Nothing Special   »   [go: up one dir, main page]

CN1722661B - 认证系统、网络线路级联器和认证方法 - Google Patents

认证系统、网络线路级联器和认证方法 Download PDF

Info

Publication number
CN1722661B
CN1722661B CN2005100833904A CN200510083390A CN1722661B CN 1722661 B CN1722661 B CN 1722661B CN 2005100833904 A CN2005100833904 A CN 2005100833904A CN 200510083390 A CN200510083390 A CN 200510083390A CN 1722661 B CN1722661 B CN 1722661B
Authority
CN
China
Prior art keywords
authentication
frame
terminal equipment
network
certificate server
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
CN2005100833904A
Other languages
English (en)
Other versions
CN1722661A (zh
Inventor
平野贵史
布目淳
平田博章
柴山洁
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Publication of CN1722661A publication Critical patent/CN1722661A/zh
Application granted granted Critical
Publication of CN1722661B publication Critical patent/CN1722661B/zh
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Small-Scale Networks (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

响应来自终端设备1的请求,DHCP服务器8分配IP地址。认证服务器3接收使用所分配的IP地址作为发送者地址从终端设备1传送来的认证帧,并认证终端设备1。在完成认证之后,认证服务器3向认证集线器2的登记信息数据库22通知对终端设备1的通信允许。在认证集线器2中,帧接收电路21接收从终端设备1传送来的传输帧。认证集线器2根据传输帧的发送者信息,参考登记信息数据库22,确定针对帧的传输、重写和传输或丢弃,并且如果针对该帧允许传输或重写和传输,则向传输缓冲器23发送该传输帧。

Description

认证系统、网络线路级联器和认证方法
本申请要求在先日本专利申请JP 2004-206662的优先权,其公开文件作为参考。
技术领域
本发明涉及一种认证系统、网络线路级联器和用于其的认证方法,具体地,涉及一种当终端设备与网络相连时对在认证集线器处的接入进行限制的方法。
背景技术
当前,作为限制在认证集线器处的接入的一种方法,使用如图1所示的IEEE(电气和电子工程师协会)802.1x认证系统和如图2所示的认证VLAN(虚拟局域网)系统。
参考图1,将对802.1x认证系统进行描述。在802.1x认证系统中,认证集线器32按照以下方式,响应从终端设备31到认证集线器32的接入,替代认证服务器33执行认证操作。在认证之前,在认证集线器32处丢弃从终端设备31传送来的所有普通帧,并且由认证集线器32仅接收认证帧。即,认证集线器32执行通信限制。认证集线器32从认证帧中提取发送者信息(包括发送者地址、用户名、口令等)并向认证服务器33传送认证确认帧。按照该方式,认证集线器32替代地执行认证操作。
如果认证服务器33确认了对认证确认帧的认证,则认证服务器33向认证集线器32发送允许设置帧,所述允许设置帧设置了针对来自与终端设备31相连的端口的帧、或具有专用于作为发送者地址的终端设备31的MAC(介质接入控制,Media Access Control)地址的帧的通信允许。
响应该允许设置帧,认证集线器32取消通信限制。之后,终端设备31可通过认证集线器32、交换集线器34和路由器35与网络300相连。
参考图2,将描述认证VLAN系统。在认证VLAN系统中,允许终端设备41加入被称为默认LAN且具有有限连接范围的先认证网络401(例如,参见日本待审专利申请公开(JP-A)No.2004-64204)。
终端设备41请求可从先认证网络401连接的DHCP(动态主机配置协议,Dyamic Host Configuration Protocol)服务器46分配临时IP(因特网协议)地址,并利用所述临时IP地址,向认证服务器43发送认证请求。
如果认证服务器43确认了对认证请求的认证,则认证服务器43向DHCP服务器46和认证集线器42指示终端设备41应该属于的VLAN(后认证网络402)。
DHCP服务器46释放分配给终端设备41的临时IP地址并向终端设备41通知针对后认证网络402的IP地址。认证集线器42允许终端设备41建立到由认证服务器43所指示的后认证网络402的连接。之后,终端设备41可通过认证集线器42、交换集线器44和路由器45与网络400相连。
然而,上述限制在认证集线器处的接入的传统方法具有以下方面的缺点。
在IEEE 802.1x认证系统的情况下,使用了专用于认证系统的协议,从而必须给认证集线器配备用于认证终端设备的专门程序。
另外,在IEEE 802.1x认证系统的情况下,认证集线器中继终端设备和认证服务器之间的认证处理。将该处理作为软件操作执行。因此,需要认证集线器以具有较高的软件处理能力。
另外,在IEEE 802.1x认证系统的情况下,未认证终端设备不能与该网络相连。因此,不能够向未认证终端设备提供有限的功能。
另一方面,在认证VLAN系统中,在完成认证之后,出现了从先认证网络到由认证所允许的后认证网络的切换。此时,终端设备必须改变网络设置。因此,将需要较长的时间,直到在完成认证之后能够实际执行认证为止。有时,会对能够在终端设备处所使用的OS(操作系统)类型加以限制。
在认证VLAN系统的情况下,多个设备必须协同操作以进行认证操作。结果,可用于该系统的这些设备是有限的。例如,DHCP服务器必须根据来自认证服务器的请求租用IP地址。因此,需要专用DHCP服务器,或者替代地,DHCP服务器必须配备有功能附加程序。
另外,在认证VLAN系统的情况下,需要认证集线器具有诸如对多个VLAN的VLAN交换和中继等先进功能。因此,认证集线器自身变为昂贵的高端设备。
发明内容
因此,本发明的目的是提出一种认证系统、网络线路级联器和用于其的认证方法,能够防止未授权用户的侵入、窃听或攻击以确保安全性而无需使用复杂系统、网络交换和高级功能认证设备。
根据本发明,提出了一种认证系统,包括网络线路级联器和用于对容纳在所述网络线路级联器中的终端设备进行认证的认证服务器,其中所述网络线路级联器包括用于限制从除了由所述认证服务器认证过的已认证终端设备之外的任意其他节点传送来的帧被传递到包括所述认证服务器的网络内部和外部的单元。
根据本发明,还提出了一种用于容纳已由认证服务器认证的终端设备的网络线路级联器,所述网络线路级联器包括:用于限制从除了由所述认证服务器认证过的已认证终端设备之外的任意其他节点传送来的帧被传递到包括所述认证服务器的网络内部和外部的单元。
根据本发明,还提出了一种认证方法,用于认证系统,所述认证系统包括网络线路级联器和用于对容纳在所述网络线路级联器中的终端设备进行认证的认证服务器,所述方法包括用于限制从除了由所述认证服务器认证过的已认证终端设备之外的任意其他节点传送来的帧被传递到包括所述认证服务器的网络内部和外部的步骤,所述步骤在所述网络线路级联器中执行。
因此,在根据本发明的具有可变广播范围类型的网络线路级联器(此后被称为认证集线器)中,通过限制从除了由认证服务器所允许的已授权终端设备之外的未授权终端设备传送来的帧被传递到网络内部和外部,确保了在LAN(局域网)环境下的安全性。
更具体地,根据本发明的认证集线器限制了从终端设备传送来的单播帧的传输,并将诸如IP(因特网协议,Internet Protocol)地址获取和ARP(地址解析协议,Address ResolutionProtocol)解析等认证操作所必需的广播帧重写为寻址到允许目的地的单播帧。按照该方式,仅使所需网络节点(例如认证服务器)可接入。
根据本发明的认证集线器不需要具有先进功能,例如现有方法中的替代地处理认证操作的功能或对VLAN(虚拟局域网)进行交换的功能。因此,不需要使用高级功能设备,从而不至于对软件的功能和性能发生疑问。理由如下。
当在节点(即,终端设备)和认证服务器之间执行通信(认证操作)时,根据本发明的认证集线器可进行操作以便单独传递节点和认证服务器3之间的通信和其他所需通信,而不会阻碍来自未认证节点的所有通信且不会替代地向认证服务器传送认证帧。因此,认证集线器自身并不需要参与认证操作。因此,在本发明中的认证集线器并不需要适合于节点和认证服务器之间的协议,且不需要具有准备和传输该帧的功能。
在本发明中的认证集线器并非单独地使用VLAN以便在认证之前和之后改变通信范围,而是在认证之前对目的地进行限制。因此,在本发明中的认证集线器并不需要执行网络交换操作且不需要自身具有VLAN功能。在这种情况下,在本发明的认证集线器中,软件介入部分仅涉及在认证集线器和认证服务器之间的表格的传输和接收。因此,可以通过以下非常简单的硬件功能以及软件功能来实现该认证集线器,所述简单的硬件功能包括:分组过滤功能、分组复制功能和地址重写功能,而所述简单的软件功能包括在认证集线器中重写来自认证服务器的表格的功能。
另外,在本发明中的认证集线器2允许未认证节点执行一部分通信。具体地,本发明中的认证集线器具有来自加以限制节点中的表示可传输节点的可传输节点条目表,从而使从加以限制节点接收到且寻址到条目表的帧可传输,而不丢弃来自除了已认证节点之外的节点的所有接收帧。
另外,对于本发明中的认证集线器,不需要在认证之前和之后改变终端的网络设置。在以上所提到的认证VLAN系统中,加以限制节点加入其中的VLAN不同于已认证节点加入其中的VLAN。因此,改变了可通信节点的通信范围。在以上所提到的认证VLAN系统中,在VLAN交换之后对网络进行改变,从而还必须在该节点处改变网络设置。另一方面,在该发明中的认证集线器中,在认证之前和之后不对网络进行切换,而是改变可传输目的地。因此,不需要在终端处切换网络设置。
因此,在该发明中的认证集线器防止了终端设备通过交换集线器和路由器接入到其他网络节点(其他服务器和已认证终端设备)上。因此,能够防止未授权用户的侵入、窃听和攻击以确保安全性而无需使用复杂系统、网络交换和高级功能认证设备。
利用以下所述的结构和操作,本发明实现了以下效果:防止了未授权用户的侵入、窃听和攻击以确保安全性而无需使用复杂系统、网络交换和高级功能认证设备。
附图说明
图1是示出了传统IEEE 802.1x认证系统的方框图;
图2是示出了传统认证VLAN系统的方框图;
图3示出了根据本发明的认证系统的基本结构的方框图;
图4是示出了根据本发明实施例的认证系统的方框图;
图5是用于描述图4所示的认证集线器的操作的流程图;
图6A和6B是示出了在图4所示的认证集线器中的登记信息数据库中所存储的信息的视图;
图7是示出了图4所示的认证系统的操作的第一部分的时序图;
图8是示出了跟随在图7所示的第一部分之后的操作的第二部分的时序图
具体实施方式
现在将参考附图来描述本发明。
参考图3,根据本发明的认证系统主要包括:终端设备1、可变广播范围型的网络线路级联器(此后被称为认证集线器)2、认证服务器3、交换集线器4、路由器5和附加服务器6、以及已认证终端设备7。包括:单元(图4中的21-24),用于限制将从除了由认证服务器3认证过的已认证终端设备之外的其他任意节点传送来的帧传输到包括认证服务器3的网络10的内部和外部。即,认证集线器2限制从终端设备1经由交换集线器4和路由器5到网络10之外的外部网络100的接入。认证集线器2还限制从终端设备1通过交换集线器4和路由器5到网络10内部的其他网络节点(包括附加服务器6和已认证终端设备7)的接入。
认证集线器2限制对从终端设备1传送来的单播帧的传输,并且将包括IP(因特网协议)地址获取和ARP(地址解析协议)解析的认证操作所必需的广播帧重写到寻址到允许目的地的单播帧中。按照该方式,仅使所需网络节点(认证服务器3)能够接入。
认证集线器2防止终端设备1通过交换集线器4和路由器5接入其他网络节点(包括附加服务器6和已认证终端设备7)。因此,能够防止受到未授权用户的侵入、窃听和攻击以确保安全性,而无需使用复杂系统、网络交换和高级功能认证设备。
接下来参考图4,根据本发明实施例的认证系统包括:多个终端设备1-1到1-3(每一个均对应于图3中的终端设备1)、认证集线器2、认证服务器3、DHCP(动态主机配置协议)服务器8、连接这些网络节点的交换集线器4、路由器5和经由路由器5相连的网络100。
认证集线器2包括帧接收电路21、登记信息数据库22、传输缓冲器23、和用于存储针对认证集线器2中的各种控制的程序(计算机可执行程序)的记录介质24。可以通过将帧接收电路21、登记信息数据库22、传输缓冲器23和记录介质24集成在一起而形成的集成电路芯片来实现认证集线器2。
响应来自终端设备1-1到1-3的请求,DHCP服务器8分配IP地址。认证服务器3接收使用所分配的IP地址作为发送者地址从终端设备1-1到1-3传送来的认证帧,并认证终端设备1-1到1-3(用户)。在完成终端设备1-1到1-3的认证之后,认证服务器向认证集线器2的登记信息数据库22通知对终端设备1-1到1-3的通信允许(认证完成)。
在认证集线器2中,帧接收电路21接收从终端设备1-1到1-3传送来的传输帧。参考基于每一个传输帧中的发送者信息的登记信息数据库22,认证集线器2确定针对每一个帧的传输、重写和传输或丢弃,并向传输缓冲器23传送传输允许帧或重写和传输允许帧。
除了图4之外,参考图5,将对认证集线器2的操作进行描述。通过执行在记录介质24中所存储的程序的认证集线器2来实现图5所示的处理。
对于每一个输入帧,认证集线器2确认在登记信息数据库22中的所述帧发送者的登记状态(图5中的步骤S1和S2)。如果帧的发送者的登记状态为“已认证”,则认证集线器2将该帧发送到传输缓冲器23(图5中的步骤S6)。之后,从目的地端口中传输该帧。
如果帧的发送者的登记状态为“未登记”,则认证集线器2在登记信息数据库22中将该帧的发送者登记为“加以限制”终端(图5中的步骤S3)。之后,或者如果该帧的发送者的登记状态为“加以限制”的,则认证集线器2判断所述“加以限制”帧是广播帧还是单播帧(图5中的步骤S4)。
在广播帧的情况下,认证集线器2将该帧从广播帧重写为寻址到由登记信息数据库22所指定的目的地的单播帧(图5中的步骤S5),并且之后,将该帧发送到传输缓冲器23(图5中的步骤S6)。然后,从目的地端口中传送该帧。
另一方面,在单播帧的情况下,认证集线器2确认该帧的目的地(图5中的步骤S7)。如果根据登记信息数据库22中的设置,该帧的目的地是允许目的地,则认证集线器2将该帧发送到传输缓冲器23(图5中的步骤S6)。之后,从目的地端口中传送该帧。
如果根据登记信息数据库22中的设置,该帧的目的地是不允许目的地,则认证集线器2丢弃该帧(图5中的步骤S8)。
参考图6A和6B,将描述在认证集线器2的登记信息数据库22中所存储的信息。图6A示出了针对加以限制终端的帧可传输节点条目22a。图6B示出了终端设备登记信息条目22b。因此,将登记信息数据库22中所存储的信息分类为包括帧可传输节点条目22a和终端设备登记信息条目22b的两个条目。
针对加以限制终端的帧可传输节点条目22a存储了单播或广播帧可从加以限制终端传送到其中的网络节点有关的信息。帧可传输节点条目22a包括可传输网络节点的目的地标识符221a、用于确定单播帧传输的允许或禁止的单播传输允许标记222a、以及用于确定从广播帧重写为单播帧的重写帧传输的允许或禁止的广播重写允许标记223a。
作为目的地标识符221a,可以使用“MAC(介质接入控制)地址”、“IP地址”或其组合。作为针对目的地标识符221a登记的网络节点,可以登记认证服务器3或DHCP服务器8。如果需要,可以将DNS(域名系统,Domain Name System)服务器等添加到目的地标识符221a。
终端设备登记信息条目22b存储了与终端设备1的认证状态有关的信息。条目22b包括终端设备的终端标识符221b、和用于表示终端设备是处于已认证状态还是加以限制状态的认证标记222b。作为终端标识符221b,可以使用“MAC地址”。
除了图4到图6A和图6B之外,参考图7和8,将描述根据本发明实施例的认证系统的操作。由终端设备1、认证集线器2、DHCP服务器8和认证服务器3来执行根据本发明实施例的认证系统的操作。在图7和8中,其他节点表示经由认证集线器2、交换集线器4和路由器5相连的其他网络设备和终端设备。
如果终端设备1是“加以限制”终端,则认证集线器2参考登记信息数据库22以确认从终端设备1传送来的单播帧是否与针对加以限制终端设备的帧可传输节点条目22a中的单播传输允许条目相一致。在单播帧的目的地并非传输允许网络节点的情况下,认证集线器2丢弃单播帧(图7中的a1、a2)。如果将单播帧寻址到传输允许网络节点,则照原样来传送该单播帧。
由认证集线器2将由从终端设备1传送来的广播帧重写为限制到由登记信息数据库22中针对加以限制终端的帧可传输节点条目22a中的广播重写允许标记223a所允许的网络节点的单播帧,之后,对其进行传送(图7中的a3、a4、a6)。
在该实施例中,DHCP服务器8和认证服务器3是可传输网络节点。DHCP服务器8和认证服务器3接收或丢弃传输到其上的单播帧(图7中的a5、a7)。
如果终端设备1接入DHCP服务器8以便获取DHCP服务器8的IP地址,则终端设备1将DHCP帧作为广播帧来传送(图7中的a8)。当被提供了作为广播帧的DHCP帧时,认证集线器2传送作为寻址到DHCP服务器8和认证服务器3的单播帧(图7中的a9、a11)。
由于提供到其的单播帧并非认证帧,认证服务器3丢弃该单播帧(图7中的a12)。DHCP服务器8接收单播帧作为DHCP帧,分配IP地址,并且向终端设备1传送应答DHCP帧(图7中的a10、a13、a14)。终端设备1从提供给其的应答DHCP帧获取DHCP服务器8的IP地址(图7中的a15)。
在执行用户认证的情况下,终端设备1传送ARP帧作为广播帧以便根据认证服务器3的IP地址获取MAC地址(图7中的a16)。当被提供了作为广播帧接收到的ARP帧时,认证集线器2传送该ARP帧,作寻址到DHCP服务器8和认证服务器3的单播帧(图7中的a17、a19)。
由于提供给DHCP服务器8的ARP帧并不包含分配给其的IP地址,因此DHCP服务器8丢弃该ARP帧(图7中的a18)。由于由认证服务器3接收到的ARP帧包含分配给其的IP地址,因此认证服务器3传送针对ARP帧的应答ARP帧(图7中的a20到a22)。
终端设备1可以根据从认证服务器3接收到的应答ARP帧来获取MAC地址(图7中的a23)。因此,终端设备1向认证服务器3传送单播帧,作为寻址到MAC地址的认证帧(图8中的a24)。由于单播帧的目的地是传输允许网络节点,因此认证集线器2照原样传送从终端设备1接收到的单播帧(认证帧)。
在完成了终端设备1和认证服务器3之间的认证之后,认证服务器3向终端设备1发送认证OK帧(图8中的a25到a27)。然后,将终端设备1识别为已认证状态(图8中的a28)。认证服务器3对认证集线器2的登记信息数据库22进行接入(认证OK帧)(图8中的a29、a30),以便针对终端设备登记信息条目22b中的相应终端设备条目,将认证标记222b从“未认证”更新为“已认证”(图8中的a31)。
在认证之后,将从终端设备1传送来的广播或单播帧照原样传送到目的地或所有网络节点(图8中的a32到a36)。
因此,在该实施例中,认证集线器2限制从终端设备1传送来的单播帧的传输,并且将诸如IP地址获取和ARP解析等认证操作所必需的广播帧重写为寻址到允许目的地的单播帧。按照该方式,所需网络节点(例如认证服务器)是可单独接入的。
在该实施例中,不需要认证集线器2具有诸如传统方法中的替代地处理认证操作的功能或对VLAN(虚拟局域网,Virtual Local AreaNetwork)进行交换的功能等先进功能。因此不需要使用高级功能设备,不至于对软件的功能和性能发生疑问。理由如下。
在该实施例中,当在节点和认证服务器3之间执行通信(认证操作)时,认证集线器2可进行操作以便单独传递节点和认证服务器3之间的通信和其他所需通信,而不会阻碍来自未认证节点的所有通信且不会替代地向认证服务器3传送认证帧。因此,认证集线器2自身并不需要参与认证操作。因此,在该实施例中的认证集线器2并不需要适合于节点和认证服务器3之间的协议,且不需要具有准备和传输该帧的功能。
在该实施例中,认证集线器2并非单独地使用VLAN以便在认证之前和之后改变通信范围,而是在认证之前对目的地进行限制。因此,认证集线器2并不需要执行网络交换操作且不需要自身具有VLAN功能。在这种情况下,在认证集线器2中,软件介入部分仅涉及在认证集线器2和认证服务器3之间的表格的传输和接收。因此,可以通过以下非常简单的硬件功能以及软件功能来实现认证集线器2,所述简单的硬件功能包括:分组过滤功能、分组复制功能和地址重写功能,而所述简单的软件功能包括在认证集线器中重写来自认证服务器的表格的功能。
另外,在该实施例中,认证集线器2允许未认证节点执行一部分通信。具体地,认证集线器2具有来自加以限制节点中的表示可传输节点的可传输节点条目表,从而使从加以限制节点接收到且寻址到条目表的帧可传输,而不丢弃来自除了已认证节点之外的节点的所有接收帧。
另外,对于该实施例中的认证集线器2,不需要在认证之前和之后改变终端的网络设置。在以上所提到的认证VLAN系统中,加以限制节点加入其中的VLAN不同于已认证节点加入其中的VLAN。因此,改变了可通信节点的通信范围。在以上所提到的认证VLAN系统中,在VLAN交换之后对网络进行改变,从而还必须在该节点处改变网络设置。另一方面,在该实施例中的认证集线器2中,在认证之前和之后不对网络进行切换,而是改变可传输目的地。因此,不需要在终端处切换网络设置。
因此,在该实施例中的认证集线器2防止了终端设备1通过交换集线器4和路由器5接入到其他网络节点(附加服务器6和已认证终端设备7)上。因此,能够防止未授权用户的侵入、窃听和攻击以确保安全性而无需使用复杂系统、网络交换和高级功能认证设备。
在前面的实施例中,已经描述了对接入到网络内部的限制。然而,可以对接入到网络外部进行限制。在目的地位于网络外部的情况下,目的地MAC地址是充当默认网关的路由器的地址,并且目的地IP地址是目标网络节点的IP地址。将上述两个地址作为目的地标识符存储在与加以限制终端相对应的帧可传输节点条目中,并且参考该帧可传输节点条目来判断传输的允许或禁止。
尽管到目前为止已经结合其优选实施例对本发明进行了描述,但是容易理解,本领域的技术人员能够以各种其他方式来实施本发明。

Claims (12)

1.一种认证系统,包括网络线路级联器和用于对容纳在所述网络线路级联器中的终端设备进行认证的认证服务器,其中所述网络线路级联器包括用于限制从除了由所述认证服务器认证过的已认证终端设备之外的任意其他节点传送来的帧被传递到包括所述认证服务器的网络的内部和外部的单元,
其中,用于限制帧的传递的所述单元限制从终端设备传送来的单播帧的传输,并且将终端设备的认证操作所必需的广播帧重写为寻址到最初允许目的地的单播帧,由此至少使终端设备能够在认证之前对认证服务器进行接入,以及
其中,用于限制帧的传递的所述单元至少禁止除了所述已认证终端设备之外的任意其他节点在认证之前通过网络内部的交换集线器和网络外部的路由器接入到所述网络之外的不同网络。
2.根据权利要求1所述的认证系统,其特征在于所述网络线路级联器具有能够将广播帧重写为单播帧的可变广播范围类型。
3.根据权利要求1所述的认证系统,其特征在于所述认证操作至少包括IP(因特网协议)地址获取和ARP(地址解析协议)解析。
4.根据权利要求1所述的认证系统,其特征在于所述网络线路级联器是通过集成至少用于限制帧的传递的所述单元而形成的集成电路。
5.一种用于容纳已由认证服务器认证的终端设备的网络线路级联器,所述网络线路级联器包括:用于限制从除了由所述认证服务器认证过的已认证终端设备之外的任意其他节点传送来的帧被传递到包括所述认证服务器的网络的内部和外部的单元,
其中,用于限制帧的传递的所述单元限制从终端设备传送来的单播帧的传输,并且将终端设备的认证操作所必需的广播帧重写为寻址到最初允许目的地的单播帧,由此至少使终端设备能够在认证之前对认证服务器进行接入,以及
其中,用于限制帧的传递的所述单元至少禁止除了所述已认证终端设备之外的任意其他节点在认证之前通过网络内部的交换集线器和网络外部的路由器接入到所述网络之外的不同网络。
6.根据权利要求5所述的网络线路级联器,其特征在于所述网络线路级联器具有能够将广播帧重写为单播帧的可变广播范围类型。
7.根据权利要求5所述的网络线路级联器,其特征在于所述认证操作至少包括IP(因特网协议)地址获取和ARP(地址解析协议)解析。
8.根据权利要求5所述的网络线路级联器,其特征在于所述网络线路级联器是通过集成至少用于限制帧的传递的所述单元而形成的集成电路。
9.一种认证方法,用于认证系统,所述认证系统包括网络线路级联器和用于对容纳在所述网络线路级联器中的终端设备进行认证的认证服务器,所述方法包括用于限制从除了由所述认证服务器认证过的已认证终端设备之外的任意其他节点传送来的帧被传递到包括所述认证服务器的网络的内部和外部的步骤,所述步骤在所述网络线路级联器中执行,
其中,用于限制帧的传递的所述步骤限制从终端设备传送来的单播帧的传输,并且将终端设备的认证操作所必需的广播帧重写为寻址到最初允许目的地的单播帧,由此至少使终端设备能够在认证之前对认证服务器进行接入,以及
其中,用于限制帧的传递的所述步骤至少禁止除了所述已认证终端设备之外的任意其他节点在认证之前通过网络内部的交换集线器和网络外部的路由器接入到所述网络之外的不同网络。
10.根据权利要求9所述的认证方法,其特征在于所述网络线路级联器具有能够将广播帧重写为单播帧的可变广播范围类型。
11.根据权利要求9所述的认证方法,其特征在于所述认证操作至少包括IP(因特网协议)地址获取和ARP(地址解析协议)解析。
12.根据权利要求9所述的认证方法,其特征在于所述网络线路级联器是通过集成至少用于限制从除了由所述认证服务器认证过的已认证终端设备之外的任意其他节点传送来的帧被传递到包括所述认证服务器的网络的内部和外部的单元而形成的集成电路。
CN2005100833904A 2004-07-14 2005-07-14 认证系统、网络线路级联器和认证方法 Expired - Fee Related CN1722661B (zh)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2004206662A JP4920878B2 (ja) 2004-07-14 2004-07-14 認証システム、ネットワーク集線装置及びそれらに用いる認証方法並びにそのプログラム
JP2004-206662 2004-07-14
JP2004206662 2004-07-14

Publications (2)

Publication Number Publication Date
CN1722661A CN1722661A (zh) 2006-01-18
CN1722661B true CN1722661B (zh) 2012-01-11

Family

ID=35600818

Family Applications (1)

Application Number Title Priority Date Filing Date
CN2005100833904A Expired - Fee Related CN1722661B (zh) 2004-07-14 2005-07-14 认证系统、网络线路级联器和认证方法

Country Status (3)

Country Link
US (1) US8209529B2 (zh)
JP (1) JP4920878B2 (zh)
CN (1) CN1722661B (zh)

Families Citing this family (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7542468B1 (en) * 2005-10-18 2009-06-02 Intuit Inc. Dynamic host configuration protocol with security
JP2007272396A (ja) * 2006-03-30 2007-10-18 Nec Personal Products Co Ltd セキュリティ管理システム、中継装置、プログラム
JP2007274086A (ja) * 2006-03-30 2007-10-18 Nec Corp アクセス制御方法及びアクセス制御システム
JP2007279906A (ja) * 2006-04-04 2007-10-25 Mitsubishi Electric Corp ネットワークアクセス管理システム
US7953457B2 (en) * 2006-04-28 2011-05-31 Research In Motion Limited Methods and apparatus for reducing power consumption for mobile devices using broadcast-to-unicast message conversion
US8973098B2 (en) * 2007-01-11 2015-03-03 International Business Machines Corporation System and method for virtualized resource configuration
JP4773987B2 (ja) 2007-02-01 2011-09-14 アラクサラネットワークス株式会社 端末所属切換システム
US8726347B2 (en) * 2007-04-27 2014-05-13 International Business Machines Corporation Authentication based on previous authentications
JP5106938B2 (ja) 2007-07-27 2012-12-26 富士通コンポーネント株式会社 Kvmスイッチ及びそのドライバプログラム、並びに情報処理装置及び制御プログラム
US8612606B2 (en) 2010-10-12 2013-12-17 Juniper Networks, Inc. Preserving an authentication state by maintaining a virtual local area network (VLAN) association
US8582579B2 (en) * 2010-11-03 2013-11-12 Broadcom Corporation Priority packet processing
EP2493147B1 (en) * 2011-02-23 2014-05-21 Zerogroup Holding OÜ Control system and pairing method for a control system
EP2823627A2 (en) * 2012-03-05 2015-01-14 Interdigital Patent Holdings, Inc. Devices and methods for pre-association discovery in communication networks
JP5921460B2 (ja) * 2013-02-20 2016-05-24 アラクサラネットワークス株式会社 認証方法、転送装置及び認証サーバ
CN104283858B (zh) * 2013-07-09 2018-02-13 华为技术有限公司 控制用户终端接入的方法、装置及系统
JP6536251B2 (ja) * 2015-07-24 2019-07-03 富士通株式会社 通信中継装置、通信ネットワーク、通信中継プログラム及び通信中継方法
JP6888437B2 (ja) * 2017-06-23 2021-06-16 住友電気工業株式会社 車載通信装置、通信制御方法および通信制御プログラム
JP7227727B2 (ja) * 2018-10-03 2023-02-22 エヌ・ティ・ティ・コミュニケーションズ株式会社 デバイス管理装置、デバイス管理方法及びコンピュータープログラム
US11595444B2 (en) * 2020-12-03 2023-02-28 International Business Machines Corporation Authenticity assessment of a requestor based on a communication request

Family Cites Families (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
NL121416C (zh) * 1961-05-31
DE3545786A1 (de) * 1985-12-21 1987-06-25 Schering Ag Pyrazolinderivate, ihre herstellung und ihre verwendung als mittel mit insektizider wirkung
DE3808896A1 (de) * 1988-03-17 1989-09-28 Hoechst Ag Pflanzenschuetzende mittel auf basis von pyrazolcarbonsaeurederivaten
JP3684262B2 (ja) 1996-01-17 2005-08-17 富士通株式会社 ネットワークシステム及び集線装置
US6070243A (en) * 1997-06-13 2000-05-30 Xylan Corporation Deterministic user authentication service for communication network
JP2001036561A (ja) * 1999-07-15 2001-02-09 Shin Maruyama Tcp/ipネットワークシステム
MY138097A (en) * 2000-03-22 2009-04-30 Du Pont Insecticidal anthranilamides
JP2002124952A (ja) * 2000-10-12 2002-04-26 Furukawa Electric Co Ltd:The 無線ネットワークにおける無線端末の認証方法および無線ネットワークにおける無線端末の認証システム
JP2003046533A (ja) 2001-08-02 2003-02-14 Nec Commun Syst Ltd ネットワークシステム、その認証方法及びそのプログラム
CA2454298A1 (en) * 2001-08-13 2003-02-27 Gary David Annis Substituted 1h-dihydropyrazoles, their preparation and use
AR036872A1 (es) * 2001-08-13 2004-10-13 Du Pont Compuesto de antranilamida, composicion que lo comprende y metodo para controlar una plaga de invertebrados
JP3493194B1 (ja) 2001-09-04 2004-02-03 松下電器産業株式会社 高圧放電ランプ
US7325246B1 (en) * 2002-01-07 2008-01-29 Cisco Technology, Inc. Enhanced trust relationship in an IEEE 802.1x network
JP2003224576A (ja) 2002-01-30 2003-08-08 Nec Corp Lan型インタネット・アクセス網及びそれに用いる加入者線収容方法
KR100438431B1 (ko) * 2002-02-23 2004-07-03 삼성전자주식회사 통신 네트워크에서 가상 사설 네트워크 서비스 접속을위한 보안 시스템 및 방법
JP2004064204A (ja) * 2002-07-25 2004-02-26 Nec Corp ネットワーク機器アクセス制御方法、ネットワーク機器制御システム、アクセス制御装置及びそのプログラム
KR100492958B1 (ko) 2002-09-10 2005-06-07 삼성전자주식회사 무선 고속 데이터 시스템에서 공중망과 사설망의 공통사용 방법 및 시스템
KR100590862B1 (ko) * 2003-04-29 2006-06-19 삼성전자주식회사 사설 무선 고속 데이터 시스템의 데이터 호 처리 장치 및그 방법

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
JP特开2001-36561A 2001.02.09

Also Published As

Publication number Publication date
US20060015714A1 (en) 2006-01-19
US8209529B2 (en) 2012-06-26
JP4920878B2 (ja) 2012-04-18
CN1722661A (zh) 2006-01-18
JP2006033206A (ja) 2006-02-02

Similar Documents

Publication Publication Date Title
CN1722661B (zh) 认证系统、网络线路级联器和认证方法
EP1987629B1 (en) Techniques for authenticating a subscriber for an access network using dhcp
EP1878169B1 (en) Operator shop selection in broadband access related application
Perkins IP mobility support for IPv4, revised
US9112909B2 (en) User and device authentication in broadband networks
EP1523129B1 (en) Method and apparatus for access control of a wireless terminal device in a communications network
CN100594476C (zh) 用于实现基于端口的网络访问控制的方法和装置
CN101507235B (zh) 用于提供无线网状网的方法和设备
US6907470B2 (en) Communication apparatus for routing or discarding a packet sent from a user terminal
US7721106B2 (en) Transitive authentication authorization accounting in the interworking between access networks
US8195950B2 (en) Secure and seamless wireless public domain wide area network and method of using the same
US7480933B2 (en) Method and apparatus for ensuring address information of a wireless terminal device in communications network
US20040213172A1 (en) Anti-spoofing system and method
EP2347560B1 (en) Secure access in a communication network
US20050223111A1 (en) Secure, standards-based communications across a wide-area network
US20070248085A1 (en) Method and apparatus for managing hardware address resolution
KR20050092405A (ko) Wlan 상호접속에서의 서비스 및 어드레스 관리 시스템및 방법
CN102301763A (zh) 用于注册终端的方法和网络节点
JPWO2015174100A1 (ja) パケット転送装置、パケット転送システム及びパケット転送方法
US8819790B2 (en) Cooperation method and system between send mechanism and IPSec protocol in IPV6 environment
JP2010187314A (ja) 認証機能付きネットワーク中継機器及びそれを用いた端末の認証方法
Perkins RFC 5944: IP mobility support for IPv4, Revised
JP3833932B2 (ja) Ipアドレスを端末アイデンティティとして使用可能なipネットワーク
JP2009124711A (ja) ローカルネットワーク相互接続における移動端末に対してネットワークに基づくトンネルを設定する方法
Schneider Protocol for carrying authentication for network access (PANA) requirements

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20120111

Termination date: 20150714

EXPY Termination of patent right or utility model