[go: up one dir, main page]

JP2012070225A - Network relay device and transfer control system - Google Patents

Network relay device and transfer control system Download PDF

Info

Publication number
JP2012070225A
JP2012070225A JP2010213442A JP2010213442A JP2012070225A JP 2012070225 A JP2012070225 A JP 2012070225A JP 2010213442 A JP2010213442 A JP 2010213442A JP 2010213442 A JP2010213442 A JP 2010213442A JP 2012070225 A JP2012070225 A JP 2012070225A
Authority
JP
Japan
Prior art keywords
terminal device
authentication
identification information
filtering
network relay
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2010213442A
Other languages
Japanese (ja)
Inventor
Hiroshi Ishizaki
洋 石崎
Tomoiwa Tatsumi
知厳 巽
Tatsuro Matsumoto
達郎 松本
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Cable Ltd
Original Assignee
Hitachi Cable Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Cable Ltd filed Critical Hitachi Cable Ltd
Priority to JP2010213442A priority Critical patent/JP2012070225A/en
Publication of JP2012070225A publication Critical patent/JP2012070225A/en
Pending legal-status Critical Current

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Abstract

PROBLEM TO BE SOLVED: To apply various policies to an individual terminal device or an individual user who uses the terminal device without being limited to a VLAN.SOLUTION: An authentication server 20 executes authentication of respective terminal devices 10, 12, 14, 16 and authentication of a user who uses those terminal devices, using a prescribed network authentication method. Network relay devices 1, 2 perform filtering with respect to a user frame based on a policy corresponding to a class ID allocated to an individual terminal device or a user in the process of relaying the user frame received from authenticated respective terminal devices 10, 12, 14, 16.

Description

本発明は、ネットワーク中継装置及び転送制御システムに関する。   The present invention relates to a network relay device and a transfer control system.

従来、端末機器がスイッチングハブを介して接続されたネットワークや所定のサーバへの通信を実行する前に、スイッチングハブを介して接続された認証サーバが所定のネットワーク認証方式を用いて端末機器のユーザ個人を認証する先行技術が知られている(例えば、特許文献1参照。)。この先行技術では、スイッチングハブに端末機器やルータ等が接続されており、さらにルータを介してRADIUS(Remote Authentication Dial In User Service)サーバ等が接続されている。   Conventionally, before a terminal device performs communication to a network or a predetermined server connected via a switching hub, an authentication server connected via the switching hub uses a predetermined network authentication method to Prior art for authenticating an individual is known (for example, see Patent Document 1). In this prior art, a terminal device, a router, and the like are connected to a switching hub, and a RADIUS (Remote Authentication Dial In User Service) server and the like are further connected to the switching hub.

先行技術で用いられるRADIUSサーバには、予めこれを管理する作業者により端末機器を使用するユーザを個別に識別するためのユーザIDとパスワード、及びユーザに割り当てられたVLAN(Virtual Local Area Network) IDを登録しておくことができる。そしてRADIUSサーバは、スイッチングハブに接続された端末機器を使用するユーザの認証を行い、認証が成功すると認証結果とともにVLAN IDを示す応答パケットをスイッチングハブへ通知する。スイッチングハブは受信した応答パケットに基づいて、認証に成功した端末機器が接続されているポートにVLANを設定する。   The RADIUS server used in the prior art includes a user ID and a password for individually identifying a user who uses the terminal device by a worker who manages the server in advance, and a VLAN (Virtual Local Area Network) ID assigned to the user. Can be registered. The RADIUS server authenticates the user who uses the terminal device connected to the switching hub. When the authentication is successful, the RADIUS server notifies the switching hub of a response packet indicating the VLAN ID together with the authentication result. Based on the received response packet, the switching hub sets the VLAN to the port to which the terminal device that has been successfully authenticated is connected.

このため上記の先行技術によれば、RADIUSサーバや端末機器を管理する作業者が、RADIUSサーバに端末機器に割り当てられたMAC(Media Access Control)アドレスやIP(Internet Protocol)アドレス等の送信元情報を登録しなくても、個々のユーザを識別するユーザIDとパスワード、及びユーザに対応するVLAN IDを予め登録しておけば、ユーザの認証とともにスイッチングハブのポートに対してVLANを自動的に設定することができる。   For this reason, according to the above prior art, an operator who manages a RADIUS server or a terminal device transmits source information such as a MAC (Media Access Control) address or an IP (Internet Protocol) address assigned to the RADIUS server. Even if the user ID and password for identifying each user and the VLAN ID corresponding to the user are registered in advance, the VLAN is automatically set to the port of the switching hub together with the user authentication. can do.

特開2005−286558号公報JP 2005-286558 A

ところで、一般的に認証された端末機器から送信されたフレームをスイッチングハブにおいて受信した場合、スイッチングハブにてアクセスリストや、ルーティング、優先制御等のポリシー(フィルタリング条件)に基づいて受信したフレームをフィルタリングすることで、通信セキュリティの強化をさらに向上することができると考えられる。   By the way, when a frame transmitted from a generally authenticated terminal device is received by the switching hub, the received frame is filtered by the switching hub based on policies (filtering conditions) such as an access list, routing, and priority control. By doing so, it is considered that the communication security can be further improved.

しかしながら、スイッチングハブにおいて端末機器が接続されたポートにVLAN IDが設定されている場合、このVLAN ID単位で共通のポリシーを適用することはできたとしても、現状では同一のVLAN IDに所属する個々のユーザに対して各種のポリシーを自由に設定することができない。   However, when a VLAN ID is set for a port to which a terminal device is connected in a switching hub, even though a common policy can be applied in units of VLAN IDs, each individual belonging to the same VLAN ID at present Various policies cannot be freely set for the user.

そこで本発明は、VLANに限定されず、個々の端末機器又は端末機器を使用する個々のユーザに対して、様々なポリシーを適用することができる技術の提供を課題とする。   Therefore, the present invention is not limited to a VLAN, and an object of the present invention is to provide a technology that can apply various policies to individual terminal devices or individual users who use the terminal devices.

上記の目的を達成するために本発明のネットワーク中継装置は、端末機器から送信されたユーザフレームを中継するネットワーク中継装置であって、端末機器を識別する端末機器識別情報とフィルタリング用識別情報とを対応付けて記憶するフィルタリング用識別情報記憶部と、ユーザフレームに格納されたユーザフレームを送信した端末機器の端末機器識別情報によりフィルタリング用識別情報記憶部を参照し、端末機器識別情報に対応するフィルタリング用識別情報を特定する転送処理部と、フィルタリング用識別情報とフィルタリングのためのポリシーとを対応付けて記憶しており、転送処理部において特定されたフィルタリング用識別情報に対応するポリシーに基づいて、ユーザフレームに対しフィルタリングを実行するフィルタリング部とを備える。   In order to achieve the above object, a network relay device of the present invention is a network relay device that relays a user frame transmitted from a terminal device, and includes terminal device identification information for identifying the terminal device and filtering identification information. Filtering corresponding to the terminal device identification information by referring to the filtering identification information storage unit stored in association with the filtering identification information storage unit by the terminal device identification information of the terminal device that transmitted the user frame stored in the user frame A transfer processing unit that identifies the identification information for filtering, and a filtering identification information and a policy for filtering are stored in association with each other, based on the policy corresponding to the filtering identification information identified in the transfer processing unit, Filtering that performs filtering on user frames And a grayed part.

また、上記の目的を達成するために本発明の転送制御システムは、端末機器と、端末機器から送信されたユーザフレームを中継するネットワーク中継装置とからなり、ネットワーク中継装置がユーザフレームを中継する際にユーザフレームをフィルタリングする転送制御システムであって、ネットワーク中継装置は、端末機器を識別する端末機器識別情報とフィルタリング用識別情報とを対応付けて記憶するフィルタリング用識別情報記憶部と、ユーザフレームに格納されたユーザフレームを送信した端末機器の端末機器識別情報によりフィルタリング用識別情報記憶部を参照し、端末機器識別情報に対応するフィルタリング用識別情報を特定する転送処理手段と、フィルタリング用識別情報とフィルタリングのためのポリシーとを対応付けて記憶しており、転送処理手段により特定されたフィルタリング用識別情報に対応するポリシーに基づいて、ユーザフレームに対しフィルタリングを実行するフィルタリング手段とを備える。   In order to achieve the above object, the transfer control system of the present invention includes a terminal device and a network relay device that relays a user frame transmitted from the terminal device. When the network relay device relays a user frame, The network relay apparatus includes a filtering identification information storage unit that stores therein terminal device identification information for identifying terminal devices and filtering identification information in association with each other, and a user frame. A transfer processing means for identifying the filtering identification information corresponding to the terminal device identification information by referring to the filtering identification information storage unit by the terminal device identification information of the terminal device that has transmitted the stored user frame; and the filtering identification information; Map to policy for filtering Stored and, based on the policy corresponding to the filtering identification information specified by the transferring unit, and a filtering means for performing filtering to the user frame.

本発明のネットワーク中継装置及び転送制御システムによれば、VLANに限定されず、個々の端末機器又は端末機器を使用する個々のユーザに対して、様々なポリシーを適用することができる。   According to the network relay device and transfer control system of the present invention, various policies can be applied to individual terminal devices or individual users using the terminal devices, without being limited to VLANs.

第1実施形態の転送制御システムの構成例を概略的に示す図である。It is a figure which shows roughly the structural example of the transfer control system of 1st Embodiment. ネットワーク中継装置及び認証サーバの機能的な構成を概略的に示すブロック図である。It is a block diagram which shows roughly the functional structure of a network relay apparatus and an authentication server. ネットワーク中継装置のクラスIDテーブルを示す表である。It is a table | surface which shows the class ID table of a network relay apparatus. フィルタリング部が有するフィルタリングテーブルを示す表である。It is a table | surface which shows the filtering table which a filtering part has. 認証DBに登録された認証情報及びクラスIDを示す表である。It is a table | surface which shows the authentication information and class ID registered into authentication DB. ユーザフレームの転送処理の流れを示すシーケンス図である。It is a sequence diagram which shows the flow of the transfer process of a user frame. 第2実施形態の転送処理システムの構成例を概略的に示す図である。It is a figure which shows roughly the structural example of the transfer processing system of 2nd Embodiment. 第2実施形態のネットワーク中継装置の機能的な構成を概略的に示すブロック図である。It is a block diagram which shows roughly the functional structure of the network relay apparatus of 2nd Embodiment. 第2実施形態におけるユーザフレームの転送処理の流れを示すシーケンス図である。It is a sequence diagram which shows the flow of the transfer process of the user frame in 2nd Embodiment.

以下、本発明の実施形態について図面を参照しながら説明する。なお、以下ではネットワーク中継装置で実行される実施形態を中心として説明するが、ネットワーク中継装置及び端末機器を組み合わせたものが「転送制御システム」としての実施形態となる。   Hereinafter, embodiments of the present invention will be described with reference to the drawings. In the following, an embodiment executed by the network relay device will be mainly described, but a combination of the network relay device and the terminal device is an embodiment as a “transfer control system”.

〔第1実施形態〕
図1は、第1実施形態の転送制御システムの構成例を概略的に示す図である。ネットワーク中継装置1,2には、複数のポート4が備えられており、このうちいずれかのポート4に無線通信用のアクセスポイント6及びHUB8がそれぞれ接続されている。また、アクセスポイント6及びHUB8には、端末機器10,12及び端末機器14,16がそれぞれ接続されている。また、ネットワーク中継装置1,2には、企業内ネットワーク18を介して、認証サーバ20及び業務サーバ22が接続されている。また、ネットワーク中継装置1,2には、企業内ネットワーク18及びルータ24を介して、公衆ネットワーク26が接続されている。なお、ネットワーク中継装置1,2には、図示しない複数の端末機器や、部門サーバ、部門内ネットワーク等が接続されていてもよい。 [First Embodiment]
FIG. 1 is a diagram schematically illustrating a configuration example of a transfer control system according to the first embodiment. The network relay apparatuses 1 and 2 are provided with a plurality of ports 4, and an access point 6 and a HUB 8 for wireless communication are connected to any one of the ports 4. In addition, terminal devices 10 and 12 and terminal devices 14 and 16 are connected to the access point 6 and the HUB 8, respectively. In addition, an authentication server 20 and a business server 22 are connected to the network relay devices 1 and 2 via the corporate network 18. Further, a public network 26 is connected to the network relay devices 1 and 2 via the corporate network 18 and the router 24. The network relay devices 1 and 2 may be connected to a plurality of terminal devices, department servers, department networks, and the like (not shown).

〔転送制御システムの概要〕
ネットワーク中継装置1,2は、例えばOSI(Open Systems Interconnection)参照モデルのレイヤ2及びレイヤ3等のデータ転送機能を備えたスイッチングハブである。ネットワーク中継装置1,2は、端末機器10,12,14,16から送信されたユーザフレームを宛先の端末機器10,12,14,16に転送したり、図示しない複数の端末機器や、業務サーバ22、公衆ネットワーク26等へ転送したりする。なお、本明細書において、「ユーザフレーム」は、端末機器10,12,14,16から送信されるレイヤ2のフレーム及びレイヤ3のパケットを含む意味にて使用する。 [Overview of transfer control system]
The network relay apparatuses 1 and 2 are switching hubs having data transfer functions such as layer 2 and layer 3 of an OSI (Open Systems Interconnection) reference model, for example. The network relay devices 1 and 2 transfer user frames transmitted from the terminal devices 10, 12, 14, and 16 to the destination terminal devices 10, 12, 14, and 16, and a plurality of terminal devices and business servers (not shown) 22 or the public network 26 or the like. In the present specification, the “user frame” is used to include a layer 2 frame and a layer 3 packet transmitted from the terminal devices 10, 12, 14, and 16.

また、ネットワーク中継装置1,2は、認証機能を有し、認証に成功していない端末機器からのデータは中継を遮断し、認証に成功した端末機器からのデータは中継を行う。なお、ネットワーク中継装置1,2は、認証に成功していない端末機器10,12,14,16と認証サーバ20との間の認証を行うための通信については、中継を行う。   Further, the network relay devices 1 and 2 have an authentication function, and data from a terminal device that has not been successfully authenticated is blocked from relaying, and data from a terminal device that has been successfully authenticated is relayed. The network relay devices 1 and 2 perform relay for communication for performing authentication between the terminal devices 10, 12, 14, 16 and the authentication server 20 that have not been successfully authenticated.

端末機器10,12,14,16は、例えばPC(Personal Computer)やワークステーション等、所定のユーザが操作を行い、データをユーザフレームとして送受信する機器である。   The terminal devices 10, 12, 14, and 16 are devices such as a PC (Personal Computer) and a workstation that are operated by a predetermined user and transmit / receive data as a user frame.

認証サーバ20は、所定のネットワーク認証方式を用いて、個々の端末機器10,12,14,16やこれらを使用するユーザを認証するためのサーバである。認証サーバ20は、上記のネットワーク認証方式として、例えば、ユーザIDとパスワードを入力させるためのWEBページを端末機器に表示させ、入力されたユーザIDとパスワードに基づいてユーザを認証する認証方式(WEB認証)、MAC(Media Access Control)アドレスに基づいて端末機器を認証する認証方式(MAC認証)、IEEE(Institute of Electrical and Electronic Engineers)802.1x規格に基づく認証方式、RADIUSプロトコルに基づく認証方式等を用いて、端末機器10,12,14,16やこれらを使用するユーザを認証する。   The authentication server 20 is a server for authenticating each terminal device 10, 12, 14, 16 and a user who uses these using a predetermined network authentication method. As the network authentication method, for example, the authentication server 20 displays a WEB page for inputting a user ID and a password on the terminal device, and authenticates the user based on the input user ID and password (WEB). Authentication), an authentication method (MAC authentication) for authenticating a terminal device based on a MAC (Media Access Control) address, an authentication method based on the IEEE (Institut of Electrical and Electronic Engineers) 802.1x standard, an authentication method based on the RADIUS protocol, etc. Is used to authenticate the terminal devices 10, 12, 14, 16 and users who use them.

また、認証サーバ20には、予め端末機器10,12,14,16やこれらを使用するユーザを認証するために、MACアドレス、ユーザID及びパスワード等の認証情報、VLAN ID、及び、後述するフィルタリング用識別情報としてのクラスIDが対応付けられて登録されている。認証サーバ20は、上記のネットワーク認証方式に基づいて、各端末機器10,12,14,16との間で認証を行う。例えば、各端末機器10,12,14,16から送信された上記の認証情報は、ネットワーク中継装置1,2を介して認証サーバ20へ転送される。具体的に、認証サーバ20は、受信した認証情報が登録されている場合、認証を成功と判定し、受信した認証情報が登録されていない場合、認証を不成功と判定する。そして、端末機器10,12,14,16は、認証サーバ20による認証が成功すると、ネットワーク中継装置1,2において通信の中継が許可され、ネットワーク中継装置1,2を介して企業内ネットワーク18や業務サーバ22、公衆ネットワーク26等へアクセスすることができる。   Further, in order to authenticate the terminal devices 10, 12, 14, 16 and users who use these in advance, the authentication server 20 authenticates MAC addresses, authentication information such as user IDs and passwords, VLAN IDs, and filtering described later. The class ID as the business identification information is registered in association with each other. The authentication server 20 performs authentication with each terminal device 10, 12, 14, 16 based on the above network authentication method. For example, the authentication information transmitted from each terminal device 10, 12, 14, 16 is transferred to the authentication server 20 via the network relay devices 1, 2. Specifically, the authentication server 20 determines that the authentication is successful when the received authentication information is registered, and determines that the authentication is unsuccessful when the received authentication information is not registered. When the authentication by the authentication server 20 is successful, the terminal devices 10, 12, 14, 16 are permitted to relay communication in the network relay devices 1, 2, and the corporate network 18, The business server 22, the public network 26, etc. can be accessed.

また、ネットワーク中継装置1,2は、認証サーバ20により所定のネットワーク認証方式を用いて認証された各端末機器10,12,14,16から受信したユーザフレームを中継する過程で、例えば、アクセスリストや、ルーティング、優先制御等のポリシー(フィルタリング条件)に基づいて、ユーザフレームをフィルタリングすることができる。なお、ネットワーク中継装置1,2において、ユーザフレームを転送する過程でこれをフィルタリングする手法については、図2〜図4を用いてさらに詳しく後述する。   In addition, the network relay devices 1 and 2 perform, for example, an access list in the process of relaying user frames received from the terminal devices 10, 12, 14, and 16 authenticated by the authentication server 20 using a predetermined network authentication method. In addition, user frames can be filtered based on policies (filtering conditions) such as routing and priority control. Note that a technique for filtering user frames in the process of transferring user frames in the network relay apparatuses 1 and 2 will be described in more detail later with reference to FIGS.

図2は、ネットワーク中継装置1,2及び認証サーバ20の機能的な構成を概略的に示すブロック図である。なお、図2中に点線で示す矢印は、ユーザフレームや認証情報が転送される方向を表している。   FIG. 2 is a block diagram schematically showing functional configurations of the network relay devices 1 and 2 and the authentication server 20. In addition, the arrow shown with a dotted line in FIG. 2 represents the direction in which a user frame or authentication information is transferred.

ネットワーク中継装置1,2は、主にCPU(Central Processing Unit)28、送受信部30、及び制御部32を備えている。   The network relay devices 1 and 2 mainly include a CPU (Central Processing Unit) 28, a transmission / reception unit 30, and a control unit 32.

CPU28は、送受信部30及び制御部32で実行される動作を制御している。
送受信部30は、複数のポート4を備えており、複数のポート4には、図1中に示すアクセスポイント6や、HUB8、認証サーバ20、企業内ネットワーク18、図示しない他の端末機器等が接続されている。 The CPU 28 controls operations executed by the transmission / reception unit 30 and the control unit 32.
The transmission / reception unit 30 includes a plurality of ports 4, and the plurality of ports 4 include the access point 6 shown in FIG. 1, the HUB 8, the authentication server 20, the corporate network 18, other terminal devices (not shown), and the like. It is connected.

送受信部30は、ポート4で受信したユーザフレームを制御部32へ転送する。具体的に、送受信部30は、ユーザフレームに装置内タグを付加し、装置内タグの所定の領域に受信したポートのポート番号を格納し、ユーザフレームを制御部32へ転送する。   The transmission / reception unit 30 transfers the user frame received at the port 4 to the control unit 32. Specifically, the transmission / reception unit 30 adds an in-device tag to the user frame, stores the port number of the received port in a predetermined area of the in-device tag, and transfers the user frame to the control unit 32.

また、送受信部30は、制御部32から転送されたユーザフレームを所定のポート4から送信する。具体的に、送受信部30は、ユーザフレームの装置内タグに格納されている転送先のポート番号を参照し、転送先のポート番号に対応するポート4からユーザフレームを送信する。なお、送受信部30は、ユーザフレームをポート4から送信する際に、ユーザフレームに付加されている装置内タグを除去する。   Further, the transmission / reception unit 30 transmits the user frame transferred from the control unit 32 from a predetermined port 4. Specifically, the transmission / reception unit 30 refers to the transfer destination port number stored in the in-device tag of the user frame, and transmits the user frame from the port 4 corresponding to the transfer destination port number. The transmission / reception unit 30 removes the in-device tag attached to the user frame when transmitting the user frame from the port 4.

制御部32は、転送処理部34、フィルタリング用識別情報記憶部としてのクラスIDテーブル36、FDB(Fowarding Data Base)38、及びフィルタリング手段としてのフィルタリング部40を有しており、主にユーザフレームの転送処理を行う。また、本実施形態において制御部32は、転送処理部34、クラスIDテーブル36、FDB38、及びフィルタリング部40を用い、個々の端末機器10,12,14,16から送信されたユーザフレームに対して、所定のポリシーに基づくフィルタリングを行う。   The control unit 32 includes a transfer processing unit 34, a class ID table 36 as a filtering identification information storage unit, an FDB (Forwarding Data Base) 38, and a filtering unit 40 as a filtering unit. Perform the transfer process. In the present embodiment, the control unit 32 uses the transfer processing unit 34, the class ID table 36, the FDB 38, and the filtering unit 40 to process user frames transmitted from the individual terminal devices 10, 12, 14, and 16. And filtering based on a predetermined policy.

〔フィルタリング用識別情報記憶部〕
フィルタリング用識別情報記憶部としてのクラスIDテーブル36には、ユーザフレームの送信元である端末機器10,12,14,16を識別する端末機器識別情報としてのMACアドレス又はIPアドレスと、フィルタリング用識別情報としてのクラスIDとが対応付けられて登録されている。なお、クラスIDテーブル36については、図3を用いてさらに詳しく後述する。 [Identification information storage unit for filtering]
The class ID table 36 serving as a filtering identification information storage unit includes a MAC address or IP address as terminal device identification information for identifying the terminal device 10, 12, 14, 16 that is the transmission source of the user frame, and a filtering identification. A class ID as information is associated and registered. The class ID table 36 will be described later in detail with reference to FIG.

FDB38には、周知のスイッチングハブに備えられたFDBと同様に、MACアドレスとポート番号とが対応付けられて登録されている。   In the FDB 38, the MAC address and the port number are registered in association with each other in the same manner as the FDB provided in a known switching hub.

〔転送処理部(転送処理手段)〕
転送処理部34は、送受信部30から転送されたユーザフレームを受信する。
転送処理部34は、認証に成功していない端末機器から送信されたユーザフレームを破棄し、認証に成功した端末機器から送信されたユーザフレームに対して転送処理を行う。なお、転送処理部26は、認証に成功していない端末機器から送信されたユーザフレームであって、認証サーバ20との間で認証を行う通信のためのユーザフレームについては、転送処理を行う。また、例えば、制御部32は、認証の成功又は不成功の情報と、ポート番号又は端末機器識別情報とを対応付けて記憶した図示しない認証用テーブルを備え、転送処理部34は、認証用テーブルを参照して、ユーザフレームの転送又は破棄を判定してもよい。 [Transfer processing unit (transfer processing means)]
The transfer processing unit 34 receives the user frame transferred from the transmission / reception unit 30.
The transfer processing unit 34 discards the user frame transmitted from the terminal device that has not been successfully authenticated, and performs transfer processing on the user frame transmitted from the terminal device that has been successfully authenticated. Note that the transfer processing unit 26 performs transfer processing for user frames transmitted from terminal devices that have not been successfully authenticated and for communication with the authentication server 20 for authentication. Further, for example, the control unit 32 includes an authentication table (not shown) in which authentication success or failure information and a port number or terminal device identification information are stored in association with each other, and the transfer processing unit 34 includes an authentication table. The user frame may be determined to be transferred or discarded.

認証に成功した端末機器から送信されたユーザフレームの場合、転送処理部34は、ユーザフレームの送信元情報である送信元MACアドレスにより、クラスIDテーブル36を参照し、送信元MACアドレスと対応付けられて登録されているクラスIDを特定する。転送処理部34は、特定したクラスIDをユーザフレームに付加する。具体的に、ユーザフレームに付加されている装置内タグの所定の領域にクラスIDを格納する。   In the case of a user frame transmitted from a terminal device that has been successfully authenticated, the transfer processing unit 34 refers to the class ID table 36 and associates it with the transmission source MAC address by using the transmission source MAC address that is the transmission source information of the user frame. The registered class ID is specified. The transfer processing unit 34 adds the identified class ID to the user frame. Specifically, the class ID is stored in a predetermined area of the in-device tag attached to the user frame.

次に、転送処理部34は、ユーザフレームの宛先MACアドレスにより、FDB38を参照し、宛先MACアドレスと対応付けられて登録されているポート番号を特定する。転送処理部34は、特定したポート番号をユーザフレームに付加する。具体的に、ユーザフレームに付加された装置内タグの所定の領域にポート番号を格納する。また、転送処理部34は、ユーザフレームの送信元MACアドレスと、ユーザフレームに付加されている装置内タグに格納されている受信したポートのポート番号とを対応付けて、FDB38に登録する。   Next, the transfer processing unit 34 refers to the FDB 38 based on the destination MAC address of the user frame, and identifies the port number registered in association with the destination MAC address. The transfer processing unit 34 adds the specified port number to the user frame. Specifically, the port number is stored in a predetermined area of the in-device tag added to the user frame. In addition, the transfer processing unit 34 associates the transmission source MAC address of the user frame with the port number of the received port stored in the in-device tag attached to the user frame, and registers it in the FDB 38.

次に、転送処理部34は、ユーザフレームをフィルタリング部40経由で、送受信部30へ転送する。   Next, the transfer processing unit 34 transfers the user frame to the transmission / reception unit 30 via the filtering unit 40.

〔フィルタリング部(フィルタリング手段)〕
フィルタリング部40は、転送処理部34が送受信部30へユーザフレームを転送する過程で、ユーザフレームに付加されたクラスIDを参照し、クラスIDに対応するポリシーに基づいてユーザフレームをフィルタリングする。具体的に、フィルタリング部40は、クラスIDとポリシーとを対応付けて記憶したフィルタリング情報記憶部としてのフィルタリングテーブル42を有する。フィルタリング部40は、フィルタリングテーブル42にユーザフレームに付加されたクラスIDと対応付けられて記憶されているポリシーに基づき、アクセスリストや、ルーティング、優先制御等のフィルタリングを行う。 [Filtering section (filtering means)]
The filtering unit 40 refers to the class ID added to the user frame while the transfer processing unit 34 transfers the user frame to the transmission / reception unit 30, and filters the user frame based on the policy corresponding to the class ID. Specifically, the filtering unit 40 includes a filtering table 42 as a filtering information storage unit that stores a class ID and a policy in association with each other. The filtering unit 40 performs filtering such as an access list, routing, and priority control based on a policy stored in the filtering table 42 in association with the class ID added to the user frame.

認証サーバ20は、認証部(認証手段)としてのCPU44、及び認証管理部(認証管理手段)としての認証DB46を備えている。CPU44は、例えば、上述したWEB認証や、MAC認証、IEEE802.1x規格に基づく認証方式、RADIUSプロトコルに基づく認証方式等を用いて、端末機器10,12,14,16の認証やこれらを使用するユーザの認証を行う。認証DB46には、例えば、MACアドレス、ユーザID及びパスワード等の認証情報と、各ユーザに割り当てられたVLAN ID、及び各ユーザに割り当てられたクラスIDとが対応付けられて登録されている。   The authentication server 20 includes a CPU 44 as an authentication unit (authentication unit) and an authentication DB 46 as an authentication management unit (authentication management unit). For example, the CPU 44 uses the WEB authentication, the MAC authentication, the authentication method based on the IEEE802.1x standard, the authentication method based on the RADIUS protocol, or the like to authenticate the terminal devices 10, 12, 14, and 16 and uses them. Authenticate the user. In the authentication DB 46, for example, authentication information such as a MAC address, a user ID, and a password, a VLAN ID assigned to each user, and a class ID assigned to each user are registered in association with each other.

CPU44は、例えば、図1中に示す端末機器10から送信された認証情報を、ネットワーク中継装置1を介して受信すると、受信した認証情報により認証DB46を照合する。CPU44は、受信した認証情報が認証DB46に登録されている場合、認証成功と判定し、認証が成功した旨の応答データを端末機器10へ送信する。この際、応答データには、受信した認証情報に対応付けられて認証DB46に記憶されているVLAN IDとクラスIDとが格納される。一方、CPU44は、受信した認証情報が認証DB46に登録されていない場合、認証不成功と判定し、認証不成功である旨の応答データを端末機器10へ送信する。なお、認証DB46に登録された認証情報及びクラスIDを示す表について、図5を用いてさらに詳しく後述する。   For example, when the CPU 44 receives the authentication information transmitted from the terminal device 10 illustrated in FIG. 1 via the network relay device 1, the CPU 44 collates the authentication DB 46 with the received authentication information. When the received authentication information is registered in the authentication DB 46, the CPU 44 determines that the authentication is successful and transmits response data indicating that the authentication is successful to the terminal device 10. At this time, the response data stores the VLAN ID and class ID stored in the authentication DB 46 in association with the received authentication information. On the other hand, if the received authentication information is not registered in the authentication DB 46, the CPU 44 determines that the authentication is unsuccessful, and transmits response data indicating that the authentication is unsuccessful to the terminal device 10. The table indicating the authentication information and class ID registered in the authentication DB 46 will be described later in detail with reference to FIG.

図3は、ネットワーク中継装置1,2のクラスIDテーブル36を示す表である。   FIG. 3 is a table showing the class ID table 36 of the network relay devices 1 and 2.

図3中、左側の列に配置された「送信元アドレス」の欄には、ユーザフレームを送信する端末機器10,12,14,16に割り当てられたMACアドレスやIPアドレス等が示されている。また、右側の列に配置された「クラスID」の欄には、クラスIDが番号で示されている。   In FIG. 3, the “source address” column arranged in the left column indicates MAC addresses, IP addresses, and the like assigned to the terminal devices 10, 12, 14, and 16 that transmit user frames. . In the “class ID” column arranged in the right column, class IDs are indicated by numbers.

上記の番号で示されたクラスIDは、左欄に示されているMACアドレスやIPアドレスと相互に対応している。例えば、クラスIDの欄に示されている「20」は、送信元アドレスの欄に示された端末機器10のMACアドレス又はIPアドレスと対応しており、クラスIDの欄に示された「30」は、端末機器12のMACアドレス又はIPアドレスと相互に対応している。   The class IDs indicated by the numbers correspond to the MAC addresses and IP addresses shown in the left column. For example, “20” shown in the class ID column corresponds to the MAC address or IP address of the terminal device 10 shown in the source address column, and “30” shown in the class ID column. "Corresponds to the MAC address or IP address of the terminal device 12.

例えば、転送処理部34が、端末機器10から送信されたユーザフレームを受信した際、ユーザフレームの送信元MACアドレスや送信元IPアドレスに基づいてクラスIDテーブル36を参照し、端末機器10のMACアドレスやIPアドレスに対応付けられて登録されているクラスID「20」を特定する。そして、特定されたクラスID「20」をユーザフレームに付加する。   For example, when the transfer processing unit 34 receives a user frame transmitted from the terminal device 10, the transfer processing unit 34 refers to the class ID table 36 based on the transmission source MAC address or transmission source IP address of the user frame, and determines the MAC of the terminal device 10. The class ID “20” registered in association with the address or IP address is specified. Then, the identified class ID “20” is added to the user frame.

ネットワーク中継装置1,2は、転送処理部34において、認証サーバ20が送信した認証が成功した旨の応答データを端末機器10,12,14,16へ中継する際に、応答データに格納されているクラスIDを参照し、端末機器10,12,14,16のMACアドレス又はIPアドレスと、クラスIDとを対応付けてクラスIDテーブル36に登録する。   The network relay devices 1 and 2 are stored in the response data when the transfer processing unit 34 relays the response data transmitted from the authentication server 20 to the terminal devices 10, 12, 14, and 16 indicating that the authentication is successful. With reference to the class ID, the MAC address or IP address of the terminal device 10, 12, 14, 16 is associated with the class ID and registered in the class ID table 36.

図4は、フィルタリング部40が有するフィルタリングテーブル42を示す表である。フィルタリング部40は、クラスIDが付加されたユーザフレームが転送処理部34により転送先のポート4へ中継される過程で、クラスIDと対応するポリシーに基づいてユーザフレームをフィルタリングする。ポリシーの内容は、例えば、「アクセスリスト」、「ルーティング」、「優先制御」及び「カウント/ミラー」からなる。なお、ポリシーの内容については、周知のポリシーと同様の規定であり、ここではその詳細な説明を省略する。   FIG. 4 is a table showing a filtering table 42 included in the filtering unit 40. The filtering unit 40 filters the user frame based on the policy corresponding to the class ID in the process in which the user frame to which the class ID is added is relayed to the transfer destination port 4 by the transfer processing unit 34. The contents of the policy include, for example, “access list”, “routing”, “priority control”, and “count / mirror”. The contents of the policy are the same as the known policies, and detailed description thereof is omitted here.

図4中、左端列に配置された「クラスID」の欄には、クラスIDを示す番号「20」や「30」等が示されている。左から2列目〜5列目に掛けてポリシーの具体的な内容である「アクセスリスト」、「ルーティング」、「優先制御」及び「カウント/ミラー」の欄がそれぞれ配置され、クラスIDごとにポリシーの各内容が有効であるか又は無効であるかのいずれかが示されている。   In FIG. 4, in the “class ID” column arranged in the leftmost column, numbers “20” and “30” indicating the class ID are shown. The columns “Access List”, “Routing”, “Priority Control” and “Count / Mirror”, which are the specific contents of the policy, are arranged from the second column to the fifth column from the left. Each content of the policy is shown as either valid or invalid.

例えば、クラスIDの欄に示されたクラスID「20」は、「アクセスリスト」及び「優先制御」の欄が「有効」として示されており、「ルーティング」及び「カウント/ミラー」の欄が「無効」として示されている。したがって、フィルタリング部40は、クラスID「20」が付加されたユーザフレームを受信した場合、アクセスリスト及び優先制御に基づいてユーザフレームをフィルタリングする。   For example, in the class ID “20” shown in the class ID column, the “access list” and “priority control” columns are shown as “valid”, and the “routing” and “count / mirror” columns are shown. Shown as "invalid". Therefore, when receiving the user frame to which the class ID “20” is added, the filtering unit 40 filters the user frame based on the access list and priority control.

なお、上記の「アクセスリスト」、「ルーティング」、「優先制御」、「カウント/ミラー」の4つのに限らず、いずれか一つを用いてもよい。また、その他の内容が、ポリシーに追加されていてもよく、ユーザやこれを管理する作業者がその用途に応じて必要なポリシーをクラスIDに規定することができる。   It should be noted that any one of the above “access list”, “routing”, “priority control”, and “count / mirror” may be used. Other contents may be added to the policy, and a user or an operator who manages the content can specify a necessary policy in the class ID according to the usage.

このように、クラスIDと、各種のポリシーのうちいずれのポリシーを有効とするか、又は無効とするかを自由に組み合わせて規定することができる。このため、例えば、ネットワーク中継装置1,2や端末機器10,12,14,16を管理する作業者は、ユーザ単位又は機器単位でそれぞれに必要なポリシーを規定することができる。   In this way, it is possible to define any combination of the class ID and various policies that are valid or invalid. For this reason, for example, an operator who manages the network relay devices 1 and 2 and the terminal devices 10, 12, 14, and 16 can define necessary policies for each user or each device.

図5は、認証DB46に登録された認証情報及びクラスIDを示す表である。図5中、左端列に配置された「ユーザID」の欄には、各端末機器10,12,14,16を使用するユーザを認識するためのアカウント情報が示されている。ここでは、例えば、端末機器10を使用するユーザを認識ためのアカウント情報として「user1」が「ユーザID」の欄に示されているものとする。   FIG. 5 is a table showing authentication information and class IDs registered in the authentication DB 46. In FIG. 5, the “user ID” column arranged in the leftmost column shows account information for recognizing the user who uses each terminal device 10, 12, 14, 16. Here, for example, it is assumed that “user1” is shown in the “user ID” column as account information for recognizing a user who uses the terminal device 10.

また、左から2列目に配置された「パスワード」の欄には、「ユーザID」の欄に示されているアカウント情報に対応するパスワードが示されている。例えば、「ユーザID」の欄に示された「user1」に対応するパスワードが、「pass1」として「パスワード」の欄に示されている。   In the “password” column arranged in the second column from the left, a password corresponding to the account information shown in the “user ID” column is shown. For example, the password corresponding to “user1” shown in the “user ID” column is shown as “pass1” in the “password” column.

左から3列目に配置された「VLAN ID」の欄には、VLAN情報が示されている。例えば、端末機器10を使用するユーザがVLAN番号10に所属している場合、VLAN番号を表す「10」が「VLAN ID」の欄に示されている。なお、「VLAN ID」の欄の下から1行目〜3行目に示す「−」は、端末機器にVLANが設定されていないことを便宜的に表している。   VLAN information is shown in the “VLAN ID” column arranged in the third column from the left. For example, when the user who uses the terminal device 10 belongs to the VLAN number 10, “10” representing the VLAN number is shown in the “VLAN ID” column. Note that “−” shown in the first to third lines from the bottom of the “VLAN ID” column indicates that no VLAN is set in the terminal device.

右端列に配置された「クラスID」の欄には、上述したクラスIDが番号で示されている。「クラスID」の欄に示されている番号は、「ユーザID」の欄に登録されたアカウント情報と対応しており、例えば「user1」は、クラスIDの欄に示された「20」と対応している。   In the “class ID” column arranged in the rightmost column, the class IDs described above are indicated by numbers. The number shown in the “class ID” column corresponds to the account information registered in the “user ID” column. For example, “user1” is “20” shown in the class ID column. It corresponds.

図6は、ユーザフレームの転送処理の流れを示すシーケンス図である。以下、シーケンス図に基づいて、ユーザフレームの転送処理の流れを説明する。   FIG. 6 is a sequence diagram showing a flow of user frame transfer processing. The flow of user frame transfer processing will be described below based on the sequence diagram.

ステップS10:端末機器10は、所定のネットワーク認証方式に基づき、認証情報を認証サーバ20へ向けて送信する。
ステップS12:ネットワーク中継装置1は、端末機器10から送信された認証情報を認証サーバ20へ転送する。
ステップS14:認証サーバ20は、認証情報を受信すると、認証DB46を参照し、認証の成功又は不成功を判定する。次に、認証サーバ20は、認証した結果を示す応答データを端末機器10へ向けて通知する(ステップS16)。 Step S10: The terminal device 10 transmits authentication information to the authentication server 20 based on a predetermined network authentication method.
Step S12: The network relay device 1 transfers the authentication information transmitted from the terminal device 10 to the authentication server 20.
Step S14: Upon receiving the authentication information, the authentication server 20 refers to the authentication DB 46 and determines whether the authentication is successful or unsuccessful. Next, the authentication server 20 notifies the response data indicating the authentication result to the terminal device 10 (step S16).

ステップS18:ネットワーク中継装置1は、認証サーバ20から送信された応答データを端末機器10へ転送する。なお、認証が成功した場合、ネットワーク中継装置1は、受信した応答データを参照して端末機器10のMACアドレス又はIPアドレスと、クラスIDとを対応付けてクラスIDテーブルに登録する。   Step S18: The network relay device 1 transfers the response data transmitted from the authentication server 20 to the terminal device 10. When the authentication is successful, the network relay device 1 refers to the received response data and registers the MAC address or IP address of the terminal device 10 and the class ID in association with each other in the class ID table.

ここで、端末機器10は、ネットワーク中継装置1から転送された応答データが認証成功を示す場合、ネットワーク中継装置1を介しての通信が可能となる。一方、認証が失敗した場合、例えば、端末機器10を使用するユーザにより再度認証情報を入力し直してステップS10を実行してもよい。いずれにしても、認証が成功しない限り、ネットワーク中継装置1において通信が遮断されるため、端末機器10は、ネットワーク中継装置1を介してデータを送受信することができない。   Here, when the response data transferred from the network relay device 1 indicates successful authentication, the terminal device 10 can communicate via the network relay device 1. On the other hand, when authentication fails, for example, the user who uses the terminal device 10 may input authentication information again and execute step S10. In any case, unless the authentication is successful, communication is interrupted in the network relay device 1, and thus the terminal device 10 cannot transmit and receive data via the network relay device 1.

以下のステップS20からステップS28では、例えば、端末機器10が業務サーバ22へアクセスする場合におけるユーザフレームの転送処理について説明する。   In the following steps S20 to S28, for example, a user frame transfer process when the terminal device 10 accesses the business server 22 will be described.

ステップS20:端末機器10は、業務サーバ22へ向けてユーザフレームを送信する。   Step S20: The terminal device 10 transmits a user frame to the business server 22.

ステップS22:ネットワーク中継装置1は、端末機器10から送信されたユーザフレームを受信すると、ユーザフレームの送信元MACアドレスによりクラスIDテーブル36を参照し、ユーザフレームの送信元MACアドレスに対応付けられて記憶されているクラスID「20」をユーザフレームに付加する。   Step S22: Upon receiving the user frame transmitted from the terminal device 10, the network relay device 1 refers to the class ID table 36 by the transmission source MAC address of the user frame and is associated with the transmission source MAC address of the user frame. The stored class ID “20” is added to the user frame.

ステップS24:次にネットワーク中継装置1は、ユーザフレームの宛先MACアドレスに基づいてFDB38を参照し、ユーザフレームの宛先MACアドレスに対応付けられて記憶されているポート番号を特定し、このポート番号をユーザフレームに付加し、送受信部30にユーザフレームを転送する   Step S24: Next, the network relay device 1 refers to the FDB 38 based on the destination MAC address of the user frame, specifies the port number stored in association with the destination MAC address of the user frame, and sets this port number. Add to user frame and transfer user frame to transceiver 30

ステップS26:ネットワーク中継装置1のフィルタリング部40は、ユーザフレームを送受信部30に転送する過程で、クラスIDに対応するポリシーに基づきユーザフレームのフィルタリングを実行する。例えば、フィルタリング部40は、ユーザフレームにクラスID「20」が付加されている場合、これに対応するポリシーのうち図4中で「有効」を示す「アクセスリスト」及び「優先制御」に基づいてユーザフレームのフィルタリングを行う。なお、本実施形態では、アクセスリストにより、クラスID「20」について業務サーバ20へのアクセスが許可されているものとする。   Step S26: The filtering unit 40 of the network relay device 1 performs user frame filtering based on the policy corresponding to the class ID in the process of transferring the user frame to the transmission / reception unit 30. For example, when the class ID “20” is added to the user frame, the filtering unit 40 is based on the “access list” and “priority control” indicating “valid” in FIG. 4 among the policies corresponding thereto. Filter user frames. In this embodiment, it is assumed that access to the business server 20 is permitted for the class ID “20” by the access list.

ステップS28:ネットワーク中継装置1は、上記のフィルタリングに基づいてユーザフレームをポート4から業務サーバ20へ転送する。なお、このときネットワーク中継装置1は、ユーザフレームに付加されたクラスIDを削除したうえで転送する。   Step S28: The network relay device 1 transfers the user frame from the port 4 to the business server 20 based on the above filtering. At this time, the network relay device 1 deletes the class ID added to the user frame and transfers it.

以下のステップS30からステップS38では、例えば、端末機器10が公衆ネットワーク26へアクセスする場合におけるユーザフレームの転送処理について説明する。   In the following steps S30 to S38, for example, a user frame transfer process when the terminal device 10 accesses the public network 26 will be described.

ステップS30:端末機器10は、公衆ネットワーク26へ向けてユーザフレームを送信する。
ステップS32:ネットワーク中継装置1は、端末機器10から送信されたユーザフレームを受信すると、上述したステップS22〜ステップS24と同様の手順を実行する。すなわち、ネットワーク中継装置1は、クラスID「20」をユーザフレームに付加し(ステップS32)、次に、FDB38を参照して転送先のポート4を特定する(ステップS34)。また、フィルタリング部40はクラスID「20」に規定されたポリシー(アクセスリスト及び優先制御)に基づいて、ユーザフレームのフィルタリングを行なう(ステップS36)。なお、本実施形態では、アクセスリストにより、クラスID「20」について公衆ネットワーク26へのアクセスが禁止されているものとする。 Step S30: The terminal device 10 transmits a user frame toward the public network 26.
Step S32: When the network relay device 1 receives the user frame transmitted from the terminal device 10, the network relay device 1 executes the same procedure as the above-described steps S22 to S24. That is, the network relay device 1 adds the class ID “20” to the user frame (step S32), and then specifies the transfer destination port 4 with reference to the FDB 38 (step S34). Further, the filtering unit 40 performs filtering of user frames based on the policy (access list and priority control) defined for the class ID “20” (step S36). In this embodiment, it is assumed that access to the public network 26 is prohibited for the class ID “20” by the access list.

ステップS38:ネットワーク中継装置1は、ステップS36でユーザフレームのフィルタリングを行なった結果、このユーザフレームを転送先のポート4から送信することなく破棄する。   Step S38: As a result of filtering the user frame in step S36, the network relay device 1 discards the user frame without transmitting it from the transfer destination port 4.

以下のステップS40からステップS44では、端末機器12が認証サーバ20により認証される際の認証情報の転送処理について説明する。   In the following steps S40 to S44, authentication information transfer processing when the terminal device 12 is authenticated by the authentication server 20 will be described.

ステップS40:端末機器12は、端末機器12を利用するユーザによって入力されたユーザIDやパスワード等の認証情報を認証サーバ20へ向けて送信する。   Step S <b> 40: The terminal device 12 transmits authentication information such as a user ID and a password input by a user who uses the terminal device 12 to the authentication server 20.

ステップS42:ネットワーク中継装置1は、端末機器12から送信された認証情報を認証サーバ20へ転送する。   Step S42: The network relay device 1 transfers the authentication information transmitted from the terminal device 12 to the authentication server 20.

ステップS44:認証サーバ20は、認証情報を受信すると、ステップS14と同様に、受信した認証情報により認証DB46を参照し、認証の成功又は不成功を判定する。次に認証サーバ20は、ステップS16と同様に、認証結果を示す応答データを端末機器12へ向けて通知する(ステップS46)。なお、このときネットワーク中継装置1は、受信した応答データの内容を参照して、端末機器12のMACアドレス又はIPアドレスと、クラスIDとを対応付けてクラスIDテーブル36に登録する。   Step S44: Upon receiving the authentication information, the authentication server 20 refers to the authentication DB 46 based on the received authentication information, and determines the success or failure of the authentication, as in step S14. Next, similarly to step S16, the authentication server 20 notifies the terminal device 12 of response data indicating the authentication result (step S46). At this time, the network relay device 1 refers to the content of the received response data and associates the MAC address or IP address of the terminal device 12 with the class ID and registers them in the class ID table 36.

以下のステップS50からステップS58では、ステップS46で認証が成功した後に端末機器12が公衆ネットワーク26へアクセスする場合における、ユーザフレームの転送処理について説明する。   In the following steps S50 to S58, the user frame transfer process when the terminal device 12 accesses the public network 26 after the authentication is successful in step S46 will be described.

ステップS50:端末機器12は、公衆ネットワーク26へ向けてユーザフレームを送信する。
ステップS52:ネットワーク中継装置1は、端末機器12から送信されたユーザフレームを受信すると、ユーザフレームの送信元MACアドレスによりクラスIDテーブル36を参照し、ユーザフレームの送信元MACアドレスと対応付けられて記憶されているクラスID「30」をユーザフレームに付加する。 Step S50: The terminal device 12 transmits a user frame toward the public network 26.
Step S52: Upon receiving the user frame transmitted from the terminal device 12, the network relay device 1 refers to the class ID table 36 by the transmission source MAC address of the user frame and is associated with the transmission source MAC address of the user frame. The stored class ID “30” is added to the user frame.

ステップS54:次にネットワーク中継装置1は、ユーザフレームの宛先MACアドレスによりFDB38を参照し、ユーザフレームの宛先MACアドレスと対応付けられて記憶されているポート番号を特定し、このポート番号をユーザフレームに付加し、送受信部30にユーザフレームを転送する。   Step S54: Next, the network relay device 1 refers to the FDB 38 with the destination MAC address of the user frame, specifies the port number stored in association with the destination MAC address of the user frame, and uses this port number as the user frame. And the user frame is transferred to the transmission / reception unit 30.

ステップS56:ネットワーク中継装置1は、ユーザフレームを転送先のポート4へ転送する過程で、フィルタリング部40により、ユーザフレームに付加されたクラスIDに対応するポリシーに基づいてフィルタリングを行う。例えば、ユーザフレームにクラスID「30」が付加されている場合、図4中で「有効」として示された「ルーティング」及び「優先制御」に基づいてユーザフレームの転送制御を行なう。   Step S56: In the process of transferring the user frame to the transfer destination port 4, the network relay device 1 performs filtering based on a policy corresponding to the class ID added to the user frame by the filtering unit 40. For example, when the class ID “30” is added to the user frame, transfer control of the user frame is performed based on “routing” and “priority control” indicated as “valid” in FIG.

ステップS58:ネットワーク中継装置1は、フィルタリング部40において上記の「ルーティング」及び「優先制御」に基づいてユーザフレームのフィルタリングを行い、このユーザフレームをポート4から公衆ネットワーク26へ送信する。   Step S <b> 58: The network relay device 1 performs filtering of user frames based on the above “routing” and “priority control” in the filtering unit 40, and transmits the user frames to the public network 26 from the port 4.

このように、ネットワーク中継装置1,2は、端末機器10,12,14,16の端末機器識別情報とクラスIDとを対応付けて記憶することにより、端末機器10,12,14,16が送信するユーザフレームに対して、それぞれクラスIDに対応するポリシーに基づくフィルタリングを実行することができる。   As described above, the network relay devices 1 and 2 store the terminal device identification information and the class ID of the terminal devices 10, 12, 14, and 16 in association with each other, thereby transmitting the terminal devices 10, 12, 14, and 16. Filtering based on the policy corresponding to the class ID can be executed for each user frame.

また、認証DB46に、端末機器又は端末機器を使用するユーザを認証する認証情報と、クラスIDとを対応付けて記憶することにより、端末機器又はユーザ単位で、クラスIDに対応するポリシーを適用することができる。   Further, by storing the authentication information for authenticating the terminal device or the user who uses the terminal device in association with the class ID in the authentication DB 46, the policy corresponding to the class ID is applied on a terminal device or user basis. be able to.

また、フィルタリングテーブル42にクラスIDとクラスIDに対応するポリシーの内容を記憶させることにより、容易に各種のポリシーを設定できる。そして、端末機器又はユーザにクラスIDを割り当てることで、設定したポリシーを端末機器又はユーザ単位で適用することができる。よって、ネットワーク中継装置1,2は、VLAN単位で各種のポリシーを適用することに限定されず、同じVLANに所属していても、端末機器又はユーザにクラスIDを割り当てることで、端末機器又はユーザ単位で各種のポリシーを適用することができる。   Further, by storing the class ID and the contents of the policy corresponding to the class ID in the filtering table 42, various policies can be easily set. Then, by assigning a class ID to a terminal device or a user, the set policy can be applied on a terminal device or user basis. Therefore, the network relay devices 1 and 2 are not limited to applying various policies in units of VLANs, and even if they belong to the same VLAN, by assigning a class ID to the terminal device or user, the terminal device or user Various policies can be applied in units.

〔第2実施形態〕
次に、第2実施形態のネットワーク中継装置1,2について説明する。第2実施形態では、認証サーバ20の代わりにネットワーク中継装置1,2においてネットワーク認証が行われる点が第1実施形態と異なっている。その他の構成は第1実施形態と同様であり、第2実施形態では、第1実施形態と共通の構成には図示とともに同じ符号を付し、重複した説明を省略するものとする。 [Second Embodiment]
Next, the network relay devices 1 and 2 according to the second embodiment will be described. The second embodiment is different from the first embodiment in that network authentication is performed in the network relay devices 1 and 2 instead of the authentication server 20. Other configurations are the same as those of the first embodiment, and in the second embodiment, the same reference numerals are given to the configurations common to the first embodiment, and redundant description will be omitted.

図7は、第2実施形態の転送処理システムの構成例を概略的に示す図である。ネットワーク中継装置1,2のポート4には、企業内ネットワーク18を介して業務サーバ20、公衆ネットワーク26等が接続されている。   FIG. 7 is a diagram schematically illustrating a configuration example of a transfer processing system according to the second embodiment. The business server 20, the public network 26, and the like are connected to the port 4 of the network relay apparatuses 1 and 2 via the corporate network 18.

また、ネットワーク中継装置1,2のポート4には、アクセスポイント6及びHUB8が接続されている。アクセスポイント6及びHUB8に接続された端末機器10,12,14,16は、ネットワーク中継装置1,2を介して、業務サーバ20、公衆ネットワーク26へアクセスすることができる。また、ネットワーク中継装置1,2は、所定のネットワーク認証方式を用いて、端末機器10,12,14,16の認証やこれらを使用するユーザの認証を実行する。また、ネットワーク中継装置1,2は、端末機器10,12,14,16が業務サーバ20、や公衆ネットワーク26へアクセスする際、各種のポリシーに基づいてフィルタリングを行う。   An access point 6 and a HUB 8 are connected to the port 4 of the network relay devices 1 and 2. The terminal devices 10, 12, 14, and 16 connected to the access point 6 and the HUB 8 can access the business server 20 and the public network 26 via the network relay devices 1 and 2. Further, the network relay devices 1 and 2 execute authentication of the terminal devices 10, 12, 14, and 16 and authentication of users who use them using a predetermined network authentication method. The network relay devices 1 and 2 perform filtering based on various policies when the terminal devices 10, 12, 14, and 16 access the business server 20 and the public network 26.

図8は、第2実施形態のネットワーク中継装置1,2の機能的な構成を概略的に示すブロック図である。第2実施形態のネットワーク中継装置1,2は、認証部(認証手段)としてのCPU28と、認証管理部(認証管理手段)としての認証DB48とを備える。   FIG. 8 is a block diagram schematically illustrating a functional configuration of the network relay devices 1 and 2 according to the second embodiment. The network relay devices 1 and 2 according to the second embodiment include a CPU 28 as an authentication unit (authentication unit) and an authentication DB 48 as an authentication management unit (authentication management unit).

第1実施形態では、予め作業者が認証サーバ20の認証DB46にユーザIDやパスワード、VLAN ID、クラスID等を登録することで、複数のネットワーク中継装置1,2を介して接続された端末機器10,12,14,16を利用するユーザ等の認証情報を認証サーバ20で一元的に管理していた。しかし、第2実施形態のネットワーク中継装置1,2のように、それぞれのネットワーク中継装置1,2に接続された端末機器に関して、認証情報を各ネットワーク中継装置1,2の認証DB48に記憶させておくこともできる。   In the first embodiment, the operator registers the user ID, password, VLAN ID, class ID, etc. in the authentication DB 46 of the authentication server 20 in advance, so that the terminal devices connected via the plurality of network relay devices 1 and 2 Authentication information of users and the like who use 10, 12, 14, and 16 is centrally managed by the authentication server 20. However, authentication information is stored in the authentication DB 48 of each network relay device 1 and 2 for the terminal devices connected to the respective network relay devices 1 and 2 like the network relay devices 1 and 2 of the second embodiment. It can also be left.

この場合、ネットワーク中継装置1,2のCPU28は、端末機器10,12,14,16から送信された認証情報を受信すると、受信した認証情報により認証DB48を参照し、認証DB48に認証情報が登録されている場合、認証は成功と判定し、認証DB48に認証情報が登録されていない場合、認証は不成功と判定する。認証が成功した場合、各端末機器10,12,14,16は、ネットワーク中継装置1,2を介して業務サーバ20、公衆ネットワーク26へアクセスすることができる。また、制御部32はフィルタリング部40により、クラスIDに対応するポリシーに基づいて業務サーバ20や、公衆ネットワーク26へのアクセスを制限したり、転送経路を決定したりする。   In this case, when the CPU 28 of the network relay device 1 or 2 receives the authentication information transmitted from the terminal device 10, 12, 14, or 16, the authentication DB 48 is referred to by the received authentication information, and the authentication information is registered in the authentication DB 48. If the authentication information is not registered in the authentication DB 48, the authentication is determined to be unsuccessful. If the authentication is successful, each terminal device 10, 12, 14, 16 can access the business server 20 and the public network 26 via the network relay devices 1, 2. Further, the control unit 32 uses the filtering unit 40 to restrict access to the business server 20 and the public network 26 based on a policy corresponding to the class ID, and to determine a transfer route.

図9は、第2実施形態におけるユーザフレームの転送処理の流れを示すシーケンス図である。   FIG. 9 is a sequence diagram illustrating a flow of user frame transfer processing according to the second embodiment.

ステップS60:端末機器10は、ユーザIDやパスワード等、端末機器10を利用するユーザによって入力された認証情報をネットワーク中継装置1へ向けて送信する。   Step S60: The terminal device 10 transmits the authentication information input by the user who uses the terminal device 10, such as a user ID and a password, to the network relay device 1.

ステップS62:ネットワーク中継装置1は、受信した認証情報により認証DB48を参照し、認証の成功又は不成功を判定する。次に、ネットワーク中継装置1は、認証した結果を端末機器10へ向けて通知する(ステップS64)。   Step S62: The network relay device 1 refers to the authentication DB 48 based on the received authentication information, and determines whether authentication is successful or unsuccessful. Next, the network relay device 1 notifies the authentication result to the terminal device 10 (step S64).

端末機器10は、ネットワーク中継装置1を介して通信を行う際に、第1実施形態と同様に、端末機器10に割り当てられたクラスIDに対応するポリシーに基づくフィルタリングが行われる。具体的に、端末機器10は、業務サーバ22へアクセスすることができるが、公衆ネットワーク26にはアクセスすることができない。   When the terminal device 10 performs communication via the network relay device 1, filtering based on a policy corresponding to the class ID assigned to the terminal device 10 is performed as in the first embodiment. Specifically, the terminal device 10 can access the business server 22 but cannot access the public network 26.

ステップS70:端末機器12も、端末機器10と同様に、認証情報をネットワーク中継装置1へ向けて送信する。ネットワーク中継装置1は、端末機器12から送信された認証情報を受信すると、上記のステップS62及びステップS64と同様に、受信した認証情報により認証DB48を参照し、認証の成功又は不成功を判定する(ステップS72)。そして、ネットワーク中継装置1は、認証した結果を端末機器12へ向けて通知する(ステップS74)。   Step S70: Similarly to the terminal device 10, the terminal device 12 also transmits authentication information to the network relay device 1. Upon receiving the authentication information transmitted from the terminal device 12, the network relay device 1 refers to the authentication DB 48 based on the received authentication information and determines whether the authentication is successful or unsuccessful, as in steps S62 and S64 described above. (Step S72). Then, the network relay device 1 notifies the authentication result to the terminal device 12 (step S74).

このように、各ネットワーク中継装置1,2は、様々なネットワーク認証方式を用いて各端末機器10,12,14,16の認証やユーザの認証を実行することができる。さらに、ネットワーク中継装置1,2は、認証された各端末機器10,12,14,16から送信されたユーザフレームに対して個々のクラスIDを付加することができる。これにより、各端末機器10,12,14,16からネットワーク中継装置1,2を介して実行される通信と、各端末機器10,12,14,16やこれらを使用するユーザに割り当てられた認証情報を各ネットワーク中継装置1,2において効率的に管理することができる。   Thus, each network relay apparatus 1 and 2 can perform authentication of each terminal device 10, 12, 14, 16 and user authentication using various network authentication methods. Further, the network relay devices 1 and 2 can add individual class IDs to the user frames transmitted from the authenticated terminal devices 10, 12, 14, and 16. Thereby, the communication executed from each terminal device 10, 12, 14, 16 through the network relay devices 1, 2 and the authentication assigned to each terminal device 10, 12, 14, 16 and the user who uses them. Information can be efficiently managed in each of the network relay devices 1 and 2.

本発明のネットワーク中継装置及び転送制御システムによれば、端末機器やこれを使用するユーザに割り当てられたユーザに割り当てられたクラスIDごとに各種のポリシーを適用することができる。これにより、端末機器又はユーザ単位で、フィルタリングポリシーを適用することができる。   According to the network relay device and transfer control system of the present invention, various policies can be applied for each class ID assigned to a terminal device or a user assigned to a user who uses the terminal device. Thereby, a filtering policy can be applied per terminal device or user.

1,2 ネットワーク中継装置
10,12,14,16 端末機器
20 認証サーバ
34 転送処理部
36 クラスIDテーブル
38 FDB
40 フィルタリング部
46,48 認証DB 1, 2, Network relay device 10, 12, 14, 16 Terminal device 20 Authentication server 34 Transfer processing unit 36 Class ID table 38 FDB
40 Filtering unit 46, 48 Authentication DB

Claims (10)

端末機器から送信されたユーザフレームを中継するネットワーク中継装置であって、
前記端末機器を識別する端末機器識別情報とフィルタリング用識別情報とを対応付けて記憶するフィルタリング用識別情報記憶部と、
前記ユーザフレームに格納された前記ユーザフレームを送信した前記端末機器の前記端末機器識別情報により前記フィルタリング用識別情報記憶部を参照し、前記端末機器識別情報に対応する前記フィルタリング用識別情報を特定する転送処理部と、
前記フィルタリング用識別情報とフィルタリングのためのポリシーとを対応付けて記憶しており、前記転送処理部において特定された前記フィルタリング用識別情報に対応する前記ポリシーに基づいて、前記ユーザフレームに対しフィルタリングを実行するフィルタリング部と
を備えるネットワーク中継装置。 A network relay device that relays a user frame transmitted from a terminal device,
A filtering identification information storage unit that stores the terminal device identification information for identifying the terminal device and the filtering identification information in association with each other;
The filtering identification information storage unit is referred to by the terminal device identification information of the terminal device that has transmitted the user frame stored in the user frame, and the filtering identification information corresponding to the terminal device identification information is specified. A transfer processing unit;
The filtering identification information and the filtering policy are stored in association with each other, and filtering is performed on the user frame based on the policy corresponding to the filtering identification information specified by the transfer processing unit. A network relay device comprising a filtering unit to be executed. 前記端末機器は、前記ネットワーク中継装置を介して、又は前記ネットワーク中継装置との間で、所定のネットワーク認証方式によって認証を行い、
前記転送処理部は、
認証が成功した前記端末機器について、前記端末機器識別情報と前記フィルタリング用識別情報とを対応付けて前記フィルタリング用識別情報記憶部に記憶する
請求項1に記載のネットワーク中継装置。 The terminal device performs authentication by a predetermined network authentication method via the network relay device or with the network relay device,
The transfer processing unit
The network relay device according to claim 1, wherein the terminal device identification information and the filtering identification information are associated with each other and stored in the filtering identification information storage unit for the terminal device that has been successfully authenticated. 前記端末機器又は前記端末機器を使用するユーザを認証するための認証情報と、前記フィルタリング用識別情報とを対応付けて記憶する認証管理部と、
前記端末機器から前記認証情報が送信された場合、受信した前記認証情報により前記認証管理部を参照して認証を実行する認証部と
を更に備え、
前記転送処理部は、
前記認証部による認証が成功した場合、認証が成功した前記端末機器の前記端末機器識別情報と、認証が成功した前記認証情報に対応して前記認証管理部に記憶されている前記フィルタリング用識別情報とを対応付けて、前記フィルタリング用識別情報記憶部に記憶する
請求項2に記載のネットワーク中継装置。 An authentication management unit for storing authentication information for authenticating the terminal device or a user who uses the terminal device, and the filtering identification information in association with each other;
When the authentication information is transmitted from the terminal device, further comprising an authentication unit that performs authentication with reference to the authentication management unit by the received authentication information,
The transfer processing unit
When authentication by the authentication unit is successful, the terminal device identification information of the terminal device that has been successfully authenticated, and the filtering identification information stored in the authentication management unit corresponding to the authentication information that has been successfully authenticated The network relay device according to claim 2, which is stored in the filtering identification information storage unit in association with each other. 前記転送処理部は、
前記ユーザフレームに格納された前記ユーザフレームを送信した前記端末機器の前記端末機器識別情報として前記ユーザフレームの送信元情報により前記フィルタリング用識別情報記憶部を参照する
請求項1から3いずれかに記載のネットワーク中継装置。 The transfer processing unit
4. The filtering identification information storage unit is referred to according to transmission source information of the user frame as the terminal device identification information of the terminal device that has transmitted the user frame stored in the user frame. 5. Network relay device. 前記端末機器情報は、前記端末機器に割り当てられたMACアドレス又はIPアドレスである
請求項1から4いずれかに記載のネットワーク中継装置。 The network relay device according to claim 1, wherein the terminal device information is a MAC address or an IP address assigned to the terminal device. 端末機器と、前記端末機器から送信されたユーザフレームを中継するネットワーク中継装置とからなり、前記ネットワーク中継装置が前記ユーザフレームを中継する際に前記ユーザフレームをフィルタリングする転送制御システムであって、
前記ネットワーク中継装置は、
前記端末機器を識別する端末機器識別情報とフィルタリング用識別情報とを対応付けて記憶するフィルタリング用識別情報記憶部と、
前記ユーザフレームに格納された前記ユーザフレームを送信した前記端末機器の前記端末機器識別情報により前記フィルタリング用識別情報記憶部を参照し、前記端末機器識別情報に対応する前記フィルタリング用識別情報を特定する転送処理手段と、
前記フィルタリング用識別情報とフィルタリングのためのポリシーとを対応付けて記憶しており、前記転送処理手段により特定された前記フィルタリング用識別情報に対応する前記ポリシーに基づいて、前記ユーザフレームに対しフィルタリングを実行するフィルタリング手段と
を備える転送制御システム。 A transfer control system comprising a terminal device and a network relay device that relays a user frame transmitted from the terminal device, wherein the network relay device filters the user frame when relaying the user frame,
The network relay device is:
A filtering identification information storage unit that stores the terminal device identification information for identifying the terminal device and the filtering identification information in association with each other;
The filtering identification information storage unit is referred to by the terminal device identification information of the terminal device that has transmitted the user frame stored in the user frame, and the filtering identification information corresponding to the terminal device identification information is specified. Transfer processing means;
The filtering identification information and the filtering policy are stored in association with each other, and filtering is performed on the user frame based on the policy corresponding to the filtering identification information specified by the transfer processing unit. A transfer control system comprising filtering means for execution. 前記端末機器は、前記ネットワーク中継装置を介して、又は前記ネットワーク中継装置との間で、所定のネットワーク認証方式によって認証を行い、
前記転送処理手段は、
認証が成功した前記端末機器について、前記端末機器識別情報と前記フィルタリング用識別情報とを対応付けた前記フィルタリング用識別情報記憶部に記憶をする
請求項6に記載の転送制御システム。 The terminal device performs authentication by a predetermined network authentication method via the network relay device or with the network relay device,
The transfer processing means includes
The transfer control system according to claim 6, wherein the terminal device that has been successfully authenticated is stored in the filtering identification information storage unit that associates the terminal device identification information with the filtering identification information. 前記ネットワーク中継装置は、
前記端末機器又は前記端末機器を使用するユーザを認証するための認証情報と前記フィルタリング用識別情報とを対応付けて記憶する認証管理手段と、
前記端末機器から前記認証情報が送信された場合、受信した前記認証情報により前記認証管理手段により記憶した前記認証情報とこれに対応する前記フィルタリング情報とを参照して認証を実行する認証手段と
を更に備え、
前記転送処理手段は、
前記認証手段による認証が成功した場合、認証が成功した前記端末機器の前記端末機器識別情報と、認証が成功した前記認証情報に対応して前記認証管理手段により記憶された前記フィルタリング用識別情報とを対応付けて、前記フィルタリング用識別情報記憶部へ記憶する
請求項7に記載の転送制御システム。 The network relay device is:
Authentication management means for storing authentication information for authenticating the terminal device or a user who uses the terminal device and the identification information for filtering in association with each other;
When the authentication information is transmitted from the terminal device, authentication means for executing authentication with reference to the authentication information stored by the authentication management means and the filtering information corresponding to the authentication information received by the received authentication information; In addition,
The transfer processing means includes
If the authentication by the authentication unit is successful, the terminal device identification information of the terminal device that has been successfully authenticated, and the filtering identification information stored by the authentication management unit corresponding to the authentication information that has been successfully authenticated, Are associated with each other and stored in the filtering identification information storage unit. 前記転送処理手段は、
前記ユーザフレームに格納された前記ユーザフレームを送信した前記端末機器の前記端末機器識別情報として前記ユーザフレームの送信元情報により前記フィルタリング用識別情報記憶部を参照する
請求項6から8いずれかに記載の転送制御システム。 The transfer processing means includes
9. The filtering identification information storage unit is referred to by the transmission source information of the user frame as the terminal device identification information of the terminal device that has transmitted the user frame stored in the user frame. Transfer control system. 前記端末機器識別情報は、前記端末機器に割り当てられたMACアドレス又はIPアドレスである
請求項6から9いずれかに記載の転送制御システム。 The transfer control system according to claim 6, wherein the terminal device identification information is a MAC address or an IP address assigned to the terminal device.
JP2010213442A 2010-09-24 2010-09-24 Network relay device and transfer control system Pending JP2012070225A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2010213442A JP2012070225A (en) 2010-09-24 2010-09-24 Network relay device and transfer control system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2010213442A JP2012070225A (en) 2010-09-24 2010-09-24 Network relay device and transfer control system

Publications (1)

Publication Number Publication Date
JP2012070225A true JP2012070225A (en) 2012-04-05

Family

ID=46166954

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2010213442A Pending JP2012070225A (en) 2010-09-24 2010-09-24 Network relay device and transfer control system

Country Status (1)

Country Link
JP (1) JP2012070225A (en)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2014061583A1 (en) * 2012-10-15 2014-04-24 日本電気株式会社 Communication node, control device, communication system, packet processing method, and program
JP2014171078A (en) * 2013-03-04 2014-09-18 Nec Corp Network authentication system, network authentication device, network authentication method, and load balancing method of network authentication program network authentication device
JP2015146484A (en) * 2014-01-31 2015-08-13 Kddi株式会社 Communication protection system, filter control device, communication protection method, and computer program
JP2016036079A (en) * 2014-08-01 2016-03-17 日本電信電話株式会社 Information transfer device and information transfer method
JP2020009287A (en) * 2018-07-11 2020-01-16 富士ゼロックス株式会社 Information processing apparatus, information processing system, and program

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004032525A (en) * 2002-06-27 2004-01-29 Nec Corp USER AUTHENTICATION QoS POLICY MANAGEMENT SYSTEM AND METHOD, AND LAN SWITCH
WO2004071038A1 (en) * 2003-02-05 2004-08-19 Nippon Telegraph And Telephone Corporation Firewall device
JP3154679U (en) * 2009-08-06 2009-10-22 アライドテレシスホールディングス株式会社 Relay device and network system

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004032525A (en) * 2002-06-27 2004-01-29 Nec Corp USER AUTHENTICATION QoS POLICY MANAGEMENT SYSTEM AND METHOD, AND LAN SWITCH
WO2004071038A1 (en) * 2003-02-05 2004-08-19 Nippon Telegraph And Telephone Corporation Firewall device
JP3154679U (en) * 2009-08-06 2009-10-22 アライドテレシスホールディングス株式会社 Relay device and network system

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2014061583A1 (en) * 2012-10-15 2014-04-24 日本電気株式会社 Communication node, control device, communication system, packet processing method, and program
JPWO2014061583A1 (en) * 2012-10-15 2016-09-05 日本電気株式会社 COMMUNICATION NODE, CONTROL DEVICE, COMMUNICATION SYSTEM, PACKET PROCESSING METHOD, AND PROGRAM
JP2014171078A (en) * 2013-03-04 2014-09-18 Nec Corp Network authentication system, network authentication device, network authentication method, and load balancing method of network authentication program network authentication device
JP2015146484A (en) * 2014-01-31 2015-08-13 Kddi株式会社 Communication protection system, filter control device, communication protection method, and computer program
JP2016036079A (en) * 2014-08-01 2016-03-17 日本電信電話株式会社 Information transfer device and information transfer method
JP2020009287A (en) * 2018-07-11 2020-01-16 富士ゼロックス株式会社 Information processing apparatus, information processing system, and program
JP7110774B2 (en) 2018-07-11 2022-08-02 富士フイルムビジネスイノベーション株式会社 Information processing device, information processing system, and program

Similar Documents

Publication Publication Date Title
CN1790980B (en) Secure authentication advertisement protocol
CN101501663B (en) A method for securely deploying network equipment
JP4105722B2 (en) Communication device
US7788705B2 (en) Fine grained access control for wireless networks
JP5239341B2 (en) Gateway, relay method and program
US10178095B2 (en) Relayed network access control systems and methods
US20140230044A1 (en) Method and Related Apparatus for Authenticating Access of Virtual Private Cloud
US20130283050A1 (en) Wireless client authentication and assignment
US8201221B2 (en) Data transmission control on network
CN101160839A (en) Access control method, access control system and packet communication device
JP3563714B2 (en) Network connection device
JP2012070225A (en) Network relay device and transfer control system
JP4202286B2 (en) VPN connection control method and system
JP2010062667A (en) Network equipment and network system
CN107294831A (en) Address distribution method and device
JP5261432B2 (en) Communication system, packet transfer method, network switching apparatus, access control apparatus, and program
CN103227822B (en) A kind of P2P communication connection method for building up and equipment
JP2013034096A (en) Access control system, terminal device, relay device, and access control method
Nguyen et al. An SDN‐based connectivity control system for Wi‐Fi devices
CN107046568B (en) Authentication method and device
KR100904215B1 (en) Network Access Management System and Method Based on User Authentication
JP5982706B2 (en) Secure tunneling platform system and method
JP3154679U (en) Relay device and network system
JP2012165351A (en) Secure tunneling platform system and method
KR100888979B1 (en) Network Access Management System and Method Based on User Authentication

Legal Events

Date Code Title Description
RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20111222

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20120226

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20121116

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20131024

A711 Notification of change in applicant

Free format text: JAPANESE INTERMEDIATE CODE: A712

Effective date: 20131031

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20131119

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20131218

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20131227

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20140422

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20140829