专利名称:网络中继装置及接收帧的中继控制方法
技术领域:
本发明涉及一种网络中继装置以及该网络中继装置中使用的接收帧的中继控制方法。
背景技术:
随着 ICT(Information and Communication Technology,信息与通讯技术)的发展,出现了被称为智能交换机的交换机产品。与普通交换机相比,这样的智能交换机是具有高功能的交换机。智能交换机例如具有VLAN(Virtual Local Area Network,虚拟局域网) 功能、安全性功能、QoS服务质量等各种各样的功能(例如,参照专利文献1)。在这样的功能中,近年来,尤其要求强化重视了网络的内部威胁的安全性功能。一般来说,作为重视了该网络内部的威胁的安全性功能,广泛使用被称为“基于每个端口的安全性”的功能,该功能是指基于与智能交换机的端口连接的外部装置的MAC地址来限制通信内容(traffic)的输入。然而,现有技术中,即使在智能交换机中采用了基于每个端口的安全性功能的情况下,用于使智能交换机相互之间进行级联连接(cascading connection)的级联连接用端口也被设定为开放状态、即在安全性方面不对通信内容的输入加以限制的状态。因此,存在级联连接用端口成为安全漏洞的问题。此外,上述技术问题不仅仅是智能交换机中存在的问题,也是具有安全性功能的所有中继装置中普遍存在的问题。专利文献1日本特开2008-48252号公报
发明内容
故而,本发明的目的是,提供一种提高了安全性的网络中继装置及该网络中继装置中使用的接收帧的中继控制方法。本发明涉及对从外部装置接收到的帧进行中继的网络中继装置。为了达到上述目的,本发明的网络中继装置具备认证处理部和中继处理部,在作为外部装置的其它网络中继装置连接到网络中继装置时,该认证处理部按照预先规定的认证方法,来与该其它网络中继装置之间进行认证,该中继处理部确定可否对网络中继装置从外部装置接收到的帧进行中继,并对确定为可中继的帧进行中继,并且,中继处理部以认证成功为条件,在网络中继装置中,对从其它网络中继装置接收到的帧也进行中继。根据上述结构,能够提高网络中继装置的安全性。有代表性的是,该网络中继装置还具备存储部,该存储部存储第一许可一览表,该第一许可一览表用于用接收到的帧中包含的信息来确定网络中继装置可以中继的帧,中继处理部具备认证信息管理部和确定处理部,该认证信息管理部将第一许可一览表的内容发送给认证成功的其它网络中继装置,并且从认证成功的其它网络中继装置接收用于确定其它网络中继装置可以中继的帧的第二许可一览表的内容,将所接收到的第二许可一览表的内容反映在第一许可一览表中,该确定处理部按照反映了第二许可一览表的内容的第一许来确定可否对从外部装置接收到的帧进行中继。根据上述结构,能够提高网络中继装置的安全性。其中,优选的是,存储部还存储对由外部装置构筑的虚拟的子网进行定义的第一虚拟网络定义信息,其中,该外部装置是直接与网络中继装置连接、或经由其它网络中继装置而间接与网络中继装置连接的外部装置;认证信息管理部进一步将第一虚拟网络定义信息的内容发送给认证成功的其它网络中继装置,并从认证成功的其它网络中继装置接收对由外部装置构筑的虚拟的子网进行定义的第二虚拟网络定义信息的内容,并将所接收到的第二虚拟网络定义信息的内容反映在第一虚拟网络定义信息中,其中,该外部装置是直接与其它网络中继装置连接、或经由别的其它网络中继装置而间接与其它网络中继装置连接的外部装置。根据上述结构,能够提高网络中继装置的安全性,并能简便地进行关于虚拟的子网的设定。此外,也可以是,当发送帧的终端作为外部装置而连接到网络中继装置时,认证处理部进一步按照预先规定的认证方法来与终端之间进行认证,在终端的认证成功的情况下,认证信息管理部进一步改变第一许可一览表的内容,以允许从终端接收的帧的中继,并且将改变后的第一许可一览表的内容发送给认证成功的其它网络中继装置。根据上述结构,能够提高网络中继装置的安全性。在此情况下,优选的是,终端的认证成功的情况下,认证信息管理部进一步将第一虚拟网络定义信息的内容发送给认证成功的其它网络中继装置。根据上述结构,能够提高网络中继装置的安全性,并能简便地进行关于虚拟的子网的设定。此外,优选的是,认证处理部具有基于IEEE802. IX的认证客户以及基于 IEEE802. IX的认证服务器这两方面的功能。根据上述结构,相对于其它网络中继装置而言,网络中继装置既能作为认证客户动作又能作为认证服务器动作。此外,优选的是,当其它网络中继装置连接到网络中继装置时,若其它网络中继装置的MAC地址在网络中继装置内被预先登记为应允许连接的MAC地址,则认证处理部当作与其它网络中继装置之间的认证成功来进行处理。根据上述结构,网络中继装置能够预先指定连接被允许的其它网络中继装置。此外,本发明涉及网络中继装置中使用的、对从外部装置接收的帧的中继进行控制的接收帧的中继控制方法。为了达到上述目的,本发明的中继控制方法包括判断连接到网络中继装置的外部装置是否是其它网络中继装置的步骤;在所连接的外部装置是其它网络中继装置的情况下,按照预先规定的认证方法,来与其它网络中继装置之间进行认证的步骤;在其它网络中继装置的认证成功的情况下,在网络中继装置与该认证成功的其它网络中继装置之间,交换为了用包含在接收到的帧中的信息来确定可中继的帧而预先存储的许可一览表的内容的步骤;将通过交换而获取的、认证成功的其它网络中继装置所存储的许可一览表的内容反映在网络中继装置所存储的许可一览表中的步骤;以及按照反映了认证成功的其它网络中继装置所存储的许可一览表的内容的许可一览表,来判断可否对从外部装置接收到的帧进行中继的步骤。
并且,该中继控制方法也可以还包括判断连接到网络中继装置的外部装置是否是发送帧的终端的步骤;在所连接的外部装置是发送帧的终端的情况下,按照预先规定的认证方法,来与终端之间进行认证的步骤;以及在终端的认证成功的情况下,改变网络中继装置所存储的许可一览表的内容,以允许从终端接收的帧的中继,并且将该改变后的许可一览表的内容发送给认证成功的其它网络中继装置。根据上述结构,能够提高网络中继装置的安全性。此外,本发明能够通过各种各样的方式来实现。例如,本发明能够通过网络中继装置、网络中继装置的控制方法、使用了网络中继装置的网络系统、以及用于实现这些方法或装置的功能的计算机程序、存储了该计算机程序的存储介质等的方式来实现。本发明可应用于包括中继装置和无线通信装置的网络系统等,在要提高无线通信时的安全性的情况下等尤为有效。在参照附图进行下述详细说明之后,本发明的各种目的、 特征、方案、效果将会更加明确。
图1是表示本发明的第一实施方式所涉及的网络中继装置及终端的概要结构的图。图2是表示第一实施方式所涉及的网络中继装置的结构的概要图。图3是表示认证方法一览表的一例的图。图4是表示许可一览表的一例的图。图5是表示本发明的第一实施方式所涉及的网络中继装置在接收帧时所进行的处理的顺序的流程图。图6是表示在其它网络中继装置连接到第一实施方式所涉及的网络中继装置的情况下尚未进行认证时的情形的图。图7是表示图5的步骤S16中认证的种类是EAP_CAS的情况下的处理流程的序列图。图8是表示在其它网络中继装置连接到第一实施方式所涉及的网络中继装置的情况下进行了认证之后的情形的图。图9是表示在图8的状态下新的外部装置连接到网络中继装置的情形的图。图10是表示在图5的步骤S16中认证的种类是EAP_PC的情况下的处理流程的序列图。图11是表示在新的外部装置连接到网络中继装置的情况下进行了认证之后的情形的图。图12是表示本发明的第二实施方式所涉及的网络中继装置的结构的概要图。图13是表示VLAN定义信息的一例的图。图14是表示在其它网络中继装置连接到第二实施方式所涉及的网络中继装置的情况下尚未进行认证时的情形的图。图15是在其它网络中继装置连接到第二实施方式所涉及的网络中继装置时进行的处理(图5的步骤S16中,认证的种类为EAP_CAS)的流程的序列图。图16是表示在其它网络中继装置连接到第二实施方式所涉及的网络中继装置的情况下进行了认证之后的情形的图。
具体实施例方式以下,参照附图对本发明的实施方式进行说明。<第一实施方式>图1是表示本发明的第一实施方式所涉及的网络中继装置100、终端PClO及PC20 的概要结构的图。第一实施方式所涉及的网络中继装置100是所谓第二层交换机,并具有基于MAC(Media Access Control,介质访问控制)地址进行帧的中继的功能。第二层相当于 OSI (Open Systems hterconnection,开放系统互连)参考模型的第二层(数据链路层)。 以下,将网络中继装置100称为交换机100来进行说明。交换机100具备5个端口 P501 P505。端口 P501经由线路与个人计算机等终端 PClO连接。终端PClO的MAC地址是MAC_PC10。端口 P502经由线路与个人计算机等终端 PC20连接。终端PC20的MAC地址是MAC_PC20。此外,为了便于说明,图1中省略了说明中不需要的其它网络装置、线路、终端及交换机100内的结构的图示。这些在后述的图中也同样被省略。图2是表示第一实施方式所涉及的交换机100的结构的概要图。交换机100具备CPU(Central Processing Unit 中央处理器)200、ROM (Read Only Memory,只读存储器)300、RAM (Random Access Memory,随机存取存储器)400以及有线通信接口(有线通信 I/F) 5000交换机100的各构成要素经由总线600而相互连接。CPU200通过将存储在R0M300中的计算机程序载入到RAM400中执行,来控制交换机100的各个部。此外,通过执行上述计算机程序,CPU200也发挥中继处理部210及认证处理部250的作用。中继处理部210包括认证信息管理部220和MAC地址认证部230,并具有对经由有线通信接口 500接收到的帧(以下,记载为接收帧)进行中继的功能。认证信息管理部220主要具有对存储部即RAM400所存储的许可一览表420进行更新的功能和与其它交换机交换许可一览表420的功能。MAC地址认证部230进行确定可否对接收帧进行中继的处理,发挥作为确定处理部的功能。包含在认证处理部250中的EAP认证部240具有以下功能即,在外部装置(例如,终端或其它交换机)连接到交换机100时,按照预先规定的认证方法,与外部装置之间进行认证。这些功能部的详细内容将于后述。RAM400中存储有认证方法一览表410和许可一览表420。关于这些一览表的详细内容将于后述。有线通信接口 500是用于与局域网(LAN)连接的LAN电缆的连接口。有线通信接口 500包括5个端口 P501 P505。此外,本实施方式中,端口 P501 P504是用于连接交换机以外的外部装置(例如,个人计算机、移动终端等)的端口。端口 P505是用于连接其它交换机的级联连接用端口。图3是表示认证方法一览表410的一例的图。认证方法一览表410包括端口号字段、认证种类字段和MAC认证字段。端口号字段的各项目(entry)中存储有与交换机100 所具备的所有端口对应的标识符。本实施方式中,标识符是“P501 ” “P505”。认证种类字段中存储有,表示对存储在端口号字段中的各端口预先规定的认证种类的数据。认证种类是指,在外部装置(终端、其它交换机)连接到端口时,EAP认证部MO 所进行的认证的种类。本实施方式中,认证种类是“EAP_PC”、“EAP_CAS”及“Open”这3种。CN 102377773 A
说明书
5/13 页
EAP_PC是指交换机与交换机以外的外部装置之间的认证。EAP_CAS是指交换机之间的认证。Open是指不进行认证。此外,用于执行各认证种类中实际使用的认证方法的各种数据被预先存储在RAM400内部。本实施方式中,在认证种类是EAP_PC的情况下,用IEEE(The Institute of Electrical and Electronics Engineers,美国电气禾口电子工禾呈师协会)802. IX 的 EAP-MD5(extensible authentication protocol-message digest version 5,扩展验证协议消息摘要算法5版本)进行认证。另一方面,在认证的种类是EAP_CAS的情况下,用 IEEE802. IX 的EAP-TLS (extensible authentication protocol-transport layer security,扩展认证协议-传输层安全)来进行认证。此外,也可以采用用户能设定的方法来作为各认证种类中实际使用的认证方法。MAC认证字段中存储有,对存储在端口号字段中的各端口预先规定的、MAC地址认证的有效(enable)/无效(disable)的设定值。例如,图3的例子中规定,在外部装置连接到用标识符P501识别的端口 P501时, 进行基于EAP_PC的认证,即按照EAP-MD5认证方法来进行认证。此外,还规定,对来自端口 P501的接收帧进行MAC地址认证(项目E01)。并规定,在外部装置连接到用标识符P504 识别的端口 P504时,不进行认证。此外,也规定对来自端口 P504的接收帧不进行MAC地址认证(项目E04)。并规定,在外部装置连接到用标识符P505识别的端口 P505时,进行基于 EAP_CAS的认证,即,按照EAP-TLS认证方法来进行认证。此外,也规定对来自端口 P505的接收帧进行MAC地址认证(项目E05)。此外,在如项目E04那样的认证种类被设定为Open的端口中,为了正确进行接收帧的中继,将MAC地址认证设定为无效(disable)。因此,交换机100对认证种类被设定为 Open的端口不进行外部装置连接时的认证,并且也不进行对接收帧的MAC地址的认证。其结果,认证种类被设定为Open的端口有可能成为安全漏洞。图4是表示许可一览表420的一例的图。许可一览表420是在进行MAC地址认证时所使用的一览表。许可一览表420中存储了交换机100的中继处理部210允许中继的接收帧的发送源MAC地址(向交换机100发送了帧的装置的MAC地址)作为许可地址。也就是说,许可一览表420被构成为能用接收帧中包含的信息来确定可中继的接收帧。例如,图4的例子中,若接收帧的帧头(header)中包含的发送源MAC地址是“MAC_ PC10”及“MAC_PC20”中的任一种,则中继处理部210允许中继该接收帧。接下来,对上述结构的交换机100在接收帧时所进行的处理进行说明。图5是表示本发明的第一实施方式所涉及的网络中继装置(交换机)100在接收帧时所进行的处理的顺序的流程图。首先,中继处理部210判断是否经由端口 P501 P505中的任意端口接收到帧(步骤S10)。在接收到帧的情况下(步骤SlO为是),中继处理部210判断接收帧是否是EAP帧 (步骤Si》。具体而言,例如,在根据接收帧的帧头中包含的以太网类型(Ethernet Type) 而判断出接收帧的类型为EAPOL(extensible authentication protocol over LAN,局域网的扩展认证协议)的情况下,中继处理部210可以判断为接收到EAP帧。在判断为接收帧是EAP帧的情况下(步骤S12为是),EAP认证部240检索认证方法一览表410的认证种类字段(步骤S14)。具体而言,EAP认证部240参照认证方法一览表410,从端口号字段中具有接收到帧的端口的标识符的项目中获取认证种类字段的值。EAP认证部240进行相应于所获取的认证种类的处理之后,结束处理(步骤S16)。相应于各认证种类(EAP_PC、EAP_CAS)的处理的详细内容将于后述。另一方面,在判断为接收帧不是EAP帧的情况下(步骤S12为否),MAC地址认证部230检索认证方法一览表410的MAC认证字段(步骤S18)。具体而言,MAC地址认证部 230参照认证方法一览表410,从端口号字段中具有接收到帧的端口的标识符的项目中获取MAC认证字段的值、即MAC地址认证的有效/无效的设定值。接下来,MAC地址认证部230 根据所获取的设定值判断是否进行MAC地址认证(步骤S20)。具体而言,若所获取的设定值是“enable”,则MAC地址认证部230进行MAC地址认证,若所获取的设定值是“disable”, 则MAC地址认证部230不进行MAC地址认证。在不进行MAC地址认证的情况下(步骤S20 为否),MAC地址认证部230进行帧中继处理(步骤S28)。在判断为进行MAC地址认证的情况下(步骤S20为是),MAC地址认证部230参照许可一览表420(步骤S22),判断可否进行接收帧的中继(步骤S24)。具体而言,MAC地址认证部230判断接收帧的帧头中包含的发送源MAC地址是否与许可一览表420中存储的 MAC地址中的任一地址相一致。在判断为两者的MAC地址不一致,不能进行接收帧的中继的情况下(步骤S24为否),MAC地址认证部230毁掉接收帧,结束处理(步骤S26)。在毁掉了接收帧的情况下,MAC地址认证部230也可以向被毁掉的帧的发送源终端通知帧被毁掉了的内容。另一方面,在上述步骤S20中判断为不进行MAC地址认证的情况下(步骤S20为否)、以及上述步骤S24中判断为两者的MAC地址相一致,能进行接收帧的中继的情况下 (步骤SM为是),MAC地址认证部230进行帧中继处理(步骤S28)。该帧中继处理中,中继处理部210参照未图示的MAC地址表,进行转发(forwarding)(在MAC地址表中存在目的地MAC地址的情况下中继帧的动作)或泛洪(flooding) (MAC地址表中不存在目的地MAC 地址的情况下的动作)之后,结束处理。像这样,中继处理部210的MAC地址认证部230基于许可一览表420来确定可否对接收帧进行中继。1.接收帧时的处理的具体例(一)参照图6 图8,进一步说明该交换机100在接收帧时所进行的处理的具体例丄一 。图6 图8示出的是,其它交换机100X的端口 P501连接到交换机100的端口 P505 的例子。除了端口 P501被设定为级联连接用端口之外,该其它交换机100X的结构与图2所示的交换机100相同。其它交换机100X中,端口 P501经由线路与交换机100的端口 P505 连接,端口 P502经由线路与终端PC30连接,端口 P503经由线路与终端PC40连接,端口 P504 经由线路与终端PC50连接。此外,终端PC30的MAC地址是MAC_PC30,终端PC40的MAC地址是 MAC_PC40,终端 PC50 的 MAC 地址是 MAC_PC50。此外,在其它交换机100X所具有的认证方法一览表410中设定有以下内容即, 关于端口 P501,认证种类为“EAP_CAS”,MAC认证为“enable”,而关于端口 P502,认证种类为“EAP_PC”,MAC认证字段为“enable”。并且,其它交换机100X所具有的许可一览表(该具体例中,称为第二许可一览表)420中存储有与其它交换机100X连接的3台终端(PC30、 PC40 及 PC50)的 MAC 地址(MAC_PC30、MAC_PC40 及 MAC_PC50)。此外,与交换机 100 的各端口连接的终端及交换机100所具有的认证方法一览表410及许可一览表(该具体例中,称为第一许可一览表)420如图1、图3及图4所示。
1-1.在交换机与交换机之间讲行认证之前例如,考虑下述情况,即,如图6所示那样,在交换机100与其它交换机100X之间的认证进行之前,从终端PC30向终端PC20发送帧。首先,其它交换机100X检测到来自终端PC30的接收帧(图5的步骤SlO为是)。 由于该检测出的接收帧不是EAP帧(步骤S12为否),其它交换机100X参照认证方法一览表410,而判断为接收到帧的端口 P502的MAC地址认证是有效的(步骤S18、S20)。接下来,其它交换机100X确认了作为发送源MAC地址的MAC_PC30与第二许可一览表420中存储的MAC地址相一致时,判断为可以进行接收帧的中继(步骤S22、SM为是)。然后,其它交换机100X进行帧中继处理(步骤S28)。其结果,其它交换机100X所接收的帧从其它交换机100X的端口 P501被发送到交换机100。接收到来自其它交换机100X的帧的交换机100(图5的步骤SlO为是)判断为接收帧不是EAP帧(步骤S12为否)。接下来,交换机100参照认证方法一览表410而判断为接收到帧的端口 P505的MAC地址认证是有效的(步骤S18、S20)。然而,交换机100确认了作为发送源MAC地址的MAC_PC30与第一许可一览表420中存储的任何一个MAC地址都不一致时,判断为不可以进行接收帧的中继(步骤S22、S24为否)。其结果,交换机100毁掉经由其它交换机100X而接收到的帧(步骤S26)。像这样,在交换机100与其它交换机100X之间进行认证之前,交换机100不对来自与其它交换机100X连接的外部装置的接收帧进行中继而将其毁掉。换言之,在与其它交换机100X之间进行认证之前,交换机100限制来自其它交换机100X的通信内容的输入。这是因为,交换机100所具有的第一许可一览表420中没有存储与其它交换机100X连接的外部装置(终端PC30 PC50)的MAC地址的缘故。1-2.交换机与交换机之间的认证处理在交换机100与其它交换机100X之间进行以下认证。图7是表示图5的步骤S16 中认证种类为EAP_CAS的情况下在交换机之间进行的处理的流程的序列图。在其它交换机100X连接到交换机100的情况下,首先双方之间进行连接 (步骤S100)。接下来,作为请求者(Supplicant)的其它交换机100X向作为鉴定者(Authenticator)的交换机100发送用于请求开始认证的EAPOL开始帧(ΕΑΡ over LAN-Start)(步骤 S102)。接收到EAPOL开始帧的交换机100的EAP认证部240判断为接收帧是EAP帧,便将请求请求者ID的EAP请求帧发送给其它交换机100X(步骤S104)。接收到请求帧的其它交换机100X将包含请求者ID的EAP应答帧发送给交换机100 (步骤S106)。接下来,交换机100的EAP认证部240将用于通知认证中使用的EAP的类型(本实施方式中为EAP-TLS) 的EAP请求帧发送给其它交换机100X(步骤S108)。接收到请求帧的其它交换机100X将包含认证中使用的EAP类型的标识符的EAP应答帧发送给交换机100 (步骤Sl 10)。然后,在交换机100与其它交换机100X之间按照步骤SllO中通知的认证方法进行认证(步骤SlU)。在认证成功的情况下,交换机100的EAP认证部240将表示认证成功的EAP帧发送给其它交换机100X(步骤S114)。此外,上述各帧的结构是按照EAP规章中预先规定的格式的结构,ID、类型等的值作为帧中的规定位置中存储的数据被发送、接收。在认证成功之后,交换机100的认证信息管理部220将包含第一许可一览表420中存储的许可地址的帧发送给其它交换机100X(步骤S116)。接收到该帧的其它交换机 100X将包含其它交换机100X内的第二许可一览表420中存储的许可地址的帧发送给交换机100(步骤S118)。最后,交换机100的认证信息管理部220基于接收帧中包含的许可地址,来更新交换机100的第一许可一览表420中存储的许可地址。具体而言,认证信息管理部220将接收帧中包含的许可地址(MAC地址)追加到第一许可一览表420中。此外,同样地,其它交换机100X基于接收帧中包含的许可地址,来更新其它交换机100X的第二许可一览表420中存储的许可地址。该例子中,交换机100所具有的第一许可一览表420中,除了存储有与交换机100 连接的两台终端(PC10及PC20)的许可地址(MAC_PC10及MAC_PC20)之外,还存储有其它交换机100X所具有的第二许可一览表420中存储的许可地址(MAC_PC30、MAC_PC40及MAC_ PC50)(图8)。同样地,其它交换机100X所具有的第二许可一览表420中,除了存储有与其它交换机100X连接的3台终端(PC30、PC40及PC50)的MAC地址(MAC_PC30、MAC_PC40 及MAC_PC50)之外,还存储有交换机100所具有的第一许可一览表420中存储的许可地址 (MAC_PC10 及 MAC_PC20)(图 8)。此外,图7中,虽然其它交换机100X发挥基于IEEE802. IX的认证客户 (Supplicant)的作用,交换机100发挥基于IEEE802. IX的认证服务器(鉴定者)的作用, 但也可以调换其作用。例如,交换机100也可以采用在检测到连接(步骤S100)之后一定时间内未接收到EAPOL开始帧的情况下,向其它交换机100X发送EAPOL开始帧的结构。在此情况下,交换机100发挥认证客户的作用,而其它交换机100X发挥认证服务器的作用。像这样,若EAP认证部240具有基于IEEE802. IX的认证客户和基于IEEE802. IX的认证服务器这两方面的功能,则相对于其它交换机100X,交换机100既能作为认证客户动作又能作为认证服务器动作,从而能够实现灵活性较好的认证。1-3.在交换机与交换机之间进行认证之后考虑下述情况,即,如图8所示那样,进行了交换机100与其它交换机100X之间的认证之后,将帧从终端PC30发送到终端PC20。在此情况下,将来自终端PC30的帧经由其它交换机100X而发送到交换机100的流程与用图6说明过的流程相同。接收到来自其它交换机100X的帧的交换机100(图5的步骤SlO为是)判断为接收帧不是EAP帧(步骤S12为否)。接下来,交换机100参照认证方法一览表410,而判断为接收到帧的端口 P505中的MAC地址认证是有效的(步骤S18、S20)。并且,交换机100确认了作为发送源MAC地址的MAC_PC30与第一许可一览表420中存储的MAC地址相一致时, 判断为可以进行接收帧的中继(步骤S22、SM为是)。然后,交换机100进行帧中继处理 (步骤S28)。其结果,经由其它交换机100X而被交换机100接收到的帧从交换机100的端口 P502被发送到终端PC20。像这样,交换机100与其它交换机100X之间进行认证,并且该认证成功之后,交换机100对来自与其它交换机100X连接的外部装置的接收帧进行中继。换言之,交换机100 将与其它交换机100X之间的认证成功作为不对来自其它交换机100X的通信内容的输入进行制限的条件。2.接收帧时的处理的具体例(二)参照图9 图11进一步说明该交换机100所进行的接收帧时的处理的具体例(二)。图9 图11示出的是,在图8的状态下,新的外部装置连接到交换机100的例子。 该新的外部装置是MAC地址为MAC_PC60的终端PC60。2-1.在讲行交换机与终端之间的认证之前考虑如图9所示那样,要把新的终端PC60连接到交换机100的端口 P503的情况。 在此情况下,终端PC60向连接对象的交换机100发送用于请求开始认证的EAPOL开始帧。 接收到EAPOL开始帧的交换机100判断为接收帧是EAP帧(图5的步骤S12为是)。接下来,交换机100参照认证方法一览表410,判断为认证的种类是EAP_PC (步骤S14)。2-2.交换机与终端之间的认证处理在交换机100与终端PC60之间进行如下认证。图10是表示在图5的步骤S16中认证的种类是EAP_PC的情况下交换机与终端之间进行的处理的流程的序列图。除了终端 PC60作为认证客户(Supplicant)动作之外,图10的步骤SlOO S114与图7的SlOO S114实质上相同。但是,由于本具体例(二)中,认证种类为EAP_PC,所以交换机100向终端PC60发送通知认证中使用的EAP类型为EAP-MD5的EAP请求帧(步骤S108)。在步骤S112的认证成功之后,交换机100更新第一许可一览表420中存储的许可地址,追加终端PC60的MAC地址(MAC_PC60)(步骤S200)。此后,交换机100和其它交换机 100X互相发送包含许可一览表420中存储的许可地址的帧(步骤S116、S118)。然后,交换机100和其它交换机100X更新自己的许可一览表420。此外,步骤Sl 16 S120的详细内容与图7相同。2-3.进行了交换机与终端之间的认证之后图11是表示在新的终端PC60连接到交换机100的情况下进行了认证之后的情形的图。交换机100及其它交换机100X所具有的许可一览表420中,追加了新连接到交换机 100 的终端 PC60 的 MAC 地址(MAC_PC60)。如该例子这样,在交换机100与其它交换机100X之间的认证成功之后,交换机100 上又连接了终端PC60的情况下,交换机100将终端PC60的MAC地址追加到第一许可一览表420。然后,交换机100将更新后的第一许可一览表420发送给其它交换机100X。其结果,与用图8说明过的情况同样,不毁掉与新连接的终端PC60之间发送、接收的帧,而对其进行中继。此外,例如,在其它交换机100X以外的别的其它交换机连接到交换机100的情况下也同样进行上述处理。此外,如图11所示那样,例如,其它交换机100X连接到别的其它交换机的情况下, 其它交换机100X也可以将从交换机100接收到的、包含交换机100的第一许可一览表420 中存储的许可地址的帧发送给该别的其它交换机。像这样,若采用从与自己连接的一个交换机接收到的许可地址传输到另一个交换机的结构,则能在交换机之间交换MAC地址认证中使用的许可一览表的内容(即,帧的中继被允许的外部装置的MAC地址),从而提高使用的方便性。此外,可以将许可地址的传输范围设定为由路由器区分的同一网段(segment) 的范围内的交换机。此外,也可以向路由器本身传输许可地址。这样的话,也能够利用路由器来管理MAC地址。如上所述那样,根据本发明的第一实施方式所涉及的交换机100,在其它交换机 100X连接进来时,与其它交换机100X之间进行认证,并以认证成功为条件,在交换机100中对该其它交换机100X中被允许中继的帧也进行中继。因此,本第一实施方式所涉及的交换机100能够提高安全性。此外,本第一实施方式所涉及的交换机100中,与其它交换机100X之间进行认证处理,若认证未成功,则判断为不能进行接收帧的中继,并毁掉接收帧,而若与其它交换机 100X之间的认证成功,则与其它交换机100X之间进行许可一览表420的内容的发送、接收, 以在相互之间反映该内容。也就是说,本第一实施方式所涉及的交换机100对来自未被认证的其它交换机100X的通信内容的输入进行限制,而不对来自被认证的其它交换机100X 的通信内容的输入进行限制。因此,尤其能够避免级联连接用端口成为安全漏洞这一现有技术的问题。因而,本第一实施方式所涉及的交换机100能够进一步提高关于机密的安全性。并且,本第一实施方式所涉及的交换机100也与直接连接的终端之间进行认证, 并改变(第一)许可一览表420以允许对来自认证成功的终端的接收帧进行中继,并将改变后的许可一览表420发送给其它交换机100X。这样一来,根据本第一实施方式所涉及的交换机100,即使在交换机之间的认证和许可地址的交换进行之后,某个交换机的结构发生了改变的情况下,也进行结构改变后的许可地址的交换,所以仍然能够提高安全性和使用方便性。<第二实施方式>在本发明的第二实施方式中,对第一实施方式中说明过的网络中继装置(交换机)100中能进一步使用虚拟网络、即VLAN(VirtUal LAN,虚拟局域网)的结构进行说明。 以下,仅对第二实施方式中与第一实施方式具有不相同的结构及动作的部分进行说明。此外,对第二实施方式中使用的附图中与第一实施方式相同的构成部分标注了与上述第一实施方式相同的附图标记并省略其详细说明。图12是表示本发明的第二实施方式所涉及的网络中继装置(交换机)IOOa的结构的概要图。本第二实施方式所涉及的交换机IOOa与图2所示的第一实施方式所涉及的交换机100的不同之处在于中继处理部210a、认证信息管理部220a及RAM400a的结构。RAM400a中,除了存储有在第一实施方式中说明过的认证方法一览表410及许可一览表420之外,还存储有VLAN定义信息430。图13是表示VLAN定义信息430的一例的图。 该VLAN定义信息430是定义了与物理连接方式不相同的、虚拟构筑的子网(以下,记为虚拟网络)的信息,并包含端口号字段和VLAN ID字段。端口号字段的各项目中存储有与交换机IOOa所具备的所有端口对应的标识符。本实施方式中,端口标识符是“P501” “P505”。 VLAN ID字段中存储有,对存储在端口号字段中的各端口预先分配的虚拟网络(VLAN)的标识符。本实施方式中的VLAN标识符是“ 1”及“ 2 ”。例如,图13的例子中规定,与用端口标识符P501识别的端口 P501连接的外部装置(即,图1所示的终端PCio)属于用VLAN标识符“1”识别的虚拟网络。也同样地规定, 与用端口标识符P502识别的端口 P502连接的外部装置(即,图1所示的终端PC20)属于用VLAN标识符“2”识别的虚拟网络。如上所述那样构成的交换机IOOa在接收帧时所进行的的处理与用图5说明过的处理相同。但是,中继处理部210a基于VLAN定义信息430,能够构筑直接与交换机IOOa 连接的、或经由其它交换机100 等而间接与交换机IOOa连接的外部装置中的虚拟网络 (VLAN)。具体而言,中继处理部210a在帧中继处理(图5的步骤S28)中,通过参照VLAN
13定义信息430,将被分配了不同虚拟网络的VLAN标识符的端口作为属于不同虚拟网络的端口,来进行帧的中继处理。也就是说,根据图13所示的VLAN定义信息430,由于图1中的终端PClO及终端PC20被分别分配了不同的VLAN标识符,所以中继处理部210a将它们视为属于不同虚拟网络而进行处理。其结果,在终端PClO与终端PC20之间,不进行帧的中继。图14是表示在其它交换机100 连接到第二实施方式所涉及的交换机IOOa的情况下尚未进行认证时的情形的图。除了端口 P501被设定为级联连接用端口之外,该其它交换机100 的其它结构与图12所示的交换机IOOa相同。其它交换机100 中,交换机IOOa 的端口 P505经由线路与端口 P501连接,终端PC30 (MAC地址MAC_PC30、VLAN标识符1)经由线路与端口 P502连接,终端PC40 (MAC地址MAC_PC40、VLAN标识符-.2、经由线路与端口 P503连接,终端PC50 (MAC地址MAC_PC50、VLAN标识符 经由线路与端口 P504连接。此外,该其它交换机100 内部存储的认证方法一览表410及第二许可一览表420 的内容与用图6说明过的其它交换机100X的相同。存储在其它交换机100 内部的VLAN 定义信息(该具体例中称为第二 VLAN(虚拟网络)定义信息)430的、与端口 P501相对应的VLAN ID字段的值为“-”,与端口 P502相对应的VLAN ID字段的值为“ 1 ”,与端口 P503 及端口 P504相对应的VLAN ID字段的值为“2”。图15是表示在其它交换机100 连接到第二实施方式所涉及的交换机IOOa时所进行的处理(图5的步骤S16中,认证的种类为EAP_CAS)的流程的序列图。此外,该图15 中的步骤SlOO Sl 14与用图7说明过的步骤SlOO S114相同。在与其它交换机100 之间的认证成功之后,交换机IOOa的认证信息管理部220a 将包含第一许可一览表420中存储的许可地址和第一 VLAN定义信息430中存储的虚拟网络的定义信息的帧发送给其它交换机IOOXa(步骤S300)。同样地,接收到该帧的其它交换机100 将包含其它交换机100 内的第二许可一览表420中存储的许可地址和第二 VLAN 定义信息430中存储的虚拟网络的定义信息的帧发送给交换机IOOa(步骤S302)。交换机IOOa的认证信息管理部220a基于接收帧中包含的许可地址,来更新第一许可一览表420中存储的许可地址,并且基于接收帧中包含的虚拟网络的定义信息,来更新自己的VLAN定义信息(该具体例中,称为第一VLAN(虚拟网络)定义信息)430中存储的定义信息(步骤S304)。此外,同样地,其它交换机100 基于接收帧中包含的许可地址和虚拟网络的定义信息,来更新第二许可一览表420和第二 VLAN定义信息430 (步骤S304)。图16是表示其它交换机100 连接到图14所示的交换机IOOa的情况下进行了认证之后的情形的图。存储在交换机IOOa内部的第一许可一览表420中,除了存储有已连接到交换机IOOa的两台终端(PC10及PC20)的MAC地址(MAC_PC10、MAC_PC20)之外,还存储有其它交换机100 的第二许可一览表420中存储的许可地址(MAC_PC30、MAC_PC40及 MAC_PC50)。此外,存储在交换机IOOa内部的第一 VLAN定义信息430中存储有“ 1 ”及“2” 作为与端口 P505相对应的VLAN标识符(图15的步骤S304)。同样地,存储在其它交换机 IOOXa内部的第二许可一览表420中,除了存储有已连接到其它交换机IOOXa的三台终端 (PC30、PC40 及 PC50)的 MAC 地址(MAC_PC30、MAC_PC40 及 MAC_PC50)之外,还存储有交换机IOOa的第一许可一览表420中存储的许可地址(MAC_PC10及MAC_PC20)。此外,存储在其它交换机IOOXa内部的第二 VLAN定义信息430中存储有“ 1 ”及“2”作为与端口 P501相对应的VLAN标识符(图15的步骤S304)。
除了如下所述的不同之处,认证种类为EAP_PC的情况下的处理与用图10说明过的处理基本上相同,因此省略其图示。处理中的不同之处在于在步骤S200中,除了更新许可一览表420之外,还更新VLAN定义信息430 ;在步骤Sl 16及Sl 18中除了对许可地址进行发送、接收之外,还对虚拟网络的定义信息进行发送、接收;在步骤S120中,除了更新许可一览表420之外,还更新VLAN定义信息430。如上所述那样,根据本发明的第二实施方式所涉及的交换机100a,在前述的第一实施方式所涉及的交换机100的处理的基础上,在与其它交换机100 之间的认证或与终端之间的认证成功的情况下,与其它交换机100 之间进行VLAN定义信息430的内容的发送、接收,并互相反映该内容。因而,本第二实施方式所涉及的交换机IOOa能够提高安全性,并能简便地进行关于虚拟网络(VLAN)的设定。〈变形例1>上述各实施方式所示的交换机的结构只不过是一例,可以采用任何结构。例如,能够进行以下变形,即,省略其构成要素的一部分,或附加别的构成要素。各实施方式的交换机也可以不是基于MAC地址进行帧的中继的第二层交换机, 而是还能够进一步用IP地址来进行包的中继的、所谓第三层交换机。此外,各实施方式的交换机也可以是能够通过无线通信经由无线通信接口而进行包的中继的、所谓接入点 (access point)0此外,上述各实施方式的交换机中,将认证方法一览表、许可一览表及VLAN定义信息存储在RAM中,但也可以存储在其它存储介质(例如,快闪只读存储器(flash ROM)) 中。此外,上述各实施方式的交换机中,CPU具备中继处理部及EAP认证部,中继处理部进一步包括认证信息管理部及MAC地址认证部。此外,对各处理部中执行的功能进行了说明。然而,这些处理部的配置及各处理部所发挥的功能的内容只不过是一例,也可以根据交换机的结构而进行任意的变更。此外,也可以是,上述各实施方式中记载的、中继处理部的功能中的帧中继功能为由构成有线通信接口的物理芯片来实现的功能,中继处理部的其它功能(确定可否对接收帧进行中继的功能、认证信息管理部的功能、MAC地址认证部的功能)为由CPU来实现的功能。在此情况下,通过使构成有线通信接口的物理芯片与CPU相配合,来实现中继处理部的所有功能。例如,也可以使构成有线通信接口的物理芯片的内部具备中继处理部、EAP认证部、认证信息管理部及MAC地址认证部的所有功能。〈变形例2>上述各实施方式的交换机的结构具备用于进行接收到的帧的MAC地址认证的 MAC地址认证部;以及在外部装置连接进来时,用于与所连接的外部装置之间进行认证的 EAP 认证部(即,内置了 RADIUS (Remote Authentication Dial-In User Service,远程用户拨入认证服务)功能)。然而,也可以采用如下结构,即,在交换机之外,另外设置专用的 RADIUS服务器,在外部的RADIUS服务器中进行实际的MAC地址认证和/或与连接的外部装置之间的认证。在交换机之外,另外设置专用的RADIUS服务器的情况下,MAC地址认证部及EAP认证部通过向RADIUS服务器发送认证请求,并获得作为其应答的认证结果,来发挥 MAC地址认证部及EAP认证部的作用。
此外,上述各实施方式中,说明了在认证种类为EAP_PC的情况下使用IEEE802. IX 的EAP-MD5作为预先规定的认证方法、在认证种类为EAP_CAS的情况下用IEEE802. IX的 EAP-TLS作为预先规定的认证方法的例子。然而,也可以用上述例子以外的任何方法作为上述认证方法。例如,除了可以采用 EAP-TTLS (extensible authentication protocol-tunneled transport layer security,扩展认证协议-隧道传输层安全)、PEAP (Protected Extensible Authentication Protocol,受保护的可扩展身份验证协议)、 LEAP (Lightweight Extensible Authentication Protocol,轻量级扩展验证协、议)之夕卜, 也可以采用利用了 EAP协议的独自的方法等来作为认证方法。也可以通过采用以下认证方法,来取代依照IEEE802. IX的EAP协议的认证方法。 具体而言,交换机内部预先存储连接被允许的外部装置(其它交换机、终端等)的MAC地址。然后,在外部装置连接进来时,该外部装置的MAC地址被预先登记为连接被允许的MAC 地址的情况下,EAP认证部当作认证成功而进行处理。这样,连接被允许的外部装置可以由交换机的管理员等预先指定。〈变形例3>上述各实施方式中,用表的形式表示认证方法一览表、许可一览表及VLAN定义信息的一例。然而,这些表仅仅是一例而已,只要不脱离本发明的宗旨,能够采用任何形式。例如,也可以具备上述字段以外的字段。此外,也可以对各个表采用直接映射 (direct-mapped)方式。另外,优选采用用户可以设定各个表的结构。具体而言,许可一览表的结构是不区分接收到帧的端口,仅存储可中继的发送源 MAC地址的结构,但也可以进行以下变形。例如,也可以是如下结构,即,在许可一览表中追加端口号字段,按端口来管理中继被允许的接收帧的发送源MAC地址。此外,也可以是如下结构,即,通过设置发送源MAC地址字段和可否中继字段来取代许可地址字段,并对每个发送源MAC地址设定可否进行帧的中继。此外,上述各实施方式中,CPU通过执行存储器中存储的固件和/或计算机程序, 来实现交换机的各个结构,但根据具体情况,本发明的各个结构可以通过硬件来实现,也可以通过软件来实现。此外,在本发明的功能的一部分或全部通过软件来实现的情况下,可以将该软件 (计算机程序)以存储在计算机可读取的记录媒体中的形式来提供。本发明中,“计算机可读取的记录媒体”并不局限于软盘(flexible disk)和⑶-ROM等便携式的记录媒体,还包括各种RAM和ROM等计算机的内部存储装置、以及硬盘等固定在计算机上的外部存储装置。以上,虽然对本发明进行了详细的说明,但是上述说明中的所有方面不过是对本发明的示例,而非用来限定本发明的范围。例如,可以基于本发明的构思,适当地省略附加要素。此外,除了上述变形例以外,在不脱离本发明的范围内,毫无疑问可以进行各种改进和变形。
权利要求
1.一种网络中继装置,对从外部装置接收的帧进行中继,其特征在于 该网络中继装置具备认证处理部,在作为上述外部装置的其它网络中继装置连接到上述网络中继装置时, 该认证处理部按照预先规定的认证方法,来与该其它网络中继装置之间进行认证;以及中继处理部,确定可否对上述网络中继装置从上述外部装置接收到的帧进行中继,并对确定为可中继的帧进行中继,上述中继处理部以上述认证成功为条件,在上述网络中继装置中,对从上述其它网络中继装置接收到的帧也进行中继。
2.根据权利要求1所述的网络中继装置,其特征在于该网络中继装置还具备存储部,该存储部存储第一许可一览表,该第一许可一览表用于用上述接收到的帧中包含的信息来确定上述网络中继装置可以中继的帧, 上述中继处理部具备认证信息管理部,将上述第一许可一览表的内容发送给上述认证成功的上述其它网络中继装置,并且从上述认证成功的上述其它网络中继装置接收用于确定上述其它网络中继装置可以中继的帧的第二许可一览表的内容,并将所接收到的上述第二许可一览表的内容反映在上述第一许可一览表中;以及确定处理部,按照反映了上述第二许可一览表的内容的第一许可一览表,来确定可否对从上述外部装置接收到的帧进行中继。
3.根据权利要求2所述的网络中继装置,其特征在于上述存储部还存储对由上述外部装置构筑的虚拟的子网进行定义的第一虚拟网络定义信息,其中,上述外部装置是直接与上述网络中继装置连接、或经由上述其它网络中继装置而间接与上述网络中继装置连接的外部装置,上述认证信息管理部进一步将上述第一虚拟网络定义信息的内容发送给上述认证成功的上述其它网络中继装置,并从上述认证成功的上述其它网络中继装置接收对由上述外部装置构筑的虚拟的子网进行定义的第二虚拟网络定义信息的内容,并将所接收到的上述第二虚拟网络定义信息的内容反映在上述第一虚拟网络定义信息中,其中,上述外部装置是直接与上述其它网络中继装置连接、或经由别的其它网络中继装置而间接与上述其它网络中继装置连接的外部装置。
4.根据权利要求2所述的网络中继装置,其特征在于当发送帧的终端作为上述外部装置而连接到上述网络中继装置时,上述认证处理部进一步按照预先规定的认证方法来与该终端之间进行认证,在上述终端的认证成功的情况下,上述认证信息管理部进一步改变上述第一许可一览表的内容,以允许从上述终端接收的帧的中继,并且将改变后的上述第一许可一览表的内容发送给上述认证成功的上述其它网络中继装置。
5.根据权利要求3所述的网络中继装置,其特征在于在发送帧的终端作为上述外部装置而连接到上述网络中继装置的情况下,上述认证处理部进一步按照预先规定的认证方法来与该终端之间进行认证,在上述终端的认证成功的情况下,上述认证信息管理部进一步改变上述第一许可一览表的内容,以允许从上述终端接收的帧的中继,并且将改变后的上述第一许可一览表的内容发送给上述认证成功的上述其它网络中继装置。
6.根据权利要求5所述的网络中继装置,其特征在于上述终端的认证成功的情况下,上述认证信息管理部进一步将上述第一虚拟网络定义信息的内容发送给上述认证成功的上述其它网络中继装置。
7.根据权利要求1所述的网络中继装置,其特征在于上述认证处理部具有基于IEEE802. IX的认证客户以及基于IEEE802. IX的认证服务器这两方面的功能。
8.根据权利要求1所述的网络中继装置,其特征在于当上述其它网络中继装置连接到上述网络中继装置时,若上述其它网络中继装置的 MAC地址在上述网络中继装置内被预先登记为应允许连接的MAC地址,则上述认证处理部当作与上述其它网络中继装置之间的上述认证成功来进行处理。
9.一种中继控制方法,是网络中继装置中使用的、对从外部装置接收的帧的中继进行控制的接收帧的中继控制方法,其特征在于该中继控制方法包括判断连接到上述网络中继装置的上述外部装置是否是其它网络中继装置的步骤; 在所连接的上述外部装置是其它网络中继装置的情况下,按照预先规定的认证方法, 来与该其它网络中继装置之间进行认证的步骤;在上述其它网络中继装置的认证成功的情况下,在上述网络中继装置与该认证成功的上述其它网络中继装置之间交换许可一览表的内容的步骤,其中,该许可一览表是为了用包含在接收到的帧中的信息来确定可中继的帧而预先存储的;将通过上述交换而获取的、上述认证成功的上述其它网络中继装置所存储的许可一览表的内容反映在上述网络中继装置所存储的许可一览表中的步骤;以及按照反映了上述认证成功的上述其它网络中继装置所存储的许可一览表的内容的许可一览表,来判断可否对从上述外部装置接收到的帧进行中继的步骤。
10.根据权利要求9所述的中继控制方法,其特征在于 该中继控制方法还包括判断连接到上述网络中继装置的上述外部装置是否是发送帧的终端的步骤; 在所连接的上述外部装置是上述发送帧的终端的情况下,按照预先规定的认证方法, 来与该终端之间进行认证的步骤;以及在上述终端的认证成功的情况下,改变上述网络中继装置所存储的许可一览表的内容,以允许从上述终端接收的帧的中继,并且将该改变后的许可一览表的内容发送给上述认证成功的上述其它网络中继装置的步骤。
全文摘要
本发明提供一种网络中继装置以及接收帧的中继控制方法。网络中继装置具备认证处理部和中继处理部,在其它网络中继装置连接到网络中继装置时,该认证处理部按照认证方法一览表中规定的认证方法,来与其它网络中继装置之间进行认证;该中继处理部按照许可一览表来确定可否对网络中继装置所接收到的帧进行中继,并对确定为可中继的接收帧进行中继。中继处理部以认证成功为条件,在网络中继装置中对从其它网络中继装置接收到的帧也进行中继。
文档编号H04L29/06GK102377773SQ20111024354
公开日2012年3月14日 申请日期2011年8月22日 优先权日2010年8月24日
发明者山田大辅 申请人:巴比禄股份有限公司