專利名稱:認(rèn)證系統(tǒng)����、網(wǎng)絡(luò)線路級(jí)聯(lián)器、認(rèn)證方法和認(rèn)證程序的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種認(rèn)證系統(tǒng)����、網(wǎng)絡(luò)線路級(jí)聯(lián)器、用于其的認(rèn)證方法和用于執(zhí)行該方法的程序���,具體地�����,涉及一種當(dāng)終端設(shè)備與網(wǎng)絡(luò)相連時(shí)對(duì)在認(rèn)證集線器處的接入進(jìn)行限制的方法��。
背景技術(shù):
當(dāng)前����,作為限制在認(rèn)證集線器處的接入的一種方法�,使用如圖1所示的IEEE(電氣和電子工程師協(xié)會(huì))802.1x認(rèn)證系統(tǒng)和如圖2所示的認(rèn)證VLAN(虛擬局域網(wǎng))系統(tǒng)�����。
參考圖1����,將對(duì)802.1x認(rèn)證系統(tǒng)進(jìn)行描述�。在802.1x認(rèn)證系統(tǒng)中,認(rèn)證集線器32按照以下方式��,響應(yīng)從終端設(shè)備31到認(rèn)證集線器32的接入�,替代認(rèn)證服務(wù)器33執(zhí)行認(rèn)證操作�����。在認(rèn)證之前�,在認(rèn)證集線器32處丟棄從終端設(shè)備31傳送來的所有普通幀,并且由認(rèn)證集線器32僅接收認(rèn)證幀��。即�����,認(rèn)證集線器32執(zhí)行通信限制��。認(rèn)證集線器32從認(rèn)證幀中提取發(fā)送者信息(包括發(fā)送者地址、用戶名���、口令等)并向認(rèn)證服務(wù)器33傳送認(rèn)證確認(rèn)幀���。按照該方式,認(rèn)證集線器32替代地執(zhí)行認(rèn)證操作��。
如果認(rèn)證服務(wù)器33確認(rèn)了對(duì)認(rèn)證確認(rèn)幀的認(rèn)證���,則認(rèn)證服務(wù)器33向認(rèn)證集線器32發(fā)送允許設(shè)置幀����,所述允許設(shè)置幀設(shè)置了針對(duì)來自與終端設(shè)備31相連的端口的幀��、或具有專用于作為發(fā)送者地址的終端設(shè)備31的MAC(介質(zhì)接入控制�����,Media Access Control)地址的幀的通信允許�����。
響應(yīng)該允許設(shè)置幀�����,認(rèn)證集線器32取消通信限制。之后����,終端設(shè)備31可通過認(rèn)證集線器32、交換集線器34和路由器35與網(wǎng)絡(luò)300相連����。
參考圖2,將描述認(rèn)證VLAN系統(tǒng)����。在認(rèn)證VLAN系統(tǒng)中,允許終端設(shè)備41加入被稱為默認(rèn)LAN且具有有限連接范圍的先認(rèn)證網(wǎng)絡(luò)401(例如���,參見日本待審專利申請(qǐng)公開(JP-A)No.2004-64204)。
終端設(shè)備41請(qǐng)求可從先認(rèn)證網(wǎng)絡(luò)401連接的DHCP(動(dòng)態(tài)主機(jī)配置協(xié)議��,Dyamic Host Configuration Protocol)服務(wù)器46分配臨時(shí)IP(因特網(wǎng)協(xié)議)地址�����,并利用所述臨時(shí)IP地址����,向認(rèn)證服務(wù)器43發(fā)送認(rèn)證請(qǐng)求���。
如果認(rèn)證服務(wù)器43確認(rèn)了對(duì)認(rèn)證請(qǐng)求的認(rèn)證,則認(rèn)證服務(wù)器43向DHCP服務(wù)器46和認(rèn)證集線器42指示終端設(shè)備41應(yīng)該屬于的VLAN(后認(rèn)證網(wǎng)絡(luò)402)����。
DHCP服務(wù)器46釋放分配給終端設(shè)備41的臨時(shí)IP地址并向終端設(shè)備41通知針對(duì)后認(rèn)證網(wǎng)絡(luò)402的IP地址。認(rèn)證集線器42允許終端設(shè)備41建立到由認(rèn)證服務(wù)器43所指示的后認(rèn)證網(wǎng)絡(luò)402的連接��。之后���,終端設(shè)備41可通過認(rèn)證集線器42��、交換集線器44和路由器45與網(wǎng)絡(luò)400相連���。
然而,上述限制在認(rèn)證集線器處的接入的傳統(tǒng)方法具有以下方面的缺點(diǎn)����。
在IEEE 802.1x認(rèn)證系統(tǒng)的情況下,使用了專用于認(rèn)證系統(tǒng)的協(xié)議�,從而必須給認(rèn)證集線器配備用于認(rèn)證終端設(shè)備的專門程序。
另外,在IEEE 802.1x認(rèn)證系統(tǒng)的情況下����,認(rèn)證集線器中繼終端設(shè)備和認(rèn)證服務(wù)器之間的認(rèn)證處理。將該處理作為軟件操作執(zhí)行�。因此,需要認(rèn)證集線器以具有較高的軟件處理能力�。
另外,在IEEE 802.1x認(rèn)證系統(tǒng)的情況下����,未認(rèn)證終端設(shè)備不能與該網(wǎng)絡(luò)相連。因此��,不能夠向未認(rèn)證終端設(shè)備提供有限的功能���。
另一方面���,在認(rèn)證VLAN系統(tǒng)中,在完成認(rèn)證之后���,出現(xiàn)了從先認(rèn)證網(wǎng)絡(luò)到由認(rèn)證所允許的后認(rèn)證網(wǎng)絡(luò)的切換。此時(shí)����,終端設(shè)備必須改變網(wǎng)絡(luò)設(shè)置�。因此���,將需要較長(zhǎng)的時(shí)間��,直到在完成認(rèn)證之后能夠?qū)嶋H執(zhí)行認(rèn)證為止�����。有時(shí)�,會(huì)對(duì)能夠在終端設(shè)備處所使用的OS(操作系統(tǒng))類型加以限制���。
在認(rèn)證VLAN系統(tǒng)的情況下�����,多個(gè)設(shè)備必須協(xié)同操作以進(jìn)行認(rèn)證操作�。結(jié)果�����,可用于該系統(tǒng)的這些設(shè)備是有限的�。例如,DHCP服務(wù)器必須根據(jù)來自認(rèn)證服務(wù)器的請(qǐng)求租用IP地址。因此�,需要專用DHCP服務(wù)器,或者替代地��,DHCP服務(wù)器必須配備有功能附加程序���。
另外���,在認(rèn)證VLAN系統(tǒng)的情況下,需要認(rèn)證集線器具有諸如對(duì)多個(gè)VLAN的VLAN交換和中繼等先進(jìn)功能����。因此,認(rèn)證集線器自身變?yōu)榘嘿F的高端設(shè)備���。
發(fā)明內(nèi)容
因此��,本發(fā)明的目的是提出一種認(rèn)證系統(tǒng)��、網(wǎng)絡(luò)線路級(jí)聯(lián)器和用于其的認(rèn)證方法和執(zhí)行該方法的程序����,能夠防止未授權(quán)用戶的侵入����、竊聽或攻擊以確保安全性而無需使用復(fù)雜系統(tǒng)、網(wǎng)絡(luò)交換和高級(jí)功能認(rèn)證設(shè)備��。
根據(jù)本發(fā)明�����,提出了一種認(rèn)證系統(tǒng)�����,包括網(wǎng)絡(luò)線路級(jí)聯(lián)器和用于對(duì)容納在所述網(wǎng)絡(luò)線路級(jí)聯(lián)器中的終端設(shè)備進(jìn)行認(rèn)證的認(rèn)證服務(wù)器���,其中所述網(wǎng)絡(luò)線路級(jí)聯(lián)器包括用于限制從除了由所述認(rèn)證服務(wù)器認(rèn)證過的已認(rèn)證終端設(shè)備之外的任意其他節(jié)點(diǎn)傳送來的幀被傳遞到包括所述認(rèn)證服務(wù)器的網(wǎng)絡(luò)內(nèi)部和外部的單元����。
根據(jù)本發(fā)明�,還提出了一種用于容納已由認(rèn)證服務(wù)器認(rèn)證的終端設(shè)備的網(wǎng)絡(luò)線路級(jí)聯(lián)器,所述網(wǎng)絡(luò)線路級(jí)聯(lián)器包括用于限制從除了由所述認(rèn)證服務(wù)器認(rèn)證過的已認(rèn)證終端設(shè)備之外的任意其他節(jié)點(diǎn)傳送來的幀被傳遞到包括所述認(rèn)證服務(wù)器的網(wǎng)絡(luò)內(nèi)部和外部的單元�����。
根據(jù)本發(fā)明���,還提出了一種認(rèn)證方法���,用于認(rèn)證系統(tǒng)�,所述認(rèn)證系統(tǒng)包括網(wǎng)絡(luò)線路級(jí)聯(lián)器和用于對(duì)容納在所述網(wǎng)絡(luò)線路級(jí)聯(lián)器中的終端設(shè)備進(jìn)行認(rèn)證的認(rèn)證服務(wù)器���,所述方法包括用于限制從除了由所述認(rèn)證服務(wù)器認(rèn)證過的已認(rèn)證終端設(shè)備之外的任意其他節(jié)點(diǎn)傳送來的幀被傳遞到包括所述認(rèn)證服務(wù)器的網(wǎng)絡(luò)內(nèi)部和外部的步驟�����,所述步驟在所述網(wǎng)絡(luò)線路級(jí)聯(lián)器中執(zhí)行����。
根據(jù)本發(fā)明���,還提出了一種認(rèn)證方法的程序���,用于認(rèn)證系統(tǒng),所述認(rèn)證系統(tǒng)包括網(wǎng)絡(luò)線路級(jí)聯(lián)器和用于對(duì)容納在所述網(wǎng)絡(luò)線路級(jí)聯(lián)器中的終端設(shè)備進(jìn)行認(rèn)證的認(rèn)證服務(wù)器����,所述程序使計(jì)算機(jī)執(zhí)行用于限制從除了由所述認(rèn)證服務(wù)器認(rèn)證過的已認(rèn)證終端設(shè)備之外的任意其他節(jié)點(diǎn)傳送來的幀被傳遞到包括所述認(rèn)證服務(wù)器的網(wǎng)絡(luò)內(nèi)部和外部的處理。
因此��,在根據(jù)本發(fā)明的具有可變廣播范圍類型的網(wǎng)絡(luò)線路級(jí)聯(lián)器(此后被稱為認(rèn)證集線器)中,通過限制從除了由認(rèn)證服務(wù)器所允許的已授權(quán)終端設(shè)備之外的未授權(quán)終端設(shè)備傳送來的幀被傳遞到網(wǎng)絡(luò)內(nèi)部和外部�,確保了在LAN(局域網(wǎng))環(huán)境下的安全性。
更具體地�����,根據(jù)本發(fā)明的認(rèn)證集線器限制了從終端設(shè)備傳送來的單播幀的傳輸���,并將諸如IP(因特網(wǎng)協(xié)議,Internet Protocol)地址獲取和ARP(地址解析協(xié)議��,Address Resolution Protocol)解析等認(rèn)證操作所必需的廣播幀重寫為尋址到允許目的地的單播幀��。按照該方式����,僅使所需網(wǎng)絡(luò)節(jié)點(diǎn)(例如認(rèn)證服務(wù)器)可接入。
根據(jù)本發(fā)明的認(rèn)證集線器不需要具有先進(jìn)功能���,例如現(xiàn)有方法中的替代地處理認(rèn)證操作的功能或?qū)LAN(虛擬局域網(wǎng))進(jìn)行交換的功能����。因此�,不需要使用高級(jí)功能設(shè)備�����,從而不至于對(duì)軟件的功能和性能發(fā)生疑問����。理由如下����。
當(dāng)在節(jié)點(diǎn)(即,終端設(shè)備)和認(rèn)證服務(wù)器之間執(zhí)行通信(認(rèn)證操作)時(shí)���,根據(jù)本發(fā)明的認(rèn)證集線器可進(jìn)行操作以便單獨(dú)傳遞節(jié)點(diǎn)和認(rèn)證服務(wù)器3之間的通信和其他所需通信���,而不會(huì)阻礙來自未認(rèn)證節(jié)點(diǎn)的所有通信且不會(huì)替代地向認(rèn)證服務(wù)器傳送認(rèn)證幀。因此����,認(rèn)證集線器自身并不需要參與認(rèn)證操作。因此����,在本發(fā)明中的認(rèn)證集線器并不需要適合于節(jié)點(diǎn)和認(rèn)證服務(wù)器之間的協(xié)議,且不需要具有準(zhǔn)備和傳輸該幀的功能����。
在本發(fā)明中的認(rèn)證集線器并非單獨(dú)地使用VLAN以便在認(rèn)證之前和之后改變通信范圍�����,而是在認(rèn)證之前對(duì)目的地進(jìn)行限制�。因此����,在本發(fā)明中的認(rèn)證集線器并不需要執(zhí)行網(wǎng)絡(luò)交換操作且不需要自身具有VLAN功能�����。在這種情況下�,在本發(fā)明的認(rèn)證集線器中,軟件介入部分僅涉及在認(rèn)證集線器和認(rèn)證服務(wù)器之間的表格的傳輸和接收���。因此�����,可以通過以下非常簡(jiǎn)單的硬件功能以及軟件功能來實(shí)現(xiàn)該認(rèn)證集線器���,所述簡(jiǎn)單的硬件功能包括分組過濾功能��、分組復(fù)制功能和地址重寫功能�,而所述簡(jiǎn)單的軟件功能包括在認(rèn)證集線器中重寫來自認(rèn)證服務(wù)器的表格的功能�。
另外,在本發(fā)明中的認(rèn)證集線器2允許未認(rèn)證節(jié)點(diǎn)執(zhí)行一部分通信�����。具體地���,本發(fā)明中的認(rèn)證集線器具有來自加以限制節(jié)點(diǎn)中的表示可傳輸節(jié)點(diǎn)的可傳輸節(jié)點(diǎn)條目表�,從而使從加以限制節(jié)點(diǎn)接收到且尋址到條目表的幀可傳輸��,而不丟棄來自除了已認(rèn)證節(jié)點(diǎn)之外的節(jié)點(diǎn)的所有接收幀�。
另外,對(duì)于本發(fā)明中的認(rèn)證集線器���,不需要在認(rèn)證之前和之后改變終端的網(wǎng)絡(luò)設(shè)置���。在以上所提到的認(rèn)證VLAN系統(tǒng)中,加以限制節(jié)點(diǎn)加入其中的VLAN不同于已認(rèn)證節(jié)點(diǎn)加入其中的VLAN��。因此,改變了可通信節(jié)點(diǎn)的通信范圍����。在以上所提到的認(rèn)證VLAN系統(tǒng)中,在VLAN交換之后對(duì)網(wǎng)絡(luò)進(jìn)行改變��,從而還必須在該節(jié)點(diǎn)處改變網(wǎng)絡(luò)設(shè)置���。另一方面�,在該發(fā)明中的認(rèn)證集線器中��,在認(rèn)證之前和之后不對(duì)網(wǎng)絡(luò)進(jìn)行切換�����,而是改變可傳輸目的地�。因此�,不需要在終端處切換網(wǎng)絡(luò)設(shè)置。
因此��,在該發(fā)明中的認(rèn)證集線器防止了終端設(shè)備通過交換集線器和路由器接入到其他網(wǎng)絡(luò)節(jié)點(diǎn)(其他服務(wù)器和已認(rèn)證終端設(shè)備)上����。因此,能夠防止未授權(quán)用戶的侵入、竊聽和攻擊以確保安全性而無需使用復(fù)雜系統(tǒng)�����、網(wǎng)絡(luò)交換和高級(jí)功能認(rèn)證設(shè)備�����。
利用以下所述的結(jié)構(gòu)和操作���,本發(fā)明實(shí)現(xiàn)了以下效果防止了未授權(quán)用戶的侵入�����、竊聽和攻擊以確保安全性而無需使用復(fù)雜系統(tǒng)����、網(wǎng)絡(luò)交換和高級(jí)功能認(rèn)證設(shè)備���。
圖1是示出了傳統(tǒng)IEEE 802.1x認(rèn)證系統(tǒng)的方框圖��;圖2是示出了傳統(tǒng)認(rèn)證VLAN系統(tǒng)的方框圖����;圖3示出了根據(jù)本發(fā)明的認(rèn)證系統(tǒng)的基本結(jié)構(gòu)的方框圖;圖4是示出了根據(jù)本發(fā)明實(shí)施例的認(rèn)證系統(tǒng)的方框圖����;圖5是用于描述圖4所示的認(rèn)證集線器的操作的流程圖;圖6A和6B是示出了在圖4所示的認(rèn)證集線器中的登記信息數(shù)據(jù)庫中所存儲(chǔ)的信息的視圖����;
圖7是示出了圖4所示的認(rèn)證系統(tǒng)的操作的第一部分的時(shí)序圖;圖8是示出了跟隨在圖7所示的第一部分之后的操作的第二部分的時(shí)序圖具體實(shí)施方式
現(xiàn)在將參考附圖來描述本發(fā)明�����。
參考圖3���,根據(jù)本發(fā)明的認(rèn)證系統(tǒng)主要包括終端設(shè)備1�����、可變廣播范圍型的網(wǎng)絡(luò)線路級(jí)聯(lián)器(此后被稱為認(rèn)證集線器)2、認(rèn)證服務(wù)器3�����、交換集線器4���、路由器5和附加服務(wù)器6����、以及已認(rèn)證終端設(shè)備7。包括單元(圖4中的21-24)�����,用于限制將從除了由認(rèn)證服務(wù)器3認(rèn)證過的已認(rèn)證終端設(shè)備之外的其他任意節(jié)點(diǎn)傳送來的幀傳輸?shù)桨ㄕJ(rèn)證服務(wù)器3的網(wǎng)絡(luò)10的內(nèi)部和外部�。即,認(rèn)證集線器2限制從終端設(shè)備1經(jīng)由交換集線器4和路由器5到網(wǎng)絡(luò)10之外的外部網(wǎng)絡(luò)100的接入��。認(rèn)證集線器2還限制從終端設(shè)備1通過交換集線器4和路由器5到網(wǎng)絡(luò)10內(nèi)部的其他網(wǎng)絡(luò)節(jié)點(diǎn)(包括附加服務(wù)器6和已認(rèn)證終端設(shè)備7)的接入���。
認(rèn)證集線器2限制對(duì)從終端設(shè)備1傳送來的單播幀的傳輸�����,并且將包括IP(因特網(wǎng)協(xié)議)地址獲取和ARP(地址解析協(xié)議)解析的認(rèn)證操作所必需的廣播幀重寫到尋址到允許目的地的單播幀中�����。按照該方式���,僅使所需網(wǎng)絡(luò)節(jié)點(diǎn)(認(rèn)證服務(wù)器3)能夠接入�����。
認(rèn)證集線器2防止終端設(shè)備1通過交換集線器4和路由器5接入其他網(wǎng)絡(luò)節(jié)點(diǎn)(包括附加服務(wù)器6和已認(rèn)證終端設(shè)備7)��。因此����,能夠防止受到未授權(quán)用戶的侵入�����、竊聽和攻擊以確保安全性�,而無需使用復(fù)雜系統(tǒng)、網(wǎng)絡(luò)交換和高級(jí)功能認(rèn)證設(shè)備�。
接下來參考圖4,根據(jù)本發(fā)明實(shí)施例的認(rèn)證系統(tǒng)包括多個(gè)終端設(shè)備1-1到1-3(每一個(gè)均對(duì)應(yīng)于圖3中的終端設(shè)備1)����、認(rèn)證集線器2、認(rèn)證服務(wù)器3���、DHCP(動(dòng)態(tài)主機(jī)配置協(xié)議)服務(wù)器8、連接這些網(wǎng)絡(luò)節(jié)點(diǎn)的交換集線器4�、路由器5和經(jīng)由路由器5相連的網(wǎng)絡(luò)100���。
認(rèn)證集線器2包括幀接收電路21、登記信息數(shù)據(jù)庫22�、傳輸緩沖器23、和用于存儲(chǔ)針對(duì)認(rèn)證集線器2中的各種控制的程序(計(jì)算機(jī)可執(zhí)行程序)的記錄介質(zhì)24�。可以通過將幀接收電路21����、登記信息數(shù)據(jù)庫22、傳輸緩沖器23和記錄介質(zhì)24集成在一起而形成的集成電路芯片來實(shí)現(xiàn)認(rèn)證集線器2���。
響應(yīng)來自終端設(shè)備1-1到1-3的請(qǐng)求�����,DHCP服務(wù)器8分配IP地址���。認(rèn)證服務(wù)器3接收使用所分配的IP地址作為發(fā)送者地址從終端設(shè)備1-1到1-3傳送來的認(rèn)證幀,并認(rèn)證終端設(shè)備1-1到1-3(用戶)���。在完成終端設(shè)備1-1到1-3的認(rèn)證之后�,認(rèn)證服務(wù)器向認(rèn)證集線器2的登記信息數(shù)據(jù)庫22通知對(duì)終端設(shè)備1-1到1-3的通信允許(認(rèn)證完成)���。
在認(rèn)證集線器2中�,幀接收電路21接收從終端設(shè)備1-1到1-3傳送來的傳輸幀。參考基于每一個(gè)傳輸幀中的發(fā)送者信息的登記信息數(shù)據(jù)庫22���,認(rèn)證集線器2確定針對(duì)每一個(gè)幀的傳輸����、重寫和傳輸或丟棄����,并向傳輸緩沖器23傳送傳輸允許幀或重寫和傳輸允許幀。
除了圖4之外����,參考圖5,將對(duì)認(rèn)證集線器2的操作進(jìn)行描述��。通過執(zhí)行在記錄介質(zhì)24中所存儲(chǔ)的程序的認(rèn)證集線器2來實(shí)現(xiàn)圖5所示的處理�����。
對(duì)于每一個(gè)輸入幀�,認(rèn)證集線器2確認(rèn)在登記信息數(shù)據(jù)庫22中的所述幀發(fā)送者的登記狀態(tài)(圖5中的步驟S1和S2)。如果幀的發(fā)送者的登記狀態(tài)為“已認(rèn)證”,則認(rèn)證集線器2將該幀發(fā)送到傳輸緩沖器23(圖5中的步驟S6)���。之后,從目的地端口中傳輸該幀��。
如果幀的發(fā)送者的登記狀態(tài)為“未登記”�,則認(rèn)證集線器2在登記信息數(shù)據(jù)庫22中將該幀的發(fā)送者登記為“加以限制”終端(圖5中的步驟S3)。之后��,或者如果該幀的發(fā)送者的登記狀態(tài)為“加以限制”的�,則認(rèn)證集線器2判斷所述“加以限制”幀是廣播幀還是單播幀(圖5中的步驟S4)。
在廣播幀的情況下���,認(rèn)證集線器2將該幀從廣播幀重寫為尋址到由登記信息數(shù)據(jù)庫22所指定的目的地的單播幀(圖5中的步驟S5)�����,并且之后�����,將該幀發(fā)送到傳輸緩沖器23(圖5中的步驟S6)�。然后�����,從目的地端口中傳送該幀。
另一方面�����,在單播幀的情況下��,認(rèn)證集線器2確認(rèn)該幀的目的地(圖5中的步驟S7)�。如果根據(jù)登記信息數(shù)據(jù)庫22中的設(shè)置,該幀的目的地是允許目的地����,則認(rèn)證集線器2將該幀發(fā)送到傳輸緩沖器23(圖5中的步驟S6)。之后�,從目的地端口中傳送該幀。
如果根據(jù)登記信息數(shù)據(jù)庫22中的設(shè)置���,該幀的目的地是不允許目的地���,則認(rèn)證集線器2丟棄該幀(圖5中的步驟S8)。
參考圖6A和6B���,將描述在認(rèn)證集線器2的登記信息數(shù)據(jù)庫22中所存儲(chǔ)的信息�。圖6A示出了針對(duì)加以限制終端的幀可傳輸節(jié)點(diǎn)條目22a。圖6B示出了終端設(shè)備登記信息條目22b����。因此,將登記信息數(shù)據(jù)庫22中所存儲(chǔ)的信息分類為包括幀可傳輸節(jié)點(diǎn)條目22a和終端設(shè)備登記信息條目22b的兩個(gè)條目�����。
針對(duì)加以限制終端的幀可傳輸節(jié)點(diǎn)條目22a存儲(chǔ)了單播或廣播幀可從加以限制終端傳送到其中的網(wǎng)絡(luò)節(jié)點(diǎn)有關(guān)的信息����。幀可傳輸節(jié)點(diǎn)條目22a包括可傳輸網(wǎng)絡(luò)節(jié)點(diǎn)的目的地標(biāo)識(shí)符221a��、用于確定單播幀傳輸?shù)脑试S或禁止的單播傳輸允許標(biāo)記222a��、以及用于確定從廣播幀重寫為單播幀的重寫幀傳輸?shù)脑试S或禁止的廣播重寫允許標(biāo)記223a��。
作為目的地標(biāo)識(shí)符221a���,可以使用“MAC(介質(zhì)接入控制)地址”�、“IP地址”或其組合�����。作為針對(duì)目的地標(biāo)識(shí)符221a登記的網(wǎng)絡(luò)節(jié)點(diǎn),可以登記認(rèn)證服務(wù)器3或DHCP服務(wù)器8�����。如果需要����,可以將DNS(域名系統(tǒng),Domain Name System)服務(wù)器等添加到目的地標(biāo)識(shí)符221a�。
終端設(shè)備登記信息條目22b存儲(chǔ)了與終端設(shè)備1的認(rèn)證狀態(tài)有關(guān)的信息。條目22b包括終端設(shè)備的終端標(biāo)識(shí)符221b���、和用于表示終端設(shè)備是處于已認(rèn)證狀態(tài)還是加以限制狀態(tài)的認(rèn)證標(biāo)記222b��。作為終端標(biāo)識(shí)符221b���,可以使用“MAC地址”。
除了圖4到圖6A和圖6B之外�����,參考圖7和8����,將描述根據(jù)本發(fā)明實(shí)施例的認(rèn)證系統(tǒng)的操作����。由終端設(shè)備1�、認(rèn)證集線器2、DHCP服務(wù)器8和認(rèn)證服務(wù)器3來執(zhí)行根據(jù)本發(fā)明實(shí)施例的認(rèn)證系統(tǒng)的操作�����。在圖7和8中,其他節(jié)點(diǎn)表示經(jīng)由認(rèn)證集線器2、交換集線器4和路由器5相連的其他網(wǎng)絡(luò)設(shè)備和終端設(shè)備�。
如果終端設(shè)備1是“加以限制”終端,則認(rèn)證集線器2參考登記信息數(shù)據(jù)庫22以確認(rèn)從終端設(shè)備1傳送來的單播幀是否與針對(duì)加以限制終端設(shè)備的幀可傳輸節(jié)點(diǎn)條目22a中的單播傳輸允許條目相一致��。在單播幀的目的地并非傳輸允許網(wǎng)絡(luò)節(jié)點(diǎn)的情況下�,認(rèn)證集線器2丟棄單播幀(圖7中的a1、a2)����。如果將單播幀尋址到傳輸允許網(wǎng)絡(luò)節(jié)點(diǎn),則照原樣來傳送該單播幀����。
由認(rèn)證集線器2將由從終端設(shè)備1傳送來的廣播幀重寫為限制到由登記信息數(shù)據(jù)庫22中針對(duì)加以限制終端的幀可傳輸節(jié)點(diǎn)條目22a中的廣播重寫允許標(biāo)記223a所允許的網(wǎng)絡(luò)節(jié)點(diǎn)的單播幀,之后����,對(duì)其進(jìn)行傳送(圖7中的a3���、a4、a6)��。
在該實(shí)施例中����,DHCP服務(wù)器8和認(rèn)證服務(wù)器3是可傳輸網(wǎng)絡(luò)節(jié)點(diǎn)。DHCP服務(wù)器8和認(rèn)證服務(wù)器3接收或丟棄傳輸?shù)狡渖系膯尾?圖7中的a5����、a7)。
如果終端設(shè)備1接入DHCP服務(wù)器8以便獲取DHCP服務(wù)器8的IP地址����,則終端設(shè)備1將DHCP幀作為廣播幀來傳送(圖7中的a8)。當(dāng)被提供了作為廣播幀的DHCP幀時(shí)�,認(rèn)證集線器2傳送作為尋址到DHCP服務(wù)器8和認(rèn)證服務(wù)器3的單播幀(圖7中的a9、a11)�����。
由于提供到其的單播幀并非認(rèn)證幀�,認(rèn)證服務(wù)器3丟棄該單播幀(圖7中的a12)�����。DHCP服務(wù)器8接收單播幀作為DHCP幀�,分配IP地址����,并且向終端設(shè)備1傳送應(yīng)答DHCP幀(圖7中的a10、a13���、a14)��。終端設(shè)備1從提供給其的應(yīng)答DHCP幀獲取DHCP服務(wù)器8的IP地址(圖7中的a15)����。
在執(zhí)行用戶認(rèn)證的情況下�,終端設(shè)備1傳送ARP幀作為廣播幀以便根據(jù)認(rèn)證服務(wù)器3的IP地址獲取MAC地址(圖7中的a16)�。當(dāng)被提供了作為廣播幀接收到的ARP幀時(shí),認(rèn)證集線器2傳送該ARP幀��,作尋址到DHCP服務(wù)器8和認(rèn)證服務(wù)器3的單播幀(圖7中的a17�、a19)。
由于提供給DHCP服務(wù)器8的ARP幀并不包含分配給其的IP地址���,因此DHCP服務(wù)器8丟棄該ARP幀(圖7中的a18)�����。由于由認(rèn)證服務(wù)器3接收到的ARP幀包含分配給其的IP地址�,因此認(rèn)證服務(wù)器3傳送針對(duì)ARP幀的應(yīng)答ARP幀(圖7中的a20到a22)。
終端設(shè)備1可以根據(jù)從認(rèn)證服務(wù)器3接收到的應(yīng)答ARP幀來獲取MAC地址(圖7中的a23)��。因此�����,終端設(shè)備1向認(rèn)證服務(wù)器3傳送單播幀�����,作為尋址到MAC地址的認(rèn)證幀(圖8中的a24)�。由于單播幀的目的地是傳輸允許網(wǎng)絡(luò)節(jié)點(diǎn),因此認(rèn)證集線器2照原樣傳送從終端設(shè)備1接收到的單播幀(認(rèn)證幀)����。
在完成了終端設(shè)備1和認(rèn)證服務(wù)器3之間的認(rèn)證之后,認(rèn)證服務(wù)器3向終端設(shè)備1發(fā)送認(rèn)證OK幀(圖8中的a25到a27)����。然后���,將終端設(shè)備1識(shí)別為已認(rèn)證狀態(tài)(圖8中的a28)。認(rèn)證服務(wù)器3對(duì)認(rèn)證集線器2的登記信息數(shù)據(jù)庫22進(jìn)行接入(認(rèn)證OK幀)(圖8中的a29�����、a30)�,以便針對(duì)終端設(shè)備登記信息條目22b中的相應(yīng)終端設(shè)備條目,將認(rèn)證標(biāo)記222b從“未認(rèn)證”更新為“已認(rèn)證”(圖8中的a31)�。
在認(rèn)證之后,將從終端設(shè)備1傳送來的廣播或單播幀照原樣傳送到目的地或所有網(wǎng)絡(luò)節(jié)點(diǎn)(圖8中的a32到a36)�。
因此,在該實(shí)施例中����,認(rèn)證集線器2限制從終端設(shè)備1傳送來的單播幀的傳輸,并且將諸如IP地址獲取和ARP解析等認(rèn)證操作所必需的廣播幀重寫為尋址到允許目的地的單播幀����。按照該方式����,所需網(wǎng)絡(luò)節(jié)點(diǎn)(例如認(rèn)證服務(wù)器)是可單獨(dú)接入的。
在該實(shí)施例中����,不需要認(rèn)證集線器2具有諸如傳統(tǒng)方法中的替代地處理認(rèn)證操作的功能或?qū)LAN(虛擬局域網(wǎng)�����,Virtual Local AreaNetwork)進(jìn)行交換的功能等先進(jìn)功能�����。因此不需要使用高級(jí)功能設(shè)備�����,不至于對(duì)軟件的功能和性能發(fā)生疑問�。理由如下�����。
在該實(shí)施例中����,當(dāng)在節(jié)點(diǎn)和認(rèn)證服務(wù)器3之間執(zhí)行通信(認(rèn)證操作)時(shí),認(rèn)證集線器2可進(jìn)行操作以便單獨(dú)傳遞節(jié)點(diǎn)和認(rèn)證服務(wù)器3之間的通信和其他所需通信���,而不會(huì)阻礙來自未認(rèn)證節(jié)點(diǎn)的所有通信且不會(huì)替代地向認(rèn)證服務(wù)器3傳送認(rèn)證幀��。因此��,認(rèn)證集線器2自身并不需要參與認(rèn)證操作���。因此�����,在該實(shí)施例中的認(rèn)證集線器2并不需要適合于節(jié)點(diǎn)和認(rèn)證服務(wù)器3之間的協(xié)議�����,且不需要具有準(zhǔn)備和傳輸該幀的功能�。
在該實(shí)施例中�,認(rèn)證集線器2并非單獨(dú)地使用VLAN以便在認(rèn)證之前和之后改變通信范圍,而是在認(rèn)證之前對(duì)目的地進(jìn)行限制����。因此,認(rèn)證集線器2并不需要執(zhí)行網(wǎng)絡(luò)交換操作且不需要自身具有VLAN功能���。在這種情況下,在認(rèn)證集線器2中��,軟件介入部分僅涉及在認(rèn)證集線器2和認(rèn)證服務(wù)器3之間的表格的傳輸和接收。因此���,可以通過以下非常簡(jiǎn)單的硬件功能以及軟件功能來實(shí)現(xiàn)認(rèn)證集線器2�,所述簡(jiǎn)單的硬件功能包括分組過濾功能���、分組復(fù)制功能和地址重寫功能�,而所述簡(jiǎn)單的軟件功能包括在認(rèn)證集線器中重寫來自認(rèn)證服務(wù)器的表格的功能����。
另外,在該實(shí)施例中���,認(rèn)證集線器2允許未認(rèn)證節(jié)點(diǎn)執(zhí)行一部分通信��。具體地��,認(rèn)證集線器2具有來自加以限制節(jié)點(diǎn)中的表示可傳輸節(jié)點(diǎn)的可傳輸節(jié)點(diǎn)條目表�����,從而使從加以限制節(jié)點(diǎn)接收到且尋址到條目表的幀可傳輸����,而不丟棄來自除了已認(rèn)證節(jié)點(diǎn)之外的節(jié)點(diǎn)的所有接收幀。
另外���,對(duì)于該實(shí)施例中的認(rèn)證集線器2��,不需要在認(rèn)證之前和之后改變終端的網(wǎng)絡(luò)設(shè)置����。在以上所提到的認(rèn)證VLAN系統(tǒng)中�,加以限制節(jié)點(diǎn)加入其中的VLAN不同于已認(rèn)證節(jié)點(diǎn)加入其中的VLAN。因此���,改變了可通信節(jié)點(diǎn)的通信范圍��。在以上所提到的認(rèn)證VLAN系統(tǒng)中����,在VLAN交換之后對(duì)網(wǎng)絡(luò)進(jìn)行改變��,從而還必須在該節(jié)點(diǎn)處改變網(wǎng)絡(luò)設(shè)置�����。另一方面,在該實(shí)施例中的認(rèn)證集線器2中���,在認(rèn)證之前和之后不對(duì)網(wǎng)絡(luò)進(jìn)行切換,而是改變可傳輸目的地����。因此,不需要在終端處切換網(wǎng)絡(luò)設(shè)置�。
因此,在該實(shí)施例中的認(rèn)證集線器2防止了終端設(shè)備1通過交換集線器4和路由器5接入到其他網(wǎng)絡(luò)節(jié)點(diǎn)(附加服務(wù)器6和已認(rèn)證終端設(shè)備7)上�。因此,能夠防止未授權(quán)用戶的侵入����、竊聽和攻擊以確保安全性而無需使用復(fù)雜系統(tǒng)、網(wǎng)絡(luò)交換和高級(jí)功能認(rèn)證設(shè)備�����。
在前面的實(shí)施例中�,已經(jīng)描述了對(duì)接入到網(wǎng)絡(luò)內(nèi)部的限制。然而���,可以對(duì)接入到網(wǎng)絡(luò)外部進(jìn)行限制����。在目的地位于網(wǎng)絡(luò)外部的情況下,目的地MAC地址是充當(dāng)默認(rèn)網(wǎng)關(guān)的路由器的地址�����,并且目的地IP地址是目標(biāo)網(wǎng)絡(luò)節(jié)點(diǎn)的IP地址�。將上述兩個(gè)地址作為目的地標(biāo)識(shí)符存儲(chǔ)在與加以限制終端相對(duì)應(yīng)的幀可傳輸節(jié)點(diǎn)條目中,并且參考該幀可傳輸節(jié)點(diǎn)條目來判斷傳輸?shù)脑试S或禁止�����。
盡管到目前為止已經(jīng)結(jié)合其優(yōu)選實(shí)施例對(duì)本發(fā)明進(jìn)行了描述����,但是容易理解,本領(lǐng)域的技術(shù)人員能夠以各種其他方式來實(shí)施本發(fā)明���。
權(quán)利要求
1.一種認(rèn)證系統(tǒng)�����,包括網(wǎng)絡(luò)線路級(jí)聯(lián)器和用于對(duì)容納在所述網(wǎng)絡(luò)線路級(jí)聯(lián)器中的終端設(shè)備進(jìn)行認(rèn)證的認(rèn)證服務(wù)器����,其中所述網(wǎng)絡(luò)線路級(jí)聯(lián)器包括用于限制從除了由所述認(rèn)證服務(wù)器認(rèn)證過的已認(rèn)證終端設(shè)備之外的任意其他節(jié)點(diǎn)傳送來的幀被傳遞到包括所述認(rèn)證服務(wù)器的網(wǎng)絡(luò)內(nèi)部和外部的單元。
2.根據(jù)權(quán)利要求1所述的認(rèn)證系統(tǒng)�,其特征在于用于限制幀的傳遞的所述單元至少使終端設(shè)備能夠在認(rèn)證之前對(duì)認(rèn)證服務(wù)器進(jìn)行接入。
3.根據(jù)權(quán)利要求2所述的認(rèn)證系統(tǒng)��,其特征在于用于限制幀的傳遞的所述單元限制從所述終端設(shè)備傳送來的單播幀的傳輸��,并且將終端設(shè)備的認(rèn)證操作所必需的廣播幀重寫為尋址到最初允許目的地的單播幀���。
4.根據(jù)權(quán)利要求3所述的認(rèn)證系統(tǒng),其特征在于所述網(wǎng)絡(luò)線路級(jí)聯(lián)器具有能夠?qū)V播幀重寫為單播幀的可變廣播范圍類型����。
5.根據(jù)權(quán)利要求3所述的認(rèn)證系統(tǒng),其特征在于所述認(rèn)證操作至少包括IP(因特網(wǎng)協(xié)議)地址獲取和ARP(地址解析協(xié)議)解析�。
6.根據(jù)權(quán)利要求1所述的認(rèn)證系統(tǒng),其特征在于用于限制幀的傳遞的所述單元至少禁止在認(rèn)證之前通過網(wǎng)絡(luò)內(nèi)部的交換集線器和網(wǎng)絡(luò)外部的路由器���,對(duì)除了所述已認(rèn)證終端設(shè)備之外的任意其他節(jié)點(diǎn)的接入���。
7.根據(jù)權(quán)利要求1所述的認(rèn)證系統(tǒng),其特征在于所述網(wǎng)絡(luò)線路級(jí)聯(lián)器是通過集成至少用于限制幀的傳遞的所述單元而形成的集成電路��。
8.一種用于容納已由認(rèn)證服務(wù)器認(rèn)證的終端設(shè)備的網(wǎng)絡(luò)線路級(jí)聯(lián)器��,所述網(wǎng)絡(luò)線路級(jí)聯(lián)器包括用于限制從除了由所述認(rèn)證服務(wù)器認(rèn)證過的已認(rèn)證終端設(shè)備之外的任意其他節(jié)點(diǎn)傳送來的幀被傳遞到包括所述認(rèn)證服務(wù)器的網(wǎng)絡(luò)內(nèi)部和外部的單元。
9.根據(jù)權(quán)利要求8所述的網(wǎng)絡(luò)線路級(jí)聯(lián)器�,其特征在于用于限制幀的傳遞的所述單元至少使終端設(shè)備能夠在認(rèn)證之前對(duì)認(rèn)證服務(wù)器進(jìn)行接入。
10.根據(jù)權(quán)利要求9所述的網(wǎng)絡(luò)線路級(jí)聯(lián)器�����,其特征在于用于限制幀的傳遞的所述單元限制從所述終端設(shè)備傳送來的單播幀的傳輸��,并且將終端設(shè)備的認(rèn)證操作所必需的廣播幀重寫為尋址到最初允許目的地的單播幀����。
11.根據(jù)權(quán)利要求10所述的網(wǎng)絡(luò)線路級(jí)聯(lián)器,其特征在于所述網(wǎng)絡(luò)線路級(jí)聯(lián)器具有能夠?qū)V播幀重寫為單播幀的可變廣播范圍類型�����。
12.根據(jù)權(quán)利要求10所述的網(wǎng)絡(luò)線路級(jí)聯(lián)器���,其特征在于所述認(rèn)證操作至少包括IP(因特網(wǎng)協(xié)議)地址獲取和ARP(地址解析協(xié)議)解析�����。
13.根據(jù)權(quán)利要求8所述的網(wǎng)絡(luò)線路級(jí)聯(lián)器�����,其特征在于用于限制幀的傳遞的所述單元至少禁止在認(rèn)證之前通過網(wǎng)絡(luò)內(nèi)部的交換集線器和網(wǎng)絡(luò)外部的路由器�,對(duì)除了所述已認(rèn)證終端設(shè)備之外的任意其他節(jié)點(diǎn)的接入。
14.根據(jù)權(quán)利要求8所述的網(wǎng)絡(luò)線路級(jí)聯(lián)器����,其特征在于所述網(wǎng)絡(luò)線路級(jí)聯(lián)器是通過集成至少用于限制幀的傳遞的所述單元而形成的集成電路。
15.一種認(rèn)證方法�����,用于認(rèn)證系統(tǒng)���,所述認(rèn)認(rèn)證系統(tǒng)包括網(wǎng)絡(luò)線路級(jí)聯(lián)器和用于對(duì)容納在所述網(wǎng)絡(luò)線路級(jí)聯(lián)器中的終端設(shè)備進(jìn)行認(rèn)證的認(rèn)證服務(wù)器,所述方法包括用于限制從除了由所述認(rèn)證服務(wù)器認(rèn)證過的已認(rèn)證終端設(shè)備之外的任意其他節(jié)點(diǎn)傳送來的幀被傳遞到包括所述認(rèn)證服務(wù)器的網(wǎng)絡(luò)內(nèi)部和外部的步驟����,所述步驟在所述網(wǎng)絡(luò)線路級(jí)聯(lián)器中執(zhí)行。
16.根據(jù)權(quán)利要求15所述的認(rèn)證方法����,其特征在于用于限制幀的傳遞的所述步驟至少使終端設(shè)備能夠在認(rèn)證之前對(duì)認(rèn)證服務(wù)器進(jìn)行接入。
17.根據(jù)權(quán)利要求16所述的認(rèn)證方法�,其特征在于用于限制幀的傳遞的所述步驟限制從所述終端設(shè)備傳送來的單播幀的傳輸,并且將終端設(shè)備的認(rèn)證操作所必需的廣播幀重寫為尋址到最初允許目的地的單播幀�����。
18.根據(jù)權(quán)利要求17所述的認(rèn)證方法,其特征在于所述網(wǎng)絡(luò)線路級(jí)聯(lián)器具有能夠?qū)V播幀重寫為單播幀的可變廣播范圍類型��。
19.根據(jù)權(quán)利要求17所述的認(rèn)證方法���,其特征在于所述認(rèn)證操作至少包括IP(因特網(wǎng)協(xié)議)地址獲取和ARP(地址解析協(xié)議)解析��。
20.根據(jù)權(quán)利要求15所述的認(rèn)證方法����,其特征在于用于限制幀的傳遞的所述步驟至少禁止在認(rèn)證之前通過網(wǎng)絡(luò)內(nèi)部的交換集線器和網(wǎng)絡(luò)外部的路由器����,對(duì)除了所述已認(rèn)證終端設(shè)備之外的任意其他節(jié)點(diǎn)的接入。
21.根據(jù)權(quán)利要求15所述的認(rèn)證方法�����,其特征在于所述網(wǎng)絡(luò)線路級(jí)聯(lián)器是通過集成至少用于限制幀的傳遞的所述單元而形成的集成電路����。
22.一種認(rèn)證方法的程序,用于認(rèn)證系統(tǒng),所述認(rèn)證系統(tǒng)包括網(wǎng)絡(luò)線路級(jí)聯(lián)器和用于對(duì)容納在所述網(wǎng)絡(luò)線路級(jí)聯(lián)器中的終端設(shè)備進(jìn)行認(rèn)證的認(rèn)證服務(wù)器���,所述程序使計(jì)算機(jī)執(zhí)行用于限制從除了由所述認(rèn)證服務(wù)器認(rèn)證過的已認(rèn)證終端設(shè)備之外的任意其他節(jié)點(diǎn)傳送來的幀被傳遞到包括所述認(rèn)證服務(wù)器的網(wǎng)絡(luò)內(nèi)部和外部的處理�。
全文摘要
響應(yīng)來自終端設(shè)備1的請(qǐng)求���,DHCP服務(wù)器8分配IP地址�。認(rèn)證服務(wù)器3接收使用所分配的IP地址作為發(fā)送者地址從終端設(shè)備1傳送來的認(rèn)證幀����,并認(rèn)證終端設(shè)備1。在完成認(rèn)證之后�,認(rèn)證服務(wù)器3向認(rèn)證集線器2的登記信息數(shù)據(jù)庫22通知對(duì)終端設(shè)備1的通信允許。在認(rèn)證集線器2中�,幀接收電路21接收從終端設(shè)備1傳送來的傳輸幀。認(rèn)證集線器2根據(jù)傳輸幀的發(fā)送者信息�����,參考登記信息數(shù)據(jù)庫22��,確定針對(duì)幀的傳輸�����、重寫和傳輸或丟棄����,并且如果針對(duì)該幀允許傳輸或重寫和傳輸,則向傳輸緩沖器23發(fā)送該傳輸幀����。
文檔編號(hào)H04L12/56GK1722661SQ200510083390
公開日2006年1月18日 申請(qǐng)日期2005年7月14日 優(yōu)先權(quán)日2004年7月14日
發(fā)明者平野貴史, 布目淳, 平田博章, 柴山潔 申請(qǐng)人:日本電氣株式會(huì)社