网络中继装置及帧的中继的控制方法

专利名称：网络中继装置及帧的中继的控制方法
技术领域：
本发明涉及一种网络中继装置、以及该网络中继装置中使用的、对从外部装置接收的帧的中继进行控制的方法。
背景技术：
随着 ICT(Information and Communication Technology，信息与通讯技术)的发展，出现了被称为智能交换机的交换机产品。与普通交换机相比，这样的智能交换机是具有高功能的交换机。智能交换机例如具有VLAN(Virtual Local Area Network，虚拟局域网) 功能、安全性功能、QoS服务质量功能等各种各样的功能(例如，参照专利文献1)。在这样的功能中，近年来，尤其要求提高重视了网络的内部威胁的安全性功能。一般来说，作为重视了该网络内部的威胁的安全性功能，广泛使用被称为“基于每个端口的安全性”的功能，该功能是指基于与智能交换机的端口连接的外部装置的MAC地址来限制通信内容(traffic)的输入。但现状中，安全性的提高和使用方便性是相互抵触的关系，若要求其中一个，则不得不牺牲另一个。例如，智能交换机中，在采用基于端口的安全性功能的情况下，网络管理员通常针对智能交换机的各个端口，设定安全性的有效或无效、被允许输入通信内容的外部装置的MAC地址、以及违反安全性时的处理的指定等。然而，近年来，由于在公司内，作为用户在工作上使用个人所具有的便携式终端或智能手机等的工作人员、合同工、关联公司及客户的工作人员等来宾越来越多，从而频繁地发生网络结构的改变。其结果，网络管理员需要在确保安全性的同时，应付网络结构的改变，因此存在网络管理员的管理负担增大的问题。此外，上述技术问题不仅仅是智能交换机中存在的问题，也是具有安全性功能的所有中继装置中普遍存在的问题。专利文献1日本特开2008-48252号公报

发明内容
为此，本发明的目的在于，提供一种既能确保安全性又能灵活地对应网络结构的变化的网络中继装置及帧的中继的控制方法。本发明涉及一种对从外部装置接收到的帧进行中继的网络中继装置。为了达到上述目的，本发明的网络中继装置具备多个端口、认证处理部以及中继处理部，该多个端口用于与外部装置连接，并且该多个端口分别被设定了对应的认证种类，该认证种类是指在外部装置连接到该端口时应对该外部装置进行的认证的种类；在外部装置连接到网络中继装置时，该认证处理部辨别对与外部装置连接的端口设定了的认证种类，在辨别出的认证种类是第一认证种类的情况下，该认证处理部用根据所连接的该外部装置的种类而从多个认证方法候补中确定的认证方法，来与外部装置之间进行认证；该中继处理部对从认证处理部所进行的认证成功了的外部装置接收到的帧进行中继。外部装置的种类可以根据从所连接的外部装置接收到的帧中包含的标识符来判断。该网络中继装置中，在所辨别出的认证种类是第二认证种类的情况下，无论所连接的外部装置是何种类，认证处理部都用特定的认证方法，来与外部装置之间进行认证。此外，也可以是，在外部装置连接进来之后，相应于所发生的预先规定的触发，中继处理部停止对从外部装置接收到的帧进行中继，认证处理部在接收到请求交换认证中使用的密钥的密钥交换帧的情况下，与接收到密钥交换帧的端口上连接的外部装置之间进行用于交换密钥的处理。优选的是，多个认证方法候补中包括EAP-MD5、EAP-TLS, EAP-TTLS, PEAP, LEAP及 EAP-FAST的认证协议中的至少一个。特定的认证方法是，EAP-MD5、EAP-TLS, EAP-TTLS, PEAP, LEAP及EAP-FAST的认证协议中的任一个。此外，在该网络中继装置存储有用于用从外部装置接收到的帧中包含的信息来确定可中继的帧的许可一览表的情况下，中继处理部也可以包括认证信息管理部，该认证信息管理部根据外部装置的连接状态来改变许可一览表所规定的内容。优选的是，在外部装置连接到认证种类被设定为第一认证种类的端口的情况下，该认证信息管理部改变许可一览表所规定的内容，以允许对从所连接的该外部装置接收到的帧进行中继，而在外部装置连接到认证种类被设定为第二认证种类的端口的情况下，并且认证处理部所进行的认证成功的情况下，该认证信息管理部改变许可一览表所规定的内容，以允许对从所连接的该外部装置接收到的帧进行中继。另外，优选的是，在改变了许可一览表的情况下，认证信息管理部进一步向与网络中继装置连接着的其它网络中继装置发送该改变后的许可一览表的内容。此外，优选的是，认证处理部具有基于IEEE802. IX的认证客户以及基于 IEEE802. IX的认证服务器这两方面的功能。此外，优选的是，当其它网络中继装置连接到网络中继装置时，若该其它网络中继装置的MAC地址在网络中继装置内被预先登记为应允许连接的MAC地址，则认证处理部当作与该其它网络中继装置之间的认证成功来进行处理。根据上述本发明的结构，能够在确保网络中继装置的安全性的同时，灵活地对应网络结构的变化。因而，既能提高安全性又能提高使用方便性。此外，本发明能够通过各种各样的方式来实现。例如，本发明能够通过网络中继装置、网络中继装置的控制方法、使用了网络中继装置的网络系统、以及用于实现这些方法或装置的功能的计算机程序、存储了该计算机程序的存储介质等的方式来实现。本发明可应用于包括中继装置和无线通信装置的网络系统等，在要提高无线通信时的安全性的情况下等尤为有效。在参照附图进行下述详细说明之后，本发明的各种目的、 特征、方案、效果将会更加明确。


图1是表示本发明的第一实施方式所涉及的网络中继装置及终端的概要结构的图。图2是表示第一实施方式所涉及的网络中继装置的结构的概要图。图3是表示认证方法一览表的一例的图。图4是表示许可一览表的一例的图。
5
图5是表示认证方法候补一览表的一例的图。图6是表示网络中继装置在接收帧时所进行的处理的顺序的流程图。图7是表示在其它网络中继装置连接到网络中继装置的情况下尚未进行认证时的情形的图。图8是表示EAP_SW模式认证处理(图6的步骤S36)的流程的序列图。图9是表示在其它网络中继装置连接到网络中继装置的情况下进行了认证之后的情形的图。图10是表示在终端连接到网络中继装置的情况下尚未进行认证时的情形的图。图11是表示EAP_PC模式认证处理(图6的步骤S38)的流程的序列图。图12是表示在终端连接到网络中继装置的情况下进行认证之后的情形的图。图13是表示本发明的第二实施方式所涉及的网络中继装置的概要结构的图。图14是表示密钥交换处理的流程的序列图。
具体实施例方式以下，参照附图对本发明的实施方式进行说明。(第一实施方式)图1是表示本发明的第一实施方式所涉及的网络中继装置100、终端PClO及PC20 的概要结构的图。第一实施方式所涉及的网络中继装置100是所谓第二层交换机，并具有基于MAC(Media Access Control，介质访问控制)地址进行帧的中继的功能。第二层相当于 OSI (Open Systems hterconnection，开放系统互连)参考模型的第二层(数据链路层)。 以下，将网络中继装置100记为交换机100来进行说明。外部装置(例如，终端、其它交换机)经由5个端口 P501 P505连接到交换机100。在图1的例子中，端口 P501经由线路与个人计算机等终端PClO连接。终端PClO 的MAC地址是MAC_PC10。端口 P502经由线路与个人计算机等终端PC20连接。终端PC20 的MAC地址是MA_ PC20。此外，为了便于说明，图1中省略了说明中不需要的其它网络装置、线路、终端及交换机100内的结构的图示。这些在后述的图中也同样被省略。图2是表示第一实施方式所涉及的交换机100的结构的概要图。交换机100具备CPU(Central Processing Unit 中央处理器)200、ROM (Read Only Memory，只读存储器)300、RAM (Random Access Memory，随机存取存储器)400以及有线通信接口(有线通信 I/F) 5000交换机100的各构成要素经由总线600而相互连接。CPU200通过将存储在R0M300中的计算机程序载入到RAM400中执行，来控制交换机100的各个部。此外，CPU200也发挥中继处理部210及认证处理部250的作用。中继处理部210包括认证信息管理部220和MAC地址认证部230，并具有对经由有线通信接口 500 接收到的帧(以下，记载为接收帧)进行中继的功能。认证信息管理部220主要具有对存储部即RAM400所存储的许可一览表420进行更新的功能和与其它交换机交换许可一览表 420的功能。MAC地址认证部230进行确定可否对接收帧进行中继的处理，发挥作为确定处理部的功能。包含在认证处理部250中的EAP认证部240具有以下功能即，在外部装置 (例如，终端或其它交换机)连接到交换机100时，与外部装置之间进行认证。这些功能部的详细内容将于后述。
RAM400中存储有认证方法一览表410、许可一览表420和认证方法候补一览表 450。关于这些一览表的详细内容将于后述。有线通信接口 500是用于与局域网(LAN)连接的LAN电缆的连接口。有线通信接口 500包括5个端口 P501 P505。此外，本实施方式中，端口 P501 P504是用于连接交换机以外的外部装置(例如，个人计算机、移动终端等)的端口。端口 P505是用于连接其它交换机的级联连接用端口。图3是表示认证方法一览表410的一例的图。认证方法一览表410包括端口号字段、认证种类字段和MAC认证字段。端口号字段的各项目(entry)中存储有与交换机100 所具备的所有端口对应的标识符。本实施方式中，标识符是“P501 ” “P505”。认证种类字段中存储有，表示对存储在端口号字段中的各端口预先规定的认证种类的数据。认证种类是指，在外部装置(终端、其它交换机)连接到端口时，EAP认证部MO 所进行的认证的种类。本实施方式中，认证种类是“Auto”及“ΕΑΡ”这两种。作为第一认证种类的Auto是指，采用按照规定条件而确定的认证方法，来与连接到交换机100的外部装置之间进行认证。详细内容将于后述。作为第二认证种类的EAP是指，采用按照预先规定的特定的认证方法，来与连接到交换机100的外部装置之间进行认证。特定的认证方法、即、认证种类为EAP的情况下实际使用的认证方法被预先存储在RAM (Random Access Memory,随机存取存储器)400内部。优选该特定的认证方法选自以下方法中IEEE(The Institute of Electrical and Electronics Engineers :美国电气和电子工程师协会)802. IX 的 EAP-MD5 (Extensible Authentication Protocol-message digest version 5,扩展验证 ^ . ^ ^ 5 D、EAP-TLS (Extensible Authentication Protocol-Transport Layer Security,扩展认证协议-传输层安全)、EAP-TTLS (Extensible Authentication ProtocoI-Tunneled Transport Layer Security，扩展认iiE十办议 _ 隨道传输层安全)， PEAP (Protected Extensible Authentication Protoco 1, ^Uf/1 ^pJffMM B^iiE iX) >LEAP (Lightweight Extensible Authentication Protocol, gfi^Jf ) ^ .) R EAP-FAST (Extensible Authentication Protocol-Flexible Authentication via Secure Tunneling，扩展认证协议-通过安全隧道的灵活身份验证)。本实施方式中使用EAP-MD5 来进行认证。也可以采用用户能设定的方法来作为该特定的认证方法此外，认证方法一览表410可以还包括上面例示了的认证种类以外的认证种类 (例如，表示不对连接到交换机100的外部装置进行认证的“Open”等)。MAC认证字段中存储有，对存储在端口号字段中的各端口预先规定的、MAC地址认证的有效(enable)/无效(disable)的设定值。此外，也可以省略MAC认证字段。优选的是，从提高交换机100的安全性的观点出发，在省略了 MAC认证字段的情况下，对于所有端口，将MAC地址认证设定为有效(enable)。例如，图3的例子中规定，在外部装置连接到用标识符P501识别的端口 P501时， 进行基于Auto的认证，即，使用按照规定条件而确定的认证方法来进行认证。此外，还规定，对来自端口 P501的接收帧进行MAC地址认证(项目E01)。并规定，在外部装置连接到用标识符P502识别的端口 P502时，进行基于EAP的认证，即按照EAP-MD5认证方法来进行认证。此外，也规定对来自端口 P502的接收帧进行MAC地址认证(项目E02)。图4是表示许可一览表420的一例的图。许可一览表420是在进行MAC地址认证时所使用的一览表。许可一览表420中存储了交换机100的中继处理部210允许中继的接收帧的发送源MAC地址(向交换机100发送了帧的装置的MAC地址)作为许可地址。也就是说，许可一览表420被构成为能用接收帧中包含的信息来确定可中继的接收帧。例如，图4的例子中，若接收帧的帧头(header)中包含的发送源MAC地址是“MAC_ PC10”及“MAC_PC20”中的任一种，则中继处理部210允许中继该接收帧。图5是表示认证方法候补一览表450的一例的图。认证方法候补一览表450包括认证处理字段以及认证方法字段。认证处理字段中预先存储了 EAP认证部240能执行的认证处理种类。本实施方式的认证处理种类是“EAP_SW模式认证处理”及“EAP_PC模式认证处理”这两种。EAP_SW模式认证处理是在其它交换机连接到交换机100时，EAP认证部240 所执行的认证处理。EAP_PC模式认证处理是在交换机以外的装置(例如，终端等)连接到交换机100时，EAP认证部240所执行的认证处理。认证方法字段中预先存储了存储在认证处理字段中的各个认证处理中实际使用的认证方法。图5的例子中规定，在认证处理的种类为EAP_SW模式认证处理的情况下，EAP 认证部240使用IEEE802. IX的EAP-TLS来进行认证。此外，还规定，在认证处理的种类为 EAP_PC模式认证处理的情况下，EAP认证部240使用IEEE802. IX的EAP-MD5来进行认证。 此外,认证方法字段中优选包括IEEE802. IX的EAP-MD5、EAP-TLS、EAP-TTLS、PEAP、LEAP及 EAP-FAST中的至少一个。如上所述那样，将EAP认证部240所执行的认证处理的候补和各个认证处理中使用的认证方法预先建立对应关系，并存储在认证方法候补一览表450中。也就是说，认证方法候补一览表450中存储有多个认证方法的候补。此外，也可以让用户来设定认证方法候补一览表450的内容。接下来，对上述结构的交换机100在接收帧时所进行的处理进行说明。图6是表示本发明的第一实施方式所涉及的网络中继装置(交换机)100在接收帧时所进行的处理的顺序的流程图。首先，中继处理部210判断是否经由端口 P501 P505中的任意端口接收到帧(步骤S10)。在接收到帧的情况下(步骤SlO为是)，中继处理部210判断接收帧是否是EAP帧 (步骤Si》。具体而言，例如，在根据接收帧的帧头中包含的以太网类型(Ethernet Type) 而判断出接收帧的类型为EAPOL(extensible authentication protocol over LAN，局域网的扩展认证协议)的情况下，中继处理部210可以判断为接收到EAP帧。在判断为接收帧是EAP帧的情况下(步骤S12为是)，EAP认证部240检索认证方法一览表410的认证种类字段(步骤S14)。具体而言，EAP认证部240参照认证方法一览表410，从端口号字段中具有接收到帧的端口的标识符的项目中获取认证种类字段的值。 EAP认证部240判断所获取的认证种类字段的值是“ΕΑΡ”还是“Auto” (步骤S30)。在认证种类字段的值是“ΕΑΡ”的情况下(步骤S30为ΕΑΡ)，ΕΑΡ认证部240进行EAP_PC模式认证处理(步骤S38)。EAP_PC模式认证处理的详细内容将于后述。另一方面，在认证种类字段的值是“Auto”的情况下(步骤S30为Auto)，EAP认证部240判断接收帧是否是来自终端的帧(步骤S32)。具体而言，例如EAP认证部240参照所接收到的EAP帧的净荷，在净荷中的规定位置上包含的标识符是表示终端的值的情况下，判断为是来自终端的接收帧。在接收帧是来自终端的帧的情况下(步骤S32为是)，EAP认证部240进行EAP_PC模式认证处理(步骤S38)。在接收帧不是来自终端的接收帧的情况下(步骤S32为否)，EAP认证部240判断接收帧是否是来自交换机的帧(步骤S34)。具体而言，例如，EAP认证部240参照所接收到的EAP帧的净荷，在净荷中的规定位置上包含的标识符是表示交换机的值的情况下，判断为是来自交换机的接收帧。在接收帧是来自交换机的帧的情况下(步骤S34为是)，EAP认证部240进行EAP_SW模式认证处理(步骤S36)。EAP_SW模式认证处理的详细内容将于后述。另一方面，在接收帧不是来自交换机的帧的情况下(步骤S34为否)，EAP认证部240 毁掉接收帧，结束处理(步骤S26)。这样，EAP认证部240辨别出对接收到帧的端口(换言之，与外部装置连接的端口)设定了的认证种类，并根据辨别出的认证种类来决定认证处理(步骤S30)。另一方面，在判断为接收帧不是EAP帧的情况下(步骤S12为否)，MAC地址认证部230检索认证方法一览表410的MAC认证字段(步骤S18)。具体而言，MAC地址认证部 230参照认证方法一览表410，从端口号字段中具有接收到帧的端口的标识符的项目中获取MAC认证字段的值、即MAC地址认证的有效/无效的设定值。接下来，MAC地址认证部230 根据所获取的设定值判断是否进行MAC地址认证(步骤S20)。具体而言，若所获取的设定值是“enable”，则MAC地址认证部230进行MAC地址认证，若所获取的设定值是“disable”， 则MAC地址认证部230不进行MAC地址认证。在不进行MAC地址认证的情况下(步骤S20 为否)，MAC地址认证部230进行帧中继处理(步骤S28)。在判断为进行MAC地址认证的情况下(步骤S20为是)，MAC地址认证部230参照许可一览表420(步骤S22)，判断可否进行接收帧的中继(步骤S24)。具体而言，MAC地址认证部230判断接收帧的帧头中包含的发送源MAC地址是否与许可一览表420中存储的 MAC地址中的任一地址相一致。在判断为两者的MAC地址不一致，不能进行接收帧的中继的情况下(步骤S24为否)，MAC地址认证部230毁掉接收帧，结束处理(步骤S26)。在毁掉了接收帧的情况下，MAC地址认证部230也可以向被毁掉的帧的发送源终端通知帧被毁掉了的内容。另一方面，在上述步骤S20中判断为不进行MAC地址认证的情况下(步骤S20为否)、以及上述步骤S24中判断为两者的MAC地址相一致，能进行接收帧的中继的情况下 (步骤SM为是)，MAC地址认证部230进行帧中继处理(步骤S28)。该帧中继处理中，中继处理部210参照未图示的MAC地址表，进行转发(forwarding)(在MAC地址表中存在目的地MAC地址的情况下中继帧的动作)或泛洪(flooding) (MAC地址表中不存在目的地MAC 地址的情况下的动作)之后，结束处理。像这样，中继处理部210的MAC地址认证部230基于许可一览表420来确定可否对接收帧进行中继。1.接收帧时的处理的具体例(一)参照图7 图9，进一步说明该交换机100在接收帧时所进行的处理的具体例 (一)。图7 图9示出了新的外部装置(其它交换机100X的端口 P501)连接到交换机100 的端口 P505的例子。除了端口 P501被设定为级联连接用端口之外，该其它交换机100X的结构与图2所示的交换机100相同。其它交换机100X中，端口 P501经由线路与交换机100 的端口 P505连接，端口 P502经由线路与终端PC30连接，端口 P503经由线路与终端PC40 连接，端口 P504经由线路与终端PC50连接。此外，终端PC30的MAC地址是MAC_PC30，终端PC40的MAC地址是MAC_PC40，终端PC50的MAC地址是MAC_PC50。在其它交换机100X所具有的许可一览表(该具体例中称为第二许可一览表)420中存储有连接到其它交换机100X 的三台终端(PC30、C40 及 PC50)的 MAC 地址(MAC_PC30、MAC_PC40 及 MAC_PC50)。此外，省略记载其它交换机100X所具有的认证方法一览表410。此外，与交换机100的各端口连接的终端及交换机100所具有的认证方法一览表410及许可一览表(该具体例中，称为第一许可一览表)420如图1、图3及图4所示。1-1.在交换机与交换机之间讲行认证之前例如，说明下述情况，S卩，如图7所示那样，在交换机100与其它交换机100X之间的认证进行之前，从终端PC30向终端PC20发送帧。首先，其它交换机100X检测到来自终端PC30的接收帧(图6的步骤SlO为是)。由于该检测出的接收帧不是EAP帧(步骤S12 为否)，其它交换机100X参照认证方法一览表410，而判断为接收到帧的端口 P502的MAC 地址认证是有效的(步骤S18、S20)。接下来，其它交换机100X确认了作为发送源MAC地址的MAC_PC30与第二许可一览表420中存储的MAC地址相一致时，判断为可以进行接收帧的中继(步骤S22、SM为是)。然后，其它交换机100X进行帧中继处理(步骤S28)。其结果，其它交换机100X所接收的帧从其它交换机100X的端口 P501被发送到交换机100。接收到来自其它交换机100X的帧的交换机100(图6的步骤SlO为是)判断为接收帧不是EAP帧(步骤S12为否)。接下来，交换机100参照认证方法一览表410而判断为接收到帧的端口 P505的MAC地址认证是有效的(步骤S18、S20)。然而，交换机100确认了作为发送源MAC地址的MAC_PC30与第一许可一览表420中存储的任何一个MAC地址都不一致时，判断为不可以进行接收帧的中继(步骤S22、SM为否)。其结果，交换机100毁掉经由其它交换机100X而接收到的帧(步骤S26)。像这样，在交换机100与其它交换机100X之间进行认证之前，交换机100不对来自与其它交换机100X连接的外部装置的接收帧进行中继而将其毁掉。换言之，在与其它交换机100X之间进行认证之前，交换机100限制来自其它交换机100X的通信内容的输入。这是因为，交换机100所具有的第一许可一览表420中没有存储与其它交换机100X连接的外部装置(终端PC30 PC50)的MAC地址的缘故。1-2.交换机与交换机之间的认证处理(ΕΑΡ SW模式认证处理)在交换机100与其它交换机100Χ之间进行如下认证。图8是表示EAP Sff模式认证处理(图6的步骤S36)的流程的序列图。在其它交换机100Χ连接到交换机100的情况下，首先双方之间进行连接 (步骤S100)。接下来，作为请求者(Supplicant)的其它交换机100X向作为鉴定者(Authenticator)的交换机100发送用于请求开始认证的EAPOL开始帧(ΕΑΡ over LAN-Start)(步骤 S102)。接收到EAPOL开始帧的交换机100的EAP认证部240判断为接收帧是EAP帧。并且，EAP认证部240参照认证方法一览表410，判断为接收到EAP帧的端口 P505的认证种类是“Auto”，并根据净荷中的规定位置上包含的标识符，而判断为EAP帧是从交换机接收到的帧，即，判断为认证处理是EAP_SW模式认证处理。EAP认证部240将请求请求者ID的EAP 请求帧发送给其它交换机100X(步骤S104)。接收到请求帧的其它交换机100X将包含请求者ID的EAP应答帧发送给交换机100 (步骤S106)。接下来，交换机100的EAP认证部240将用于通知认证中使用的EAP的类型的EAP请求帧发送给其它交换机100X(步骤S108)。 具体而言，EAP认证部240参照认证方法候补一览表450，从认证处理字段中具有判断出的 EAP_SW模式认证处理的项目中，获取认证方法字段的值“EAP-TLS”。然后，EAP认证部MO 将含有所获取的认证方法EAP-TLS的标识符的EAP请求帧发送给其它交换机100X。接收到请求帧的其它交换机100X将EAP应答帧发送给交换机100 (步骤Sl 10)，该EAP应答帧含有认证中使用的EAP类型(EAP-TLS)的标识符。然后，在交换机100与其它交换机100X之间按照步骤SllO中通知的认证方法 “EAP-TLS”进行认证(步骤S112)。在认证成功的情况下，交换机100的EAP认证部240将表示认证成功的EAP帧发送给其它交换机100X(步骤S114)。此外，上述各帧的结构是按照 EAP规章中预先规定的格式的结构，ID、类型等的值作为帧中的规定位置中存储的数据被发送、接收。在认证成功之后，交换机100的认证信息管理部220将包含第一许可一览表420 中存储的许可地址的帧发送给其它交换机100X(步骤S116)。接收到该帧的其它交换机 100X将包含其它交换机100X内的第二许可一览表420中存储的许可地址的帧发送给交换机100(步骤S118)。最后，交换机100的认证信息管理部220基于接收帧中包含的许可地址，来更新交换机100的第一许可一览表420中存储的许可地址。具体而言，认证信息管理部220将接收帧中包含的许可地址(MAC地址)追加到第一许可一览表420中。此外，同样地，其它交换机100X基于接收帧中包含的许可地址，来更新其它交换机100X的第二许可一览表420中存储的许可地址。该例子中，交换机100所具有的第一许可一览表420中，除了存储有与交换机100 连接的两台终端(PC10及PC20)的许可地址(MAC_PC10及MAC_PC20)之外，还存储有其它交换机100X所具有的第二许可一览表420中存储的许可地址(MAC_PC30、MAC_PC40及MAC_ PC50)(图9)。同样地，其它交换机100X所具有的第二许可一览表420中，除了存储有与其它交换机100X连接的三台终端(PC30、PC40及PC50)的MAC地址(MAC_PC30、MAC_PC40 及MAC_PC50)之外，还存储有交换机100所具有的第一许可一览表420中存储的许可地址 (MAC_PC10 及 MAC_PC20)(图 9)。此外，也可以省略图8的步骤S116 S120。在省略了步骤S116 S120的情况下，例如，可以通过采用以下处理来取代这些步骤。 在交换机100内的特定的存储部(例如，RAM400等)中存储连接到端口 P505的其它交换机100X的认证完毕这一内容。·在接收帧时的处理(图6)的步骤S22中，在许可一览表420中不存在从端口 P505接收到的认证完毕的帧的帧头中包含的发送源MAC地址的情况下，将该发送源MAC地址新追加到许可一览表420中，并允许中继。此外，图8中，虽然其它交换机100X发挥基于IEEE802. IX的认证客户 (Supplicant)的作用，交换机100发挥基于IEEE802. IX的认证服务器(鉴定者)的作用， 但也可以调换其作用。例如，交换机100也可以采用在检测到连接(步骤S100)之后一定时间内未接收到EAPOL开始帧的情况下，向其它交换机100X发送EAPOL开始帧的结构。在此情况下，交换机100发挥认证客户的作用，而其它交换机100X发挥认证服务器的作用。像这样，若EAP认证部240具有基于IEEE802. IX的认证客户和基于IEEE802. IX的认证服务器这两方面的功能，则相对于其它交换机100X，交换机100既能作为认证客户动作又能作为认证服务器动作，从而能够实现灵活性较好的认证。1-3.在交换机与交换机之间讲行认证之后说明下述情况，S卩，如图9所示那样，进行了交换机100与其它交换机100X之间的认证之后，将帧从终端PC30发送到终端PC20。在此情况下，将来自终端PC30的帧经由其它交换机100X而发送到交换机100的流程与用图7说明过的流程相同。接收到来自其它交换机100X的帧的交换机100(图6的步骤SlO为是)判断为接收帧不是EAP帧(步骤S12为否)。接下来，交换机100参照认证方法一览表410，而判断为接收到帧的端口 P505中的MAC地址认证是有效的(步骤S18、S20)。并且，交换机100确认了作为发送源MAC地址的MAC PC30与第一许可一览表420中存储的MAC地址相一致时， 判断为可以进行接收帧的中继(步骤S22、SM为是)。然后，交换机100进行帧中继处理 (步骤S28)。其结果，经由其它交换机100X而被交换机100接收到的帧从交换机100的端口 P502被发送到终端PC20。像这样，交换机100与其它交换机100X之间进行认证，并且该认证成功之后，交换机100对来自与其它交换机100X连接的外部装置的接收帧进行中继。换言之，交换机100 将与其它交换机100X之间的认证成功作为不对来自其它交换机100X的通信内容的输入进行制限的条件。2.接收帧时的处理的具体例(二)参照图10 图12进一步说明该交换机100在接收帧时所进行的处理的具体例 (二)。图10 图12示出的是，新的外部装置(终端PC60 =MAC地址MAC_PC60)连接到交换机100的端口 P503的例子。2-1.在进行交换机与终端之间的认证之前对如图10所示那样，在交换机100与终端PC60之间进行认证之前，从终端PC60 向交换机100发送帧的情况进行说明。在此情况下，由于接收帧不是EAP帧，并且在许可一览表420中没有存储与其一致的许可地址，所以如图7中所述那样，交换机100通过MAC地址认证部230毁掉交换机100所接收到的来自终端PC60的帧(图6的步骤S26)。2-2.交换机与终端之间的认证处理(EAP_PC模式认证处理)在交换机100与终端PC60之间进行如下认证。图11是表示EAP_PC模式认证处理(图6的步骤S38)的流程的序列图。在终端PC60连接到交换机100时，首先双方之间进行连接(步骤S100)。接着，从作为请求者(Supplicant)的终端PC60向作为鉴定者(authenticator)的交换机100发送 EAPOL 开始帧(ΕΑΡ over LAN-Start)(步骤 S102)。接收到EAPOL开始帧的交换机100的EAP认证部240判断为接收帧是EAP帧。然后，EAP认证部240参照认证方法一览表410，判断为接收到EAP帧的端口 P503的认证种类是“Auto”，并根据净荷中的规定位置上包含的标识符而判断为EAP帧是从终端接收到的帧，即，认证处理是EAP_PC模式认证处理。EAP认证部240将请求请求者的ID的EAP请求帧发送给终端PC60 (步骤S104)。接收到请求帧的终端PC60将包含请求者的ID的EAP应答帧发送给交换机100 (步骤S106)。接着，交换机100的EAP认证部240将通知认证中使用的EAP类型的EAP请求帧发送给终端PC60 (步骤S108)。具体而言，EAP认证部240参照认
12证方法候补一览表450，从认证处理字段中具有判断出的EAP_PC模式认证处理的项目中获取认证方法字段的值“EAP-MD5”。之后，EAP认证部240将包含所获取的认证方法EAP-MD5 的标识符的EAP请求帧发送给终端PC60。接收到请求帧的终端PC60将EAP应答帧发送给交换机100 (步骤S110)，该EAP应答帧含有认证中使用的EAP类型(EAP-MM)的标识符。此后，交换机100与终端PC60之间按照在步骤SllO中被通知的认证方法 “EAP-MD5”，来进行认证(步骤SlU)。在认证成功时，交换机100的EAP认证部240将表示认证成功的EAP帧发送给终端PC60 (步骤S114)。在步骤S112的认证成功之后，交换机 100的认证信息管理部220更新许可一览表420，即，将终端PC60的MAC地址(MAC_PC60) 追加到许可一览表420中存储的许可地址中(步骤S200)。上述例子中，在交换机100所具有的许可一览表420中，除了已连接到交换机100的两台终端(PC10及PC20)的许可地址 (MAC_PC10及MAC_PC20)之外，还存储了新连接到交换机100的终端PC60的MAC地址(MAC_ PC60)(图 12)。2-3.在讲行了夺换机与终端少個的认证少后对如图12所示那样在进行了交换机100与终端PC60之间的认证之后，从终端 PC60向终端PC20发送帧的情况进行说明。接收到来自终端PC60的帧的交换机100(图6的步骤S10)判断为接收帧不是EAP 帧(步骤S12为否)。接着，交换机100参照认证方法一览表410，判断为接收到帧的端口 P503中MAC地址认证是有效的(步骤S18、S20)。并且，交换机100在确认了作为发送源 MAC地址的MAC_PC60与许可一览表420中存储的MAC地址相一致时，判断为可对接收帧进行中继(步骤S22、SM为是)。此后，交换机100进行帧的中继处理(步骤S28)。其结果， 交换机100从终端PC60接收到的帧从交换机100的端口 P502被发送给终端PC20。此外，例如，在交换机100进一步与其它交换机连接着的情况下，交换机100也可以将包含更新后的许可一览表420中存储的许可地址的帧进一步发送给该其它交换机。这样，若采用将更新后的许可地址传送到与自己连接着的其它交换机的结构，则能够在交换机之间交换MAC地址认证中使用的许可一览表的内容(即，帧的中继被允许的外部装置的 MAC地址)，从而能够进一步提高使用方便性。此外，可以将许可地址的传送范围设定为由路由器区分的同一网段(segment)的范围内的交换机。此外，也可以向路由器本身传送许可地址。这样的话，也能够利用路由器来管理MAC地址。像这样，交换机100与终端PC60之间进行认证，并且该认证成功之后，交换机100 对来自终端PC60的接收帧进行中继。换言之，交换机100将与终端PC60之间的认证成功作为不对来自终端PC60的通信内容的输入进行制限的条件。如上所述那样，基于本发明的第一实施方式所涉及的交换机100，根据对端口预先规定的认证种类(Auto、EAP等)、接收帧的种类(ΕΑΡ帧等)以及作为接收帧的发送源的外部装置的种类(交换机、终端等)，来确定应执行的认证处理(EAP_PC模式认证处理、ΕΑΡ_ Sff模式认证处理等)以及该认证处理所规定的认证方法。尤其是，对于认证种类被设定为“Auto”的端口所接收到的帧，用与连接到端口的外部装置的种类相对应的认证方法，来进行认证。因此，交换机100的管理员只要将交换机 100的各个端口的认证种类设定为“Auto”，便可无需意识与交换机100的各端口连接的外部装置的种类，而能灵活对应网络结构的变化。此外，在交换机100与外部装置之间进行认证之前，交换机100限制来自外部装置的通信内容的输入，而在交换机100与外部装置之间的认证成功之后，交换机100不限制来自外部装置的通信内容的输入。因此，能够提供能够在确保安全性的同时灵活对应网络结构的变化的交换机100。并且，交换机100对于认证种类被设定为“ΕΑΡ”的端口所接收的巾贞，用RAM400内部预先规定的特定的认证方法(EAP-MD5等)，来与外部装置之间进行认证。因此，也可以对应以下要求，例如对于特定的端口使用预先规定的认证方法等。其结果，既能提高交换机 100的安全性又能提高使用方便性。此外，在外部装置连接进来，且认证成功的情况下，交换机100改变(第一)许可一览表420，以允许对来自外部装置的接收帧进行中继。因此，能够提高交换机100的安全性。并且，在改变了许可一览表420的情况下，交换机100将许可一览表420的内容发送给与交换机100连接着的其它交换机，从而能够提高使用方便性。(第二实施方式)在本发明的第二实施方式中，对第一实施方式中说明过的网络中继装置(交换机)100中进一步进行认证中使用的密钥的交换处理的结构进行说明。以下，仅对第二实施方式中与第一实施方式具有不相同的结构及动作的部分进行说明。此外，对第二实施方式中使用的附图中与第一实施方式相同的构成部分标注了与上述第一实施方式相同的附图标记并省略其详细说明。图13是表示本发明的第二实施方式所涉及的网络中继装置(交换机)IOOa的结构的概要图。本第二实施方式所涉及的交换机IOOa与图2所示的第一实施方式所涉及的交换机100的不同之处在于，具备密钥交换处理部260的EAP认证部MOa。也就是说，第二实施方式所涉及的交换机IOOa所进行的处理与上述第一实施方式所涉及的交换机100所进行的处理的不同之处仅在于以下说明的密钥交换处理。密钥交换处理部260具有交换EAP认证部MOa所进行的认证处理中使用的共享密钥(密钥)的功能。此外，EAP认证部MOa所进行的认证处理是用图8说明过的EAP_SW 模式认证处理以及用图11说明过的EAP_PC模式认证处理。当然，即使在EAP认证部MOa 使用依照IEEE802. IX的EAP协议的认证方法以外的其它认证方法(例如，WPA或独自的认证方法等)的情况下，密钥交换处理部260也可以与依照EAP协议的认证方法同样地，对该其它认证方法中使用的共享密钥进行交换。图14是表示交换机IOOa所进行的密钥交换处理的流程的序列图。首先，当其它交换机100 通过有线连接到交换机100a，则双方的交换机检测出该有线连接(步骤S300)。 此外，除了上述(图13)差异之外，交换机IOOa及其它交换机100 与用图7说明过的内容相同。接着，交换机IOOa判断是否已从用户受理了开始交换共享密钥的指示。例如通过检测设置在交换机IOOa中的按钮(未图示)的按下操作，来判断是否受理了开始交换共享密钥的指示(步骤S310)。在检测出按钮按下之后，交换机IOOa的密钥交换处理部260开始交换机IOOa的密钥交换模式(步骤S320)。具体而言，交换机IOOa的密钥交换处理部 260使中继处理部210停止所进行的接收帧的中继处理(图6)，并替代中继处理部210获取接收帧。此外，其它交换机100 也同样进行步骤S310及S320的处理。在密钥交换模式中，交换机IOOa的密钥交换处理部沈0向其它交换机100 发送
1请求交换密钥的密钥交换帧(步骤S330)。另一方面，同样地，其它交换机100 也向交换机IOOa发送请求交换密钥的密钥交换帧(步骤S340)。接收到来自其它交换机100 的密钥交换帧的交换机IOOa的密钥交换处理部沈0向其它交换机100 发送表示请求开始密钥交换的开始请求帧(步骤S350)。此外，同样地，其它交换机100 也向交换机IOOa发送表示请求开始密钥交换的开始请求帧(步骤S360)。此外，也可以调换步骤S330和S340 的顺序、以及步骤S350和S360的顺序。此后，在交换机IOOa与其它交换机100 之间，进行用于交换共享密钥的密钥交换处理(步骤S370)。可以使用任何密钥交换方法来进行密钥交换处理，例如，可以使用DH 法(DifTie-HelIman密钥交换)。通过密钥交换处理，交换机IOOa与其它交换机100 之间发送、接收密钥。在结束了密钥交换处理之后，交换机IOOa的密钥交换处理部260结束密钥交换模式(步骤S380)。具体而言，交换机IOOa的密钥交换处理部260停止替代中继处理部210 进行接收帧的获取，并重新开始中继处理部210所进行的接收帧的中继处理(图6)。此外， 其它交换机100 也同样执行步骤S380的处理。到此为止，结束密钥交换模式。此外，由于密钥交换模式中，中继处理部210所进行的帧的中继停止，所以优选交换机IOOa进行显示(LED显示等)，以唤起用户的注意。在此，通过将按下按钮(步骤S310)等的操作作为触发来执行上述密钥交换处理， 但按下按钮的操作不过是一例，也可以采用其它任何操作。此外，第二实施方式中，以将其它交换机100 作为与交换机IOOa进行密钥交换处理的外部装置为例进行了说明。然而， 即使在终端作为外部装置而连接进来的情况下，也可以进行与图14相同的密钥交换处理。如上所述，根据本发明的第二实施方式所涉及的交换机100a，相应于预先规定的操作(按下按钮等)，来停止中继处理部210所进行的接收帧的中继，并进行密钥交换处理。 因此，能够在交换机IOOa与外部装置之间交换认证中使用的共享密钥(密钥)。〈变形例1>上述各实施方式所示的交换机的结构只不过是一例，可以采用任何结构。例如，能够进行以下变形，即，省略其构成要素的一部分，或附加别的构成要素。各实施方式的交换机也可以不是基于MAC地址进行帧的中继的第二层交换机， 而是还能够进一步用IP地址来进行包的中继的、所谓第三层交换机。此外，各实施方式的交换机也可以是能够通过无线通信经由无线通信接口而进行包的中继的、所谓接入点 (access point)0此外，例如，上述各实施方式中的交换机也可以具备用于构成虚拟的子网的 VLAN功能、用于将多个端口在逻辑上聚合成一个来进行处理的链路聚合功能等。此外，上述实施方式的交换机中，将认证方法一览表、许可一览表及认证方法候补一览表存储在RAM中，但也可以存储在其它存储介质(例如，快闪只读存储器(flash ROM)) 中。此外，上述各实施方式的交换机中记载为，CPU具备中继处理部及EAP认证部，中继处理部进一步包括认证信息管理部及MAC地址认证部，EAP认证部进一步包括密钥交换处理部。然而，这些处理部的配置及各处理部所发挥的功能的内容只不过是一例，也可以根据交换机的结构而进行任意的变更。
此外，也可以是，上述各实施方式中记载的、中继处理部的功能中的帧中继功能为由构成有线通信接口的物理芯片来实现的功能，中继处理部的其它功能(确定可否对接收帧进行中继的功能、认证信息管理部的功能、MAC地址认证部的功能)为由CPU来实现的功能。在此情况下，通过使构成有线通信接口的物理芯片与CPU相配合，来实现中继处理部的所有功能。例如，也可以使构成有线通信接口的物理芯片的内部具备中继处理部、EAP认证部、认证信息管理部、MAC地址认证部及密钥交换处理部的所有功能。〈变形例2>上述各实施方式的交换机的结构具备用于进行接收到的帧的MAC地址认证的 MAC地址认证部；以及在外部装置连接进来时，用于与所连接的外部装置之间进行认证的 EAP 认证部(即，内置了 RADIUS (Remote Authentication Dial-In User Service，远程用户拨入认证服务)功能)。然而，也可以采用如下结构，即，在交换机之外，另外设置专用的 RADIUS服务器，在外部的RADIUS服务器中进行实际的MAC地址认证和/或与连接的外部装置之间的认证。在交换机之外，另外设置专用的RADIUS服务器的情况下，MAC地址认证部及EAP认证部通过向RADIUS服务器发送认证请求，并获得作为其应答的认证结果，来发挥 MAC地址认证部及EAP认证部的作用。〈变形例3>上述各实施方式中，用表的形式表示认证方法一览表、许可一览表及认证方法候补一览表的一例。然而，这些表仅仅是一例而已，只要不脱离本发明的宗旨，能够采用任何形式。例如，也可以具备上述字段以外的字段。此外，也可以对各个表采用直接映射 (direct-mapped)方式。另外，优选采用用户可以设定各个表的结构。具体而言，许可一览表的结构是不区分接收到帧的端口，仅存储可中继的发送源 MAC地址的结构，但也可以进行以下变形。例如，也可以是如下结构，即，在许可一览表中追加端口号字段，按端口来管理中继被允许的接收帧的发送源MAC地址。此外，也可以是如下结构，即，通过设置发送源MAC地址字段和可否中继字段来取代许可地址字段，并对每个发送源MAC地址设定可否进行帧的中继。〈变形例4>在上述各实施方式中，对接收帧时的处理(图6)中，中继处理部及EAP认证部确定帧的种类(ΕΑΡ帧等)、帧发送源的装置种类(终端、交换机等)的方法的一例进行了说明。然而，上述实施方式中说明的方法只不过是例示，也可以采用其他任何方法。例如，在接收帧时的处理(图6)的步骤S32及S34中，EAP认证部也可以通过接收从连接对象的外部装置发送来的包含请求者的ID的应答帧(图8的步骤S106)，来参照该应答帧中包含的识别信息，以取代参照所接收到的EAP帧的净荷。这样，即使在接收到 EAP帧的净荷中没有包含标识符的帧的情况下，也能识别帧发送源的外部装置的种类，从而能够提高通用性。此外，在此情况下，在接收帧时的处理(图6)的步骤S30与步骤S32之间，追加了包含ID的EAP帧的发送、接收处理。此外，EAP_SW模式认证处理(图8)及EAP_ PC模式认证处理(图11)从步骤S108开始。(新规追加)此外，上述各实施方式中，CPU通过执行存储器中存储的固件和/或计算机程序，来实现交换机的各个结构，但根据具体情况，本发明的各个结构可以通过硬件来实现，也可以通过软件来实现。
此外，在本发明的功能的一部分或全部通过软件来实现的情况下，可以将该软件 (计算机程序)以存储在计算机可读取的记录媒体中的形式来提供。本发明中，“计算机可读取的记录媒体”并不局限于软盘(flexible disk)和⑶-ROM等便携式的记录媒体，还包括各种RAM和ROM等计算机的内部存储装置、以及硬盘等固定在计算机上的外部存储装置。以上，虽然对本发明进行了详细的说明，但是上述说明中的所有方面不过是对本发明的示例，而非用来限定本发明的范围。例如，可以基于本发明的构思，适当地省略附加要素。此外，除了上述变形例以外，在不脱离本发明的范围内，毫无疑问可以进行各种改进和变形。
权利要求
1.一种网络中继装置，对从外部装置接收到的帧进行中继，其特征在于该网络中继装置具备多个端口，用于与上述外部装置连接，并且，该多个端口分别被设定了对应的认证种类，该认证种类是指在上述外部装置连接到该端口时应对该外部装置进行的认证的种类；认证处理部，在上述外部装置连接到上述网络中继装置时，该认证处理部辨别对与该外部装置连接的端口设定了的上述认证种类，在辨别出的上述认证种类是第一认证种类的情况下，该认证处理部用根据所连接的该外部装置的种类而从多个认证方法候补中确定的认证方法，来与上述外部装置之间进行认证；以及中继处理部，对从上述认证处理部所进行的认证成功了的外部装置接收到的帧进行中继。
2.根据权利要求1所述的网络中继装置，其特征在于在所辨别出的上述认证种类是第二认证种类的情况下，无论所连接的上述外部装置是何种类，上述认证处理部都用特定的认证方法，来与上述外部装置之间进行认证。
3.根据权利要求1所述的网络中继装置，其特征在于上述认证处理部根据从所连接的上述外部装置接收到的帧中包含的标识符，来判断上述外部装置的种类。
4.根据权利要求1所述的网络中继装置，其特征在于在上述外部装置连接到上述网络中继装置之后，相应于预先规定的触发的发生，上述中继处理部停止对从上述外部装置接收到的帧进行中继，在上述外部装置连接到上述网络中继装置之后，相应于预先规定的触发的发生，上述认证处理部在接收到请求交换上述认证中使用的密钥的密钥交换帧的情况下，与接收到上述密钥交换帧的端口上连接的上述外部装置之间进行用于交换密钥的处理。
5.根据权利要求1所述的网络中继装置，其特征在于上述多个认证方法候补中包括EAP-MD5、EAP-TLS, EAP-TTLS, PEAP, LEAP及EAP-FAST 的认证协议中的至少一个。
6.根据权利要求2所述的网络中继装置，其特征在于上述特定的认证方法是，EAP-MD5、EAP-TLS、EAP-TTLS, PEAP, LEAP 及 EAP-FAST 的认证协议中的任一个。
7.根据权利要求1所述的网络中继装置，其特征在于该网络中继装置存储有用于用从上述外部装置接收到的帧中包含的信息来确定可中继的帧的许可一览表，上述中继处理部包括认证信息管理部，该认证信息管理部根据上述外部装置的连接状态，来改变上述许可一览表所规定的内容。
8.根据权利要求7所述的网络中继装置，其特征在于在上述认证处理部所进行的认证成功的情况下，上述认证信息管理部改变上述许可一览表所规定的内容，以允许对从上述认证成功了的外部装置接收到的帧进行中继。
9.根据权利要求7所述的网络中继装置，其特征在于在改变了上述许可一览表的情况下，上述认证信息管理部进一步向与上述网络中继装置连接着的其它网络中继装置发送该改变后的许可一览表的内容。
10.根据权利要求1所述的网络中继装置，其特征在于上述认证处理部具有基于IEEE802. IX的认证客户以及基于IEEE802. IX的认证服务器这两方面的功能。
11.根据权利要求1所述的网络中继装置，其特征在于当其它网络中继装置连接到上述网络中继装置时，若该其它网络中继装置的MAC地址在上述网络中继装置内被预先登记为应允许连接的MAC地址，则上述认证处理部当作与该其它网络中继装置之间的上述认证成功来进行处理。
12.—种帧的中继的控制方法，是网络中继装置中使用的、对从外部装置接收到的帧的中继进行控制的方法，其特征在于该帧的中继的控制方法包括辨别对与上述外部装置连接的上述网络中继装置的端口设定了的认证种类的步骤；若对上述外部装置所连接的端口设定了的认证种类是第一认证种类，则用根据所连接的上述外部装置的种类而从多个认证方法的候补中确定的认证方法，与上述外部装置之间进行认证的步骤；若对上述外部装置所连接的端口设定了的认证种类是第二认证种类，则无论所连接的上述外部装置是何种类，都用特定的认证方法来与上述外部装置之间进行认证的步骤；以及对从上述认证成功的上述外部装置接收到的帧进行中继的步骤。
全文摘要
本发明提供一种网络中继装置以及帧的中继的控制方法。该网络中继装置具备多个端口、认证处理部以及中继处理部，该多个端口用于与外部装置连接，并且，该多个端口分别被设定了对应的认证种类，该认证种类是指在外部装置连接到该端口时应对所连接的外部装置进行的认证的种类；在外部装置连接到网络中继装置时，该认证处理部辨别对与外部装置连接的端口设定了的认证种类，在辨别出的认证种类是第一认证种类的情况下，该认证处理部用根据所连接的外部装置的种类而从多个认证方法候补中确定的认证方法，来与外部装置之间进行认证，该中继处理部对从认证处理部所进行的认证成功了的外部装置接收到的帧进行中继。
文档编号H04L29/06GK102377774SQ20111024379
公开日2012年3月14日 申请日期2011年8月23日 优先权日2010年8月24日
发明者山田大辅 申请人:巴比禄股份有限公司