[go: up one dir, main page]

JP5921460B2 - 認証方法、転送装置及び認証サーバ - Google Patents

認証方法、転送装置及び認証サーバ Download PDF

Info

Publication number
JP5921460B2
JP5921460B2 JP2013030649A JP2013030649A JP5921460B2 JP 5921460 B2 JP5921460 B2 JP 5921460B2 JP 2013030649 A JP2013030649 A JP 2013030649A JP 2013030649 A JP2013030649 A JP 2013030649A JP 5921460 B2 JP5921460 B2 JP 5921460B2
Authority
JP
Japan
Prior art keywords
authentication
terminal
switch
server
authentication server
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2013030649A
Other languages
English (en)
Other versions
JP2014160942A5 (ja
JP2014160942A (ja
Inventor
秀光 樋口
秀光 樋口
浩隆 角南
浩隆 角南
元英 能見
元英 能見
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Alaxala Networks Corp
Original Assignee
Alaxala Networks Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Alaxala Networks Corp filed Critical Alaxala Networks Corp
Priority to JP2013030649A priority Critical patent/JP5921460B2/ja
Priority to EP13186224.5A priority patent/EP2770689A1/en
Priority to US14/038,052 priority patent/US9258305B2/en
Publication of JP2014160942A publication Critical patent/JP2014160942A/ja
Publication of JP2014160942A5 publication Critical patent/JP2014160942A5/ja
Application granted granted Critical
Publication of JP5921460B2 publication Critical patent/JP5921460B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0884Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/168Implementing security features at a particular protocol layer above the transport layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明は、ネットワーク認証システムに関する。
通信ネットワークがインフラとして重要になるのに伴って、セキュリティを強化する様々な機能が提案されている。その一つがネットワーク認証である。ネットワーク認証システムは、主に端末接続される認証スイッチ及び端末を認証する認証サーバで構成される。従来のネットワーク認証システムでは、端末が認証スイッチに認証リクエストパケットを送信する。認証スイッチは、受信した認証リクエストパケットに含まれる認証情報を用いて、受信した認証情報が登録されているかを認証サーバに問い合わせる。認証スイッチは、認証サーバから当該認証情報が登録済みのものであることが通知されると、当該認証リクエストパケットのソースMACアドレスを通信可能にする。
本技術分野の背景技術として、特開2006−33206号公報(特許文献1)、特開2010−62667号公報(特許文献2)がある。
特許文献1は、DHCPサーバは端末装置からのリクエストに対してIPアドレスの払い出しを行う。認証サーバは端末装置から送信される認証フレームを受信し、端末装置の認証を行い、その認証が完了すると、認証用ハブの登録情報データベースに対して端末装置の通信許可を通知する。認証用ハブは端末装置が送信したフレームをフレーム受信回路部において受信し、その送信元情報を基に登録情報データベースを参照することによって、フレームの送信、書換え送信、破棄を決定し、送信または書換え送信が許可された送信フレームについては送信バッファに送る認証システムを開示する。
また、特許文献2は、ユーザ端末の認証を行う認証機能を備えたスイッチングハブにおいて、ユーザ端末からの認証要求のパケットを認証サーバへ転送し、認証サーバからの認証応答のパケットをユーザ端末へ転送するとともに、認証応答のパケットを参照し、認証成功の情報を読み取ったとき、上記ユーザ端末を認証済みとする認証手段を有するネットワークシステムを開示する。
特開2006−33206号公報 特開2010−62667号公報
従来の認証スイッチにおけるWeb認証方式では、認証スイッチでWebサーバを動作させ、認証スイッチがユーザから入力された認証情報を認証サーバに中継すると、認証スイッチの処理負荷が高くなる。このため、スイッチが制御可能な認証済み端末の数の上限が小さくなる。
また、従来の認証スイッチでは、複数のネットワーク認証方式をサポートする必要があり、新しい認証方式の認証サーバに対応するためには、認証方式毎のモジュールを追加する必要がある。
また、端末と認証サーバとが、直接、認証シーケンスを行う場合、認証サーバは、認証端末が接続されているスイッチの情報を持たない。このため、複数の認証スイッチがある場合、認証端末が接続している認証スイッチを認証サーバが知ることが困難である。
前述した従来技術のように、端末と認証サーバとが、直接、認証シーケンスを行う場合、認証スイッチが認証結果を使ってIPアドレスやMACアドレスのフィルタや端末のQoSを設定すればよいので、認証スイッチの負荷は軽減する。しかし、この方法では、認証済み端末のネットワークからの離脱を管理できない。このため、不要な認証情報やフィルタ情報やQoS設定が認証スイッチ内に残り、認証スイッチの記憶容量を無駄に消費する。また、認証済みMACアドレスを詐称した端末が接続する可能性があり、セキュリティが低下する。
上述した課題の少なくとも一つを解決するため、本願において開示される発明の代表的な一例を示せば以下の通りである。すなわち、ユーザが使用する端末を認証する認証サーバと、前記端末と前記認証サーバとの間の認証シーケンスを仲介するスイッチとを有する認証システムがネットワーク認証機能を提供するための認証方法であって、前記スイッチは、前記端末からのアクセスの応答として送信されるリダイレクト通知に含めて、前記スイッチの識別情報を前記端末に送信し、前記端末は、前記スイッチの識別情報を含めて、前記認証サーバへのリクエストを送信し、前記認証サーバは、前記端末から送信された認証要求を認証し、前記認証サーバは、前記提供されたスイッチの識別情報に基づいて、前記認証の結果を前記スイッチに送信し、前記スイッチは、前記認証サーバから受信した認証結果に基づいて、前記端末からのアクセスを認証する。
本発明の代表的な実施の形態によれば、認証スイッチに認証結果を登録することができる。前述した以外の課題、構成及び効果は、以下の実施例の説明により明らかにされる。
第1の実施例の認証システムの構成を示すブロック図である。 第1の実施例の認証スイッチのハードウェア構成を示すブロック図である。 第1の実施例の認証済み端末登録テーブルの構成を説明する図である。 第1の実施例のシーケンス図である。 第1の実施例のパケット転送処理のフローチャートである。 第1の実施例の認証処理のフローチャートである。 第2の実施例の認証スイッチの構成を示すブロック図である。 第2の実施例の認証サーバの構成を示すブロック図である。 第2の実施例のシーケンス図である。 第2の実施例のパケット転送処理のフローチャートである。 第2の実施例の認証処理のフローチャートである。 第2の実施例の認証処理のフローチャートである。 第3の実施例のシーケンス図である。 第4の実施例の認証サーバの構成を示すブロック図である。 第4の実施例のシーケンス図である。 第4の実施例の認証処理のフローチャートである。
<実施例1>
本発明の第1の実施例では、認証機能を有する認証スイッチ400が、認証スイッチ400の情報と端末600の情報とを端末600を介して認証サーバ100に通知し、認証サーバ100は、認証結果を認証スイッチ400に登録する。
図1は、第1の実施例の認証システムの構成を示すブロック図である。
第1の実施例の認証システムは、認証サーバ100、サーバ200、L3スイッチ300、少なくとも一つの認証スイッチ400及び少なくとも一つのHUB500を含む。HUB500は、少なくとも一つの端末600を接続する。
認証サーバ100、サーバ200及び認証スイッチ400は、L3スイッチ300に接続されている。また、HUB500は、認証スイッチ400に接続されており、端末600は、HUB500に接続されている。
認証サーバ100は、プロセッサ及びメモリを有する計算機で、端末600のユーザを認証し(例えば、RADIUS認証、シボレス認証など)、認証結果を認証スイッチ400に設定する機能を提供する。
認証サーバ100は、プログラムを実行するプロセッサ、プロセッサで実行されるプログラムを格納するメモリ、プログラム実行時に使用されるデータを格納する記憶装置及びネットワークと接続する通信インタフェース108を有する計算機である。すなわち、プロセッサが実行するプログラムは、記憶装置から読み出されて、メモリにロードされて、プロセッサによって実行される。プロセッサが所定のプログラムを実行することによって、各部の機能が実装される。
認証サーバ100は、認証機能部101、認証データベース105、認証端末登録テーブル106、認証画面データ107及び通信インタフェース108を有する。
認証機能部101は、認証サーバ100に認証を要求した端末600を認証する。認証機能部101は、認証機能本体部102、認証スイッチ連携部103及び認証登録インタフェース104を有する。
認証機能本体部102は、認証データベース105を参照して、端末600から送信された認証要求を認証する。また、認証機能本体部102は、認証を要求した端末600の情報及び端末600が接続する認証スイッチ400の情報を、受信した認証要求から取得し、取得した情報を認証端末登録テーブル106へ登録する。また、認証機能本体部102は、ユーザ認証の結果を、認証を要求した端末600及び認証スイッチ連携部103へ通知する。
認証スイッチ連携部103は、認証機能本体部102から認証結果が通知されると、認証された端末600から送信されたユーザIDを用いて認証端末登録テーブル106を検索し、検索された情報を用いて、認証登録インタフェース104及び通信インタフェース108を介して、認証されたユーザ及び端末600を認証スイッチ400へ登録する。
認証登録インタフェース104は、認証スイッチ連携部103からの要求に従って、認証されたユーザ及び端末600の情報を認証スイッチ400へ送信する。
認証データベース105は、記憶装置に格納され、端末600を認証するための情報が登録されたデータベースであり、例えば、パスワードによる認証の場合、ユーザID及びパスワードを含む。また、認証データベース105は、認証成功時のアクセスポリシ(例えば、VLAN、QoS、フィルタの情報など)を含んでもよい。
認証端末登録テーブル106は、記憶装置に格納され、認証されたユーザの情報、認証された端末600の情報、及び認証された端末600が接続する認証スイッチの情報が登録されるテーブルである。認証端末登録テーブル106は、例えば、ユーザID、パスワード、端末600の情報(IPアドレス、MACアドレス)、端末600が接続している認証スイッチ400の情報(IPアドレス)、認証結果などを含む。
認証画面データ107は、記憶装置に格納され、ユーザ認証に用いられる情報を入力させるために、端末600に表示させる画面データである。
通信インタフェース108は、パケットを送受信する機能を有する、例えばイーサネット規格(イーサネットは登録商標、以下同じ)に準じたネットワークインタフェースである。
プロセッサが実行するプログラムは、リムーバブルメディア(CD−ROM、フラッシュメモリなど)又はネットワークを介して認証サーバ100に提供され、非一時的記憶媒体である記憶装置に格納される。このため、認証サーバ100は、リムーバブルメディアを読み込むインタフェース(例えば、光ディスク装置、USBポートなど)を有するとよい。
サーバ200は、プログラムを実行するプロセッサ、前記プロセッサで実行されるプログラムを格納するメモリ及びネットワークインタフェースを有する計算機で、例えば、端末600からのアクセスを受け付け、Webサーバ機能やFTP機能を端末600に提供する。
L3スイッチ300は、接続された認証サーバ100、サーバ200及び認証スイッチ400間でパケットを転送するパケット転送装置である。
認証スイッチ400は、接続されたL3スイッチ300及びHUB500間でパケットを転送するパケット転送装置である。また、認証スイッチ400は、認証済み端末登録テーブル404を用いて、認証サーバ100よって認証された端末600を管理する。
認証スイッチ400は、認証機能部401、認証済み端末登録テーブル404、URLリダイレクト処理部405、認証端末登録インタフェース部406、パケット送受信部407及び通信インタフェース411を有する。
認証機能部401は、端末600から送信された認証要求を処理する。認証機能部401は、認証処理部402及び認証登録部403を有する。認証処理部402は、端末600から送信された認証要求を処理するネットワーク認証機能を提供する。認証登録部403は、認証サーバ100が認証した認証済み端末の情報を認証済み端末登録テーブル404に登録する。
認証済み端末登録テーブル404は、認証済み端末のMACアドレス、IPアドレス、ユーザID、所属VLAN ID、アクセス制御情報などを管理する。認証済み端末登録テーブル404の構成は、図3を用いて後述する。
URLリダイレクト処理部405は、端末600からHTTPアクセスを受信すると、端末600をサーバ200に直接リダイレクトするコマンドを含むリダイレクト通知を出力する。出力されるリダイレクト通知は、認証スイッチ400のIPアドレス、認証される端末600のIPアドレス、認証される端末600のMACアドレス、認証される端末600が所属すべきVLANの識別情報、認証される端末600が接続する認証スイッチ400の物理ポート情報等を含む。これらの情報が端末600から認証サーバ100に送られる。
認証端末登録インタフェース部406は、外部からの入力によって、認証済みの端末600の情報を登録するためのインタフェースである。認証スイッチ400が認証プロトコルをサポートしない場合でも、認証端末登録インタフェース部406が認証サーバ100による端末600の認証結果を認証スイッチ400に登録し、認証スイッチ400によるネットワーク認証を可能にする。
パケット送受信部407は、パケットを受信し、受信したパケットを送信するパケットの送受信機能を提供する。パケット送受信部407は、転送制御部408、パケット転送テーブル409及び認証前転送制御部410を有する。
転送制御部408は、パケット転送テーブル409を参照して、受信したパケットを出力するポートを決定する転送エンジンを含む。パケット転送テーブル409は、パケットを転送するために用いられる、パケットの宛先とポートとの関係、及び、認証済み端末登録テーブル404を参照するための情報(例えば、端末600のIPアドレスやMACアドレス)を保持する。認証前転送制御部410は、接続してきた認証前の端末600を認証前のVLANに所属させる。
具体的には、認証前転送制御部410は、受信パケットの送信元MACアドレスを用いてパケット転送テーブル409を検索する。そして、当該送信元MACアドレスが認証済み端末に付与されたアドレスである場合、認証前転送制御部410は、パケット転送テーブル409に登録された転送ポリシに従ってパケットを転送する。一方、当該送信元MACアドレスが認証済み端末に付与されたアドレスでなく、かつ、当該パケットがHTTPパケットである場合、認証前転送制御部410は、当該パケットをURLリダイレクト処理部405へ転送する。また、当該送信元MACアドレスが認証済み端末に付与されたアドレスでなく、かつ、当該パケットがHTTPパケットでない場合、認証前転送制御部410は、パケット転送テーブルの転送ポリシ(認証前転送ポリシ)に従って、パケットを転送する。
このため、認証前の端末600が送信したHTTPパケットは、所定の宛先(例えば、認証サーバ100)にのみアクセスでき、他のネットワークにアクセスすることができない。
通信インタフェース411は、例えばイーサネット規格に準じたネットワークインタフェースであり、パケットを入出力するポートを提供する。
HUB500は、認証スイッチ400と端末600との間を接続し、端末600が送受信するパケットを転送するパケット転送装置である。
端末600は、プログラムを実行するプロセッサ、前記プロセッサで実行されるプログラムを格納するメモリ、ネットワークインタフェース及びユーザインタフェース(例えば、表示画面、入力装置)を有する計算機である。
図2は、第1の実施例の認証スイッチ400のハードウェア構成を示すブロック図である。
認証スイッチ400は、プロセッサ415、記憶部416、制御部417及び通信インタフェース411を有する。
プロセッサ415は、メモリ(図示省略)に格納されたプログラムを実行する。プロセッサ415が所定のプログラムを実行することによって、認証機能部401、URLリダイレクト処理部405及び認証端末登録インタフェース部406の機能が実装される。
記憶部416は、例えば、フラッシュメモリ、磁気記憶装置等の不揮発性の記憶装置であり、プロセッサ415によって実行されるプログラム及びプログラム実行時に使用されるデータ(例えば、認証済み端末登録テーブル404)を格納する。すなわち、プロセッサ415が実行するプログラムは、記憶部416から読み出されて、メモリにロードされて、プロセッサ415によって実行される。
なお、認証機能部401、URLリダイレクト処理部405及び認証端末登録インタフェース部406の一部又は全部の機能を、ハードウェアのロジック回路によって構成してもよい。
制御部417は、パケットを転送するための制御を行うパケット送受信部407の機能を有する。例えば、制御部417は、パケット転送テーブル409を参照して、パケットのヘッダに含まれる宛先アドレスに従って、受信したパケットを出力するポートを決定する。制御部417は、例えば、ロジック回路による専用のLSIで構成することができるが、プロセッサが実行する制御プログラムによって実装してもよい。
プロセッサ415が実行するプログラムは、リムーバブルメディア(フラッシュメモリ、CD−ROMなど)又はネットワークを介して認証スイッチ400に提供され、非一時的記憶媒体である記憶装置に格納される。このため、認証スイッチ400は、リムーバブルメディアを読み込むインタフェース(例えば、USBポート、光ディスク装置など)を有するとよい。
図3は、第1の実施例の認証済み端末登録テーブル404の構成を説明する図である。
認証済み端末登録テーブル404は、ユーザ情報4010、認証端末情報4020及び認証スイッチ情報4030を含む。
ユーザ情報4010は、認証されたユーザの情報であり、ユーザID4011、パスワード4012及びVLAN4013を含む。ユーザID4011は、認証されたユーザを一意に識別するための識別情報である。パスワード4012は、当該ユーザが認証のために使用するパスワードである。VLAN4013は、当該ユーザが使用するVLANを一意に識別するための識別情報である。
認証端末情報4020は、認証された端末600の情報であり、IPアドレス4021、MACアドレス4022及びアクセスポリシ4023を含む。IPアドレス4021は、当該ユーザが使用している端末600に付与されたIPアドレスである。MACアドレス4022は、当該端末600に付与されたMACアドレスである。アクセスポリシ4023は、当該端末600に設定されたアクセスポリシであり、例えば、特定の宛先宛のパケットを廃棄するなどである。
認証スイッチ情報4030は、認証スイッチ400の情報であり、IPアドレス4031及び接続ポート4032を含む。IPアドレス4031は、当該端末600が接続する認証スイッチ400に付与されたIPアドレスである。接続ポート4032は、当該端末600が接続する認証スイッチ400のポートの識別情報である。
図4は、第1の実施例の端末600、認証スイッチ400及び認証サーバ100の間のシーケンス図である。
まず、端末600は、HUB500に接続すると、端末600に付与されたMACアドレス及びIPアドレスをHUB500に送信する。HUB500は、端末600から受信したMACアドレス及びIPアドレスを認証スイッチ400に送信する。認証スイッチ400は、接続した端末600のアドレス(MACアドレス、IPアドレス)を記憶し、当該端末600を認証前VLANに所属させる。このとき、端末600は、認証前VLANで許可された宛先(本実施例では、認証サーバ100)を除き、認証スイッチ400より先のネットワークへアクセスできない。
その後、端末600が、サーバ200にアクセスをするために、HTTPリクエストを送信する(1101)。認証スイッチ400は、端末600から送信されたHTTPアクセスを受信すると、HTTPアクセスを送信した端末600が認証済かを判定する。そして、HTTPアクセスを送信した端末600が未認証端末であれば、当該HTTPアクセスを認証サーバ100に再送信するためのリダイレクト通知を、HTTPアクセスの送信元の端末600に送信する(1102)。このリダイレクト通知は、認証スイッチ400の情報(IPアドレス、端末600が接続されるポートの識別情報)を含む。
端末600は、リダイレクト通知を受信すると、受信したリダイレクト通知に含まれるアクセス先の認証サーバ100にHTTPリクエストを送信し、認証サーバ100の認証ページにアクセスする(1103)。このとき、端末600は、認証前VLANを用いて、認証サーバ100にアクセスすることができる。認証サーバ100は、認証ページにアクセスしてきた端末600に、認証情報入力画面のデータを含むHTTPレスポンスを送信する(1104)。
ユーザは、端末600に表示された認証情報入力画面に、認証情報(例えば、ユーザID及びパスワード)を入力する。端末600は、入力された認証情報を、認証スイッチ400を介して認証サーバ100に送信する(1105)。端末600は、受信したリダイレクト通知に含まれる認証スイッチ400の情報を、認証情報と共に認証サーバ100に送信する。なお、端末600は、HTTPリクエスト(1103)に含めて、認証スイッチ400の情報を認証サーバ100に送信してもよい。
認証サーバ100は、受信した認証情報を用いて認証データベース105を検索する。受信した認証情報が認証データベース105に登録されている場合(1106)、認証サーバ100は、認証の成功(RADIUS認証によるアクセス許可)を認証スイッチ400に通知する(1107)。
認証スイッチ400宛の認証登録通知は、認証成功の情報及びアクセス制御情報(例えば、認証された端末600を所属させるVLAN情報)を含む。認証スイッチ400は、認証された端末600のMACアドレスについて認証許可処理を行い、認証結果を認証済み端末登録テーブル404に登録する(1108)。認証済み端末登録テーブル404への登録によって、認証サーバ100に指定されたVLANに、認証された端末600が所属する。
また、認証サーバ100は、認証の成功を端末600に通知する(1109)。端末600は、認証の成功の通知を受けると、認証成功画面を表示する。
一方、認証サーバ100は、受信した認証情報が認証データベース105に登録されていない場合(1110)、認証の失敗(RADIUS認証によるアクセス拒否)を認証スイッチ400に通知する(1111)。認証スイッチ400は、認証失敗の情報を認証済み端末登録テーブル404に登録しなくてよい。
また、認証サーバ100は、認証の失敗を端末600に返信する(1112)。端末600は、認証の失敗の通知を受けると、認証失敗画面を表示する。
図5は、第1の実施例の認証スイッチ400が実行するパケット転送処理のフローチャートである。
まず、パケット送受信部407は、パケットを受信すると(1121)、受信したパケットの送信元のMACアドレス又はIPアドレスを用いて認証済み端末登録テーブル404を検索し、受信したパケットを送信した端末600が認証済み端末であるかを判定する(1122)。
パケットを送信した端末600が認証済み端末である場合、認証済み端末登録テーブル404に登録された転送ポリシ(例えば、VLAN)に従って、受信したパケットを転送する(1123)。一方、パケットを送信した端末600が認証済み端末ではない場合、受信したパケットの種別を判定する(1124)。
その結果、受信したパケットがHTTPアクセスではない場合、認証前転送制御部410は、パケット転送テーブル409に登録された認証前転送ポリシに従ってパケットを転送する(1125)。一方、受信したパケットがHTTPアクセスである場合、パケット送受信部407は、当該パケットをURLリダイレクト処理部405へ転送する(1126)。
その後、パケット送受信部407は、認証サーバの生死を確認する(1127)。その結果、認証サーバから応答がある場合、URLリダイレクト処理部405は、認証サーバ100へリダイレクトさせるためのリダイレクトパケットを生成し、パケットを送信した端末600へ送信する(1128)。
一方、認証サーバから応答がない場合、URLリダイレクト処理部405は、自装置宛へリダイレクトさせるためのリダイレクトパケットを生成し、パケットを送信した端末600へ送信する(1129)。
ステップ1128、1129で生成されるリダイレクトパケットは、認証スイッチ400のIPアドレス、端末600が接続している物理ポートの情報、及び、端末600のMACアドレス及びIPアドレス等を格納する。
図6は、第1の実施例の認証処理のフローチャートである。図6に示す認証処理は、認証サーバ100のプロセッサが実行する。
まず、認証機能本体部102は、通信インタフェース108が認証要求のHTTPリクエストを受信するまで待機する(1131)。認証機能本体部102は、受信したHTTPリクエストから認証情報(ユーザID、パスワード)を抽出し、認証データベース105を用いて、抽出した認証情報の認証を試みる(1132)。
その結果、認証が成功した場合、認証機能本体部102は、HTTPリクエストから端末情報を抽出し、抽出した端末情報を認証端末登録テーブル106へ書き込む(1133)。その後、認証機能本体部102は、認証結果及び該当ユーザIDを認証スイッチ連携部103へ通知する(1134)。
認証スイッチ連携部103は、認証機能本体部102から受信した認証結果及びユーザIDを用いて認証データベース105を検索し、当該ユーザのアクセス制御の情報を取得し、取得したアクセス制御の情報を認証端末登録テーブル106に書き込む(1135)。そして、認証スイッチ連携部103は、受信したユーザIDを用いて認証端末登録テーブル106を検索し、当該ユーザの情報を取得する(1136)。
さらに、認証スイッチ連携部103は、取得したユーザの情報から認証登録情報を作成し、作成した認証登録情報を認証登録インタフェース104に送る。認証登録インタフェース104は、受信した認証登録情報を認証スイッチ400に送信する(1137)。
なお、以上に説明した認証方法は、従来の、認証スイッチ400がプロキシとなるWeb認証機能と併用することができる。例えば、認証スイッチ400において、Web認証機能を使うモードと認証サーバ100を使うモードとを切り替えてもよい。また、認証サーバ100の状態によって、認証スイッチ400のWeb認証機能の有効/無効を制御してもよい。
具体的には、前述した転送処理のステップ1127において、URLリダイレクト処理部405が、認証サーバ100の状態を確認する。認証サーバ100からの応答がない場合、URLリダイレクト処理部405は、自装置のWeb認証機能を有効にし、リダイレクト先を自宛にして、アクセスしてきた端末600に応答する(1129)。
以上に説明したように、第1の実施例では、認証スイッチ400が送信するリダイレクト通知1102によって、端末600と認証スイッチ400との間の認証シーケンスから、端末600と認証サーバ100との間の認証シーケンスに切り替える。このため、認証サーバ100は、端末600が接続している認証スイッチ400を知ることができ、認証端末登録インタフェース部406を介して、認証結果を認証スイッチ400に登録することができる。特に、前述した特許文献1のように端末と認証サーバとの間の認証シーケンスをスヌーピングしなくても、認証結果を認証スイッチ400に登録することができる。さらに、認証スイッチ400は、登録された端末600をネットワーク認証された端末として管理することができる。
また、認証スイッチでWebサーバを動作させ認証情報を認証サーバに中継する必要がないので、認証スイッチ400の認証処理による負荷を減らしつつ、認証済み端末を検出でき、認証済み端末の離脱をチェックすることができる。このため、不要な認証情報やフィルタ情報やQoS設定を認証スイッチから消去することができ、認証スイッチの記憶領域を有効に利用することができる。また、認証済みMACアドレスを詐称した端末の接続を排除して、セキュリティを向上することができる。
また、認証スイッチが認証プロキシ機能を有する場合、ネットワーク認証方式毎のモジュールを設ける必要があるが第1の実施例では、ネットワーク認証方式に依存しないネットワーク認証システムを構築することができる。
<実施例2>
次に、本発明の第2の実施例について説明する。第2の実施例では、端末600から送信されたHTTPアクセスを認証サーバ100へトンネリングすることによって、端末600及び認証スイッチ400の情報を認証サーバ100通知する。このため、第2の実施例では、第1の実施例における図1の認証スイッチ400及び認証サーバ100の構成が異なる。なお、第2の実施例において、前述した第1の実施例と異なる構成、機能及び処理のみを説明し、同一の部分の説明は省略する。
図7は、第2の実施例の認証スイッチ400の構成を示すブロック図である。
第2の実施例の認証スイッチ400は、認証機能部401、認証済み端末登録テーブル404、URLリダイレクト処理部405、認証端末登録インタフェース部406、パケット送受信部407、通信インタフェース411及びトンネリング処理部421を有する。
認証機能部401、認証済み端末登録テーブル404、URLリダイレクト処理部405及び認証端末登録インタフェース部406の構成及び機能は、前述した第1の実施例のこれらの構成及び機能と同じである。
トンネリング処理部421は、認証スイッチ400と認証サーバ100との間に設定されたトンネルを用いて、端末600と認証サーバ100との間のHTTPパケットを転送する。また、トンネリング処理部421は、カプセル化されたパケットのヘッダを外して、デカプセリング処理を行う。
パケット送受信部407は、パケットを受信し、受信したパケットを送信するパケットの送受信機能を提供する。パケット送受信部407は、転送制御部408、パケット転送テーブル409、認証前転送制御部410及びトンネル判定部422を有する。
転送制御部408、パケット転送テーブル409、認証前転送制御部410及び通信インタフェース411の構成及び機能は、前述した第1の実施例のこれらの構成及び機能と同じである。
トンネル判定部422は、カプセル化されてトンネルを経由して転送されたパケットを判定して、トンネリング処理部421に送る。
図8は、第2の実施例の認証サーバ100の構成を示すブロック図である。
認証サーバ100は、プログラムを実行するプロセッサ、プロセッサで実行されるプログラムを格納するメモリ、プログラム実行時に使用されるデータを格納する記憶装置及びネットワークと接続する通信インタフェースを有する計算機である。
第2の実施例の認証サーバ100は、認証機能部101、認証データベース105、認証端末登録テーブル106、認証画面データ107、通信インタフェース108及びトンネリング処理部121を有する。
認証機能部101、認証データベース105、認証端末登録テーブル106、認証画面データ107及び通信インタフェース108の構成及び機能は、前述した第1の実施例のこれらの構成及び機能と同じである。
トンネリング処理部121は、認証スイッチ400と認証サーバ100との間に設定されたトンネルを用いて、端末600と認証サーバ100との間のHTTPパケットを転送する。また、トンネリング処理部121は、カプセル化されたパケットのヘッダを外して、デカプセリング処理を行う。
通信インタフェース108は、パケットを送受信する機能を有する、例えばイーサネット規格に準じたネットワークインタフェースである。また、通信インタフェース108は、トンネル判定部122を有する。トンネル判定部122は、カプセル化されてトンネルを経由して転送されたパケットを判定して、トンネリング処理部121に送る。
図9は、第2の実施例の端末600、認証スイッチ400及び認証サーバ100の間のシーケンス図である。
まず、端末600が、サーバ200にアクセスをするために、HTTPリクエストを送信する(1201)。認証スイッチ400は、端末600から送信されたHTTPアクセスを受信すると、HTTPアクセスを送信した端末600が認証済かを判定する。そして、認証スイッチ400は、HTTPアクセスを送信した端末600が未認証端末であれば、接続した端末600のアドレス(MACアドレス、IPアドレス)を記憶し、当該端末600を認証前VLANに所属させる。このとき、端末600は、認証前VLANで許可された宛先(本実施例では、認証サーバ100)を除き、認証スイッチ400より先のネットワークへアクセスできない。
また、認証スイッチ400は、認証スイッチ400のIPアドレスを送信元にし、認証サーバ100のIPアドレスを宛先にしたヘッダで、受信したパケット(HTTPアクセス)をカプセル化する(1202)。そして、認証スイッチ400は、カプセル化されたHTTPアクセスを、認証サーバ100との間に設定されたトンネルを経由して送信する(1203)。認証サーバ100に送信されるHTTPアクセスは、認証スイッチ400の情報(IPアドレス、端末600が接続されるポートの識別情報)を含む。
認証サーバ100は、カプセル化されたHTTPアクセスを受信すると、カプセル化されたパケットからカプセリングヘッダを外す処理を行い、当該HTTPアクセスを認証サーバ100に再送信するためのリダイレクト通知を作成する。そして、認証サーバ100は、作成されたリダイレクト通知をカプセル化し、カプセル化されたリダイレクト通知を、認証スイッチ400との間に設定されたトンネルを経由して、HTTPアクセスの送信元の認証スイッチ400に送信する(1204)。認証サーバ100から送信されるリダイレクト通知は、リダイレクト先である認証サーバ100の情報を含む。
認証スイッチ400は、カプセル化されたリダイレクト通知を受信すると、受信したリダイレクト通知からカプセリングヘッダを外してデカプセル化して(1205)、デカプセル化されたリダイレクト通知を、HTTPアクセスの送信元の端末600に送信する(1206)。
端末600は、リダイレクト通知を受信すると、リダイレクト通知に含まれるアクセス先の認証サーバ100にHTTPリクエストを送信し、認証サーバ100の認証ページにアクセスする(1207)。認証サーバ100は、認証ページにアクセスしてきた端末600に、認証情報入力画面のデータを含むHTTPレスポンスを送信する(1208)。
1209から1216の処理は、第1の実施例の1105から1112の処理と同じである。
図10は、第2の実施例の認証スイッチ400が実行するパケット転送処理のフローチャートである。
まず、パケット送受信部407がパケットを受信すると(1221)、トンネル判定部422は、受信したパケットのヘッダを参照して、受信したパケットの種別を判定する(1222)。
その結果、受信したパケットがトンネルパケットであれば(1223でY)、トンネル判定部422は、受信したパケットをトンネリング処理部421に送る。トンネリング処理部421は、受信したパケットからカプセリングヘッダを外してデカプセル化する(1224)。パケット送受信部407は、デカプセル化されたパケットを、ヘッダに従って端末600へ転送する(1225)。
一方、受信したパケットがトンネルパケットでなければ(1223でN)、トンネル判定部422は、受信したパケットが認証情報登録パケットであるかを判定する(1226)。
その結果、受信したパケットが認証情報登録パケットであれば(1226でY)、トンネル判定部422は、受信したパケットを認証端末登録インタフェース部406に送る。認証端末登録インタフェース部406は、受信パケットから認証登録情報を取得し、取得した認証情報を認証登録部403へ送る(1227)。認証登録部403は、受信した認証情報を認証済み端末登録テーブル404へ登録する(1228)。
一方、受信したパケットが認証情報登録パケットでなければ(1226でN)、トンネル判定部422は、認証済み端末登録テーブル404を参照して、受信したパケットのMACアドレスが認証済み端末のアドレスであるかを判定する(1229)。
その結果、受信したパケットのMACアドレスが認証済み端末のアドレスであれば、転送制御部408は、パケット転送テーブル409を参照して、パケットのヘッダに含まれる宛先アドレスに従って、受信したパケットを転送する(1230)。
一方、受信したパケットのMACアドレスが認証済み端末のアドレスでなければ(1229でN)、トンネル判定部422は、受信したパケットのプロトコルを判定する(1231)。
その結果、受信したパケットのプロトコルがHTTPプロトコルでなければ、パケット送受信部407は、受信したパケットの転送が不要であると判定して、パケットを破棄する(1232)。一方、受信したパケットのプロトコルがHTTPプロトコルであれば、トンネリング処理部421は、認証サーバ100のIPアドレスを宛先にしたヘッダで、受信したパケットをカプセル化するカプセリング処理を実行する(1233)。そして、パケット送受信部407は、カプセル化されたパケットを認証サーバ100に送信する(1234)。
図11A及び図11Bは、第2の実施例の認証処理のフローチャートである。図11A及び図11Bに示す認証処理は、認証サーバ100のプロセッサが実行する。
まず、通信インタフェース108がパケットを受信すると(1241)、トンネル判定部122は、受信したパケットのヘッダを参照して、受信したパケットの種別を判定する(1242)。
その結果、受信したパケットがトンネルパケットでなければ(1243でN)、認証機能本体部102は、受信したパケットから認証情報を抽出し、抽出した認証情報を用いて認証データベース105を検索する通常の認証処理を実行する(1244)。
一方、受信したパケットがトンネルパケットであれば(1243でY)、トンネル判定部122は、受信したパケットをトンネリング処理部121に送る。トンネリング処理部121は、受信したパケットからカプセリングヘッダを外してデカプセル化するデカプセリング処理を実行し(1245)、デカプセル化したパケットの種別を判定する(1246)。
その結果、デカプセル化されたパケットがHTTPアクセスであれば(1247でY)、トンネリング処理部121は、受信したパケットを認証機能本体部102に送る。認証機能本体部102は、当該HTTPアクセスを認証サーバ100に再送信するためのリダイレクト通知を生成し、生成したリダイレクト通知をトンネリング処理部121に送る(1248)。
トンネリング処理部121は、認証スイッチ400のIPアドレスを宛先にしたヘッダで、生成されたリダイレクト通知をカプセル化し、カプセル化したパケットを通信インタフェース108に送る(1249)。通信インタフェース108は、カプセル化したパケットを認証スイッチ400に送信する(1250)。
一方、デカプセル化されたパケットがHTTPアクセスでなければ(1247でN)、トンネリング処理部121は、デカプセル化されたパケットが認証受付のHTTPリクエストであるかを判定する(1251)。
その結果、デカプセル化されたパケットが認証受付のHTTPリクエストであれば(1251でY)、トンネリング処理部121は、受信したパケットを認証機能本体部102に送る。認証機能本体部102は、認証画面データ107から取得した認証情報入力画面のデータを含むHTTPレスポンスを、当該HTTPリクエストを送信した端末600に送信する(1252)。一方、デカプセル化されたパケットが認証受付のHTTPリクエストでなければ(1251でN)、ステップ1253に進む。
ステップ1253では、トンネリング処理部121は、デカプセル化されたパケットが認証要求のHTTPリクエストであるかを判定する(1253)。
その結果、デカプセル化されたパケットが認証要求のHTTPリクエストでなければ(1253でN)、当該パケットを処理する必要がないため、認証機能本体部102は、受信したパケット(デカプセル化したパケット)を破棄する(1254)。
一方、デカプセル化されたパケットが認証要求のHTTPリクエストであれば(1253でY)、認証機能本体部102は、認証データベース105を用いて、端末600から送信された認証情報(ユーザID、パスワード)の認証を試みる(1255)。
認証が成功した場合の処理(1256〜1260)は、第1の実施例の1133から1137の処理と同じである。
以上に説明したように、前述した第1の実施例の効果に加え、第2の実施例では、認証サーバ100が送信するリダイレクト通知1204及び1206によって、端末600と認証スイッチ400との間の認証シーケンスから、端末600と認証サーバ100との間の認証シーケンスに切り替える。このため、認証サーバ100は、端末600が接続している認証スイッチ400を知ることができ、認証端末登録インタフェース部406を介して、認証結果を認証スイッチ400に登録することができる。さらに、認証スイッチ400は、登録された端末600をネットワーク認証された端末として管理することができる。
<実施例3>
次に、本発明の第3の実施例について説明する。第3の実施例では、シボレス認証におけるサービスプロバイダ(SP)を認証サーバとし、サービスプロバイダがリダイレクト通知を送信することによって、端末とアイデンティティプロバイダ(IdP)との間の認証を実現する。なお、第3の実施例において、前述した第1又は第2の実施例と異なる構成、機能及び処理のみ説明し、同一の部分の説明は省略する。
シボレス(Shibboleth)認証とは、アイデンティティプロバイダ(IdP)250が利用者の情報を提供し、サービスプロバイダ(SP)150が、アイデンティティプロバイダから提供された情報を利用して、通信を許可し、SSO(シングルサインオン)環境を実現する認証システムである。
第3の実施例の認証システムは、サービスプロバイダ150、アイデンティティプロバイダ250、L3スイッチ300、少なくとも一つの認証スイッチ400及び少なくとも一つのHUB500を含む。HUB500は、少なくとも一つの端末600を接続する。すなわち、第3の実施例の認証システムは、図1に示す第1の実施例の認証システムのうち、認証サーバ100がサービスプロバイダ150に置き換わり、サーバ200がアイデンティティプロバイダ250に置き換わったものである。
図12は、第3の実施例の端末600、認証スイッチ400、サービスプロバイダ(SP)150及びアイデンティティプロバイダ(IdP)250の間のシーケンス図である。
まず、端末600が、サーバ200にアクセスをするのために、HTTPリクエストを送信する(1301)。認証スイッチ400は、端末600から送信されたHTTPアクセスを受信すると、HTTPアクセスを送信した端末600が認証済かを判定する。そして、認証スイッチ400は、HTTPアクセスを送信した端末600が未認証端末であれば、接続した端末600のアドレス(MACアドレス、IPアドレス)を記憶し、当該端末600を認証前VLANに所属させる。このとき、端末600は、認証前VLANで許可された宛先(本実施例では、サービスプロバイダ150)を除き、認証スイッチ400より先のネットワークへアクセスできない。
また、認証スイッチ400は、認証スイッチ400のIPアドレスを送信元にし、認証サーバ100のIPアドレスを宛先にしたヘッダで、受信したパケット(HTTPアクセス)をカプセル化する(1302)。そして、認証スイッチ400は、カプセル化されたHTTPアクセスを、サービスプロバイダ150との間に設定されたトンネルを経由して送信する(1303)。サービスプロバイダ150に送信されるHTTPアクセスは、認証スイッチ400の情報を含む。
サービスプロバイダ150は、カプセル化されたHTTPアクセスを受信すると、カプセル化されたパケットからカプセリングヘッダを外す処理を行い、当該HTTPアクセスをサービスプロバイダ150に再送信するためのリダイレクト通知を作成する。そして、サービスプロバイダ150は、作成されたリダイレクト通知をカプセル化し、カプセル化されたリダイレクト通知を、認証スイッチ400との間に設定されたトンネルを経由して送信する(1304)。サービスプロバイダ150から送信されるリダイレクト通知は、サービスプロバイダ150の情報を含む。
認証スイッチ400は、カプセル化されたリダイレクト通知を受信すると、受信したリダイレクト通知からカプセリングヘッダを外してデカプセル化して(1305)、デカプセル化されたリダイレクト通知を、HTTPアクセスの送信元の端末600に送信する(1306)。
端末600は、リダイレクト通知を受信すると、リダイレクト通知に含まれるアクセス先のサービスプロバイダ150に、認証ページにアクセスするためのHTTPリクエストを送信する(1307)。
認証スイッチ400は、認証スイッチ400のIPアドレスを送信元にし、認証サーバ100のIPアドレスを宛先にしたヘッダで、受信したパケット(HTTPリクエスト)をカプセル化する(1308)。そして、認証スイッチ400は、カプセル化されたHTTPリクエストを、サービスプロバイダ150との間に設定されたトンネルを経由して送信する(1309)。
サービスプロバイダ150は、カプセル化されたHTTPリクエストを受信すると、カプセル化されたパケットからカプセリングヘッダを外すデカプセリング処理を行い、当該HTTPリクエストをアイデンティティプロバイダ250に再送信するためのリダイレクト通知を作成する。そして、サービスプロバイダ150は、作成されたリダイレクト通知をカプセル化し、カプセル化されたリダイレクト通知を、認証スイッチ400との間に設定されたトンネルを経由して送信する(1310)。サービスプロバイダ150から送信されるリダイレクト通知は、アイデンティティプロバイダ250の情報を含む。
認証スイッチ400は、カプセル化されたリダイレクト通知を受信すると、受信したリダイレクト通知からカプセリングヘッダを外してデカプセル化して(1311)、デカプセル化されたリダイレクト通知を、HTTPリクエストの送信元の端末600に送信する(1312)。
端末600は、リダイレクト通知を受信すると、リダイレクト通知に含まれるアクセス先のアイデンティティプロバイダ250に、認証ページにアクセスするためのHTTPリクエストを送信して、シボレス認証システムにアクセスする(1313)。
なお、認証前の端末600とアイデンティティプロバイダ250との間の通信は、パケットをフォワーディングするフィルタを認証スイッチ400に設定することによって、認証スイッチ400によるトンネリング処理を回避する。
アイデンティティプロバイダ250は、認証ページにアクセスしてきた端末600に、認証情報入力画面のデータを含むHTTPレスポンスを送信する(1314)。
ユーザは、端末600に表示された認証情報入力画面に、認証情報(例えば、ユーザID及びパスワード)を入力する。端末600は、入力された認証情報を、認証スイッチ400を介してアイデンティティプロバイダ250に送信する(1315)。
アイデンティティプロバイダ250は、受信した認証情報を用いて認証データベースを検索し、受信した認証情報が認証データベースに登録されている場合、認証の成功を端末600に通知する(1316)。端末600宛の認証成功通知は、認証成功の情報及びサービスプロバイダ150へのリダイレクト情報を含む。
端末600は、受信した認証成功通知に含まれるリダイレクト情報に従って、サービスプロバイダ150へアクセスするためのパケットを送信する(1317)。端末600が送信するパケットは、端末600の認証成功の情報を含む。
認証スイッチ400は、認証スイッチ400のIPアドレスを送信元にし、認証サーバ100のIPアドレスを宛先にしたヘッダで、受信したパケットをカプセル化する(1318)。そして、認証スイッチ400は、カプセル化されたパケットを、サービスプロバイダ150との間に設定されたトンネルを経由して送信する(1319)。
サービスプロバイダ150は、受信した認証成功の情報を用いて認証データベースを検索し、受信した認証情報が認証データベースに登録されている場合、認証データベースから取得した認証が成功した端末600の情報を認証スイッチ400に通知する(1320)。認証スイッチ400宛の認証登録通知は、認証成功の情報及びアクセス制御情報(例えば、認証された端末600を所属させるVLAN情報)を含む。認証スイッチ400は、認証された端末600のMACアドレスについて認証許可処理を行い、認証結果を認証済み端末登録テーブル404に登録する。認証済み端末登録テーブル404への登録によって、認証サーバ100に指定されたVLANに、認証された端末600を所属させる。
また、サービスプロバイダ150は、認証の成功を端末600に送信する認証成功の画面を含むHTTPレスポンスを作成する。そして、サービスプロバイダ150は、作成されたHTTPレスポンスをカプセル化し、認証スイッチ400との間に設定されたトンネルを経由して、カプセル化されたHTTPレスポンスを送信する(1321)。
認証スイッチ400は、カプセル化されたHTTPレスポンスを受信すると、受信したHTTPレスポンスからカプセリングヘッダを外してデカプセル化して(1322)、デカプセル化されたHTTPレスポンスを、HTTPリクエストの送信元の端末600に送信する(1323)。
端末600は、認証の成功の通知を受けると、認証成功画面を表示する。
以上に説明したように、前述した第1の実施例の効果に加え、第3の実施例では、シボレス認証システムにおいても、認証サーバ100による認証の結果を認証済み端末登録テーブル404に登録することができる。さらに、認証スイッチ400は、登録された端末600をネットワーク認証された端末として管理することができる。
<実施例4>
次に、本発明の第4の実施例について説明する。第4の実施例では、認証サーバ100が認証スイッチ400からのRADIUSプロトコルを使った認証リクエスト情報を保持し、端末600と認証サーバ100との間で認証した結果を使って、保持する認証リクエスト情報に対する返信を認証スイッチ400に送信する。このため、第4の実施例では、第1の実施例における図1の認証サーバ100の構成が異なる。なお、第4の実施例において、前述した第1の実施例と異なる構成、機能及び処理のみ説明し、同一の部分の説明は省略する。
図13は、第4の実施例の認証サーバ100の構成を示すブロック図である。
第4の実施例の認証サーバ100は、プログラムを実行するプロセッサ(CPU)141、プロセッサで実行されるプログラムを格納するメモリ(図示省略)、プログラム実行時に使用されるデータを格納する記憶装置145及びネットワークと接続する通信インタフェース148を有する計算機である。
プロセッサ141は、メモリに格納されたプログラムを実行する。プロセッサ141が所定のプログラムを実行することによって、認証処理部142、HTTPサーバ部143及びRADIUSサーバ部144の機能が実装される。
認証処理部142は、認証データベース146を参照して、端末600から送信された認証要求を認証する。HTTPサーバ部143は、ユーザ認証のためのHTTP応答パケットを生成する。
RADIUSサーバ部144は、MAC認証のためのRADIUS応答を生成するための処理を実行する。具体的には、RADIUSサーバ部144は、MAC認証リクエストパケットを受信するまで待機し、MAC認証リクエストパケットを受信した後、RADIUSアクセス要求パケットを受け付ける。そして、RADIUSサーバ部144は、受け付けたRADIUSアクセス要求パケットから、認証すべき端末600のIPアドレス及びRADIUSアクセス要求パケットデータの組を抽出し、抽出した情報を認証待ち端末登録テーブル147に登録する。
記憶装置145は、例えば、磁気記憶装置、フラッシュメモリ等の不揮発性の記憶装置であり、プロセッサ141によって実行されるプログラム及びプログラム実行時に使用されるデータを格納する。すなわち、プロセッサ141が実行するプログラムは、記憶装置145から読み出されて、メモリにロードされて、プロセッサ141によって実行される。記憶装置145は、認証データベース146及び認証待ち端末登録テーブル147を格納する。
認証データベース146は、端末600を認証するための情報が登録されたデータベースであり、例えば、パスワードによる認証の場合、ユーザID及びパスワードを含む。また、認証データベース146は、認証成功時のアクセスポリシ(例えば、VLAN、QoS、フィルタの情報等)を含んでもよい。
認証待ち端末登録テーブル147は、MAC認証を行う際にRADIUSのセッションを一時的に保持しておくための情報が登録されるテーブルであり、端末600のIPアドレス及びRADIUSアクセス要求パケットデータの組が保持される。
通信インタフェース148は、パケットを送受信する機能を有する、例えばイーサネット規格に準じたネットワークインタフェースである。
プロセッサ141が実行するプログラムは、リムーバブルメディア(CD−ROM、フラッシュメモリなど)又はネットワークを介して認証サーバ100に提供され、非一時的記憶媒体である記憶装置に格納される。このため、認証サーバ100は、リムーバブルメディアを読み込むインタフェース(例えば、光ディスク装置、USBポート)を有するとよい。
図14は、第4の実施例の端末600、認証スイッチ400及び認証サーバ100の間のシーケンス図である。
まず、端末600は、HUB500に接続すると、端末600に付与されたMACアドレス及びIPアドレスをHUB500に送信する。HUB500は、端末600から受信したMACアドレス及びIPアドレスを認証スイッチ400に送信する(1401)。
認証スイッチ400は、接続した端末600のアドレス(MACアドレス、IPアドレス)を記憶し、当該端末600を認証前VLANに所属させる。このとき、端末600は、認証前VLANで許可された宛先(本実施例では、認証サーバ100)を除き、認証スイッチ400より先のネットワークへアクセスできない。
そして、認証スイッチ400は、認証サーバへMAC認証リクエストパケットを送信する(1402)。このMAC認証リクエストパケットは、RADIUS認証要求のパラメータとして、端末のMACアドレス及びIPアドレスを含む。また、MAC認証レスポンス1407までに認証がタイムアウトしないように、RADIUS認証のタイムアウト時間を十分に長い値に設定する。
その後、端末600は、HTTPリクエストを認証サーバ100に送信し、認証サーバ100の認証ページにアクセスする(1403)。このとき、端末600は、認証前VLANを用いて、認証サーバ100にアクセスすることができる。認証サーバ100は、認証ページにアクセスしてきた端末600に、認証情報入力画面のデータを含むHTTPレスポンスを送信する(1404)。
ユーザは、端末600に表示された認証情報入力画面に、認証情報(例えば、ユーザID及びパスワード)を入力する。端末600は、入力された認証情報を、認証スイッチ400を介して認証サーバ100に送信する(1405)。
認証サーバ100は、受信した認証情報を用いて認証データベース105を検索し、受信した認証情報が認証データベース105に登録されている場合(1406)、MAC認証レスポンスを認証スイッチ400に送信し、RADIUS認証によるアクセス許可を通知する(1407)。認証スイッチ400宛のMAC認証レスポンスは、認証成功の情報及びアクセス制御情報(例えば、認証された端末600を所属させるVLAN情報)を含む。認証スイッチ400は、認証された端末600のMACアドレスについて認証許可処理を行い、認証結果を認証済み端末登録テーブル404に登録する(1408)。認証済み端末登録テーブル404への登録によって、認証サーバ100に指定されたVLANに、認証された端末600を所属させる。
また、認証サーバ100は、認証の成功を端末600に通知する(1409)。端末600は、認証の成功の通知を受けると、認証成功画面を表示する。
一方、認証サーバ100は、受信した認証情報が認証データベース105に登録されていない場合(1410)、MAC認証レスポンスを認証スイッチ400に送信し、RADIUS認証によるアクセス拒否を通知する(1411)。認証スイッチ400は、認証失敗の情報を認証済み端末登録テーブル404に登録しなくてもよい。また、認証サーバ100は、認証の失敗を端末600に通知する(1412)。端末600は、認証の失敗の通知を受けると、認証失敗画面を表示する。
図15は、第4の実施例の認証処理のフローチャートである。図15に示す認証処理は、認証サーバ100のプロセッサが実行する。
まず、HTTPサーバ部143は、認証受付のHTTPリクエストを受信するまで待機する(1421)。HTTPサーバ部143は、受信した認証受付のHTTPリクエストの応答として、認証情報入力画面を端末600へ送信する(1422)。
その後、認証処理部142は、端末600から送信された認証要求のHTTPリクエストを受信するまで待機する(1423)。認証処理部142は、認証要求を受信すると、認証データベース146を参照してユーザ認証を行う。HTTPサーバ部143は、受信した認証要求に含まれるユーザID及びパスワードが認証データベース146に登録されているユーザID及びパスワードと同一であれば認証成功と判定する(1424)。
その後、RADIUSサーバ部144は、認証要求を送信した端末600のIPアドレスを用いて認証待ち端末登録テーブル147を検索し、当該IPアドレスに対応するRADIUSアクセス要求パケットデータを認証待ち端末登録テーブル147から取得する(1425)。
そして、ステップ1424で行われた認証が成功であれば(1426でY)、RADIUSサーバ部144は、取得したRADIUSアクセス要求パケットデータに対応するRADIUSアクセス許可を応答する(1427)。その後、HTTPサーバ部143は、認証成功画面を含むHTTPレスポンスを端末600に送信する(1428)。さらに、RADIUSサーバ部144は、認証待ち端末登録テーブル147から、認証済みの端末600のエントリを削除する(1429)。
一方、ステップ1424で行われた認証が失敗であれば(1426でN)、RADIUSサーバ部144は、取得したRADIUSアクセス要求パケットデータに対応するRADIUSアクセス拒否を応答する(1430)。その後、HTTPサーバ部143は、認証失敗画面を含むHTTPレスポンスを端末600に送信する(1431)。さらに、RADIUSサーバ部144は、認証待ち端末登録テーブル147から、認証が失敗した端末600のエントリを削除する(1429)。
その後、ステップ1421に戻り、HTTPサーバ部143が、認証受付のHTTPリクエストを受信するまで待機する。
以上に説明したように、第4の実施例では、MAC認証を行うRADIUS認証システムにおいても、認証サーバ100による認証の結果を認証済み端末登録テーブル404に登録することができる。さらに、認証スイッチ400は、登録された端末600をネットワーク認証された端末として管理することができる。
以上、本発明を添付の図面を参照して詳細に説明したが、本発明はこのような具体的構成に限定されるものではなく、添付した請求の範囲の趣旨内における様々な変更及び同等の構成を含むものである。
100 認証サーバ
101 認証機能部
102 認証機能本体部
103 認証スイッチ連携部
104 認証登録インタフェース
105 認証データベース
106 認証端末登録テーブル
107 認証画面データ
108 通信インタフェース
121 トンネリング処理部
122 トンネル判定部
141 プロセッサ(CPU)
145 記憶装置
148 通信インタフェース
142 認証処理部
143 HTTPサーバ部
144 RADIUSサーバ部
146 認証データベース
147 認証待ち端末登録テーブル
148 通信インタフェース
200 サーバ
300 L3スイッチ
400 認証スイッチ
401 認証機能部
402 認証処理部
403 認証登録部
404 認証済み端末登録テーブル
405 URLリダイレクト処理部
406 認証端末登録インタフェース部
407 パケット送受信部
408 転送制御部
409 パケット転送テーブル
410 認証前転送制御部
411 通信インタフェース
415 プロセッサ
416 記憶部
417 制御部
421 トンネリング処理部
422 トンネル判定部
500 HUB
600 端末

Claims (6)

  1. ユーザが使用する端末を認証する認証サーバと、前記端末と前記認証サーバとの間の認証シーケンスを仲介するスイッチとを有する認証システムがネットワーク認証機能を提供するための認証方法であって、
    前記スイッチは、前記端末からのアクセスの応答として送信されるリダイレクト通知に含めて、前記スイッチの識別情報を前記端末に送信し、
    前記端末は、前記スイッチの識別情報を含めて、前記認証サーバへのリクエストを送信し、
    前記認証サーバは、前記端末から送信された認証要求を認証し、
    前記認証サーバは、前記提供されたスイッチの識別情報に基づいて、前記認証の結果を前記スイッチに送信し、
    前記スイッチは、前記認証サーバから受信した認証結果に基づいて、前記端末からのアクセスを認証することを特徴とする認証方法。
  2. ユーザが使用する端末を認証する認証サーバと、前記端末と前記認証サーバとの間の認証シーケンスを仲介するスイッチとを有する認証システムがネットワーク認証機能を提供するための認証方法であって、
    前記スイッチは、前記認証シーケンスにおいて、前記スイッチを識別するための識別情報を前記認証サーバに提供し、
    前記認証サーバは、前記端末から送信された認証要求を認証し、
    前記認証サーバは、前記提供されたスイッチの識別情報に基づいて、前記認証の結果を前記スイッチに送信し、
    前記スイッチは、前記認証サーバから受信した認証結果に基づいて、前記端末からのアクセスを認証することを特徴とする認証方法。
    前記認証サーバは、前記スイッチへの前記認証結果の通知と別に、前記端末への前記認証結果の通知を送信することを特徴とする認証方法。
  3. 請求項1又は2に記載の認証方法であって、
    前記認証サーバは、RADIUS認証及びシボレス認証のいずれか一つの認証シーケンスを用いて、前記端末を認証することを特徴とする認証方法。
  4. ネットワーク認証機能を提供する転送装置であって、
    ネットワークに接続される通信インタフェースと、
    前記通信インタフェースに接続されるデータ転送制御部と、
    前記データ転送制御部に接続されるプロセッサと、を備え、
    前記転送装置は、ユーザが使用する端末と前記端末を認証する認証サーバとの間の認証シーケンスを、前記ネットワークを介して仲介し、
    前記プロセッサは、
    前記端末からのアクセスの応答として送信されるリダイレクト通知に含めて、前記転送装置の識別情報を、前記通信インタフェースを介して前記端末に送信し、
    前記転送装置の識別情報を含む前記認証サーバへのリクエストを、前記端末から前記通信インタフェースを介して受信し、
    前記提供された転送装置の識別情報に基づいて前記認証サーバが送信した、前記端末を認証した結果を、前記通信インタフェースを介して受信し、
    前記認証サーバから前記通信インタフェースを介して受信した認証結果に基づいて、前記端末からのアクセスを認証することを特徴とする転送装置。
  5. ユーザが使用する端末を認証する認証サーバであって、
    プログラムを実行するプロセッサと、前記プログラムを格納するメモリと、ネットワークと接続するインタフェースとを備え、
    前記端末と前記認証サーバとの間の認証シーケンスを仲介するスイッチと接続されており、
    前記認証シーケンスにおいて、前記スイッチを識別するための識別情報を受信し、
    前記端末から送信された認証要求を認証し、
    前記受信したスイッチの識別情報に基づいて、前記認証の結果を前記スイッチに送信し、
    前記スイッチに送信した認証結果は、前記スイッチが前記端末からのアクセスを認証するために用いられ、
    前記認証サーバが前記端末から受信するスイッチの識別情報は、前記スイッチが前記端末からのアクセスの応答として送信されるリダイレクト通知に含めて前記端末に送信されることを特徴とする認証サーバ。
  6. ユーザが使用する端末を認証する認証サーバであって、
    プログラムを実行するプロセッサと、前記プログラムを格納するメモリと、ネットワークと接続するインタフェースとを備え、
    前記端末と前記認証サーバとの間の認証シーケンスを仲介するスイッチと接続されており、
    前記認証シーケンスにおいて、前記スイッチを識別するための識別情報を受信し、
    前記端末から送信された認証要求を認証し、
    前記受信したスイッチの識別情報に基づいて、前記認証の結果を前記スイッチに送信し、
    前記スイッチに送信した認証結果は、前記スイッチが前記端末からのアクセスを認証するために用いられ、
    前記スイッチへの前記認証結果の通知と別に、前記端末への前記認証結果の通知を送信することを特徴とする認証サーバ。
JP2013030649A 2013-02-20 2013-02-20 認証方法、転送装置及び認証サーバ Expired - Fee Related JP5921460B2 (ja)

Priority Applications (3)

Application Number Priority Date Filing Date Title
JP2013030649A JP5921460B2 (ja) 2013-02-20 2013-02-20 認証方法、転送装置及び認証サーバ
EP13186224.5A EP2770689A1 (en) 2013-02-20 2013-09-26 Authentication method, transfer apparatus, and authentication server
US14/038,052 US9258305B2 (en) 2013-02-20 2013-09-26 Authentication method, transfer apparatus, and authentication server

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2013030649A JP5921460B2 (ja) 2013-02-20 2013-02-20 認証方法、転送装置及び認証サーバ

Publications (3)

Publication Number Publication Date
JP2014160942A JP2014160942A (ja) 2014-09-04
JP2014160942A5 JP2014160942A5 (ja) 2015-04-16
JP5921460B2 true JP5921460B2 (ja) 2016-05-24

Family

ID=49231374

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2013030649A Expired - Fee Related JP5921460B2 (ja) 2013-02-20 2013-02-20 認証方法、転送装置及び認証サーバ

Country Status (3)

Country Link
US (1) US9258305B2 (ja)
EP (1) EP2770689A1 (ja)
JP (1) JP5921460B2 (ja)

Families Citing this family (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101521808B1 (ko) * 2014-02-20 2015-05-20 한국전자통신연구원 클라우드 환경에서의 상황인지형 보안 통제 장치, 방법, 및 시스템
JP6201835B2 (ja) * 2014-03-14 2017-09-27 ソニー株式会社 情報処理装置、情報処理方法及びコンピュータプログラム
JP6226080B2 (ja) * 2014-09-25 2017-11-08 日本電気株式会社 通信制御装置、通信制御方法、通信制御プログラム、及び、情報システム
CN105635084B (zh) * 2014-11-17 2018-12-14 华为技术有限公司 终端认证装置及方法
JP6345092B2 (ja) * 2014-11-25 2018-06-20 エイチ・シー・ネットワークス株式会社 通信システム
JP6347732B2 (ja) * 2014-12-03 2018-06-27 エイチ・シー・ネットワークス株式会社 認証システム
US9930049B2 (en) * 2015-01-16 2018-03-27 Cisco Technology, Inc. Method and apparatus for verifying source addresses in a communication network
US10505913B2 (en) 2015-03-23 2019-12-10 Biglobe Inc. Communication management system, access point, communication management device, connection control method, communication management method, and program
JP6649002B2 (ja) * 2015-07-23 2020-02-19 株式会社ネットスプリング アクセス管理システム及びアクセス管理方法
US10091190B2 (en) 2015-12-11 2018-10-02 International Business Machines Corporation Server-assisted authentication
JP2017143497A (ja) * 2016-02-12 2017-08-17 富士通株式会社 パケット転送装置及びパケット転送方法
US10404702B1 (en) * 2016-03-30 2019-09-03 EMC IP Holding Company LLC System and method for tenant network identity-based authentication and authorization for administrative access in a protection storage system
CN107809496B (zh) * 2016-09-09 2020-05-12 新华三技术有限公司 网络访问控制方法和装置
US10999274B2 (en) 2018-01-31 2021-05-04 Hewlett Packard Enterprise Development Lp Determining a device property
US11063940B2 (en) * 2018-04-27 2021-07-13 Hewlett Packard Enterprise Development Lp Switch authentication
US10999198B2 (en) 2018-08-21 2021-05-04 Frontiir Pte Ltd. Cloud based router with policy enforcement

Family Cites Families (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004134855A (ja) * 2002-10-08 2004-04-30 Nippon Telegraph & Telephone East Corp パケット通信網における送信元認証方法
ITRM20030341A1 (it) * 2003-07-14 2005-01-15 Michele Giudilli Metodo per l'addebito dei costi di fruizione di contenuti
JP4311174B2 (ja) * 2003-11-21 2009-08-12 日本電気株式会社 認証方法、移動体無線通信システム、移動端末、認証側装置、認証サーバ、認証代理スイッチ及びプログラム
JP4920878B2 (ja) 2004-07-14 2012-04-18 日本電気株式会社 認証システム、ネットワーク集線装置及びそれらに用いる認証方法並びにそのプログラム
US20060059344A1 (en) * 2004-09-10 2006-03-16 Nokia Corporation Service authentication
JP4401913B2 (ja) * 2004-09-17 2010-01-20 株式会社日立コミュニケーションテクノロジー パケット転送装置およびアクセスネットワークシステム
JP4616732B2 (ja) * 2005-09-02 2011-01-19 株式会社日立製作所 パケット転送装置
WO2008004494A1 (en) * 2006-07-07 2008-01-10 Nec Corporation System and method for authentication in wireless networks by means of one-time passwords
JP2010062667A (ja) * 2008-09-01 2010-03-18 Hitachi Cable Ltd ネットワーク機器及びネットワークシステム
JP2010093585A (ja) * 2008-10-08 2010-04-22 Fujitsu Ltd ネットワーク接続制御プログラム及び方法、ネットワーク接続プログラム及び方法、認証装置
EP2335179A4 (en) * 2008-10-10 2016-11-16 Ericsson Telefon Ab L M GATEWAY DEVICE, AUTHENTICATION SERVER, CONTROL PROCEDURE THEREFOR AND COMPUTER PROGRAM
JP5153591B2 (ja) 2008-11-26 2013-02-27 株式会社日立製作所 認証仲介サーバ、プログラム、認証システム及び選択方法
JP5372711B2 (ja) * 2009-11-13 2013-12-18 アラクサラネットワークス株式会社 複数認証サーバを有効利用する装置、システム
KR101278351B1 (ko) * 2009-12-15 2013-07-05 한국전자통신연구원 Dpi 기능을 이용한 끊김 없는 맞춤형 서비스 제공 시스템 및 방법
GB201010546D0 (en) * 2010-06-23 2010-08-11 Applied Neural Technologies Ltd Method of indentity verification
JP5364671B2 (ja) * 2010-10-04 2013-12-11 アラクサラネットワークス株式会社 ネットワーク認証における端末接続状態管理
EP2638496B1 (en) * 2010-11-11 2019-10-09 Nec Corporation Method and system for providing service access to a user
FR2973626A1 (fr) * 2011-03-31 2012-10-05 France Telecom Mecanisme de redirection entrante sur un proxy inverse

Also Published As

Publication number Publication date
EP2770689A1 (en) 2014-08-27
US20140237544A1 (en) 2014-08-21
US9258305B2 (en) 2016-02-09
JP2014160942A (ja) 2014-09-04

Similar Documents

Publication Publication Date Title
JP5921460B2 (ja) 認証方法、転送装置及び認証サーバ
JP6884818B2 (ja) Vxlan実装方法、ネットワークデバイス、および通信システム
US9100242B2 (en) System and method for maintaining captive portal user authentication
CA2820378C (en) Secure tunneling platform system and method
US8484715B2 (en) Method and system for network access and network connection device
US8811397B2 (en) System and method for data communication between a user terminal and a gateway via a network node
JP2007068161A (ja) 分散型認証機能
CN106878133B (zh) 报文转发方法及装置
JP5864598B2 (ja) ユーザにサービスアクセスを提供する方法およびシステム
US20240146728A1 (en) Access control method, access control system, and related device
US20240056483A1 (en) Server-initiated secure sessions
WO2021249512A1 (zh) 安全通信方法、相关装置及系统
CN115603932A (zh) 一种访问控制方法、访问控制系统及相关设备
JP2010062667A (ja) ネットワーク機器及びネットワークシステム
CN110943962B (zh) 一种认证方法、网络设备和认证服务器以及转发设备
CN107046568B (zh) 一种认证方法和装置
EP3552367B1 (en) Method and intermediate network node for managing tcp segment
JP5982706B2 (ja) セキュアトンネリング・プラットフォームシステムならびに方法
JP2012165351A (ja) セキュアトンネリングプラットフォームシステム及び方法
JP5622088B2 (ja) 認証システム、認証方法
EP4513926A1 (en) Systems and methods for end user authentication
US20250071557A1 (en) Systems and methods for end user authentication
CN104580186B (zh) 基于hip的通信系统及通信方法
JP2008017343A (ja) 通信システムおよび通信方法
WO2025008845A1 (en) System and method for network function (nf) whitelisting in communication network

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20150303

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20150303

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20160115

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20160126

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20160308

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20160329

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20160412

R150 Certificate of patent or registration of utility model

Ref document number: 5921460

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees