VLAN認証装置
【課題】 既存のVLANスイッチを備えたネットワークシステムに容易かつ低コストで導入可能なVLAN認証装置を提供すること。
【解決手段】 認証情報の有効性を判定する認証手段とVLAN制御手段とが組み込まれ、認証手段により認証情報が有効と判定された場合に、VLAN制御手段により、当該認証情報に対応するVLANに組み替える操作コマンドをVLANスイッチ20に発行する構成である。従って、VLANスイッチ20自体が、VLANを組み替えるための認証制御プログラムを備えている必要がないため、VLANスイッチのベンダを問わず、接続可能であり汎用性がある。また、VLANスイッチ固有の認証制御プログラムを使用しないため、スタティックVLANスイッチであっても、VLANの動的な組み替えが可能になる。
【解決手段】 認証情報の有効性を判定する認証手段とVLAN制御手段とが組み込まれ、認証手段により認証情報が有効と判定された場合に、VLAN制御手段により、当該認証情報に対応するVLANに組み替える操作コマンドをVLANスイッチ20に発行する構成である。従って、VLANスイッチ20自体が、VLANを組み替えるための認証制御プログラムを備えている必要がないため、VLANスイッチのベンダを問わず、接続可能であり汎用性がある。また、VLANスイッチ固有の認証制御プログラムを使用しないため、スタティックVLANスイッチであっても、VLANの動的な組み替えが可能になる。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、端末装置によるネットワークへのアクセスを制御し、許可されたネットワークのみにアクセス可能とするVLAN認証装置に関する。
【背景技術】
【0002】
特許文献1には、VLAN(Virtual LAN(バーチャルLAN))への、パーソナルコンピュータなどの端末装置(クライアント)からのアクセスを、ユーザ毎に制御する技術が開示されている。具体的には、ユーザ認証サーバとデバイス認証サーバとを備え、これらをVLANスイッチに接続し、端末装置から送信されるユーザ認証情報やデバイス認証情報を認証し、その認証結果に基づいて、所定のVLANへの端末装置の接続を許可するものである。
【特許文献1】特開2002−366522号公報
【発明の開示】
【発明が解決しようとする課題】
【0003】
特許文献1に開示されたVLANスイッチは、VLANの割り当てをユーザ毎に動的に設定するものであり、デバイス認証サーバ、ユーザ認証サーバからの情報を参照し、端末装置から送信されるユーザ認証情報等と照合し、所属先のVLANを決定する認証制御プログラム(例えば、IEEE802.1x対応のプログラム)が設定されている。このため、VLANスイッチを介してアクセスする端末装置は、かかる認証制御プログラムを動作させるため、認証制御プログラムに対応したサプリカント(Supplicant)ソフトウェア(例えば、IEEE802.1x対応サプリカント)がインストールされていなければならない。従って、特許文献1に開示されたもののように、動的にVLANの割り当てを行うVLANスイッチを用いる場合には、VLANスイッチとサプリカントソフトとの間で互換性を備えていなければならず、IEEE802.1x等の有力な標準規格はあるものの、実装上の差異などの理由により実質的にはベンダ固有の仕様で統一されたものを用いる必要がある。また、階層的なネットワークにおいて複数のVLANスイッチを用いる場合には、VLANスイッチ相互間でも仕様の統一が必要となる。
【0004】
すなわち、特許文献1の技術を実現するには、使用する全てのVLANスイッチ及び端末装置に設定するサプリカントソフトとも統一規格の製品を準備する必要があり、実質的には単一のベンダ固有の製品に統一せざるを得ないため、既存のVLANスイッチを備えたネットワークシステムに導入するとすれば、ハードウェアの交換、ソフトウェアのインストールなどの設定作業が繁雑になると共に、導入コストが高くつく。
【0005】
本発明は上記に鑑みなされたものであり、既存のVLANスイッチを備えたネットワークシステムに容易かつ低コストで導入可能なVLAN認証装置を提供することを課題とする。
【課題を解決するための手段】
【0006】
上記課題を解決するため、請求項1記載の発明では、VLANスイッチに接続された端末装置から送信される認証情報を受信し、認証情報の有効性を判定する認証手段と、
前記認証情報が認証手段により有効と判定された場合に、当該認証情報に対応する所属可能なVLANを決定するVLAN設定部を備えたVLAN制御手段とが組み込まれてなり、
前記VLANスイッチに汎用の通信方式を介して接続されて配置され、前記VLAN制御手段から、前記VLAN設定部により決定されたVLANを割り当てる操作コマンドを前記VLANスイッチに発行し、VLANスイッチのVLAN割り当てを前記認証情報に対応して動的に組み替え可能であることを特徴とするVLAN認証装置を提供する。
請求項2記載の発明では、Webサーバを備えると共に、前記認証手段がWebサーバに組み込まれ、端末装置のWebブラウザを用いて前記認証情報を認証可能であることを特徴とする請求項1記載のVLAN認証装置を提供する。
請求項3記載の発明では、前記認証情報がユーザ毎に取得した電子証明書であり、前記認証手段が、証明書発行者、証明書有効期限及び証明書失効情報を参照して有効性を判定する構成であることを特徴とする請求項2記載のVLAN認証装置を提供する。
請求項4記載の発明では、前記VLAN設定部が、前記認証情報に対応する所属可能なVLANを1又は複数選択する構成であること特徴とする請求項1〜3のいずれか1に記載のVLAN認証装置を提供する。
請求項5記載の発明では、前記VLAN設定部により選択されるVLANが複数である場合に、前記Webサーバを介して端末装置に選択可能な複数のVLAN候補を送信し、ユーザにより所望のVLANを1又は複数選択可能としたことを特徴とする請求項4記載のVLAN認証装置を提供する。
請求項6記載の発明では、前記認証手段とVLAN制御手段とがケーシング内に一体に組み込まれたハード・ソフト一体型であることを特徴とする請求項1〜5のいずれか1に記載のVLAN認証装置を提供する。
請求項7記載の発明では、前記VLANスイッチと接続するための汎用の通信方式がTelnetであることを特徴とする請求項1〜6のいずれか1に記載のVLAN認証装置を提供する。
【発明の効果】
【0007】
本発明のVLAN認証装置は、認証情報の有効性を判定する認証手段とVLAN制御手段とが組み込まれ、認証手段により認証情報が有効と判定された場合に、VLAN制御手段により、当該認証情報に対応する所属可能なVLANに組み替える操作コマンドをVLANスイッチに発行する構成である。従って、VLANスイッチ自体が、VLANを組み替えるための認証制御プログラムを備えている必要がないため、本発明のVLAN認証装置はVLANスイッチのベンダを問わず、接続可能であり、汎用性がある。また、VLANスイッチ固有の認証制御プログラムを使用しないため、従来用いられているスタティックVLANスイッチであっても、本発明のVLAN認証装置を接続することにより、VLANの動的な組み替えが可能になる。従って、VLANスイッチを備えた既存のネットワークシステムに容易にかつ低コストで導入して社内ネットワークなどのネットワークシステムのセキュリティを高めることができる。
【0008】
また、Webサーバを備え、認証手段をWebサーバに組み込むことにより、端末装置の汎用のWebブラウザを用いて認証情報を認証することができる。これにより、認証のための特別なプログラム(サプリカントソフトウェア等)を端末装置に設定する必要がなく、VLANスイッチ及び端末装置を含むネットワーク全体のベンダの統一性や相互互換性に拘泥する必要がなくなり、既存のネットワークシステムに、より容易にかつ低コストで導入することができる。また、電子証明書による認証も、証明書失効情報(Certificate Revocation List(CRL))等を参照してより確実に行うことができる。
【0009】
なお、VLAN設定部において認証情報に対応して選択されるVLANは1つに限定されるものではなく、認証情報に対応している限り複数であってもよい。VLANが複数選択される場合には、ユーザが端末装置のWebブラウザを用いて所望のVLANを1又は複数選択可能とすることもできる。
【0010】
また、認証手段とVLAN制御手段とがケーシング内に一体に組み込まれたハード・ソフト一体型(アプライアンス型)とすることにより、より低コストで製作可能であると共に、導入作業がより容易になる。
また、VLANスイッチと接続するための汎用の通信方式は、Telnetを採用すると、汎用性が高いことから便利である。
【発明を実施するための最良の形態】
【0011】
以下、本発明の実施形態を図面に基づいて更に詳しく説明する。図1は、VLAN認証装置がVLANスイッチを介したVLANネットワークに接続された形態を示す概略図であり、図2は、VLAN認証装置の構成を示す概略図であり、図3は、認証前後の状態偏移を示す概略図であり、図4は、端末装置、VLANスイッチ及びVLAN認証装置の動作シーケンスを示す図である。
ここで、VLANとは、企業内ネットワーク(LAN)等において、物理的な接続形態とは独立して端末装置の仮想的なグループを設定したLANのことであり、本発明は、新規なネットワークシステムにおいてはもちろんのこと、既存のVLANスイッチを備えたネットワークシステムにおいても容易かつ低コストで導入可能なVLAN認証装置を提供するものである。
【0012】
図1に示すように、VLANネットワークは、VLAN認証装置10と、VLANスイッチ20と、端末装置30(30a,30b,30c)とを備えて構築されている。VLANスイッチ20は、各種機器と接続可能に設けられた複数のLANポート21を備え、VLAN認証装置10及び端末装置30とLANケーブルを介して接続されている。端末装置30は、例えば、装置本体内にMPU(Micro Processing Unit)やメインメモリ等により構成された演算処理部、演算処理のためのソフトウェアを記憶したハードディスク、及びこれらのデータの入出力部である入出力ポートが備えられたパーソナルコンピュータ等を用いることができる。
【0013】
図2に示すように、本実施形態のVLAN認証装置10は、VLANスイッチ20に接続された端末装置30から送信される認証情報を受信し、認証情報の有効性を判定する認証手段11と、認証手段11により認証情報が有効と判定された場合に、当該認証情報に対応して所属可能なVLANを決定するVLAN設定部12aを備えたVLAN制御手段12とが組み込まれてなる。そして、認証手段11と、VLAN制御手段12と、これらを動作制御させるOSとがモジュール化され、ケーシング内に一体に組み込まれたアプライアンス型となっている。OSは、本実施形態では、Linuxカーネルをコアとして動作するRedHatベースのディストリビューションを採用しているが、これに限定されるものではないことはもちろんである。
【0014】
また、VLAN認証装置10は、VLANスイッチ20に汎用の通信方式を介して接続されて配置され、VLAN制御手段12から、VLAN設定部12aにより決定されたVLANを割り当てるための操作コマンドをVLANスイッチ20に発行する機能を有する。なお、VLAN認証装置10とVLANスイッチ20との通信方式には、例えば、通信方式として標準化されているTelnetを採用することができ、これにより汎用性が高まり、導入がより容易となる。
【0015】
認証手段11は、VLAN認証装置10に設定されるWebサーバ15に設定されている。図2に示すように、本実施形態のWebサーバ15は、Linux等のUNIX(登録商標)系OSやWindows(登録商標)系OSで動作するApache(アパッチ)を採用しており、Apache上のCGIによってHTTPS認証を行う認証手段11としての認証プログラムが起動し、端末装置30の認証処理を行う。具体的には、VLANスイッチ20に接続された端末装置30がWebブラウザを用いて所定のネットワーク(例えば、図1の業務ネットワークA)にアクセスを望む際に、HTTPS認証によって、まず、端末装置30から送信される認証情報の認証を行うものである。HTTPS認証によって認証されると、認証用のCGIによって認証状態を保持するためのプログラムである認証状態保持手段14が起動する。
【0016】
このように、本実施形態では、端末装置30の汎用のWebブラウザを用いて認証情報を認証することができる。このため、認証のための特別なプログラム(サプリカントソフトウェア等)を端末装置30に設定する必要がなく、VLANスイッチ20及び端末装置30を含むネットワーク全体のベンダの統一性等を考慮する必要がなくなり、既存のネットワークシステムに、より容易にかつ低コストで導入することができる。
【0017】
認証情報としては、端末装置30のユーザ毎に発行される電子証明書を用いることが信頼性が高いことから好ましい。電子証明書の情報は、端末装置30のハードディスクに記憶させておくこともできるが、ユーザの保有するICカードに書き込んでおき、ICカードを端末装置30に読み込ませて取得する構成とすることもできる。電子証明書を用いる場合には、図2に示したように、VLAN認証装置10内に、既存ネットワーク等を介して入手した証明書失効情報(CRL)を格納したCRL記憶部13を設ける。これにより、電子証明書の有効性を、かかるCRLを用いて判定することができる。
【0018】
VLAN制御手段12は、上記したように、認証手段11により電子証明書が有効と判定された場合に、当該電子証明書に対応して所属可能なVLANを決定するプログラムであるVLAN設定部12aを備え、VLAN制御手段12から、VLANを設定する操作コマンドをVLANスイッチ20に発行し、VLANスイッチ20のVLAN割り当てを認証情報に対応して組み替える機能を有している。これを図3に示す状態偏移図及び図4の動作シーケンスを参照して説明する。
【0019】
図3は、端末装置30a〜30cの「認証前」の状態と、端末装置30a,30cの「認証後」の状態との状態偏移を示しており、VLANスイッチ20のLANポート21a〜21cに端末装置30a〜30cがそれぞれ接続され、LANポート21dにはVLAN認証装置10が接続されている。また、LANポート21eには、VLAN1に所属する業務ネットワークAが接続されており、LANポート21fには、VLAN2に所属する業務ネットワークBが接続されている。
【0020】
ここで、VLAN1に所属可能に設定された電子証明書を保有する社員S1が端末装置30aを利用して業務ネットワークAにアクセスする場合におけるVLANの状態偏移について説明していく。まず、社員S1は、例えば、業務ネットワークAへのアクセスを希望する際には、WebブラウザにVLAN認証装置10のURLを入力する。URLを入力すると電子証明書の提出が求められるため、社員S1はPIN(Personal Identify Number)を入力し、電子証明書の情報を送信する(図4のS101)。VLAN認証装置10のWebサーバ15に設定された認証手段11によって電子証明書の有効性がチェックされる。すなわち、電子証明書の発行者及び有効期限のチェックがなされると共に、CRL記憶部13に格納されたCRLを参照し、発行者によって当該電子証明書が失効されていないことのチェックがなされる(図4のS102)。それぞれが有効と判定された場合には、VLAN制御手段12のVLAN設定部12aにおいて電子証明書に応じて所属可能なVLANとして、VLAN1を抽出し決定する(図4のS103)。
【0021】
上記のように、VLAN設定部12aにおいてVLAN1が抽出されると、端末装置30aのIPアドレス及び/又はMACアドレスを用いて、端末装置30aのLANポート21aの所属がVLAN1になるように割り当てる操作コマンドを、VLAN設定部12aからVLANスイッチ20に対して発行する(図4のS104)。これにより、図3の「認証後」の状態で示したように、端末装置30aは、VLAN1に所属し、業務ネットワークAにアクセス可能となる。
【0022】
一方、社員S2が端末装置30cを用いて業務ネットワークBにアクセスしようとした場合には、上記と同様の操作により、VLAN認証装置10によって、社員S2の電子証明書が認証された後、VLAN設定部12aからVLANスイッチ20に対して端末装置30cのLANポート21cをVLAN2へ所属させる操作コマンドが発行される。これにより、端末装置30cがVLAN2に所属するように制御され、業務ネットワークBへのアクセスが可能となる。
なお、例えば、電子証明書がICカードに書き込まれている場合、上記の例で、社員S1が端末装置30cに自己のICカードを読み込ませてVLAN認証装置10にアクセスした場合には、端末装置30cが接続されるLANポート21cは、VLAN制御手段12からVLANスイッチ20に対して発行される操作コマンドによりVLAN1に所属されるように組み替えられる。
【0023】
本実施形態では、電子証明書に応じてアクセス可能なVLANを区別しているが、VLANを区別させる手段の一例としては、VLAN設定部12aが、内部又は外部に存在する、電子証明書に対応して所属可能なVLANを決定できる対照表若しくはデータベース様の情報を参照できるような機能をVLAN認証装置10に設けておくことなどが考えられる。このようにすれば、社員であっても許可の無いVLAN内のデータベース等にはアクセス不可能となり、セキュリティ性の向上を図ることができる。
【0024】
なお、VLAN設定部12aにおいて認証情報に対応して決定されるVLANは1つに限定されるものではなく、電子証明書に書き込まれた認証情報に対応している限り複数であってもよい。VLANが複数選択される場合には、Webサーバを介して端末装置に選択可能な複数のVLAN候補を送信し、ユーザが端末装置30のWebブラウザを用いて所望のVLANを1又は複数選択することができるようにすると好ましい。
【0025】
以上のように、本実施形態によれば、VLANスイッチ20自体が、VLANを組み替えるための認証制御プログラムを備えている必要がないため、VLAN認証装置10はVLANスイッチ20のベンダを問わず、接続可能であり、汎用性がある。また、VLANスイッチ20固有の認証制御プログラムを使用しないため、従来用いられているスタティックVLANスイッチであっても、本発明のVLAN認証装置10を接続することにより、VLANの動的な組み替えが可能になる。従って、VLANスイッチ20を備えた既存のネットワークシステムに容易にかつ低コストで導入して社内ネットワークなどのネットワークシステムのセキュリティを高めることができる。
【0026】
また、認証手段11とVLAN制御手段12は、OSと共に、それぞれモジュール化され、VLAN認証装置10のケーシング内に一体に組み込まれたアプライアンス型となっているため、低コストで製作可能であると共に、VLANスイッチに接続するだけでよく、導入作業が容易である。
【0027】
また、VLAN認証装置10は、Ping機能が組み込まれており、相手先の端末装置が稼動中で通信可能か、途中のネットワークで異常がないかなどをIPレベルで定期的に調べ、また、IPアドレスからMACアドレスを取得するarpのチェックも定期的に行っている(図4のS105)。そして、異常が確認されると、VLAN制御手段12のVLAN解除部12bからVLANスイッチ20に対してVLANの解除処理を行う操作コマンドを発行する(図4のS106)。
【0028】
また、VLAN認証装置10は、ソフトウェアアップデート機能を備えていることが好ましい。これにより、インターネット経由でファームウェアのアップデートを行うことができる。
【図面の簡単な説明】
【0029】
【図1】本発明に係るVLAN認証装置がVLANネットワークに接続された形態を示す概略図である。
【図2】VLAN認証装置の構成を示す概略図である。
【図3】認証前後の状態偏移を示す概略図である。
【図4】端末装置、VLANスイッチ及びVLAN認証装置の動作シーケンスを示す図である。
【符号の説明】
【0030】
10 VLAN認証装置
11 認証手段
12 VLAN制御手段
12a VLAN設定部
13 CRL記憶部
15 Webサーバ
20 VLANスイッチ
21(21a,21b,21c,21d,21e,21f) LANポート
30(30a,30b,30c) 端末装置
【技術分野】
【0001】
本発明は、端末装置によるネットワークへのアクセスを制御し、許可されたネットワークのみにアクセス可能とするVLAN認証装置に関する。
【背景技術】
【0002】
特許文献1には、VLAN(Virtual LAN(バーチャルLAN))への、パーソナルコンピュータなどの端末装置(クライアント)からのアクセスを、ユーザ毎に制御する技術が開示されている。具体的には、ユーザ認証サーバとデバイス認証サーバとを備え、これらをVLANスイッチに接続し、端末装置から送信されるユーザ認証情報やデバイス認証情報を認証し、その認証結果に基づいて、所定のVLANへの端末装置の接続を許可するものである。
【特許文献1】特開2002−366522号公報
【発明の開示】
【発明が解決しようとする課題】
【0003】
特許文献1に開示されたVLANスイッチは、VLANの割り当てをユーザ毎に動的に設定するものであり、デバイス認証サーバ、ユーザ認証サーバからの情報を参照し、端末装置から送信されるユーザ認証情報等と照合し、所属先のVLANを決定する認証制御プログラム(例えば、IEEE802.1x対応のプログラム)が設定されている。このため、VLANスイッチを介してアクセスする端末装置は、かかる認証制御プログラムを動作させるため、認証制御プログラムに対応したサプリカント(Supplicant)ソフトウェア(例えば、IEEE802.1x対応サプリカント)がインストールされていなければならない。従って、特許文献1に開示されたもののように、動的にVLANの割り当てを行うVLANスイッチを用いる場合には、VLANスイッチとサプリカントソフトとの間で互換性を備えていなければならず、IEEE802.1x等の有力な標準規格はあるものの、実装上の差異などの理由により実質的にはベンダ固有の仕様で統一されたものを用いる必要がある。また、階層的なネットワークにおいて複数のVLANスイッチを用いる場合には、VLANスイッチ相互間でも仕様の統一が必要となる。
【0004】
すなわち、特許文献1の技術を実現するには、使用する全てのVLANスイッチ及び端末装置に設定するサプリカントソフトとも統一規格の製品を準備する必要があり、実質的には単一のベンダ固有の製品に統一せざるを得ないため、既存のVLANスイッチを備えたネットワークシステムに導入するとすれば、ハードウェアの交換、ソフトウェアのインストールなどの設定作業が繁雑になると共に、導入コストが高くつく。
【0005】
本発明は上記に鑑みなされたものであり、既存のVLANスイッチを備えたネットワークシステムに容易かつ低コストで導入可能なVLAN認証装置を提供することを課題とする。
【課題を解決するための手段】
【0006】
上記課題を解決するため、請求項1記載の発明では、VLANスイッチに接続された端末装置から送信される認証情報を受信し、認証情報の有効性を判定する認証手段と、
前記認証情報が認証手段により有効と判定された場合に、当該認証情報に対応する所属可能なVLANを決定するVLAN設定部を備えたVLAN制御手段とが組み込まれてなり、
前記VLANスイッチに汎用の通信方式を介して接続されて配置され、前記VLAN制御手段から、前記VLAN設定部により決定されたVLANを割り当てる操作コマンドを前記VLANスイッチに発行し、VLANスイッチのVLAN割り当てを前記認証情報に対応して動的に組み替え可能であることを特徴とするVLAN認証装置を提供する。
請求項2記載の発明では、Webサーバを備えると共に、前記認証手段がWebサーバに組み込まれ、端末装置のWebブラウザを用いて前記認証情報を認証可能であることを特徴とする請求項1記載のVLAN認証装置を提供する。
請求項3記載の発明では、前記認証情報がユーザ毎に取得した電子証明書であり、前記認証手段が、証明書発行者、証明書有効期限及び証明書失効情報を参照して有効性を判定する構成であることを特徴とする請求項2記載のVLAN認証装置を提供する。
請求項4記載の発明では、前記VLAN設定部が、前記認証情報に対応する所属可能なVLANを1又は複数選択する構成であること特徴とする請求項1〜3のいずれか1に記載のVLAN認証装置を提供する。
請求項5記載の発明では、前記VLAN設定部により選択されるVLANが複数である場合に、前記Webサーバを介して端末装置に選択可能な複数のVLAN候補を送信し、ユーザにより所望のVLANを1又は複数選択可能としたことを特徴とする請求項4記載のVLAN認証装置を提供する。
請求項6記載の発明では、前記認証手段とVLAN制御手段とがケーシング内に一体に組み込まれたハード・ソフト一体型であることを特徴とする請求項1〜5のいずれか1に記載のVLAN認証装置を提供する。
請求項7記載の発明では、前記VLANスイッチと接続するための汎用の通信方式がTelnetであることを特徴とする請求項1〜6のいずれか1に記載のVLAN認証装置を提供する。
【発明の効果】
【0007】
本発明のVLAN認証装置は、認証情報の有効性を判定する認証手段とVLAN制御手段とが組み込まれ、認証手段により認証情報が有効と判定された場合に、VLAN制御手段により、当該認証情報に対応する所属可能なVLANに組み替える操作コマンドをVLANスイッチに発行する構成である。従って、VLANスイッチ自体が、VLANを組み替えるための認証制御プログラムを備えている必要がないため、本発明のVLAN認証装置はVLANスイッチのベンダを問わず、接続可能であり、汎用性がある。また、VLANスイッチ固有の認証制御プログラムを使用しないため、従来用いられているスタティックVLANスイッチであっても、本発明のVLAN認証装置を接続することにより、VLANの動的な組み替えが可能になる。従って、VLANスイッチを備えた既存のネットワークシステムに容易にかつ低コストで導入して社内ネットワークなどのネットワークシステムのセキュリティを高めることができる。
【0008】
また、Webサーバを備え、認証手段をWebサーバに組み込むことにより、端末装置の汎用のWebブラウザを用いて認証情報を認証することができる。これにより、認証のための特別なプログラム(サプリカントソフトウェア等)を端末装置に設定する必要がなく、VLANスイッチ及び端末装置を含むネットワーク全体のベンダの統一性や相互互換性に拘泥する必要がなくなり、既存のネットワークシステムに、より容易にかつ低コストで導入することができる。また、電子証明書による認証も、証明書失効情報(Certificate Revocation List(CRL))等を参照してより確実に行うことができる。
【0009】
なお、VLAN設定部において認証情報に対応して選択されるVLANは1つに限定されるものではなく、認証情報に対応している限り複数であってもよい。VLANが複数選択される場合には、ユーザが端末装置のWebブラウザを用いて所望のVLANを1又は複数選択可能とすることもできる。
【0010】
また、認証手段とVLAN制御手段とがケーシング内に一体に組み込まれたハード・ソフト一体型(アプライアンス型)とすることにより、より低コストで製作可能であると共に、導入作業がより容易になる。
また、VLANスイッチと接続するための汎用の通信方式は、Telnetを採用すると、汎用性が高いことから便利である。
【発明を実施するための最良の形態】
【0011】
以下、本発明の実施形態を図面に基づいて更に詳しく説明する。図1は、VLAN認証装置がVLANスイッチを介したVLANネットワークに接続された形態を示す概略図であり、図2は、VLAN認証装置の構成を示す概略図であり、図3は、認証前後の状態偏移を示す概略図であり、図4は、端末装置、VLANスイッチ及びVLAN認証装置の動作シーケンスを示す図である。
ここで、VLANとは、企業内ネットワーク(LAN)等において、物理的な接続形態とは独立して端末装置の仮想的なグループを設定したLANのことであり、本発明は、新規なネットワークシステムにおいてはもちろんのこと、既存のVLANスイッチを備えたネットワークシステムにおいても容易かつ低コストで導入可能なVLAN認証装置を提供するものである。
【0012】
図1に示すように、VLANネットワークは、VLAN認証装置10と、VLANスイッチ20と、端末装置30(30a,30b,30c)とを備えて構築されている。VLANスイッチ20は、各種機器と接続可能に設けられた複数のLANポート21を備え、VLAN認証装置10及び端末装置30とLANケーブルを介して接続されている。端末装置30は、例えば、装置本体内にMPU(Micro Processing Unit)やメインメモリ等により構成された演算処理部、演算処理のためのソフトウェアを記憶したハードディスク、及びこれらのデータの入出力部である入出力ポートが備えられたパーソナルコンピュータ等を用いることができる。
【0013】
図2に示すように、本実施形態のVLAN認証装置10は、VLANスイッチ20に接続された端末装置30から送信される認証情報を受信し、認証情報の有効性を判定する認証手段11と、認証手段11により認証情報が有効と判定された場合に、当該認証情報に対応して所属可能なVLANを決定するVLAN設定部12aを備えたVLAN制御手段12とが組み込まれてなる。そして、認証手段11と、VLAN制御手段12と、これらを動作制御させるOSとがモジュール化され、ケーシング内に一体に組み込まれたアプライアンス型となっている。OSは、本実施形態では、Linuxカーネルをコアとして動作するRedHatベースのディストリビューションを採用しているが、これに限定されるものではないことはもちろんである。
【0014】
また、VLAN認証装置10は、VLANスイッチ20に汎用の通信方式を介して接続されて配置され、VLAN制御手段12から、VLAN設定部12aにより決定されたVLANを割り当てるための操作コマンドをVLANスイッチ20に発行する機能を有する。なお、VLAN認証装置10とVLANスイッチ20との通信方式には、例えば、通信方式として標準化されているTelnetを採用することができ、これにより汎用性が高まり、導入がより容易となる。
【0015】
認証手段11は、VLAN認証装置10に設定されるWebサーバ15に設定されている。図2に示すように、本実施形態のWebサーバ15は、Linux等のUNIX(登録商標)系OSやWindows(登録商標)系OSで動作するApache(アパッチ)を採用しており、Apache上のCGIによってHTTPS認証を行う認証手段11としての認証プログラムが起動し、端末装置30の認証処理を行う。具体的には、VLANスイッチ20に接続された端末装置30がWebブラウザを用いて所定のネットワーク(例えば、図1の業務ネットワークA)にアクセスを望む際に、HTTPS認証によって、まず、端末装置30から送信される認証情報の認証を行うものである。HTTPS認証によって認証されると、認証用のCGIによって認証状態を保持するためのプログラムである認証状態保持手段14が起動する。
【0016】
このように、本実施形態では、端末装置30の汎用のWebブラウザを用いて認証情報を認証することができる。このため、認証のための特別なプログラム(サプリカントソフトウェア等)を端末装置30に設定する必要がなく、VLANスイッチ20及び端末装置30を含むネットワーク全体のベンダの統一性等を考慮する必要がなくなり、既存のネットワークシステムに、より容易にかつ低コストで導入することができる。
【0017】
認証情報としては、端末装置30のユーザ毎に発行される電子証明書を用いることが信頼性が高いことから好ましい。電子証明書の情報は、端末装置30のハードディスクに記憶させておくこともできるが、ユーザの保有するICカードに書き込んでおき、ICカードを端末装置30に読み込ませて取得する構成とすることもできる。電子証明書を用いる場合には、図2に示したように、VLAN認証装置10内に、既存ネットワーク等を介して入手した証明書失効情報(CRL)を格納したCRL記憶部13を設ける。これにより、電子証明書の有効性を、かかるCRLを用いて判定することができる。
【0018】
VLAN制御手段12は、上記したように、認証手段11により電子証明書が有効と判定された場合に、当該電子証明書に対応して所属可能なVLANを決定するプログラムであるVLAN設定部12aを備え、VLAN制御手段12から、VLANを設定する操作コマンドをVLANスイッチ20に発行し、VLANスイッチ20のVLAN割り当てを認証情報に対応して組み替える機能を有している。これを図3に示す状態偏移図及び図4の動作シーケンスを参照して説明する。
【0019】
図3は、端末装置30a〜30cの「認証前」の状態と、端末装置30a,30cの「認証後」の状態との状態偏移を示しており、VLANスイッチ20のLANポート21a〜21cに端末装置30a〜30cがそれぞれ接続され、LANポート21dにはVLAN認証装置10が接続されている。また、LANポート21eには、VLAN1に所属する業務ネットワークAが接続されており、LANポート21fには、VLAN2に所属する業務ネットワークBが接続されている。
【0020】
ここで、VLAN1に所属可能に設定された電子証明書を保有する社員S1が端末装置30aを利用して業務ネットワークAにアクセスする場合におけるVLANの状態偏移について説明していく。まず、社員S1は、例えば、業務ネットワークAへのアクセスを希望する際には、WebブラウザにVLAN認証装置10のURLを入力する。URLを入力すると電子証明書の提出が求められるため、社員S1はPIN(Personal Identify Number)を入力し、電子証明書の情報を送信する(図4のS101)。VLAN認証装置10のWebサーバ15に設定された認証手段11によって電子証明書の有効性がチェックされる。すなわち、電子証明書の発行者及び有効期限のチェックがなされると共に、CRL記憶部13に格納されたCRLを参照し、発行者によって当該電子証明書が失効されていないことのチェックがなされる(図4のS102)。それぞれが有効と判定された場合には、VLAN制御手段12のVLAN設定部12aにおいて電子証明書に応じて所属可能なVLANとして、VLAN1を抽出し決定する(図4のS103)。
【0021】
上記のように、VLAN設定部12aにおいてVLAN1が抽出されると、端末装置30aのIPアドレス及び/又はMACアドレスを用いて、端末装置30aのLANポート21aの所属がVLAN1になるように割り当てる操作コマンドを、VLAN設定部12aからVLANスイッチ20に対して発行する(図4のS104)。これにより、図3の「認証後」の状態で示したように、端末装置30aは、VLAN1に所属し、業務ネットワークAにアクセス可能となる。
【0022】
一方、社員S2が端末装置30cを用いて業務ネットワークBにアクセスしようとした場合には、上記と同様の操作により、VLAN認証装置10によって、社員S2の電子証明書が認証された後、VLAN設定部12aからVLANスイッチ20に対して端末装置30cのLANポート21cをVLAN2へ所属させる操作コマンドが発行される。これにより、端末装置30cがVLAN2に所属するように制御され、業務ネットワークBへのアクセスが可能となる。
なお、例えば、電子証明書がICカードに書き込まれている場合、上記の例で、社員S1が端末装置30cに自己のICカードを読み込ませてVLAN認証装置10にアクセスした場合には、端末装置30cが接続されるLANポート21cは、VLAN制御手段12からVLANスイッチ20に対して発行される操作コマンドによりVLAN1に所属されるように組み替えられる。
【0023】
本実施形態では、電子証明書に応じてアクセス可能なVLANを区別しているが、VLANを区別させる手段の一例としては、VLAN設定部12aが、内部又は外部に存在する、電子証明書に対応して所属可能なVLANを決定できる対照表若しくはデータベース様の情報を参照できるような機能をVLAN認証装置10に設けておくことなどが考えられる。このようにすれば、社員であっても許可の無いVLAN内のデータベース等にはアクセス不可能となり、セキュリティ性の向上を図ることができる。
【0024】
なお、VLAN設定部12aにおいて認証情報に対応して決定されるVLANは1つに限定されるものではなく、電子証明書に書き込まれた認証情報に対応している限り複数であってもよい。VLANが複数選択される場合には、Webサーバを介して端末装置に選択可能な複数のVLAN候補を送信し、ユーザが端末装置30のWebブラウザを用いて所望のVLANを1又は複数選択することができるようにすると好ましい。
【0025】
以上のように、本実施形態によれば、VLANスイッチ20自体が、VLANを組み替えるための認証制御プログラムを備えている必要がないため、VLAN認証装置10はVLANスイッチ20のベンダを問わず、接続可能であり、汎用性がある。また、VLANスイッチ20固有の認証制御プログラムを使用しないため、従来用いられているスタティックVLANスイッチであっても、本発明のVLAN認証装置10を接続することにより、VLANの動的な組み替えが可能になる。従って、VLANスイッチ20を備えた既存のネットワークシステムに容易にかつ低コストで導入して社内ネットワークなどのネットワークシステムのセキュリティを高めることができる。
【0026】
また、認証手段11とVLAN制御手段12は、OSと共に、それぞれモジュール化され、VLAN認証装置10のケーシング内に一体に組み込まれたアプライアンス型となっているため、低コストで製作可能であると共に、VLANスイッチに接続するだけでよく、導入作業が容易である。
【0027】
また、VLAN認証装置10は、Ping機能が組み込まれており、相手先の端末装置が稼動中で通信可能か、途中のネットワークで異常がないかなどをIPレベルで定期的に調べ、また、IPアドレスからMACアドレスを取得するarpのチェックも定期的に行っている(図4のS105)。そして、異常が確認されると、VLAN制御手段12のVLAN解除部12bからVLANスイッチ20に対してVLANの解除処理を行う操作コマンドを発行する(図4のS106)。
【0028】
また、VLAN認証装置10は、ソフトウェアアップデート機能を備えていることが好ましい。これにより、インターネット経由でファームウェアのアップデートを行うことができる。
【図面の簡単な説明】
【0029】
【図1】本発明に係るVLAN認証装置がVLANネットワークに接続された形態を示す概略図である。
【図2】VLAN認証装置の構成を示す概略図である。
【図3】認証前後の状態偏移を示す概略図である。
【図4】端末装置、VLANスイッチ及びVLAN認証装置の動作シーケンスを示す図である。
【符号の説明】
【0030】
10 VLAN認証装置
11 認証手段
12 VLAN制御手段
12a VLAN設定部
13 CRL記憶部
15 Webサーバ
20 VLANスイッチ
21(21a,21b,21c,21d,21e,21f) LANポート
30(30a,30b,30c) 端末装置
【特許請求の範囲】
【請求項1】
VLANスイッチに接続された端末装置から送信される認証情報を受信し、認証情報の有効性を判定する認証手段と、
前記認証情報が認証手段により有効と判定された場合に、当該認証情報に対応する所属可能なVLANを決定するVLAN設定部を備えたVLAN制御手段とが組み込まれてなり、
前記VLANスイッチに汎用の通信方式を介して接続されて配置され、前記VLAN制御手段から、前記VLAN設定部により決定されたVLANを割り当てる操作コマンドを前記VLANスイッチに発行し、VLANスイッチのVLAN割り当てを前記認証情報に対応して動的に組み替え可能であることを特徴とするVLAN認証装置。
【請求項2】
Webサーバを備えると共に、前記認証手段がWebサーバに組み込まれ、端末装置のWebブラウザを用いて前記認証情報を認証可能であることを特徴とする請求項1記載のVLAN認証装置。
【請求項3】
前記認証情報がユーザ毎に取得した電子証明書であり、前記認証手段が、証明書発行者、証明書有効期限及び証明書失効情報を参照して有効性を判定する構成であることを特徴とする請求項2記載のVLAN認証装置。
【請求項4】
前記VLAN設定部が、前記認証情報に対応する所属可能なVLANを1又は複数選択する構成であること特徴とする請求項1〜3のいずれか1に記載のVLAN認証装置。
【請求項5】
前記VLAN設定部により選択されるVLANが複数である場合に、前記Webサーバを介して端末装置に選択可能な複数のVLAN候補を送信し、ユーザにより所望のVLANを1又は複数選択可能としたことを特徴とする請求項4記載のVLAN認証装置。
【請求項6】
前記認証手段とVLAN制御手段とがケーシング内に一体に組み込まれたハード・ソフト一体型であることを特徴とする請求項1〜5のいずれか1に記載のVLAN認証装置。
【請求項7】
前記VLANスイッチと接続するための汎用の通信方式がTelnetであることを特徴とする請求項1〜6のいずれか1に記載のVLAN認証装置。
【請求項1】
VLANスイッチに接続された端末装置から送信される認証情報を受信し、認証情報の有効性を判定する認証手段と、
前記認証情報が認証手段により有効と判定された場合に、当該認証情報に対応する所属可能なVLANを決定するVLAN設定部を備えたVLAN制御手段とが組み込まれてなり、
前記VLANスイッチに汎用の通信方式を介して接続されて配置され、前記VLAN制御手段から、前記VLAN設定部により決定されたVLANを割り当てる操作コマンドを前記VLANスイッチに発行し、VLANスイッチのVLAN割り当てを前記認証情報に対応して動的に組み替え可能であることを特徴とするVLAN認証装置。
【請求項2】
Webサーバを備えると共に、前記認証手段がWebサーバに組み込まれ、端末装置のWebブラウザを用いて前記認証情報を認証可能であることを特徴とする請求項1記載のVLAN認証装置。
【請求項3】
前記認証情報がユーザ毎に取得した電子証明書であり、前記認証手段が、証明書発行者、証明書有効期限及び証明書失効情報を参照して有効性を判定する構成であることを特徴とする請求項2記載のVLAN認証装置。
【請求項4】
前記VLAN設定部が、前記認証情報に対応する所属可能なVLANを1又は複数選択する構成であること特徴とする請求項1〜3のいずれか1に記載のVLAN認証装置。
【請求項5】
前記VLAN設定部により選択されるVLANが複数である場合に、前記Webサーバを介して端末装置に選択可能な複数のVLAN候補を送信し、ユーザにより所望のVLANを1又は複数選択可能としたことを特徴とする請求項4記載のVLAN認証装置。
【請求項6】
前記認証手段とVLAN制御手段とがケーシング内に一体に組み込まれたハード・ソフト一体型であることを特徴とする請求項1〜5のいずれか1に記載のVLAN認証装置。
【請求項7】
前記VLANスイッチと接続するための汎用の通信方式がTelnetであることを特徴とする請求項1〜6のいずれか1に記載のVLAN認証装置。
【図1】
【図2】
【図3】
【図4】
【図2】
【図3】
【図4】
【公開番号】特開2006−115072(P2006−115072A)
【公開日】平成18年4月27日(2006.4.27)
【国際特許分類】
【出願番号】特願2004−298684(P2004−298684)
【出願日】平成16年10月13日(2004.10.13)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.Linux
【出願人】(599105850)株式会社中電シーティーアイ (13)
【出願人】(304021277)国立大学法人 名古屋工業大学 (784)
【Fターム(参考)】
【公開日】平成18年4月27日(2006.4.27)
【国際特許分類】
【出願日】平成16年10月13日(2004.10.13)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.Linux
【出願人】(599105850)株式会社中電シーティーアイ (13)
【出願人】(304021277)国立大学法人 名古屋工業大学 (784)
【Fターム(参考)】
[ Back to top ]