JP2009130838A - パケット中継装置 - Google Patents

パケット中継装置 Download PDF

Info

Publication number
JP2009130838A
JP2009130838A JP2007306238A JP2007306238A JP2009130838A JP 2009130838 A JP2009130838 A JP 2009130838A JP 2007306238 A JP2007306238 A JP 2007306238A JP 2007306238 A JP2007306238 A JP 2007306238A JP 2009130838 A JP2009130838 A JP 2009130838A
Authority
JP
Japan
Prior art keywords
authentication
packet
terminal
relay device
processing unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2007306238A
Other languages
English (en)
Other versions
JP2009130838A5 (ja
JP4909875B2 (ja
Inventor
Motohide Nomi
元英 能見
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Alaxala Networks Corp
Original Assignee
Alaxala Networks Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Alaxala Networks Corp filed Critical Alaxala Networks Corp
Priority to JP2007306238A priority Critical patent/JP4909875B2/ja
Priority to US12/173,051 priority patent/US8646033B2/en
Publication of JP2009130838A publication Critical patent/JP2009130838A/ja
Publication of JP2009130838A5 publication Critical patent/JP2009130838A5/ja
Application granted granted Critical
Publication of JP4909875B2 publication Critical patent/JP4909875B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/123Applying verification of the received information received data contents, e.g. message integrity

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Power Engineering (AREA)
  • Small-Scale Networks (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

【課題】ネットワーク認証システムにおいて、パケット中継装置でMACアドレス認証を動作させる場合、パケット中継装置に余計な負荷を掛けないことと、アプリケーション毎に認証可能にする。
【解決手段】パケット中継装置では、MACアドレス認証の認証対象パケットを指定したパケットのみにして、H/WからCPUに転送するパケット数を削減する。また、MACアドレス認証の認証対象パケットは送信元MACアドレスの他に、イーサタイプ、宛先IPアドレス、プロトコル、TCP/UDPの送信元ポート番号、宛先ポート番号等を指定することで、MACアドレス認証の認証対象パケットを送信しない端末については、Web認証、IEEE802.1X認証等のその他の認証方式を選択可能にし、認証対象から外すことも可能になる。
【選択図】図1

Description

本発明は、パケット中継装置に係り、特に演算処理部の負荷を低減するパケット中継装置に関する。
ネットワーク認証システムにおけるMACアドレス認証では、端末から送信されたパケットの送信元MACアドレスを認証用の情報として、認証サーバで通信許可もしくは拒否するかを判定する。
ネットワーク認証システムでは、パケット中継装置は、認証前の端末もしくは認証サーバに通信拒否された端末からの基幹ネットワークへ通信しようとするパケットについて廃棄する。パケット中継装置は、認証サーバに通信許可された端末からのパケットについて基幹ネットワークへの通信を中継する。
パケット中継装置でMAC認証を行う場合、端末から送信される全てのパケットが認証対象のパケットになる。このため、認証サーバの判定結果が通信許可され、パケット中継装置に通信許可の設定がされるまでは、認証前の端末から送信される全パケットがパケット中継装置のCPUに転送される。
認証するつもりの無い端末のパケットもパケット中継装置が受信すると、パケット中継装置は、常に認証処理を行う。また、1台の端末で動作するOS、アプリケーションによって、IEEE802.1X認証、Web認証等の他の認証方式にする場合がある。しかし、これらの認証方式を採用する場合も、パケット中継装置は、まず全てMACアドレス認証で認証を試みる。
特許文献1は、代理認証手段が、認証履歴保持手段の認証履歴情報を利用して通信相手を代理認証するとともに代理認証拡張手段内のディジタル署名判定証明書情報取得に関する機能を利用して代理認証するマルチ認証機能スイッチ装置を開示している。
特開2007−267315号公報
背景技術では端末が認証成功するまで、端末から送信されるパケットは、全て認証対象パケットとしてパケット中継装置のハードウェア部(H/W)から、ソフトウェア部(S/W)に転送される。このため、S/WのCPUに負荷がかかる。また、1台の端末で動作するOS、アプリケーションによって、IEEE802.1X認証、Web認証等の他の認証方式にする場合がある。しかし、パケット中継装置は、全てMACアドレス認証で認証を試みる。そのため、不要なMACアドレス認証を行うことによるS/WのCPU負荷がかかる。
また、MAC認証方式で端末に対する生存有無を確認するためにポーリングを行う場合を考える。ポーリングには端末のIPアドレスが必要になる。しかし、MAC認証の場合には全てのパケットが認証対象のため、宛先IPアドレスについて、IPv4アドレスによるポーリングを行いたいにも関わらず、IPアドレス配布前のDHCP(Dynamic Host Configuration Protocol)パケット、IPv6パケットも認証対象パケットとなることもある。このとき認証を行ったパケットから端末のIPv4アドレスを取得できないという問題が発生する。これも、不要なMACアドレス認証を行うことによる弊害である。
本発明の目的は、前述の問題点を解決するために、不要なMACアドレス認証を行わず、更に、1台の端末でOS、アプリケーション毎にMACアドレス認証、Web認証、IEEE802.1X認証等の認証方法を選択可能にするパケット中継装置を提供することにある。
パケット中継装置では、ネットワーク認証システムでMACアドレス認証を行う場合、端末から送信されたパケットの送信元MACアドレスを認証用情報として、認証サーバに送信する。認証サーバでは予め登録された認証用情報データベースでパケット中継装置から受信した認証用情報を照合し、判定結果をパケット中継装置に送信する。パケット中継装置では判定結果に基づき、通信許可の場合には、H/Wに該当の送信元MACアドレスを中継可能にするように設定する。
パケット中継装置では、MACアドレス認証の認証対象パケットを指定したパケットのみにして、H/WからCPUに転送するパケット数を削減する。また、MACアドレス認証の認証対象パケットは送信元MACアドレスの他に、Ethernet(登録商標)タイプ、宛先IPアドレス、プロトコル、TCP/UDPの送信元ポート番号、宛先ポート番号等を指定することで、MACアドレス認証の認証対象パケットを送信しない端末については、Web認証、IEEE802.1X認証等のその他の認証方式を選択可能にし、MACアドレス認証対象から外す。
すなわち、上述した課題は、端末装置を収容し、この端末装置と認証装置を含む情報処理装置とのパケットの送受信を中継し、認証装置に認証要求を送信し、かつ認証判定を受信する複数の認証処理部と、データベースを参照して、未認証端末からのパケットを前記認証処理部の一つに転送する認証前パケット処理部と、からなり、認証前パケット処理部は、未認証端末からのパケットの種別と前記データベースとを対比して、該当するエントリがある場合に、複数の認証処理部のいずれかにパケットを転送するパケット中継装置により、解決することができる。
本発明では、ネットワーク認証システムにおいてMACアドレス認証を行う場合に、MACアドレス認証を行うパケット中継装置のCPUに余計な負荷を軽減する効果がある。
以下本発明の実施の形態について、実施例を用い図面を参照しながら説明する。なお、実質同一部位には同じ参照番号を振り、説明は繰り返さない。
まず、図1を参照して、ネットワーク認証システムを説明する。ここで、図1はネットワーク認証システムのハードウェアブロック図およびパケット中継装置の機能ブロック図である。
図1において、ネットワーク認証システム1000は、パケットを中継するパケット中継装置300に対して、4台の端末10と、2台の認証サーバ700と、2式の基幹ネットワーク400を接続して構成されている。基幹ネットワーク400は、ネットワーク認証システム1000を利用して、基幹ネットワーク400への接続を認証された端末のみが接続できる。認証サーバ700は、端末10のネットワークへの接続可否を判定するための認証データベースを保持している。認証サーバ700の図示しない認証データベースは、MACアドレス認証用には通信を許可するMACアドレス、IEEE802.1X認証およびWeb認証用にはユーザ名、パスワード情報を保持する。認証サーバ700は、端末10が認証要求した場合に、認証データベースに登録している情報と一致するか判定を行う。
パケット中継装置300は、端末10−1〜10−4のいずれかがネットワーク接続しようとしたとき、認証サーバ700−1または700−2に通信許可された端末のみを基幹ネットワーク400に接続する。
端末10−1は、メインフレーム端末として起動時にはMACアドレス認証対象端末、TCP/IP端末として起動時にはWeb認証対象端末として動作する。端末10−2は、MAC認証対象の端末として動作する。端末10−3は、IEEE802.1X認証対象の端末として動作する。端末10−4は、Web認証対象の端末として動作する。
パケット中継装置300は、ハードウェア部100とソフトウェア部200で構成される。ハードウェア部100は、認証前の端末から送信されたパケットを廃棄またはソフトウェア部100に転送を行う認証前パケット処理部110と、認証サーバに通信許可された端末から送信されるパケットを処理する認証成功パケット処理部120で構成される。
認証成功パケット処理部120は、認証サーバに通信許可された端末から送信されるパケット種別を登録した認証成功パケット動作DBを保持している。認証成功パケット処理部120は、受信したパケットが通信許可されたパケットであるかを受信したパケットと認証成功パケット動作DB121を照合して、一致した場合、基幹ネットワーク400−1や400−2に中継する。認証成功パケット処理部120は、受信したパケットが通信許可されたパケットであるかを受信したパケットと認証成功パケット動作DB121を照合して、一致しない場合、認証前パケット処理部110に転送する。
認証前パケット処理部110は、認証前の端末から受信したパケットをソフトウェア部に転送するパケット種別を登録した認証前パケット動作DB111を保持している。認証前パケット処理部110は、受信したパケットと認証前パケット動作DB111を照合して、一致した場合、ソフトウェア部200に転送する。認証前パケット処理部110は、受信したパケットと認証前パケット動作DB111を照合して、一致しない場合、パケットを廃棄する。
ソフトウェア部200は、認証前パケット処理部110から転送されたパケットを各認証処理部に振り分ける認証前振り分け部240、MACアドレス認証の処理を行うMACアドレス認証処理部210、Web認証の処理を行うWeb認証処理部220、IEEE802.1X認証を行うIEEE802.1X認証処理部230から構成される。
認証前パケット振り分け部240は、認証前パケット処理部110から受けたパケットがMACアドレス認証、Web認証、IEEE802.1X認証のどの処理を行う対象のパケットであるかを判定し、MACアドレス認証処理部210、Web認証処理部220、IEEE802.1X認証処理部230のいずれかにパケットを転送する。
MACアドレス認証処理部210は、パケット種別毎に選択する認証サーバ700を登録する認証サーバ選択DB211を保持する。MACアドレス認証処理部210は、パケットを受けるとパケットと認証サーバ選択DB211を照合して、認証を行う認証サーバ700を選択する。
基幹ネットワーク400−1にはTCP/IP通信が可能な2台のアプリケーションサーバ500が接続されている。基幹ネットワーク400−2にはメインフレーム600が接続されている。
図2を参照して、認証前のパケットの動作を規定した認証前パケット動作DBを説明する。ここで、図2は認証前パケット動作DBを説明する図である。図2において、認証前パケット動作DB111は、パケット中継装置300で認証処理を行うためのパケットの種別と動作を設定している。エントリはT1E1〜T1E5である。エントリには認証対象パケット条件1111および対象パケットの動作1112を設定している。一部を説明すれば、T1E1には認証対象パケット条件としてはイーサタイプが0x80D5で、動作としてはMAC認証対象パケットとしてS/W200行きと設定している。T1E5には認証対象パケット条件としてはTCP宛先ポート番号が80(http)および443(https)で、動作としてはWeb認証対象パケットとしてS/W200行きと設定している。なお、T1E4のEAP(Extensible Authentication Protocol)は、IEEE802.1X認証処理のパケットである。図2は一例であり、認証対象パケット条件1111としては、認証対象パケットの任意のフィールドを設定可能である。例えば、レイヤ2ヘッダのフィールドであるイーサタイプ、MACアドレス等や、レイヤ3ヘッダのフィールドである送信元IPアドレス、宛先IPアドレス、プロトコル番号等や、レイヤ4ヘッダのフィールドであるTCP/UDPの宛先ポート番号、送信元ポート番号等の各種フィールドのいずれか、もしくは、その組合せを認証対象パケット条件1111として設定することができる。認証前パケット処理部110は、これら認証対象パケット条件1111に合致するパケットを対応する動作1112に基づいて処理する。このため、パケットの種別に基づいて、どの種類の認証をすべきパケットであるかを判定可能となる。また、認証対象パケット条件1111に合致しないパケットをソフトウェア部200に転送しないことで不要な認証処理を行うことを回避することができる。
図3を参照して、MACアドレス認証対象パケットの種別毎に認証要求先の認証サーバを選択する認証サーバ選択DBを説明する。ここで、図3は認証サーバ選択DBを説明する図である。図3において、認証サーバ選択DB211には、パケット中継装置300でMACアドレス認証処理を行うときに認証要求を行う認証サーバ700を選択するための設定をしている。エントリはT2E1〜T2E3である。エントリには認証対象パケット条件2111および対象パケットの動作2112を設定している。一部を説明すれば、T2E1には認証対象パケット条件としてはイーサネットタイプが0x80D5で、動作としては認証サーバ700−1に認証要求をする。また、認証対象パケット条件2111には、図2の認証対象パケット条件1111と同様に認証対象パケットの任意のフィールドを設定可能である。
図4を参照して、認証が成功した端末から送信される全パケット、もしくは、認証が成功した端末から送信されるパケットのうち特定アプリケーションのパケットに対して通信許可する場合の認証成功パケット動作DBを説明する。ここで、図4は認証成功パケット動作DBを説明する図である。図4において、認証成功パケット動作DB121には、パケット中継装置300で認証が成功して中継許可をするパケットの種別が登録されている。未登録のパケットについては、認証前パケットとして、認証前パケット処理部110で処理される。エントリはT3E1〜T3E4である。エントリにはパケット条件1211および対象パケットの動作1222を設定している。一部を説明すれば、T3E1にはパケット条件は送信元MACアドレスがAで、動作には中継すると設定している。ここで、送信元MACアドレスAは、認証成功した端末のMACアドレスである。この場合、認証が成功した端末から送信される全パケットが中継される。また、T3E3にはパケット条件は送信元MACアドレスがCでUDPポート宛先ポート番号5001〜5300、動作には中継すると設定している。この場合は、認証が成功した端末から送信されるパケットのうち、特定のアプリケーションのパケットのみが中継される。
図5を参照して、パケット中継装置の処理動作を説明する。ここで、図5はパケット中継装置のフローチャートである。図5に従って、MACアドレス認証を中心として認証対象パケット選択の動作について説明する。図5において、まずパケット中継装置300は、端末10からパケットを受信する(S101)。パケット中継装置300の認証成功パケット処理部120は、認証成功パケットパケット動作DB121に登録されているか判定する(S102)。YESのとき、認証成功パケット処理部120は、中継処理を実行し(S111)、終了する。
ステップ102でNOのとき、認証前パケット処理部110は、受信したパケットと認証前パケット動作DB111の認証対象パケット条件に一致するエントリがあるか照合する(S103)。一致するエントリが無い場合(NO)、パケットを廃棄し(S112)、終了する。一致するエントリがある場合(S103:YES)、認証前パケット処理部110は、そのエントリの動作1112に基づいてどの種類の認証対象パケットであるかを判定し、ソフトウェア部200の認証前パケット振り分け部240にパケットを転送する。パケット振り分け部240は、認証前パケット処理部110の判定結果に基づいて、受信した認証対象パケットをMACアドレス認証処理部210またはWeb認証処理部220またはIEEE802.1X認証処理部230へ転送する(S104)。Web認証対象パケットであるとき、パケット振り分け部240は、Web認証処理部220に認証処理を実行させる(S113)。ステップ104でIEEE802.1X認証対象パケットであるとき、パケット振り分け部240は、IEEE802.1X認証処理部230に認証処理を実行させる(S114)。
ステップ104でMACアドレス認証対象パケットであるとき、パケット振り分け部240は、MACアドレス認証処理部210に転送し、MACアドレス認証処理部210は、認証サーバ選択DB211に従って該当の認証サーバを選択し、受信したパケットの送信元MACアドレスおよび必要であればイーサネットタイプ、IPアドレス、TCP/UDPポート番号等を認証情報として、認証サーバ700に認証要求する(S106)。認証サーバ700は、認証処理を行い、認証結果をパケット中継装置300に送信する。認証結果には認証成功または認証失敗の情報を含む。MACアドレス認証処理部210は、認証サーバ700から受けた認証結果が認証成功であるか認証失敗であるかを確認する(S107)。認証失敗になったとき(NO)、MACアドレス認証処理部210は、パケットを廃棄し(S116)、終了する。ステップ107で認証成功になった場合(YES)、MACアドレス認証処理部210は、認証成功パケット動作DB121のパケット条件1211に認証端末の送信元MACアドレスおよび認証サーバから指示があればイーサネットタイプ、IPアドレス、TCP/UDPポート番号等のアプリケーション条件を登録し、動作1222に中継と登録する(S108)。MACアドレス認証処理部210は、認証対象パケットの送信元MACアドレスと送信元IPアドレスでARPポーリングを開始し(S109)、終了する。
図6を参照して、ネットワーク認証システムでメインフレーム端末のみをMACアドレス認証を行う処理を説明する。ここで、図6は認証処理の流れを説明するブロック図である。なお、図6および後述する図7、図8において、認証成功パケット動作DB121は、初期値として空であるとして説明する。
図6において、端末10−4は、TCP/IP端末であり、プロトコルTCP、宛先ポート番号23のtelnetのパケットをパケット中継装置300に送信する。
パケット中継装置300の認証成功パケット処理部120は、認証成功パケット動作DB121に端末10−4のMACアドレスの登録が無いので、認証前端末と判定する。認証前パケット処理部110は、受信したパケットと認証前パケット動作DB111と照合し、認証対象パケットでは無いと判定してパケットを廃棄する(図中「1」)。
一方端末10−1は、メインフレーム端末でもあり、イーサタイプ0x80D5のSNA(System Network Architecture)フレームをパケット中継装置300に送信する。ここでSNAフレームは、メインフレームのパケットを意味する。パケット中継装置300の認証成功パケット処理部120は、認証成功パケット動作DB121に端末10−1のMACアドレスの登録が無いので、認証前端末と判定する。認証前パケット処理部110は、受信したパケットと認証前パケット動作DB111と照合し、MAC認証対象パケットであると判定する(「2」)。認証前パケット処理部110は、認証前パケット振り分け部240にパケットを転送する(「3」)。認証前パケット振り分け部240は、パケットがMACアドレス認証対象と判定し、MACアドレス認証処理部210にパケットを転送する。MACアドレス認証処理部210は、認証サーバ選択DB211とパケットを照合し、認証要求する認証サーバ700−1を選択する。MACアドレス認証処理部210は、パケットの送信元MACアドレスを認証情報として認証サーバ700−1に送信する。認証サーバ700−1は、認証判定結果をパケット中継装置300に送信する(「5」)。MACアドレス認証処理部210は、認証判定結果が認証成功であったため、認証成功パケット動作DB121にパケットの送信元MACアドレスを登録する(「6」)。以後、端末10−1から送信されたパケットは認証成功パケット処理部120で中継と判定して基幹ネットワーク400−2のメインフレーム600と通信可能になる(「7」)。
図7を参照して、ネットワーク認証システムでIPv4パケットのみをMACアドレス認証対象パケットを行う処理を説明する。ここで、図7は認証処理の流れを説明するブロック図である。図7において、端末10−2は、TCP/IP端末である。端末10−2はIPv6パケットをパケット中継装置300に送信する。パケット中継装置300の認証成功パケット処理部120は、認証成功パケット動作DB121に端末10−2のMACアドレスの登録が無いので、認証前端末と判定する。認証前パケット処理部110は、受信したパケットと認証前パケット動作DB111と照合し、認証対象パケットでは無いと判定してパケットを廃棄する(「1」)。
次に、端末10−2は、プロトコルUDP、宛先ポート番号5001のパケットをパケット中継装置300に送信する。パケット中継装置300の認証成功パケット処理部120は、認証成功パケット動作DB121に端末10−1のMACアドレスの登録が無いので、認証前端末と判定する。認証前パケット処理部110は、受信したパケットと認証前パケット動作DB111と照合し、MAC認証対象パケットであると判定する(「2」)。認証前パケット処理部110は、認証前パケット振り分け部240にパケットを転送する(「3」)。認証前パケット振り分け部240は、パケットがMACアドレス認証対象と判定し、MACアドレス認証処理部210にパケットを転送する。MACアドレス認証処理部210は、認証サーバ選択DB211とパケットを照合し、認証要求する認証サーバ700−1を選択する。MACアドレス認証処理部210は、パケットの送信元MACアドレスを認証情報として認証サーバ700−1に送信する。
認証サーバ700−1は、認証判定結果をパケット中継装置300に送信する(「5」)。MACアドレス認証処理部210は、認証判定結果が認証成功であったため、認証成功パケット動作DB121にパケットの送信元MACアドレスを登録する(「6」)。ソフトウェア部200は、端末10−2のIPアドレスとMACアドレスの情報を記憶しているので、端末10−2宛にARPポーリングを実施し、端末の有無を確認し続ける(「7」)。以後、端末10−2から送信されたパケットは、認証成功パケット処理部120で中継と判定して基幹ネットワーク400−1のアプリケーション用サーバ500−1と通信可能になる(「8」)。
図8を参照して、ネットワーク認証システムでIPv4 httpパケットをWeb認証対象パケットにする処理を説明する。ここで、図8は認証処理の流れを説明するブロック図である。図8において、端末10−4は、TCP/IP端末である。端末10−4は、プロトコルTCP、宛先ポート番号23(telnet)のパケットをパケット中継装置300に送信する。パケット中継装置300の認証成功パケット処理部120は、認証成功パケット動作DB121に端末10−4のMACアドレスの登録が無いので、認証前端末と判定する。認証前パケット処理部110は、受信したパケットと認証前パケット動作DB111と照合し、認証対象パケットでは無いと判定してパケットを廃棄する(「1」)。
端末10−4は、プロトコルTCP、宛先ポート番号80のパケットをパケット中継装置300に送信する。パケット中継装置300の認証成功パケット処理部120は、認証成功パケット動作DB121に端末10−4のMACアドレスの登録が無いので、認証前端末と判定する。認証前パケット処理部110は、受信したパケットと認証前パケット動作DB111と照合し、認証対象パケットをWeb認証パケットと判定する(「2」)。認証前パケット処理部110は、認証前パケット振り分け部240にパケットを転送する(「3」)。
認証前パケット振り分け部240は、パケットがWeb認証対象と判定し、Web認証処理部220にパケットを転送する(「4」)。Web認証処理部220は、図示しない認証サーバ選択DBとパケットを照合し、認証要求する認証サーバ700−1を選択する。Web認証処理部220は、端末10−4に対応するユーザ名とパスワードを認証情報として認証サーバ700−1に送信する。認証サーバ700−1は、認証判定結果をパケット中継装置300に送信する(「5」)。Web認証処理部220は、認証判定結果が認証成功であったため、認証成功パケット動作DB121にパケットの送信元MACアドレス「D」を登録する(「6」)。以後、端末10−4から送信されたパケットは、認証成功パケット処理部120で中継と判定して基幹ネットワーク400−1のアプリケーション用サーバ500−1と通信可能になる(「7」)。
なお、IEEE802.1X認証も図8と同様に処理される。また、パケット中継装置300のソフトウェア部200に認証前パケット振り分け部240を設けたが、ハードウェア部100の認証前パケット処理部110が各認証処理部210〜230に振り分けても良い。
本実施例に拠れば、ネットワーク認証システムにおいてMACアドレス認証を行う場合に、MACアドレス認証を行うパケット中継装置のCPUに余計な負荷を軽減できる。また1台の端末でアプリケーションや起動するOS毎に複数の認証方式を選択することを可能にする。
図9を参照して、ネットワーク認証システムでIPv4 httpパケットをMAC認証対象パケットにする実施例を説明する。ここで、図9は認証処理の流れを説明するブロック図である。図9において、端末10−2は、TCP/IP端末である。端末10−2は、プロトコルTCP、宛先ポート番号80のパケットをパケット中継装置300に送信する。パケット中継装置300の認証成功パケット処理部120は認証成功パケット動作DB121に端末10−2のMACアドレスの登録が無いので、認証前端末と判定する。認証前パケット処理部110は、受信したパケットと認証前パケット動作DB111と照合し、MAC認証対象パケットであると判定する(「1」)。認証前パケット処理部110は、認証前パケット振り分け部240にパケットを転送する(「2」)。
認証前パケット振り分け部240は、パケットがMACアドレス認証対象と判定し、MACアドレス認証処理部210にパケットを転送する。MACアドレス認証処理部210は、認証サーバ選択DB211とパケットを照合し、認証要求する認証サーバ700−1を選択する。MACアドレス認証処理部210は、パケットの送信元MACアドレスを認証情報として認証サーバ700−1に送信する。認証サーバ700−1は、認証判定結果をパケット中継装置300に送信する(「4」)。MACアドレス認証処理部210は、認証判定結果が認証失敗であったため、端末10−2にMACアドレス登録申請サーバにジャンプするようにhttpパケットを送信する(「5」)。端末10−2は、MACアドレス登録申請サーバ800にアクセスする(「6」)。
ネットワーク認証システムのハードウェアブロック図およびパケット中継装置の機能ブロック図である。 認証前パケット動作DBを説明する図である。 認証サーバ選択DBを説明する図である。 認証成功パケット動作DBを説明する図である。 パケット中継装置のフローチャートである。 認証処理の流れを説明するブロック図である(その1)。 認証処理の流れを説明するブロック図である(その2)。 認証処理の流れを説明するブロック図である(その3)。 認証処理の流れを説明するブロック図である(その4)。
符号の説明
10…端末、100…ハードウェア部、110…認証前パケット処理部、111…認証前パケット動作DB、120…認証成功パケット処理部、121…認証成功パケット動作DB、200…ソフトウェア部、210…MACアドレス認証処理部、211…認証サーバ選択DB、220…Web認証処理部、230…IEEE802.1X認証部、240…認証前パケット振り分け部、300…パケット中継装置、400…基幹ネットワーク、500…アプリケーション用サーバ、600…メインフレーム、700…認証サーバ、800…MACアドレス登録申請サーバ、1000…ネットワーク認証システム。

Claims (10)

  1. 端末装置を収容し、この端末装置と認証装置を含む情報処理装置とのパケットの送受信を中継するパケット中継装置において、
    前記認証装置に認証要求を送信し、かつ認証判定を受信する複数の認証処理部と、データベースを参照して、未認証端末からのパケットを前記認証処理部の一つに転送する認証前パケット処理部と、からなり、
    前記認証前パケット処理部は、未認証端末からのパケットの種別と前記データベースとを対比して、該当するエントリがある場合に、前記複数の認証処理部のいずれかに前記パケットを転送することを特徴とするパケット中継装置。
  2. 請求項1に記載のパケット中継装置であって、
    前記パケットの種別は、レイヤ2ヘッダもしくはレイヤ3ヘッダもしくはレイヤ4ヘッダのいずれかのフィールド、または、前記フィールドの組合せにより特定されることを特徴とするパケット中継装置。
  3. 請求項1に記載のパケット中継装置であって、
    前記認証前パケット処理部は、前記該当するエントリがない場合に、前記パケットを廃棄することを特徴とするパケット中継装置。
  4. 請求項1に記載のパケット中継装置であって、
    さらに、第2のデータベースを参照して、この第2のデータベースに記録された送信元アドレスに記載のないパケットを前記認証前パケット処理部に転送する認証成功パケット処理部を含むことを特徴とするパケット中継装置。
  5. 請求項1または請求項4に記載のパケット中継装置であって、
    前記複数の認証処理部に、MACアドレス認証処理部を含むパケット中継装置。
  6. 請求項1、請求項2または請求項3のいずれか一つに記載の中継装置であって、
    前記認証処理部は、ソフトウェアで実現し、前記認証前パケット処理部は、ハードウェアで実現することを特徴とするパケット中継装置。
  7. 請求項1に記載のパケット中継装置であって、
    認証対象の端末から送信されるパケットの中で、端末のMACアドレスとIPアドレスが識別可能なパケットのみを認証対象パケットにすることを特徴とするパケット中継装置。
  8. 請求項1に記載のパケット中継装置であって、
    受信した認証対象パケット毎に別々の認証サーバへ問い合わせることを特徴とするパケット中継装置。
  9. 請求項1に記載のパケット中継装置であって、
    認証サーバの判定結果が通信許可になった場合に、端末から送信される全てのパケットを通信許可するのではなく、予め定めた特定のパケットのみを通信許可することを特徴とするパケット中継装置。
  10. 請求項1に記載のパケット中継装置であって、
    認証サーバの判定結果が通信拒否になった場合に、パケット中継装置から端末に対して動作を指示するパケットを送信することを特徴とするパケット中継装置。
JP2007306238A 2007-11-27 2007-11-27 パケット中継装置 Expired - Fee Related JP4909875B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2007306238A JP4909875B2 (ja) 2007-11-27 2007-11-27 パケット中継装置
US12/173,051 US8646033B2 (en) 2007-11-27 2008-07-15 Packet relay apparatus

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2007306238A JP4909875B2 (ja) 2007-11-27 2007-11-27 パケット中継装置

Publications (3)

Publication Number Publication Date
JP2009130838A true JP2009130838A (ja) 2009-06-11
JP2009130838A5 JP2009130838A5 (ja) 2010-02-12
JP4909875B2 JP4909875B2 (ja) 2012-04-04

Family

ID=40821280

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2007306238A Expired - Fee Related JP4909875B2 (ja) 2007-11-27 2007-11-27 パケット中継装置

Country Status (2)

Country Link
US (1) US8646033B2 (ja)
JP (1) JP4909875B2 (ja)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011053883A (ja) * 2009-09-01 2011-03-17 Fuji Xerox Co Ltd 通信中継装置、通信中継プログラム、及び通信システム
WO2011030490A1 (ja) * 2009-09-10 2011-03-17 日本電気株式会社 中継制御装置、中継制御システム、中継制御方法及び中継制御プログラム
JP2012080418A (ja) * 2010-10-04 2012-04-19 Alaxala Networks Corp ネットワーク認証における端末接続状態管理
JP2012204895A (ja) * 2011-03-24 2012-10-22 Toshiba Corp 情報処理装置
JPWO2011081104A1 (ja) * 2010-01-04 2013-05-09 日本電気株式会社 通信システム、認証装置、制御サーバ、通信方法およびプログラム
JP2014029710A (ja) * 2013-09-17 2014-02-13 Alaxala Networks Corp 通信装置

Families Citing this family (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5372711B2 (ja) * 2009-11-13 2013-12-18 アラクサラネットワークス株式会社 複数認証サーバを有効利用する装置、システム
US8756411B2 (en) * 2010-12-06 2014-06-17 Siemens Aktiengesellschaft Application layer security proxy for automation and control system networks
US9288233B2 (en) * 2011-06-17 2016-03-15 Nec Corporation Communication control apparatus, communication control method, and program
JP6013711B2 (ja) * 2011-09-01 2016-10-25 ラピスセミコンダクタ株式会社 半導体集積回路及び半導体集積回路のデバッグ方法
DE102013101508A1 (de) * 2012-02-20 2013-08-22 Denso Corporation Datenkommunikationsauthentifizierungssystem für ein Fahrzeug, Netzkopplungsvorrichtung für ein Fahrzeug, Datenkommunikationssystem für ein Fahrzeug und Datenkommunikationsvorrichtung für ein Fahrzeug
US20150071298A1 (en) * 2013-09-09 2015-03-12 Microsoft Corporation Hybrid Forwarding in a Virtual Switch
KR101521808B1 (ko) * 2014-02-20 2015-05-20 한국전자통신연구원 클라우드 환경에서의 상황인지형 보안 통제 장치, 방법, 및 시스템
US9509717B2 (en) * 2014-08-14 2016-11-29 Masergy Communications, Inc. End point secured network
CN105635084B (zh) * 2014-11-17 2018-12-14 华为技术有限公司 终端认证装置及方法
WO2017031677A1 (zh) * 2015-08-25 2017-03-02 华为技术有限公司 一种数据包传输方法、装置、节点设备以及***
CN106487717B (zh) * 2015-09-02 2020-03-27 华为技术有限公司 接入控制设备及认证控制方法
US10469449B2 (en) 2017-07-26 2019-11-05 Bank Of America Corporation Port authentication control for access control and information security
CN109495431B (zh) * 2017-09-13 2021-04-20 华为技术有限公司 接入控制方法、装置和***、以及交换机

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005086656A (ja) * 2003-09-10 2005-03-31 Toshiba Corp 認証判定ブリッジ、プログラム、無線lan通信システム及び無線lan通信方法
JP2005167580A (ja) * 2003-12-02 2005-06-23 Nec Corp 無線lanシステムにおけるアクセス制御方法と装置
JP2007180998A (ja) * 2005-12-28 2007-07-12 Fujitsu Ltd 無線網制御装置及び無線網制御システム
JP2008199420A (ja) * 2007-02-14 2008-08-28 Furukawa Electric Co Ltd:The ゲートウェイ装置および認証処理方法

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7316031B2 (en) * 2002-09-06 2008-01-01 Capital One Financial Corporation System and method for remotely monitoring wireless networks
JP4000111B2 (ja) * 2003-12-19 2007-10-31 株式会社東芝 通信装置および通信方法
JP4484663B2 (ja) * 2004-02-02 2010-06-16 株式会社サイバー・ソリューションズ 不正情報検知システム及び不正攻撃元探索システム
US8015613B2 (en) * 2004-09-17 2011-09-06 Sony Corporation System renewability message transport
US7831996B2 (en) * 2005-12-28 2010-11-09 Foundry Networks, Llc Authentication techniques
JP2007267315A (ja) 2006-03-30 2007-10-11 Alaxala Networks Corp マルチ認証機能スイッチ装置

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005086656A (ja) * 2003-09-10 2005-03-31 Toshiba Corp 認証判定ブリッジ、プログラム、無線lan通信システム及び無線lan通信方法
JP2005167580A (ja) * 2003-12-02 2005-06-23 Nec Corp 無線lanシステムにおけるアクセス制御方法と装置
JP2007180998A (ja) * 2005-12-28 2007-07-12 Fujitsu Ltd 無線網制御装置及び無線網制御システム
JP2008199420A (ja) * 2007-02-14 2008-08-28 Furukawa Electric Co Ltd:The ゲートウェイ装置および認証処理方法

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011053883A (ja) * 2009-09-01 2011-03-17 Fuji Xerox Co Ltd 通信中継装置、通信中継プログラム、及び通信システム
WO2011030490A1 (ja) * 2009-09-10 2011-03-17 日本電気株式会社 中継制御装置、中継制御システム、中継制御方法及び中継制御プログラム
JP5648639B2 (ja) * 2009-09-10 2015-01-07 日本電気株式会社 中継制御装置、中継制御システム、中継制御方法及び中継制御プログラム
US10075338B2 (en) 2009-09-10 2018-09-11 Nec Corporation Relay control unit, relay control system, relay control method, and relay control program
JPWO2011081104A1 (ja) * 2010-01-04 2013-05-09 日本電気株式会社 通信システム、認証装置、制御サーバ、通信方法およびプログラム
JP2012080418A (ja) * 2010-10-04 2012-04-19 Alaxala Networks Corp ネットワーク認証における端末接続状態管理
JP2012204895A (ja) * 2011-03-24 2012-10-22 Toshiba Corp 情報処理装置
JP2014029710A (ja) * 2013-09-17 2014-02-13 Alaxala Networks Corp 通信装置

Also Published As

Publication number Publication date
US8646033B2 (en) 2014-02-04
JP4909875B2 (ja) 2012-04-04
US20090183252A1 (en) 2009-07-16

Similar Documents

Publication Publication Date Title
JP4909875B2 (ja) パケット中継装置
US8484695B2 (en) System and method for providing access control
US6907470B2 (en) Communication apparatus for routing or discarding a packet sent from a user terminal
JP4376711B2 (ja) アクセス管理方法及びその装置
US10212160B2 (en) Preserving an authentication state by maintaining a virtual local area network (VLAN) association
US8966075B1 (en) Accessing a policy server from multiple layer two networks
US20040213172A1 (en) Anti-spoofing system and method
US8209529B2 (en) Authentication system, network line concentrator, authentication method and authentication program
US20110289559A1 (en) Deep Packet Scan Hacker Identification
JP2009508403A (ja) 準拠性に基づくダイナミックネットワーク接続
WO2010048838A1 (zh) 网络认证方法、客户端请求认证的方法、客户端和装置
US20060143440A1 (en) Using authentication server accounting to create a common security database
JP2008066907A (ja) パケット通信装置
TWI315139B (ja)
JP2013522786A (ja) 方法を実行するデバイスを介してアクセス可能なデータまたはサービスに対するアクセスのセキュリティを保護する方法、およびそれに対応するデバイス
US8615591B2 (en) Termination of a communication session between a client and a server
JP2010062667A (ja) ネットワーク機器及びネットワークシステム
WO2005004410A1 (fr) Procede pour controler la retransmission d'un message de donnees dans un dispositif d'acheminement
US8286224B2 (en) Authentication device and network authentication system, method for authenticating terminal device and program storage medium
JP4895793B2 (ja) ネットワーク監視装置及びネットワーク監視方法
JP2002084306A (ja) パケット通信装置及びネットワークシステム
JP2010187314A (ja) 認証機能付きネットワーク中継機器及びそれを用いた端末の認証方法
JP4881672B2 (ja) 通信装置及び通信制御プログラム
CN113098825B (zh) 一种基于扩展802.1x的接入认证方法及***
JP2006067057A (ja) ネットワーク機器、Radiusクライアント、有線LAN認証システム、認証パケット透過方法、制御プログラム、記録媒体及びサプリカント

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20091221

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20091221

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20111209

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20111220

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20120116

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20150120

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Ref document number: 4909875

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees