JP5577976B2 - Network relay device - Google Patents
Network relay device Download PDFInfo
- Publication number
- JP5577976B2 JP5577976B2 JP2010207724A JP2010207724A JP5577976B2 JP 5577976 B2 JP5577976 B2 JP 5577976B2 JP 2010207724 A JP2010207724 A JP 2010207724A JP 2010207724 A JP2010207724 A JP 2010207724A JP 5577976 B2 JP5577976 B2 JP 5577976B2
- Authority
- JP
- Japan
- Prior art keywords
- authentication information
- relay device
- network relay
- switch
- user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 claims description 73
- 230000008569 process Effects 0.000 claims description 56
- 238000012545 processing Methods 0.000 claims description 43
- 230000004044 response Effects 0.000 claims description 11
- 230000005540 biological transmission Effects 0.000 description 84
- 230000006870 function Effects 0.000 description 33
- 238000010586 diagram Methods 0.000 description 11
- 238000004891 communication Methods 0.000 description 10
- 230000004048 modification Effects 0.000 description 7
- 238000012986 modification Methods 0.000 description 7
- 238000004590 computer program Methods 0.000 description 4
- 230000000644 propagated effect Effects 0.000 description 4
- 230000008859 change Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000001960 triggered effect Effects 0.000 description 2
- 230000008901 benefit Effects 0.000 description 1
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 230000009466 transformation Effects 0.000 description 1
Images
Landscapes
- Small-Scale Networks (AREA)
Description
本発明は、ネットワーク中継装置に関する。 The present invention relates to a network relay device.
ICT(Information and Communication Technology)技術の進展に伴い、インテリジェントスイッチと呼ばれるスイッチ製品が登場している。このようなインテリジェントスイッチは、一般的なスイッチと比較して高機能なスイッチのことを意味する。インテリジェントスイッチは様々な機能、例えば、VLAN(Virtual Local Area Network)機能や、セキュリティ機能や、QoSサービス品質機能等を備えている(例えば、特許文献1)。このような機能の中でも、近年では、ネットワーク内部における脅威を重要視したセキュリティ機能の向上が求められている。 With the development of ICT (Information and Communication Technology) technology, switch products called intelligent switches have appeared. Such an intelligent switch means a switch having a higher function than a general switch. The intelligent switch has various functions such as a VLAN (Virtual Local Area Network) function, a security function, a QoS service quality function, and the like (for example, Patent Document 1). Among these functions, in recent years, there has been a demand for improvements in security functions that place importance on threats inside the network.
このような背景から、従来、接続される利用者の認証を行うことが可能なRADIUS(Remote Authentication Dial-In User Service)機能を内蔵したインテリジェントスイッチが知られている。RADIUS機能を内蔵したインテリジェントスイッチは、独立したRADIUSサーバを設ける必要がない点において手軽である。しかし、例えば、あるインテリジェントスイッチに接続され、RADIUS機能を使用していた特定の利用者の端末が、他のインテリジェントスイッチに接続されるような場合(すなわち、ネットワークの構成に変化が生じた場合)、当該端末が新たに接続されたインテリジェントスイッチにおいて、RADIUS機能を有効にするための設定が再び必要となり、煩雑であるという問題があった。 From such a background, an intelligent switch having a built-in RADIUS (Remote Authentication Dial-In User Service) function capable of authenticating a connected user is conventionally known. An intelligent switch with a built-in RADIUS function is convenient in that it is not necessary to provide an independent RADIUS server. However, for example, when a specific user's terminal connected to a certain intelligent switch and using the RADIUS function is connected to another intelligent switch (that is, when a change occurs in the network configuration). In the intelligent switch to which the terminal is newly connected, setting for enabling the RADIUS function is required again, which is complicated.
また、このような問題は、インテリジェントスイッチに限らず、セキュリティ機能を備えるネットワーク中継装置全般に共通する問題であった。 Such a problem is not limited to the intelligent switch, but is a problem common to all network relay apparatuses having a security function.
本発明は、セキュリティの向上と利便性を両立させたネットワーク中継装置を提供することを目的とする。 An object of the present invention is to provide a network relay device that achieves both improved security and convenience.
本発明は、上述の課題の少なくとも一部を解決するためになされたものであり、例えば、以下の形態として実現可能である。ネットワーク中継装置であって、利用者が前記ネットワーク中継装置へ接続する権限を保持しているか否かを判定するための認証処理を実行する認証処理部と、前記認証処理において、前記利用者の権限を照合するために使用される情報である認証情報を記憶する認証情報記憶部と、前記認証処理において前記利用者が前記ネットワーク中継装置へ接続する権限を保持すると判定された場合に、前記利用者の端末との間のフレームを中継する中継処理部と、予め定められたトリガの発生に応じて、前記認証情報記憶部に格納された前記認証情報を、前記ネットワーク中継装置に接続された他のネットワーク中継装置へ送信する認証情報送信部と、前記利用者から前記認証情報を受け付けると共に、受け付けた前記認証情報を前記認証情報記憶部へ格納する認証情報登録部と、前記他のネットワーク中継装置から前記認証情報を受信した際に、受信した前記認証情報を前記認証情報記憶部へ格納する認証情報更新部と、を備え、前記認証情報登録部は、受け付けた前記認証情報を前記認証情報記憶部へ格納する際に、前記ネットワーク中継装置の外部から取得した日時に依拠した登録日時を併せて格納し、前記認証情報送信部は、前記認証情報と、前記登録日時とを併せて前記他のネットワーク中継装置へ送信し、前記認証情報更新部は、前記認証情報と併せて受信した前記登録日時を用いることによって、前記認証情報記憶部内の一貫性を保持するように、前記認証情報を前記認証情報記憶部へ格納する、ネットワーク中継装置。本発明は、そのほか、以下の形態又は適用例として実現することが可能である。 SUMMARY An advantage of some aspects of the invention is to solve at least a part of the problems described above, and the invention can be implemented as , for example, the following forms. An authentication processing unit that executes an authentication process for determining whether or not a user holds an authority to connect to the network relay apparatus, and in the authentication process, the authority of the user An authentication information storage unit that stores authentication information, which is information used for verifying, and the user when it is determined in the authentication process that the user has authority to connect to the network relay device A relay processing unit that relays a frame between the terminal and the authentication information stored in the authentication information storage unit in response to the occurrence of a predetermined trigger; An authentication information transmitting unit for transmitting to the network relay device; and receiving the authentication information from the user and storing the received authentication information in the authentication information storage An authentication information registration unit that stores the authentication information, and an authentication information update unit that stores the received authentication information in the authentication information storage unit when the authentication information is received from the other network relay device. When storing the received authentication information in the authentication information storage unit, the information registration unit also stores the registration date and time based on the date and time acquired from the outside of the network relay device, and the authentication information transmission unit includes: The authentication information and the registration date and time are transmitted together to the other network relay device, and the authentication information update unit uses the registration date and time received together with the authentication information in the authentication information storage unit. A network relay device that stores the authentication information in the authentication information storage unit so as to maintain consistency. In addition, the present invention can be realized as the following forms or application examples.
[適用例1]
ネットワーク中継装置であって、
利用者が前記ネットワーク中継装置へ接続する権限を保持しているか否かを判定するための認証処理を実行する認証処理部と、
前記認証処理において、前記利用者の権限を照合するために使用される情報である認証情報を記憶する認証情報記憶部と、
前記認証処理において前記利用者が前記ネットワーク中継装置へ接続する権限を保持すると判定された場合に、前記利用者の端末との間のフレームを中継する中継処理部と、
予め定められたトリガの発生に応じて、前記認証情報記憶部に格納された前記認証情報を、前記ネットワーク中継装置に接続された他のネットワーク中継装置へ送信する認証情報送信部と、
を備える、ネットワーク中継装置。
このような構成にすれば、認証情報送信部は、予め定められたトリガの発生に応じて、利用者の権限を照合するために使用される情報である認証情報を他のネットワーク中継装置へ送信するため、他のネットワーク中継装置においても、この認証情報を用いて認証処理を実行することができる。この結果、セキュリティの向上と利便性を両立させたネットワーク中継装置を提供することができる。
[Application Example 1]
A network relay device,
An authentication processing unit that executes an authentication process for determining whether or not the user has authority to connect to the network relay device;
In the authentication process, an authentication information storage unit that stores authentication information that is information used for checking the authority of the user;
A relay processing unit that relays a frame between the user terminal and the user when it is determined in the authentication process that the user has authority to connect to the network relay device;
An authentication information transmitting unit that transmits the authentication information stored in the authentication information storage unit to another network relay device connected to the network relay device in response to occurrence of a predetermined trigger;
A network relay device comprising:
With this configuration, the authentication information transmission unit transmits authentication information, which is information used to check the authority of the user, to another network relay device in response to the occurrence of a predetermined trigger. Therefore, also in other network relay apparatuses, authentication processing can be executed using this authentication information. As a result, it is possible to provide a network relay device that achieves both improved security and convenience.
[適用例2]
適用例1記載のネットワーク中継装置であって、さらに、
前記他のネットワーク中継装置から前記認証情報を受信した際に、受信した前記認証情報を前記認証情報記憶部へ格納する認証情報更新部を備える、ネットワーク中継装置。
このような構成にすれば、認証情報更新部は、他のネットワーク中継装置から認証情報を受信した際に、受信した認証情報を認証情報記憶部へ格納するため、この認証情報を用いて認証処理を実行することができる。
[Application Example 2]
A network relay device described in Application Example 1,
A network relay device comprising: an authentication information update unit that stores the received authentication information in the authentication information storage unit when the authentication information is received from the other network relay device.
With this configuration, when the authentication information update unit receives the authentication information from another network relay device, the authentication information update unit stores the received authentication information in the authentication information storage unit. Can be executed.
[適用例3]
適用例2記載のネットワーク中継装置であって、さらに、
前記利用者から前記認証情報を受け付けると共に、受け付けた前記認証情報を前記認証情報記憶部へ格納する認証情報登録部を備え、
前記認証情報登録部は、受け付けた前記認証情報を前記認証情報記憶部へ格納する際に、前記ネットワーク中継装置の外部から取得した日時に依拠した登録日時を併せて格納し、
前記認証情報送信部は、前記認証情報と、前記登録日時とを併せて前記他のネットワーク中継装置へ送信し、
前記認証情報更新部は、前記認証情報と併せて受信した前記登録日時を用いることによって、前記認証情報記憶部内の一貫性を保持するように、前記認証情報を前記認証情報記憶部へ格納する、ネットワーク中継装置。
このような構成にすれば、認証情報登録部は、受け付けた認証情報を格納する際にネットワーク中継装置の外部から取得した日時に依拠した登録日時を併せて格納し、認証情報送信部は、認証情報と登録日時とを併せて送信し、認証情報更新部は、認証情報と併せて受信した登録日時を用いることによって、認証情報記憶部内の一貫性を保持するように認証情報を認証情報記憶部へ格納するため、認証情報記憶部に格納された認証情報の一貫性を向上させることができる。
[Application Example 3]
A network relay device according to Application Example 2, further comprising:
An authentication information registration unit that receives the authentication information from the user and stores the received authentication information in the authentication information storage unit,
The authentication information registration unit, when storing the received authentication information in the authentication information storage unit, also stores the registration date and time based on the date and time acquired from the outside of the network relay device,
The authentication information transmitting unit transmits the authentication information and the registration date and time to the other network relay device,
The authentication information update unit stores the authentication information in the authentication information storage unit so as to maintain consistency in the authentication information storage unit by using the registration date and time received together with the authentication information. Network relay device.
With such a configuration, the authentication information registration unit stores the registration date and time depending on the date and time acquired from the outside of the network relay device when storing the received authentication information, and the authentication information transmission unit The authentication information update unit transmits the authentication information to the authentication information storage unit so as to maintain consistency in the authentication information storage unit by using the registration date and time received together with the authentication information. Therefore, the consistency of the authentication information stored in the authentication information storage unit can be improved.
[適用例4]
適用例1ないし3のいずれか一項記載のネットワーク中継装置であって、
前記認証情報送信部は、
前記ネットワーク中継装置に接続された他のネットワーク中継装置のうち、予め定められた特定の中継装置に対して前記認証情報を送信する、ネットワーク中継装置。
このような構成にすれば、認証情報送信部は、他のネットワーク中継装置のうち、予め定められた特定の中継装置に対して認証情報を送信することができる。この結果、利便性を向上させることができる。
[Application Example 4]
The network relay device according to any one of Application Examples 1 to 3,
The authentication information transmitting unit
A network relay device that transmits the authentication information to a predetermined specific relay device among other network relay devices connected to the network relay device.
With this configuration, the authentication information transmission unit can transmit the authentication information to a predetermined specific relay device among other network relay devices. As a result, convenience can be improved.
[適用例5]
適用例1ないし4のいずれか一項記載のネットワーク中継装置であって、
前記予め定められたトリガは、前記認証情報記憶部の更新と、所定のスケジュールに従った日時の到来と、のいずれかである、ネットワーク中継装置。
このような構成にすれば、認証情報送信部は、認証情報記憶部の更新と、所定のスケジュールに従った日時の到来と、のいずれかのトリガの発生に応じて、認証情報を送信することができる。この結果、利便性を向上させることができる。
[Application Example 5]
The network relay device according to any one of Application Examples 1 to 4,
The network relay device, wherein the predetermined trigger is either update of the authentication information storage unit or arrival of a date and time according to a predetermined schedule.
According to such a configuration, the authentication information transmission unit transmits the authentication information in response to the occurrence of any of the trigger of the update of the authentication information storage unit and the arrival of the date and time according to a predetermined schedule. Can do. As a result, convenience can be improved.
[適用例6]
適用例1ないし5のいずれか一項記載のネットワーク中継装置であって、
前記認証情報は、前記利用者を識別するためのユーザIDと、前記利用者によって設定されるパスワードとの組、もしくは、前記利用者の電子証明書の信頼性を判断するための電子証明書の少なくともいずれか一方を含む、ネットワーク中継装置。
このような構成にすれば、認証情報は、利用者を識別するためのユーザIDと、利用者によって設定されるパスワードとの組、もしくは、利用者の電子証明書の信頼性を判断するための電子証明書の少なくともいずれか一方を含むことができるため、認証処理部の認証処理において幅広い認証方式を用いることが可能となる。
[Application Example 6]
The network relay device according to any one of Application Examples 1 to 5,
The authentication information is a set of a user ID for identifying the user and a password set by the user, or an electronic certificate for judging the reliability of the electronic certificate of the user. A network relay device including at least one of them.
With this configuration, the authentication information is used to determine the reliability of the user ID for identifying the user and the password set by the user or the electronic certificate of the user. Since at least one of the electronic certificates can be included, a wide range of authentication methods can be used in the authentication processing of the authentication processing unit.
[適用例7]
適用例1ないし6のいずれか一項記載のネットワーク中継装置であって、
前記認証情報記憶部は、ハードディスクドライブ内に設けられる、ネットワーク中継装置。
このような構成にすれば、認証情報記憶部はハードディスクドライブ内に設けられるため、認証情報記憶部の記憶容量を大きくすることができる。
[Application Example 7]
The network relay device according to any one of Application Examples 1 to 6,
The authentication information storage unit is a network relay device provided in a hard disk drive.
With this configuration, since the authentication information storage unit is provided in the hard disk drive, the storage capacity of the authentication information storage unit can be increased.
なお、本発明は、種々の態様で実現することが可能である。例えば、本発明は、ネットワーク中継装置、ネットワーク中継装置の制御方法、ネットワーク中継装置を用いたネットワークシステム、および、それらの方法または装置の機能を実現するためのコンピュータプログラム、そのコンピュータプログラムを記憶した記憶媒体等の形態で実現することができる。 Note that the present invention can be realized in various modes. For example, the present invention relates to a network relay device, a control method of the network relay device, a network system using the network relay device, a computer program for realizing the functions of the method or device, and a storage storing the computer program It can be realized in the form of a medium or the like.
次に、本発明の実施の形態を実施例に基づいて以下の順序で説明する。 Next, embodiments of the present invention will be described in the following order based on examples.
A.第1実施例:
(A−1)装置構成:
図1は、本発明の一実施例としてのネットワーク中継装置および端末の機能の概略構成を示す説明図である。ネットワーク中継装置(以降、単に「スイッチ」とも呼ぶ。)10、20、20Xは、いわゆるレイヤ2スイッチである。スイッチ10は、MACアドレスがMAC_SW10であり、回線を通じてパーソナルコンピュータ(以降、「端末」、「PC」とも呼ぶ。)50と接続されている。スイッチ20は、MACアドレスがMAC_SW20であり、回線を通じてPC60と接続されている。スイッチ20Xは、MACアドレスがMAC_SW20Xである。スイッチ10と、スイッチ20と、スイッチ20Xとは、ローカルエリアネットワーク(LAN)等のネットワークを通じて互いに接続されている。なお、図1では便宜上、説明上必要としない、他のネットワーク中継装置、回線、端末、およびネットワーク中継装置内の構成部については図示を省略している。このことは、後述する図においても同様である。
A. First embodiment:
(A-1) Device configuration:
FIG. 1 is an explanatory diagram showing a schematic configuration of functions of a network relay device and a terminal as an embodiment of the present invention. Network relay devices (hereinafter also simply referred to as “switches”) 10, 20, and 20X are so-called layer 2 switches. The
スイッチ10、20、20Xは、MACアドレスによるフレームの中継を行う中継機能を備えている。さらに、スイッチ10、20、20Xは、スイッチに接続される端末の利用者が、スイッチへ接続する権限を保持するか否かを判定する(認証を行う)ことが可能なRADIUS(Remote Authentication Dial-In User Service)機能を備えている。
The
RADIUS機能とは、具体的には、802.1X認証や、MACアドレス認証、Web認証等に基づいた認証処理を実現する機能である。802.1X認証、MACアドレス認証、Web認証に基づいた認証処理では、例えば、PAP(Password Authentication Protocol)、CHAP(Challenge Handshake Authentication Protocol)、EAP−MD5(Extensible Authentication Protocol-Message Digest version 5)、EAP−TLS(Extensible Authentication Protocol-Transport Layer Security)、PEAP(Protected Extensible Authentication Protocol)等の種々の認証方式を使用することができる。 Specifically, the RADIUS function is a function that realizes authentication processing based on 802.1X authentication, MAC address authentication, Web authentication, or the like. In the authentication process based on 802.1X authentication, MAC address authentication, and Web authentication, for example, PAP (Password Authentication Protocol), CHAP (Challenge Handshake Authentication Protocol), EAP-MD5 (Extensible Authentication Protocol-Message Digest version 5), EAP -Various authentication methods such as TLS (Extensible Authentication Protocol-Transport Layer Security) and PEAP (Protected Extensible Authentication Protocol) can be used.
上述の認証処理においては、利用者の権限を照合するために、予め各スイッチ内に格納されている認証情報が使用される。本実施例では、認証情報は、スイッチ10に接続されたPC50を介して、スイッチ10の記憶部内に登録される。また、スイッチ20、20X内の認証情報は、スイッチ10から送信される。すなわち、本実施例では、スイッチ10がマスタとなり、スイッチ20、20Xをスレーブとして、認証情報を伝播させる。
In the above-described authentication process, authentication information stored in advance in each switch is used in order to check the authority of the user. In this embodiment, the authentication information is registered in the storage unit of the
上述のように、スイッチ10、20、20Xは、それぞれRADIUS機能を内蔵している。このため、独立したRADIUSサーバを設ける必要がなく手軽である。さらに、独立したRADIUSサーバを設けた場合は、RADIUSサーバが、例えば、サーバのダウンやサーバまでの経路障害の発生等により認証処理のサービスが不能となった場合、当該RADIUSサーバを利用する全ての端末における利用者の認証処理が不可能となる問題がある。これに対し、本実施例におけるスイッチ10、20、20Xは、仮に1つのスイッチのRADIUS機能が、例えば、スイッチのダウン等により認証処理のサービスが不能となった場合であっても、他のスイッチでは認証処理のサービスを継続することができる。このため、影響範囲を小さくすることができる。
As described above, the
図2は、スイッチ10の構成を概略的に示す説明図である。スイッチ10は、CPU200と、ROM300と、RAM400と、有線通信部500とを備えている。スイッチ10の各構成要素は、バスを介して互いに接続されている。
FIG. 2 is an explanatory diagram schematically showing the configuration of the
CPU200は、ROM300に格納されているコンピュータプログラムをRAM400に展開して実行することにより、スイッチ10の各部を制御する。また、CPU200は、認証処理部220、認証情報送信部230、認証情報登録部240としても機能する。
The
認証処理部220は、RADIUS機能(802.1X認証、MACアドレス認証、Web認証)に基づいた認証処理を実行する。認証情報送信部230は、認証処理において使用される認証情報を、他のスイッチ(スイッチ20、20X:図1)へ送信する認証情報送信処理(図6、ステップS20、図7)を実行する機能を有する。認証情報登録部240は、認証処理に先立って、利用者から認証情報を受け付け、認証情報を登録する認証情報登録処理(図6)を実行する機能を有する。これら各機能の詳細は後述する。
The
RAM400には、認証情報記憶部410と、送信先記憶部420とが含まれている。これら各記憶部の内容についての詳細は後述する。有線通信部500は、中継処理部510と、図示しない有線通信インタフェースとを含む物理チップ(ASIC:Application Specific Integrated Circuit)である。中継処理部510は、有線通信インタフェースを介して受信したフレームであって、認証処理部220の認証処理において許可された利用者から受信したフレームを中継する機能を有する。
The
(A−2)記憶部内の構成:
図3は、認証情報記憶部410に格納されているデータの一例を示す説明図である。認証情報記憶部410には、ユーザIDと、パスワードと、登録日時とが関連付けて記憶されている。ユーザIDは、スイッチ10に接続される端末の利用者を識別するために付与される一意な識別子である。パスワードは、ユーザIDと関連付けて任意に設定される文字列である。登録日時は、認証情報(ユーザIDとパスワードの組)が認証情報記憶部410内に登録された日時である。なお、ユーザIDと関連付けられて記憶される情報には、図示以外のものも含むことができる。例えば、スイッチ10に接続される端末の利用者を証明するために提示される電子証明書(以降、「ユーザ証明書」とも呼ぶ。)を含んでもよい。
(A-2) Configuration in storage unit:
FIG. 3 is an explanatory diagram illustrating an example of data stored in the authentication
認証情報記憶部410には、さらに、スイッチ10が信頼する認証局から発行されているルート証明書が格納されている。このルート証明書は、認証処理において、ユーザ証明書の信頼性を判断するために用いられる。ルート証明書は、スイッチ10の管理者により予め格納される。なお、ユーザIDとパスワードとの組と、ルート証明書とを総称して「認証情報」とも呼ぶ。
The authentication
図3の例では、ユーザID「user01」によって識別される利用者のパスワードは「abc123456」であり、ユーザID「user01」の利用者の認証情報が認証情報記憶部410に登録されたのは「2010年8月23日 17時54分0秒」である。また、ユーザID「user02」の利用者のパスワードは「abcdefghi」であり、認証情報が登録されたのは「2010年8月25日 10時15分2秒」である。また、スイッチ10には、スイッチ10が信頼する2つの認証局から発行されたルート証明書RC1が格納されている。
In the example of FIG. 3, the password of the user identified by the user ID “user01” is “abc123456”, and the authentication information of the user with the user ID “user01” is registered in the authentication
図4は、送信先記憶部420に格納されているデータの一例を示す説明図である。送信先記憶部420には、予め、送信先と、認証情報の種類とが関連付けて記憶されている。送信先は、後述の認証情報送信処理において、認証情報送信部230が認証情報を送信する際の宛先となるスイッチを識別するための情報が格納されている。本実施例では、送信先スイッチを識別するための情報として、送信先スイッチのMACアドレスを格納するものとしているが、他の情報(例えば、スイッチ10内の出力ポートの識別子)等を採用してもよい。認証情報の種類は、後述の認証情報送信処理において、認証情報送信部230が送信する認証情報の種類が格納されている。
FIG. 4 is an explanatory diagram illustrating an example of data stored in the transmission
図5は、スイッチ20の構成を概略的に示す説明図である。図2に示したスイッチ10との違いは、CPU200の代わりにCPU200aを備える点と、RAM400の代わりにRAM400aを備える点のみであり、他の構成や動作はスイッチ10と同じである。なお、図1に示したスイッチ20Xの構成は、スイッチ20と同じである。
FIG. 5 is an explanatory diagram schematically showing the configuration of the
CPU200aは、ROM300に格納されているコンピュータプログラムをRAM400aに展開して実行することにより、スイッチ20の各部を制御する。また、CPU200aは、認証処理部220、認証情報更新部250としても機能する。認証処理部220については、図2で説明した通りである。認証情報更新部250は、他のスイッチ(例えば、スイッチ10)から認証情報を受信した際に、受信した認証情報をRAM400a内の認証情報記憶部410へ格納する認証情報更新処理を行う。詳細は後述する。また、RAM400aは、送信先記憶部420を備えない点を除いては、RAM400と同じである。
The CPU 200a controls each part of the
(A−3)認証情報登録処理:
図6は、認証情報登録処理の手順を示すフローチャートである。認証情報登録処理は、利用者から受け付けた認証情報(ユーザID、パスワード)を、認証情報記憶部410へ登録する処理である。まず、認証情報登録部240(図2)は、利用者からの登録要求を受け付ける(ステップS10)。具体的には、例えば、スイッチ10の設定画面(ブラウザ等を用いて提供されるスイッチ10の一般的な設定を行うための画面)に設けたリンクの押下により、登録要求がされたものと扱うことができる。
(A-3) Authentication information registration process:
FIG. 6 is a flowchart showing a procedure of authentication information registration processing. The authentication information registration process is a process of registering authentication information (user ID, password) received from the user in the authentication
登録要求受け付け後、認証情報登録部240は、スイッチ10の設定画面上に、認証情報登録画面を表示させる(ステップS12)。認証情報登録画面には、例えば、ユーザID入力フィールドと、パスワード入力フィールドと、登録ボタンとを含むことができる。利用者は、これら各フィールドに、任意のユーザID、任意のパスワードを入力し、登録ボタンを押下する。登録ボタン押下により、認証情報登録部240は、設定画面上の各フィールドで指定されたユーザID、パスワードを取得する(ステップS14)。
After accepting the registration request, the authentication
その後、認証情報登録部240は、スイッチ10の外部から時刻を取得する(ステップS16)。具体的には、例えば、認証情報登録部240は、インターネットを介してネットワーク上に存在する時刻管理サーバにアクセスし、時刻管理サーバが提供している時刻の情報を取得する。なお、時刻管理サーバとは、NTP(Network Time Protocol)プロトコルに準拠し、協定世界時(UTC:Universal Time, Coordinated)に基づいた時刻の情報を提供するためのサーバである。時刻管理サーバとしては、例えば、大学や研究機関、大手ISP(Internet Services Provider)により提供されるサーバを利用することができる。
Thereafter, the authentication
時刻取得後、認証情報登録部240は、ステップS14で取得したユーザID、パスワードと、ステップS16で取得した時刻の情報とを関連付けて認証情報記憶部410に格納する(ステップS18)。認証情報記憶部410の更新後、認証情報送信部230は、認証情報を他のスイッチへ送信する認証情報送信処理を行う(ステップS20)。
After the time acquisition, the authentication
このようにすれば、認証情報登録部240は、利用者から受け付けた認証情報と、スイッチ10の外部から取得した時刻とを関連付けて認証情報記憶部410に格納するため、認証情報記憶部410内に格納されている認証情報がいつ登録されたものであるかを正確な時刻を用いて管理することが可能となる。
In this way, the authentication
さらに、認証情報登録部240が認証情報を更新した後、認証情報送信部230は認証情報送信処理を行うため、複数のスイッチが存在するネットワークシステムにおいて、最新の認証情報を共有することが可能となる。
Furthermore, after the authentication
(A−4)認証情報送信処理:
図7は、認証情報送信処理の流れを示すシーケンス図である。認証情報送信部230(図2)は、送信先記憶部420を検索し、送信先(すなわち、宛先スイッチのMACアドレス)と、送信すべき認証情報の種類との1つの組を検索し、検索内容に応じた更新要求を生成する(ステップS100)。具体的には、ステップS100において認証情報送信部230は、図4のエントリE01(送信先:MAC_SW20、認証情報の種類:ID/パスワード)を検索する。認証情報送信部230は、宛先MACアドレスをMAC_SW20として、ペイロード内にスイッチ20の認証情報記憶部410の更新を要求する旨のコマンドと、スイッチ10の認証情報記憶部410に格納されている各ユーザ(user01〜03)のユーザID、パスワード、登録日時の組を格納したフレーム(更新要求フレーム)を生成する。なお、セキュリティの観点から、更新要求フレームは暗号化されることが好ましい。また、なりすまし防止のための技術を適用してもよい。
(A-4) Authentication information transmission process:
FIG. 7 is a sequence diagram showing a flow of authentication information transmission processing. The authentication information transmission unit 230 (FIG. 2) searches the transmission
そして、認証情報送信部230は、生成した更新要求フレームをスイッチ20へ送信する(ステップS102)。更新要求フレームを受信したスイッチ20の認証情報更新部250(図5)は、スイッチ20内の認証情報記憶部410に格納された認証情報を更新するための認証情報更新処理を行う(ステップS104)。認証情報更新処理の詳細は後述する。認証情報更新処理の終了後、スイッチ20の認証情報更新部250は、認証情報更新処理の結果を含んだ応答フレームをスイッチ10へ送信する(ステップS106)。
Then, the authentication
また、スイッチ10の認証情報送信部230(図2)は、認証情報登録部240を検索し、送信先と、送信すべき認証情報の種類との他の組を検索し、検索内容に応じた更新要求を生成する(ステップS108)。具体的には、ステップS108において認証情報送信部230は、図4のエントリE02(送信先:MAC_SW20X、認証情報の種類:ID/パスワード/ルート証明書)を検索する。認証情報送信部230は、宛先MACアドレスをMAC_SW20Xとして、ペイロード内にスイッチ20Xの認証情報記憶部410の更新を要求する旨のコマンドと、スイッチ10の認証情報記憶部410に格納されている各ユーザ(user01〜03)のユーザID、パスワード、登録日時の組と、スイッチ10の認証情報記憶部410に格納されているルート証明書とを格納したフレーム(更新要求フレーム)を生成する。
Further, the authentication information transmission unit 230 (FIG. 2) of the
そして、認証情報送信部230は、生成した更新要求フレームをスイッチ20Xへ送信する(ステップS110)。更新要求フレームを受信したスイッチ20Xの認証情報更新部250(図5)は、認証情報更新処理を行う(ステップS112)。詳細は、ステップS104と同様である。認証情報更新処理の終了後、スイッチ20Xの認証情報更新部250は、認証情報更新処理の結果を含んだ応答フレームをスイッチ10へ送信する(ステップS114)。
Then, the authentication
認証情報送信部230は、送信先記憶部420に格納されている全ての送信先について、上述のような更新要求フレームを送信した後、各送信先からの応答フレームの受信を待機する。各送信先からの応答フレーム受信後、認証情報送信部230は、応答フレームの内容を用いて送信結果のログを生成し、処理を終了する(ステップS118)。
The authentication
このようにすれば、認証情報送信部230は、スイッチ10に接続されている他のスイッチのうち、送信先記憶部420によって予め定められた特定のスイッチに対してのみ認証情報を送信することができるため、利便性を向上させることができる。
In this way, the authentication
さらに、認証情報送信部230は、送信先記憶部420に定められている送信先と、送信すべき認証情報の種類とに応じた更新要求フレームを送信する。従って、例えば、電子証明書を使用する認証方式をサポートしていないスイッチ20に対してはユーザIDとパスワードのみ送信し、全ての認証方式をサポートしているスイッチ20Xに対してはユーザID、パスワード、ルート証明書を送信するといった処理を行うことができる。すなわち、送信先スイッチがサポートしている認証方式に応じた認証情報の送信が可能となり、利便性を向上させることができるほか、通信トラフィックの軽減と、不要な認証情報の送信しないことに伴うセキュリティの向上をも図ることができる。
Further, the authentication
(A−5)認証情報更新処理:
図8は、認証情報更新処理の手順を示すフローチャートである。認証情報更新処理は、更新要求フレームを受信したスイッチの認証情報更新部が、受信フレームの内容に応じて自装置内の認証情報記憶部を更新する処理である。まず、認証情報更新部250(図5)は、自装置内の認証情報記憶部410を検索する(ステップS50)。具体的には、認証情報更新部250は、受信したフレームのペイロードに含まれる各ユーザ(user01〜03)のユーザID、パスワード、登録日時の組を取り出し、取り出した各組について、ユーザIDをキーとして認証情報記憶部410を検索する。
(A-5) Authentication information update processing:
FIG. 8 is a flowchart showing the procedure of the authentication information update process. The authentication information update process is a process in which the authentication information update unit of the switch that has received the update request frame updates the authentication information storage unit in its own apparatus according to the contents of the received frame. First, the authentication information update unit 250 (FIG. 5) searches the authentication
次に、認証情報更新部250は、認証情報記憶部410の検索の結果、受信したデータのユーザIDと同じIDを有する認証情報があるか否かを判定する(ステップS52)。同じIDを有する認証情報がない場合(ステップS52:NO)処理はステップS58へ遷移する。一方、同じIDを有する認証情報がある場合(ステップS52:YES)、認証情報更新部250は、受信したデータのユーザIDに関連付けられた登録日時と、認証情報記憶部410の検索の結果一致したデータの登録日時とを比較する(ステップS54、S55)。
Next, the authentication
比較の結果、受信したデータのユーザIDに関連付けられた登録日時の方が新しい場合(ステップS55:YES)、認証情報更新部250は、認証情報記憶部410の検索の結果一致したデータを、受信したデータの組(ユーザID、パスワード、登録日時)を用いて更新する。また、認証情報更新部250は、認証情報記憶部410に格納されたルート証明書を、受信したフレームのペイロードに含まれるルート証明書を用いて更新する。認証情報記憶部410の更新後、処理を終了する(ステップS58)。一方、比較の結果、受信したデータのユーザIDに関連付けられた登録日時と認証情報記憶部410の検索の結果一致したデータの登録日時とが同じ、または、認証情報記憶部410の検索の結果一致したデータの登録日時の方が新しい場合(ステップS55:NO)、処理を終了する。
As a result of the comparison, if the registration date and time associated with the user ID of the received data is newer (step S55: YES), the authentication
なお、ステップS54、S56の処理では、ルート証明書の発行日時の比較を併せて行い、更新要求フレームに含まれるルート証明書の発行日時が新しい場合にのみ、ルート証明書の更新(ステップS58)を行うものとしてもよい。この場合、認証情報送信処理(図7)において生成する更新要求フレームには、ルート証明書の発行日時を含める。 In the processes of steps S54 and S56, the issuance date / time of the root certificate is also compared, and the root certificate is updated only when the issuance date / time of the root certificate included in the update request frame is new (step S58). It is good also as what performs. In this case, the update request frame generated in the authentication information transmission process (FIG. 7) includes the date and time of issue of the root certificate.
このようにすれば、スイッチ10の認証情報送信部230は、認証情報と、スイッチ10の外部から取得した日時に依拠した登録日時とを含む更新要求フレームを送信し、スイッチ20(スイッチ20X)の認証情報更新部250は、受信した更新要求フレームに含まれるデータのユーザIDに関連付けられた登録日時が新しい場合のみ(換言すれば、登録日時を用いて)、自装置内の認証情報記憶部を更新するため、認証情報記憶部に格納された認証情報の一貫性を向上させることができる。
In this way, the authentication
図9は、認証情報の伝播が行われる様子を示す説明図である。スイッチ10に対して、PC50を介してユーザAの認証情報登録処理が行われる場合について考える。認証情報登録処理(図6)のステップS10〜S18が実行されることにより、ユーザAの認証情報は、スイッチ10の認証情報記憶部410に格納される。また、認証情報登録処理のステップS20(認証情報送信処理:図7)が実行されることにより、ユーザAの認証情報と、スイッチ10に予め登録されているルート証明書RC1とを含む更新要求フレームがスイッチ20に、ユーザAの認証情報を含む更新要求フレームがスイッチ20Xに、それぞれ送信される。更新要求フレームを受信したスイッチ20と、スイッチ20Xとにおいて、認証情報更新処理(図8)が実行されることにより、スイッチ20の認証情報記憶部410と、スイッチ20Xの認証情報記憶部410とには、認証情報がそれぞれ格納される。
FIG. 9 is an explanatory diagram showing how authentication information is propagated. Consider a case where authentication information registration processing of user A is performed on the
なお、スイッチ20およびスイッチ20Xは、認証情報登録部240を含まないため(図5)、スイッチ20およびスイッチ20Xに対して認証情報を登録することはできない。すなわち、第1実施例においては、スイッチ10がマスタとなり、スイッチ20、20Xをスレーブとして、認証情報を伝播させる構成である。
Since the
以上のように、第1実施例によれば、スイッチ10の認証情報送信部230は、予め定められたトリガ(本実施例においては、認証情報登録処理による認証情報記憶部の更新)の発生に応じて、スイッチ10への接続を要求する利用者の権限を照合するために使用される情報である認証情報(ユーザIDとパスワードとの組、ルート証明書)を、他のスイッチへ送信する。認証情報を受信したスイッチの認証情報更新部250は、受信した認証情報を自装置内の認証情報記憶部410へ格納する。従って、他のスイッチの認証処理部220は、認証情報記憶部410に格納された認証情報を用いて認証処理を実行することができる。この結果、セキュリティの向上と利便性とを両立させたスイッチを提供することができる。
As described above, according to the first embodiment, the authentication
さらに、認証情報には、利用者を識別するためのユーザIDと、利用者によって設定されるパスワードとの組、もしくは、利用者の電子証明書の信頼性を判断するための電子証明書(ルート証明書)の少なくともいずれか一方を含むことができるため、各スイッチの認証処理部220において、幅広い認証方式を用いることが可能となる。
Further, the authentication information includes a combination of a user ID for identifying the user and a password set by the user, or an electronic certificate (root) for determining the reliability of the user's electronic certificate. Can be included in the
B.第2実施例:
本発明の第2実施例では、複数のスイッチが接続された場合であっても、マスタ−スレーブ関係を持たずに、相互に認証情報の伝播が可能な構成について説明する。以下では、第1実施例と異なる構成および動作を有する部分についてのみ説明する。なお、図中において第1実施例と同様の構成部分については先に説明した第1実施例と同様の符号を付し、その詳細な説明を省略する。
B. Second embodiment:
In the second embodiment of the present invention, a configuration in which authentication information can be propagated to each other without having a master-slave relationship even when a plurality of switches are connected will be described. Below, only the part which has a different structure and operation | movement from 1st Example is demonstrated. In the figure, the same components as those of the first embodiment are denoted by the same reference numerals as those of the first embodiment described above, and detailed description thereof is omitted.
(B−1)装置構成:
図10は、第2実施例におけるスイッチ30の構成を概略的に示す説明図である。図2示した第1実施例との違いは、CPU200の代わりにCPU200bを備える点のみであり、他の構成や動作は第1実施例と同じである。
(B-1) Device configuration:
FIG. 10 is an explanatory diagram schematically showing the configuration of the
CPU200bは、図2で説明した認証処理部220と、認証情報送信部230と、認証情報登録部240に加えて、さらに、図5で説明した認証情報更新部250を備えている。なお、認証情報登録部240の動作は(A−3)認証情報登録処理、認証情報送信部230の動作は(A−4)認証情報送信処理、認証情報更新部250の動作は(A−5)認証情報更新処理、においてそれぞれ説明したものと同様である。
In addition to the
図11は、第2実施例において、認証情報の伝播が行われる様子を示す説明図である。第2実施例では、スイッチ30(図10)が回線を通じてPC50と接続され、スイッチ30X(図10)が回線を通じてPC60と接続されている。また、スイッチ30と、スイッチ30Xと、スイッチ30Y(図10)とは、LAN等のネットワークを通じて互いに接続されている。
FIG. 11 is an explanatory diagram showing how authentication information is propagated in the second embodiment. In the second embodiment, the switch 30 (FIG. 10) is connected to the PC 50 through a line, and the
スイッチ30に対してPC50を介して登録されたユーザAの認証情報、および、スイッチ30に予め登録されているルート証明書RC1は、スイッチ30X、スイッチ30Yへ送信される。このことは、図9で説明した通りである。さらに、第2実施例において、図示のように、スイッチ30Xに対してPC60を介してユーザBの認証情報登録処理が行われる場合について考える。
The authentication information of the user A registered with the
スイッチ30Xの認証情報登録部240(図10)において認証情報登録処理(図6)のステップS10〜S18が実行されることにより、ユーザBの認証情報は、スイッチ30Xの認証情報記憶部410に格納される。また、認証情報登録処理のステップS20(認証情報送信処理:図7)が実行されることにより、ユーザBの認証情報と、スイッチ30Xに予め登録されているルート証明書RC2とを含む更新要求フレームがスイッチ30に、ユーザBの認証情報を含む更新要求フレームがスイッチ30Yに、それぞれ送信される。更新要求フレームを受信したスイッチ30と、スイッチ30Yとにおいて、認証情報更新処理(図8)が実行されることにより、スイッチ30の認証情報記憶部410と、スイッチ30Yの認証情報記憶部410とには、認証情報がそれぞれ格納される。すなわち、第2実施例においては、各スイッチは、マスタ、スレーブの区別なく、動作することが可能である。
By executing steps S10 to S18 of the authentication information registration process (FIG. 6) in the authentication information registration unit 240 (FIG. 10) of the
以上のように、第2実施例によれば、各スイッチは、認証情報送信部230と、認証情報登録部240と、認証情報更新部250とを備えるため、利用者は、全てのスイッチに対して認証情報の登録を行うことが可能となる。また、登録された認証情報は、他のスイッチへ送信され、当該スイッチにおける認証処理に使用されるため、セキュリティの向上と利便性とを両立させたスイッチを提供することができる。
As described above, according to the second embodiment, each switch includes the authentication
C.第3実施例:
本発明の第3実施例では、認証情報記憶部410と、送信先記憶部420とを、スイッチ内に備えるハードディスクに格納する構成について説明する。以下では、第1実施例と異なる構成および動作を有する部分についてのみ説明する。なお、図中において第1実施例と同様の構成部分については先に説明した第1実施例と同様の符号を付し、その詳細な説明を省略する。
C. Third embodiment:
In the third embodiment of the present invention, a configuration will be described in which the authentication
(C−1)装置構成:
図12は、第3実施例におけるスイッチ40の構成を概略的に示す説明図である。図2に示した第1実施例との違いは、CPU200の代わりにCPU200cを備える点と、RAM400の代わりにRAM400cを備える点と、さらに、ハードディスク600と、USBインタフェース(USB I/F)700とを備える点のみであり、他の構成や動作は第1実施例と同じである。
(C-1) Device configuration:
FIG. 12 is an explanatory diagram schematically showing the configuration of the
RAM400cは、認証情報記憶部(図3)と、送信先記憶部(図4)とを含まない。これらの記憶部は、ハードディスク600内に認証情報記憶部610、送信先記憶部620として格納されている。認証情報記憶部610と、送信先記憶部620との内容は、図3、図4で説明した通りである。USBインタフェース700は、スイッチ40に対して種々の周辺機器を接続するためのインタフェースである。本実施例では、USBインタフェース700を介して、USBインタフェースを用いた記憶装置(例えば、USBフラッシュメモリや、USB接続されるハードディスク等)が接続される。
The RAM 400c does not include an authentication information storage unit (FIG. 3) and a transmission destination storage unit (FIG. 4). These storage units are stored in the
CPU200cは、図2で説明した認証処理部220と、認証情報送信部230と、認証情報登録部240に加えて、さらに、認証情報出力部260を備えている。認証情報登録部240の動作は(A−3)認証情報登録処理、認証情報送信部230の動作は(A−4)認証情報送信処理、認証情報更新部250の動作は(A−5)認証情報更新処理、においてそれぞれ説明したものと同様である。認証情報出力部260は、利用者からの要求(例えば、スイッチ40の設定画面に設けたリンクの押下)をトリガとして、ハードディスク600に格納されている認証情報記憶部610の内容を、USBインタフェース700を介して接続される記憶装置に出力する機能を有する。
The
以上のように、第3実施例によっても、第1実施例と同様の効果を得ることができる。また、第3実施例によれば、認証情報記憶部610はハードディスクドライブ内に設けられるため、認証情報記憶部の記憶容量を大きくすることができる。
As described above, according to the third embodiment, the same effect as that of the first embodiment can be obtained. According to the third embodiment, since the authentication
さらに、スイッチ40は、認証情報記憶部610の内容を、USBインタフェース700を介して接続される記憶装置に出力する認証情報出力部260を備えるため、利用者が登録した認証情報を容易にエクスポートすることができる。この結果、利便性をさらに向上させることができる。
Further, since the
D.変形例:
なお、この発明は上記の実施例や実施形態に限られるものではなく、その要旨を逸脱しない範囲で種々の構成を採ることができる。例えば、ソフトウェアによって実現した機能は、ハードウェアによって実現するものとしてもよい。そのほか、以下のような変形が可能である。
D. Variations:
In addition, this invention is not restricted to said Example and embodiment, A various structure can be taken in the range which does not deviate from the summary. For example, a function realized by software may be realized by hardware. In addition, the following modifications are possible.
D1.変形例1:
上記実施例では、ネットワーク中継装置の構成について説明した。しかし、上記実施例で示したネットワーク中継装置の構成はあくまで一例であり、任意の構成を採用することができる。例えば、その構成要素の一部を省略したり、更なる構成要素を付加したりする変形が可能である。
D1. Modification 1:
In the above embodiment, the configuration of the network relay device has been described. However, the configuration of the network relay device shown in the above embodiment is merely an example, and any configuration can be adopted. For example, the deformation | transformation which abbreviate | omits a part of the component or adds a further component is possible.
例えば、上記実施例におけるスイッチは、MACアドレスによるフレームの中継を行うレイヤ2スイッチであるものとした。しかし、MACアドレスによるフレームの中継に加えてIPアドレスによるパケットの中継を行うことも可能な、いわゆるレイヤ3スイッチであるものとしてもよい。また、無線通信インタフェースを備え、無線通信におけるパケットの中継が可能な、いわゆるアクセスポイントであるものとしてもよい。 For example, the switch in the above embodiment is a layer 2 switch that relays frames based on MAC addresses. However, it may be a so-called layer 3 switch capable of relaying a packet by an IP address in addition to relaying a frame by a MAC address. Further, it may be a so-called access point that includes a wireless communication interface and can relay packets in wireless communication.
上記実施例におけるスイッチでは、CPUは、認証処理部と、認証情報送信部と、認証情報登録部と、認証情報更新部と、認証情報出力部とを含むものとして記載した。また、各処理部において実行される機能について説明した。しかし、これら各処理部の配置および各処理部が果たす機能の内容についてはあくまで例示であり、スイッチの構成に応じて任意に変更することが可能である。 In the switch in the above embodiment, the CPU is described as including an authentication processing unit, an authentication information transmission unit, an authentication information registration unit, an authentication information update unit, and an authentication information output unit. Moreover, the function performed in each process part was demonstrated. However, the arrangement of the processing units and the contents of the functions performed by the processing units are merely examples, and can be arbitrarily changed according to the configuration of the switch.
例えば、有線通信部を構成する物理チップの内部に、認証処理部と、認証情報送信部と、認証情報登録部と、認証情報更新部と、認証情報出力部との全ての機能を備えるものとしてもよい。 For example, the physical chip constituting the wired communication unit includes all functions of an authentication processing unit, an authentication information transmission unit, an authentication information registration unit, an authentication information update unit, and an authentication information output unit. Also good.
D2.変形例2:
上記実施例では、認証情報登録処理(図6)の手順の中で、外部のNTPサーバから時刻を取得した上で、認証情報と関連付けて認証情報記憶部に格納するものとした(ステップS16、S17)。しかし、上記実施例における態様はあくまで一例であり、任意の方法を採用することができる。
D2. Modification 2:
In the above embodiment, in the procedure of the authentication information registration process (FIG. 6), the time is acquired from an external NTP server and stored in the authentication information storage unit in association with the authentication information (step S16, S17). However, the aspect in the said Example is an example to the last, and arbitrary methods are employable.
例えば、時刻の情報は、スイッチの外部から取得すれば足り、NTPサーバに限らない。具体的には、スイッチが接続されるPCから時刻を取得するものとしてもよい。 For example, the time information only needs to be acquired from the outside of the switch, and is not limited to the NTP server. Specifically, the time may be acquired from a PC to which the switch is connected.
例えば、スイッチは、タイマ処理等を行うことによって定期的に外部から時刻を取得し、取得した時刻をスイッチの内部時計に反映させた上で、認証情報登録処理のステップS16においては、当該内部時計の時刻を取得することとしてもよい。 For example, the switch periodically acquires the time from the outside by performing a timer process or the like, reflects the acquired time on the internal clock of the switch, and then in step S16 of the authentication information registration process, the internal clock It is good also as acquiring this time.
D3.変形例3:
上記実施例では、認証情報登録処理(図6)において、認証情報登録部が認証情報記憶部の更新を行った後、認証情報送信処理(図7)を行うものとした。しかし、認証情報送信処理を行うトリガは、任意に定めることができ、上記の態様に限られない。
D3. Modification 3:
In the above embodiment, in the authentication information registration process (FIG. 6), the authentication information registration unit updates the authentication information storage unit, and then performs the authentication information transmission process (FIG. 7). However, the trigger for performing the authentication information transmission process can be arbitrarily determined and is not limited to the above aspect.
例えば、スイッチ内部に予めスケジュールを指定しておき、このスケジュールに従った日時が到来した際に認証情報送信処理を行ってもよい。そうすれば、例えば、スイッチの負荷の少ない時間帯(深夜等)に認証情報送信処理を実行するように設定しておくことで、煩雑時間帯におけるスイッチのCPUへの負荷を抑制しつつ、認証情報の伝播を行うことが可能となる。また、認証情報送信処理を実行するスケジュールを、送信先記憶部内に指定可能な構成とすれば、送信先スイッチごとに、更新要求フレームを送信する時間を可変とすることができるため、利便性が向上する。 For example, a schedule may be designated in advance in the switch, and the authentication information transmission process may be performed when the date and time according to this schedule arrives. Then, for example, by setting the authentication information transmission process to be executed in a time zone where the load on the switch is low (such as midnight), the authentication is performed while suppressing the load on the switch CPU in a complicated time zone. Information can be propagated. In addition, if the schedule for executing the authentication information transmission process is configured to be specified in the transmission destination storage unit, the time for transmitting the update request frame can be made variable for each transmission destination switch. improves.
例えば、マスタとなるスイッチが定期的に認証情報記憶部の更新時刻をスレーブとなるスイッチへ通知(マルチキャスト)する。スレーブとなるスイッチは、自身の認証情報記憶部の更新時刻と通知された更新時刻を比較し、通知された更新時刻が新しいと判断した場合に、マスタとなるスイッチへ認証情報含んだフレームの送信を要求することとしてもよい。 For example, the master switch periodically notifies (multicasts) the update time of the authentication information storage unit to the slave switch. The slave switch compares the update time of its own authentication information storage unit with the notified update time, and when it is determined that the notified update time is new, transmits the frame including the authentication information to the master switch. May be requested.
D4.変形例4:
上記実施例では、認証情報送信処理(図7)において、送信先記憶部(図4)に指定された内容に従って更新要求フレームを生成し、送信先記憶部に指定された送信先へ送信するものとした。しかし、送信先記憶部は省略可能である。例えば、送信先記憶部を省略した場合、認証情報送信部は、認証情報記憶部の更新を要求する旨のコマンドと、認証情報(ユーザIDとパスワードと登録日時の組、および、ルート証明書)を格納したフレームを、自装置が接続されている全てのスイッチに対してマルチキャストすることができる。
D4. Modification 4:
In the above embodiment, in the authentication information transmission process (FIG. 7), an update request frame is generated according to the content specified in the transmission destination storage unit (FIG. 4) and transmitted to the transmission destination specified in the transmission destination storage unit It was. However, the transmission destination storage unit can be omitted. For example, when the transmission destination storage unit is omitted, the authentication information transmission unit requests the update of the authentication information storage unit, authentication information (a set of user ID, password, registration date and time, and root certificate). Can be multicast to all the switches to which the device is connected.
D5.変形例5:
上記実施例では、認証情報更新処理(図8)において、認証情報更新部は、受信した更新要求フレームに含まれるデータのユーザIDに関連付けられた登録日時が新しい場合のみ、自装置内の認証情報記憶部を更新することとした。しかし、上記処理はあくまで一例であり、認証情報更新部は、更新要求フレームに含まれる登録日時を用いて、データベースの一貫性保持のために一般的に知られた種々の方法を採用することによる種々の更新方法を採用することができる。
D5. Modification 5:
In the above embodiment, in the authentication information update process (FIG. 8), the authentication information update unit authenticates the authentication information in its own device only when the registration date and time associated with the user ID of the data included in the received update request frame is new. The storage unit was updated. However, the above process is merely an example, and the authentication information update unit uses various methods generally known for maintaining the consistency of the database using the registration date and time included in the update request frame. Various update methods can be employed.
D6.変形例6:
上記第1実施例では、スレーブとなるスイッチに対しては、利用者は認証情報を登録することはできないものとして記載した。しかし、スイッチの管理者による認証情報の登録/変更/削除等の処理を別途設けることも可能である。
D6. Modification 6:
In the first embodiment, it is described that the user cannot register the authentication information for the slave switch. However, it is also possible to separately provide processing such as registration / change / deletion of authentication information by the switch administrator.
上記第2実施例では、各スイッチは、マスタ−スレーブの区別なく動作することが可能であるものとした。しかし、第2実施例の構成において、スイッチ間にマスタ−スレーブ関係を持たせても良い。具体的には、例えば、スイッチの管理者が手動でマスタ−スレーブの設定を行ってもよいし、LLDP等を用いて行ってもよい。 In the second embodiment, each switch can operate without distinction between master and slave. However, in the configuration of the second embodiment, a master-slave relationship may be provided between the switches. Specifically, for example, the administrator of the switch may set the master-slave manually or may use LLDP or the like.
10…スイッチ
20,20X…スイッチ
30,30X,30Y…スイッチ
40…スイッチ
200,200a,200b,200c…CPU
220…認証処理部
230…認証情報送信部
240…認証情報登録部
250…認証情報更新部
260…認証情報出力部
410…認証情報記憶部
420…送信先記憶部
500…有線通信部
510…中継処理部
600…ハードディスク
610…認証情報記憶部
620…送信先記憶部
700…USBインタフェース
DESCRIPTION OF
DESCRIPTION OF
Claims (5)
利用者が前記ネットワーク中継装置へ接続する権限を保持しているか否かを判定するための認証処理を実行する認証処理部と、
前記認証処理において、前記利用者の権限を照合するために使用される情報である認証情報を記憶する認証情報記憶部と、
前記認証処理において前記利用者が前記ネットワーク中継装置へ接続する権限を保持すると判定された場合に、前記利用者の端末との間のフレームを中継する中継処理部と、
予め定められたトリガの発生に応じて、前記認証情報記憶部に格納された前記認証情報を、前記ネットワーク中継装置に接続された他のネットワーク中継装置へ送信する認証情報送信部と、
前記利用者から前記認証情報を受け付けると共に、受け付けた前記認証情報を前記認証情報記憶部へ格納する認証情報登録部と、
前記他のネットワーク中継装置から前記認証情報を受信した際に、受信した前記認証情報を前記認証情報記憶部へ格納する認証情報更新部と、
を備え、
前記認証情報登録部は、受け付けた前記認証情報を前記認証情報記憶部へ格納する際に、前記ネットワーク中継装置の外部から取得した日時に依拠した登録日時を併せて格納し、
前記認証情報送信部は、前記認証情報と、前記登録日時とを併せて前記他のネットワーク中継装置へ送信し、
前記認証情報更新部は、前記認証情報と併せて受信した前記登録日時を用いることによって、前記認証情報記憶部内の一貫性を保持するように、前記認証情報を前記認証情報記憶部へ格納する、ネットワーク中継装置。 A network relay device,
An authentication processing unit that executes an authentication process for determining whether or not the user has authority to connect to the network relay device;
In the authentication process, an authentication information storage unit that stores authentication information that is information used for checking the authority of the user;
A relay processing unit that relays a frame between the user terminal and the user when it is determined in the authentication process that the user has authority to connect to the network relay device;
An authentication information transmitting unit that transmits the authentication information stored in the authentication information storage unit to another network relay device connected to the network relay device in response to occurrence of a predetermined trigger;
An authentication information registration unit that receives the authentication information from the user and stores the received authentication information in the authentication information storage unit;
An authentication information update unit that stores the received authentication information in the authentication information storage unit when the authentication information is received from the other network relay device;
Bei to give a,
The authentication information registration unit, when storing the received authentication information in the authentication information storage unit, also stores the registration date and time based on the date and time acquired from the outside of the network relay device,
The authentication information transmitting unit transmits the authentication information and the registration date and time to the other network relay device,
The authentication information update unit stores the authentication information in the authentication information storage unit so as to maintain consistency in the authentication information storage unit by using the registration date and time received together with the authentication information. Network relay device.
前記認証情報送信部は、
前記ネットワーク中継装置に接続された他のネットワーク中継装置のうち、予め定められた特定の中継装置に対して前記認証情報を送信する、ネットワーク中継装置。 The network relay apparatus according to claim 1 Symbol placement,
The authentication information transmitting unit
A network relay device that transmits the authentication information to a predetermined specific relay device among other network relay devices connected to the network relay device.
前記予め定められたトリガは、前記認証情報記憶部の更新と、所定のスケジュールに従った日時の到来と、のいずれかである、ネットワーク中継装置。 The network relay device according to claim 1 or 2 ,
The network relay device, wherein the predetermined trigger is either update of the authentication information storage unit or arrival of a date and time according to a predetermined schedule.
前記認証情報は、前記利用者を識別するためのユーザIDと前記利用者によって設定されるパスワードとの組と、前記利用者の電子証明書の信頼性を判断するための電子証明書と、を含む、ネットワーク中継装置。 The network relay device according to any one of claims 1 to 3 ,
The authentication information includes a set of the password that is set by the user ID and the prior SL user for identifying the user, a front SL user digital certificate to determine the reliability of the electronic certificate , Including a network relay device.
前記認証情報記憶部は、ハードディスクドライブ内に設けられる、ネットワーク中継装置。 The network relay device according to any one of claims 1 to 4 ,
The authentication information storage unit is a network relay device provided in a hard disk drive.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2010207724A JP5577976B2 (en) | 2010-09-16 | 2010-09-16 | Network relay device |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2010207724A JP5577976B2 (en) | 2010-09-16 | 2010-09-16 | Network relay device |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2012065142A JP2012065142A (en) | 2012-03-29 |
| JP5577976B2 true JP5577976B2 (en) | 2014-08-27 |
Family
ID=46060404
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2010207724A Active JP5577976B2 (en) | 2010-09-16 | 2010-09-16 | Network relay device |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP5577976B2 (en) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP6287401B2 (en) * | 2014-03-18 | 2018-03-07 | 富士ゼロックス株式会社 | Relay device, system and program |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002281010A (en) * | 2001-03-19 | 2002-09-27 | Nec Corp | Key distributing system for protecting path update notification in micro mobility network |
| JP5470145B2 (en) * | 2009-04-22 | 2014-04-16 | アラクサラネットワークス株式会社 | Authentication switch and terminal authentication method |
-
2010
- 2010-09-16 JP JP2010207724A patent/JP5577976B2/en active Active
Also Published As
| Publication number | Publication date |
|---|---|
| JP2012065142A (en) | 2012-03-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8224988B2 (en) | Network relay method, network relay apparatus, and network relay program | |
| JP5364671B2 (en) | Terminal connection status management in network authentication | |
| US7827252B2 (en) | Network device management | |
| US7860963B2 (en) | Service communication control method, service relaying apparatus, management server, portal server, and service communication control system | |
| JP7096736B2 (en) | System and data processing method | |
| WO2018010146A1 (en) | Response method, apparatus and system in virtual network computing authentication, and proxy server | |
| JP2008060692A (en) | Management computer, computer system, and switch | |
| JP5239341B2 (en) | Gateway, relay method and program | |
| JP5143199B2 (en) | Network relay device | |
| US20090122798A1 (en) | Ip network system and its access control method, ip address distributing device, and ip address distributing method | |
| US20060061803A1 (en) | Image forming system and communication method | |
| JP5106599B2 (en) | Network relay device | |
| US8196192B2 (en) | Setting a preliminary time on a network appliance using a digital certificate | |
| EP3457657B1 (en) | Access control method and system, and switch | |
| JP5143198B2 (en) | Network relay device | |
| CN114845355A (en) | Network access method and device, terminal equipment, network equipment and storage medium | |
| JP5577976B2 (en) | Network relay device | |
| JP4881672B2 (en) | Communication device and communication control program | |
| JP2020005023A (en) | Information processing unit and control method and program thereof | |
| JP5622088B2 (en) | Authentication system, authentication method | |
| WO2016127583A1 (en) | Authentication processing method and apparatus | |
| US20240039910A1 (en) | Authenticating a communication partner on a device | |
| JP2014154112A (en) | Communication data relay device and program | |
| JP5749222B2 (en) | Access permission control system and access permission control method | |
| US20230422025A1 (en) | Network system, communication control device, and communication control method |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20130723 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20140131 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20140212 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20140408 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20140610 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20140623 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 5577976 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |