JP2012080418A - ネットワーク認証における端末接続状態管理 - Google Patents

ネットワーク認証における端末接続状態管理 Download PDF

Info

Publication number
JP2012080418A
JP2012080418A JP2010225111A JP2010225111A JP2012080418A JP 2012080418 A JP2012080418 A JP 2012080418A JP 2010225111 A JP2010225111 A JP 2010225111A JP 2010225111 A JP2010225111 A JP 2010225111A JP 2012080418 A JP2012080418 A JP 2012080418A
Authority
JP
Japan
Prior art keywords
terminal device
information
authentication
address
network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2010225111A
Other languages
English (en)
Other versions
JP5364671B2 (ja
Inventor
Hidemitsu Higuchi
秀光 樋口
Motohide Nomi
元英 能見
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Alaxala Networks Corp
Original Assignee
Alaxala Networks Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Alaxala Networks Corp filed Critical Alaxala Networks Corp
Priority to JP2010225111A priority Critical patent/JP5364671B2/ja
Priority to US13/230,199 priority patent/US8910248B2/en
Publication of JP2012080418A publication Critical patent/JP2012080418A/ja
Application granted granted Critical
Publication of JP5364671B2 publication Critical patent/JP5364671B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L49/00Packet switching elements
    • H04L49/35Switches specially adapted for specific applications
    • H04L49/354Switches specially adapted for specific applications for supporting virtual local area networks [VLAN]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/50Address allocation
    • H04L61/5007Internet protocol [IP] addresses
    • H04L61/5014Internet protocol [IP] addresses using dynamic host configuration protocol [DHCP] or bootstrap protocol [BOOTP]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Abstract

【課題】ネットワークにおけるセキュリティを向上させる。
【解決手段】ネットワーク中継装置は、端末装置によるネットワークへの接続可否を判定するWeb認証の結果に従い認証済み端末装置を特定する第1の情報を作成し、端末装置とネットワーク上のノードとの間の通信データの中継可否を管理する認証処理部と、端末装置とDHCPサーバとの間のDHCP通信データをスヌーピングし、各端末装置に割り当てられたレイヤ3アドレスを特定する第2の情報を作成するDHCPスヌーピング処理部と、第1の情報に基づき認証済み端末装置を特定し、第2の情報に基づき認証済み端末装置に割り当てられたレイヤ3アドレスを特定し、認証済み端末装置がネットワークに接続されているか否かを確認する確認通信データを特定されたレイヤ3アドレス宛に送信うる端末検索処理部と、を備える。
【選択図】図8

Description

本発明は、ネットワーク認証に関し、特に、ネットワーク認証済み端末装置のネットワーク接続状態の管理に関する。
通信ネットワークのインフラ化とともに、ネットワークにおけるセキュリティを高めるための様々な仕組みが提案されている。ネットワーク認証もその内の1つである。ネットワーク認証は、パーソナルコンピュータ(PC)等の端末装置による特定のネットワークへの接続可否を管理するための認証の仕組みである(例えば特許文献1参照)。
ネットワーク認証としては、例えば、Web認証やIEEE802.1X認証が知られている。Web認証は、Webブラウザが動作する端末装置からWeb認証機能を有するスイッチ等のネットワーク中継装置に対して発行される認証要求に応じて、認証サーバが端末装置の認証情報に基づき認証を行う認証方式である。Web認証では、ネットワーク中継装置が、認証済み端末装置のMACアドレスやユーザID、VLAN情報等を認証済み端末登録テーブルに登録し、当該テーブルを参照して、端末装置とネットワーク上のノード間の通信データの中継可否を判定する。Web認証は、端末装置がIEEE802.1X認証で使用されるような特別な認証用ソフトウェアを備えていなくてもWebブラウザさえ備えていれば実現可能であるため、汎用性の高い認証方式である。
特開2003−348114号公報
Web認証では、IEEE802.1X認証のようなプロトコルが確立された認証方式と異なり、認証済み端末装置のネットワーク接続状態を管理する技術が知られていない。例えば、Web認証では、認証済み端末装置がネットワークから離脱したことを迅速に検知する技術が確立されていない。認証済み端末装置がネットワークから離脱したことを迅速に検知できないと、認証済み端末装置がネットワークから離脱した後に、MACアドレスを詐称した他の端末装置によるネットワークへの接続を許してしまう場合があり、セキュリティの点で向上の余地があった。
本発明は、上記の課題を解決するためになされたものであり、Web認証における端末接続状態を管理してネットワークにおけるセキュリティを向上させることを目的とする。
上記課題の少なくとも一部を解決するために、本発明は、以下の形態または適用例として実現することが可能である。
[適用例1]ネットワーク中継装置であって、
通信データを送受信する通信部と、
前記ネットワーク中継装置と接続された端末装置による特定のネットワークへの接続の可否を判定するWeb認証の結果に従い認証済み端末装置を特定する第1の情報を作成し、前記第1の情報に基づき端末装置と前記特定のネットワーク上のノードとの間の通信データの前記通信部による中継の可否を管理する認証処理部と、
前記通信部により中継される端末装置とDHCPサーバとの間のDHCP通信データをスヌーピングし、前記DHCP通信データに基づき、各端末装置に割り当てられたレイヤ3アドレスを特定する第2の情報を作成するDHCPスヌーピング処理部と、
前記第1の情報に基づき認証済み端末装置を特定し、前記第2の情報に基づき前記特定された認証済み端末装置に割り当てられたレイヤ3アドレスを特定し、前記通信部に、前記特定された認証済み端末装置が前記特定のネットワークに接続されているか否かを確認する確認通信データを前記特定されたレイヤ3アドレス宛に送信させる端末検索処理部と、を備える、ネットワーク中継装置。
このネットワーク中継装置では、端末検索処理部が、認証処理部により作成された認証済み端末装置を特定する第1の情報に基づき認証済み端末装置を特定し、DHCPスヌーピング処理部により作成された各端末装置に割り当てられたレイヤ3アドレスを特定する第2の情報に基づき認証済み端末装置に割り当てられたレイヤ3アドレスを特定し、通信部に、特定された認証済み端末装置が特定のネットワークに接続されているか否かを確認する確認通信データを特定されたレイヤ3アドレス宛に送信させるため、認証済み端末装置がネットワークに接続されているか否か(つまり端末接続状態)を管理することができる。そのため、このネットワーク中継装置では、Web認証における端末接続状態を管理してネットワークにおけるセキュリティを向上させることができる。
[適用例2]適用例1に記載のネットワーク中継装置であって、
前記端末検索処理部は、所定回数の前記確認通信データの送信に対して前記特定された認証済み端末装置からの応答が無い場合には、前記認証処理部に、前記特定された認証済み端末装置についての認証を解除させる、ネットワーク中継装置。
このネットワーク中継装置では、端末検索処理部が、所定回数の確認通信データの送信に対して認証済み端末装置からの応答が無い場合には、認証処理部に認証済み端末装置についての認証を解除させるため、認証済み端末装置がネットワークから離脱した後に、当該端末装置を詐称した他の端末装置によるネットワークへの接続を許してしまう事態の発生を抑制することができ、ネットワークにおけるセキュリティを向上させることができる。
[適用例3]適用例1または適用例2に記載のネットワーク中継装置であって、
前記端末検索処理部は、前記第1の情報と前記第2の情報とに基づき、各認証済み端末装置について割り当てられたレイヤ3アドレスを特定する第3の情報を作成し、前記第3の情報に登録された認証済み端末装置を順に前記特定のネットワークに接続されているか否かの確認対象として選択する、ネットワーク中継装置。
このネットワーク中継装置では、端末検索処理部が、第1の情報と第2の情報とに基づき、各認証済み端末装置について割り当てられたレイヤ3アドレスを特定する第3の情報を作成し、第3の情報に登録された認証済み端末装置を順に確認対象として選択するため、認証済み端末装置の端末接続状態を効果的にかつ効率的に管理することができ、ネットワークにおけるセキュリティを向上させることができる。
[適用例4]適用例3に記載のネットワーク中継装置であって、
前記端末検索処理部は、前記Web認証によって端末装置が認証された際に認証済み端末装置を前記第3の情報に登録すると共に、前記確認対象として選択された認証済み端末装置について、前記第3の情報にレイヤ3アドレスが登録されていない場合、または、前記第3の情報に登録されたレイヤ3アドレスが前記第2の情報に登録されたレイヤ3アドレスと異なる場合には、前記第2の情報に登録されたレイヤ3アドレスを前記第3の情報に登録する、ネットワーク中継装置。
このネットワーク中継装置では、第3の情報に認証済み端末装置と各認証済み端末装置について割り当てられた最新のレイヤ3アドレスとを登録することができるため、第3の情報を利用して認証済み端末装置の端末接続状態を効果的にかつ効率的に管理することができ、ネットワークにおけるセキュリティを向上させることができる。
[適用例5]適用例4に記載のネットワーク中継装置であって、
前記端末検索処理部は、前記確認対象として選択された認証済み端末装置について、前記第3の情報に登録された認証済み端末装置とレイヤ3アドレスとの対応関係と同一の対応関係が前記第2の情報には登録されておらず、かつ、前記第2の情報に認証済み端末装置と他のレイヤ3アドレスとの対応関係が登録されている場合には、前記選択された認証済み端末装置は前記特定のネットワークから一端離脱した後に再接続したものと判定する、ネットワーク中継装置。
このネットワーク中継装置では、認証済み端末装置が特定のネットワークから一端離脱した後に再接続したことを検知することができ、ネットワークにおけるセキュリティをさらに向上させることができる。
[適用例6]適用例1ないし適用例5のいずれかに記載のネットワーク中継装置であって、さらに、
端末装置に認証前のVLANと認証後のVLANとが必ずしも一致しないようにVLANを設定するVLAN設定部を備える、ネットワーク中継装置。
このネットワーク中継装置では、認証前のVLANと認証後のVLANとが必ずしも一致しないように端末装置にVLANが設定される場合にも、認証済み端末装置に割り当てられたレイヤ3アドレスを特定して、認証済み端末装置が特定のネットワークに接続されているか否かを確認する確認通信データを送信することができ、ネットワークにおけるセキュリティを向上させることができる。
[適用例7]適用例1ないし適用例6のいずれかに記載のネットワーク中継装置であって、
前記第1の情報と前記第2の情報と前記第3の情報とは、レイヤ2アドレスにより端末装置を特定する、ネットワーク中継装置。
なお、本発明は、種々の態様で実現することが可能であり、例えば、ネットワーク中継方法および装置、ネットワーク通信方法および装置、ネットワーク認証方法および装置、これらの方法または装置の機能を実現するためのコンピュータプログラム、そのコンピュータプログラムを記録した記録媒体、そのコンピュータプログラムを含み搬送波内に具現化されたデータ信号、等の形態で実現することができる。
本発明の実施例におけるネットワークシステム10の構成を概略的に示す説明図である。 認証スイッチ100の構成を概略的に示す説明図である。 MACアドレステーブルMTの内容の一例を示す説明図である。 DHCPスヌーピングテーブルDTの内容の一例を示す説明図である。 認証管理テーブルATの内容の一例を示す説明図である。 ポーリング管理テーブルPTの内容の一例を示す説明図である。 ネットワークシステム10におけるWeb認証処理の流れを示すフローチャートである。 本実施例の認証スイッチ100による端末検索処理の流れを示すフローチャートである。
次に、本発明の実施の形態を実施例に基づいて以下の順序で説明する。
A.実施例:
A−1.ネットワークシステムの構成:
A−2.Web認証処理:
A−3.端末検索処理:
B.変形例:
A.実施例:
A−1.ネットワークシステムの構成:
図1は、本発明の実施例におけるネットワークシステム10の構成を概略的に示す説明図である。ネットワークシステム10は、端末装置210と、端末装置210を収容するハブ220と、ハブ220を収容する認証スイッチ100と、認証スイッチ100に接続されたレイヤ3スイッチ230と、レイヤ3スイッチ230に接続された認証サーバ240およびDHCPサーバ250と、を備えている。ネットワークシステム10内の各構成要素間は、リンクを介して接続されている。リンクは、通信データの伝送路であり、例えばUTPケーブル、STPケーブル、光ファイバ、同軸ケーブル、無線によって構成される。
端末装置210は、ユーザが使用する情報処理装置であり、例えばパーソナルコンピュータ(PC)により構成されている。ハブ220は、ネットワークにおける通信データをOSI参照モデルにおける第1層(物理層)で中継するネットワーク中継装置である。認証スイッチ100は、ネットワークにおける通信データをOSI参照モデルにおける第2層(データリンク層)で中継するネットワーク中継装置(レイヤ2スイッチ)であると共に、端末装置210による特定のネットワークNETへの接続可否を管理するネットワーク認証機能を有している。レイヤ3スイッチ230は、ネットワークにおける通信データをOSI参照モデルにおける第3層(ネットワーク層)で中継するネットワーク中継装置である。認証サーバ240は、認証スイッチ100からの認証要求に応じて、端末装置210によるネットワークNETへの接続可否を判定するWeb認証を行うRADIUSサーバである。DHCPサーバ250は、端末装置210にレイヤ3アドレスとしてのIPアドレス等を自動的に割り当てるサーバである。
図2は、認証スイッチ100の構成を概略的に示す説明図である。認証スイッチ100は、通信部124とMACアドレステーブルMTとを含んでいる。通信部124は、図示しない複数の物理ポートを有し、MACアドレステーブルMTを参照して、物理ポートを介した通信データの送受信を行う。通信部124は、例えばASIC(特定用途IC)により構成される。
図3は、MACアドレステーブルMTの内容の一例を示す説明図である。MACアドレステーブルMTは、端末装置210のレイヤ2アドレスとしてのMACアドレスと、端末装置210の所属VLANの番号と、端末装置210が接続された物理ポートの番号と、の対応関係を規定する。例えば、図3の例では、MACアドレステーブルMTは、MACアドレス「MAC−A」の端末装置210が、VLAN番号「200」のVLANに所属し、ポート番号「1」の物理ポートに接続されていることを示している。なお、本実施例では、各テーブルにおける個々の対応関係をレコードとも呼ぶ。
通信部124は、通信データの送受信を行いつつ、通信データに含まれる宛先MACアドレスや送信元MACアドレス、VLAN番号等を示す情報を参照して、MACアドレステーブルMTにレコードを新規登録したり、既に登録されているレコードを更新したりする。また、本実施例では、通信部124は、予め設定された長さのエージング時間中に通信データが中継されないMACアドレスについてのレコードをMACアドレステーブルMTから削除するエージング機能を有している。
認証スイッチ100(図2)は、所定の処理を行う処理部として、認証処理部122と、DHCPスヌーピング処理部126と、端末検索処理部128と、VLAN設定部132と、を含んでいる。これらの各処理部は、例えば図示しないCPUが内部メモリに格納されたコンピュータプログラムを読み出して実行することにより実現される。また、認証スイッチ100は、各処理部に使用される情報として、DHCPスヌーピングテーブルDTと、認証管理テーブルATと、ポーリング管理テーブルPTと、を含んでいる。
DHCPスヌーピング処理部126は、通信部124を介して中継される端末装置210とDHCPサーバ250との間のDHCP通信データ(DHCPメッセージ)を検出し、DHCPメッセージに基づき、DHCPスヌーピングテーブルDTを作成・更新する。図4は、DHCPスヌーピングテーブルDTの内容の一例を示す説明図である。DHCPスヌーピングテーブルDTは、端末装置210のMACアドレスと、端末装置210に割り当てられたIPアドレスと、端末装置210の所属VLANの番号と、端末装置210が接続された物理ポートの番号と、の対応関係(レコード)を規定する。例えば、図4の例では、DHCPスヌーピングテーブルDTは、MACアドレス「MAC−A」の端末装置210が、VLAN番号「200」のVLANに所属し、ポート番号「1」の物理ポートに接続されていることや、端末装置210にIPアドレス「IP−A」が割り当てられたことを示している。なお、DHCPスヌーピングテーブルDTは、本発明における第2の情報に相当する。DHCPスヌーピング処理部126は、通信部124がDHCPサーバ250から端末装置210に送信されるIPアドレス割り当てメッセージ(DHCP ACKメッセージ)を検出すると当該メッセージのコピーを通信部124から受領し、当該メッセージに含まれる宛先MACアドレスや割り当てIPアドレス等を示す情報を参照して、DHCPスヌーピングテーブルDTにレコードを新規登録したり、既に登録されているレコードを更新したりする。
認証処理部122は、認証サーバ240と協働して端末装置210のWeb認証を行い、Web認証の結果に従い認証済み端末装置を特定する認証管理テーブルATを作成し、認証管理テーブルATに基づき端末装置210とネットワークNET上のノードとの間の通信データの通信部124による中継の可否を管理する。図5は、認証管理テーブルATの内容の一例を示す説明図である。認証管理テーブルATは、認証済み端末装置210のMACアドレスと、端末装置210のユーザを特定するユーザIDと、端末装置210の所属VLANの番号と、端末装置210が接続された物理ポートの番号と、の対応関係(レコード)を規定する。例えば、図5の例では、認証管理テーブルATは、MACアドレス「MAC−A」の端末装置210が、認証済みであると共に、VLAN番号「200」のVLANに所属し、ポート番号「1」の物理ポートに接続されていることを示している。なお、認証管理テーブルATは、本発明における第1の情報に相当する。認証処理部122は、Web認証の結果や後述の端末検索処理の結果に応じて、認証管理テーブルATにレコードを新規登録したり、既に登録されているレコードを削除したりする。認証処理部122によるWeb認証処理については、後に詳述する。
端末検索処理部128は、ポーリング管理テーブルPTを利用して、認証済みの端末装置210がネットワークNETに接続されているか否かを確認する端末検索処理を行う。図6は、ポーリング管理テーブルPTの内容の一例を示す説明図である。ポーリング管理テーブルPTは、端末装置210のMACアドレスと、端末装置210に割り当てられたIPアドレスと、端末装置210のユーザのユーザIDと、端末装置210の所属VLANの番号と、端末装置210が接続された物理ポートの番号と、の対応関係(レコード)を規定する。なお、ポーリング管理テーブルPTは、本発明における第3の情報に相当する。端末検索処理部128による端末検索処理については、後に詳述する。
VLAN設定部132は、通信部124の各物理ポートにVLANを設定する。なお、本実施例の認証スイッチ100は、認証の前後で端末装置210の所属VLANが変更されない固定VLAN方式と、認証の前後で端末装置210の所属VLANが変更されるダイナミックVLAN方式と、のいずれかを選択的に適用することができる。以下の説明では、認証スイッチ100においてダイナミックVLAN方式が選択されているものとする。
A−2.Web認証処理:
図7は、ネットワークシステム10におけるWeb認証処理の流れを示すフローチャートである。Web認証処理は、端末装置210によるネットワークNETへの接続可否を管理するために端末装置210の認証を行う処理である。ある端末装置210についてのWeb認証実行前では、当該端末装置210(あるいは当該端末装置210のMACアドレスを詐称した他の端末装置210)によるネットワークNETへの接続は、認証スイッチ100によって禁止される。
端末装置210のユーザが端末装置210をハブ220に接続すると、当該ハブ220を収容する認証スイッチ100のVLAN設定部132は、接続された端末装置210を認証前用のVLAN(図7の例ではVLAN「100」)に所属させる。端末装置210が、認証前用のVLANでDHCPサーバ250に対して認証前用のIPアドレスを要求すると(ステップS110)、DHCPサーバ250は、端末装置210に対してIPアドレスを割り当てる(ステップS120)。このときに割り当てられるIPアドレスは、認証前の端末装置210が所属するVLANに対応するIPサブネットを有するIPアドレスであり、Web認証実行用の暫定的なIPアドレスである。なお、よく知られているように、IPアドレスの割り当ては、具体的には、端末装置210によるDHCP Discoverメッセージのブロードキャストと、Discoverメッセージを受信したDHCPサーバ250による割り当て可能なIPアドレスを通知するDHCP Offerメッセージの端末装置210への送信と、Offerメッセージを受信した端末装置210による特定のIPアドレスを要求するDHCP RequestメッセージのDHCPサーバ250への送信と、Requestメッセージを受信したDHCPサーバ250による割り当てIPアドレスを通知するDHCP ACKメッセージの端末装置210への送信と、が順に実行されることにより実現される。認証スイッチ100は、端末装置210とDHCPサーバ250との間でやりとりされるDHCPの各メッセージを中継する。
このとき認証スイッチ100のDHCPスヌーピング処理部126は、DHCPの各メッセージをスヌーピングして端末装置210に割り当てられたIPアドレスを特定し、特定されたIPアドレスを、端末装置210のMACアドレスやVLAN番号等に対応付けてDHCPスヌーピングテーブルDT(図4)に登録する(ステップS130)。
IPアドレスの割り当てを受けた端末装置210は、認証スイッチ100に対して、http/httpsにより、ネットワークNETに接続するための認証を要求する(ステップS140)。具体的には、Webブラウザが動作する端末装置210が、割り当てられたIPアドレスを用いて認証スイッチ100に対して認証要求パケットを送信すると、Webサーバとしての機能を有する認証処理部122は、端末装置210に対して認証情報登録画面データを送信する。端末装置210は、認証情報登録画面データを受信して認証情報登録画面を表示し、画面上においてユーザにより入力された認証情報(例えばユーザIDとパスワード)を認証スイッチ100に送信する。
認証スイッチ100の認証処理部122は、端末装置210から認証情報を受け取ると、認証サーバ240に対して認証情報を転送して端末装置210の認証を要求する(ステップS150)。認証サーバ240は、認証データベースに端末装置210の認証情報が登録されていなかった場合には(ステップS160:NO)、端末装置210の認証は不成功であると判定する。この場合には、認証サーバ240は、認証スイッチ100に対して認証不成功を通知し、認証スイッチ100は、端末装置210に対して認証不成功を通知する(ステップS230)。
一方、認証サーバ240は、認証データベースに対象の端末装置210の認証情報が登録されていた場合には(ステップS160:YES)、端末装置210の認証は成功であると判定する。この場合には、認証サーバ240は、認証スイッチ100に対して認証成功を通知すると共に、端末装置210の認証後の所属VLAN(図7の例ではVLAN「200」)を特定する情報を通知する(ステップS170)。本実施例では、ダイナミックVLAN方式が選択されているため、端末装置210の認証後の所属VLANは、認証前の所属VLANとは異なっている。
認証成功通知を受領した認証スイッチ100の認証処理部122は、端末装置210の所属VLANを認証サーバ240から通知されたVLANに変更して端末装置210に通知すると共に、認証管理テーブルAT(図5)に、認証された端末装置210についてのレコードを追加登録する(ステップS180)。また、認証スイッチ100の端末検索処理部128は、ポーリング管理テーブルPT(図6)に、認証管理テーブルATに追加登録されたレコードに対応するレコードを追加登録する(ステップS190)。従って、ポーリング管理テーブルPTに追加登録されるレコードには、MACアドレスとユーザIDとVLAN番号とポート番号とが記録され、IPアドレスはこの時点では記録されない(空欄となる)。
認証成功通知を受領した端末装置210は、新たな所属VLAN(図7の例ではVLAN「200」)で、DHCPサーバ250に対してIPアドレスを要求する(ステップS200)。要求を受けたDHCPサーバ250は、端末装置210に対してIPアドレスを割り当てる(ステップS210)。このときに割り当てられるIPアドレスは、認証後の端末装置210が所属するVLANに対応するIPサブネットを有するIPアドレスである。
このとき、認証スイッチ100のDHCPスヌーピング処理部126は、認証前と同様に、端末装置210とDHCPサーバ250との間でやりとりされるDHCPの各メッセージをスヌーピングして端末装置210に割り当てられたIPアドレスを特定し、特定されたIPアドレスを、端末装置210のMACアドレスやVLAN番号等に対応付けてDHCPスヌーピングテーブルDT(図4)に登録する(ステップS220)。DHCPスヌーピングテーブルDTには、この端末装置210についてのレコードが既に登録されており、DHCPスヌーピング処理部126は、このレコードにおけるIPアドレスとVLAN番号とを認証後のものに更新する。
以上説明したWeb認証処理により、端末装置210の認証が行われ、認証が成功した端末装置210に認証後に使用するためのIPアドレスが割り当てられる。認証スイッチ100は、認証済みの端末装置210とネットワークNET上のノードとの間の通信データを中継する。これにより、端末装置210によるネットワークNETへの接続が可能となる。
A−3.端末検索処理:
図8は、本実施例の認証スイッチ100による端末検索処理の流れを示すフローチャートである。端末検索処理は、認証済みの端末装置210がまだネットワークNETに接続されているか否かを確認し、既にネットワークNETから離脱したと判定された端末装置210についての認証を解除する処理である。
認証スイッチ100の端末検索処理部128は、所定のタイミングで、ポーリング管理テーブルPTに登録されたレコードの1つを選択することにより、選択されたレコードのMACアドレスに対応する端末装置210をポーリング対象端末装置に設定する(ステップS410)。なお、上述したように、ポーリング管理テーブルPTには、認証成功時に認証管理テーブルATに追加登録されたレコードに対応するレコードが追加登録されるため、ポーリング管理テーブルPTに登録されたレコードのMACアドレスに対応する端末装置210は、認証済みの端末装置210である。すなわち、端末検索処理部128は、認証管理テーブルATに基づき作成されたポーリング管理テーブルPTを用いて、認証済みの端末装置210の1つをポーリング対象端末装置として選択することとなる。
端末検索処理部128は、ポーリング対象端末装置のIPアドレスがポーリング管理テーブルPTに登録されているか否かを判定する(ステップS420)。なお、端末装置210が認証後初めてポーリング対象端末装置に設定されたときには、IPアドレスはポーリング管理テーブルPTに登録されていない。
端末装置210のIPアドレスがポーリング管理テーブルPTに登録されていない場合には、端末検索処理部128は、ポーリング管理テーブルPTに登録されているMACアドレスをキーとして用いて、DHCPスヌーピングテーブルDTを検索する(ステップS430)。DHCPスヌーピングテーブルDTにおいて当該MACアドレスに対応するレコードが検出された場合には(ステップS440:YES)、端末検索処理部128は、検出されたレコードにおけるIPアドレスを用いてポーリング処理を行う(ステップS450)。ここで、ポーリング処理は、通信部124に、検出されたレコードにおけるIPアドレスを宛先アドレスとして、応答を要求する確認パケットを送信させる処理である。
確認パケットに対して端末装置210からの応答があった場合には(ステップS460:YES)、端末装置210はネットワークNETに接続されていることが確認されたこととなる。この場合には、端末検索処理部128は、ポーリング管理テーブルPTにおけるポーリング対象端末装置に対応するレコードに、検出されたIPアドレスを追加登録する(ステップS470)。これにより、ポーリング管理テーブルPTに、ポーリング対象端末装置についてのMACアドレスとIPアドレスとの対応関係が登録される。その後、端末検索処理部128は、当該端末装置210のポーリング回数をリセットして(ステップS480)、次のポーリング対象端末装置の選択処理(ステップS410)を行う。
確認パケットに対して端末装置210から応答がなかった場合には(ステップS460:NO)、端末検索処理部128は、ポーリング処理実行回数(確認パケット送信回数)が予め設定された規定値を超えるまで、ポーリング処理(ステップS450)と応答有無の判定(ステップS460)とを繰り返し実行する。ポーリング処理実行回数が規定値を超えると(ステップS490:NO)、端末検索処理部128は、端末装置210が既にネットワークNETから離脱したものと判断する。この場合には、端末検索処理部128は、ポーリング管理テーブルPTから当該端末装置210についてのレコードを削除すると共に(ステップS500)、認証処理部122に、認証管理テーブルATから当該端末装置210についてのレコードの削除をさせて当該端末装置210についての認証を解除させる(ステップS510)。これにより、当該端末装置210(あるいは当該端末装置210のMACアドレスを詐称した他の端末装置210)によるネットワークNETへの接続は、認証スイッチ100によって禁止される。
なお、ポーリング管理テーブルPTに登録されている端末装置210のMACアドレスをキーとして用いたDHCPスヌーピングテーブルDTの検索(ステップS430)において、当該MACアドレスに対応するレコードが検出されなかった場合には(ステップS440:NO)、処理は次のポーリング対象端末装置の選択(ステップS410)に戻る。
ポーリング対象端末装置のIPアドレスがポーリング管理テーブルPTに登録されているか否かの判定(ステップS420)において、IPアドレスがポーリング管理テーブルPTに既に登録されている場合には、端末検索処理部128は、PTに登録されたポーリング対象端末装置のMACアドレスとIPアドレスとの組み合わせをキーとして用いて、DHCPスヌーピングテーブルDTを検索する(ステップS520)。DHCPスヌーピングテーブルDTにおいて当該組み合わせに対応するレコードが検出された場合には(ステップS530:YES)、端末検索処理部128は、ポーリング管理テーブルPTに登録されたIPアドレス(すなわちDHCPスヌーピングテーブルDTに登録されたIPアドレス)を用いてポーリング処理を行い(ステップS450)、ポーリング処理に対する応答の有無に応じて上述したのと同様の処理を行う(ステップS460〜S510)。
PTに登録されたポーリング対象端末装置のMACアドレスとIPアドレスとの組み合わせを用いたDHCPスヌーピングテーブルDTの検索(ステップS520)において、該当するレコードが検出されなかった場合には(ステップS530:NO)、端末検索処理部128は、ポーリング対象端末装置のMACアドレスのみをキーとして用いて、DHCPスヌーピングテーブルDTを検索する(ステップS540)。DHCPスヌーピングテーブルDTに該当するレコードがなかった場合には(ステップS550:NO)、ポーリング端末装置はまだDHCPによりIPアドレスを取得していないと考えられるため、接続状態の確認は後回しにし、処理は次のポーリング対象端末装置の選択(ステップS410)に戻る。
一方、DHCPスヌーピングテーブルDTにおいて該当するレコードが検出された場合には(ステップS550:YES)、端末検索処理部128は、ポーリング対象端末装置がネットワークNETから一端離脱した後、離脱前の物理ポートと同一のまたは別の物理ポートを介してネットワークNETに再接続され、新たなIPアドレスを取得したものと判定する。この場合には、DHCPスヌーピングテーブルDTにおいて検出されたレコードに登録されたIPアドレスを用いてポーリング処理(ステップS450)を行い、ポーリング処理に対する応答の有無に応じて上述したのと同様の処理を行う(ステップS460〜S510)。
以上説明したように、本実施例の認証スイッチ100による端末検索処理では、端末検索処理部128が、認証管理テーブルATに基づき作成されたポーリング管理テーブルPTを用いて認証済みの端末装置210の1つをポーリング対象端末装置として選択し、DHCPスヌーピングテーブルDTを用いてポーリング対象端末装置に割り当てられたIPアドレスを特定し、通信部124に、ポーリング対象端末装置がネットワークNETに接続されているか否かを確認する確認パケットを特定されたIPアドレス宛に送信させる。そのため、認証スイッチ100は、認証済みの端末装置210が、まだネットワークNETに接続されているか否か(つまり端末接続状態)を管理することができる。そのため、本実施例の認証スイッチ100では、認証済みの端末装置210がネットワークNETから離脱した後に、当該端末装置210のMACアドレスを詐称した他の端末装置210によるネットワークNETへの接続を許してしまう事態の発生を抑制することができ、ネットワークにおけるセキュリティを向上させることができる。
具体的には、認証スイッチ100は、予め設定された回数の確認パケット送信に対して端末装置210から応答がなかった場合には、端末装置210が既にネットワークNETから離脱したものと判断し、当該端末装置210についての認証を解除する。そのため、本実施例の認証スイッチ100によれば、認証済みの端末装置210がネットワークNETから離脱したことを迅速に検知することができ、ネットワークNETから離脱した端末装置210についての認証を迅速に解除することができるため、ネットワークにおけるセキュリティを向上させることができる。
なお、端末装置210とDHCPサーバ250との間でやり取りされるDHCPメッセージをスヌーピングするDHCPスヌーピング機能や、端末装置210とDHCPサーバ250との間でやり取りされるDHCPメッセージをリレーするDHCPリレー機能は、既に知られた技術であり、これらの機能を用いて端末装置210のIPアドレスを検知することは可能である。しかしながら、DHCPリレー機能やDHCPスヌーピング機能は、端末装置210の認証の有無を検知することはできない。また、本実施例の認証スイッチ100では、認証の前後で端末装置210の所属VLANが変更され端末装置210に割り当てられるIPアドレスも変更されるダイナミックVLAN方式が選択されている。さらに、認証済みの端末装置210がネットワークNETから離脱した後にネットワークNETに再接続した場合には、やはり端末装置210のIPアドレスは変更され得る。そのため、単に、DHCPリレー機能やDHCPスヌーピング機能を用いて端末装置210のIPアドレスを検知しても、認証済み端末装置210のネットワーク接続状態を管理することはできなかった。本実施例の認証スイッチ100では、認証管理テーブルATに基づき作成されたポーリング管理テーブルPTを用いることにより、認証済みの端末装置210を把握することができ、DHCPスヌーピングテーブルDTを用いて認証済みの端末装置210に割り当てられたIPアドレスを特定することにより、端末装置210のIPアドレスが変化し得る環境においても認証済み端末装置210のネットワーク接続状態を管理することができるため、ネットワークにおけるセキュリティを向上させることができる。
また、認証スイッチ100において、MACアドレステーブルMTのエージング機能を利用し、エージング機能により削除されたMACアドレスに対応する端末装置210については認証を解除するものとすることは可能であるが、この場合には、実際にはネットワークNETから離脱していない端末装置210であっても、例えばユーザが離席するなどして通信が行われなかった端末装置210についての認証が解除される可能性がある。このような場合には、端末装置210の再度のWeb認証処理が必要となる。このような事態の発生を回避するためにエージング時間を長めに設定すると、ネットワークにおけるセキュリティを十分に高めることができない。一方、エージング時間を短めに設定すると、上記事態が発生してユーザ利便性が損なわれる可能性があると共に、削除されたMACアドレスを有する端末装置210に関する通信をすべてのVLANに転送するフラッディング処理のための通信負荷が増大する可能性があり、好ましくない。本実施例の認証スイッチ100は、ネットワークNETに接続されている認証済み端末装置210に対して定期的に確認パケットを送信するため、エージング処理によってネットワークNETから離脱していない端末装置210の認証が解除される事態の発生を抑制することができる。
また、本実施例の認証スイッチ100は、ポーリング対象端末装置として選択された認証済みの端末装置210について、ポーリング管理テーブルPTに登録されたMACアドレスとIPアドレスとの対応関係と同一の対応関係がDHCPスヌーピングテーブルDTには登録されておらず、かつ、DHCPスヌーピングテーブルDTに当該MACアドレスと他のIPアドレスとの対応関係が登録されている場合には、選択された認証済み端末装置210はネットワークNETから一端離脱した後に再接続したものと判定する。そのため、本実施例の認証スイッチ100は、認証済み端末装置210の離脱や移動を検知することができ、ネットワークにおけるセキュリティをさらに向上させることができる。
B.変形例:
なお、この発明は上記の実施例や実施形態に限られるものではなく、その要旨を逸脱しない範囲において種々の態様において実施することが可能であり、例えば次のような変形も可能である。
B1.変形例1:
上記実施例におけるネットワークシステム10の構成は、あくまで一例であり、種々変形可能である。例えば、図1に示すネットワークシステム10は、端末装置210や認証スイッチ100を複数備えているが、ネットワークシステム10は、端末装置210および認証スイッチ100をそれぞれ少なくとも1つ備えていればよい。また、ネットワークシステム10において、端末装置210と認証スイッチ100とは、ハブ220を介さずに直接接続されているとしてもよい。また、ネットワークシステム10において、認証サーバ240およびDHCPサーバ250は、他のノードを介してレイヤ3スイッチ230と接続されているとしてもよい。
また、認証スイッチ100は、L3スイッチとしての機能を有するとしてもよい。あるいは、認証スイッチ100は、認証サーバおよびDHCPサーバとしての機能を有しているとしてもよい。この場合に、Web認証処理は、認証スイッチ100の有する認証サーバ機能および/またはDHCPサーバ機能を用いて実行されるとしてもよい。
B2.変形例2:
上記実施例における各テーブル(MACアドレステーブルMT、DHCPスヌーピングテーブルDT、認証管理テーブルAT、ポーリング管理テーブルPT(図3〜6))の内容はあくまで一例であり、各テーブルが各図に示した内容の一部を含まなかったり、各図に示した内容以外の内容を含んだりしてもよい。
B3.変形例3:
上記実施例では、端末検索処理部128が、認証管理テーブルATとDHCPスヌーピングテーブルDTとに基づきポーリング管理テーブルPTを生成し、ポーリング管理テーブルPTを用いて端末検索処理を行っているが、端末検索処理部128は、ポーリング管理テーブルPTを生成せず、認証管理テーブルATとDHCPスヌーピングテーブルDTとを利用して、同様に端末検索処理を行うものとしてもよい。
B4.変形例4:
上記実施例の端末検索処理(図8)では、ポーリング管理テーブルPTにポーリング対象端末装置のIPアドレスが登録されているか否かの判定(ステップS420)の結果に応じて次の処理内容が変更されるとしているが、ポーリング管理テーブルPTにポーリング対象端末装置のIPアドレスが登録されているか否かにかかわらず(ステップS420の判定を実行せず)、ポーリング対象端末装置のMACアドレスをキーとして用いたDHCPスヌーピングテーブルDTの検索(ステップS430)が実行されるとしてもよい。ただし、上記実施例のように、ステップS420の判定を実行し、ポーリング管理テーブルPTにポーリング対象端末装置のIPアドレスが登録されている場合にはポーリング対象端末装置のMACアドレスとIPアドレスとの組み合わせをキーとして用いたDHCPスヌーピングテーブルDTの検索(ステップS520)が実行されるとすれば、認証済み端末装置210がネットワークNETから一端離脱した後に再接続したことを検知することができるため、好ましい。
B5.変形例5:
上記実施例では、ダイナミックVLAN方式が適用される例について説明したが、固定VLAN方式が適用される場合にも、本実施例の端末検索処理により、認証済みの端末装置210がネットワークNETに接続されているか否か(端末接続状態)を管理することができ、ネットワークにおけるセキュリティを向上させることができる。
B6.変形例6:
上記実施例では、レイヤ2アドレスとしてMACアドレスが用いられ、レイヤ3アドレスとしてIPアドレスが用いられているが、レイヤ2アドレスおよびレイヤ3アドレスとしては、Web認証処理や端末検索処理に用いられるプロトコルに応じたアドレスが適宜用いられる。
B7.変形例7:
上各実施例において、ハードウェアによって実現されていた構成の一部をソフトウェアに置き換えるようにしてもよく、逆に、ソフトウェアによって実現されていた構成の一部をハードウェアに置き換えるようにしてもよい。
10…ネットワークシステム
100…認証スイッチ
122…認証処理部
124…通信部
126…DHCPスヌーピング処理部
128…端末検索処理部
132…VLAN設定部
210…端末装置
220…ハブ
230…レイヤ3スイッチ
240…認証サーバ
250…DHCPサーバ

Claims (7)

  1. ネットワーク中継装置であって、
    通信データを送受信する通信部と、
    前記ネットワーク中継装置と接続された端末装置による特定のネットワークへの接続の可否を判定するWeb認証の結果に従い認証済み端末装置を特定する第1の情報を作成し、前記第1の情報に基づき端末装置と前記特定のネットワーク上のノードとの間の通信データの前記通信部による中継の可否を管理する認証処理部と、
    前記通信部により中継される端末装置とDHCPサーバとの間のDHCP通信データをスヌーピングし、前記DHCP通信データに基づき、各端末装置に割り当てられたレイヤ3アドレスを特定する第2の情報を作成するDHCPスヌーピング処理部と、
    前記第1の情報に基づき認証済み端末装置を特定し、前記第2の情報に基づき前記特定された認証済み端末装置に割り当てられたレイヤ3アドレスを特定し、前記通信部に、前記特定された認証済み端末装置が前記特定のネットワークに接続されているか否かを確認する確認通信データを前記特定されたレイヤ3アドレス宛に送信させる端末検索処理部と、を備える、ネットワーク中継装置。
  2. 請求項1に記載のネットワーク中継装置であって、
    前記端末検索処理部は、所定回数の前記確認通信データの送信に対して前記特定された認証済み端末装置からの応答が無い場合には、前記認証処理部に、前記特定された認証済み端末装置についての認証を解除させる、ネットワーク中継装置。
  3. 請求項1または請求項2に記載のネットワーク中継装置であって、
    前記端末検索処理部は、前記第1の情報と前記第2の情報とに基づき、各認証済み端末装置について割り当てられたレイヤ3アドレスを特定する第3の情報を作成し、前記第3の情報に登録された認証済み端末装置を順に前記特定のネットワークに接続されているか否かの確認対象として選択する、ネットワーク中継装置。
  4. 請求項3に記載のネットワーク中継装置であって、
    前記端末検索処理部は、前記Web認証によって端末装置が認証された際に認証済み端末装置を前記第3の情報に登録すると共に、前記確認対象として選択された認証済み端末装置について、前記第3の情報にレイヤ3アドレスが登録されていない場合、または、前記第3の情報に登録されたレイヤ3アドレスが前記第2の情報に登録されたレイヤ3アドレスと異なる場合には、前記第2の情報に登録されたレイヤ3アドレスを前記第3の情報に登録する、ネットワーク中継装置。
  5. 請求項4に記載のネットワーク中継装置であって、
    前記端末検索処理部は、前記確認対象として選択された認証済み端末装置について、前記第3の情報に登録された認証済み端末装置とレイヤ3アドレスとの対応関係と同一の対応関係が前記第2の情報には登録されておらず、かつ、前記第2の情報に認証済み端末装置と他のレイヤ3アドレスとの対応関係が登録されている場合には、前記選択された認証済み端末装置は前記特定のネットワークから一端離脱した後に再接続したものと判定する、ネットワーク中継装置。
  6. 請求項1ないし請求項5のいずれかに記載のネットワーク中継装置であって、さらに、
    端末装置に認証前のVLANと認証後のVLANとが必ずしも一致しないようにVLANを設定するVLAN設定部を備える、ネットワーク中継装置。
  7. 請求項1ないし請求項6のいずれかに記載のネットワーク中継装置であって、
    前記第1の情報と前記第2の情報と前記第3の情報とは、レイヤ2アドレスにより端末装置を特定する、ネットワーク中継装置。
JP2010225111A 2010-10-04 2010-10-04 ネットワーク認証における端末接続状態管理 Active JP5364671B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2010225111A JP5364671B2 (ja) 2010-10-04 2010-10-04 ネットワーク認証における端末接続状態管理
US13/230,199 US8910248B2 (en) 2010-10-04 2011-09-12 Terminal connection status management with network authentication

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2010225111A JP5364671B2 (ja) 2010-10-04 2010-10-04 ネットワーク認証における端末接続状態管理

Publications (2)

Publication Number Publication Date
JP2012080418A true JP2012080418A (ja) 2012-04-19
JP5364671B2 JP5364671B2 (ja) 2013-12-11

Family

ID=45890969

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2010225111A Active JP5364671B2 (ja) 2010-10-04 2010-10-04 ネットワーク認証における端末接続状態管理

Country Status (2)

Country Link
US (1) US8910248B2 (ja)
JP (1) JP5364671B2 (ja)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2014160942A (ja) * 2013-02-20 2014-09-04 Alaxala Networks Corp 認証方法、転送装置及び認証サーバ
JP2016525748A (ja) * 2013-07-09 2016-08-25 華為技術有限公司Huawei Technologies Co.,Ltd. ユーザ端末のアクセスを制御するための方法、装置、およびシステム
JP2019102928A (ja) * 2017-11-30 2019-06-24 三菱電機株式会社 認証スイッチ装置、ネットワークシステムおよび認証方法
JP2019526983A (ja) * 2016-08-30 2019-09-19 新華三技術有限公司New H3C Technologies Co., Ltd. ブロードバンドリモートアクセスサーバの制御プレーン機能と転送プレーン機能の分離
JP2021002178A (ja) * 2019-06-21 2021-01-07 APRESIA Systems株式会社 認証スイッチ、ネットワークシステムおよびネットワーク装置
WO2023281661A1 (ja) * 2021-07-07 2023-01-12 日本電気株式会社 情報処理装置、情報処理システム、情報処理方法、及びコンピュータ可読媒体

Families Citing this family (24)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102377669B (zh) * 2011-10-18 2014-12-10 华为技术有限公司 发送报文的方法及交换机
JP5713244B2 (ja) * 2012-01-17 2015-05-07 日立金属株式会社 ネットワークシステム
CN104756131B (zh) * 2012-09-19 2017-07-11 交互数字专利控股公司 分层认证
CN103795581B (zh) * 2012-10-29 2018-05-11 新华三技术有限公司 地址处理方法和设备
US9686735B2 (en) * 2013-03-14 2017-06-20 Silver Spring Networks, Inc. Set of optimizations applicable to a wireless networks operating in TV white space bands
CN104079507B (zh) * 2013-03-27 2019-04-09 联想企业解决方案(新加坡)私人有限公司 同步ip信息的方法和装置
US9712489B2 (en) * 2014-07-29 2017-07-18 Aruba Networks, Inc. Client device address assignment following authentication
JP2017033538A (ja) * 2015-08-04 2017-02-09 株式会社リコー 通信システム、中継装置、情報処理装置、通信制御方法及びプログラム
CN106487742B (zh) * 2015-08-24 2020-01-03 阿里巴巴集团控股有限公司 用于验证源地址有效性的方法及装置
US9973256B2 (en) 2016-01-25 2018-05-15 Sprint Communications Company, L.P. Relay gateway for wireless relay signaling in a data communication network
US9887761B2 (en) 2016-01-25 2018-02-06 Sprint Communications Company L.P. Wireless backhaul for wireless relays in a data communication network
US10009826B1 (en) 2016-01-25 2018-06-26 Sprint Communications Company L.P. Wide area network (WAN) backhaul for wireless relays in a data communication network
US9913165B1 (en) 2016-02-03 2018-03-06 Sprint Communications Company L.P. Wireless relay quality-of-service in a data communication network
US9867114B2 (en) 2016-02-04 2018-01-09 Sprint Communications Company L.P. Wireless relay backhaul selection in a data communication network
US10405358B1 (en) 2016-03-02 2019-09-03 Sprint Communications Company L.P. Data communication usage tracking in a wireless relay
US9608715B1 (en) 2016-03-02 2017-03-28 Sprint Cômmunications Company L.P. Media service delivery over a wireless relay in a data communication network
US9973997B1 (en) 2016-03-03 2018-05-15 Sprint Communications Company, L.P. Data communication network to provide network access data sets for user equipment selection of a wireless relay
US10631211B1 (en) 2016-03-11 2020-04-21 Sprint Communications Company L.P. User equipment (UE) hand-over of a media session based on wireless relay characteristics
US10038491B2 (en) 2016-03-11 2018-07-31 Sprint Communications Company L.P. Proxy mobile internet protocol (PMIP) tunnel selection by a wireless relay in a data communication network
WO2018077877A1 (en) * 2016-10-26 2018-05-03 Telefonaktiebolaget Lm Ericsson (Publ) Technique for communicating control information
JP6667476B2 (ja) * 2017-06-30 2020-03-18 キヤノン株式会社 通信装置、制御方法及びプログラム
CN108259636B (zh) * 2017-09-29 2021-11-02 新华三技术有限公司 一种报文处理方法及装置
US11425044B2 (en) * 2020-10-15 2022-08-23 Cisco Technology, Inc. DHCP layer 2 relay in VXLAN overlay fabric
US11606333B1 (en) * 2022-03-04 2023-03-14 Cisco Technology, Inc. Synchronizing dynamic host configuration protocol snoop information

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005286558A (ja) * 2004-03-29 2005-10-13 Hitachi Cable Ltd 端末認証システム
JP2008193231A (ja) * 2007-02-01 2008-08-21 Alaxala Networks Corp 端末所属切換システム
JP2009130838A (ja) * 2007-11-27 2009-06-11 Alaxala Networks Corp パケット中継装置
JP2011107796A (ja) * 2009-11-13 2011-06-02 Alaxala Networks Corp 複数認証サーバを有効利用する装置、システム

Family Cites Families (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH03154679A (ja) 1989-11-13 1991-07-02 Mita Ind Co Ltd ドラム洗浄装置
US5668952A (en) * 1994-08-08 1997-09-16 International Business Machines Corporation Method for resolving network address by sending reresolve request to nodes at selected time period after establishing address table, and updating the table with received reply thereto
JP3154679B2 (ja) 1996-10-18 2001-04-09 三菱電機株式会社 連接符号の誤り訂正復号装置及び復号方法
US7873985B2 (en) * 2002-01-08 2011-01-18 Verizon Services Corp. IP based security applications using location, port and/or device identifier information
JP3925303B2 (ja) 2002-05-22 2007-06-06 日本電気株式会社 レイヤ2認証システム及び方法
JP2005252717A (ja) * 2004-03-04 2005-09-15 Hitachi Ltd ネットワーク管理方法及びネットワーク管理サーバ
US7616613B2 (en) * 2004-05-05 2009-11-10 Cisco Technology, Inc. Internet protocol authentication in layer-3 multipoint tunneling for wireless access points
US7861076B2 (en) * 2004-12-27 2010-12-28 Cisco Technology, Inc. Using authentication server accounting to create a common security database
GB2425681A (en) * 2005-04-27 2006-11-01 3Com Corporaton Access control by Dynamic Host Configuration Protocol snooping
US7903647B2 (en) * 2005-11-29 2011-03-08 Cisco Technology, Inc. Extending sso for DHCP snooping to two box redundancy
US7930734B2 (en) * 2006-04-28 2011-04-19 Cisco Technology, Inc. Method and system for creating and tracking network sessions
US8107396B1 (en) * 2006-07-24 2012-01-31 Cisco Technology, Inc. Host tracking in a layer 2 IP ethernet network
US8006282B2 (en) * 2006-08-29 2011-08-23 Cisco Technology, Inc. Method and system for tracking a user in a network
US9824107B2 (en) * 2006-10-25 2017-11-21 Entit Software Llc Tracking changing state data to assist in computer network security
WO2008099403A2 (en) * 2007-02-16 2008-08-21 Forescout Technologies A method and device for determining network device status
JP4734374B2 (ja) * 2008-06-04 2011-07-27 アラクサラネットワークス株式会社 ネットワーク中継装置、および、ネットワーク中継装置方法

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005286558A (ja) * 2004-03-29 2005-10-13 Hitachi Cable Ltd 端末認証システム
JP2008193231A (ja) * 2007-02-01 2008-08-21 Alaxala Networks Corp 端末所属切換システム
JP2009130838A (ja) * 2007-11-27 2009-06-11 Alaxala Networks Corp パケット中継装置
JP2011107796A (ja) * 2009-11-13 2011-06-02 Alaxala Networks Corp 複数認証サーバを有効利用する装置、システム

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
CSND200700302010; 伊藤玄蕃: '"セキュリティ、管理、QoSまで完全解剖最新スイッチ ユニークな独自認証技術"' ネットワーク マガジン 第12巻,第1号, 20070101, p.44-45, 株式会社アスキー *
JPN6013000346; '"スイッチング/ポート認証"' CentreCOM 9424T/SP-E、9424Ts/XP-E コマンドリファレンス2.4 Rev.C(Ver.2.4.1J), 20080220, [オンライン] *
JPN6013000348; 伊藤玄蕃: '"セキュリティ、管理、QoSまで完全解剖最新スイッチ ユニークな独自認証技術"' ネットワーク マガジン 第12巻,第1号, 20070101, p.44-45, 株式会社アスキー *

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2014160942A (ja) * 2013-02-20 2014-09-04 Alaxala Networks Corp 認証方法、転送装置及び認証サーバ
JP2016525748A (ja) * 2013-07-09 2016-08-25 華為技術有限公司Huawei Technologies Co.,Ltd. ユーザ端末のアクセスを制御するための方法、装置、およびシステム
US9825950B2 (en) 2013-07-09 2017-11-21 Huawei Technologies Co., Ltd. Method, apparatus, and system for controlling access of user terminal
JP2019526983A (ja) * 2016-08-30 2019-09-19 新華三技術有限公司New H3C Technologies Co., Ltd. ブロードバンドリモートアクセスサーバの制御プレーン機能と転送プレーン機能の分離
US11038711B2 (en) 2016-08-30 2021-06-15 New H3C Technologies Co., Ltd. Separating control plane function and forwarding plane function of broadband remote access server
JP2019102928A (ja) * 2017-11-30 2019-06-24 三菱電機株式会社 認証スイッチ装置、ネットワークシステムおよび認証方法
JP2021002178A (ja) * 2019-06-21 2021-01-07 APRESIA Systems株式会社 認証スイッチ、ネットワークシステムおよびネットワーク装置
JP7241620B2 (ja) 2019-06-21 2023-03-17 APRESIA Systems株式会社 認証スイッチ、ネットワークシステムおよびネットワーク装置
WO2023281661A1 (ja) * 2021-07-07 2023-01-12 日本電気株式会社 情報処理装置、情報処理システム、情報処理方法、及びコンピュータ可読媒体

Also Published As

Publication number Publication date
US20120084840A1 (en) 2012-04-05
JP5364671B2 (ja) 2013-12-11
US8910248B2 (en) 2014-12-09

Similar Documents

Publication Publication Date Title
JP5364671B2 (ja) ネットワーク認証における端末接続状態管理
JP4785968B2 (ja) 汎用プラグアンドプレイ・デバイスに遠隔アクセスする方法及びシステム
JP5803607B2 (ja) ネットワーク装置、ネットワーク装置の制御方法、ネットワーク装置の制御プログラム
US20050240758A1 (en) Controlling devices on an internal network from an external network
US10542433B2 (en) Connection establishment method, device, and system
JP6279938B2 (ja) 接続管理装置、通信システム、接続管理方法およびプログラム
JP5002259B2 (ja) 認証システム
JP2014110639A (ja) マルチパス接続を確立するための方法およびマルチホーム機器
JP2016019179A (ja) 通信装置、端末装置およびプログラム
JP6106558B2 (ja) 通信システム及び認証スイッチ
JP2010187314A (ja) 認証機能付きネットワーク中継機器及びそれを用いた端末の認証方法
JP4881672B2 (ja) 通信装置及び通信制御プログラム
US8239930B2 (en) Method for controlling access to a network in a communication system
JP5915314B2 (ja) 通信装置
JP5126258B2 (ja) アクセス制御システム、アクセス制御装置及びそれらに用いるアクセス制御方法並びにそのプログラム
JP2007104438A (ja) 宅外アクセスシステム、サーバ、および通信方法
JP2008244822A (ja) アドレス重複回避方法、システム、ルータ
CN116389173B (zh) 一种企业生产网自组网实现方法、***、介质及设备
JP2015142227A (ja) 通信制御装置、通信制御方法および通信制御プログラム
US12003479B1 (en) Conflict resolution to enable access to local network devices via mesh network devices
JP5135292B2 (ja) Ip電話交換機及びip電話システム
JP5415388B2 (ja) 仮想通信路接続システム、制御方法、制御プログラム、第1の端末及び第2の端末
JP2017028518A (ja) ネットワーク接続装置、ネットワーク接続装置の動作モードを切り替える方法
JP4832941B2 (ja) 通信状態保障システム、通信状態保障方法および通信状態保障プログラム
JP2011211306A (ja) Vpnルータ、通信システムおよび通信プログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20120913

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20130115

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20130318

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20130409

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20130705

A911 Transfer to examiner for re-examination before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20130716

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20130903

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20130909

R150 Certificate of patent or registration of utility model

Ref document number: 5364671

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250