルタリングテーブル109には、認証に成功したMACアドレスが記憶され、記憶されたMACアドレスのパケットのみ転送を許可するように設定されると共に、DHCPパケットは転送が許可され、DHCP DiscoverまたはDHCP Requestは中央制御部104へ送るように設定される。
【0033】
これにより、転送制御部103は、受信したパケットをパケット解析部107が解析し、フィルタリングテーブル109に記憶されているMACアドレスのパケットは転送を許可し、FDB108を参照して所定のポート105に転送する。また、転送制御部103は、DHCPパケットは転送を許可し、DHCP DiscoverまたはDHCP Requestは中央制御部104へ送る。
【0034】
図2に示されるように、DHCP Discover、DHCP RequestなどのDHCPパケットは、ヘッダ領域として、イーサネット(登録商標)ヘッダ領域、IPヘッダ領域、UDPヘッダ領域を有する。イーサネットヘッダ領域は、宛先MACアドレスの領域と送信元MACアドレスの領域とを含んでいる。データ領域には、DHCPメッセージを格納するが、そのDHCPメッセージにはクライアントハードアドレスの領域が含まれる。クライアントハードアドレスの領域には、当該パケットを送信した端末のMACアドレスが格納される。図2中、各領域の数値はバイト長である。
【0035】
図1に示されるように、本発明に係る認証SW101の中央制御部104は、ソフトウェアが格納され、そのソフトウェアを実行することで、各種のプロトコル動作を行うよう転送制御部103を制御するようになっている。中央制御部104は、認証管理テーブル110と、認証対象管理テーブル111とを備える。中央制御部104は、認証対象管理テーブル111にアドレスが登録されている端末に対して認証処理を実行する認証処理実行手段112と、受信されたパケットがデータ領域にこのパケットを送信した端末のアドレスを格納しているパケットであるとき、上記データ領域に格納されているアドレスとヘッダ領域に格納されている送信元アドレスとを比較し、一致するときにそのアドレスを上記認証対象管理テーブル111に登録する認証対象登録手段113とを備える。これらの手段は、中央制御部104にソフトウェアとして格納され、そのソフトウェアが実行されることで実現される。
【0036】
図3に示されるように、認証管理テーブル110は、認証SW101に接続された端末のMACアドレスとその認証状態が記憶されるテーブルである。
【0037】
図4に示されるように、認証対象管理テーブル111は、認証の対象となる端末のMACアドレスを記憶するテーブルである。
【0038】
これにより、中央制御部104は、転送制御部103から送られてきたDHCP DiscoverまたはDHCP Requestを参照し、ヘッダ領域の送信元MACアドレスとDHCPメッセージのクライアントハードアドレスの領域に格納されたMACアドレスとを比較し、一致する場合にそのMACアドレスを認証対象管理テーブル111に登録する。また、中央制御部104は、未認証の端末について背景技術で述べた手順で認証処理を行う際、端末からのパケットのMACアドレスが認証対象管理テーブル111に登録されているときは認証処理を続け、端末からのパケットのMACアドレスが認証対象管理テーブル111に登録されていないときは認証処理を止めて認証失敗とする。
【0039】
さらに、中央制御部104は、上記MACアドレスが認証対象管理テーブル111に登録されているとき、当該端末にユーザ名とパスワードの入力を要求する認証WEB画面をパケットにより送信するよう動作し、背景技術で述べた認証処理を続ける。中央制御部104は、認証に成功したとき、認証管理テーブル110に端末のMACアドレスを登録する。中央制御部104は、認証に成功した端末のMACアドレスを転送制御部103のフィルタリングテーブル109に登録することにより、フィルタリングテーブル109にて転送が許可されるように設定する。
【0040】
図5に、本発明の認証SW101を使用したシステムを示す。認証SW101の配下にルータ等のL3機器501が接続されており、L3機器501に端末502,503が接続されている。端末504は直接、認証SW101に接続されている。端末502,503,504は、認証SW101を介してネットワーク505と通信する。ネットワーク505には、DHCPサーバ506とRADIUSサーバ507が配置されている。
【0041】
以下、図5のシステムにおける本発明の認証SW101を用いた端末の認証方法を説明する。なお、DHCPは公知であるので、詳しい動作の説明は省略する。また、L3機器501は、端末とDHCPサーバ間のDHCPのパケットをリレーするDHCPリレーの機能を備えるものとする。また、ここでは、認証SW101は、端末からのパケットのDHCP Discoverを参照して認証対象を管理するが、DHCP Requestを参照して認証対象を管理する場合でも、類似の手順となる。
【0042】
まず、端末502に対する認証処理は次のようになる。
【0043】
あるユーザが端末502を立ち上げて、または、端末502をL3機器501に接続して、新たにネットワーク505に接続しようとしたとする。
【0044】
端末502は、IPアドレスを取得するために、ブロードキャストにてDHCP Discoverを送信する。この際、DHCP Discoverのイーサネットヘッダ領域の送信元MACアドレスの領域と、データ領域のDHCPメッセージのクライアントハードアドレスの領域とに、端末502のMACアドレスを格納する。
【0045】
L3機器501は、端末502からのDHCP Discoverを認証SW101へ中継する。この際、L3機器501は、DHCP Discoverのイーサネットヘッダ領域の送信元MACアドレスをL3機器501のMACアドレスに書き換える。
【0046】
認証SW101は、DHCP Discoverを受信すると、DHCPパケットは中継を許可するようフィルタリングテーブル109に設定されていることから、このDHCP Discoverをネットワーク505へ中継する。また、フィルタリングテーブル109には、DHCP Discoverを中央制御部104に送るよう設定されているので、転送制御部103はDHCP Discoverを中央制御部104に送る。
【0047】
中央制御部104は、DHCP Discoverのイーサネットヘッダ領域の送信元MACアドレスの領域に格納されたMACアドレスと、データ領域のDHCPメッセージのクライアントハードアドレスの領域に格納されたMACアドレスとを比較する。送信元MACアドレスはL3機器501のMACアドレスであり、クライアントハードアドレスは端末502のMACアドレスであるから、これらは一致しない。よって、中央制御部104は、MACアドレスを認証対象管理テーブル111に登録しない。
【0048】
DHCPサーバ506は、DHCP Discoverを受信すると、DHCP Offerを送信する。DHCP Offerには、割り当て可能なIPアドレスが格納される。
【0049】
認証SW101は、DHCP OfferをL3機器501へ中継する。
【0050】
L3機器501は、DHCP Offerを端末502へ中継する。
【0051】
端末502は、DHCP Offerを受信すると、DHCP Requestを送信する。この際、端末502は、DHCP Requestのイーサネットヘッダ領域の送信元MACアドレス領域と、データ領域のDHCPメッセージのクライアントハードアドレスの領域とに、端末502のMACアドレスを格納する。
【0052】
L3機器501は、端末502からのDHCP Requestを認証SW101へ中継する。この際、L3機器501は、DHCP Requestのイーサネットヘッダ領域の送信元MACアドレスをL3機器501のMACアドレスに書き換える。
【0053】
認証SW101は、DHCP Requestを受信すると、DHCPパケットは中継を許可するようフィルタリングテーブル109に設定されていることから、このDHCP Requestをネットワーク505へ中継する。
【0054】
DHCPサーバ506は、DHCP Requestを受信すると、端末502宛てにDHCP ACKを送信する。
【0055】
認証SW101は、DHCP ACKをL3機器501へ中継する。
【0056】
L3機器501は、DHCP ACKを端末502へ中継する。
【0057】
端末502は、DHCP ACKを受信すると、割り当てられたIPアドレスを自身に設定し、以後、このIPアドレスにより通信を行う。
【0058】
ユーザは、ネットワーク505にアクセスするために、ブラウザを立ち上げる。端末502は、これに伴い、所定のサーバに宛ててHTTPパケットを送信する。HTTPパケットの送信元MACアドレスには、端末502のMACアドレスが格納される。
【0059】
L3機器501は、HTTPパケットを認証SW101へ転送する。この際、HTTPパケットの送信元MACアドレスは、L3機器501のMACアドレスに書き換えられる。
【0060】
認証SW101は、HTTPパケットを受信し、転送制御部103においてそのHTTPパケットの内容を参照する。転送制御部103は、HTTPパケットの送信元MACアドレスがフィルタリングテーブル109に設定されていないことから、このHTTPパケットが未認証の端末からのパケットであることを判定し、このHTTPパケットを中央制御部104に転送する。
【0061】
中央制御部104は、HTTPパケットの送信元MACアドレスを認証対象管理テーブル111と照会する。L3機器501のMACアドレスは認証対象管理テーブル111に登録されていないので、認証失敗と判定する。中央制御部104は、認証失敗を端末502に対してパケットにより通知する。
【0062】
端末502のユーザは、認証SW101において認証失敗となり、ネットワーク505との通信は不可となる。
【0063】
端末503に対する認証処理は、端末502に対する認証処理と同じになる。
【0064】
端末504に対する認証処理は、次のようになる。
【0065】
あるユーザが端末504を立ち上げて、または、端末504を認証SW101に接続して、新たにネットワーク505に接続しようとしたとする。
【0066】
端末502は、IPアドレスを取得するために、ブロードキャストにてDHCP Discoverを送信する。この際、DHCP Discoverのイーサネットヘッダ領域の送信元MACアドレスの領域と、データ領域のDHCPメッセージのクライアントハードアドレスの領域とに、端末504のMACアドレスを格納する。
【0067】
認証SW101は、DHCP Discoverを受信すると、DHCPパケットは中継を許可するようフィルタリングテーブル109に設定されていることから、このDHCP Discoverをネットワーク505へ中継する。また、フィルタリングテーブル109には、DHCP Discoverを中央制御部104に転送するよう設定されているので、転送制御部103はDHCP Discoverを中央制御部104に送る。
【0068】
中央制御部104は、DHCP Discoverのイーサネットヘッダ領域の送信元MACアドレスの領域に格納されたMACアドレスと、データ領域のDHCPメッセージのクライアントハードアドレスの領域に格納されたMACアドレスとを比較する。送信元MACアドレスもクライアントハードアドレスも共に端末504のMACアドレスであるから、これらは一致する。よって、中央制御部104は、この端末504のMACアドレスを認証対象管理テーブル111に登録する。この結果、認証対象管理テーブル111の内容は、図6のようになる。
【0069】
DHCPサーバ506は、DHCP Discoverを受信すると、ブロードキャストにてDHCP Offerを送信する。DHCP Offerには、割り当て可能なIPアドレスが格納される。
【0070】
認証SW101は、DHCP Offerを端末504へ中継する。
【0071】
端末504は、DHCP Offerを受信すると、DHCP Requestを送信する。この際、端末504は、DHCP Requestのイーサネットヘッダ領域の送信元MACアドレス領域と、データ領域のDHCPメッセージのクライアントハードアドレスの領域とに、端末504のMACアドレスを格納する。
【0072】
認証SW101は、DHCP Requestを受信すると、DHCPパケットは中継を許可するようフィルタリングテーブル109に設定されていることから、このDHCP Requestをネットワーク505へ中継する。
【0073】
DHCPサーバ506は、DHCP Requestを受信すると、端末504宛てにDHCP ACKを送信する。
【0074】
認証SW101は、DHCP ACKを端末504へ中継する。
【0075】
端末504は、DHCP ACKを受信すると、割り当てられたIPアドレスを自身に設定し、以後、このIPアドレスにより通信を行う。
【0076】
ユーザは、ネットワーク505にアクセスするために、ブラウザを立ち上げる。端末504は、これに伴い、所定のサーバに宛ててHTTPパケットを送信する。HTTPパケットの送信元MACアドレスには、端末504のMACアドレスが格納される。
【0077】
認証SW101は、HTTPパケットを受信し、転送制御部103においてそのHTTPパケットの内容を参照する。転送制御部103は、HTTPパケットの送信元MACアドレスがフィルタリングテーブル109に設定されていないことから、このHTTPパケットが未認証の端末からのパケットであることを判定し、このHTTPパケットを中央制御部104に転送する。
【0078】
中央制御部104は、HTTPパケットの送信元MACアドレスを認証対象管理テーブル111と照会する。端末504のMACアドレスは認証対象管理テーブル111に登録されているので、認証処理は続行される。中央制御部104は、端末504に対してユーザ名とパスワードの入力を要求する認証WEB画面をパケットにより送信する。また、中央制御部104は、認証管理テーブル110に端末504のMACアドレスを登録する。この結果、認証管理テーブル110の内容は、図7のようになる。
【0079】
ユーザは、端末504に表示された認証WEB画面にユーザ名とパスワードを入力し、端末504は入力されたユーザ名とパスワードをパケットにより認証SW101へ送信する。
【0080】
認証SW101は、端末504からのユーザ名とパスワードが格納されたパケットを受信し、このユーザ名とパスワードが格納されたパケットをRADIUSサーバ507へ送信する。
【0081】
RADIUSサーバ507は、正当なユーザが登録されたデータベースを有し、受信したパケット中のユーザ名とパスワードをデータベースに照会する。端末504のユーザが正当なユーザであるとすると、RADIUSサーバ507は、認証成功の返信のパケットを認証SW101へ送信する。
【0082】
認証SW101は、認証成功の返信のパケットを受信し、中央制御部104は、端末504を認証成功として認証管理テーブル110に端末504のMACアドレスを登録する。この結果、認証管理テーブル110の内容は、図8のようになる。また、中央制御部104は、転送制御部103のフィルタリングテーブル109に端末504のMACアドレスを設定し、これにより、端末504のMACアドレスを有するパケットはネットワーク505への中継が許可されるようになる。中央制御部104は、端末504へ認証成功を通知するパケットを送信する。
【0083】
端末504のユーザは、認証SW101において認証成功となり、以後、ネットワーク505との通信が可能となる。
【0084】
以上説明したように、本発明の端末の認証方法によれば、L3機器501を介して認証SW101に接続されている端末502,503は、認証SW101において認証処理が実行されることなく、認証失敗となる。一方、認証SW101に直接接続されている端末504は、認証SW101においてWEB認証の認証処理が実行される。
【0085】
これにより、L3機器501を介して認証SW101に接続されている端末は、全て認証失敗となり、認証SW101に直接接続されている端末は、認証処理により正当なユーザのみ認証成功となる。
【符号の説明】
【0086】
101 認証機能付きネットワーク中継機器(認証SW)
102 送受信部
103 転送制御部
104 中央制御部
105 ポート
106 伝送路
107 パケット解析部
108 FDB
109 フィルタリングテーブル
110 認証管理テーブル
111 認証対象管理テーブル
【技術分野】
【0001】
本発明は、L3機器を介して接続された未認証の端末の通信が許可されることを防止する認証機能付きネットワーク中継機器及びそれを用いた端末の認証方法に関する。
【背景技術】
【0002】
不正なユーザや端末がネットワークへアクセスするのを防止するために、スイッチングハブ等のL(Layer;レイヤー)2に属するネットワーク中継機器(L2機器)に端末の認証機能を設ける方法がある。この認証機能付きネットワーク中継機器をネットワークと端末との間に配置する構成とする。認証機能付きネットワーク中継機器は、新たに接続されたユーザや端末の認証を行い、認証に成功したユーザや端末のみネットワークへの通信を許可する。
【0003】
図9に、認証機能付きスイッチングハブ(以下、認証SW)を用いたシステム構成を示す。端末901は、認証SW902を介してネットワーク903に接続するようになっている。認証SW902は、認証に成功した端末からのパケットはネットワーク903に中継し、認証に成功していない端末からのパケットは中継せずに廃棄する。
【0004】
認証SW902は、以下のように認証処理を行う。
【0005】
あるユーザが端末901を立ち上げて新たにネットワーク903に接続しようとしたとする。
【0006】
(1)端末901は、IPアドレスを取得するためにDHCP(Dynamic Host Configration Protocol)により、ネットワーク903に存在するDHCPサーバ904とDHCPのパケットのやりとりを行う。認証SW902は、DHCPのパケットの中継を許可するように設定されており、端末901とDHCPサーバ904との間でやりとりされるDHCPのパケットを中継する。端末901は、DHCPサーバ904から割り当てられたIPアドレスを自身に設定し、以後、このIPアドレスにより通信を行う。
【0007】
(2)ユーザは、ネットワーク903にアクセスするために、ブラウザを立ち上げる。端末901は、これに伴い、所定のサーバ(図示せず)に宛ててHTTPパケットを送信する。認証SW902は、このHTTPパケットを受信し、そのHTTPパケットの内容を参照する。認証SW902は、このHTTPパケットが(その送信元MACアドレスが認証成功として登録されたものでないことから、)未認証の端末からのものであることを判定する。認証SW902は、ユーザ名とパスワードの入力を要求する認証WEB画面をパケットにより端末901に送信する。ユーザは、端末901に表示された認証WEB画面にユーザ名とパスワードを入力し、端末901は入力されたユーザ名とパスワードをパケットにより認証SW902に送信する。
【0008】
(3)認証SW902は、ユーザ名とパスワードをパケットによりRADIUS(Remote Authentication Dial in User Service)サーバ905に送信する。RADIUSサーバ905は、正当なユーザがユーザ名とパスワードで登録されたデータベースを有し、受信したパケットのユーザ名とパスワードをデータベースに照会する。ユーザが正当なユーザであるとすると、RADIUSサーバ905は、認証成功の返信のパケットを認証SW902に送信する。認証SW902は、認証成功の返信のパケットを受信したことにより、端末901を認証成功とし、端末901のMACアドレスを登録し、端末901のMACアドレスを有するパケットはネットワーク903への中継を許可する。
【0009】
(4)以後、端末901は、認証SW902を介してネットワーク903への通信が可能となる。
【先行技術文献】
【特許文献】
【0010】
【特許文献1】特開2005−286558号公報
【特許文献2】特開2005−252717号公報
【発明の概要】
【発明が解決しようとする課題】
【0011】
図10に示されるように、認証SW902の配下にルータ等のL3機器906が接続されており、L3機器906に端末901と端末907が接続されたネットワーク構成を考える。
【0012】
端末901は、ネットワーク903へアクセスしようとするとき、認証SW902との間で前述した認証の通信を行う。L3機器906は、端末901からのパケットを受信したとき、そのパケットのMACアドレスを自分のMACアドレスに置き換えて中継する。端末901が認証SW902との認証に成功したとき、端末901からのパケットはそのMACアドレスがL3機器906のMACアドレスに置き換えられて送信されてくるので、認証SW902にはL3機器906のMACアドレスが認証成功として登録される。
【0013】
次に、端末907がL3機器906に接続されたとする。このとき、端末907が送信したパケットは、L3機器906においてMACアドレスがL3機器906のMACアドレスに置き換えられて認証SW902に中継される。L3機器906のMACアドレスは認証成功として登録されているので、未認証であるはずの端末907からのパケットは認証済みとしてネットワーク903へ中継されてしまう。
【0014】
このように、認証SW902に対して複数の端末がL3機器906を介して接続されているシステム構成においては、未認証の端末の通信が許可されてしまうことがある。
【0015】
そこで、本発明の目的は、上記課題を解決し、L3機器を介して接続された未認証の端末の通信が許可されることを防止する認証機能付きネットワーク中継機器及びそれを用いた端末の認証方法を提供することにある。
【課題を解決するための手段】
【0016】
上記目的を達成するために本発明の認証機能付きネットワーク中継機器は、認証の対象となる端末のアドレスが登録される認証対象管理テーブルと、該認証対象管理テーブルにアドレスが登録されている端末に対して認証処理を実行する認証処理実行手段とを備えるものである。
【0017】
データ領域にパケットを送信した端末のアドレスを格納しているパケットの上記データ領域に格納されているアドレスとヘッダ領域に格納されている送信元アドレスとを比較し、一致するときにそのアドレスを上記認証対象管理テーブルに登録する認証対象登録手段を備えてもよい。
【0018】
上記認証処理実行手段は、端末からのネットワークへのアクセス要求のパケットのヘッダ領域に格納されている送信元アドレスが上記認証対象管理テーブルに登録されている場合に、上記アクセス要求をしてきた端末の認証処理を実行してもよい。
【0019】
また、本発明の端末の認証方法は、認証機能付きネットワーク中継機器に認証の対象となる端末のアドレスを登録させておき、該認証機能付きネットワーク中継機器が認証の対象としてアドレスが登録されている端末に対して認証処理を実行するものである。
【0020】
上記認証機能付きネットワーク中継機器は、データ領域にパケットを送信した端末のアドレスを格納しているパケットの該データ領域に格納されているアドレスとヘッダ領域に格納されている送信元アドレスとを比較し、一致するときにそのアドレスを認証の対象となる端末のアドレスとして登録しておいてもよい。
【0021】
上記認証機能付きネットワーク中継機器は、受信されたパケットが端末からのネットワークへのアクセス要求のパケットであるとき、そのパケットのヘッダ領域に格納されている送信元アドレスが登録されている認証の対象となる端末のアドレスかどうか判定し、認証の対象となる端末のアドレスであれば認証処理を実行し、認証の対象となる端末のアドレスでなければ認証処理を実行しなくてもよい。
【発明の効果】
【0022】
本発明は次の如き優れた効果を発揮する。
【0023】
(1)L3機器を介して接続された未認証の端末の通信が許可されることが防止できる。
【図面の簡単な説明】
【0024】
【図1】本発明の一実施形態を示す認証機能付きネットワーク中継機器の内部構成図である。
【図2】本発明に用いるDHCPパケットの構成図である。
【図3】認証管理テーブルの構成図である。
【図4】認証対象管理テーブルの構成図である。
【図5】本発明の認証機能付きネットワーク中継機器を使用したシステムの構成図である。
【図6】認証対象管理テーブルの構成図である。
【図7】認証管理テーブルの構成図である。
【図8】認証管理テーブルの構成図である。
【図9】従来の認証機能付きネットワーク中継機器を使用したシステムの構成図である。
【図10】従来の認証機能付きネットワーク中継機器を使用したシステムの構成図である。
【発明を実施するための形態】
【0025】
以下、本発明の一実施形態を添付図面に基づいて詳述する。
【0026】
本発明の端末の認証方法は、従来より知られている認証機能付きネットワーク中継機器による端末の認証方法に加えて、該認証機能付きネットワーク中継機器に認証の対象となる端末のアドレスを登録させておき、該認証機能付きネットワーク中継機器が認証の対象としてアドレスが登録されている端末に対して認証処理を実行するようにしたものである。
【0027】
具体的には、認証機能付きネットワーク中継機器は、認証の対象となる端末のアドレスが登録される認証対象管理テーブルを備え、受信されたパケットがDHCP Discover、DHCP Requestのようにデータ領域に当該パケットを送信した端末のアドレスを格納しているパケットであるとき、このパケットを参照し、データ領域、例えば、DHCPメッセージのクライアントハードアドレスに格納されているMACアドレスと、ヘッダ領域に格納されている送信元MACアドレスとを比較し、これら両MACアドレスが一致するときにそのMACアドレスを認証の対象となる端末のアドレスとして認証対象管理テーブルに登録する。
【0028】
さらに、認証機能付きネットワーク中継機器は、受信されたパケットが端末からのネットワークへのアクセス要求のパケットであるとき、端末からネットワークへのアクセス要求があったと判定し、そのパケットのヘッダ領域に格納されている送信元MACアドレスで認証対象管理テーブルを照会することにより、その送信元MACアドレスが認証の対象となる端末のMACアドレスかどうか判定し、認証対象管理テーブルに登録されていれば、認証の対象となる端末のMACアドレスであるので、認証処理を続行し、認証対象管理テーブルに登録されていなければ、認証処理を止め、認証失敗とする。
【0029】
図1に示されるように、本発明に係る認証機能付きネットワーク中継機器(以下、認証SW)101は、パケットを送受信する送受信部102と、パケットのポート間の転送を制御する転送制御部103と、転送制御部103を制御する中央制御部104とを備える。
【0030】
送受信部102は、複数のポート105を備える。ポート105には、ケーブルなどの伝送路106が接続される。送受信部102は、ポート105で受信したパケットを転送制御部103に送ると共に、転送制御部103から送られてきたパケットを所定のポート105から送信するようになっている。
【0031】
転送制御部103は、パケット解析部107とFDB(Forwarding Data Base)108とフィルタリングテーブル109とを備える。パケット解析部107は、送受信部102から送られてきたパケットの内容を解析し、宛先MACアドレス、送信元MACアドレス、パケットの種類などを調べるようになっている。FDB108は、ポートとMACアドレス、VLANとの対応を記憶するテーブルである。FDB108には、パケットが受信されたとき、受信されたポート105と送信元MACアドレス、VLANとの対応が記憶される。また、受信したパケットの宛先MACアドレスによりFDB108が検索され、そのパケットの転送先のポートが決められる。フィルタリングテーブル109には、パケットのフィルタリング内容が設定されている。フィルタリング内容は、特定のパケットを転送不可としたり、特定のパケットを中央制御部104へ送ったりするものである。
【0032】
この実施形態では、フィルタリングテーブル109には、認証に成功したMACアドレスが記憶され、記憶されたMACアドレスのパケットのみ転送を許可するように設定されると共に、DHCPパケットは転送が許可され、DHCP DiscoverまたはDHCP Requestは中央制御部104へ送るように設定される。
【0033】
これにより、転送制御部103は、受信したパケットをパケット解析部107が解析し、フィルタリングテーブル109に記憶されているMACアドレスのパケットは転送を許可し、FDB108を参照して所定のポート105に転送する。また、転送制御部103は、DHCPパケットは転送を許可し、DHCP DiscoverまたはDHCP Requestは中央制御部104へ送る。
【0034】
図2に示されるように、DHCP Discover、DHCP RequestなどのDHCPパケットは、ヘッダ領域として、イーサネット(登録商標)ヘッダ領域、IPヘッダ領域、UDPヘッダ領域を有する。イーサネットヘッダ領域は、宛先MACアドレスの領域と送信元MACアドレスの領域とを含んでいる。データ領域には、DHCPメッセージを格納するが、そのDHCPメッセージにはクライアントハードアドレスの領域が含まれる。クライアントハードアドレスの領域には、当該パケットを送信した端末のMACアドレスが格納される。図2中、各領域の数値はバイト長である。
【0035】
図1に示されるように、本発明に係る認証SW101の中央制御部104は、ソフトウェアが格納され、そのソフトウェアを実行することで、各種のプロトコル動作を行うよう転送制御部103を制御するようになっている。中央制御部104は、認証管理テーブル110と、認証対象管理テーブル111とを備える。中央制御部104は、認証対象管理テーブル111にアドレスが登録されている端末に対して認証処理を実行する認証処理実行手段112と、受信されたパケットがデータ領域にこのパケットを送信した端末のアドレスを格納しているパケットであるとき、上記データ領域に格納されているアドレスとヘッダ領域に格納されている送信元アドレスとを比較し、一致するときにそのアドレスを上記認証対象管理テーブル111に登録する認証対象登録手段113とを備える。これらの手段は、中央制御部104にソフトウェアとして格納され、そのソフトウェアが実行されることで実現される。
【0036】
図3に示されるように、認証管理テーブル110は、認証SW101に接続された端末のMACアドレスとその認証状態が記憶されるテーブルである。
【0037】
図4に示されるように、認証対象管理テーブル111は、認証の対象となる端末のMACアドレスを記憶するテーブルである。
【0038】
これにより、中央制御部104は、転送制御部103から送られてきたDHCP DiscoverまたはDHCP Requestを参照し、ヘッダ領域の送信元MACアドレスとDHCPメッセージのクライアントハードアドレスの領域に格納されたMACアドレスとを比較し、一致する場合にそのMACアドレスを認証対象管理テーブル111に登録する。また、中央制御部104は、未認証の端末について背景技術で述べた手順で認証処理を行う際、端末からのパケットのMACアドレスが認証対象管理テーブル111に登録されているときは認証処理を続け、端末からのパケットのMACアドレスが認証対象管理テーブル111に登録されていないときは認証処理を止めて認証失敗とする。
【0039】
さらに、中央制御部104は、上記MACアドレスが認証対象管理テーブル111に登録されているとき、当該端末にユーザ名とパスワードの入力を要求する認証WEB画面をパケットにより送信するよう動作し、背景技術で述べた認証処理を続ける。中央制御部104は、認証に成功したとき、認証管理テーブル110に端末のMACアドレスを登録する。中央制御部104は、認証に成功した端末のMACアドレスを転送制御部103のフィルタリングテーブル109に登録することにより、フィルタリングテーブル109にて転送が許可されるように設定する。
【0040】
図5に、本発明の認証SW101を使用したシステムを示す。認証SW101の配下にルータ等のL3機器501が接続されており、L3機器501に端末502,503が接続されている。端末504は直接、認証SW101に接続されている。端末502,503,504は、認証SW101を介してネットワーク505と通信する。ネットワーク505には、DHCPサーバ506とRADIUSサーバ507が配置されている。
【0041】
以下、図5のシステムにおける本発明の認証SW101を用いた端末の認証方法を説明する。なお、DHCPは公知であるので、詳しい動作の説明は省略する。また、L3機器501は、端末とDHCPサーバ間のDHCPのパケットをリレーするDHCPリレーの機能を備えるものとする。また、ここでは、認証SW101は、端末からのパケットのDHCP Discoverを参照して認証対象を管理するが、DHCP Requestを参照して認証対象を管理する場合でも、類似の手順となる。
【0042】
まず、端末502に対する認証処理は次のようになる。
【0043】
あるユーザが端末502を立ち上げて、または、端末502をL3機器501に接続して、新たにネットワーク505に接続しようとしたとする。
【0044】
端末502は、IPアドレスを取得するために、ブロードキャストにてDHCP Discoverを送信する。この際、DHCP Discoverのイーサネットヘッダ領域の送信元MACアドレスの領域と、データ領域のDHCPメッセージのクライアントハードアドレスの領域とに、端末502のMACアドレスを格納する。
【0045】
L3機器501は、端末502からのDHCP Discoverを認証SW101へ中継する。この際、L3機器501は、DHCP Discoverのイーサネットヘッダ領域の送信元MACアドレスをL3機器501のMACアドレスに書き換える。
【0046】
認証SW101は、DHCP Discoverを受信すると、DHCPパケットは中継を許可するようフィルタリングテーブル109に設定されていることから、このDHCP Discoverをネットワーク505へ中継する。また、フィルタリングテーブル109には、DHCP Discoverを中央制御部104に送るよう設定されているので、転送制御部103はDHCP Discoverを中央制御部104に送る。
【0047】
中央制御部104は、DHCP Discoverのイーサネットヘッダ領域の送信元MACアドレスの領域に格納されたMACアドレスと、データ領域のDHCPメッセージのクライアントハードアドレスの領域に格納されたMACアドレスとを比較する。送信元MACアドレスはL3機器501のMACアドレスであり、クライアントハードアドレスは端末502のMACアドレスであるから、これらは一致しない。よって、中央制御部104は、MACアドレスを認証対象管理テーブル111に登録しない。
【0048】
DHCPサーバ506は、DHCP Discoverを受信すると、DHCP Offerを送信する。DHCP Offerには、割り当て可能なIPアドレスが格納される。
【0049】
認証SW101は、DHCP OfferをL3機器501へ中継する。
【0050】
L3機器501は、DHCP Offerを端末502へ中継する。
【0051】
端末502は、DHCP Offerを受信すると、DHCP Requestを送信する。この際、端末502は、DHCP Requestのイーサネットヘッダ領域の送信元MACアドレス領域と、データ領域のDHCPメッセージのクライアントハードアドレスの領域とに、端末502のMACアドレスを格納する。
【0052】
L3機器501は、端末502からのDHCP Requestを認証SW101へ中継する。この際、L3機器501は、DHCP Requestのイーサネットヘッダ領域の送信元MACアドレスをL3機器501のMACアドレスに書き換える。
【0053】
認証SW101は、DHCP Requestを受信すると、DHCPパケットは中継を許可するようフィルタリングテーブル109に設定されていることから、このDHCP Requestをネットワーク505へ中継する。
【0054】
DHCPサーバ506は、DHCP Requestを受信すると、端末502宛てにDHCP ACKを送信する。
【0055】
認証SW101は、DHCP ACKをL3機器501へ中継する。
【0056】
L3機器501は、DHCP ACKを端末502へ中継する。
【0057】
端末502は、DHCP ACKを受信すると、割り当てられたIPアドレスを自身に設定し、以後、このIPアドレスにより通信を行う。
【0058】
ユーザは、ネットワーク505にアクセスするために、ブラウザを立ち上げる。端末502は、これに伴い、所定のサーバに宛ててHTTPパケットを送信する。HTTPパケットの送信元MACアドレスには、端末502のMACアドレスが格納される。
【0059】
L3機器501は、HTTPパケットを認証SW101へ転送する。この際、HTTPパケットの送信元MACアドレスは、L3機器501のMACアドレスに書き換えられる。
【0060】
認証SW101は、HTTPパケットを受信し、転送制御部103においてそのHTTPパケットの内容を参照する。転送制御部103は、HTTPパケットの送信元MACアドレスがフィルタリングテーブル109に設定されていないことから、このHTTPパケットが未認証の端末からのパケットであることを判定し、このHTTPパケットを中央制御部104に転送する。
【0061】
中央制御部104は、HTTPパケットの送信元MACアドレスを認証対象管理テーブル111と照会する。L3機器501のMACアドレスは認証対象管理テーブル111に登録されていないので、認証失敗と判定する。中央制御部104は、認証失敗を端末502に対してパケットにより通知する。
【0062】
端末502のユーザは、認証SW101において認証失敗となり、ネットワーク505との通信は不可となる。
【0063】
端末503に対する認証処理は、端末502に対する認証処理と同じになる。
【0064】
端末504に対する認証処理は、次のようになる。
【0065】
あるユーザが端末504を立ち上げて、または、端末504を認証SW101に接続して、新たにネットワーク505に接続しようとしたとする。
【0066】
端末502は、IPアドレスを取得するために、ブロードキャストにてDHCP Discoverを送信する。この際、DHCP Discoverのイーサネットヘッダ領域の送信元MACアドレスの領域と、データ領域のDHCPメッセージのクライアントハードアドレスの領域とに、端末504のMACアドレスを格納する。
【0067】
認証SW101は、DHCP Discoverを受信すると、DHCPパケットは中継を許可するようフィルタリングテーブル109に設定されていることから、このDHCP Discoverをネットワーク505へ中継する。また、フィルタリングテーブル109には、DHCP Discoverを中央制御部104に転送するよう設定されているので、転送制御部103はDHCP Discoverを中央制御部104に送る。
【0068】
中央制御部104は、DHCP Discoverのイーサネットヘッダ領域の送信元MACアドレスの領域に格納されたMACアドレスと、データ領域のDHCPメッセージのクライアントハードアドレスの領域に格納されたMACアドレスとを比較する。送信元MACアドレスもクライアントハードアドレスも共に端末504のMACアドレスであるから、これらは一致する。よって、中央制御部104は、この端末504のMACアドレスを認証対象管理テーブル111に登録する。この結果、認証対象管理テーブル111の内容は、図6のようになる。
【0069】
DHCPサーバ506は、DHCP Discoverを受信すると、ブロードキャストにてDHCP Offerを送信する。DHCP Offerには、割り当て可能なIPアドレスが格納される。
【0070】
認証SW101は、DHCP Offerを端末504へ中継する。
【0071】
端末504は、DHCP Offerを受信すると、DHCP Requestを送信する。この際、端末504は、DHCP Requestのイーサネットヘッダ領域の送信元MACアドレス領域と、データ領域のDHCPメッセージのクライアントハードアドレスの領域とに、端末504のMACアドレスを格納する。
【0072】
認証SW101は、DHCP Requestを受信すると、DHCPパケットは中継を許可するようフィルタリングテーブル109に設定されていることから、このDHCP Requestをネットワーク505へ中継する。
【0073】
DHCPサーバ506は、DHCP Requestを受信すると、端末504宛てにDHCP ACKを送信する。
【0074】
認証SW101は、DHCP ACKを端末504へ中継する。
【0075】
端末504は、DHCP ACKを受信すると、割り当てられたIPアドレスを自身に設定し、以後、このIPアドレスにより通信を行う。
【0076】
ユーザは、ネットワーク505にアクセスするために、ブラウザを立ち上げる。端末504は、これに伴い、所定のサーバに宛ててHTTPパケットを送信する。HTTPパケットの送信元MACアドレスには、端末504のMACアドレスが格納される。
【0077】
認証SW101は、HTTPパケットを受信し、転送制御部103においてそのHTTPパケットの内容を参照する。転送制御部103は、HTTPパケットの送信元MACアドレスがフィルタリングテーブル109に設定されていないことから、このHTTPパケットが未認証の端末からのパケットであることを判定し、このHTTPパケットを中央制御部104に転送する。
【0078】
中央制御部104は、HTTPパケットの送信元MACアドレスを認証対象管理テーブル111と照会する。端末504のMACアドレスは認証対象管理テーブル111に登録されているので、認証処理は続行される。中央制御部104は、端末504に対してユーザ名とパスワードの入力を要求する認証WEB画面をパケットにより送信する。また、中央制御部104は、認証管理テーブル110に端末504のMACアドレスを登録する。この結果、認証管理テーブル110の内容は、図7のようになる。
【0079】
ユーザは、端末504に表示された認証WEB画面にユーザ名とパスワードを入力し、端末504は入力されたユーザ名とパスワードをパケットにより認証SW101へ送信する。
【0080】
認証SW101は、端末504からのユーザ名とパスワードが格納されたパケットを受信し、このユーザ名とパスワードが格納されたパケットをRADIUSサーバ507へ送信する。
【0081】
RADIUSサーバ507は、正当なユーザが登録されたデータベースを有し、受信したパケット中のユーザ名とパスワードをデータベースに照会する。端末504のユーザが正当なユーザであるとすると、RADIUSサーバ507は、認証成功の返信のパケットを認証SW101へ送信する。
【0082】
認証SW101は、認証成功の返信のパケットを受信し、中央制御部104は、端末504を認証成功として認証管理テーブル110に端末504のMACアドレスを登録する。この結果、認証管理テーブル110の内容は、図8のようになる。また、中央制御部104は、転送制御部103のフィルタリングテーブル109に端末504のMACアドレスを設定し、これにより、端末504のMACアドレスを有するパケットはネットワーク505への中継が許可されるようになる。中央制御部104は、端末504へ認証成功を通知するパケットを送信する。
【0083】
端末504のユーザは、認証SW101において認証成功となり、以後、ネットワーク505との通信が可能となる。
【0084】
以上説明したように、本発明の端末の認証方法によれば、L3機器501を介して認証SW101に接続されている端末502,503は、認証SW101において認証処理が実行されることなく、認証失敗となる。一方、認証SW101に直接接続されている端末504は、認証SW101においてWEB認証の認証処理が実行される。
【0085】
これにより、L3機器501を介して認証SW101に接続されている端末は、全て認証失敗となり、認証SW101に直接接続されている端末は、認証処理により正当なユーザのみ認証成功となる。
【符号の説明】
【0086】
101 認証機能付きネットワーク中継機器(認証SW)
102 送受信部
103 転送制御部
104 中央制御部
105 ポート
106 伝送路
107 パケット解析部
108 FDB
109 フィルタリングテーブル
110 認証管理テーブル
111 認証対象管理テーブル
【特許請求の範囲】
【請求項1】
認証の対象となる端末のアドレスが登録される認証対象管理テーブルと、
該認証対象管理テーブルにアドレスが登録されている端末に対して認証処理を実行する認証処理実行手段とを備えることを特徴とする認証機能付きネットワーク中継機器。
【請求項2】
データ領域にパケットを送信した端末のアドレスを格納しているパケットの上記データ領域に格納されているアドレスとヘッダ領域に格納されている送信元アドレスとを比較し、一致するときにそのアドレスを上記認証対象管理テーブルに登録する認証対象登録手段とを備えたことを特徴とする請求項1記載の認証機能付きネットワーク中継機器。
【請求項3】
上記認証処理実行手段は、端末からのネットワークへのアクセス要求のパケットのヘッダ領域に格納されている送信元アドレスが上記認証対象管理テーブルに登録されている場合に、上記アクセス要求をしてきた端末の認証処理を実行することを特徴とする請求項1又は2記載の認証機能付きネットワーク中継機器。
【請求項4】
認証機能付きネットワーク中継機器に認証の対象となる端末のアドレスを登録させておき、
該認証機能付きネットワーク中継機器が認証の対象としてアドレスが登録されている端末に対して認証処理を実行することを特徴とする端末の認証方法。
【請求項5】
上記認証機能付きネットワーク中継機器は、データ領域にパケットを送信した端末のアドレスを格納しているパケットの該データ領域に格納されているアドレスとヘッダ領域に格納されている送信元アドレスとを比較し、一致するときにそのアドレスを認証の対象となる端末のアドレスとして登録しておくことを特徴とする請求項4記載の端末の認証方法。
【請求項6】
上記認証機能付きネットワーク中継機器は、受信されたパケットが端末からのネットワークへのアクセス要求のパケットであるとき、そのパケットのヘッダ領域に格納されている送信元アドレスが登録されている認証の対象となる端末のアドレスかどうか判定し、認証の対象となる端末のアドレスであれば認証処理を実行し、認証の対象となる端末のアドレスでなければ認証処理を実行しないことを特徴とする請求項4又は5記載の端末の認証方法。
【請求項1】
認証の対象となる端末のアドレスが登録される認証対象管理テーブルと、
該認証対象管理テーブルにアドレスが登録されている端末に対して認証処理を実行する認証処理実行手段とを備えることを特徴とする認証機能付きネットワーク中継機器。
【請求項2】
データ領域にパケットを送信した端末のアドレスを格納しているパケットの上記データ領域に格納されているアドレスとヘッダ領域に格納されている送信元アドレスとを比較し、一致するときにそのアドレスを上記認証対象管理テーブルに登録する認証対象登録手段とを備えたことを特徴とする請求項1記載の認証機能付きネットワーク中継機器。
【請求項3】
上記認証処理実行手段は、端末からのネットワークへのアクセス要求のパケットのヘッダ領域に格納されている送信元アドレスが上記認証対象管理テーブルに登録されている場合に、上記アクセス要求をしてきた端末の認証処理を実行することを特徴とする請求項1又は2記載の認証機能付きネットワーク中継機器。
【請求項4】
認証機能付きネットワーク中継機器に認証の対象となる端末のアドレスを登録させておき、
該認証機能付きネットワーク中継機器が認証の対象としてアドレスが登録されている端末に対して認証処理を実行することを特徴とする端末の認証方法。
【請求項5】
上記認証機能付きネットワーク中継機器は、データ領域にパケットを送信した端末のアドレスを格納しているパケットの該データ領域に格納されているアドレスとヘッダ領域に格納されている送信元アドレスとを比較し、一致するときにそのアドレスを認証の対象となる端末のアドレスとして登録しておくことを特徴とする請求項4記載の端末の認証方法。
【請求項6】
上記認証機能付きネットワーク中継機器は、受信されたパケットが端末からのネットワークへのアクセス要求のパケットであるとき、そのパケットのヘッダ領域に格納されている送信元アドレスが登録されている認証の対象となる端末のアドレスかどうか判定し、認証の対象となる端末のアドレスであれば認証処理を実行し、認証の対象となる端末のアドレスでなければ認証処理を実行しないことを特徴とする請求項4又は5記載の端末の認証方法。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【公開番号】特開2010−187314(P2010−187314A)
【公開日】平成22年8月26日(2010.8.26)
【国際特許分類】
【出願番号】特願2009−31468(P2009−31468)
【出願日】平成21年2月13日(2009.2.13)
【出願人】(000005120)日立電線株式会社 (3,358)
【Fターム(参考)】
【公開日】平成22年8月26日(2010.8.26)
【国際特許分類】
【出願日】平成21年2月13日(2009.2.13)
【出願人】(000005120)日立電線株式会社 (3,358)
【Fターム(参考)】
[ Back to top ]