JP4881672B2 - 通信装置及び通信制御プログラム - Google Patents

通信装置及び通信制御プログラム Download PDF

Info

Publication number
JP4881672B2
JP4881672B2 JP2006209084A JP2006209084A JP4881672B2 JP 4881672 B2 JP4881672 B2 JP 4881672B2 JP 2006209084 A JP2006209084 A JP 2006209084A JP 2006209084 A JP2006209084 A JP 2006209084A JP 4881672 B2 JP4881672 B2 JP 4881672B2
Authority
JP
Japan
Prior art keywords
terminal
address
authentication
address table
authenticated
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2006209084A
Other languages
English (en)
Other versions
JP2008033831A (ja
Inventor
敦史 仲野
範彦 二反田
章 松崎
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Panasonic Corp
Panasonic Electric Works Co Ltd
Original Assignee
Panasonic Corp
Matsushita Electric Works Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Panasonic Corp, Matsushita Electric Works Ltd filed Critical Panasonic Corp
Priority to JP2006209084A priority Critical patent/JP4881672B2/ja
Publication of JP2008033831A publication Critical patent/JP2008033831A/ja
Application granted granted Critical
Publication of JP4881672B2 publication Critical patent/JP4881672B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Description

本発明は、ネットワーク接続時に端末にユーザ認証を行い、認証サーバによって認証された端末によって送受信される通信データを中継する通信装置及び通信制御プログラムに関する。
従来より、正当な権限を有するユーザのみがネットワークにアクセスすることを管理する技術としては、下記の特許文献1や特許文献2に記載された技術が知られている。
下記の特許文献1には、PHS(Personal Handyphone System)通信システムにおけるPHS子機をPHS親機で管理するために、PHS子機の発信時に、PHS子機からPHS親機にIDを送信して、当該PHS親機によってIDが、事前に登録されているIDであるか否かを認証することが記載されている。
また、下記の特許文献2には、無線接続制御装置に無線端末のMAC(Media Access Control)アドレスを登録しておき、無線端末からパケットを無線接続制御装置で受信すると、受信したパケットに含まれるMACアドレスと予め登録されたMACアドレスとを比較して、接続の可否を判断することが記載されている。
更に、近年においては、認証サーバで端末をユーザ認証させるためのIEEE(The Institute of Electrical and Electronics Engineers)802.1xサプリカント(認証クライアントソフトウェア)を汎用のOS(Operation System)に付属させ、当該IEEE802.1xサプリカントと、同じくIEEE802.1xに対応したLAN(Local Area Network)スイッチ等のアクセスポイント(認証装置)と、RADIUS(Remote Authentication Dial-In-User-Service)サーバ等の認証サーバとによって、端末のユーザ認証ができるようになっている。
具体的には、IEEE802.1xに準拠したLANスイッチに端末が接続された場合に、LANスイッチから端末に認証情報の返信を要求するリクエストパケットを送信し、当該端末のIEEE802.1xサプリカントからLANスイッチに認証情報を送信して、当該認証情報をLANスイッチからRADIUSサーバに送信する。そして、RADIUSサーバによって、認証が許可された場合にはLANスイッチを介した端末の通信を許可し、認証が失敗した場合にはLANスイッチを介した端末の通信を禁止している。このように、IEEE802.1xサプリカントとLANスイッチとRADIUSサーバとによる認証プロセスは、LANスイッチによって端末が接続されたことを検知した場合に、LANスイッチがリクエストパケットを送信することによって開始されていた。
特開2001−16646号公報 特開2006−74680号公報
しかしながら、上述の認証プロセスにおいて、IEEE802.1xサプリカントは、自ら認証スタートパケットを送信しないために、LANスイッチの配下にハブやスイッチ等の中継装置を介して端末が接続された場合には、LANスイッチによる認証プロセスが開始されない。
これに対し、LANスイッチを、定期的にIEEE802.1xに準拠したリクエストパケットをマルチキャストで送信するように構成したり、端末からのIPパケットをLANスイッチで受信する度に、当該IPパケットに含まれるMACアドレスを宛先としてIEEE802.1xのリクエストパケットを送信していた。
しかしながら、定期的にリクエストパケットを送信するようにLANスイッチを構成した場合には、リクエストパケットの送信間隔を長くすると、端末がリクエストパケットを受信するまでの待ち時間がながくなって、端末がLANスイッチに接続されたにも拘わらずRADIUSサーバによる認証が行われないという問題がある。また、マルチキャストするリクエストパケットの送信間隔を短くすると、一度認証された端末に対してもリクエストパケットを送信してしまうことによって常に認証プロセスを行い続けるために、LANスイッチにおけるCPUの処理負荷が大きく、且つRADIUSサーバへも大量の認証結果ログが蓄積されてしまう問題がある。
また、端末からIPパケットを受信する度にLANスイッチからリクエストパケットを送信する場合には、端末の通信が発生する度に認証プロセスを行い続けるために、LANスイッチの処理負荷の増大する問題、RADIUSサーバへ大量の認証結果ログが蓄積される問題があった。
そこで、本発明は、上述した実情に鑑みて提案されたものであり、所定の認証プロセスによって端末を認証できない場合であっても、処理負荷の増大等を招くことなく当該端末を認証することができる通信装置及び通信制御プログラムを提供することを目的とする。
本発明は、一又は複数の認証処理対象となる端末が接続されるとともに当該端末の認証処理を行う認証サーバが接続されたネットワークに接続される通信装置において、前記端末から送信された通信データに含まれるアドレスを登録するアドレステーブルであって、前記端末の認証情報に基づいて前記認証サーバによって認証された端末のアドレスを登録するアドレステーブルを備え、前記アドレステーブルは、認証サーバによって認証された端末のアドレスを登録する第1のアドレステーブルと、通信データに含まれるアドレスが前記第1のアドレステーブルに登録されていない場合に、当該アドレスを前記認証サーバによって認証処理がされていない端末のアドレスとして登録する第2のアドレステーブルを有し、端末から送信された通信データに前記第2のアドレステーブルに登録されたアドレスが含まれている場合に、当該アドレスを有する端末に認証情報を返送するリクエストを供給することによって当該端末の認証情報を取得して、当該認証情報に基づく認証処理を前記認証サーバに行わせ、当該認証サーバによる認証処理の結果、当該端末の通信を許可する場合には、当該端末のアドレスを前記第1のアドレステーブルに登録すると共に前記第2のアドレステーブルから削除する
更に、本発明を適用した他の通信装置は、一又は複数の認証処理対象となる端末が接続されるとともに当該端末の認証処理を行う認証サーバが接続されたネットワークに接続される通信装置において、前記端末から送信された通信データに含まれるアドレスを登録するアドレステーブルであって、前記端末の認証情報に基づいて前記認証サーバによって認証された端末のアドレスを登録するアドレステーブルを備え、前記アドレステーブルは、認証サーバによって認証された端末のアドレスを登録する第1のアドレステーブルと、通信データに含まれるアドレスが前記第1のアドレステーブルに登録されていない場合に、当該アドレスを前記認証サーバによって認証処理がされていない端末のアドレスとして登録する第2のアドレステーブルを有し、端末から送信された通信データに前記第2のアドレステーブルに登録されたアドレスが含まれている場合に、当該アドレスを有する端末を代理して当該端末の認証情報を自ら生成し、この認証情報を前記認証サーバに供給して認証処理を行わせ、当該認証サーバによる認証処理の結果、当該端末の通信を許可する場合には、当該端末のアドレスを前記第1のアドレステーブルに登録すると共に前記第2のアドレステーブルから削除する
本発明を適用した通信制御プログラムは、一又は複数の認証処理対象となる端末が接続されるとともに当該端末の認証処理を行う認証サーバが接続されたネットワークに接続される通信装置のコンピュータに記憶される通信制御プログラムであって、前記端末から送信された通信データに含まれるアドレスを登録するアドレステーブルであって、前記端末の認証情報に基づいて前記認証サーバによって認証された端末のアドレスを登録するアドレステーブルであって、前記認証サーバによって認証された端末のアドレスを登録する第1のアドレステーブルと、通信データに含まれるアドレスが前記第1のアドレステーブルに登録されていない場合に、当該アドレスを前記認証サーバによって認証処理がされていない端末のアドレスとして登録する第2のアドレステーブルを有する前記アドレステーブルを作成する機能と、端末から送信された通信データに前記第2のアドレステーブルに登録されたアドレスが含まれている場合に、当該アドレスを有する端末に認証情報を返送するリクエストを供給することによって当該端末の認証情報を取得して、当該認証情報に基づく認証処理を前記認証サーバに行わせ、当該認証サーバによる認証処理の結果、当該端末の通信を許可する場合には、当該端末のアドレスを前記第1のアドレステーブルに登録すると共に前記第2のアドレステーブルから削除する機能とを前記通信装置のコンピュータに実現させる。
また、本発明を適用した他の通信制御プログラムは、一又は複数の認証処理対象となる端末が接続されるとともに当該端末の認証処理を行う認証サーバが接続されたネットワークに接続される通信装置のコンピュータに記憶される通信制御プログラムであって、前記端末から送信された通信データに含まれるアドレスを登録するアドレステーブルであって、前記端末の認証情報に基づいて前記認証サーバによって認証された端末のアドレスを登録するアドレステーブルであって、前記認証サーバによって認証された端末のアドレスを登録する第1のアドレステーブルと、通信データに含まれるアドレスが前記第1のアドレステーブルに登録されていない場合に、当該アドレスを前記認証サーバによって認証処理がされていない端末のアドレスとして登録する第2のアドレステーブルを有する前記アドレステーブルを作成する機能と、端末から送信された通信データに前記第2のアドレステーブルに登録されたアドレスが含まれている場合に、当該アドレスを有する端末を代理して当該端末の認証情報を自ら生成し、この認証情報を前記認証サーバに供給して認証処理を行わせ、当該認証サーバによる認証処理の結果、当該端末の通信を許可する場合には、当該端末のアドレスを前記第1のアドレステーブルに登録すると共に前記第2のアドレステーブルから削除する機能とを前記通信装置のコンピュータに実現させる。
本発明に係る通信装置によれば、端末の認証情報に基づいて認証サーバによって認証された端末のアドレスを登録するアドレステーブルを備え、端末から受信した通信データに含まれるアドレスがアドレステーブルに登録されていない場合に、当該アドレスを有する端末から認証情報を取得し、当該認証情報に基づく認証処理を認証サーバに行わせることができるので、端末が自ら認証情報を送信しなく所定の認証プロセスによって端末を認証できない場合であっても、処理負荷の増大等を招くことなく当該端末を認証することができる。
また、この通信装置によれば、認証サーバによって認証された端末のアドレスを登録する第1のアドレステーブルと、認証サーバによって認証処理がされていない端末のアドレスを登録する第2のアドレステーブルを備え、端末から送信された通信データに第2のアドレステーブルに登録されたアドレスが含まれている場合に、当該アドレスを有する端末の認証情報を取得し、当該認証情報に基づく認証処理を認証サーバに行わせることができるので、端末が自ら認証情報を送信しなく所定の認証プロセスによって端末を認証できない場合であっても、処理負荷の増大等を招くことなく当該端末を認証することができる。
更に、本発明を適用した他の通信装置によれば、認証サーバによって認証された端末のアドレスを登録するアドレステーブルを備え、端末から通信データを受信した場合に、当該通信データに含まれるアドレスがアドレステーブルに登録されていない場合には、当該アドレスを有する端末を代理して当該端末の認証情報を自ら生成して認証サーバに認証処理を行わせることができるので、所定の認証プロセスを行うことができない端末であっても、当該端末を認証させることができる。
また、この通信装置によれば、認証サーバによって認証された端末のアドレスを登録する第1のアドレステーブルと、認証サーバによって認証処理がされていない端末のアドレスを登録する第2のアドレステーブルを備え、端末から送信された通信データに第2のアドレステーブルに登録されたアドレスが含まれている場合に、当該アドレスを有する端末を代理して当該端末の認証情報を自ら生成するので、所定の認証プロセスを行うことができない端末であっても、当該端末を認証させることができる。
本発明を適用した通信制御プログラムによれば、通信装置のコンピュータに、端末の認証情報に基づいて認証サーバによって認証された端末のアドレスを登録するアドレステーブルを作成する機能を実現し、更に、端末から送信された通信データに含まれるアドレスがアドレステーブルに登録されていない場合に、当該アドレスを有する端末の認証情報を取得して認証サーバに認証処理を行わせることができるので、端末が自ら認証情報を送信しなく所定の認証プロセスによって端末を認証できない場合であっても、処理負荷の増大等を招くことなく当該端末を認証することができる。
また、本発明を適用した他の通信制御プログラムによれば、通信装置のコンピュータに、認証サーバによって認証された端末のアドレスを登録するアドレステーブルを作成する機能を実現し、端末から通信データを受信した場合に、当該通信データに含まれるアドレスがアドレステーブルに登録されていない場合には、当該アドレスを有する端末を代理して当該端末の認証情報を自ら生成して認証サーバに認証処理を行わせることができるので、所定の認証プロセスを行うことができない端末であっても、当該端末を認証させることができる。
以下、本発明の実施の形態について図面を参照して説明する。
本発明は、例えば図1に示すような通信システムにおけるLANスイッチ1(通信装置)に適用される。この通信システムは、LANスイッチ1を介して端末3A,3B,3C(以下、総称する場合には単に「端末3」と呼ぶ。)がネットワークNWに通信を行う場合に、LANスイッチ1及びRADIUSサーバ2によって端末3を認証するものである。この通信システムは、例えばIEEE802.1x規格に準拠した認証プロセスを行うものであり、端末3A,3B,3Cが認証クライアント(認証処理対象)となり、LANスイッチ1が認証装置となり、RADIUSサーバ2が認証サーバとなる。
LANスイッチ1は、ネットワークNWを介してRADIUSサーバ2と接続されると共に、端末3と接続されている。端末3Aは、LANスイッチ1に直接接続され、端末3Bは、スイッチングハブ4Aを介して間接的にLANスイッチ1に接続され、端末3Cは、スイッチングハブ4Bを介して間接的にLANスイッチ1に接続されている。
IEEE802.1xに準拠した認証プロセスを行うために、端末3A,3BはIEEE802.1xサプリカントがインストールされ、LANスイッチ1と、RADIUSサーバ2とは、それぞれ、IEEE802.1xに準拠したプログラムがインストールされている。また、端末3Cは、IEEE802.1xサプリカントがインストールされていないものとする。
このIEEE802.1xに準拠した認証プロセスについて説明する。通常、IEEE802.1xの認証プロセスは、LANスイッチ1に直接的に端末3Aが接続されたことをLANスイッチ1で検知すると、LANスイッチ1から端末3Aに認証情報の返信を要求する認証リクエストパケットを送信することによって開始される。
端末3Aは、LANスイッチ1から認証リクエストパケットを受信すると、当該認証リクエストパケットに応答して、ユーザID、パスワード、電子証明書等の認証情報を含む認証スタートパケットをLANスイッチ1に返信する。LANスイッチ1は、端末3Aから認証情報を取得すると、当該認証情報をRADIUSサーバ2に送信して、RADIUSサーバ2で認証を行わせる。このとき、RADIUSサーバ2は、予め登録されている端末3Aの認証情報と、LANスイッチ1から送信された認証情報とが合致するか否かを判定して、合致する場合には端末3Aの通信を許可する認証結果をLANスイッチ1に返信する。この認証結果によって端末3Aの通信が許可された場合には、LANスイッチ1は、以降において端末3Aから送信されたパケット(通信データ)の中継を行い、認証結果によって端末3Aの通信が許可されなかった場合には、以降において端末3Aから送信されたパケットを破棄する。これによって、LANスイッチ1は、RADIUSサーバ2によってユーザ認証された端末3のみをネットワークNWに対してアクセス可能とする。
スイッチングハブ4A,4Bは、所謂ノンインテリジェントハブであり、SNMP(Simple Network Management Protocol)エージェントの機能を有しておらず、遠隔からのネットワーク管理に対応していないものである。すなわち、スイッチングハブ4A,4Bは、当該ハブを流れるデータに関する情報をSNMPマネージャに送信したり、SNMPマネージャの要求に従ってデータを制御することができない。したがって、スイッチングハブ4A,4Bは、喩えLANスイッチ1がSNMPマネージャの機能を有していても、自己に接続されている端末3B,3Cの情報をLANスイッチ1に通知することはできない。
このようなスイッチングハブ4Aに接続された端末3Bは、IEEE802.1xサプリカントがインストールされていても、既にスイッチングハブ4AがLANスイッチ1に接続された状態で、スイッチングハブ4Aに接続された場合には、LANスイッチ1によって新たな端末3Bが接続されたことが検知されないために、LANスイッチ1から認証リクエストパケットを送信することはできない。
また、LANスイッチ1には、IEEE802.1xサプリカントがインストールされていない端末3Cが接続された場合には、当該端末3Cに認証リクエストパケットを送信しても、当該端末3Cからは認証情報を含む認証スタートパケットを受信することができない。
これに対し、LANスイッチ1は、スイッチングハブ4Aを介して接続された端末3B、及び、IEEE802.1xサプリカントを実装していない端末3Cの認証を行う構成を備えている。
LANスイッチ1は、図2に示すように、通信制御部11と、RADIUSサーバ2によって認証済の端末3のMACアドレスを登録した認証済端末アドレステーブル(第1のアドレステーブル)12と、RADIUSサーバ2によって未認証の端末3のMACアドレスを登録した未認証端末アドレステーブル(第2のアドレステーブル)13とを備える。また、LANスイッチ1は、端末3が直接的又は端末3がスイッチングハブ4を介して間接的に接続されるポート番号が「1」〜「6」の複数のポートP1〜P6と、ネットワークNW側のポート番号が「7」〜「12」の複数のポートP7〜P12とを有する。LANスイッチ1は、認証済端末アドレステーブル12を参照して、端末3で送受信されるパケットがポートP1〜P6とポートP7〜P12との間で通信されることの可否を制御する。
認証済端末アドレステーブル12は、図3に示すように、RADIUSサーバ2によって認証済であって通信が許可された端末3のMACアドレスと、当該MACアドレスを有する端末3が接続された図2に示すLANスイッチ1のポート番号とを対応付けしている。認証済端末アドレステーブル12は、認証プロセスによって作成され、端末3で送受信されるパケットをLANスイッチ1で受信した場合に、通信制御部11によって参照される。
未認証端末アドレステーブル13は、LANスイッチ1及びRADIUSサーバ2によって認証プロセスが未だ行われていない未認証の端末3のMACアドレスと、当該MACアドレスを有する端末3が接続された図2に示すLANスイッチ1のポート番号とを対応付けしている。未認証端末アドレステーブル13は、端末3からのパケット受信時に作成され、予め設定した所定期間ごとに通信制御部11によって参照される。
通信制御部11は、プログラムを記憶したプログラム用メモリ及び当該プログラムを読み込んで実行するCPU(Central Processing Unit)等からなる。通信制御部11が記憶・実行するプログラムは、認証プロセスによって認証済端末アドレステーブル12を作成する認証プログラム21と、端末3で送受信されるパケットを認証済端末アドレステーブル12を参照して中継すると共に未認証端末アドレステーブル13及び端末3の認証情報を作成する中継/テーブル作成プログラム22とからなる。これら認証プログラム21及び中継/テーブル作成プログラム22は、通信制御部11のCPU(コンピュータ)に、端末3をRADIUSサーバ2でユーザ認証させる機能、認証済端末アドレステーブル12と未認証端末アドレステーブル13と認証情報とを作成させる機能、端末3で送受信されるパケットを中継又は破棄する機能を実現させる。
中継/テーブル作成プログラム22は、端末3からパケットを受信した場合に、認証済端末アドレステーブル12を参照して、当該受信したパケットに認証済端末アドレステーブル12に登録されたMACアドレスが含まれている場合には当該パケットの中継を行い、認証済端末アドレステーブル12に登録されたMACアドレスが含まれていない場合には、当該MACアドレスを未認証端末アドレステーブル13に登録する。
認証プログラム21は、認証プロセスによってRADIUSサーバ2によって認証された端末3のアドレスを登録する認証済端末アドレステーブル12を作成する。認証プログラム21は、端末3から送信されたパケットに含まれるMACアドレスが認証済端末アドレステーブル12に登録されていない場合に、当該MACアドレスを有する端末3に認証情報を返送する認証リクエストパケットを供給して、端末3の認証情報を取得し、当該認証情報に基づく認証処理をRADIUSサーバ2に行わせ、当該RADIUSサーバ2による認証処理の結果、当該端末3の通信を許可する場合には、当該端末3のアドレスを認証済端末アドレステーブル12に登録する。これにより、LANスイッチ1は、スイッチングハブ4を介して端末3Bが接続されていて、端末3Bが自ら認証情報を送信しない場合であっても、当該端末3Bからパケットを受信した時に、当該パケットに含まれるMACアドレス宛に認証リクエストパケットを送信して、端末3Bから認証スタートパケットに含まれる認証情報を取得することができる。
また、認証プログラム21は、端末3から送信されたパケットに未認証端末アドレステーブル13に登録されたMACアドレスが含まれている場合に、当該MACアドレスを有する端末3に認証情報を返送する認証リクエストパケットを供給することによって当該端末3の認証情報を取得して、当該認証情報に基づく認証処理をRADIUSサーバ2に行わせ、当該RADIUSサーバ2による認証処理の結果、当該端末3の通信を許可する場合には、当該端末3のMACアドレスを認証済端末アドレステーブル12に登録すると共に未認証端末アドレステーブル13から削除する。これによって、認証プログラム21は、スイッチングハブ4Aを介して接続された端末3Bに対して認証リクエストパケットを送信することによって当該端末3Bから認証スタートパケットを取得できる。
更に、認証プログラム21は、IEEE802.1xサプリカントを実装していない端末3Cから送信されたパケットを受信した場合であって、当該パケットに含まれるMACアドレスが認証済端末アドレステーブル12に登録されていない場合に、中継/テーブル作成プログラム22で生成した認証情報をRADIUSサーバ2に送信する。そして、RADIUSサーバ2による認証処理の結果、当該端末3Cの通信を許可する場合には、当該端末3CのMACアドレスを認証済端末アドレステーブル12に登録する。これにより、LANスイッチ1は、IEEE802.1xサプリカントを実装していない端末3Cが接続されている場合であっても、当該端末3Cから送信されたパケットから端末3Cの認証情報を作成して、端末3Cに代理して認証プロセスを行うことができる。
更にまた、認証プログラム21は、MACアドレスを含むパケットを解析して、端末3の認証情報を自ら作成する。例えば、端末3Cから取得したパケットを解析した結果としてのMACアドレスやIPアドレスを、端末3Cを特定する情報として取得しておく。
つぎに、上述したように構成されたLANスイッチ1の通信制御部11によって中継/テーブル作成プログラム22を実行することによって行われる処理について図4を参照して説明する。
通信制御部11は、先ずステップS1において、端末側のポートP1〜P12からパケットを受信したか否かを判定し、パケットを受信していない場合にはアイドル状態に戻り(ステップS2)、パケットを受信した場合にはステップS3に処理を進める。
ステップS3において通信制御部11は、ステップS1で受信したパケットに含まれるMACアドレスを取り出し、当該MACアドレスが認証済端末アドレステーブル12に登録されたMACアドレスか否かを判定する。そして、通信制御部11は、ステップS1で受信したパケットに含まれるMACアドレスが認証済端末アドレステーブル12に登録されている場合には当該パケットを中継し(ステップS4)、ステップS1で受信したパケットに含まれるMACアドレスが認証済端末アドレステーブル12に登録されていない場合にはステップS5に処理を進める。
ステップS5において通信制御部11は、認証済端末アドレステーブル12にMACアドレスが登録されていない端末3からのパケットを破棄する。
次のステップS6において通信制御部11は、ステップS1で受信したパケットに含まれるMACアドレスを未認証端末アドレステーブル13に登録する。このとき、通信制御部11は、ステップS1でパケットを受信したポート番号と共にMACアドレスを未認証端末アドレステーブル13に登録する。
このように、LANスイッチ1は、RADIUSサーバ2によって認証されて通信が許可された端末3のMACアドレスを認証済端末アドレステーブル12に登録しておき、当該認証済端末アドレステーブル12に登録されていないMACアドレスを含むパケットを受信した場合に、当該MACアドレスを未認証端末アドレステーブル13に登録する。これにより、図1に示したように、端末3AのようにLANスイッチ1に対して直接的に接続されておらず、端末3Bのようにスイッチングハブ4Aを介して接続されている場合に、認証プロセスによって端末3Bが認証されない場合であっても、スイッチングハブ4Aを介してLANスイッチ1に接続されている端末3BのMACアドレスを未認証端末アドレステーブル13に登録することができる。
つぎに、LANスイッチ1の通信制御部11により、認証プログラム21を実行することによって行われる認証プロセスについて図5を参照して説明する。なお、この認証プロセスには、(1)LANスイッチ1に対する端末3の切断時の処理、(2)LANスイッチ1に対するIEEE802.1xサプリカントを実装した端末3がスイッチングハブ4を介さずに直接接続された時の認証プロセス、(3)LANスイッチ1に対するIEEE802.1xサプリカントを実装した端末3がスイッチングハブ4を介して接続されているときの認証プロセス、(4)LANスイッチ1に対してIEEE802.1xサプリカントを実装していない端末3を認証する認証プロセスを含んでいる。
通信制御部11は、先ず、ポートP1〜P6に対する端末3の接続の切断を検出した場合(ステップS11)、端末3Aのように直接的にLANスイッチ1に接続されたことを検出した場合(ステップS12)、未認証端末アドレステーブル13にMACアドレスが登録されているか否かを検出する所定時間が経過したことを検出した場合(ステップS13)に、ステップS10のアイドル状態から遷移する。
ステップS11において端末3の接続の切断を検出した場合、通信制御部11は、ステップS14において、当該切断された端末3のMACアドレス及びポート番号を認証済端末アドレステーブル12から削除して、ステップS10のアイドル状態に戻る。
このように、LANスイッチ1は、上記(1)のLANスイッチ1に対する端末3の切断時の処理を行って、切断された端末3が認証済端末アドレステーブル12に登録され続けることを回避する。
ステップS12において端末3が直接的にLANスイッチ1のポートP1〜P6の何れかに接続されたことを検出した場合、通信制御部11は、ステップS15において、認証情報の返信を要求する認証リクエストパケットを送信する。そして、通信制御部11は、送信した認証リクエストパケットに対する応答の認証スタートパケットを端末3から受信したか否かを判定し、受信していない場合にはステップS10のアイドル状態に戻り、端末3から認証スタートパケットを受信した場合にはステップS17に処理を進める。
ステップS17において通信制御部11は、ステップS16において受信した認証スタートパケットの送信元の端末3のMACアドレスが、当該パケットを受信したポートのポート番号に対応付けられて認証済端末アドレステーブル12に登録されているか否かを判定する。認証済端末アドレステーブル12に登録されている場合には、通信制御部11は、ステップS18において、ステップS16で受信した認証スタートパケットに含まれる認証情報をRADIUSサーバ2に送信する。
一方、認証済端末アドレステーブル12に登録されていない場合には、ステップS19に処理を進め、通信制御部11は、ステップS16で認証スタートパケットを受信したポートのポート番号以外のポート番号に対応付けられて、ステップS16で受信した認証スタートパケットの送信元の端末3のMACアドレスが登録されているか否かを判定し、そうである場合には、ステップS20において当該MACアドレスを認証済端末アドレステーブル12から削除し、そうではない場合には、ステップS21において、認証済端末アドレステーブル12に登録されたMACアドレス数が所定数未満か否かを判定する。
ステップS21において認証済端末アドレステーブル12に登録されたMACアドレス数が所定数未満であると判定した場合には、ステップS18に処理を進めて認証情報をRADIUSサーバ2に送信し、所定数未満ではない場合にはステップS10のアイドル状態に戻る。
ステップS18において端末3から送信された認証情報を送信した後のステップS22において、通信制御部11は、RADIUSサーバ2の認証結果を受信して、RADIUSサーバ2によるユーザ認証によって端末3の通信が許可されたか否かを判定する。端末3の通信が許可されたと判定した場合、通信制御部11は、ステップS23に処理を進め、端末3の通信が許可されていないと判定した場合には、ステップS25に処理を進める。
ステップS23において、通信制御部11は、端末3のMACアドレス及び端末3が接続されているポートのポート番号を認証済端末アドレステーブル12に登録する。次に通信制御部11は、ステップS24において、認証済端末アドレステーブル12に登録したMACアドレスが未認証端末アドレステーブル13に登録されているかを判定して、登録されている場合には未認証端末アドレステーブル13から削除して、ステップS10のアイドル状態に戻る。
一方、ステップS22において、RADIUSサーバ2によって端末3の通信が許可されなかった場合には、ステップS25において、通信制御部11は、当該端末3のMACアドレスが認証済端末アドレステーブル12に登録されているか否かを判定する。認証済端末アドレステーブル12に登録されている場合、ステップS26において、通信制御部11は、認証済端末アドレステーブル12から当該端末3のMACアドレスを削除して、ステップS10のアイドル状態に戻る。
このように、LANスイッチ1は、ステップS12において、IEEE802.1xに準拠した端末3Aが新たにLANスイッチ1に接続された場合には、認証リクエストパケットを送信することによって端末3からの認証情報を得てRADIUSサーバ2で認証を行わせて、認証済端末アドレステーブル12に登録することができる。
通信制御部11は、ステップS13において未認証端末アドレステーブル13にMACアドレスが登録されているか否かを参照する所定時間が経過したことを検出した場合には、ステップS27において、図4に示す処理によって未認証端末アドレステーブル13にMACアドレスが登録されているか否かを判定する。なお、ステップS13で検出する所定時間は、例えば5秒といったように、任意の時間を設定しておくことができる。
ステップS27において未認証端末アドレステーブル13にMACアドレスが登録されていると判定した場合には、ステップS28に処理を進め、MACアドレスが登録されていないと判定した場合には再度ステップS10のアイドル状態に戻る。
ステップS28において通信制御部11は、未認証端末アドレステーブル13に登録されているMACアドレスを宛先とした認証リクエストパケットを送信し、ステップS29において通信制御部11は、送信した認証リクエストパケットに対して端末3から認証スタートパケットを受信したか否かを判定する。ここで、未認証端末アドレステーブル13に登録されているMACアドレスを有する端末3がスイッチングハブ4を介して間接接続されている場合には、当該端末3から認証スタートパケットを受信することができ、ステップS17以降に処理を進める。
このように、LANスイッチ1は、スイッチングハブ4を介して間接接続されている端末3BのMACアドレスを未認証端末アドレステーブル13に登録することによって、当該端末3Bに認証リクエストパケットを送信して端末3Bの認証情報を得て、RADIUSサーバ2でユーザ認証を行わせることができる。
また、ステップS28において未認証端末アドレステーブル13に登録されている端末3に認証リクエストパケットを送信したにも拘わらず、ステップS29において認証スタートパケットを受信できない場合には、ステップS30において、通信制御部11は、端末3の認証情報を含む要求を、端末3に代理してRADIUSサーバ2に送信して、ステップS22に処理を進める。このとき、通信制御部11は、当該端末3からのパケットに含まれる情報を解析して、端末3の認証情報を自ら作成する。
また、LANスイッチ1は、認証済端末アドレステーブル12に登録されていないMACアドレスを含むパケットを受信した場合に、当該パケットに含まれる情報から、端末3の認証情報を自ら作成することができる。これにより、端末3CのようにIEEE802.1xサプリカントを実装していない端末3Cに代理してRADIUSサーバ2に送信する認証情報を自ら作成できる。
そして、RADIUSサーバ2は、LANスイッチ1によって作成された認証情報と、予め記憶しておいた認証情報とを用いて認証を行って認証結果をLANスイッチ1に返信する。ここで、RADIUSサーバ2は、LANスイッチ1で作成された認証情報で認証を行うために、予め正当な端末3Cの認証情報(IPアドレス、MACアドレス、その他ユーザを特定する情報、その組み合わせ)を登録しておく必要がある。
このように、LANスイッチ1は、IEEE802.1xサプリカントを実装していない端末3Cの認証情報を自ら作成し、当該端末3Cから認証スタートパケットを受信していない場合であっても、端末3Cに代理して認証情報をRADIUSサーバ2に送信して、端末3Cのユーザ認証を行わせることができる。
以上詳細に説明したように、本発明を適用したLANスイッチ1によれば、IEEE802.1xに準拠した認証プロセスによって端末3を認証できない場合であっても、認証されていない端末3からのパケットを受信する度又は定期的に認証リクエストパケットを送信する必要ないので、処理負荷の増大を招くことがなく、正当なユーザが使用している端末3の認証を行うことができる。また、LANスイッチ1によれば、認証されていない端末3を複数回に亘ってRADIUSサーバ2でユーザ認証をさせることも無いので、RADIUSサーバ2に認証結果のログが大量に蓄積されることを回避できる。
なお、上述の実施の形態は本発明の一例である。このため、本発明は、上述の実施形態に限定されることはなく、この実施の形態以外であっても、本発明に係る技術的思想を逸脱しない範囲であれば、設計等に応じて種々の変更が可能であることは勿論である。
本発明を適用したLANスイッチを含む通信システムの構成を示すブロック図である。 本発明を適用したLANスイッチの機能的な構成を示すブロック図である。 認証済端末アドレステーブル及び未認証端末アドレステーブルを説明する図である。 本発明を適用したLANスイッチによって、端末からパケットを受信した場合の処理手順を示すフローチャートである。 本発明を適用したLANスイッチによる認証プロセスの処理手順を示すフローチャートである。
符号の説明
1 LANスイッチ(通信装置)
2 RADIUSサーバ(認証サーバ)
3A,3B,3C 端末
4A,4B スイッチングハブ
11 通信制御部
12 認証済端末アドレステーブル(第1のアドレステーブル)
13 未認証端末アドレステーブル(第2のアドレステーブル)
21 認証プログラム
22 中継/テーブル作成プログラム

Claims (4)

  1. 一又は複数の認証処理対象となる端末が接続されるとともに当該端末の認証処理を行う認証サーバが接続されたネットワークに接続される通信装置において、
    前記端末から送信された通信データに含まれるアドレスを登録するアドレステーブルであって、前記端末の認証情報に基づいて前記認証サーバによって認証された端末のアドレスを登録するアドレステーブルを備え、
    前記アドレステーブルは、認証サーバによって認証された端末のアドレスを登録する第1のアドレステーブルと、通信データに含まれるアドレスが前記第1のアドレステーブルに登録されていない場合に、当該アドレスを前記認証サーバによって認証処理がされていない端末のアドレスとして登録する第2のアドレステーブルを有し、
    端末から送信された通信データに前記第2のアドレステーブルに登録されたアドレスが含まれている場合に、当該アドレスを有する端末に認証情報を返送するリクエストを供給することによって当該端末の認証情報を取得して、当該認証情報に基づく認証処理を前記認証サーバに行わせ、当該認証サーバによる認証処理の結果、当該端末の通信を許可する場合には、当該端末のアドレスを前記第1のアドレステーブルに登録すると共に前記第2のアドレステーブルから削除する
    ことを特徴とする通信装置。
  2. 一又は複数の認証処理対象となる端末が接続されるとともに当該端末の認証処理を行う認証サーバが接続されたネットワークに接続される通信装置において、
    前記端末から送信された通信データに含まれるアドレスを登録するアドレステーブルであって、前記端末の認証情報に基づいて前記認証サーバによって認証された端末のアドレスを登録するアドレステーブルを備え、
    前記アドレステーブルは、認証サーバによって認証された端末のアドレスを登録する第1のアドレステーブルと、通信データに含まれるアドレスが前記第1のアドレステーブルに登録されていない場合に、当該アドレスを前記認証サーバによって認証処理がされていない端末のアドレスとして登録する第2のアドレステーブルを有し、
    端末から送信された通信データに前記第2のアドレステーブルに登録されたアドレスが含まれている場合に、当該アドレスを有する端末を代理して当該端末の認証情報を自ら生成し、この認証情報を前記認証サーバに供給して認証処理を行わせ、当該認証サーバによる認証処理の結果、当該端末の通信を許可する場合には、当該端末のアドレスを前記第1のアドレステーブルに登録すると共に前記第2のアドレステーブルから削除する
    ことを特徴とする通信装置。
  3. 一又は複数の認証処理対象となる端末が接続されるとともに当該端末の認証処理を行う認証サーバが接続されたネットワークに接続される通信装置のコンピュータに記憶される通信制御プログラムであって、
    前記端末から送信された通信データに含まれるアドレスを登録するアドレステーブルであって、前記端末の認証情報に基づいて前記認証サーバによって認証された端末のアドレスを登録するアドレステーブルであって、前記認証サーバによって認証された端末のアドレスを登録する第1のアドレステーブルと、通信データに含まれるアドレスが前記第1のアドレステーブルに登録されていない場合に、当該アドレスを前記認証サーバによって認証処理がされていない端末のアドレスとして登録する第2のアドレステーブルを有する前記アドレステーブルを作成する機能と、
    端末から送信された通信データに前記第2のアドレステーブルに登録されたアドレスが含まれている場合に、当該アドレスを有する端末に認証情報を返送するリクエストを供給することによって当該端末の認証情報を取得して、当該認証情報に基づく認証処理を前記認証サーバに行わせ、当該認証サーバによる認証処理の結果、当該端末の通信を許可する場合には、当該端末のアドレスを前記第1のアドレステーブルに登録すると共に前記第2のアドレステーブルから削除する機能と
    を前記通信装置のコンピュータに実現させることを特徴とする通信制御プログラム。
  4. 一又は複数の認証処理対象となる端末が接続されるとともに当該端末の認証処理を行う認証サーバが接続されたネットワークに接続される通信装置のコンピュータに記憶される通信制御プログラムであって、
    前記端末から送信された通信データに含まれるアドレスを登録するアドレステーブルであって、前記端末の認証情報に基づいて前記認証サーバによって認証された端末のアドレスを登録するアドレステーブルであって、前記認証サーバによって認証された端末のアドレスを登録する第1のアドレステーブルと、通信データに含まれるアドレスが前記第1のアドレステーブルに登録されていない場合に、当該アドレスを前記認証サーバによって認証処理がされていない端末のアドレスとして登録する第2のアドレステーブルを有する前記アドレステーブルを作成する機能と、
    端末から送信された通信データに前記第2のアドレステーブルに登録されたアドレスが含まれている場合に、当該アドレスを有する端末を代理して当該端末の認証情報を自ら生成し、この認証情報を前記認証サーバに供給して認証処理を行わせ、当該認証サーバによる認証処理の結果、当該端末の通信を許可する場合には、当該端末のアドレスを前記第1のアドレステーブルに登録すると共に前記第2のアドレステーブルから削除する機能と
    を前記通信装置のコンピュータに実現させることを特徴とする通信制御プログラム。
JP2006209084A 2006-07-31 2006-07-31 通信装置及び通信制御プログラム Active JP4881672B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2006209084A JP4881672B2 (ja) 2006-07-31 2006-07-31 通信装置及び通信制御プログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2006209084A JP4881672B2 (ja) 2006-07-31 2006-07-31 通信装置及び通信制御プログラム

Publications (2)

Publication Number Publication Date
JP2008033831A JP2008033831A (ja) 2008-02-14
JP4881672B2 true JP4881672B2 (ja) 2012-02-22

Family

ID=39123141

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006209084A Active JP4881672B2 (ja) 2006-07-31 2006-07-31 通信装置及び通信制御プログラム

Country Status (1)

Country Link
JP (1) JP4881672B2 (ja)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009245301A (ja) * 2008-03-31 2009-10-22 Nec Corp セッション管理・制御装置、方法、及び、プログラム
JP5011574B2 (ja) * 2008-07-03 2012-08-29 Necインフロンティア株式会社 情報処理装置、使用制限方法およびプログラム
JP5269641B2 (ja) * 2009-02-23 2013-08-21 富士通テレコムネットワークス株式会社 ユーザ認証システムおよびユーザ認証方法
JP5712262B2 (ja) * 2013-09-17 2015-05-07 アラクサラネットワークス株式会社 通信装置

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002314549A (ja) * 2001-04-18 2002-10-25 Nec Corp ユーザ認証システム及びそれに用いるユーザ認証方法
JP2005011245A (ja) * 2003-06-20 2005-01-13 Furukawa Electric Co Ltd:The 受信者認証方法、そのネットワーク間接続装置および受信者認証システム

Also Published As

Publication number Publication date
JP2008033831A (ja) 2008-02-14

Similar Documents

Publication Publication Date Title
JP5364671B2 (ja) ネットワーク認証における端末接続状態管理
JP4347335B2 (ja) ネットワーク中継プログラム、ネットワーク中継装置、通信システム、ネットワーク中継方法
US8646033B2 (en) Packet relay apparatus
JP5143125B2 (ja) ドメイン間情報通信のための認証方法、システム、およびその装置
US20080184354A1 (en) Single sign-on system, information terminal device, single sign-on server, single sign-on utilization method, storage medium, and data signal
US20060129677A1 (en) Communication device and setting method therefor
JP5239341B2 (ja) ゲートウェイ、中継方法及びプログラム
JP2007005847A (ja) ネットワークにおけるデータ伝送制御
JP2002314549A (ja) ユーザ認証システム及びそれに用いるユーザ認証方法
JP5143199B2 (ja) ネットワーク中継装置
US11302451B2 (en) Internet of things connectivity device and method
JP2004201046A (ja) 無線ネットワークのアクセス認証技術
JP2006203300A (ja) 転送装置、アクセス可否判定方法およびプログラム
CN113824685B (zh) 一种基于Android VpnService实现的移动端定向流量代理***与方法
KR100667284B1 (ko) 네트워크 시스템상의 인증방법 및 그 시스템
JP5143198B2 (ja) ネットワーク中継装置
US8010994B2 (en) Apparatus, and associated method, for providing communication access to a communication device at a network access port
JP4881672B2 (ja) 通信装置及び通信制御プログラム
JP2005099980A (ja) サービス提供方法、サービス提供プログラム、ホスト装置、および、サービス提供装置
JP2006074451A (ja) IPv6/IPv4トンネリング方法
WO2015100874A1 (zh) 家庭网关接入管理方法和***
JP2015050496A (ja) 通信システム及び認証スイッチ
KR20170038568A (ko) Sdn 컨트롤러 및 sdn 컨트롤러에서의 스위치 식별 방법
JP2004078280A (ja) リモートアクセス仲介システム及び方法
US8607058B2 (en) Port access control in a shared link environment

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20090421

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20110810

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20110816

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20111017

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20111115

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20111205

R150 Certificate of patent or registration of utility model

Ref document number: 4881672

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20141209

Year of fee payment: 3

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250