JP2006331128A - Authentication server, authentication method, and authentication program - Google Patents

Authentication server, authentication method, and authentication program Download PDF

Info

Publication number
JP2006331128A
JP2006331128A JP2005154668A JP2005154668A JP2006331128A JP 2006331128 A JP2006331128 A JP 2006331128A JP 2005154668 A JP2005154668 A JP 2005154668A JP 2005154668 A JP2005154668 A JP 2005154668A JP 2006331128 A JP2006331128 A JP 2006331128A
Authority
JP
Japan
Prior art keywords
authentication
computer terminal
policy
nas
network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2005154668A
Other languages
Japanese (ja)
Inventor
Yoshihide Morioka
義英 森岡
Koji Amamiya
浩二 雨宮
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Allied Telesis Holdings KK
Original Assignee
Allied Telesis Holdings KK
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Allied Telesis Holdings KK filed Critical Allied Telesis Holdings KK
Priority to JP2005154668A priority Critical patent/JP2006331128A/en
Publication of JP2006331128A publication Critical patent/JP2006331128A/en
Pending legal-status Critical Current

Links

Images

Landscapes

  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

【課題】 新たに定義された認証ポリシーを使用してIEEE802.1X認証を行う。
【解決手段】 コンピュータ端末(50)がNAS(30)を介してネットワークへ接続する際のネットワークへの接続可否を認証する認証サーバ(10)であって、ネットワークへの接続可否をIEEE802.1X認証する認証処理部(12)と、IEEE802.1X認証が肯定された場合に、予め定義された認証ポリシーに基づいて接続可否を認証するポリシー認証処理部(13)と、を備える。
【選択図】 図2
PROBLEM TO BE SOLVED: To perform IEEE 802.1X authentication using a newly defined authentication policy.
An authentication server (10) for authenticating whether or not a computer terminal (50) can connect to a network via a NAS (30), and whether or not to connect to the network can be authenticated. An authentication processing unit (12) that performs authentication, and when IEEE 802.1X authentication is affirmed, a policy authentication processing unit (13) that authenticates connection permission based on a predefined authentication policy.
[Selection] Figure 2

Description

本発明はネットワーク接続認証技術に関し、特に、IEEE802.1X認証に好適な認証技術に関する。 The present invention relates to a network connection authentication technique, and more particularly to an authentication technique suitable for IEEE802.1X authentication.

ユーザのコンピュータ端末からネットワークに接続しようとする場合、コンピュータ端末は、NAS(Network Access Server)対してアクセス要求を行う。NASは認証サーバに対して認証要求を行い、ユーザがネットワークへのアクセス権を有しているか否かの確認を求める。ユーザのネットワークへのアクセス権が肯定されると、NASは、ユーザのコンピュータ端末をネットワークに接続する。認証サーバによる認証プロトコルとして、例えば、RADIUS(Remote Authentication Dial-In User Service)プロトコルやIEEE802.1X等が知られている。RADIUSプロトコルは、ユーザの認証、許可、アカウンティングを行う業界標準プロトコルである。IEEE802.1Xは、LANのアクセス権の可否を認証するイーサネット(登録商標)上のプロトコルである。ユーザ認証に言及した特許文献として、例えば、特開2001−36561号公報、特表2003−513514号公報、特開2004−32525号公報、特開2005−86656号公報等が知られている。
特開2001−36561号広報 特表2003−513514号公報 特開2004−32525号公報 特開2005−86656号公報 When attempting to connect to a network from a user's computer terminal, the computer terminal makes an access request to a NAS (Network Access Server). The NAS makes an authentication request to the authentication server and asks for confirmation as to whether or not the user has an access right to the network. When the user's right to access the network is affirmed, the NAS connects the user's computer terminal to the network. As an authentication protocol by the authentication server, for example, a RADIUS (Remote Authentication Dial-In User Service) protocol, IEEE 802.1X, or the like is known. The RADIUS protocol is an industry standard protocol that performs user authentication, authorization, and accounting. IEEE 802.1X is a protocol on Ethernet (registered trademark) that authenticates whether or not a LAN access right is granted. As patent documents referring to user authentication, for example, JP 2001-36561 A, JP 2003-513514 A, JP 2004-32525 A, JP 2005-86656 A, and the like are known.
JP 2001-36561 PR Special table 2003-513514 gazette JP 2004-32525 A JP 2005-86656 A

しかし、IEEE802.1Xにおける認証では、UID(ユーザID)、パスワードのみによる認証を行っているので、何等かの手段でUIDとパスワードが盗まれると、どのコンピュータ端末からでもネットワークに接続できてしまうという不都合が生じる。また、この種の認証サーバには、ウィルスチェック機能が搭載されていないものが多く、ウィルス対策を強化するには、ウィルス検証用の高価なサーバが必要である。   However, in the authentication in IEEE802.1X, authentication is performed using only a UID (user ID) and a password. If the UID and password are stolen by any means, any computer terminal can connect to the network. Inconvenience arises. In addition, many authentication servers of this type are not equipped with a virus check function, and an expensive server for virus verification is required to strengthen anti-virus measures.

本発明は、このような問題点に鑑みてなされたものであり、その目的とするところは、IEEE802.1Xの新たな認証技術を提案することにある。   The present invention has been made in view of such problems, and an object thereof is to propose a new authentication technique for IEEE 802.1X.

上記の課題を解決するため、本発明の認証サーバは、コンピュータ端末がNASを介してネットワークへ接続する際のネットワークへの接続可否を認証する認証サーバであって、ネットワークへの接続可否をIEEE802.1X認証する認証処理部と、IEEE802.1X認証が肯定された場合に、予め定義された認証ポリシーに基づいて接続可否を認証するポリシー認証処理部と、を備える。認証ポリシーに基づいてネットワーク接続認証を行うことで、より強固かつ柔軟な認証技術を提供できる。   In order to solve the above problems, an authentication server according to the present invention is an authentication server that authenticates whether or not a computer terminal can connect to a network when connected to the network via NAS, and determines whether or not to connect to the network. An authentication processing unit that performs 1X authentication, and a policy authentication processing unit that authenticates connection permission based on a predefined authentication policy when IEEE 802.1X authentication is affirmed. By performing network connection authentication based on the authentication policy, a stronger and more flexible authentication technology can be provided.

ポリシー認証処理部は、コンピュータ端末のUID、パスワード、CSID、NASのIPアドレス、ポート番号の組み合わせに基づいて、接続可否を認証するのが好ましい。コンピュータ端末のCSIDをポリシー情報に加えることで、仮にUID及びパスワードが漏れても、認証ポリシーに登録されたCSIDを有するコンピュータでなければ、接続が許可されない。また、NASのIPアドレスとそのポート番号をポリシー情報に加えることで、コンピュータ端末は、特定のNASの特定のポートに接続要求を行ったときにのみ接続許可するという運用が可能になる。CSIDは、コンピュータ端末に装備されているネットワーク接続装置に対してユニークに割り当てられた番号等の識別情報である。CSIDとして、コンピュータ端末のMAC(Media Access Control)アドレスや電話番号(例えば、IP電話の電話番号)等がある。   The policy authentication processing unit preferably authenticates whether or not the connection is possible based on a combination of the UID, password, CSID, NAS IP address, and port number of the computer terminal. By adding the CSID of the computer terminal to the policy information, even if the UID and password are leaked, connection is not permitted unless the computer has the CSID registered in the authentication policy. Also, by adding the NAS IP address and its port number to the policy information, the computer terminal can be operated to permit connection only when a connection request is made to a specific port of a specific NAS. The CSID is identification information such as a number uniquely assigned to the network connection device equipped in the computer terminal. The CSID includes a MAC (Media Access Control) address of a computer terminal, a telephone number (for example, a telephone number of an IP phone), and the like.

本発明の認証サーバにおいて、コンピュータ端末上でウィルスチェッカが動作しているか否かをチェックするウィルスチェッカ動作検証部を更に備えてもよい。これにより、間接的にウィルスチェックが可能になる。ウィルスチェッカの動作チェック時には、コンピュータ端末を検疫VLANに所属させた状態で、ウィルスチェッカが動作しているか否かをチェックするのが好ましい。また、コンピュータ端末上でウィルスチェッカが動作していると判定した場合に、NASに対して再認証要求の指示を送信するのが好ましい。これは、コンピュータ端末と検疫ネットワークとの接続を切り離してから、コンピュータ端末とネットワークとを接続するには、再度、接続可否の認証が必要になるためである。   The authentication server of the present invention may further include a virus checker operation verification unit that checks whether or not a virus checker is operating on the computer terminal. This makes it possible to check for viruses indirectly. When checking the operation of the virus checker, it is preferable to check whether the virus checker is operating with the computer terminal belonging to the quarantine VLAN. In addition, when it is determined that the virus checker is operating on the computer terminal, it is preferable to transmit a re-authentication request instruction to the NAS. This is because, in order to connect the computer terminal and the network after disconnecting the connection between the computer terminal and the quarantine network, it is necessary to authenticate the connection again.

本発明の認証方法は、コンピュータ端末がNASを介してネットワークへ接続する際のネットワークへの接続可否を認証する方法であって、ネットワークへの接続可否をIEEE802.1X認証するステップと、IEEE802.1X認証が肯定された場合に、予め定義された認証ポリシーに基づいて接続可否を認証するポリシー認証ステップと、を備える。認証ポリシーに基づいてネットワーク接続認証を行うことで、より強固かつ柔軟な認証技術を提供できる   An authentication method according to the present invention is a method for authenticating whether or not a computer terminal can connect to a network when connecting to the network via a NAS, wherein the IEEE802.1X authenticates whether or not to connect to the network, and IEEE802.1X A policy authentication step of authenticating whether or not the connection is possible based on a predetermined authentication policy when the authentication is affirmed. By performing network connection authentication based on the authentication policy, a stronger and more flexible authentication technology can be provided.

ポリシー認証ステップにおいては、コンピュータ端末のUID、パスワード、CSID、NASのIPアドレス、ポート番号の組み合わせに基づいて、接続可否を認証するのが好ましい。   In the policy authentication step, it is preferable to authenticate the connection based on the combination of the UID, password, CSID, NAS IP address, and port number of the computer terminal.

本発明の認証方法は、コンピュータ端末上でウィルスチェッカが動作しているか否かをチェックするウィルスチェッカ動作検証ステップを更に備えてもよい。ウィルスチェッカ動作検証ステップにおいては、コンピュータ端末を検疫VLANに所属させた状態で、ウィルスチェッカが動作しているか否かをチェックするのが好ましい。また、コンピュータ端末上でウィルスチェッカが動作していると判定した場合に、NASに対して再認証要求の指示を送信するのが好ましい   The authentication method of the present invention may further include a virus checker operation verification step of checking whether or not a virus checker is operating on the computer terminal. In the virus checker operation verification step, it is preferable to check whether or not the virus checker is operating with the computer terminal belonging to the quarantine VLAN. In addition, when it is determined that the virus checker is operating on the computer terminal, it is preferable to transmit a re-authentication request instruction to the NAS.

本発明の認証プログラムは、本発明の認証方法を認証サーバに実行させるためのコンピュータプログラムである。この認証プログラムは、記録媒体に記録させて提供することができる。記録媒体として、例えば、光記録媒体(CD−RAM、CD−ROM、DVD−RAM、DVD−ROM、DVD−R、PDディスク、MDディスク、MOディスク等の光学的にデータの読み取りが可能な記録媒体)や、磁気記録媒体(フレキシブルディスク、磁気カード、磁気テープ等の磁気的にデータの読み取りが可能な記録媒体)、或いはメモリ素子(DRAM等の半導体メモリ素子、FRAM等の強誘電体メモリ素子等)などが好適である   The authentication program of the present invention is a computer program for causing an authentication server to execute the authentication method of the present invention. This authentication program can be provided by being recorded on a recording medium. As a recording medium, for example, an optical recording medium (a CD-RAM, a CD-ROM, a DVD-RAM, a DVD-ROM, a DVD-R, a PD disk, an MD disk, an MO disk or the like capable of optically reading data) Medium), a magnetic recording medium (a recording medium capable of magnetically reading data such as a flexible disk, a magnetic card, and a magnetic tape), or a memory element (a semiconductor memory element such as a DRAM, a ferroelectric memory element such as an FRAM) Etc.) are suitable.

本発明によれば、認証ポリシーに基づいてネットワーク接続認証を行うことで、より強固かつ柔軟な認証技術を提供できる。   According to the present invention, a stronger and more flexible authentication technique can be provided by performing network connection authentication based on an authentication policy.

以下、各図を参照しながら本発明の実施形態について説明する。
図1はRADIUSサーバ10と、NAS(RADIUSクライアント)30とを含むクライアント・サーバモデルのユーザ認証システムを示している。RADIUSサーバ10は、IEEE802.1XのRADIUS認証を行う認証サーバである。同サーバ10は、NAS30からのIEEE802.1X認証要求に対して、認証を行うとともに、コンピュータ端末50上でウィルスチェッカ51が動作しているか否かを判断する。NAS30は、例えば、ネットワーク接続要求を受け付けるネットワークコンポーネント(スイッチ、ルータ、ワイヤレスアクセスポイント等)である。 Embodiments of the present invention will be described below with reference to the drawings.
FIG. 1 shows a user authentication system of a client / server model including a RADIUS server 10 and a NAS (RADIUS client) 30. The RADIUS server 10 is an authentication server that performs IEEE 802.1X RADIUS authentication. The server 10 performs authentication in response to the IEEE 802.1X authentication request from the NAS 30 and determines whether or not the virus checker 51 is operating on the computer terminal 50. The NAS 30 is a network component (switch, router, wireless access point, etc.) that accepts a network connection request, for example.

ネットワーク40としては、例えば、企業内の基幹ネットワークでもよく、或いは構内LANのように部外者によるアクセスが想定されるネットワーク等でもよい。   The network 40 may be, for example, a corporate internal network, or a network that is assumed to be accessed by outsiders, such as a local area LAN.

NAS30は、ユーザのコンピュータ端末50からネットワーク40への接続要求を受信すると、RADIUSサーバ10に対して、認証要求を行う。RADIUSサーバ10は、コンピュータ端末50がネットワーク40にアクセスする権限を有していると判定すると、コンピュータ端末50を、Dynamic VLANにより、一旦、検疫VLAN(Virtual Local Area Network)に所属させて、コンピュータ端末50上でウィルスチェッカ51が動作しているか否かをチェックする。コンピュータ端末50上でウィルスチェッカ51が動作していることがRADIUSサーバ10によって確認されると、NAS30は、コンピュータ端末50をネットワーク40に接続する。このように、IEEE802.1X認証とウィルスチェッカ51の動作チェックを両方行うには、DHCPサーバを検疫VLAN60とネットワーク40の両方に準備することにより、ウィルスチェッカ51の動作チェック時には、コンピュータ端末50は、RADIUSサーバ10にのみ接続できる閉鎖的な検疫VLANに所属させ、ウィルスチェッカ51の動作チェックが完了するまではネットワーク40に接続させないことができる。   When the NAS 30 receives a connection request from the user's computer terminal 50 to the network 40, the NAS 30 issues an authentication request to the RADIUS server 10. When the RADIUS server 10 determines that the computer terminal 50 has the authority to access the network 40, the computer terminal 50 is temporarily assigned to a quarantine VLAN (Virtual Local Area Network) by the dynamic VLAN, and the computer terminal 50 50, it is checked whether or not the virus checker 51 is operating. When the RADIUS server 10 confirms that the virus checker 51 is operating on the computer terminal 50, the NAS 30 connects the computer terminal 50 to the network 40. As described above, in order to perform both the IEEE 802.1X authentication and the operation check of the virus checker 51, by preparing the DHCP server in both the quarantine VLAN 60 and the network 40, when the operation of the virus checker 51 is checked, the computer terminal 50 It can belong to a closed quarantine VLAN that can be connected only to the RADIUS server 10 and cannot be connected to the network 40 until the operation check of the virus checker 51 is completed.

尚、ウィルスチェッカ51の動作チェック時に必ずしもコンピュータ端末50を検疫VLAN60に所属させる必要はなく、コンピュータ端末50を一時的にネットワーク40に所属させて、ウィルスチェッカ51の動作チェックを行ってもよい。   Note that the computer terminal 50 does not necessarily belong to the quarantine VLAN 60 when the operation of the virus checker 51 is checked, and the operation check of the virus checker 51 may be performed by temporarily attaching the computer terminal 50 to the network 40.

syslogサーバ20は、RADIUSサーバ10から送信されてくるsyslogを管理する。同サーバ20は、syslog情報を解析し、レポート23を作成するsyslog管理ソフトウェア21と、syslog情報を蓄積するsyslogデータベース22を備えている。syslogは、基本的な情報(イベントの発生時間、重要度、イベントが発生した機器に関する情報)以外は機種や機能毎に不定形な情報であるが、syslog管理ソフトウェア21は、このような不定形な情報を整理し、数値化することにより、ネットワーク管理に適した情報に変換する。syslogデータベース22は、syslogを蓄積することにより、リアルタイムなネットワーク監視だけでなく、中長期にわたる情報収集、記録、検索、レポート作成に適した環境を提供する。   The syslog server 20 manages the syslog transmitted from the RADIUS server 10. The server 20 includes a syslog management software 21 that analyzes the syslog information and creates a report 23, and a syslog database 22 that accumulates the syslog information. Syslog is information that is indefinite for each model and function except basic information (event occurrence time, importance level, information about the device in which the event occurred), but the syslog management software 21 has such indefinite form. Information is organized and digitized to convert it into information suitable for network management. The syslog database 22 accumulates the syslog to provide an environment suitable not only for real-time network monitoring but also for medium- to long-term information collection, recording, retrieval, and report creation.

図2はRADIUSサーバ10の機能構成を示している。同サーバ10は、認証要求処理部11、認証処理部12、ポリシー認証処理部13、ポリシー情報管理部14、ウィルスチェッカ動作検証部15、ウィルスチェッカ定義部16、認証ステータス表示部17、及び認証情報履歴管理部18を備えている。認証要求処理部11は、NAS30からの認証要求を受け付けるインターフェース機能を提供する。認証処理部12は、RADIUSプロトコルに基づくユーザ認証機能を提供する。ポリシー認証処理部13は、予め設定された認証ポリシーに基づいて、認証処理を行う機能を提供する。認証ポリシーの詳細については、後述する。ポリシー情報管理部14は、ユーザによって設定された認証ポリシー情報を保存する。ウィルスチェッカ動作検証部15は、ウィルスチェッカ51の動作チェック機能を提供する。ウィルスチェッカ定義部16は、チェック対象となるウィルスチェッカ51の情報を登録する。認証ステータス表示部17は、認証結果を表示する機能を提供する。認証情報履歴管理部18は、syslog等の履歴情報を管理する機能を提供する。これらの各機能は、RADIUSサーバ10上で動作する認証プログラムとハードウェア(CPU、メモリ等)とが協働することによって実現される。   FIG. 2 shows a functional configuration of the RADIUS server 10. The server 10 includes an authentication request processing unit 11, an authentication processing unit 12, a policy authentication processing unit 13, a policy information management unit 14, a virus checker operation verification unit 15, a virus checker definition unit 16, an authentication status display unit 17, and authentication information. A history management unit 18 is provided. The authentication request processing unit 11 provides an interface function that receives an authentication request from the NAS 30. The authentication processing unit 12 provides a user authentication function based on the RADIUS protocol. The policy authentication processing unit 13 provides a function for performing authentication processing based on a preset authentication policy. Details of the authentication policy will be described later. The policy information management unit 14 stores authentication policy information set by the user. The virus checker operation verification unit 15 provides an operation check function of the virus checker 51. The virus checker definition unit 16 registers information on the virus checker 51 to be checked. The authentication status display unit 17 provides a function of displaying the authentication result. The authentication information history management unit 18 provides a function of managing history information such as syslog. Each of these functions is realized by the cooperation of an authentication program operating on the RADIUS server 10 and hardware (CPU, memory, etc.).

次に、認証ポリシーの設定について説明を加える。本実施形態では、UID及びパスワードに加えて、更に、NAS30のIPアドレスとそのポート番号、コンピュータ端末50のCSID(Calling-Station-ID)を用いて認証ポリシーを定義する。ここで、NAS30のポート番号とは、物理的なポート番号ではなく、認証要求時にNAS30からRADIUSサーバ10に対して、UIDとパスワードと共に送られてくるNAS Port IDに設定されている値である。CSIDは、コンピュータ端末50のMACアドレスを示すものとして、NAS30からRADIUSサーバ10に通知される。   Next, the setting of the authentication policy will be described. In this embodiment, in addition to the UID and password, an authentication policy is further defined using the IP address and port number of the NAS 30 and the CSID (Calling-Station-ID) of the computer terminal 50. Here, the port number of the NAS 30 is not a physical port number but a value set in the NAS Port ID sent from the NAS 30 to the RADIUS server 10 together with the UID and password when an authentication request is made. The CSID is notified from the NAS 30 to the RADIUS server 10 as indicating the MAC address of the computer terminal 50.

認証ポリシーの例として、例えば、UIDとコンピュータ端末50のCSIDとを組み合わせることによって、あるユーザがUIDとパスワードを使用しての認証は、特定のMACアドレスを有するコンピュータ端末50から接続要求があったときに限り、接続許可されるという設定が可能になる。図3は認証ポリシーとして登録されるUIDとCSIDとの対応関係を示している。この認証ポリシーで登録されたUIDとCSIDとの組み合わせ以外のUIDとCSIDとの組み合わせについては、接続許可されない。   As an example of the authentication policy, for example, when a user uses a UID and a password by combining the UID and the CSID of the computer terminal 50, a connection request is made from the computer terminal 50 having a specific MAC address. Only in some cases can the connection be allowed. FIG. 3 shows the correspondence between the UID registered as the authentication policy and the CSID. Connections are not permitted for combinations of UIDs and CSIDs other than the combinations of UIDs and CSIDs registered in this authentication policy.

認証ポリシーの他の例として、例えば、UIDとNAS30のIPアドレスとそのポート番号とを組み合わせることによって、あるユーザがUIDとパスワードを使用しての認証は、特定のNAS30の特定のポートに接続要求があったときに限り、接続許可されるという設定が可能になる。図4は認証ポリシーとして登録されるUIDとNAS30のIPアドレスとそのポート番号との対応関係を示している。この認証ポリシーで登録されたUIDとNAS30のIPアドレスとそのポート番号との組み合わせ以外のUIDとNAS30のIPアドレスとそのポート番号の組み合わせについては、接続許可されない。   As another example of the authentication policy, for example, a combination of a UID, an IP address of the NAS 30 and its port number allows a user to authenticate using a UID and a password by requesting connection to a specific port of a specific NAS 30 Only when there is a connection, it is possible to set to allow connection. FIG. 4 shows the correspondence between the UID registered as an authentication policy, the IP address of the NAS 30, and its port number. Connections are not permitted for combinations of UIDs, NAS 30 IP addresses, and port numbers other than combinations of UIDs, NAS 30 IP addresses, and port numbers registered in this authentication policy.

認証ポリシーの他の例として、例えば、CSIDとNAS30のIPアドレスとそのポート番号を組み合わせることによって、あるユーザがUIDとパスワードを使用しての認証は、特定のMACアドレスを有するコンピュータ端末50から特定のNAS30の特定のポートに接続要求があったときに限り、接続許可されるという設定が可能になる。図5は認証ポリシーとして登録されるCSIDとNAS30のIPアドレスとそのポート番号との対応関係を示している。この認証ポリシーで登録されたCSIDとNAS30のIPアドレスとそのポート番号との組み合わせ以外のCSIDとNAS30のIPアドレスとそのポート番号の組み合わせについては、接続許可されない。   As another example of the authentication policy, for example, by using a combination of the CSID, the IP address of the NAS 30 and its port number, authentication by a user using a UID and password is specified from the computer terminal 50 having a specific MAC address. Only when there is a connection request to a specific port of the NAS 30, it is possible to set the connection to be permitted. FIG. 5 shows the correspondence between the CSID registered as the authentication policy, the IP address of the NAS 30, and its port number. Connections are not permitted for combinations of CSID, NAS 30 IP address and port number other than the combination of CSID and NAS 30 IP address and port number registered by this authentication policy.

このように、UID及びパスワードだけでなく、ユーザのハードウェア(MACアドレス)をも認証ポリシーに定義することで、予め認証ポリシーに登録したMACアドレスを有するコンピュータ端末でなければログインできないといった管理が可能になる。また、仮にUID及びパスワードが漏れても、予め認証ポリシーに登録したMACアドレスと異なるMACアドレスを有するコンピュータ端末からはログインできないというメリットもある。更に、NAS30のIPアドレスやそのポート番号をも認証ポリシーに定義することで、より柔軟なポリシー設定が可能になる。   In this way, by defining not only the UID and password but also the user's hardware (MAC address) in the authentication policy, management is possible such that only a computer terminal having a MAC address registered in the authentication policy in advance can log in. become. In addition, even if the UID and password are leaked, there is an advantage that it is not possible to log in from a computer terminal having a MAC address different from the MAC address registered in advance in the authentication policy. Furthermore, by defining the NAS 30 IP address and its port number in the authentication policy, more flexible policy setting becomes possible.

次に、RADIUSサーバ10の認証シーケンスについて説明する。
図6は検疫VLAN60を使用する認証シーケンスを示している。コンピュータ端末50からNAS30に接続したユーザは、UID及びパスワードをNAS30に送信する。UID及びパスワードを受信したNAS30は、認証要求処理部11に対してRADIUS認証要求を行う(S101)。このRADIUS認証要求には、ユーザのUID、パスワード、NAS30のIPアドレス、コンピュータ端末50が接続したNAS30のポート番号、コンピュータ端末50のCSIDが含まれる。認証要求処理部11は、NAS30からのRADIUS認証要求を受信すると、NAS30のIPアドレスの正当性を検査し、自らが管理すべきNAS30からの要求であることを確認した後に、暗号化されているパスワードを復号する。 Next, an authentication sequence of the RADIUS server 10 will be described.
FIG. 6 shows an authentication sequence using the quarantine VLAN 60. A user connected to the NAS 30 from the computer terminal 50 transmits the UID and password to the NAS 30. Receiving the UID and password, the NAS 30 makes a RADIUS authentication request to the authentication request processing unit 11 (S101). This RADIUS authentication request includes the user's UID, password, NAS 30 IP address, port number of the NAS 30 to which the computer terminal 50 is connected, and the CSID of the computer terminal 50. When the authentication request processing unit 11 receives the RADIUS authentication request from the NAS 30, the authentication request processing unit 11 checks the validity of the IP address of the NAS 30 and confirms that the request is from the NAS 30 to be managed by itself. Decrypt password.

次に、認証処理部12は、ユーザ定義に関するRADIUSサーバ10のデータベース19からUIDを検索し、IEEE802.1XのRADIUS認証を行う(S102)。ここで、認証要求の内容とユーザ定義の内容とが一致する場合には、ポリシー認証処理部13によるポリシー認証が行われる(S103)。ポリシー認証処理部13によるポリシー認証は、UID及びパスワードに加えて、更に、NAS30のIPアドレスとそのポート番号、コンピュータ端末50のCSIDの組み合わせを用いて行われる。   Next, the authentication processing unit 12 searches the UID from the database 19 of the RADIUS server 10 related to the user definition, and performs IEEE 802.1X RADIUS authentication (S102). Here, when the content of the authentication request matches the content of the user definition, the policy authentication processing unit 13 performs policy authentication (S103). Policy authentication by the policy authentication processing unit 13 is performed using a combination of the IP address of the NAS 30 and its port number and the CSID of the computer terminal 50 in addition to the UID and password.

ここで、認証要求の内容と認証ポリシーの設定内容とが一致すると、NAS30へ認証結果が通知される(S104)。この認証結果の通知には、ウィルスチェッカ51の動作チェック時にコンピュータ端末50が所属すべき検疫VLAN60のVLAN名が含まれる。一方、認証要求の内容とユーザ定義の内容とが一致しない場合には、S104において、拒否応答がNAS30に返送される。   Here, if the content of the authentication request matches the setting content of the authentication policy, the authentication result is notified to the NAS 30 (S104). This notification of the authentication result includes the VLAN name of the quarantine VLAN 60 to which the computer terminal 50 should belong when the operation of the virus checker 51 is checked. On the other hand, if the contents of the authentication request do not match the user-defined contents, a rejection response is returned to the NAS 30 in S104.

すると、認証処理部12は、ユーザのコンピュータ端末50上に実装されているウィルスチェッカ51の動作状態に関する情報を受信する待機状態に遷移する(S105)。コンピュータ端末50が検疫VLAN60に接続し、同端末50からウィルスチェッカ動作検証部15にウィルスチェッカ51からの情報が送信されると、同検証部15は、予め指定されたウィルスチェッカ51が動作しているか否かをチェックし、その結果を認証要求処理部11に通知する(S106)。   Then, the authentication processing unit 12 transitions to a standby state for receiving information related to the operation state of the virus checker 51 mounted on the user's computer terminal 50 (S105). When the computer terminal 50 is connected to the quarantine VLAN 60 and the information from the virus checker 51 is transmitted from the terminal 50 to the virus checker operation verification unit 15, the verification unit 15 operates the virus checker 51 designated in advance. And the result is notified to the authentication request processing unit 11 (S106).

予め指定されたウィルスチェッカ51が動作していることが確認されると、認証要求処理部11から認証処理部12に対して、ウィルスチェッカ51が正常に動作している旨の情報が通知される(S107)。   When it is confirmed that the virus checker 51 designated in advance is operating, the authentication request processing unit 11 notifies the authentication processing unit 12 of information indicating that the virus checker 51 is operating normally. (S107).

すると、認証処理部12からNAS30に対して、再認証要求を行うよう指示が与えられる(S108)。これは、検疫VLAN60に所属しているコンピュータ端末50を検疫VLAN60から切り離し、ネットワーク40に接続させるには、再度、RADIUS認証を行う必要があるためである。その後、認証処理部12は、RADIUS認証要求を待つ(S109)。   Then, the authentication processing unit 12 instructs the NAS 30 to make a re-authentication request (S108). This is because it is necessary to perform RADIUS authentication again in order to disconnect the computer terminal 50 belonging to the quarantine VLAN 60 from the quarantine VLAN 60 and connect it to the network 40. Thereafter, the authentication processing unit 12 waits for a RADIUS authentication request (S109).

再び、NAS30から認証要求処理部11に対してRADIUS認証要求が行われると(S110)、認証処理部12によるRADIUS認証処理が再度行われる(S111)。ここで、RADIUS認証が肯定されると、ポリシー認証処理部13によるポリシー認証が再度行われる(S112)。ここで、ポリシー認証が肯定されると、NAS30へ認証結果が通知される(S113)。この認証結果の通知には、コンピュータ端末50が所属すべきネットワーク40のVLAN名が含まれる。   When the RADIUS authentication request is made again from the NAS 30 to the authentication request processing unit 11 (S110), the RADIUS authentication processing by the authentication processing unit 12 is performed again (S111). Here, when the RADIUS authentication is affirmed, the policy authentication processing unit 13 performs the policy authentication again (S112). Here, when the policy authentication is affirmed, the authentication result is notified to the NAS 30 (S113). This notification of the authentication result includes the VLAN name of the network 40 to which the computer terminal 50 should belong.

更に、認証処理部12から認証ステータス表示部17に認証結果が通知され、同表示部17に認証ステータスが表示される(S114)。続いて、認証処理部12から認証情報履歴管理部18にsyslogが送られ(S115)、RADIUS認証処理の完了が認証要求処理部11に通知される(S116)。   Further, the authentication result is notified from the authentication processing unit 12 to the authentication status display unit 17, and the authentication status is displayed on the display unit 17 (S114). Subsequently, a syslog is sent from the authentication processing unit 12 to the authentication information history management unit 18 (S115), and the completion of the RADIUS authentication processing is notified to the authentication request processing unit 11 (S116).

図7は検疫VLAN60を使用しない認証シーケンスを示している。S201〜S207は、上述したS101〜S107に対応する。S208〜S210は、上述したS114〜S116に対応する。ウィルスチェッカ51が動作していないと判定されると、コンピュータ端末50とネットワーク40とのの接続が解除される。コンピュータ端末50にアサインされるIPアドレスは、DHCPサーバによって動的にアサインされるものでもよく、或いは固定のIPアドレスでもよい。本シーケンスによれば、ウィルスチェッカ51の動作チェック時にコンピュータ端末50を検疫VLAN60に所属させないので、認証シーケンスを簡略化できる。   FIG. 7 shows an authentication sequence that does not use the quarantine VLAN 60. S201 to S207 correspond to S101 to S107 described above. S208 to S210 correspond to S114 to S116 described above. If it is determined that the virus checker 51 is not operating, the connection between the computer terminal 50 and the network 40 is released. The IP address assigned to the computer terminal 50 may be dynamically assigned by a DHCP server, or may be a fixed IP address. According to this sequence, since the computer terminal 50 does not belong to the quarantine VLAN 60 when the operation of the virus checker 51 is checked, the authentication sequence can be simplified.

尚、認証ポリシーとしては、上述の例に限られるものではなく、例えば、ネットワーク接続要求時の時間帯などでアクセス制限を実施してもよい。   Note that the authentication policy is not limited to the above example, and access restriction may be performed in a time zone at the time of a network connection request, for example.

本実施形態のユーザ認証システムのシステム構成図である。It is a system configuration figure of a user authentication system of this embodiment. 本実施形態のRADIUSサーバ10の機能構成図である。It is a functional block diagram of the RADIUS server 10 of this embodiment. 認証ポリシー情報の設定登録画面の表示例である。It is a display example of a setting registration screen for authentication policy information. 認証ポリシー情報の設定登録画面の表示例である。It is a display example of a setting registration screen for authentication policy information. 認証ポリシー情報の設定登録画面の表示例である。It is a display example of a setting registration screen for authentication policy information. 検疫ネットワークを使用した認証シーケンスである。This is an authentication sequence using a quarantine network. 検疫ネットワークを使用しない認証シーケンスである。This authentication sequence does not use the quarantine network.

符号の説明Explanation of symbols

10…RADIUSサーバ 12…認証処理部 13…ポリシー認証処理部 15…ウィルスチェッカ動作検証部 20…syslogサーバ 30…NAS 40…ネットワーク 50…コンピュータ端末 51…ウィルスチェッカ 60…検疫VLAN DESCRIPTION OF SYMBOLS 10 ... RADIUS server 12 ... Authentication process part 13 ... Policy authentication process part 15 ... Virus checker operation verification part 20 ... Syslog server 30 ... NAS 40 ... Network 50 ... Computer terminal 51 ... Virus checker 60 ... Quarantine VLAN

Claims (11)

コンピュータ端末がNASを介してネットワークへ接続する際の前記ネットワークへの接続可否を認証する認証サーバであって、
前記ネットワークへの接続可否をIEEE802.1X認証する認証処理部と、
前記IEEE802.1X認証が肯定された場合に、予め定義された認証ポリシーに基づいて前記接続可否を認証するポリシー認証処理部と、
を備える、認証サーバ。 An authentication server for authenticating whether or not the computer terminal can connect to the network when connecting to the network via NAS,
An authentication processing unit for performing IEEE 802.1X authentication on whether or not to connect to the network;
A policy authentication processing unit that authenticates the connection possibility based on a predetermined authentication policy when the IEEE 802.1X authentication is affirmed;
An authentication server. 請求項1に記載の認証サーバであって、
前記ポリシー認証処理部は、前記コンピュータ端末のUID、パスワード、CSID、前記NASのIPアドレス、ポート番号の組み合わせに基づいて、前記接続可否を認証する、認証サーバ。 The authentication server according to claim 1,
The policy authentication processing unit authenticates the availability of connection based on a combination of a UID, password, CSID, NAS IP address, and port number of the computer terminal. 請求項1又は請求項2に記載の認証サーバであって、
前記コンピュータ端末上でウィルスチェッカが動作しているか否かをチェックするウィルスチェッカ動作検証部を更に備える、認証サーバ。 The authentication server according to claim 1 or 2, wherein
An authentication server further comprising a virus checker operation verification unit that checks whether or not a virus checker is operating on the computer terminal. 請求項3に記載の認証サーバであって、
前記コンピュータ端末を検疫VLANに所属させた状態で、前記コンピュータ端末上で前記ウィルスチェッカが動作しているか否かをチェックする、認証サーバ。 The authentication server according to claim 3,
An authentication server that checks whether or not the virus checker is operating on the computer terminal in a state in which the computer terminal belongs to a quarantine VLAN. 請求項4に記載の認証サーバであって、
前記コンピュータ端末上で前記ウィルスチェッカが動作していると判定した場合に、前記NASに対して再認証要求の指示を送信する、認証サーバ。 The authentication server according to claim 4,
An authentication server that transmits a re-authentication request instruction to the NAS when it is determined that the virus checker is operating on the computer terminal. コンピュータ端末がNASを介してネットワークへ接続する際の前記ネットワークへの接続可否を認証する方法であって、
前記ネットワークへの接続可否をIEEE802.1X認証するステップと、
前記IEEE802.1X認証が肯定された場合に、予め定義された認証ポリシーに基づいて前記接続可否を認証するポリシー認証ステップと、
を備える、認証方法。 A method for authenticating whether or not a computer terminal can connect to the network when connecting to the network via NAS,
IEEE802.1X authenticating whether to connect to the network;
A policy authentication step of authenticating the connection possibility based on a predefined authentication policy when the IEEE 802.1X authentication is affirmed;
An authentication method comprising: 請求項6に記載の認証方法であって、
前記ポリシー認証ステップは、前記コンピュータ端末のUID、パスワード、CSID、前記NASのIPアドレス、ポート番号の組み合わせに基づいて、前記接続可否を認証するステップである、認証方法。 The authentication method according to claim 6, comprising:
The authentication method, wherein the policy authentication step is a step of authenticating the connection possibility based on a combination of a UID, password, CSID, NAS IP address, and port number of the computer terminal. 請求項6又は請求項7に記載の認証方法であって、
前記コンピュータ端末上でウィルスチェッカが動作しているか否かをチェックするウィルスチェッカ動作検証ステップを更に備える、認証方法。 The authentication method according to claim 6 or 7, wherein:
An authentication method further comprising a virus checker operation verification step of checking whether or not a virus checker is operating on the computer terminal. 請求項8に記載の認証方法であって、
前記ウィルスチェッカ動作検証ステップは、前記コンピュータ端末を検疫VLANに所属させた状態で、前記コンピュータ端末上で前記ウィルスチェッカが動作しているか否かをチェックするステップである、認証方法。 The authentication method according to claim 8, comprising:
The virus checker operation verification step is an authentication method in which the virus checker is operating on the computer terminal in a state where the computer terminal belongs to a quarantine VLAN. 請求項9に記載の認証方法であって、
前記コンピュータ端末上で前記ウィルスチェッカが動作していると判定した場合に、前記NASに対して再認証要求の指示を送信するステップを更に備える、認証方法。 The authentication method according to claim 9, comprising:
An authentication method further comprising a step of transmitting a re-authentication request instruction to the NAS when it is determined that the virus checker is operating on the computer terminal. 請求項6乃至請求項10のうち何れか1項に記載の認証方法を認証サーバに実行させるための認証プログラム。   The authentication program for making an authentication server perform the authentication method of any one of Claim 6 thru | or 10.
JP2005154668A 2005-05-26 2005-05-26 Authentication server, authentication method, and authentication program Pending JP2006331128A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2005154668A JP2006331128A (en) 2005-05-26 2005-05-26 Authentication server, authentication method, and authentication program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2005154668A JP2006331128A (en) 2005-05-26 2005-05-26 Authentication server, authentication method, and authentication program

Publications (1)

Publication Number Publication Date
JP2006331128A true JP2006331128A (en) 2006-12-07

Family

ID=37552744

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2005154668A Pending JP2006331128A (en) 2005-05-26 2005-05-26 Authentication server, authentication method, and authentication program

Country Status (1)

Country Link
JP (1) JP2006331128A (en)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10575177B2 (en) 2013-03-22 2020-02-25 Yamaha Corporation Wireless network system, terminal management device, wireless relay device, and communications method
JP2023165913A (en) * 2022-02-28 2023-11-17 楽天グループ株式会社 Second device, communication system, communication method, and program
JP2023551837A (en) * 2020-12-03 2023-12-13 インターナショナル・ビジネス・マシーンズ・コーポレーション Authenticity evaluation of request source based on communication request

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10575177B2 (en) 2013-03-22 2020-02-25 Yamaha Corporation Wireless network system, terminal management device, wireless relay device, and communications method
JP2023551837A (en) * 2020-12-03 2023-12-13 インターナショナル・ビジネス・マシーンズ・コーポレーション Authenticity evaluation of request source based on communication request
JP2023165913A (en) * 2022-02-28 2023-11-17 楽天グループ株式会社 Second device, communication system, communication method, and program
JP7604591B2 (en) 2022-02-28 2024-12-23 楽天グループ株式会社 COMMUNICATION SYSTEM, COMMUNICATION METHOD, AND PROGRAM

Similar Documents

Publication Publication Date Title
EP3691215B1 (en) Access token management method, terminal and server
US8800003B2 (en) Trusted device-specific authentication
JP6599341B2 (en) Method, device and system for dynamic network access management
US7607140B2 (en) Device management system
JP5334693B2 (en) Network management method, network management program, network system, and relay device
US8209394B2 (en) Device-specific identity
US8219496B2 (en) Method of and apparatus for ascertaining the status of a data processing environment
US7353542B2 (en) Storage system, computer system, and method of authorizing an initiator in the storage system or the computer system
JPWO2009087702A1 (en) Virtual machine execution program, user authentication program, and information processing apparatus
JP2008181310A (en) Authentication server and authentication program
CN1863195B (en) Home network system and method with secure registration function
KR20150026587A (en) Apparatus, method and computer readable recording medium for providing notification of log-in from new equipments
JP4824100B2 (en) Network management method, network management apparatus, and program based on device type
CN109460647B (en) Multi-device secure login method
CN101616038B (en) SOA security guarantee system and method
JP2007213133A (en) Device authentication device
CN102480472A (en) Application integrated login method and verification server of enterprise intranet
JP2011192129A (en) Log-in authentication system using portable telephone terminal
CN117579402B (en) Platform secondary authentication login system and method
JP2006331128A (en) Authentication server, authentication method, and authentication program
CN116962088B (en) Login authentication methods, zero trust controllers and electronic devices
JP5455870B2 (en) Network connection device
US11737155B2 (en) Communication with a data storage device using an emulated Wi-Fi captive portal
CN115022349A (en) A cloud storage file access control system based on address service
JP4203250B2 (en) ACCESS MANAGEMENT METHOD, ACCESS MANAGEMENT SERVER, ACCESS TERMINAL, ACCESS MANAGEMENT PROGRAM, AND RECORDING MEDIUM

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20061205

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20090401

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20090728