MACアドレス自動認証システム
【課題】自立的にパケット送信を行わない端末であっても認証することのできる自動認証システムを提供する。
【解決手段】イーサネットスイッチにおけるMAC(Media Access Control)アドレス自動認証システムにおいて、端末のIPアドレスおよびMACアドレス毎に端末の認証状態および端末の属するVLANの情報を格納した認証状態管理テーブル、該テーブルを参照して未認証の端末のアドレスに対してARPリクエストを送信し、ARPリクエストに対するリプライの有無を検出する認証制御部を備え、前記リプライの有りを検出したとき、検出したリプライに含まれるMACアドレスにしたがって、前記認証状態管理テーブルの端末認証状態を「認証済み」に変更して、前記端末を前記VLANの情報にしたがって所定のVLANに収容する。
【解決手段】イーサネットスイッチにおけるMAC(Media Access Control)アドレス自動認証システムにおいて、端末のIPアドレスおよびMACアドレス毎に端末の認証状態および端末の属するVLANの情報を格納した認証状態管理テーブル、該テーブルを参照して未認証の端末のアドレスに対してARPリクエストを送信し、ARPリクエストに対するリプライの有無を検出する認証制御部を備え、前記リプライの有りを検出したとき、検出したリプライに含まれるMACアドレスにしたがって、前記認証状態管理テーブルの端末認証状態を「認証済み」に変更して、前記端末を前記VLANの情報にしたがって所定のVLANに収容する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、MACアドレス自動認証システムにかかり、特に、要求パケットに対する応答パケットを契機にしてイーサネット(登録商標)スイッチがMACアドレスによる認証を行う自動認証システムネットワークに関する。
【背景技術】
【0002】
クライアントに対する端末認証方式として、クライアント端末からログイン等の認証を必要とする要求があった場合に、クライアント端末からユーザ情報をサーバに送信したのち認証処理が行われる方式が知られている(特許文献1参照)。ここでは、認証されていないネットワーク機器は、ネットワークを経由して他のネットワーク機器にアクセスすることができず、また他のネットワーク機器からのアクセスもできない。
【0003】
イーサネットスイッチにおけるMACアドレス認証システムは主として2種類ある。一つはWebブラウザなどを用いユーザ名を入力させる等のユーザ介入を契機として認証対象端末のMACアドレスを取得し認証する方式であり、もう一つは認証対象端末が自立的に送信するパケットをモニタし、パケット中のMACアドレスを取得し認証するパケット認証方式である。
【特許文献1】特開平10−336345公報
【発明の開示】
【発明が解決しようとする課題】
【0004】
前記いずれの方式でもユーザ介入による契機、あるいは端末が自立的にパケット送信を行う等、認証対象端末側で認証契機を発生させる必要がある。しかし、端末が前記認証契機を発生しないネットワーク機器である場合は認証契機が存在しないため、ネットワーク上で認証されることがない。
【0005】
このようなネットワーク機器は、現状では認証されることなくネットワークに接続されることになる。このような機器としては出力専用ネットワークプリンタがある。このような場合には、たとえ前記ネットワークプリンタがセキュリティ機能を持つプリンタであっても認証されていない。このため、セキュリティ機能を持たないネットワークプリンタに接続変更されるとセキュリティ面で問題が発生することがある。
【0006】
本発明はこれらの問題点に鑑みてなされたもので、自立的にパケット送信を行わない端末であっても認証することのできる自動認証システムを提供するものである。
【課題を解決するための手段】
【0007】
本発明は上記課題を解決するため、次のような手段を採用した。
【0008】
認証サーバ、ファイルサーバおよび複数の端末、並びに前記認証サーバ、ファイルサーバおよび複数の端末を接続する入出力端子を備えたイーサネットスイッチを備え、前記認証サーバ、ファイルサーバおよび複数の端末の接続を切り換えて複数のVLAN(Virtual LAN)を形成するイーサネットスイッチにおけるMAC(Media Access Control)アドレス自動認証システムにおいて、端末のIPアドレスおよびMACアドレス毎に端末の認証状態および端末の属するVLANの情報を格納した認証状態管理テーブル、該テーブルを参照して未認証の端末のアドレスに対してARPリクエストを送信し、ARPリクエストに対するリプライの有無を検出する認証制御部を備え、前記リプライの有りを検出したとき、検出したリプライに含まれるMACアドレスにしたがって、前記認証状態管理テーブルの端末認証状態を「認証済み」に変更して、前記端末を前記VLANの情報にしたがって所定のVLANに収容する。
【発明の効果】
【0009】
本発明は、以上の構成を備えるため、自立的にパケット送信を行わない端末であっても認証することができる。
【発明を実施するための最良の形態】
【0010】
以下、最良の実施形態を添付図面を参照しながら説明する。図1、2、3は、本実施形態にかかる認証システムを説明する図であり、図1は認証前の状態、図2は認証時の状態、図3は認証後の状態を示す図である。
【0011】
このシステムは、認証を管理するイーサネットスイッチSW1、SW1に接続する端末T1、プリンタ端末P1、認証用DB(RADIUS(Remote Authentication Dial In User Service)等がある)を有するサーバ(認証用サーバと略す)S1、ファイルサーバS2を備える。
【0012】
認証前の端末T1は、未認証VLAN(V1001)に収容する。ネットワークへの接続は認証された端末のみであるため、この時点で端末T1はファイルサーバS2にアクセスできない。
【0013】
プリンタは、不正出力防止等のためセキュリティ機能を有するプリンタのみネットワークに接続可能としている。未認証のプリンタ端末P1は端末T1と異なる未認証VLAN(V1002)に収容する。プリンタ端末P1は端末T1からアクセスできないため、プリンタ端末P1からの不正出力を防止できる。認証用サーバS1は、認証時のみ使用するため認証サーバVLAN(V1010)に収容する。このため認証用サーバS1は端末T1、ファイルサーバS2及びプリンタ端末P1からはアクセスできない。ファイルサーバS2は、運用VLAN(V1020)に収容する。
【0014】
図2は認証時状態を示す図である。本実施形態においては、イーサネットスイッチSW1は一定周期で図6に示すARP(Address Resolve Protocol)リクエストA300を送信する機能を備えている。プリンタ端末P1はARPリクエストA300を受信し、受信したプリンタ端末P1はARPレスポンスを返信する。
【0015】
イーサネットスイッチSW1は返信されたARPレスポンスに格納されているプリンタ端末P1のMACアドレスを、認証制御部103および認証DBアクセス制御部102を介して認証サーバS1へ問い合せて認証を実施する。なお、その詳細は後述する。
【0016】
なお、端末T1にユーザが存在するときは、端末T1はユーザの介入を契機にファイルサーバS2にパケットを送信する。イーサネットスイッチSW1は端末T1からのパケットを監視し、パケット内のMACアドレスを用いて認証用サーバS1または内蔵されたDBへ認証の可否の問い合わせを行い、認証処理を実施する。
【0017】
端末T1にユーザの介入がない場合においても、端末T1がARPリクエストA300を受信し、ARPレスポンスで応答する。このため、返信されたARPレスポンスに格納されている端末T1のMACアドレスを、認証制御部103および認証DBアクセス制御部102経由で認証サーバS1を問合せすることで認証処理が実施できる。
【0018】
図3は、認証後の状態を示す図である。
【0019】
認証サーバの認証により、イーサネットスイッチSW1は端末T1およびプリンタ端末P1を認証する。これによって、端末T1およびプリンタ端末P1はファイルサーバS2と同じ運用VLAN(V1020)に属するようなVLANが構成される。構成された新しいVLAN状態をイーサネットスイッチSW1のハードウェアに指示することで、端末T1とプリンタP1、ファイルサーバS2間の相互アクセスが可能になる。
【0020】
このため、認証済みの端末T1およびプリンタ端末P1のみを運用VLAN(V1020)に接続することができる。この例の場合、ファイルサーバS2にアクセスできる未認証の端末が運用VLAN(V1020)に接続されないため、セキュリティを維持することができる。
【0021】
図4は、イーサネットスイッチSW1の詳細を説明する図である。イーサネットスイッチSW1は、パラメータ制御部101、認証DBアクセス制御部102、認証制御部103、ネットワーク管理制御部104、リクエスト送信処理部105、リプライ受信待ち処理部106、認証用DB201を備える。認証用サーバS1は通常のPCと同様に制御部、記憶部、通信部、メモリなどを備える。認証用サーバS1の記憶部には認証用DB200を設ける。
【0022】
パラメータ制御部101は、イーサネットスイッチSW1が動作するため必要な各種パラメータを取得し内部テーブルに保存する。また内部テーブルには、認証すべき端末のIPアドレス範囲を決定するための検索開始端末IPアドレス値、検索完了端末IPアドレス値を保存する。またイーサネットスイッチSW1は、認証するIPアドレス範囲を取得する際に各種パラメータをテーブルT100から取り出す。
【0023】
認証DBアクセス制御部102は、認証制御部103が認証用サーバS1内蔵の認証用DB200あるいはイーサネットスイッチSW1内蔵の認証用DB201にアクセスすることを可能にする。なお、認証DBアクセス制御部102は前記パラメータの状態により問い合わせるDBをDB200あるいはDB201に切り替えることもできる。
【0024】
認証制御部103は、イーサネットスイッチSW1の認証機能全般を制御する。例えば認証の開始、認証成功後の処理、認証DBへのユーザ名、パスワードの照合依頼、ネットワークヘの送信依頼等を制御する。
【0025】
ネットワーク管理制御部104は、認証制御部103からの送信指示に従って、送信データを作成しリクエスト送信処理部105へ通知する。またリプライ受信待ち処理部106から受信したデータを解析し必要なデータの情報を認証制御部103へ通知する。
【0026】
リクエスト送信処理部105は、ネットワーク管理制御部104からの指示に従ってARPリクエストA300をネットワークヘ送り出す。
【0027】
リプライ受信待ち処理部106は、ネットワークからのARPレスポンスを受信する機能であり、ARPリクエストA300送信後、一定時間、受信データの到着を待つ。
【0028】
認証用サーバS1内蔵の認証用DB200は、MACアドレス認証に使用するユーザ名、パスワードおよび認証に必要な各情報を格納している。
【0029】
イーサネットスイッチSW1内蔵の認証用DB201は、認証用サーバS1内蔵の認証用DB200と同様の情報を有するDBである。
【0030】
図5は、イーサネットスイッチSW1が動作をするための各種のパラメータを保存するテーブルT100を示す図である。このテーブルは認証制御部103に備える。
【0031】
各種パラメータテーブルT100は、認証対象端末を限定するのに必要な各種のパラメータを格納したテーブルであり、検索開始端末IPアドレスT101、検索完了端末IPアドレスT102、端末検索間隔T103を備える。
【0032】
検索開始端末IPアドレスT101は、検索対象が複数ある場合、検索対象IPアドレス範囲の最初のアドレスとなる。このIPアドレス以降のIPアドレスがARPリクエストA300の送信対象となる。検索完了端末IPアドレスT102は、検索対象が複数ある場合の検索対象IPアドレス範囲の最後のアドレスとなる。検索開始端末IPアドレスT101からこのIPアドレスまでの範囲がARPリクエストA300の送信対象となる。 端末検索間隔T103は、検索して発見できなかった端末を再度認証対象とするために、ARPリクエストA300を送信する間隔を指定するパラメータである。
【0033】
図6は、認証パケット(ARPリクエスト)のフォーマットを示す図である。認証パケット(ARPリクエスト)A300は、イーサネットネットヘッダA301、ARPフレームデータA302を備える。イーサネットヘッダA301は、イーサネットパケットで必要とする情報を格納したヘッダ部分である。ARPフレームデータA302は、イーサネットパケットのリクエストデータ部分である。
【0034】
ARPフレームデータA302に認証したい端末のIPアドレスを入れてブロードキャスト送信すると、同じIPアドレスを持つ端末は、ARPリプライを返信する。返信されたARPリプライには返信した端末のMACアドレスが記載されているので、このMACアドレスを元にイーサネットスイッチSW1は前記端末を認証することができる。
【0035】
図7は、認証の状態を管理する認証管理テーブルを示す図である。認証管理テーブルT200は認証制御部103で管理する。認証管理テーブルT200には、認証完了した端末IPアドレスT201、端末MACアドレスT202、端末認証状態T203、端末が認証成功後に属することになるVLAN番号T204の情報が記録される。
【0036】
ここで、端末IPアドレスT201は、認証対象端末T1またはプリンタ端末P1のIPアドレスである。端末MACアドレスT202は、認証対象端末T1またはプリンタ端末P1のMACアドレスである。端末認証状態T203は、認証対象端末T1またはプリンタ端末P1の認証状態である。また、端末が属するVLAN情報T204は、認証対象端末T1またはプリンタ端末P1が認証成功した後に属することとなる運用VLANの番号情報である。
【0037】
認証管理テーブルT200に端末IPアドレスT201、端末MACアドレスT202、端末認証状態T203、端末が認証成功後に属するVLAN番号T204の情報を一括して記録し管理することにより、認証完了状態の端末に対して、ARPリクエストA300を再度送信しないための制御に使用できる。
【0038】
図8は、イーサネットスイッチによるMACアドレス認証処理を説明する図である。
【0039】
まず、ステップS1001において、認証する端末を特定するためのパラメータテーブル(図5)を取得する。
【0040】
ステップS102において、取得した前記パラメータテーブル(図5)から、認証対象端末のIPアドレスを確定する。ここでは、検索開始端末IPアドレスT101と検索完了端末IPアドレスT102の間のIPアドレスを認証対象とする。認証対象を限定することで、認証対象外の端末IPアドレスに対するARPリクエストA300の送信を抑止できる。
【0041】
ステップS103において、認証対象端末に関する情報を図7の認証管理テーブルT200から取得する。なお、イーサネットスイッチSW1が認証対象とする端末のIPアドレスは、全てこの認証管理テーブルT200に格納されている。
【0042】
ステップS1004において、取得した認証管理テーブルT200の端末認証状態T203を参照し、その端末が未認証状態か否かを判定する。未認証状態の場合、さらに図5の各種パラメータテーブルT100の検索開始端末IPアドレスと検索終了端末IPアドレスの範囲にあるか否かを判定する。
【0043】
ここで、端末が未認証状態で、かつ検索開始端末IPアドレスと検索終了端末IPアドレスの範囲にある場合はステップS1005に進み、そうでない場合は次の端末処理のためのステップS1011に進む。
【0044】
ステップS1005において、リクエスト送信処理部105は、認証処理対象端末のIPアドレスに対してのARPリクエストA300を送信する。
【0045】
ARPリクエストA300はイーサネットヘッダA301とARPフレームデータA302で構成され、ARPフレームデータA302には、認証処理対象端末のIPアドレスT201(図7)のIPアドレスを使用する。
【0046】
ここでは、送信されたARPリクエストA300の受信先IPアドレスと同じIPアドレスを持つ認証処理対象端末が受信した場合、その端末がARPリプライを返信することを期待している。返信されてくるARPリプライの中には、ARPリプライを返送した端末自身のIPアドレスとMACアドレスが含まれている。
【0047】
ステップS1006において、所定時間、認証処理対象端末から返送されたARPリプライを待つ。
【0048】
ステップS1007において、ARPリプライを受信したか否かを判定する。
【0049】
一定時間経過してもリプライがない場合、当該端末は非動作と認識し認証処理は行わない。ARPリクエストA300の送信から所定時間内にパケットを受信した場合、受信したパケットデータのプロトコルのタイプ情報を取り出し、取り出したプロトコルのタイプ情報を元に、認証対象端末のARPリプライパケットか否かを判断する。認証対象端末のARPリプライパケットではない場合、そのパケットを破棄し、次の端末処理のためのステップS1011に進む。認証対象端末のARPリプライパケットの場合、ステップS1008に進む。
【0050】
ステップS1008において、受信したARPリプライを用いて認証を実施する。認証に際しては、受信したARPリプライのデータからARPリプライを返送した端末のMACアドレスを取り出す。認証DBアクセス制御部102は、受信したAPRリプライに格納されているMACアドレスを元に、認証用サーバS1に内蔵された認証用DB200あるいはイーサネットスイッチSW1に内蔵された認証用DB201に認証の可否を問合せる。いずれのDBに問い合わせした場合でも、DBは認証を許可する条件の場合、認証許可を認証DBアクセス制御部102へ返信する。認証を許可しない条件の場合、認証拒否を認証DBアクセス制御部102に返信する。
【0051】
ステップS1009において、認証制御部103は、認証DBアクセス制御部102に返信された認証許可/認証拒否結果にしたがって認証の可否を判定する。ここで判定結果が認証許可であれば認証成功後のステップS1010へ進む。認証拒否であれば、次の端末処理のためのステップS1011に進む。
【0052】
このように認証されなかった端末は、ネットワークに接続することができない。このことは端末がセキュリティ機能を持たないプリンタであっても同様である。このことにより、ネットワークのセキュリティを維持することができる。
【0053】
ステップS1010において、認証管理テーブルT200の端末認証状態を「認証済」にし、運用VLAN(V1020)のVLAN番号の値を属するVLAN情報T204に設定する。設定されたVLAN番号の値を最後にハードウェアに指示することで、同じVIANに属する端末が通信できるようになる。
【0054】
この結果、端末T1、プリンタ端末P1はファイルサーバS2と同じ運用VLANに属することになり互いに通信可能となる。このようにして、許可された端末、プリンタのみが通信可能となるため、ネットワークのセキュリティを維持することができる。
【0055】
また、認証制御部103が認証許可したMACアドレスを認証管理テーブルT200に反映しておくことにより、認証済み端末として、次回からARPリクエストを送信しないようにすることが可能である。
【0056】
ステップS1011において、次の未認証端末に対して認証開始の時間待ちを行う。すなわち、一つの端末のIPアドレスの認証処理を完了した後、各種パラメータテーブルT100に示した検索間隔の間は次の認証処理を行わない。これによりイーサネットスイッチSW1の負荷を低減することができる。
【0057】
以上説明したように、本実施形態によれば、自立的にパケット送信を行わない端末であってもイーサネットスイッチで認証可能とすることができる。その際、認証する端末には特別なプロトコルを必要としない。また、ユーザの介入を必要としない。その結果ネットワーク全体のセキュリティを高めることができる。また、セキュリティ機能を持つネットワーク機器がセキュリティ機能持たないネットワーク機器に変更された場合、変更されたネットワーク機器の認証を行うことができるため、セキュリティを維持することができる。
【0058】
このように、自立的にパケットを送信しないネットワーク機器であっても認証処理を行うことができるため、認証許可されたネットワーク機器のみがネットワークヘの接続を許可されることになり、ネットワークのセキュリティを向上することができる。
【図面の簡単な説明】
【0059】
【図1】実施形態にかかる認証システム(認証前の状態)を説明する図である。
【図2】実施形態にかかる認証システム(認証時の状態)を説明する図である。
【図3】実施形態にかかる認証システム(認証後の状態)を説明する図である。
【図4】イーサネットスイッチSW1の詳細を説明する図である。
【図5】各種のパラメータを保存するテーブルを示す図である。
【図6】認証パケット(ARPリクエスト)のフォーマットを示す図である。
【図7】認証の状態を管理する認証管理テーブルを示す図である。
【図8】イーサネットスイッチによるMACアドレス認証処理を説明する図である。
【符号の説明】
【0060】
SW1 イーサネットスイッチ
T1 端末
P1 プリンタ端末
S1 認証用DBを有する認証用サーバ
S2 ファイルサーバ
V1001 端末Tlが収容されている未認証VLAN
V1002 プリンタ端末P1が収容されている未認証VLAN
V1010 認証用サーバS1が収容されている認証サーバVLAN
V1020 ファイルサーバS2が収容されている運用VLAN
101 パラメータ制御部
102 認証DBアクセス制御部
103 認証制御部
104 ネットワーク管理制御部
105 リクエスト送信処理部
106 リプライ受信待ち処理部
200 認証用サーバS1に内蔵する認証用DB
201 イーサネットスイッチSWlに内蔵する認証用DB
A300 認証用ARPリクエストのパケットデータ構造
A301 イーサネットヘッダ部分
A302 リクエストデータ部分
【技術分野】
【0001】
本発明は、MACアドレス自動認証システムにかかり、特に、要求パケットに対する応答パケットを契機にしてイーサネット(登録商標)スイッチがMACアドレスによる認証を行う自動認証システムネットワークに関する。
【背景技術】
【0002】
クライアントに対する端末認証方式として、クライアント端末からログイン等の認証を必要とする要求があった場合に、クライアント端末からユーザ情報をサーバに送信したのち認証処理が行われる方式が知られている(特許文献1参照)。ここでは、認証されていないネットワーク機器は、ネットワークを経由して他のネットワーク機器にアクセスすることができず、また他のネットワーク機器からのアクセスもできない。
【0003】
イーサネットスイッチにおけるMACアドレス認証システムは主として2種類ある。一つはWebブラウザなどを用いユーザ名を入力させる等のユーザ介入を契機として認証対象端末のMACアドレスを取得し認証する方式であり、もう一つは認証対象端末が自立的に送信するパケットをモニタし、パケット中のMACアドレスを取得し認証するパケット認証方式である。
【特許文献1】特開平10−336345公報
【発明の開示】
【発明が解決しようとする課題】
【0004】
前記いずれの方式でもユーザ介入による契機、あるいは端末が自立的にパケット送信を行う等、認証対象端末側で認証契機を発生させる必要がある。しかし、端末が前記認証契機を発生しないネットワーク機器である場合は認証契機が存在しないため、ネットワーク上で認証されることがない。
【0005】
このようなネットワーク機器は、現状では認証されることなくネットワークに接続されることになる。このような機器としては出力専用ネットワークプリンタがある。このような場合には、たとえ前記ネットワークプリンタがセキュリティ機能を持つプリンタであっても認証されていない。このため、セキュリティ機能を持たないネットワークプリンタに接続変更されるとセキュリティ面で問題が発生することがある。
【0006】
本発明はこれらの問題点に鑑みてなされたもので、自立的にパケット送信を行わない端末であっても認証することのできる自動認証システムを提供するものである。
【課題を解決するための手段】
【0007】
本発明は上記課題を解決するため、次のような手段を採用した。
【0008】
認証サーバ、ファイルサーバおよび複数の端末、並びに前記認証サーバ、ファイルサーバおよび複数の端末を接続する入出力端子を備えたイーサネットスイッチを備え、前記認証サーバ、ファイルサーバおよび複数の端末の接続を切り換えて複数のVLAN(Virtual LAN)を形成するイーサネットスイッチにおけるMAC(Media Access Control)アドレス自動認証システムにおいて、端末のIPアドレスおよびMACアドレス毎に端末の認証状態および端末の属するVLANの情報を格納した認証状態管理テーブル、該テーブルを参照して未認証の端末のアドレスに対してARPリクエストを送信し、ARPリクエストに対するリプライの有無を検出する認証制御部を備え、前記リプライの有りを検出したとき、検出したリプライに含まれるMACアドレスにしたがって、前記認証状態管理テーブルの端末認証状態を「認証済み」に変更して、前記端末を前記VLANの情報にしたがって所定のVLANに収容する。
【発明の効果】
【0009】
本発明は、以上の構成を備えるため、自立的にパケット送信を行わない端末であっても認証することができる。
【発明を実施するための最良の形態】
【0010】
以下、最良の実施形態を添付図面を参照しながら説明する。図1、2、3は、本実施形態にかかる認証システムを説明する図であり、図1は認証前の状態、図2は認証時の状態、図3は認証後の状態を示す図である。
【0011】
このシステムは、認証を管理するイーサネットスイッチSW1、SW1に接続する端末T1、プリンタ端末P1、認証用DB(RADIUS(Remote Authentication Dial In User Service)等がある)を有するサーバ(認証用サーバと略す)S1、ファイルサーバS2を備える。
【0012】
認証前の端末T1は、未認証VLAN(V1001)に収容する。ネットワークへの接続は認証された端末のみであるため、この時点で端末T1はファイルサーバS2にアクセスできない。
【0013】
プリンタは、不正出力防止等のためセキュリティ機能を有するプリンタのみネットワークに接続可能としている。未認証のプリンタ端末P1は端末T1と異なる未認証VLAN(V1002)に収容する。プリンタ端末P1は端末T1からアクセスできないため、プリンタ端末P1からの不正出力を防止できる。認証用サーバS1は、認証時のみ使用するため認証サーバVLAN(V1010)に収容する。このため認証用サーバS1は端末T1、ファイルサーバS2及びプリンタ端末P1からはアクセスできない。ファイルサーバS2は、運用VLAN(V1020)に収容する。
【0014】
図2は認証時状態を示す図である。本実施形態においては、イーサネットスイッチSW1は一定周期で図6に示すARP(Address Resolve Protocol)リクエストA300を送信する機能を備えている。プリンタ端末P1はARPリクエストA300を受信し、受信したプリンタ端末P1はARPレスポンスを返信する。
【0015】
イーサネットスイッチSW1は返信されたARPレスポンスに格納されているプリンタ端末P1のMACアドレスを、認証制御部103および認証DBアクセス制御部102を介して認証サーバS1へ問い合せて認証を実施する。なお、その詳細は後述する。
【0016】
なお、端末T1にユーザが存在するときは、端末T1はユーザの介入を契機にファイルサーバS2にパケットを送信する。イーサネットスイッチSW1は端末T1からのパケットを監視し、パケット内のMACアドレスを用いて認証用サーバS1または内蔵されたDBへ認証の可否の問い合わせを行い、認証処理を実施する。
【0017】
端末T1にユーザの介入がない場合においても、端末T1がARPリクエストA300を受信し、ARPレスポンスで応答する。このため、返信されたARPレスポンスに格納されている端末T1のMACアドレスを、認証制御部103および認証DBアクセス制御部102経由で認証サーバS1を問合せすることで認証処理が実施できる。
【0018】
図3は、認証後の状態を示す図である。
【0019】
認証サーバの認証により、イーサネットスイッチSW1は端末T1およびプリンタ端末P1を認証する。これによって、端末T1およびプリンタ端末P1はファイルサーバS2と同じ運用VLAN(V1020)に属するようなVLANが構成される。構成された新しいVLAN状態をイーサネットスイッチSW1のハードウェアに指示することで、端末T1とプリンタP1、ファイルサーバS2間の相互アクセスが可能になる。
【0020】
このため、認証済みの端末T1およびプリンタ端末P1のみを運用VLAN(V1020)に接続することができる。この例の場合、ファイルサーバS2にアクセスできる未認証の端末が運用VLAN(V1020)に接続されないため、セキュリティを維持することができる。
【0021】
図4は、イーサネットスイッチSW1の詳細を説明する図である。イーサネットスイッチSW1は、パラメータ制御部101、認証DBアクセス制御部102、認証制御部103、ネットワーク管理制御部104、リクエスト送信処理部105、リプライ受信待ち処理部106、認証用DB201を備える。認証用サーバS1は通常のPCと同様に制御部、記憶部、通信部、メモリなどを備える。認証用サーバS1の記憶部には認証用DB200を設ける。
【0022】
パラメータ制御部101は、イーサネットスイッチSW1が動作するため必要な各種パラメータを取得し内部テーブルに保存する。また内部テーブルには、認証すべき端末のIPアドレス範囲を決定するための検索開始端末IPアドレス値、検索完了端末IPアドレス値を保存する。またイーサネットスイッチSW1は、認証するIPアドレス範囲を取得する際に各種パラメータをテーブルT100から取り出す。
【0023】
認証DBアクセス制御部102は、認証制御部103が認証用サーバS1内蔵の認証用DB200あるいはイーサネットスイッチSW1内蔵の認証用DB201にアクセスすることを可能にする。なお、認証DBアクセス制御部102は前記パラメータの状態により問い合わせるDBをDB200あるいはDB201に切り替えることもできる。
【0024】
認証制御部103は、イーサネットスイッチSW1の認証機能全般を制御する。例えば認証の開始、認証成功後の処理、認証DBへのユーザ名、パスワードの照合依頼、ネットワークヘの送信依頼等を制御する。
【0025】
ネットワーク管理制御部104は、認証制御部103からの送信指示に従って、送信データを作成しリクエスト送信処理部105へ通知する。またリプライ受信待ち処理部106から受信したデータを解析し必要なデータの情報を認証制御部103へ通知する。
【0026】
リクエスト送信処理部105は、ネットワーク管理制御部104からの指示に従ってARPリクエストA300をネットワークヘ送り出す。
【0027】
リプライ受信待ち処理部106は、ネットワークからのARPレスポンスを受信する機能であり、ARPリクエストA300送信後、一定時間、受信データの到着を待つ。
【0028】
認証用サーバS1内蔵の認証用DB200は、MACアドレス認証に使用するユーザ名、パスワードおよび認証に必要な各情報を格納している。
【0029】
イーサネットスイッチSW1内蔵の認証用DB201は、認証用サーバS1内蔵の認証用DB200と同様の情報を有するDBである。
【0030】
図5は、イーサネットスイッチSW1が動作をするための各種のパラメータを保存するテーブルT100を示す図である。このテーブルは認証制御部103に備える。
【0031】
各種パラメータテーブルT100は、認証対象端末を限定するのに必要な各種のパラメータを格納したテーブルであり、検索開始端末IPアドレスT101、検索完了端末IPアドレスT102、端末検索間隔T103を備える。
【0032】
検索開始端末IPアドレスT101は、検索対象が複数ある場合、検索対象IPアドレス範囲の最初のアドレスとなる。このIPアドレス以降のIPアドレスがARPリクエストA300の送信対象となる。検索完了端末IPアドレスT102は、検索対象が複数ある場合の検索対象IPアドレス範囲の最後のアドレスとなる。検索開始端末IPアドレスT101からこのIPアドレスまでの範囲がARPリクエストA300の送信対象となる。 端末検索間隔T103は、検索して発見できなかった端末を再度認証対象とするために、ARPリクエストA300を送信する間隔を指定するパラメータである。
【0033】
図6は、認証パケット(ARPリクエスト)のフォーマットを示す図である。認証パケット(ARPリクエスト)A300は、イーサネットネットヘッダA301、ARPフレームデータA302を備える。イーサネットヘッダA301は、イーサネットパケットで必要とする情報を格納したヘッダ部分である。ARPフレームデータA302は、イーサネットパケットのリクエストデータ部分である。
【0034】
ARPフレームデータA302に認証したい端末のIPアドレスを入れてブロードキャスト送信すると、同じIPアドレスを持つ端末は、ARPリプライを返信する。返信されたARPリプライには返信した端末のMACアドレスが記載されているので、このMACアドレスを元にイーサネットスイッチSW1は前記端末を認証することができる。
【0035】
図7は、認証の状態を管理する認証管理テーブルを示す図である。認証管理テーブルT200は認証制御部103で管理する。認証管理テーブルT200には、認証完了した端末IPアドレスT201、端末MACアドレスT202、端末認証状態T203、端末が認証成功後に属することになるVLAN番号T204の情報が記録される。
【0036】
ここで、端末IPアドレスT201は、認証対象端末T1またはプリンタ端末P1のIPアドレスである。端末MACアドレスT202は、認証対象端末T1またはプリンタ端末P1のMACアドレスである。端末認証状態T203は、認証対象端末T1またはプリンタ端末P1の認証状態である。また、端末が属するVLAN情報T204は、認証対象端末T1またはプリンタ端末P1が認証成功した後に属することとなる運用VLANの番号情報である。
【0037】
認証管理テーブルT200に端末IPアドレスT201、端末MACアドレスT202、端末認証状態T203、端末が認証成功後に属するVLAN番号T204の情報を一括して記録し管理することにより、認証完了状態の端末に対して、ARPリクエストA300を再度送信しないための制御に使用できる。
【0038】
図8は、イーサネットスイッチによるMACアドレス認証処理を説明する図である。
【0039】
まず、ステップS1001において、認証する端末を特定するためのパラメータテーブル(図5)を取得する。
【0040】
ステップS102において、取得した前記パラメータテーブル(図5)から、認証対象端末のIPアドレスを確定する。ここでは、検索開始端末IPアドレスT101と検索完了端末IPアドレスT102の間のIPアドレスを認証対象とする。認証対象を限定することで、認証対象外の端末IPアドレスに対するARPリクエストA300の送信を抑止できる。
【0041】
ステップS103において、認証対象端末に関する情報を図7の認証管理テーブルT200から取得する。なお、イーサネットスイッチSW1が認証対象とする端末のIPアドレスは、全てこの認証管理テーブルT200に格納されている。
【0042】
ステップS1004において、取得した認証管理テーブルT200の端末認証状態T203を参照し、その端末が未認証状態か否かを判定する。未認証状態の場合、さらに図5の各種パラメータテーブルT100の検索開始端末IPアドレスと検索終了端末IPアドレスの範囲にあるか否かを判定する。
【0043】
ここで、端末が未認証状態で、かつ検索開始端末IPアドレスと検索終了端末IPアドレスの範囲にある場合はステップS1005に進み、そうでない場合は次の端末処理のためのステップS1011に進む。
【0044】
ステップS1005において、リクエスト送信処理部105は、認証処理対象端末のIPアドレスに対してのARPリクエストA300を送信する。
【0045】
ARPリクエストA300はイーサネットヘッダA301とARPフレームデータA302で構成され、ARPフレームデータA302には、認証処理対象端末のIPアドレスT201(図7)のIPアドレスを使用する。
【0046】
ここでは、送信されたARPリクエストA300の受信先IPアドレスと同じIPアドレスを持つ認証処理対象端末が受信した場合、その端末がARPリプライを返信することを期待している。返信されてくるARPリプライの中には、ARPリプライを返送した端末自身のIPアドレスとMACアドレスが含まれている。
【0047】
ステップS1006において、所定時間、認証処理対象端末から返送されたARPリプライを待つ。
【0048】
ステップS1007において、ARPリプライを受信したか否かを判定する。
【0049】
一定時間経過してもリプライがない場合、当該端末は非動作と認識し認証処理は行わない。ARPリクエストA300の送信から所定時間内にパケットを受信した場合、受信したパケットデータのプロトコルのタイプ情報を取り出し、取り出したプロトコルのタイプ情報を元に、認証対象端末のARPリプライパケットか否かを判断する。認証対象端末のARPリプライパケットではない場合、そのパケットを破棄し、次の端末処理のためのステップS1011に進む。認証対象端末のARPリプライパケットの場合、ステップS1008に進む。
【0050】
ステップS1008において、受信したARPリプライを用いて認証を実施する。認証に際しては、受信したARPリプライのデータからARPリプライを返送した端末のMACアドレスを取り出す。認証DBアクセス制御部102は、受信したAPRリプライに格納されているMACアドレスを元に、認証用サーバS1に内蔵された認証用DB200あるいはイーサネットスイッチSW1に内蔵された認証用DB201に認証の可否を問合せる。いずれのDBに問い合わせした場合でも、DBは認証を許可する条件の場合、認証許可を認証DBアクセス制御部102へ返信する。認証を許可しない条件の場合、認証拒否を認証DBアクセス制御部102に返信する。
【0051】
ステップS1009において、認証制御部103は、認証DBアクセス制御部102に返信された認証許可/認証拒否結果にしたがって認証の可否を判定する。ここで判定結果が認証許可であれば認証成功後のステップS1010へ進む。認証拒否であれば、次の端末処理のためのステップS1011に進む。
【0052】
このように認証されなかった端末は、ネットワークに接続することができない。このことは端末がセキュリティ機能を持たないプリンタであっても同様である。このことにより、ネットワークのセキュリティを維持することができる。
【0053】
ステップS1010において、認証管理テーブルT200の端末認証状態を「認証済」にし、運用VLAN(V1020)のVLAN番号の値を属するVLAN情報T204に設定する。設定されたVLAN番号の値を最後にハードウェアに指示することで、同じVIANに属する端末が通信できるようになる。
【0054】
この結果、端末T1、プリンタ端末P1はファイルサーバS2と同じ運用VLANに属することになり互いに通信可能となる。このようにして、許可された端末、プリンタのみが通信可能となるため、ネットワークのセキュリティを維持することができる。
【0055】
また、認証制御部103が認証許可したMACアドレスを認証管理テーブルT200に反映しておくことにより、認証済み端末として、次回からARPリクエストを送信しないようにすることが可能である。
【0056】
ステップS1011において、次の未認証端末に対して認証開始の時間待ちを行う。すなわち、一つの端末のIPアドレスの認証処理を完了した後、各種パラメータテーブルT100に示した検索間隔の間は次の認証処理を行わない。これによりイーサネットスイッチSW1の負荷を低減することができる。
【0057】
以上説明したように、本実施形態によれば、自立的にパケット送信を行わない端末であってもイーサネットスイッチで認証可能とすることができる。その際、認証する端末には特別なプロトコルを必要としない。また、ユーザの介入を必要としない。その結果ネットワーク全体のセキュリティを高めることができる。また、セキュリティ機能を持つネットワーク機器がセキュリティ機能持たないネットワーク機器に変更された場合、変更されたネットワーク機器の認証を行うことができるため、セキュリティを維持することができる。
【0058】
このように、自立的にパケットを送信しないネットワーク機器であっても認証処理を行うことができるため、認証許可されたネットワーク機器のみがネットワークヘの接続を許可されることになり、ネットワークのセキュリティを向上することができる。
【図面の簡単な説明】
【0059】
【図1】実施形態にかかる認証システム(認証前の状態)を説明する図である。
【図2】実施形態にかかる認証システム(認証時の状態)を説明する図である。
【図3】実施形態にかかる認証システム(認証後の状態)を説明する図である。
【図4】イーサネットスイッチSW1の詳細を説明する図である。
【図5】各種のパラメータを保存するテーブルを示す図である。
【図6】認証パケット(ARPリクエスト)のフォーマットを示す図である。
【図7】認証の状態を管理する認証管理テーブルを示す図である。
【図8】イーサネットスイッチによるMACアドレス認証処理を説明する図である。
【符号の説明】
【0060】
SW1 イーサネットスイッチ
T1 端末
P1 プリンタ端末
S1 認証用DBを有する認証用サーバ
S2 ファイルサーバ
V1001 端末Tlが収容されている未認証VLAN
V1002 プリンタ端末P1が収容されている未認証VLAN
V1010 認証用サーバS1が収容されている認証サーバVLAN
V1020 ファイルサーバS2が収容されている運用VLAN
101 パラメータ制御部
102 認証DBアクセス制御部
103 認証制御部
104 ネットワーク管理制御部
105 リクエスト送信処理部
106 リプライ受信待ち処理部
200 認証用サーバS1に内蔵する認証用DB
201 イーサネットスイッチSWlに内蔵する認証用DB
A300 認証用ARPリクエストのパケットデータ構造
A301 イーサネットヘッダ部分
A302 リクエストデータ部分
【特許請求の範囲】
【請求項1】
認証サーバ、ファイルサーバおよび複数の端末、並びに前記認証サーバ、ファイルサーバおよび複数の端末を接続する入出力端子を備えたイーサネットスイッチを備え、前記認証サーバ、ファイルサーバおよび複数の端末の接続を切り換えて複数のVLAN(Virtual LAN)を形成するイーサネットスイッチにおけるMAC(Media Access Control)アドレス自動認証システムにおいて、
端末のIPアドレスおよびMACアドレス毎に端末の認証状態および端末の属するVLANの情報を格納した認証状態管理テーブル、該テーブルを参照して未認証の端末のアドレスに対してARPリクエストを送信し、ARPリクエストに対するリプライの有無を検出する認証制御部を備え、前記リプライの有りを検出したとき、検出したリプライに含まれるMACアドレスにしたがって、前記認証状態管理テーブルの端末認証状態を「認証済み」に変更して、前記端末を前記VLANの情報にしたがって所定のVLANに収容することを特徴とするイーサネットスイッチにおけるMACアドレス自動認証システム。
【請求項2】
認証サーバ、ファイルサーバおよび複数の端末、並びに前記認証サーバ、ファイルサーバおよび複数の端末を接続する入出力端子を備えたイーサネットスイッチを備え、前記認証サーバ、ファイルサーバおよび複数の端末の接続を切り換えて複数のVLAN(Virtual LAN)を形成するイーサネットスイッチにおけるMAC(Media Access Control)アドレス自動認証装置において、
端末のIPアドレスおよびMACアドレス毎に端末の認証状態および端末の属するVLANの情報を格納した認証状態管理テーブル、および前記テーブルを参照して未認証の端末のアドレスに対してARPリクエストを送信し、ARPリクエストに対するリプライの有無を検出する認証制御部を備え、
前記認証制御部は検出したリプライに含まれるMACアドレスにしたがって、前記認証状態管理テーブルの端末認証状態を「認証済み」に変更するとともに前記端末を前記VLANの情報にしたがった所定のVLANに収容することを特徴とするイーサネットスイッチにおけるMACアドレス自動認証装置。
【請求項1】
認証サーバ、ファイルサーバおよび複数の端末、並びに前記認証サーバ、ファイルサーバおよび複数の端末を接続する入出力端子を備えたイーサネットスイッチを備え、前記認証サーバ、ファイルサーバおよび複数の端末の接続を切り換えて複数のVLAN(Virtual LAN)を形成するイーサネットスイッチにおけるMAC(Media Access Control)アドレス自動認証システムにおいて、
端末のIPアドレスおよびMACアドレス毎に端末の認証状態および端末の属するVLANの情報を格納した認証状態管理テーブル、該テーブルを参照して未認証の端末のアドレスに対してARPリクエストを送信し、ARPリクエストに対するリプライの有無を検出する認証制御部を備え、前記リプライの有りを検出したとき、検出したリプライに含まれるMACアドレスにしたがって、前記認証状態管理テーブルの端末認証状態を「認証済み」に変更して、前記端末を前記VLANの情報にしたがって所定のVLANに収容することを特徴とするイーサネットスイッチにおけるMACアドレス自動認証システム。
【請求項2】
認証サーバ、ファイルサーバおよび複数の端末、並びに前記認証サーバ、ファイルサーバおよび複数の端末を接続する入出力端子を備えたイーサネットスイッチを備え、前記認証サーバ、ファイルサーバおよび複数の端末の接続を切り換えて複数のVLAN(Virtual LAN)を形成するイーサネットスイッチにおけるMAC(Media Access Control)アドレス自動認証装置において、
端末のIPアドレスおよびMACアドレス毎に端末の認証状態および端末の属するVLANの情報を格納した認証状態管理テーブル、および前記テーブルを参照して未認証の端末のアドレスに対してARPリクエストを送信し、ARPリクエストに対するリプライの有無を検出する認証制御部を備え、
前記認証制御部は検出したリプライに含まれるMACアドレスにしたがって、前記認証状態管理テーブルの端末認証状態を「認証済み」に変更するとともに前記端末を前記VLANの情報にしたがった所定のVLANに収容することを特徴とするイーサネットスイッチにおけるMACアドレス自動認証装置。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【公開番号】特開2010−136014(P2010−136014A)
【公開日】平成22年6月17日(2010.6.17)
【国際特許分類】
【出願番号】特願2008−308915(P2008−308915)
【出願日】平成20年12月3日(2008.12.3)
【出願人】(000233295)日立情報通信エンジニアリング株式会社 (195)
【Fターム(参考)】
【公開日】平成22年6月17日(2010.6.17)
【国際特許分類】
【出願日】平成20年12月3日(2008.12.3)
【出願人】(000233295)日立情報通信エンジニアリング株式会社 (195)
【Fターム(参考)】
[ Back to top ]