JP2008244765A - 動的ホスト構成プロトコルサーバ及びipアドレス割り当て方法 - Google Patents

動的ホスト構成プロトコルサーバ及びipアドレス割り当て方法 Download PDF

Info

Publication number
JP2008244765A
JP2008244765A JP2007081626A JP2007081626A JP2008244765A JP 2008244765 A JP2008244765 A JP 2008244765A JP 2007081626 A JP2007081626 A JP 2007081626A JP 2007081626 A JP2007081626 A JP 2007081626A JP 2008244765 A JP2008244765 A JP 2008244765A
Authority
JP
Japan
Prior art keywords
authentication
address
client terminal
server
client
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2007081626A
Other languages
English (en)
Inventor
Soji Kageyama
壮志 影山
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Toshiba Corp
Toshiba Digital Solutions Corp
Original Assignee
Toshiba Corp
Toshiba Solutions Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Toshiba Corp, Toshiba Solutions Corp filed Critical Toshiba Corp
Priority to JP2007081626A priority Critical patent/JP2008244765A/ja
Publication of JP2008244765A publication Critical patent/JP2008244765A/ja
Pending legal-status Critical Current

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

【課題】クライアント端末が接続する末端のネットワーク機器に特別な機能を必要とせずに、認証されたユーザに対してのみIPアドレスを提供できるようにする。
【解決手段】認証DHCPサーバ1は、クライアントの物理アドレスに対応付けて当該クライアント端末の認証状態を管理するのに用いられるアドレス管理テーブル11を有する。サーバ1の認証処理部16は、IPアドレス未割り当てのクライアントから送信された認証データを認証サーバに中継して認証を行わせる。サーバ1のDHCP処理部17は、要求された認証に成功した結果、アドレス管理テーブル11によって認証済みとして管理されるクライアント端末にIPアドレスを割り当てる。サーバ1のARP処理部15は、認証済みとなっていないクライアントからのARP要求に対して偽のARP応答を返す。
【選択図】 図1

Description

本発明は、ネットワークに接続されたクライアント端末にIPアドレスを割り当てる動的ホスト構成プロトコルサーバ及びIPアドレス割り当て方法に関する。
ネットワークを介して通信を行うクライアント(クライアント端末)に、アドレス(IPアドレス)を動的に配布する(割り当てる)サーバとして、DHCP(Dynamic Host Configuration Protocol:動的ホスト構成プロトコル)サーバが知られている。しかし、DHCPサーバが適用するDHCPは、プロトコルにユーザ認証の概念が無いため、認証されたユーザに対してのみにIPアドレスを配布することができない。
DHCPを使用するクライアントにアクセス制限をかける方法として、IEEEで規定される802.1xに基づく認証スイッチを使用する方法が知られている。802.1xでは、認証スイッチとクライアントとの間の通信が、IPヘッダを使用せずにデータリンク層のペイロードにEAPOL(EAP Over LAN)と呼ばれるフレームをセットすることによって行われる。EAPOLのデータ部には、認証データをEAPRFC2284に規定されるEAP(Extensible Authentication Protocol: 拡張認証プロトコル)でカプセル化されたデータが格納される。認証スイッチと認証サーバ間の通信は、認証スイッチの持つIPアドレスと認証サーバのIPアドレスを使用してネットワーク(例えば基幹LAN)を介して行われる。
認証プロトコルに関して認証スイッチは、クライアントが送信したEAPOLパケットをIPパケットに変換して認証サーバにネットワークを介して中継する一方、認証サーバから基幹LANを介して送信されたIPパケットをEAPパケットに変換してクライアントに中継する。
ここで認証スイッチは、ユーザ認証が完了するまでは、認証パケットの全通信パケットを破棄するように設定されている。クライアントが認証スイッチに接続すると、当該認証スイッチは、認証要求(EAP Identity Request)を当該クライアントに対して送信する。クライアントは認証スイッチからの認証要求を受信すると、認証応答(EAP Identity Reply)を認証スイッチに送信する。
認証スイッチは、クライアントからの認証応答を、当該認証スイッチの持つIPアドレスと認証サーバのIPアドレスとを使用して、当該認証サーバに転送する。これにより、認証サーバにて認証プロトコルが実行される。
認証サーバによる認証に成功すると、認証スイッチは、クライアントのポートがネットワークに接続可能な状態にする。この状態でクライアントはDHCPサーバからIPアドレスを取得して、ネットワークと通信可能な状態となる。このように、802.1xに基づく認証スイッチを使用する方法によれば、クライアントがDHCPサーバからIPアドレスを取得する前に、ユーザ認証が可能となる。
上記の説明では、クライアントとネットワークとの間に1台の認証スイッチが存在するが、複数の認証スイッチがネットワークに対して階層的に接続されるのが一般的である。
DHCPを使用するクライアントにアクセス制限をかける他の方法として、例えば特許文献1に記載されているような、認証VLAN(Virtual LAN)を使用する方法も知られている。この特許文献1に記載された方法では、VLAN対応のスイッチが用いられる。このスイッチは、全ポートをDHCPサーバと認証サーバにのみ接続可能なVLANに設定する。このVLANにクライアントが接続されると、DHCPサーバが、当該クライアントに認証サーバと認証を行うためのIPアドレス(認証用IPアドレス)を提供する。するとクライアントは、この認証用IPアドレスを用いて認証サーバと認証(ユーザ認証)を行う。
認証に成功すると認証サーバは、DHCPサーバにより、ネットワーク上のマシンと通信可能なIPアドレスをクライアントに配布させる。更に認証サーバは、スイッチに対しクライアントの接続するポートを、ネットワークに接続可能なVLANに接続させる。これによりクライアントは、DHCPサーバからIPアドレスを取得して、ネットワークと通信可能な状態となる。
特開2004−64204号公報
前述の認証スイッチを使用する方法では、認証スイッチがクライアントと認証サーバとの間の認証処理の中継を行うため、スイッチ自体が認証プロトコルを処理できなければならない。つまりクライアントが接続する末端のネットワーク機器が認証スイッチ(認証プロトコル対応)でなければならない。このためシステム構築の際に、末端のネットワーク機器を全て認証スイッチ(認証用ハブ)に切り替えなければならず、機器入れ替えの負荷が高くなる。同様に認証VLANを使用する方法でも、末端のネットワーク機器がVLANに対応している必要がある。
本発明は上記事情を考慮してなされたものでその目的は、クライアント端末が接続する末端のネットワーク機器に特別な機能を必要とせずに、動的ホスト構成プロトコルを使用する環境で認証されたユーザに対してのみIPアドレスを提供できる動的ホスト構成プロトコルサーバ及びIPアドレス割り当て方法を提供することにある。
本発明の1つの観点によれば、ネットワークに接続されたクライアント端末にIPアドレスを割り当てる動的ホスト構成プロトコルサーバが提供される。この動的ホスト構成プロトコルサーバは、前記ネットワークに接続されたクライアント端末の物理アドレスに対応付けて当該クライアント端末の認証状態を保持する管理テーブルと、前記ネットワークとの間で通信データを送受信するネットワークインタフェースと、前記ネットワークに接続されたIPアドレス未割り当てのクライアント端末から送信された、認証を要求するための認証データを、前記ネットワークに接続された認証サーバに前記ネットワークインタフェースを介して中継する中継手段と、前記クライアント端末から要求された認証に成功したことが前記認証サーバによって通知された場合に、当該認証を要求した前記クライアント端末の物理アドレスに対応付けて前記管理テーブルに保持されている認証状態を、認証済みを示す状態に設定する認証処理手段と、前記認証済みを示す状態に設定された認証状態と対応付けて前記管理テーブルに保持されている物理アドレスのクライアント端末にIPアドレスを割り当てるIPアドレス割り当て手段と、前記ネットワークに接続されたクライアント端末からブロードキャストによって前記ネットワーク上に送信されたアドレス解決プロトコル要求が前記ネットワークインタフェースによって受信された場合に、前記管理テーブルを参照して当該アドレス解決プロトコル要求を送信したクライアント端末が認証済みであるかを判定し、認証済みでない場合に当該アドレス解決プロトコル要求を送信したクライアント端末に前記ネットワークインタフェースを介して偽のアドレス解決プロトコル応答を送信するアドレス解決プロトコル処理手段とを具備する。
本発明によれば、動的ホスト構成プロトコルサーバに、クライアント端末の物理アドレスに対応付けて当該クライアント端末の認証状態を管理する管理テーブルを持たせると共に、IPアドレス未割り当てのクライアント端末から送信された認証データを認証サーバに中継して認証を行わせ、当該クライアント端末から要求された認証に成功した結果(つまり認証完了後に)、管理テーブルによって認証済みの状態となったクライアント端末にIPアドレスを割り当てる機能と、認証済みとなっていないクライアント端末からのアドレス解決プロトコル要求(ARP要求)に対して偽のARP応答を返すことで通信を妨害する機能とを持たせることにより、クライアント端末が接続する末端のネットワーク機器に特別な機能を必要とせずに、動的ホスト構成プロトコルを使用する環境でユーザ認証されたクライアント端末に対してのみ動的ホスト構成プロトコルサーバからIPアドレスを提供して当該クライアント端末を通信可能とするネットワークへのアクセス制御を実現できる。
以下、本発明の実施の形態につき図面を参照して説明する。
図1は本発明の一実施形態に係る認証DHCPサーバ(認証DHCPサーバコンピュータ)を含むネットワークシステムの基本構成と動作原理を説明するための図である。図1において、認証DHCPサーバ1及び認証サーバ2はネットワーク3に接続されている。ネットワーク3は例えばIPネットワークであり、ネットワークシステムの基幹LAN(ローカルエリアネットワーク)として用いられているものとする。このネットワーク3には、クライアント(クライアント端末)4及び当該クライアント4の通信相手となる別のクライアント(クライアント端末)5が接続されている。図1のシステムでは、作図の都合上、2台のクライアント4及び5がネットワーク3に接続されているが、一般には3台以上のクライアントがネットワーク3に接続されている。
認証DHCPサーバ1は、DHCPを使用する環境でユーザ認証されたユーザ(クライアント)に対してのみIPアドレスを提供可能とするための、ネットワーク3へのアクセス制御を行うネットワークアクセス制御装置として機能する。
認証サーバ2は、例えばIEEEで規定される802.1xに対応する、ラジウスサーバ(RADIUSサーバ)のような一般的な認証サーバである。
クライアント4は、DHCPクライアントとしての機能を有し、更に認証(例えばIEEEで規定される802.1x認証)における認証クライアント(例えば「Supplicant」)の機能を有すものとする。これらの機能は、一般的にクライアントソフトウェアとして使用されている汎用OS(オペレーティングシステム)に標準的に搭載されているものであり、特別なクライアントソフトウェアを必要としない。
次に、図1のシステムにおける認証DHCPサーバ1を中心とする、IPアドレス割り当てを含むネットワークアクセス制御に関する動作の概要について説明する。
図1のシステムにおいて、クライアント4が認証DHCPサーバ1に対して、DHCPプロトコルによりIPアドレスを要求したものとする(ステップS1)。すると認証サーバは、クライアント4との間のDHCPプロトコルを中断し、直ちに当該クライアント4に対しEAPプロトコルによる認証開始要求を送信する(ステップS2)。
クライアント4は、「Supplicant」の機能によりEAPプロトコルを使用してユーザ認証を開始する(ステップS3)。EAPによる認証は、EAPOLを使用したIPヘッダを使用しない通信となるため、IPアドレスを取得する前でも通信可能となる。このステップS3では、認証DHCPサーバ1がクライアント4と認証サーバ2との間でEAPOLを使用した認証を中継する。
認証が完了すると、認証DHCPサーバ1は、中断していたクライアント4とのDHCPプロトコルを再開し、当該クライアント4に対してIPアドレスを配布する(ステップS4)。これによりクライアント4は、認証DHCPサーバ1から配布されたIPアドレスを取得し、当該IPアドレスを使用してネットワーク3経由で、例えばクライアント5と通信を行う(ステップS5)。
なお、図1のシステムでは、クライアント4及びクライアント5は、同一のネットワーク3(つまりネットワークアドレスが同一のネットワーク3)に接続されている。しかし、クライアント5がネットワーク3とはネットワークアドレスが異なる別のネットワークに接続されて、当該両ネットワークがルータによって接続されていても構わない。
図1のシステムにおいて、認証DHCPサーバ1は、認証されていない不正な端末を通信できない状態にするための仕組み(つまり不正な端末がネットワーク3に接続するのを防ぐ仕組み)を有している。以下、この仕組みについて、図2を参照して説明する。ここでは便宜的に、クライアント4が、認証されていない不正な端末(つまり認証DHCPサーバ1からIPアドレスが配布されていない)不正な端末であるとする。
今、不正な端末(クライアント4)が、ネットワーク3上の他のマシン(例えばクライアント5)と通信を行うのに必要な当該他のマシンのMACアドレス(つまり物理アドレス)を取得するためのARP(Address Resolution Protocol:アドレス解決プロトコル)要求を、ネットワーク3上にブロードキャストしたものとする(ステップS11)。このARP要求は、送信元IPアドレス及び送信元MACアドレスを含む。
認証DHCPサーバ1は、ARP要求を受信すると、当該ARP要求に含まれている送信元IPアドレスが自身が配布していないIPアドレス(認証サーバを除く)であるか、或いは当該ARP要求に含まれている送信元MACアドレスがIPアドレスを配布したクライアント以外のMACアドレス(認証サーバを除く)であるかにより、当該ARP要求を送信したクライアントが認証されていない不正な端末であるかを判定する。
もし、ARP要求の送信元(図2ではクライアント4)が不正な端末である場合、認証DHCPサーバ1は、当該送信元(クライアント4)がネットワーク3に接続するのを防ぐため、直ちに偽のARP応答を当該送信元(クライアント4)に送信する(ステップS12)。このARP応答、即ち不正な端末(クライアント4)からのARP要求に対する偽のARP応答は、当該ARP要求で要求されたマシン(端末)のMACアドレスとして、認証DHCPサーバ1がIPアドレスを配布した全ての端末のいずれのMACアドレスとも異なるMACアドレスを含む。このような偽のARP応答により、認証DHCPサーバ1は、不正な端末(クライアント4)がネットワーク3を介して通信するのを妨害する。つまり認証DHCPサーバ1は、偽のARP応答により、不正な端末(クライアント4)が通信できない状態にする。
次に、図1のシステムにおいて、例えばクライアント4がユーザ認証を行いIPアドレスを取得するまでの通信シーケンスの詳細について、図3のシーケンスチャート及び図4A乃至図4Cの通信データのフォーマットを参照して説明する。
クライアント4はまず、ネットワーク3上のDHCPサーバ(ここでは認証DHCPサーバ1)を検出するための、例えばDHCPディスカバー(DHCP Discover)と呼ばれるDHCP(動的ホスト構成プロトコル)に従うデータ(特定パケット)を含む、図4A(a)に示すフォーマットの通信データ401をブロードキャストで送信する(ステップS21)。
通信データ401は、データリンク層ヘッダを含むデータリンク層パケットである。データリンク層パケットのペイロード(データリンク層ペイロード)は、IPヘッダ、UDP(User Datagram Protocol)ヘッダ及びUDPのペイロードを含む。
通信データ401のデータリンク層ヘッダは、宛先MACアドレスと送信元MACアドレスとを含む。ここでは、宛先MACアドレスにはブロードキャストアドレスが、送信元MACアドレスにはクライアント4のMACアドレスが、それぞれ用いられる。通信データ401のIPヘッダは、宛先IPアドレスと送信元IPアドレスとを含む。ここでは、宛先IPアドレスにはブロードキャストアドレスが、送信元IPアドレスにはDHCP(動的ホスト構成プロトコル)に従ってDHCPサーバ(ここでは認証DHCPサーバ1)を検出する際に用いられる特定のIPアドレス(例えば“0.0.0.0”)が、それぞれ用いられる。通信データ401のUDPペイロードには、「DHCP Discover」(のデータ)が設定される。
認証DHCPサーバ1は、クライアント4から送信された通信データ401を受信すると、当該クライアント4との間のDHCP(動的ホスト構成プロトコル)を中断する。そして認証DHCPサーバ1は認証を開始するために、通信データ401の送信元のクライアント4に対して、拡張認証プロトコルに従うEAPリクエスト(EAP Request)と呼ばれる特別のコードを含む、図4A(b)に示すフォーマットの通信データ402を送信する(ステップS22)。
通信データ402は、データリンク層ヘッダとEAPOLパケット(EAPOLフレーム)とを含むデータリンク層パケットである。EAPOLパケットは、データリンク層パケットのペイロードをなし、当該EAPOLパケットのデータ部に上記「EAP Request」が設定される。ここでは、EAPのデータ部(ユーザ認証プロトコルのデータ部)には何も格納されない。
通信データ402のデータリンク層ヘッダは、通信データ401のそれと同様に、宛先MACアドレスと送信元MACアドレスとを含む。ここでは、宛先MACアドレスには、図4A(b)において矢印403で示されるように、通信データ401のデータリンク層ヘッダに含まれている送信元MACアドレス(クライアント4のMACアドレス)が用いられる。また送信元MACアドレスには、認証DHCPサーバ1のMACアドレスが用いられる。
クライアント4は、認証DHCPサーバ1から送信されたEAPリクエストを含む通信データ402を受信すると、ユーザ認証を行うための、ユーザIDを格納したラジウスアクセスリクエスト(Radius Access Request)と呼ばれる特別のリクエストを生成する。そしてクライアント4は、この「Radius Access Request」がデータとして格納された(つまりEAPでカプセル化された)EAP応答(EAP Response)を含む、図4A(c)に示すフォーマットの通信データ404(第1の認証データ)を生成する。
通信データ404は、データリンク層ヘッダとEAPOLパケット(EAPOLフレーム)とを含むデータリンク層パケットである。EAPOLパケットのデータ部には「EAP Response」が設定され、EAPのデータ部(ユーザ認証プロトコルのデータ部)には上記「Radius Access Request」が格納される。通信データ404のデータリンク層ヘッダの宛先MACアドレスには、図4A(b)において矢印405で示されるように、受信された通信データ402のデータリンク層ヘッダに含まれている送信元MACアドレス(認証DHCPサーバ1のMACアドレス)が用いられる。また送信元MACアドレスには、クライアント4のMACアドレスが用いられる。
クライアント4は、生成された通信データ404を認証DHCPサーバ1に送信する(ステップS23)。即ちクライアント4は、ユーザIDが格納された「Radius Access Request」を、「EAP Response」により認証DHCPサーバ1に送信する。
認証DHCPサーバ1は、クライアント4から送信された通信データ404を受信すると、図4A(d)において矢印406で示されるように、当該通信データ404に含まれている「EAP Response」のデータ部に格納された「Radius Access Request」を取り出す。そして認証DHCPサーバ1は、取り出された「Radius Access Request」がUDPのペイロードに格納された、図4A(d)に示すフォーマットの通信データ407(第2の認証データ)を生成する。つまり認証DHCPサーバ1は、クライアント4から送信された通信データ404(第1の認証データ)を通信データ407(第2の認証データ)に変換する。
通信データ407は、データリンク層ヘッダ、IPヘッダ、UDPヘッダ及びUDPのペイロードを含む。通信データ407のデータリンク層ヘッダの宛先MACアドレス及び送信元MACアドレスには、それぞれ、認証サーバ2のMACアドレス及び認証DHCPサーバ1のMACアドレスが用いられる。通信データ407のIPヘッダの宛先IPアドレス及び送信元IPアドレスには、それぞれ、認証サーバ2のIPアドレス及び認証DHCPサーバ1のIPアドレスが用いられる。通信データ407のUDPのペイロードには、通信データ404のEAPのデータ部から取り出された「Radius Access Request」が格納される。
認証DHCPサーバ1は、生成(変換)された通信データ407を認証サーバ2に送信(中継)する(ステップS24)。
認証サーバ2は、認証DHCPサーバ1によって中継された「Radius Access Request」を含む通信データ407を受信すると、ラジウスアクセスチャレンジ(Radius Access Challenge)と呼ばれる認証プロトコル(ユーザ認証プロトコル)のデータを含む、図4B(a)に示すフォーマットの通信データ408(第3の認証データ)を生成する。
「Radius Access Challenge」には、ユーザ認証のためのチャレンジ(Challenge)コードが格納されている。このChallengeコードは、受信された通信データ407に含まれる「Radius Access Request」に格納されているユーザIDに基づいて生成される。つまりChallengeコードは、このユーザIDに対応するデータである。
通信データ408は、データリンク層ヘッダ、IPヘッダ、UDPヘッダ及びUDPのペイロードを含むデータリンク層パケットである。UDPのペイロードには、上述の「Radius Access Challenge」が格納される。
通信データ408のデータリンク層ヘッダの宛先MACアドレス及びIPヘッダの宛先IPアドレスには、それぞれ、認証DHCPサーバ1のMACアドレス及びIPアドレスが用いられる。認証サーバ2は、この通信データ408を認証DHCPサーバ1に送信する(ステップS25)。
認証DHCPサーバ1は、認証サーバ2から送信された通信データ408を受信すると、図4B(a)において矢印409で示されるように、当該通信データ408から「Radius Access Challenge」を取り出す。そして認証DHCPサーバ1は、「EAP Request」のデータ部に、通信データ408から取り出された「Radius Access Challenge」が格納された(つまり「Radius Access Challenge」がEAPでカプセル化された)、図4B(a)に示すフォーマットの通信データ410(第4の認証データ)を生成する。つまり認証DHCPサーバ1は、認証サーバ2から送信された通信データ408(第3の認証データ)を通信データ410(第4の認証データ)に変換する。
通信データ410はデータリンク層ヘッダを含み、当該ヘッダの宛先MACアドレスにはクライアント4のMACアドレスが用いられる。認証DHCPサーバ1は、この通信データ410をクライアント4に対して送信(中継)する(ステップS26)。
クライアント4は、認証DHCPサーバ1から送信された、「EAP Request」を含む通信データ410を受信すると、当該「EAP Request」のデータ部、つまり「Radius Access Challenge」に格納されているChallengeコードに基づいて、応答(Response)コードを生成する。そしてクライアント4は、この応答(Response)コードを含む「Radius Access Request」がデータとして格納された(つまりEAPでカプセル化された)「EAP Response」を含む、図4B(b)に示すフォーマットの通信データ411(第1の認証データ)を生成する。
通信データ411は通信データ404と同様に、データリンク層ヘッダとEAPOLパケット(EAPOLフレーム)とを含むデータリンク層パケットである。EAPOLパケットのデータ部には「EAP Response」が設定され、EAPのデータ部(ユーザ認証プロトコルのデータ部)には上記応答(Response)コードを含む「Radius Access Request」が格納される。通信データ411のデータリンク層ヘッダの宛先MACアドレスには、認証DHCPサーバ1のMACアドレスが用いられる。
クライアント4は、生成された通信データ411を認証DHCPサーバ1に送信する(ステップS27)。即ちクライアント4は、Challengeコードに基づいて生成された応答(Response)コードが格納された「Radius Access Request」を、「EAP Response」により認証DHCPサーバ1に送信する。
認証DHCPサーバ1は、クライアント4から送信された通信データ411(EAP Response)を受信すると、図4B(b)において矢印412で示されるように、当該通信データ411に含まれている「EAP Response」のデータ部に格納された「Radius Access Request」を取り出す。そして認証DHCPサーバ1は、取り出された「Radius Access Request」がUDPのペイロードに格納された、図4B(b)に示すフォーマットの通信データ413(第2の認証データ)を生成する。つまり認証DHCPサーバ1は、クライアント4から送信された通信データ411(第1の認証データ)を通信データ413(第2の認証データ)に変換する。
通信データ413は通信データ407と同様に、データリンク層ヘッダ、IPヘッダ、UDPヘッダ及びUDPのペイロードを含む。通信データ413のデータリンク層ヘッダの宛先MACアドレス及びIPヘッダの宛先IPアドレスには、それぞれ、認証サーバ2のMACアドレス及びIPアドレスが用いられる。通信データ413のUDPのペイロードには、通信データ411のEAPのデータ部から取り出された「Radius Access Request」が格納される。認証DHCPサーバ1は、この通信データ413を認証サーバ2に送信(中継)する(ステップS28)。
認証サーバ2は、認証DHCPサーバ1から送信された「Radius Access Request」を含む通信データ413を受信すると、当該「Radius Access Request」に格納されている応答(Response)コードを取り出す。そして認証サーバ2は、取り出されたResponseコードが、ユーザ認証のために送信したChallengeコードに対応しているかをチェックする。
対応している場合、認証サーバ2は、認証が成功したことを通知するためのラジウスアクセスアクセプト(Radius Access Accept)を生成する。そして認証サーバ2は、この「Radius Access Accept」がUDPのペイロードに格納された、図4B(c)に示すフォーマットの通信データ414を生成する。
通信データ414はデータリンク層ヘッダ及びIPヘッダを含み、当該データリンク層ヘッダの宛先MACアドレス及びIPヘッダの宛先IPアドレスには、それぞれ、認証DHCPサーバ1のMACアドレス及びIPアドレスが用いられる。認証サーバ2は、この通信データ414を認証DHCPサーバ1に送信する(ステップS29)。
認証DHCPサーバ1は、認証サーバ2から送信された「Radius Access Accept」を含む通信データ414を受信すると、認証が成功したことを通知するためのEAP成功(EAP Success)と呼ばれる特別のコードを含む、図4C(a)に示すフォーマットの通信データ415を、クライアント4に送信する(ステップS30)。
通信データ415は、データリンク層ヘッダとEAPOLパケットとを含むデータリンク層パケットである。EAPOLパケットのデータ部には上記EAP成功(EAP Success)が設定される。通信データ415のデータリンク層ヘッダの宛先MACアドレスにはクライアント4のMACアドレスが用いられる。
認証DHCPサーバ1は、EAP成功(EAP Success)を含む通信データ415をクライアント4に送信すると、中断していたクライアント4との間のDHCP(動的ホスト構成プロトコル)を再開する。そして認証DHCPサーバ1は、認証が成功したクライアントにIPアドレスを配布することを宣言するDHCPオファー(DHCP Offer)と呼ばれる特別のパケット(DHCP Offerパケット)を含む、図4C(b)に示すフォーマットの通信データ416を、クライアント4に送信する(ステップS31)。この通信データ416は、データリンク層ヘッダ、IPヘッダ及びUDPヘッダ及びUDPのペイロードを含む。通信データ416のデータリンク層ヘッダの宛先MACアドレス及びIPヘッダの宛先IPアドレスには、それぞれ、クライアント4のMACアドレス及びブロードキャストアドレスが用いられる。上記「DHCP Offer」(のデータ)は、通信データ416のUDPのペイロードに格納される。
認証DHCPサーバ1は、生成された通信データ416をクライアント4に送信する(ステップS31)。即ち認証DHCPサーバ1は、認証が成功したクライアントにIPアドレスを配布するための「DHCP Offer」をクライアント4に送信する。
クライアント4は、認証DHCPサーバ1から送信された通信データ416(DHCP Offer)を受信すると、以下に述べるように、DHCP(動的ホスト構成プロトコル)の標準的なシーケンスでIPアドレスを取得する。
まずクライアント4は、自身に配布されるべきIPアドレスを取得するためのDHCPリクエスト(DHCP Request)と呼ばれる特別のパケットを含む、図4C(c)に示すフォーマットの通信データ417を生成する。
通信データ417は、データリンク層ヘッダ、IPヘッダ、UDPヘッダ及びUDPのペイロードを含むデータリンク層パケットである。UDPのペイロードには、上述の「DHCP Request」(のデータ)が格納される。
通信データ417のデータリンク層ヘッダの宛先MACアドレス及び送信元MACアドレスには、それぞれ、ブロードキャストアドレス及びクライアント4のMACアドレスがが用いられる。通信データ417のIPヘッダの宛先IPアドレス及び送信元IPアドレスには、それぞれ、ブロードキャストアドレス及び前記特定のIPアドレス(“0.0.0.0”)が、それぞれ用いられる。
クライアント4は、生成された通信データ417を認証DHCPサーバ1に送信する(ステップS32)。即ちクライアント4は、「DHCP Request」を認証DHCPサーバ1に送信する。
認証DHCPサーバ1は、認証が成功しているクライアント4から送信された通信データ417(DHCP Request)を受信すると、当該クライアント4に配布されるIPアドレスが格納されたDHCP承認(DHCP ACK)と呼ばれる特別のパケット(DHCP ACKパケット)を含む、図4C(d)に示すフォーマットの通信データ418を生成する。この通信データ418のデータリンク層ヘッダの宛先MACアドレス及び送信元MACアドレスには、それぞれ、クライアント4のMACアドレス及び認証DHCPサーバ1のMACアドレスが用いられる。通信データ418のIPヘッダの宛先IPアドレス及び送信元IPアドレスには、それぞれ、ブロードキャストアドレス及び認証DHCPサーバ1のIPアドレスが用いられる。上記「DHCP ACK」(のデータ)は、通信データ418のIPペイロードに格納される。「DHCP ACK」は、クライアント4に配布される(割り当てられる)IPアドレスを含む。
認証DHCPサーバ1は、生成された通信データ418をクライアント4に送信する(ステップS33)。即ち認証DHCPサーバ1は、認証が成功したクライアント4に「DHCP ACK」を送信することにより、当該クライアント4に対してIPアドレスを配布する。クライアント4は、認証DHCPサーバ1から送信される通信データ418(DHCP ACK)を受信することにより、IPアドレスを取得する。以後、クライアント4は、このIPアドレスを用いてネットワーク3に接続して当該ネットワーク3上の他のクライアント(例えばクライアント5)と通信可能な状態となる。
このように、本実施形態で適用される認証DHCPサーバ1は、クライアント(ここではクライアント4)からブロードキャストで送信されたDHCP Discoverパケットの受信をトリガとして、DHCP(動的ホスト構成プロトコル)を中断して認証(認証の代行)を開始し、以後EAPLOを使用した認証を中継して、認証されたクライアントにIPアドレスを割り当てるように構成されている。これによりクライアントは、DHCPクライアントとしての機能と802.1x認証におけるSupplicant(認証クライアント)の機能とを有しているならば、特別な機能を必要とせずにIPアドレスを取得することができる。
次に、認証DHCPサーバ1が、IPアドレスを配布していない不正な端末を通信できない状態にする通信シーケンスの詳細について、図5のシーケンスチャート及び図6の通信データのフォーマットを参照して説明する。ここでは、図3の場合と異なって、クライアント4が認証DHCPサーバ1からIPアドレスが配布されていない不正な端末であるものとする。
今、不正な端末であるクライアント4が、例えばクライアント5との通信のために、当該クライアント5(通信相手)のMACアドレスを取得する必要があるものとする。この場合、クライアント4は、クライアント5(つまりターゲット)のIPアドレスをMACアドレスに解決するための、図6に示すフォーマットのARP要求601をブロードキャストでネットワーク3上に送信する(ステップS41)。
ARP要求601は、データリンク層ヘッダ及びARP要求パケットを含む。データリンク層ヘッダの宛先MACアドレス及び送信元MACアドレスには、それぞれ、ブロードキャストアドレス及びクライアント4(不正な端末)のMACアドレスが用いられる。ARP要求パケットは、ターゲットMACアドレス及びターゲットIPアドレス、並びに送信元MACアドレス及び送信元IPアドレスを含む。ARP要求パケットの送信元MACアドレス及び送信元IPアドレスには、クライアント4(不正な端末)のMACアドレス及びIPアドレス(認証DHCPサーバ1によってクライアント4に配布されていないIPアドレス)が用いられる。
認証DHCPサーバ1は、ネットワーク3からARP要求601を受信すると、当該ARP要求601のARP要求パケットに含まれている送信元IPアドレス及び送信元MACアドレスをチェックする。そして認証DHCPサーバ1は、ARP要求パケットに含まれている送信元IPアドレスが自身が配布していないIPアドレス(認証サーバを除く)であるか、或いは当該ARP要求に含まれている送信元MACアドレスがIPアドレスを配布したクライアント以外のMACアドレス(認証サーバを除く)である場合、ARP要求601の送信元(ここではクライアント4)は不正な端末であると判定する。
すると認証DHCPサーバ1は、ARP要求601の送信元(ここではクライアント4)がネットワーク3に接続するのを防止するために、直ちに図6に示すフォーマットの偽のARP応答602を当該送信元(クライアント4)に送信する(ステップS42)。偽のARP応答602の送信元MACアドレスには、偽のMACアドレスが用いられる。偽のMACアドレスとは実在しないMACアドレスを指す。ここでは、MACアドレスの上位3バイトに相当するベンダIDに、存在しない値が用いられたMACアドレスが、偽のMACアドレスとして用いられる。
認証DHCPサーバ1からの偽のARP応答602を受信した不正な端末(クライアント4)は、当該ARP応答602に含まれている偽のMACアドレスを宛先MACアドレスとする通信データを送信する(ステップS43)。この場合、不正な端末(クライアント4)は、偽の宛先MACアドレスのために通信ができない状態となる。即ち、認証DHCPサーバ1は、不正な端末(クライアント4)からのARP要求601に対して偽のARP応答602を返すことで、不正な端末(クライアント)の通信を妨害する。
図7は認証DHCPサーバ1の構成を示すブロック図である。認証DHCPサーバ1は、アドレス管理テーブル11と、テーブル管理部12と、ネットワークIF(ネットワークインタフェース)13と、パケット処理部14と、ARP処理部15と、認証処理部16と、DHCP処理部17とを含む。
図8はアドレス管理テーブル11のデータ構造例を示す。アドレス管理テーブル11のエントリは、認証中のクライアント、認証済みのクライアント、認証サーバ2、或いはルータのような機器のアドレス情報を格納するのに用いられる。アドレス管理テーブル11のエントリは、MACアドレス、IPアドレス、状態(ステータス)、認証子、ID及び有効期限をそれぞれ保持するためのフィールド(MACアドレスフィールド、IPアドレスフィールド、状態フィールド、認証子フィールド、IDフィールド及び有効期限フィールド)から構成される。以下、上記各フィールドについて説明する。
<MACアドレスフィールド>
MACアドレスフィールドは、認証中のクライアント、認証済みのクライアント、認証サーバ2、或いはルータのような機器のMACアドレスを保持するのに用いられる。
<IPアドレスフィールド>
IPアドレスフィールドは、MACアドレスフィールドに保持されているMACアドレスの機器のIPアドレスを保持するのに用いられる。認証中のクライアントの場合、IPアドレスフィールドには所定のIPアドレス「0.0.0.0」が保持される。認証済みのクライアントの場合、IPアドレスフィールドには、DHCP処理部17によって割り当てられたIPアドレスが保持される。
<状態フィールド>
状態フィールドは、MACアドレスフィールドに保持されているMACアドレスの機器の状態を保持するのに用いられる。この状態は、「認証中」及び「認証済」の2種類であるものとする。例えば、クライアントの場合、当該クライアントが「DHCP Discover」を送信すると、状態フィールドは「認証中」を示す状態に設定される。その後、クライアントが認証を完了し、認証サーバから「Radius Access Accept」を受信すると、状態フィールドは「認証済」を示す状態に切り替えされる。また、認証サーバ2或いはルータのような機器の場合、状態フィールドは「認証済」を示す状態に設定される。
<認証子フィールド>
認証子フィールドは、MACアドレスフィールドに保持されているMACアドレスの機器がクライアントの場合に、当該クライアントと認証サーバ2との間の認証プロトコルのセッションを識別するのに用いられる。認証子フィールドには、認証で使用されるラジウス(Radius)パケットの認証子フィールドの値が保持される。また認証サーバ2或いはルータのような機器の場合、認証子フィールドには例えば所定値「0」が保持される。
<IDフィールド>
IDフィールドは、MACアドレスフィールドに保持されているMACアドレスの機器がクライアントの場合に、当該クライアントと認証DHCPサーバ1との間のDHCP(動的ホスト構成プロトコル)のセッションを識別するのに用いられる。IDフィールドには、DHCPで使用される、DHCPパケットのトランザクションIDフィールドの値が保持される。また認証サーバ2或いはルータのような機器の場合、IDフィールドには例えば所定値「0」が保持される。
<有効期限フィールド>
有効期限フィールドは、当該フィールドを含むアドレス管理テーブル11内のエントリ(対応するエントリ)の情報(アドレス情報)の有効期限を示すのに用いられる。このフィールドの値は、テーブル管理部12により定期的にデクリメントされ、値が0となると、対応するエントリの情報はアドレス管理テーブル11から削除される。認証サーバ2或いはルータのような機器に対応するエントリの有効期限フィールドの値は、例えば所定値−1に保持され、定期的なデクリメントの対象とならない。つまり、認証サーバ2或いはルータのような機器のアドレス情報は、アドレス管理テーブル11に静的に登録される。
次に、認証DHCPサーバ1におけるテーブル管理部12の処理について、図9のフローチャートを参照して説明する。テーブル管理部12はアドレス管理テーブル11を定期的に監視する。ここではアドレス管理テーブル11は、例えば1秒間隔で監視されるものとする。
まずテーブル管理部12は、アドレス管理テーブル11から未処理のエントリの情報を取り出して(ステップS51)、当該エントリ中の有効期限フィールドの値をチェックする(ステップS52,S53)。もし、有効期限フィールドの値が0であるならば(ステップS52)、テーブル管理部12は、当該有効期限フィールドを含むアドレス管理テーブル11内のエントリ(対応するエントリ)の情報を、アドレス管理テーブル11から削除する(ステップS54)。
これに対し、有効期限フィールドの値が−1であるならば(ステップS53)、テーブル管理部12は、対応するエントリに認証サーバ2或いはルータのような機器のアドレス情報が静的に登録されていると判定する。この場合、テーブル管理部12は対応するエントリに対して何も操作しない。また、有効期限フィールドの値が0でも−1でもないならば(ステップS52,S53)、テーブル管理部12は当該有効期限フィールドの値を1デクリメントする(ステップS55)。
テーブル管理部12は、以上の処理を、アドレス管理テーブル11の全てのエントリに対して繰り返し実行して(ステップS56)、処理を終了する。
次に、認証DHCPサーバ1におけるネットワークIF13の処理について、図10のフローチャートを参照して説明する。
ネットワークIF13は、ネットワーク3から通信データを受信すると、当該通信データをテーブル管理部12内のパケット処理部14に転送する(ステップS60)。またネットワークIF13は、ARP処理部15、認証処理部16及びDHCP処理部17のいずれかから送信用の通信データが入力されると、当該通信データをネットワーク3に送信する(ステップS70)。このようにネットワークIF13は、ネットワーク3と認証DHCPサーバ1との間で通信データの送受信を行う。
次に、認証DHCPサーバ1におけるパケット処理部14の処理について、図11のフローチャートを参照して説明する。
パケット処理部14は、ネットワークIF13によって受信された通信データが当該パケット処理部14に転送(入力)されると、当該通信データの種類をチェックする(ステップS81)。ここでは、通信データが、ARP要求、「DHCP Discover」、「EAP Response」、「Radius Access Challenge」、「Radius Access Accept」、「DHCP Request」、或いはそれ以外であるかがチェックされる(ステップS82〜S87)。
入力された通信データがARP要求の場合(ステップS82)、パケット処理部14は入力された通信データをARP処理部15に転送する(ステップS88)。
次に、入力された通信データが、「DHCP Discover」、「EAP Response」及び「Radius Access Challenge」のいずれかである場合(ステップS83,S84,S85)、パケット処理部14は当該通信データを認証処理部16に転送する(ステップS89)。
入力された通信データが「Radius Access Accept」の場合(ステップS86)、パケット処理部14は、当該通信データを認証処理部16及びDHCP処理部17の両方に転送する(ステップS89,S90)。
入力された通信データが「DHCP Request」の場合(ステップS87)、パケット処理部14は、当該通信データをDHCP処理部17に転送する(ステップS90)。
入力された通信データが、ARP要求、「DHCP Discover」、「EAP Response」、「Radius Access Challenge」、「Radius Access Accept」及び「DHCP Request」のいずれでもない場合(ステップS82〜S87)、パケット処理部14は何もしないで処理を終了する。つまりパケット処理部14は、入力された通信データを破棄する。
次に、認証DHCPサーバ1におけるARP処理部15の処理について、図12のフローチャートを参照して説明する。
まず、通信データの種類がARP要求であると判定された、例えば図6に示すフォーマットのARP要求601が、パケット処理部14によってARP処理部15に入力されたものとする。するとARP処理部15は、ARP要求601の送信元MACアドレス及び送信元IPアドレスを含むアドレス情報(ARP要求元のアドレス情報)が、アドレス管理テーブル11に存在し、且つ当該アドレス情報の状態フィールドが「認証済」を示しているかをチェックする(ステップS91)。
もし、ARP要求元のアドレス情報が存在しないか、存在しても当該アドレス情報の状態フィールドが「認証済」を示していないならば(ステップS92)、ARP処理部15は、図2に示されるステップS12に相当する処理を次のように実行する。まずARP処理部15は、ARP要求601に基づき、図6に示すフォーマットの偽のARP応答602を生成する(ステップS93)。そしてARP処理部15は、生成された偽のARP応答602をネットワークIF13に転送して(ステップS94)、処理を終了する。
これに対し、ARP要求元のアドレス情報が存在し、且つ当該アドレス情報の状態フィールドが「認証済」を示しているならば(ステップS92)、ARP処理部15はARP要求601のターゲットIPアドレスが、認証DHCPサーバ1のIPアドレスと一致するかをチェックする(ステップS95)。このチェックは、ARP要求11のターゲットIPアドレスを、アドレス管理テーブル11に登録されている認証DHCPサーバ1のアドレス情報中のターゲットIPアドレスと比較することによって行われる。
もし、ARP要求601のターゲットIPアドレスが、認証DHCPサーバ1のIPアドレスと一致するならば(ステップS96)、ARP処理部15は、当該ARP要求601に対する、図13に示すフォーマットのARP応答131を生成する(ステップS97)。
生成されたARP応答131は、データリンク層ヘッダ及びARP応答パケットを含む。ARP応答131のデータリンク層ヘッダの宛先MACアドレスには、図13において矢印132で示されるように、ARP要求601のデータリンク層ヘッダの送信元MACアドレスが用いられる。また、ARP応答131のARP応答パケットのターゲットMACアドレス及びターゲットIPアドレスには、それぞれ、図13において矢印133及び134で示されるように、ARP要求601のARP要求パケットの送信元MACアドレス及び送信元IPアドレスが用いられる。また、ARP応答131の送信元MACアドレス及び送信元IPアドレスには、それぞれ、認証DHCPサーバ1のMACアドレス及びIPアドレスが用いられる。
ARP処理部15は、ARP応答131を生成すると(ステップS97)、上記ステップS94に進む。このステップS94において、ARP処理部15は、生成されたARP応答131をネットワークIF13に転送して、処理を終了する。
一方、ARP要求601のターゲットIPアドレスが、認証DHCPサーバ1のIPアドレスと一致しないならば(ステップS96)、ARP処理部15は何もせずに処理を終了する。
次に、認証DHCPサーバ1における認証処理部16の処理について、図14のフローチャートを参照して説明する。
まず、パケット処理部14によって認証処理部16に通信データ入力されたものとする。すると認証処理部16は通信データ種類判定手段として機能して、通信データの種類をチェックする(ステップS101)。ここでは、通信データが、「DHCP Discover」、「EAP Response」、「Radius Access Challenge」、「Radius Access Accept」、或いはそれ以外であるかがチェックされる(ステップS102〜S105)。
入力された通信データが、例えば図4A(a)に示される通信データ401であり、したがって当該データ401の種類が「DHCP Discover」であると判定された場合(ステップS102)、認証処理部16は図15に示すアドレス情報150を生成して、当該アドレス情報をアドレス管理テーブル11の空きエントリに格納する(ステップS106)。このアドレス情報150のMACアドレスフィールド及びIPアドレスフィールドには、それぞれ、通信データ401の送信元MACアドレス及び所定のIPアドレス「0.0.0.0」が保持される。アドレス情報150の状態フィールド、認証子フィールド及びIDフィールドには、それぞれ、「認証中」を示す状態、所定値「0」及び「DHCP Discover」のトランザクションIDが保持される。アドレス情報150の有効期限フィールドには、有効期限の初期値、例えば300秒を表す値が保持される。この場合、300秒以内に認証が完了しない場合、アドレス情報150がアドレス管理テーブル11から削除される。この有効期限の初期値が、認証DHCPサーバ1の管理者の操作によって、任意の値に設定される構成とすることも可能である。
認証処理部16はステップS106を実行すると認証処理を開始する。即ち認証処理部16は、通信データ401に基づき、「EAP Request」を含む、「DHCP Discover」の送信元のMACアドレス宛ての図4A(b)に示す通信データ402(EAPリクエスト)を生成する(ステップS107)。そして認証処理部16は、生成された通信データ402(EAPリクエスト)をネットワークIF13に転送して(ステップS108)、処理を終了する。
次に、入力された通信データが、例えば図4A(c)に示される通信データ404であり、したがって当該データの種類が「EAP Response」であると判定された場合(ステップS103)、認証処理部16はアドレス管理テーブル11を参照する(ステップS109)。このステップS109において認証処理部16は、通信データ404の送信元MACアドレスに一致するMACアドレスを含むアドレス情報を検索する。ステップS109において認証処理部16は更に、検索されたアドレス情報の認証子フィールドに、「EAP Response」のデータ部に格納されている「Radius Access Request」の認証子フィールドの値を設定(コピー)する。つまり認証処理部16は、検索されたアドレス情報の認証子フィールドの値を、「EAP Response」のデータ部に格納されている「Radius Access Request」の認証子フィールドの値に更新する。この更新後のアドレス情報の一例を図16に示す。
次に認証処理部16は中継手段(変換手段)として機能して、「EAP Response」を含む通信データ404に基づき、当該「EAP Response」のデータ部に格納(カプセル化)されている「Radius Access Request」がUDPのペイロードに格納(コピー)された、図4A(d)に示すフォーマットの認証サーバ2宛ての通信データ407(ラジウスアクセスリクエスト)を生成する(ステップS110)。そして認証処理部16は、生成(変換)された通信データ407(ラジウスアクセスリクエスト)を認証サーバ2に中継するために、当該通信データ407をネットワークIF13に転送して(ステップS108)、処理を終了する。
次に、入力された通信データが、例えば図4B(a)に示される通信データ408であり、したがって当該データの種類が「Radius Access Challenge」であると判定された場合(ステップS104)、認証処理部16はアドレス管理テーブル11を参照する(ステップS111)。このステップS111において認証処理部16は、通信データ408に含まれている「Radius Access Challenge」の認証子フィールドの値に一致する認証子を含むアドレス情報を検索する。
次に認証処理部16は中継手段(変換手段)として機能して、検索されたアドレス情報のMACアドレスを宛先MACアドレスとし、通信データ408の「Radius Access Challenge」が「EAP Request」のデータ部に格納(カプセル化)された、図4B(a)に示すフォーマットの通信データ410(EAPリクエスト)を生成する(ステップS112)。そして認証処理部16は、生成(変換)された通信データ410(EAPリクエスト)を宛先MACアドレスで示されるクライアント(ここではクライアント4)に中継するために、当該通信データ410をネットワークIF13に転送して(ステップS108)、処理を終了する。
次に、入力された通信データが、例えば図4B(c)に示される通信データ414であり、したがって当該データの種類が「Radius Access Accept」であると判定された場合(ステップS105)、認証処理部16はアドレス管理テーブル11を参照する(ステップS113)。このステップS113において認証処理部16は、通信データ414に含まれている「Radius Access Accept」の認証子フィールドの値に一致する認証子を含むアドレス情報を検索する。ステップS113において認証処理部16は更に、検索されたアドレス情報の状態フィールドを、「認証中」を示す状態から「認証済」を示す状態に変更する。この変更後のアドレス情報の一例を図17に示す。
次に認証処理部16は中継手段(変換手段)として機能して、検索されたアドレス情報のMACアドレスを宛先MACアドレスとし、EAPOLパケットのデータ部にEAP成功(EAP Success)が格納された、図4C(a)に示すフォーマットの通信データ415を生成する(ステップS114)。そして認証処理部16は、生成(変換)された通信データ415(EA成功)を宛先MACアドレスで示されるクライアント(ここではクライアント4)に中継するために、当該通信データ415をネットワークIF13に転送して(ステップS108)、処理を終了する。
次に、入力された通信データが、「DHCP Discover」、「EAP Response」、「Radius Access Challenge」及び「Radius Access Accept」のいずれでもない場合(ステップS102〜S105)、認証処理部16は何もしないで処理を終了する。つまり認証処理部16は、入力された通信データを破棄する。
次に、認証DHCPサーバ1におけるDHCP処理部17の処理について、図18のフローチャートを参照して説明する。
まず、パケット処理部14によってDHCP処理部17に通信データ入力されたものとする。するとDHCP処理部17は、通信データの種類をチェックする(ステップS121)。ここでは、通信データが、「Radius Access Accept」、「DHCP Request」、或いはそれ以外であるかがチェックされる(ステップS122,S123)。
入力された通信データが、例えば図4B(c)に示される通信データ414であり、したがって当該データ414の種類が「Radius Access Accept」であると判定された場合(ステップS122)、DHCP処理部17はアドレス管理テーブル11を参照する(ステップS124)。このステップS124においてDHCP処理部17は、通信データ414の送信元MACアドレス及び当該通信データ414に含まれている「Radius Access Accept」の認証子フィールドの値にそれぞれ一致するMACアドレス及び認証子を含む目的のアドレス情報が存在するかをチェックする。
もし、目的のアドレス情報が存在しないならば(ステップS125)、DHCP処理部17は何もしないで処理を終了する。つまりDHCP処理部17は、入力された通信データを破棄する。
これに対し、目的のアドレス情報が存在するならば(ステップS125)、DHCP処理部17はIPアドレス割り当て手段として機能して、アドレス管理テーブル11で使用されていない、新たに割り当て可能なIPアドレスを決定する(ステップS126)。そしてDHCP処理部17は、アドレス管理テーブル11内の目的のアドレス情報のIPアドレスフィールドに、ステップS126で決定されたIPアドレスを設定する(ステップS127)。このIPアドレス設定後のアドレス情報の一例を図19に示す。
次にDHCP処理部17は、図19に示すIPアドレス設定後のアドレス情報に基づき、UDPのペイロードに「DHCP Offer」が格納された、図4C(b)に示される通信データ416(DHCP Offerパケット)を生成する(ステップS128)。この通信データ415の宛先MACアドレスには、IPアドレス設定後のアドレス情報に含まれているMACアドレスが用いられる。
図20は、生成された通信データ416の詳細なフォーマットを示す。図20に示されるように、通信データ416に含まれる「DHCP Offer」は、トランザクションID、ユーザIPアドレス及びクライアントMACアドレスを含む。「DHCP Offer」のトランザクションID、ユーザIPアドレス及びクライアントMACアドレスには、図19に示すアドレス情報に含まれている、IDフィールドの値、IPアドレス(決定されたIPアドレス)及びMACアドレスが用いられる。
DHCP処理部17は、生成された通信データ416(DHCP Offer)をネットワークIF13に転送して(ステップS129)、処理を終了する。
一方、入力された通信データが、例えば図4C(c)に示される通信データ417であり、したがって当該データ417の種類が「DHCP Request」であると判定された場合(ステップS123)、DHCP処理部17はアドレス管理テーブル11を参照する(ステップS130)。このステップS130においてDHCP処理部17は、通信データ417の送信元MACアドレス及び当該通信データ417に含まれているトランザクションIDの値にそれぞれ一致するMACアドレス及びIDを含む目的のアドレス情報が存在するかをチェックする。
もし、目的のアドレス情報が存在しないならば(ステップS131)、DHCP処理部17は何もしないで処理を終了する。つまりDHCP処理部17は、入力された通信データを破棄する。
これに対し、アドレス管理テーブル11内に目的のアドレス情報が存在するならば(ステップS131)DHCP処理部17はIPアドレス割り当て手段として機能して、当該アドレス情報の有効期限フィールドに、当該アドレス情報のIPアドレスフィールドに設定されているIPアドレスの有効期限(リース期限)を示す値を設定する(ステップS132)。ここでは、リース期限として、認証中の有効期限「300秒」よりも長い期限、例えば200000秒を示す値が設定される。このリース期限設定後のアドレス情報の一例を図21に示す。
次にDHCP処理部17は、IPアドレスのリース期限が設定されたアドレス情報(図21参照)に基づき、UDPのペイロードにDHCP承認(DHCP ACK)が格納された、図4C(d)に示される通信データ418(DHCP ACKパケット)を生成する(ステップS133)。この通信データ418の宛先MACアドレスには、リース期限が設定されたアドレス情報に含まれているMACアドレスが用いられる。
図22は、生成された通信データ418の詳細なフォーマットを示す。図22に示されるように、通信データ418に含まれるDHCP ACKパケットは、トランザクションID、ユーザIPアドレス及びクライアントMACアドレスを含む。DHCP ACKパケットのトランザクションID、ユーザIPアドレス及びクライアントMACアドレスには、図21に示すアドレス情報に含まれている、IDフィールドの値、IPアドレス及びMACアドレスが用いられる。
DHCP処理部17は、生成された通信データ418(DHCP ACKパケット)をネットワークIF13に転送して(ステップS129)、処理を終了する。
このように本実施形態においては、認証DHCPサーバ1にアドレス管理テーブル11を設けて、当該アドレス管理テーブル11により、クライアントの物理アドレスに対応付けて当該クライアントの認証状態、及び認証プロトコルによる通信で使用されるセッションを識別するための認証子(識別情報)が管理される。これにより、クライアント4を含む複数のクライアントの認証を並行して実行することができる。
また本実施形態においては、アドレス管理テーブル11により、クライアントの物理アドレスに対応付けて、当該クライアントの認証状態だけでなく、DHCP(動的ホスト構成プロトコル)で使用されるトランザクション(セッション)を識別するための識別情報(トランザクションID)が管理される。これにより、クライアント4を含む複数のクライアントがDHCPによるIPアドレス取得を並行して実行することができる。
[変形例]
次に上記実施形態の変形例について説明する。
上記実施形態では、認証DHCPサーバ1が不正なクライアント(つまり認証されていないクライアント)を通信できない状態にするために、当該不正なクライアントに偽のARP応答(ARP応答パケット)を送信している。本変形例の特徴は、これに加えて、不正なクライアントからのARP要求のターゲットIPアドレスで指定されているクライアントに対しても、当該不正なクライアントに通信データを送信しないようにするための偽のARPパケットを認証DHCPサーバ1が送信することにある。
以下、図2に示されている上記実施形態で適用された仕組みの変形例について、図23を参照して説明する。図23において、図2と同様の部分には同一符号を付してある。図23においても、図2と同様に、クライアント4が認証されていない不正な端末であるものとする。
まず、不正な端末であるクライアント4が、例えばクライアント5と通信を行うのに必要な当該クライアント5のMACアドレスを取得するためのARP要求を、ネットワーク3上にブロードキャストしたものとする(ステップS11)。認証DHCPサーバ1は、クライアント4からのARP要求を受信して、上記実施形態と同様に、当該ARP要求の送信元(クライアント4)が不正な端末であると判定したものとする。
すると認証DHCPサーバ1は、ARP要求の送信元(不正なクライアント4)の通信を妨害するために、直ちに偽のARP応答を当該送信元に送信する(ステップS12)。これに加えて認証DHCPサーバ1は、上記ARP要求のターゲットIPアドレスで指定されているクライアント(ここではクライアント5)に対しても、ARP要求の送信元(不正なクライアント4)に通信データを送信しないようにするための偽のARPパケット、例えば偽のGratuitous ARP(G−ARP)パケットを送信する(ステップS13)。G−ARPパケットは、ターゲットIPアドレスの競合を確認するための特別のアドレス解決プロトコルパケットである。認証DHCPサーバ1による上記のステップS12及びS13の処理は当該認証DHCPサーバ1内のARP処理部15によって行われる。
以下、上記実施形態の変形例におけるARP処理部15の処理について、図24のフローチャートを参照して、上記実施形態と相違する点を中心に説明する。なお、図12のフローチャートと同様のステップには同一符号を付してある。
今、クライアント4からの図6に示されるARP要求601を受信したARP処理部15が、上記実施形態と同様にステップS91,S92を実行することにより、当該ARP要求601の送信元(クライアント4)が不正なクライアントであると判定したものとする。この場合、ARP処理部15は、ARP要求601に基づき、図6に示すフォーマットの偽のARP応答602を生成する(ステップS93)。
次にARP処理部15はアドレス管理テーブル11を参照して、ARP要求601のターゲットIPアドレスと一致するIPアドレスを含むアドレス情報(目的のアドレス情報)がアドレス管理テーブル11に存在するかをチェックする(ステップS131)。もし、目的のアドレス情報が存在するならば(ステップS132)、ARP処理部15はステップS133に進む。ステップS133においてARP処理部15は、ARP要求601のターゲットIPアドレスで指定されているクライアント(クライアント5)が、当該ARP要求601の送信元(クライアント4)に通信データを送信しないようにするために、ARP要求601に基づき、図25に示すフォーマットの偽のG−ARP(Gratuitous ARP)251を生成する。
偽のG−ARP251は、データリンク層ヘッダ及びARP応答パケットを含む。偽のG−ARP251のデータリンク層ヘッダ及びARP応答パケットの送信元MACアドレスには、偽のARP応答602(図6参照)と同様に、偽のMACアドレスが用いられる。偽のG−ARP251のデータリンク層ヘッダの宛先MACアドレスには、上記目的のアドレス情報に含まれているMACアドレス、つまりARP要求601のターゲットIPアドレスで指定されているクライアント(クライアント5)のMACアドレスが用いられる。偽のG−ARP251のARP応答パケットのターゲットIPアドレス及び送信元IPアドレスには、図25において矢印252及び253で示されるように、いずれもARP要求601の送信元IPアドレス(つまり不正なクライアント4のIPアドレス)が用いられる。
次にARP処理部15は、ステップS93で生成された偽のARP応答602とステップS133で生成された偽のG−ARP251をネットワークIF13に転送して(ステップS94)、処理を終了する。
ネットワークIF13は、この偽のARP応答602及び偽のG−ARP251をネットワーク3に送信する(図10(a)のステップS70)。不正なクライアント4は、偽のARP応答602に従い、偽のMACアドレス宛ての通信データを送信する。これにより、不正なクライアント4がクライアント5と通信するのを妨害できる。
一方、クライアント5は、偽のG−ARP251に従い、自身が管理しているアドレス管理テーブルの不正なクライアント4のMACアドレスを偽のMACアドレスに書き換える。これにより、クライアント5が当該偽のMACアドレス宛ての通信データを送信しても、不正なクライアント4は当該通信データを受信することはできない。つまり、不正なクライアント4からのARP要求601のターゲットIPアドレスで指定されているクライアント5に対して、当該不正なクライアント4に通信データを送信しないようにすることができる。
一方、目的のアドレス情報が存在しないならば(ステップS132)、ARP処理部15は偽のG−ARPを生成する必要がないとして、ステップS133をスキップしてステップS94に進む。この場合、ARP処理部15は上記実施形態と同様に、ステップS93で生成された偽のARP応答602をネットワークIF13に転送して、処理を終了する。
なお、本発明は、上記実施形態またはその変形例そのままに限定されるものではなく、実施段階ではその要旨を逸脱しない範囲で構成要素を変形して具体化できる。また、上記実施形態またはその変形例に開示されている複数の構成要素の適宜な組み合わせにより種々の発明を形成できる。例えば、実施形態またはその変形例に示される全構成要素から幾つかの構成要素を削除してもよい。
本発明の一実施形態に係る認証DHCPサーバを含むネットワークシステムの基本構成と動作原理を説明するための図。 図1に示されるシステムにおいて、認証されていない不正な端末を通信できない状態にするための仕組みを説明するための図。 図1のシステムにおいて、クライアントがユーザ認証を行いIPアドレスを取得するまでの通信シーケンスの詳細を示すシーケンスチャート。 上記通信シーケンスで適用される通信データのフォーマットを示す図。 上記通信シーケンスで適用される通信データのフォーマットを示す図。 上記通信シーケンスで適用される通信データのフォーマットを示す図。 不正な端末を通信できない状態にする通信シーケンスの詳細を示すシーケンスチャート。 図5の通信シーケンスで適用される通信データのフォーマットを示す図。 図1に示される認証DHCPサーバの構成を示すブロック図。 図7に示されるアドレス管理テーブルのデータ構造例を示す図。 認証DHCPサーバにおけるテーブル管理部の処理手順を示すフローチャート。 認証DHCPサーバにおけるネットワークIFの処理手順を示すフローチャート。 認証DHCPサーバにおけるパケット処理部の処理手順を示すフローチャート。 認証DHCPサーバにおけるARP処理部の処理手順を示すフローチャート。 ARP要求及びARP応答のフォーマットを示す図。 認証DHCPサーバにおける認証処理部の処理手順を示すフローチャート。 アドレス情報の一例を示す図。 アドレス情報の一例を示す図。 アドレス情報の一例を示す図。 認証DHCPサーバにおけるDHCP処理部の処理手順を示すフローチャート。 アドレス情報の一例を示す図。 DHCP Offerパケットを含む通信データのフォーマットを示す図。 アドレス情報の一例を示す図。 DHCP ACKパケットを含む通信データのフォーマットを示す図。 図2に示されている上記実施形態で適用された仕組みの変形例を示す図。 上記実施形態の変形例におけるARP処理部の処理手順を示すフローチャート。 ARP要求及びG−ARPのフォーマットを示す図。
符号の説明
1…認証DHCPサーバ、2…認証サーバ、3…ネットワーク、4,5…クライアント(クライアント端末)、11…アドレス管理テーブル、12…テーブル管理部、13…ネットワークIF、14…パケット処理部、15…ARP処理部、16…認証処理部、17…DHCP処理部。

Claims (6)

  1. ネットワークに接続されたクライアント端末にIPアドレスを割り当てる動的ホスト構成プロトコルサーバにおいて、
    前記ネットワークに接続されたクライアント端末の物理アドレスに対応付けて当該クライアント端末の認証状態を保持する管理テーブルと、
    前記ネットワークとの間で通信データを送受信するネットワークインタフェースと、
    前記ネットワークに接続されたIPアドレス未割り当てのクライアント端末から送信された、認証を要求するための認証データを、前記ネットワークに接続された認証サーバに前記ネットワークインタフェースを介して中継する中継手段と、
    前記クライアント端末から要求された認証に成功したことが前記認証サーバによって通知された場合に、当該認証を要求した前記クライアント端末の物理アドレスに対応付けて前記管理テーブルに保持されている認証状態を、認証済みを示す状態に設定する認証処理手段と、
    前記認証済みを示す状態に設定された認証状態と対応付けて前記管理テーブルに保持されている物理アドレスのクライアント端末にIPアドレスを割り当てるIPアドレス割り当て手段と、
    前記ネットワークに接続されたクライアント端末からブロードキャストによって前記ネットワーク上に送信されたアドレス解決プロトコル要求が前記ネットワークインタフェースによって受信された場合に、前記管理テーブルを参照して当該アドレス解決プロトコル要求を送信したクライアント端末が認証済みであるかを判定し、認証済みでない場合に当該アドレス解決プロトコル要求を送信したクライアント端末に前記ネットワークインタフェースを介して偽のアドレス解決プロトコル応答を送信するアドレス解決プロトコル処理手段と
    を具備することを特徴とする動的ホスト構成プロトコルサーバ。
  2. 前記認証処理手段は、前記ネットワークに接続されたクライアント端末からブロードキャストで送信された、動的ホスト構成プロトコルに従って動的ホスト構成プロトコルサーバを検出するための特定パケットを含む通信データが前記ネットワークインタフェースによって受信された場合に、拡張認証プロトコルに従う認証のための拡張認証プロトコルリクエストを生成して、当該生成されたリクエストを前記特定パケットの送信元の前記クライアント端末に前記ネットワークインタフェースを介して送信する拡張認証プロトコルリクエスト生成手段を含み、
    前記中継手段は変換手段を含み、
    前記変換手段は、前記認証データが、前記拡張認証プロトコルリクエストに応じて前記クライアント端末から送信された拡張認証プロトコルでカプセル化された第1の認証データの場合に、当該第1の認証データを前記認証サーバ宛てのIPヘッダを含む第2の認証データに変換して、当該第2の認証データを前記認証サーバに前記ネットワークインタフェースを介して送信し、前記第2の認証データに応じて前記認証サーバから第3の認証データが送信された場合に、当該第3の認証データを前記拡張認証プロトコルでカプセル化された第4の認証データに変換して、当該第4の認証データを前記第1の認証データの送信元の前記クライアント端末に前記ネットワークインタフェースを介して送信する
    ことを特徴とする請求項1記載の動的ホスト構成プロトコルサーバ。
  3. 前記拡張認証プロトコルリクエスト、前記第1の認証データ、前記第2の認証データ、前記第3の認証データ及び前記第4の認証データの各通信データは、当該通信データが送信される前記クライアント端末と前記動的ホスト構成プロトコルサーバとの間の前記認証プロトコルによる通信で使用されるセッションを識別するための認証子を含み、
    前記管理テーブルは、前記ネットワークに接続されたクライアント端末の物理アドレスに対応付けて、当該クライアント端末の認証状態に加えて、当該クライアント端末と前記動的ホスト構成プロトコルサーバとの間の前記認証プロトコルによる通信で使用されるセッションを識別するための識別情報を保持し、
    前記変換手段は、前記第1の認証データから前記第2の認証データへの変換時と前記第3の認証データから前記第4の認証データへの変換時とに、当該変換される認証データに含まれている識別情報に一致する識別情報と対応付けて前記管理テーブルに保持されている物理アドレスを、変換後の認証データの宛先物理アドレスとして決定する
    ことを特徴とする請求項2記載の動的ホスト構成プロトコルサーバ。
  4. 前記特定パケットは、前記動的ホスト構成プロトコルで使用されるトランザクションを識別するためのトランザクションIDを含み、
    前記管理テーブルは、前記ネットワークに接続されたクライアント端末の物理アドレスに対応付けて、当該クライアント端末の認証状態に加えて、当該クライアント端末と前記動的ホスト構成プロトコルサーバとの間の前記動的ホスト構成プロトコルによる通信で使用されるトランザクションを識別するためのトランザクションIDを保持し、
    前記認証処理手段は、前記特定パケットを含む通信データが前記ネットワークインタフェースによって受信された場合に、当該通信データを送信した前記クライアントクライアント端末の物理アドレスに対応付けて、認証中を示す認証状態及び当該通信データの前記特定パケットに含まれている前記トランザクションIDを前記管理テーブルに設定し、
    前記IPアドレス割り当て手段は、前記クライアント端末に割り当てられるべきIPアドレス及び当該クライアント端末の物理アドレスと対応付けて前記管理テーブルに保持されている前記トランザクションIDを含む、当該物理アドレスを宛先とする前記動的ホスト構成プロトコルに従うパケットを生成して、当該生成されたパケットを当該クライアント端末に前記ネットワークインタフェースを介して送信する
    ことを特徴とする請求項2記載の動的ホスト構成プロトコルサーバ。
  5. 前記管理テーブルは、前記ネットワークに接続されたクライアント端末の物理アドレスに対応付けてられている当該クライアント端末の認証状態が認証済みを示す場合に、当該物理アドレスに対応付けて、当該認証済みを示す認証状態に加えて、当該クライアント端末に割り当てられたIPアドレスを保持し、
    前記アドレス解決プロトコル要求は解決されるべきターゲットIPアドレスを含み、
    前記アドレス解決プロトコル処理手段は、前記偽のアドレス解決プロトコル応答を前記アドレス解決プロトコル要求を送信したクライアント端末に前記ネットワークインタフェースを介して送信すると共に、前記ターゲットIPアドレスの競合を確認するための特別のアドレス解決プロトコル要求を、前記アドレス解決プロトコル要求に含まれる前記ターゲットIPアドレスに一致するIPアドレスと対応付けて前記管理テーブルに保持されている物理アドレスのクライアント端末に前記ネットワークインタフェースを介して送信する
    ことを特徴とする請求項1記載の動的ホスト構成プロトコルサーバ。
  6. ネットワークに接続されたクライアント端末に動的ホスト構成プロトコルサーバがIPアドレスを割り当てるためのIPアドレス割り当て方法において、
    前記ネットワークに接続されたIPアドレス未割り当てのクライアント端末から前記動的ホスト構成プロトコルサーバに送信された、認証を要求するための認証データを、前記ネットワークに接続された認証サーバに前記動的ホスト構成プロトコルサーバが中継するステップと、
    前記動的ホスト構成プロトコルサーバによって前記認証サーバに中継された前記認証データに基づく認証に前記認証サーバが成功した結果、前記クライアント端末から要求された認証に成功したことを示す認証データが前記認証サーバによって前記動的ホスト構成プロトコルサーバに通知された場合に、前記動的ホスト構成プロトコルサーバが有する管理テーブルに、前記動的ホスト構成プロトコルサーバが、当該クライアント端末の物理アドレスに対応付けて認証済みを示す認証状態を設定するステップと、
    前記認証済みを示す状態に設定された認証状態と対応付けて前記管理テーブルに保持されている物理アドレスのクライアント端末に前記動的ホスト構成プロトコルサーバがIPアドレスを割り当てるステップと、
    前記ネットワークに接続されたクライアント端末からブロードキャストによって前記ネットワーク上に送信されたアドレス解決プロトコル要求が前記ネットワークインタフェースによって受信された場合に、前記動的ホスト構成プロトコルサーバが前記管理テーブルを参照して、当該アドレス解決プロトコル要求を送信したクライアント端末が認証済みであるかを判定するステップと、
    認証済みでないと判定された場合に、当該アドレス解決プロトコル要求を送信したクライアント端末に前記動的ホスト構成プロトコルサーバが偽のアドレス解決プロトコル応答を送信するステップと
    を具備することを特徴とするIPアドレス割り当て方法。
JP2007081626A 2007-03-27 2007-03-27 動的ホスト構成プロトコルサーバ及びipアドレス割り当て方法 Pending JP2008244765A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2007081626A JP2008244765A (ja) 2007-03-27 2007-03-27 動的ホスト構成プロトコルサーバ及びipアドレス割り当て方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2007081626A JP2008244765A (ja) 2007-03-27 2007-03-27 動的ホスト構成プロトコルサーバ及びipアドレス割り当て方法

Publications (1)

Publication Number Publication Date
JP2008244765A true JP2008244765A (ja) 2008-10-09

Family

ID=39915568

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2007081626A Pending JP2008244765A (ja) 2007-03-27 2007-03-27 動的ホスト構成プロトコルサーバ及びipアドレス割り当て方法

Country Status (1)

Country Link
JP (1) JP2008244765A (ja)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB2494891A (en) * 2011-09-21 2013-03-27 Cloud Networks Ltd A race condition during MAC authentication is avoided by confirming authentication to DHCP server prior to address allocation.
JP2014060570A (ja) * 2012-09-18 2014-04-03 Sanken Electric Co Ltd 情報通信方法および情報通信システム
JP2019041176A (ja) * 2017-08-23 2019-03-14 株式会社ソフトクリエイト 不正接続遮断装置及び不正接続遮断方法
CN115065494A (zh) * 2022-04-02 2022-09-16 北京北信源软件股份有限公司 网络连接的建立方法、装置、设备及介质

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001211180A (ja) * 2000-01-26 2001-08-03 Nec Commun Syst Ltd クライアント認証機能付きdhcpサーバ、及びその認証方法
JP2003218873A (ja) * 2002-01-24 2003-07-31 Fujitsu Ltd 通信監視装置及び監視方法
JP2004207788A (ja) * 2002-12-20 2004-07-22 Furukawa Electric Co Ltd:The アクセス制御方法、アクセス制御装置およびその装置を用いたアクセス制御システム
JP2005079706A (ja) * 2003-08-28 2005-03-24 Nec Corp ネットワークへの不正接続防止システム、及びネットワークへの不正接続防止装置
JP2005198090A (ja) * 2004-01-08 2005-07-21 Fujitsu Ltd ネットワーク不正接続防止方法及び装置
JP2006245895A (ja) * 2005-03-02 2006-09-14 Nippon Telegr & Teleph Corp <Ntt> Dhcpユーザ装置及びdhcp認証システム
JP2006262019A (ja) * 2005-03-16 2006-09-28 Fujitsu Ltd ネットワーク検疫プログラム、該プログラムを記録した記録媒体、ネットワーク検疫方法、およびネットワーク検疫装置

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001211180A (ja) * 2000-01-26 2001-08-03 Nec Commun Syst Ltd クライアント認証機能付きdhcpサーバ、及びその認証方法
JP2003218873A (ja) * 2002-01-24 2003-07-31 Fujitsu Ltd 通信監視装置及び監視方法
JP2004207788A (ja) * 2002-12-20 2004-07-22 Furukawa Electric Co Ltd:The アクセス制御方法、アクセス制御装置およびその装置を用いたアクセス制御システム
JP2005079706A (ja) * 2003-08-28 2005-03-24 Nec Corp ネットワークへの不正接続防止システム、及びネットワークへの不正接続防止装置
JP2005198090A (ja) * 2004-01-08 2005-07-21 Fujitsu Ltd ネットワーク不正接続防止方法及び装置
JP2006245895A (ja) * 2005-03-02 2006-09-14 Nippon Telegr & Teleph Corp <Ntt> Dhcpユーザ装置及びdhcp認証システム
JP2006262019A (ja) * 2005-03-16 2006-09-28 Fujitsu Ltd ネットワーク検疫プログラム、該プログラムを記録した記録媒体、ネットワーク検疫方法、およびネットワーク検疫装置

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB2494891A (en) * 2011-09-21 2013-03-27 Cloud Networks Ltd A race condition during MAC authentication is avoided by confirming authentication to DHCP server prior to address allocation.
GB2494891B (en) * 2011-09-21 2018-12-05 The Cloud Networks Ltd User authentication in a network access system
JP2014060570A (ja) * 2012-09-18 2014-04-03 Sanken Electric Co Ltd 情報通信方法および情報通信システム
JP2019041176A (ja) * 2017-08-23 2019-03-14 株式会社ソフトクリエイト 不正接続遮断装置及び不正接続遮断方法
CN115065494A (zh) * 2022-04-02 2022-09-16 北京北信源软件股份有限公司 网络连接的建立方法、装置、设备及介质
CN115065494B (zh) * 2022-04-02 2023-11-14 北京北信源软件股份有限公司 网络连接的建立方法、装置、设备及介质

Similar Documents

Publication Publication Date Title
RU2385488C2 (ru) Протокол разрешения имен для проводного соединения равноправных устройств и используемая в нем структура данных формата сообщения
JP3641128B2 (ja) 移動計算機装置、移動計算機管理装置、移動計算機管理方法及び通信制御方法
US8214537B2 (en) Domain name system using dynamic DNS and global address management method for dynamic DNS server
US8369346B2 (en) Method and system for restricting a node from communicating with other nodes in a broadcast domain of an IP (internet protocol) network
US20080184354A1 (en) Single sign-on system, information terminal device, single sign-on server, single sign-on utilization method, storage medium, and data signal
JP5002259B2 (ja) 認証システム
JP2001211180A (ja) クライアント認証機能付きdhcpサーバ、及びその認証方法
JP2003289340A (ja) 識別子問い合わせ方法、通信端末及びネットワークシステム
US20060190717A1 (en) Communication apparatus, communication method, communication program and recording medium
JP4524906B2 (ja) 通信中継装置、通信中継方法、および通信端末装置、並びにプログラム記憶媒体
US7289471B2 (en) Mobile router, position management server, mobile network management system, and mobile network management method
JP2008244765A (ja) 動的ホスト構成プロトコルサーバ及びipアドレス割り当て方法
JP2002084306A (ja) パケット通信装置及びネットワークシステム
JP2006074451A (ja) IPv6/IPv4トンネリング方法
JP2010187314A (ja) 認証機能付きネットワーク中継機器及びそれを用いた端末の認証方法
JP2003318939A (ja) 通信システムおよびその制御方法
JP5029994B2 (ja) 通信システム、通信装置、アドレス割当装置、通信制御方法、及び通信制御プログラム
JP2004078280A (ja) リモートアクセス仲介システム及び方法
US20220086048A1 (en) Communication management system, management server, vpn server, terminal, communication management method, and program
JP2013214825A (ja) 中継装置、通信制御方法及び通信制御プログラム
JP2004104355A (ja) ネットワークアドレス管理方法、その管理装置およびネットワークアドレス管理システム
KR100513296B1 (ko) 네트워크 접근제어를 위한 네트워크 관리장치와관리시스템 및 이를 이용한 네트워크 접근제어 방법
JP5453995B2 (ja) 装置管理システム、管理対象装置、およびプログラム
WO2006075823A1 (en) Internet protocol address management system co-operated with authentication server
JP2002271367A (ja) ネットワークの接続システム

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20090225

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20090609

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20090807

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20100223

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20100622