ネットワークシステム
【課題】多数の端末を有するネットワークにおいてAAAサーバに異常が発生又は停止した場合であっても、端末の認証を効率的に行うことが可能なネットワークシステムを提供することを提供する。
【解決手段】ネットワークシステム10は、AAAサーバ16と、端末12と無線接続する基地局14a、14b、14cとを備え、AAAサーバ16と基地局14a、14b、14cとによってオーバレイネットワーク18が形成され、基地局14a、14b、14cは、端末12の識別符号が格納される分散ハッシュテーブル20a、20b、20cと、AAAサーバ16の動作状態を監視する動作監視部24と、動作監視部24の監視結果に基づいて起動し、分散ハッシュテーブル20a、20b、20cを参照して端末12の認証を行う端末認証部26とを有する。
【解決手段】ネットワークシステム10は、AAAサーバ16と、端末12と無線接続する基地局14a、14b、14cとを備え、AAAサーバ16と基地局14a、14b、14cとによってオーバレイネットワーク18が形成され、基地局14a、14b、14cは、端末12の識別符号が格納される分散ハッシュテーブル20a、20b、20cと、AAAサーバ16の動作状態を監視する動作監視部24と、動作監視部24の監視結果に基づいて起動し、分散ハッシュテーブル20a、20b、20cを参照して端末12の認証を行う端末認証部26とを有する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、AAAサーバと、複数の基地局とを備えるネットワークシステムに関する。
【背景技術】
【0002】
ネットワーク接続サービスを利用する利用者は、一般的に、端末から基地局に無線接続してネットワークに接続する必要がある。端末からネットワークエントリの要求を受けた基地局は、ネットワーク上で接続しているAAA(Authentication Authorization Accounting)サーバに対して前記端末の認証要求を行う。前記端末がAAAサーバによって認証されることにより、利用者はネットワーク接続サービスを利用することができる。
【0003】
しかしながら、ネットワーク上のAAAサーバが故障した場合には、ネットワークサービスの希望利用者は、故障後に端末から基地局に対してネットワークエントリできないこととなり、AAAサーバの復旧までネットワークサービスを利用することができない。
【0004】
このようなAAAサーバの故障を考慮したシステムとして、特許文献1に示す無線LANシステムがある。このシステムでは、認証サーバに障害が発生した場合には、アクセスポイントで端末のMACアドレスに基づいた認証が行われている。また、特許文献1には、アクセスポイントが2台ある場合についても記載されている。
【先行技術文献】
【特許文献】
【0005】
【特許文献1】特開2001−111544公報
【発明の概要】
【発明が解決しようとする課題】
【0006】
しかしながら、特許文献1に示されるシステムでは、各アクセスポイントが、利用者が利用するすべての端末のMACアドレスのテーブルを備える必要があり、現実には、データ量との関係で前記MACアドレスのテーブルを用意することは困難である。
【0007】
また、特許文献1には、各アクセスポイントが、MACアドレスに基づいた認証を行う場合に、相互間でMACアドレスのテーブルの情報の交換が行われていない。このために、認証サーバに障害が発生した後は、MACアドレスのテーブルの更新がされないために、各アクセスポイントが、障害直前において保有していたMACアドレスに、すべての端末のMACアドレスが含まれていない場合には、ハンドオーバの際に問題が生じうる。すなわち、隣接するアクセスポイントにおいて、一方のアクセスポイントに接続していた端末が、他方のアクセスポイントにハンドオーバする場合に、当該端末のMACアドレスが他方のアクセスポイントのMACアドレスのテーブルに含まれていないと、当該端末のハンドオーバは認められないこととなる。
【0008】
本発明は、上記の課題を考慮してなされたものであって、多数の端末を有するネットワークにおいてAAAサーバに異常が発生又は停止した場合であっても、端末の認証を効率的に行うことが可能なネットワークシステムを提供することを目的とする。
【課題を解決するための手段】
【0009】
本発明に係るネットワークシステムは、AAA(Authentication Authorization Accounting)サーバと、複数の基地局とを備え、前記各基地局は、端末と無線接続し、前記AAAサーバと前記各基地局とによってオーバレイネットワークが形成され、前記各基地局は、前記端末の識別符号が格納される分散ハッシュテーブルと、
【0010】
前記AAAサーバの動作状態を監視する動作監視部と、前記動作監視部の監視結果に基づいて起動し、前記分散ハッシュテーブルを参照して前記端末の認証を行う端末認証部と、を有することを特徴とする。
【0011】
前記ネットワークシステムにおいて、前記各基地局と接続する前記端末の課金情報は、前記分散ハッシュテーブルに格納されていることを特徴とする。
【0012】
前記ネットワークシステムにおいて、前記AAAサーバは、前記分散ハッシュテーブルに格納された課金情報を収集することを特徴とする。
【0013】
前記ネットワークシステムにおいて、前記各基地局は、前記端末認証部による前記端末の認証及び前記分散ハッシュテーブルへの課金情報の格納に必要とする共有鍵を有することを特徴とする。
【0014】
前記ネットワークシステムにおいて、新たな基地局は、前記オーバレイネットワークに参加するために必要となる共有鍵を有することを特徴とする。
【発明の効果】
【0015】
本発明のネットワークシステムによれば、各基地局が、AAAサーバの監視結果に基づいて、端末認証部を起動させ、端末の識別符号が格納される分散ハッシュテーブルを参照して端末の認証を行うことにより、多数の端末を有するネットワークにおいてAAAサーバに異常が発生又は停止した場合であっても、端末の認証を効率的に行うことができる。
【0016】
また、端末の課金情報は、分散ハッシュテーブルに格納され、AAAサーバが、分散ハッシュテーブルに格納された課金情報を収集することにより、AAAサーバは、異常が発生又は停止した場合であっても、復旧までの間の課金情報を収集することができる。
【0017】
さらに、各基地局が、端末認証部による端末の認証及び分散ハッシュテーブルへの課金情報の格納に必要とする共有鍵を有し、又は、各基地局以外の新たな基地局が、オーバレイネットワークに参加するために必要となる共有鍵を有することにより、第三者に対するセキュリティを担保することができる。
【図面の簡単な説明】
【0018】
【図1】本発明の実施形態に係るネットワークシステムの説明図である。
【図2】基地局の構成の説明図である。
【図3】AAAサーバの構成の説明図である。
【図4】識別符号テーブルの説明図である。
【図5】図5Aは分散ハッシュテーブルの説明図であり、図5Bは分散ハッシュテーブルの説明図であり、図5Cは分散ハッシュテーブルの説明図である。
【図6】ネットワークシステムの動作を説明するためのフローチャートである。
【発明を実施するための形態】
【0019】
以下、本発明の実施形態について図面を参照して説明する。図1は、ネットワークシステム10の説明図であり、図2は、基地局14aの構成の説明図であり、図3は、AAAサーバ16の構成の説明図であり、図4は、識別符号テーブル38の説明図であり、図5Aは分散ハッシュテーブル20a、図5Bは分散ハッシュテーブル20b、図5Cは分散ハッシュテーブル20cの説明図である。
【0020】
ネットワークシステム10は、通信機能を有するコンピュータや携帯電話等である端末(MS)12a〜12e(以下端末12とも言う)と、前記端末12a〜12eが無線接続する基地局14a〜14cと、AAAサーバ16とを備え、基地局14a〜14cと、AAAサーバ16とはオーバレイネットワーク(overlay network)18を形成している。また、端末12a、12b、12cは基地局14aに無線接続し、端末12dは基地局14bに無線接続し、端末12eは基地局14cに無線接続する。なお、ネットワークシステム10は、端末12a〜12e、基地局14a〜14cを備えるが、端末、基地局の数はこれらに限定されるものではない。
【0021】
基地局14aは、端末12がネットワークエントリの際に認証を受けるための識別符号、課金情報が格納される分散ハッシュテーブル(DHT:Distributed
Hash Table)20aと、分散ハッシュテーブル20aを管理するテーブル管理部22と、AAAサーバ16の動作状態を監視(Keep Alive)する動作監視部24と、端末12のネットワークエントリの際のEAP認証(Extensible Authentication Protocol Authentication)を行う端末認証部26と、端末12に対する課金(Accounting)情報を管理する課金情報管理部28と、課金情報管理部28で管理される課金情報が記録される課金情報記録部30とを備える。課金情報は、端末12の識別符号である課金用IDと、端末12のアクセス時間、端末12で送受信されたパケット量等に関するアクセス情報とを備える。また、端末認証部26にはAAAサーバ16と同一のサーバ証明書が記録される。さらに、基地局14aは、オーバレイネットワーク18を形成するために第三者が知り得ない共有鍵を備えている。なお、基地局14b〜14cも基地局14aと同様の構成であるが、基地局14aの分散ハッシュテーブル20a(図5A)に対応して、基地局14bは分散ハッシュテーブル20b(図5B)、基地局14cは分散ハッシュテーブル20c(図5C)をそれぞれ備える。
【0022】
AAAサーバ16は、端末12をEAP認証する端末認証部32と、端末12に提供するサービスの承認(Authorization)を行うサービス承認部34と、端末12の課金情報の管理を行うアカウンティング部36とを備える。
【0023】
端末認証部32は、識別符号テーブル38を備える。識別符号テーブル38には、端末12の識別符号である接続用ID、パスワードが記録される。ここで、端末12aの接続用IDはIa、パスワードはPa、端末12bの接続用IDはIb、パスワードはPb、以下同様に、端末12c、12d、12eの各接続用IDはIc、Id、Ie、各パスワードはPc、Pd、Peである。
【0024】
後述するように、識別符号テーブル38の接続用ID、パスワードはオーバレイネットワーク18に送信(put)され、分散ハッシュテーブル20a、20b、20cに格納される。基地局14a、14b、14cのそれぞれには、InnerNAIである接続用IDをハッシュ化したkeyに対応するハッシュ空間が割り当てられる。基地局14aの分散ハッシュテーブル20aには、端末12a、12dの接続用IDが割り当てられ、基地局14bの分散ハッシュテーブル20bには、端末12b、12eの接続用IDが割り当てられ、基地局14cの分散ハッシュテーブル20cには、端末12cの接続用IDが割り当てられる。そして、分散ハッシュテーブル20a、20b、20cのそれぞれには、keyとしてハッシュ化された接続用IDが、valueとしてパスワードが格納される。ここで、端末12aの接続用IDはIa、パスワードはPa、端末12bの接続用IDはIb、パスワードはPb、以下同様に、端末12c、12d、12eの各接続用IDはIc、Id、Ie、各パスワードはPc、Pd、Peである。
【0025】
また、基地局14a、14b、14cのそれぞれには、OuterNAIである課金用IDをハッシュ化したkeyに対応するハッシュ空間も割り当てられる。基地局14aの分散ハッシュテーブル20aには、端末12a、12dの課金用IDが割り当てられ、基地局14bの分散ハッシュテーブル20bには、端末12b、12eの課金用IDが割り当てられ、基地局14cの分散ハッシュテーブル20cには、端末12cの課金用IDが割り当てられる。そして、分散ハッシュテーブル20a、20b、20cのそれぞれには、keyとしてハッシュ化された課金用IDが、valueとしてアクセス情報が格納される。ここで、端末12aの課金IDはXa、アクセス情報はAa、端末12bの課金用IDはXb、アクセス情報はAb、以下同様に、端末12c、12d、12eの各課金用IDはXc、Xd、Xe、各アクセス情報はAc、Ad、Aeである。
【0026】
次に、ネットワークシステム10の動作について、図6に基づいて説明する。図6は、ネットワークシステム10の動作を説明するためのフローチャートである。なお、以下は基地局14aの動作を中心に説明するが、基地局14b、14cについても基地局14aと同様に動作するので、その説明を省略する。
【0027】
ネットワークシステム10では、まず、端末認証部32が、識別符号テーブル38の識別符号である接続用ID、パスワードをハッシュ化して、オーバレイネットワーク18にputする(ステップS1)。オーバレイネットワーク18にputされた接続用ID、パスワードは、基地局14a、14b、14cに割り当てられたハッシュ空間に基づいて、分散ハッシュテーブル20a、20b、20cに格納される((図5A〜5C参照、ステップS2)。
【0028】
次に、基地局14aの動作監視部24はAAAサーバ16の動作状態を監視する(ステップS3)。具体的には、動作監視部24がAAAサーバ16に対して、動作状態に関するポーリング(polling)を行う。ポーリングによる監視の結果、AAAサーバ16が正常に動作していることが確認できた場合には、AAAサーバ16の監視を継続する(ステップS3 YES)。
【0029】
一方、ポーリングによる監視において、動作監視部24が、AAAサーバ16から所定時間以上の応答が得られなかった場合には、AAAサーバ16に異常が発生又は停止したと判断し、その旨を端末認証部26及び課金情報管理部28に通知する(ステップS3 NO)。
【0030】
前記通知を受けた端末認証部26、課金情報管理部28は、端末12の認証機能、課金情報に関する機能を起動する(ステップS4)。AAAサーバ16に異常等が発生した後は、AAAサーバ16による端末12の課金情報の記録が行われなくなる。これに対応して、課金情報管理部28は、無線接続している端末12aの課金情報を課金情報記録部30に記録する。同様に、基地局14bの課金情報管理部28は端末12dの課金情報を記録し、基地局14cの課金情報管理部28は端末12eの課金情報を記録する。
【0031】
基地局14aの課金情報管理部28は、定期的に課金情報記録部30に記憶されている課金情報をDHT管理部22に送信し、DHT管理部22は受信した課金情報をハッシュ化して、オーバレイネットワーク18にputする。オーバレイネットワーク18にputされた課金情報は、基地局14a、14b、14cに割り当てられたハッシュ空間に基づいて、DHT管理部22a、22b、22cを介して分散ハッシュテーブル20a、20b、20cに格納される((図5A〜5C参照)。
【0032】
AAAサーバ16に異常等が発生した後は、端末12b、12cが基地局14aに対してネットワークエントリを希望しても、AAAサーバ16によるネットワークエントリが行われなくなる。そこで、端末認証部26が端末12b、12cの認証を行う。
【0033】
端末12bから接続用ID及びパスワードが端末認証部26を介してDHT管理部22に送信され、DHT管理部22が接続用IDを引数としてgetコマンドを実行する。ここでは、端末12bから正規の接続用ID及びパスワードが送信されたとし、接続用IDをIb、パスワードをPbとする。
【0034】
接続用IDであるIbは基地局14bの分散ハッシュテーブル20bに格納されているので、基地局14bのDHT管理部22は、分散ハッシュテーブル20bから接続用IDであるIbに対応するvalueであるPbを基地局14aのDHT管理部22に送信する。基地局14aのDHT管理部22は取得したvalueであるPbを端末認証部26に送信し、端末認証部26は、送信されてきたvalueと端末12bから送信されたパスワードとを照合する。照合の結果、一致するので、端末12bのネットワークエントリが認められる。一方、端末12bから正規の接続用ID及びパスワードと異なる接続用ID、パスワードが端末認証部26に送信されてきた場合には、端末認証部26は当該端末12bのネットワークエントリを拒否する。
【0035】
端末12bの場合と同様に基地局14aに対して、端末12cから正規の接続用ID及びパスワードが端末認証部26に送信されてきた場合には、基地局14cの分散ハッシュテーブル20cに端末12cの接続用ID及びパスワードが格納されているので、ネットワークエントリが認められる。
【0036】
基地局14aは、端末認証部26、課金情報管理部28が起動した後も、動作監視部24はAAAサーバ16の動作の監視を行う(ステップS5)。基地局14aは、AAAサーバ16に対するポーリングによる監視の結果、AAAサーバ16が復帰し正常に動作していることが確認できた場合(ステップS5 YES)には、端末認証部26、課金情報管理部28は停止する(ステップS6)。
【0037】
復帰したAAAサーバ16のアカウンティング部36は、基地局14a〜14cの各課金情報記録部30から記録されている課金情報を収集する(ステップS7)。
【0038】
ネットワークシステム10では、基地局14a〜14cが第三者が知り得ない共有鍵を備え、この共有鍵を備えることにより、オーバレイネットワーク18を形成することができる。従って、基地局14a〜14c以外の基地局がオーバレイネットワーク18に参加(join)する場合には、当該基地局が前記共有鍵を備えることが必要である。また、基地局14aがput、get、join等のコマンドを実行する場合には、前記共有鍵をコマンドに含めるようにしてもよい。
【0039】
以上説明したように、ネットワークシステム10は、AAAサーバ16と、基地局14a、14b、14cとを備え、基地局14a、14b、14cは端末12と無線接続し、AAAサーバ16と基地局14a、14b、14cとによってオーバレイネットワーク18が形成され、基地局14a、14b、14cは、端末12の識別符号が格納される分散ハッシュテーブル20a、20b、20cと、AAAサーバ16の動作状態を監視する動作監視部24と、動作監視部24の監視結果に基づいて起動し、分散ハッシュテーブル20a、20b、20cを参照して端末12の認証を行う端末認証部26とを有する。
【0040】
ネットワークシステム10によれば、基地局14a、14b、14cが、AAAサーバ16の監視結果に基づいて、端末認証部26を起動させ、端末12の識別符号が格納される分散ハッシュテーブル20を参照して端末12の認証を行うことにより、多数の端末12を有するネットワークにおいてAAAサーバ16に異常が発生又は停止した場合であっても、端末12の認証を効率的に行うことができる。
【0041】
また、端末12の課金情報は、分散ハッシュテーブル20に格納され、AAAサーバ16は、分散ハッシュテーブル20に格納された課金情報を収集することにより、AAAサーバ16は、異常が発生又は停止した場合であっても、復旧までの間の課金情報を収集することができる。
【0042】
さらに、基地局14a、14b、14cが、端末認証部26による端末12の認証及び分散ハッシュテーブル20への課金情報の格納に必要とする共有鍵を有し、又は、基地局14a、14b、14c以外の新たな基地局が、オーバレイネットワーク18に参加するために必要となる共有鍵を有することにより、第三者に対するセキュリティを担保することができる。
【0043】
なお、本発明は、上述の実施形態に限らず、本発明の要旨を逸脱することなく、種々の構成を採り得ることはもちろんである。
【0044】
例えば、接続用ID、課金用IDは端末12を識別することができれば、特に限定されるものではなく、MACアドレスを用いることができる。
【0045】
また、復帰したAAAサーバ16では、アカウンティング部36が、基地局14a〜14cの各課金情報記録部30に記録されている課金情報を収集しているが、アカウンティング部36が課金情報を収集する代わりに、基地局14a〜14cの各動作監視部24がAAAサーバ16の復帰を確認した後に、各課金情報管理部28が、各課金情報記録部30から課金情報をAAAサーバ16に送信するようにしてもよい。
【符号の説明】
【0046】
10…ネットワークシステム
12…端末
14…基地局
16…AAAサーバ
18…オーバレイネットワーク
20…分散ハッシュテーブル
22…DHT管理部
24…動作監視部
26、32…端末認証部
28…課金情報管理部
30…課金情報記録部
34…サービス承認部
36…アカウンティング部
38…識別符号テーブル
【技術分野】
【0001】
本発明は、AAAサーバと、複数の基地局とを備えるネットワークシステムに関する。
【背景技術】
【0002】
ネットワーク接続サービスを利用する利用者は、一般的に、端末から基地局に無線接続してネットワークに接続する必要がある。端末からネットワークエントリの要求を受けた基地局は、ネットワーク上で接続しているAAA(Authentication Authorization Accounting)サーバに対して前記端末の認証要求を行う。前記端末がAAAサーバによって認証されることにより、利用者はネットワーク接続サービスを利用することができる。
【0003】
しかしながら、ネットワーク上のAAAサーバが故障した場合には、ネットワークサービスの希望利用者は、故障後に端末から基地局に対してネットワークエントリできないこととなり、AAAサーバの復旧までネットワークサービスを利用することができない。
【0004】
このようなAAAサーバの故障を考慮したシステムとして、特許文献1に示す無線LANシステムがある。このシステムでは、認証サーバに障害が発生した場合には、アクセスポイントで端末のMACアドレスに基づいた認証が行われている。また、特許文献1には、アクセスポイントが2台ある場合についても記載されている。
【先行技術文献】
【特許文献】
【0005】
【特許文献1】特開2001−111544公報
【発明の概要】
【発明が解決しようとする課題】
【0006】
しかしながら、特許文献1に示されるシステムでは、各アクセスポイントが、利用者が利用するすべての端末のMACアドレスのテーブルを備える必要があり、現実には、データ量との関係で前記MACアドレスのテーブルを用意することは困難である。
【0007】
また、特許文献1には、各アクセスポイントが、MACアドレスに基づいた認証を行う場合に、相互間でMACアドレスのテーブルの情報の交換が行われていない。このために、認証サーバに障害が発生した後は、MACアドレスのテーブルの更新がされないために、各アクセスポイントが、障害直前において保有していたMACアドレスに、すべての端末のMACアドレスが含まれていない場合には、ハンドオーバの際に問題が生じうる。すなわち、隣接するアクセスポイントにおいて、一方のアクセスポイントに接続していた端末が、他方のアクセスポイントにハンドオーバする場合に、当該端末のMACアドレスが他方のアクセスポイントのMACアドレスのテーブルに含まれていないと、当該端末のハンドオーバは認められないこととなる。
【0008】
本発明は、上記の課題を考慮してなされたものであって、多数の端末を有するネットワークにおいてAAAサーバに異常が発生又は停止した場合であっても、端末の認証を効率的に行うことが可能なネットワークシステムを提供することを目的とする。
【課題を解決するための手段】
【0009】
本発明に係るネットワークシステムは、AAA(Authentication Authorization Accounting)サーバと、複数の基地局とを備え、前記各基地局は、端末と無線接続し、前記AAAサーバと前記各基地局とによってオーバレイネットワークが形成され、前記各基地局は、前記端末の識別符号が格納される分散ハッシュテーブルと、
【0010】
前記AAAサーバの動作状態を監視する動作監視部と、前記動作監視部の監視結果に基づいて起動し、前記分散ハッシュテーブルを参照して前記端末の認証を行う端末認証部と、を有することを特徴とする。
【0011】
前記ネットワークシステムにおいて、前記各基地局と接続する前記端末の課金情報は、前記分散ハッシュテーブルに格納されていることを特徴とする。
【0012】
前記ネットワークシステムにおいて、前記AAAサーバは、前記分散ハッシュテーブルに格納された課金情報を収集することを特徴とする。
【0013】
前記ネットワークシステムにおいて、前記各基地局は、前記端末認証部による前記端末の認証及び前記分散ハッシュテーブルへの課金情報の格納に必要とする共有鍵を有することを特徴とする。
【0014】
前記ネットワークシステムにおいて、新たな基地局は、前記オーバレイネットワークに参加するために必要となる共有鍵を有することを特徴とする。
【発明の効果】
【0015】
本発明のネットワークシステムによれば、各基地局が、AAAサーバの監視結果に基づいて、端末認証部を起動させ、端末の識別符号が格納される分散ハッシュテーブルを参照して端末の認証を行うことにより、多数の端末を有するネットワークにおいてAAAサーバに異常が発生又は停止した場合であっても、端末の認証を効率的に行うことができる。
【0016】
また、端末の課金情報は、分散ハッシュテーブルに格納され、AAAサーバが、分散ハッシュテーブルに格納された課金情報を収集することにより、AAAサーバは、異常が発生又は停止した場合であっても、復旧までの間の課金情報を収集することができる。
【0017】
さらに、各基地局が、端末認証部による端末の認証及び分散ハッシュテーブルへの課金情報の格納に必要とする共有鍵を有し、又は、各基地局以外の新たな基地局が、オーバレイネットワークに参加するために必要となる共有鍵を有することにより、第三者に対するセキュリティを担保することができる。
【図面の簡単な説明】
【0018】
【図1】本発明の実施形態に係るネットワークシステムの説明図である。
【図2】基地局の構成の説明図である。
【図3】AAAサーバの構成の説明図である。
【図4】識別符号テーブルの説明図である。
【図5】図5Aは分散ハッシュテーブルの説明図であり、図5Bは分散ハッシュテーブルの説明図であり、図5Cは分散ハッシュテーブルの説明図である。
【図6】ネットワークシステムの動作を説明するためのフローチャートである。
【発明を実施するための形態】
【0019】
以下、本発明の実施形態について図面を参照して説明する。図1は、ネットワークシステム10の説明図であり、図2は、基地局14aの構成の説明図であり、図3は、AAAサーバ16の構成の説明図であり、図4は、識別符号テーブル38の説明図であり、図5Aは分散ハッシュテーブル20a、図5Bは分散ハッシュテーブル20b、図5Cは分散ハッシュテーブル20cの説明図である。
【0020】
ネットワークシステム10は、通信機能を有するコンピュータや携帯電話等である端末(MS)12a〜12e(以下端末12とも言う)と、前記端末12a〜12eが無線接続する基地局14a〜14cと、AAAサーバ16とを備え、基地局14a〜14cと、AAAサーバ16とはオーバレイネットワーク(overlay network)18を形成している。また、端末12a、12b、12cは基地局14aに無線接続し、端末12dは基地局14bに無線接続し、端末12eは基地局14cに無線接続する。なお、ネットワークシステム10は、端末12a〜12e、基地局14a〜14cを備えるが、端末、基地局の数はこれらに限定されるものではない。
【0021】
基地局14aは、端末12がネットワークエントリの際に認証を受けるための識別符号、課金情報が格納される分散ハッシュテーブル(DHT:Distributed
Hash Table)20aと、分散ハッシュテーブル20aを管理するテーブル管理部22と、AAAサーバ16の動作状態を監視(Keep Alive)する動作監視部24と、端末12のネットワークエントリの際のEAP認証(Extensible Authentication Protocol Authentication)を行う端末認証部26と、端末12に対する課金(Accounting)情報を管理する課金情報管理部28と、課金情報管理部28で管理される課金情報が記録される課金情報記録部30とを備える。課金情報は、端末12の識別符号である課金用IDと、端末12のアクセス時間、端末12で送受信されたパケット量等に関するアクセス情報とを備える。また、端末認証部26にはAAAサーバ16と同一のサーバ証明書が記録される。さらに、基地局14aは、オーバレイネットワーク18を形成するために第三者が知り得ない共有鍵を備えている。なお、基地局14b〜14cも基地局14aと同様の構成であるが、基地局14aの分散ハッシュテーブル20a(図5A)に対応して、基地局14bは分散ハッシュテーブル20b(図5B)、基地局14cは分散ハッシュテーブル20c(図5C)をそれぞれ備える。
【0022】
AAAサーバ16は、端末12をEAP認証する端末認証部32と、端末12に提供するサービスの承認(Authorization)を行うサービス承認部34と、端末12の課金情報の管理を行うアカウンティング部36とを備える。
【0023】
端末認証部32は、識別符号テーブル38を備える。識別符号テーブル38には、端末12の識別符号である接続用ID、パスワードが記録される。ここで、端末12aの接続用IDはIa、パスワードはPa、端末12bの接続用IDはIb、パスワードはPb、以下同様に、端末12c、12d、12eの各接続用IDはIc、Id、Ie、各パスワードはPc、Pd、Peである。
【0024】
後述するように、識別符号テーブル38の接続用ID、パスワードはオーバレイネットワーク18に送信(put)され、分散ハッシュテーブル20a、20b、20cに格納される。基地局14a、14b、14cのそれぞれには、InnerNAIである接続用IDをハッシュ化したkeyに対応するハッシュ空間が割り当てられる。基地局14aの分散ハッシュテーブル20aには、端末12a、12dの接続用IDが割り当てられ、基地局14bの分散ハッシュテーブル20bには、端末12b、12eの接続用IDが割り当てられ、基地局14cの分散ハッシュテーブル20cには、端末12cの接続用IDが割り当てられる。そして、分散ハッシュテーブル20a、20b、20cのそれぞれには、keyとしてハッシュ化された接続用IDが、valueとしてパスワードが格納される。ここで、端末12aの接続用IDはIa、パスワードはPa、端末12bの接続用IDはIb、パスワードはPb、以下同様に、端末12c、12d、12eの各接続用IDはIc、Id、Ie、各パスワードはPc、Pd、Peである。
【0025】
また、基地局14a、14b、14cのそれぞれには、OuterNAIである課金用IDをハッシュ化したkeyに対応するハッシュ空間も割り当てられる。基地局14aの分散ハッシュテーブル20aには、端末12a、12dの課金用IDが割り当てられ、基地局14bの分散ハッシュテーブル20bには、端末12b、12eの課金用IDが割り当てられ、基地局14cの分散ハッシュテーブル20cには、端末12cの課金用IDが割り当てられる。そして、分散ハッシュテーブル20a、20b、20cのそれぞれには、keyとしてハッシュ化された課金用IDが、valueとしてアクセス情報が格納される。ここで、端末12aの課金IDはXa、アクセス情報はAa、端末12bの課金用IDはXb、アクセス情報はAb、以下同様に、端末12c、12d、12eの各課金用IDはXc、Xd、Xe、各アクセス情報はAc、Ad、Aeである。
【0026】
次に、ネットワークシステム10の動作について、図6に基づいて説明する。図6は、ネットワークシステム10の動作を説明するためのフローチャートである。なお、以下は基地局14aの動作を中心に説明するが、基地局14b、14cについても基地局14aと同様に動作するので、その説明を省略する。
【0027】
ネットワークシステム10では、まず、端末認証部32が、識別符号テーブル38の識別符号である接続用ID、パスワードをハッシュ化して、オーバレイネットワーク18にputする(ステップS1)。オーバレイネットワーク18にputされた接続用ID、パスワードは、基地局14a、14b、14cに割り当てられたハッシュ空間に基づいて、分散ハッシュテーブル20a、20b、20cに格納される((図5A〜5C参照、ステップS2)。
【0028】
次に、基地局14aの動作監視部24はAAAサーバ16の動作状態を監視する(ステップS3)。具体的には、動作監視部24がAAAサーバ16に対して、動作状態に関するポーリング(polling)を行う。ポーリングによる監視の結果、AAAサーバ16が正常に動作していることが確認できた場合には、AAAサーバ16の監視を継続する(ステップS3 YES)。
【0029】
一方、ポーリングによる監視において、動作監視部24が、AAAサーバ16から所定時間以上の応答が得られなかった場合には、AAAサーバ16に異常が発生又は停止したと判断し、その旨を端末認証部26及び課金情報管理部28に通知する(ステップS3 NO)。
【0030】
前記通知を受けた端末認証部26、課金情報管理部28は、端末12の認証機能、課金情報に関する機能を起動する(ステップS4)。AAAサーバ16に異常等が発生した後は、AAAサーバ16による端末12の課金情報の記録が行われなくなる。これに対応して、課金情報管理部28は、無線接続している端末12aの課金情報を課金情報記録部30に記録する。同様に、基地局14bの課金情報管理部28は端末12dの課金情報を記録し、基地局14cの課金情報管理部28は端末12eの課金情報を記録する。
【0031】
基地局14aの課金情報管理部28は、定期的に課金情報記録部30に記憶されている課金情報をDHT管理部22に送信し、DHT管理部22は受信した課金情報をハッシュ化して、オーバレイネットワーク18にputする。オーバレイネットワーク18にputされた課金情報は、基地局14a、14b、14cに割り当てられたハッシュ空間に基づいて、DHT管理部22a、22b、22cを介して分散ハッシュテーブル20a、20b、20cに格納される((図5A〜5C参照)。
【0032】
AAAサーバ16に異常等が発生した後は、端末12b、12cが基地局14aに対してネットワークエントリを希望しても、AAAサーバ16によるネットワークエントリが行われなくなる。そこで、端末認証部26が端末12b、12cの認証を行う。
【0033】
端末12bから接続用ID及びパスワードが端末認証部26を介してDHT管理部22に送信され、DHT管理部22が接続用IDを引数としてgetコマンドを実行する。ここでは、端末12bから正規の接続用ID及びパスワードが送信されたとし、接続用IDをIb、パスワードをPbとする。
【0034】
接続用IDであるIbは基地局14bの分散ハッシュテーブル20bに格納されているので、基地局14bのDHT管理部22は、分散ハッシュテーブル20bから接続用IDであるIbに対応するvalueであるPbを基地局14aのDHT管理部22に送信する。基地局14aのDHT管理部22は取得したvalueであるPbを端末認証部26に送信し、端末認証部26は、送信されてきたvalueと端末12bから送信されたパスワードとを照合する。照合の結果、一致するので、端末12bのネットワークエントリが認められる。一方、端末12bから正規の接続用ID及びパスワードと異なる接続用ID、パスワードが端末認証部26に送信されてきた場合には、端末認証部26は当該端末12bのネットワークエントリを拒否する。
【0035】
端末12bの場合と同様に基地局14aに対して、端末12cから正規の接続用ID及びパスワードが端末認証部26に送信されてきた場合には、基地局14cの分散ハッシュテーブル20cに端末12cの接続用ID及びパスワードが格納されているので、ネットワークエントリが認められる。
【0036】
基地局14aは、端末認証部26、課金情報管理部28が起動した後も、動作監視部24はAAAサーバ16の動作の監視を行う(ステップS5)。基地局14aは、AAAサーバ16に対するポーリングによる監視の結果、AAAサーバ16が復帰し正常に動作していることが確認できた場合(ステップS5 YES)には、端末認証部26、課金情報管理部28は停止する(ステップS6)。
【0037】
復帰したAAAサーバ16のアカウンティング部36は、基地局14a〜14cの各課金情報記録部30から記録されている課金情報を収集する(ステップS7)。
【0038】
ネットワークシステム10では、基地局14a〜14cが第三者が知り得ない共有鍵を備え、この共有鍵を備えることにより、オーバレイネットワーク18を形成することができる。従って、基地局14a〜14c以外の基地局がオーバレイネットワーク18に参加(join)する場合には、当該基地局が前記共有鍵を備えることが必要である。また、基地局14aがput、get、join等のコマンドを実行する場合には、前記共有鍵をコマンドに含めるようにしてもよい。
【0039】
以上説明したように、ネットワークシステム10は、AAAサーバ16と、基地局14a、14b、14cとを備え、基地局14a、14b、14cは端末12と無線接続し、AAAサーバ16と基地局14a、14b、14cとによってオーバレイネットワーク18が形成され、基地局14a、14b、14cは、端末12の識別符号が格納される分散ハッシュテーブル20a、20b、20cと、AAAサーバ16の動作状態を監視する動作監視部24と、動作監視部24の監視結果に基づいて起動し、分散ハッシュテーブル20a、20b、20cを参照して端末12の認証を行う端末認証部26とを有する。
【0040】
ネットワークシステム10によれば、基地局14a、14b、14cが、AAAサーバ16の監視結果に基づいて、端末認証部26を起動させ、端末12の識別符号が格納される分散ハッシュテーブル20を参照して端末12の認証を行うことにより、多数の端末12を有するネットワークにおいてAAAサーバ16に異常が発生又は停止した場合であっても、端末12の認証を効率的に行うことができる。
【0041】
また、端末12の課金情報は、分散ハッシュテーブル20に格納され、AAAサーバ16は、分散ハッシュテーブル20に格納された課金情報を収集することにより、AAAサーバ16は、異常が発生又は停止した場合であっても、復旧までの間の課金情報を収集することができる。
【0042】
さらに、基地局14a、14b、14cが、端末認証部26による端末12の認証及び分散ハッシュテーブル20への課金情報の格納に必要とする共有鍵を有し、又は、基地局14a、14b、14c以外の新たな基地局が、オーバレイネットワーク18に参加するために必要となる共有鍵を有することにより、第三者に対するセキュリティを担保することができる。
【0043】
なお、本発明は、上述の実施形態に限らず、本発明の要旨を逸脱することなく、種々の構成を採り得ることはもちろんである。
【0044】
例えば、接続用ID、課金用IDは端末12を識別することができれば、特に限定されるものではなく、MACアドレスを用いることができる。
【0045】
また、復帰したAAAサーバ16では、アカウンティング部36が、基地局14a〜14cの各課金情報記録部30に記録されている課金情報を収集しているが、アカウンティング部36が課金情報を収集する代わりに、基地局14a〜14cの各動作監視部24がAAAサーバ16の復帰を確認した後に、各課金情報管理部28が、各課金情報記録部30から課金情報をAAAサーバ16に送信するようにしてもよい。
【符号の説明】
【0046】
10…ネットワークシステム
12…端末
14…基地局
16…AAAサーバ
18…オーバレイネットワーク
20…分散ハッシュテーブル
22…DHT管理部
24…動作監視部
26、32…端末認証部
28…課金情報管理部
30…課金情報記録部
34…サービス承認部
36…アカウンティング部
38…識別符号テーブル
【特許請求の範囲】
【請求項1】
AAA(Authentication Authorization Accounting)サーバと、
複数の基地局とを備え、
前記各基地局は、端末と無線接続し、前記AAAサーバと前記各基地局とによってオーバレイネットワークが形成され、
前記各基地局は、
前記端末の識別符号が格納される分散ハッシュテーブルと、
前記AAAサーバの動作状態を監視する動作監視部と、
前記動作監視部の監視結果に基づいて起動し、前記分散ハッシュテーブルを参照して前記端末の認証を行う端末認証部と、
を有することを特徴とするネットワークシステム。
【請求項2】
請求項1記載のネットワークシステムにおいて、
前記各基地局と接続する前記端末の課金情報は、前記分散ハッシュテーブルに格納されていることを特徴とするネットワークシステム。
【請求項3】
請求項2記載のネットワークシステムにおいて、
前記AAAサーバは、前記分散ハッシュテーブルに格納された課金情報を収集することを特徴とするネットワークシステム。
【請求項4】
請求項3記載のネットワークシステムにおいて、
前記各基地局は、前記端末認証部による前記端末の認証及び前記分散ハッシュテーブルへの課金情報の格納に必要とする共有鍵を有することを特徴とするネットワークシステム。
【請求項5】
請求項1又は4記載のネットワークシステムにおいて、
新たな基地局は、前記オーバレイネットワークに参加するために必要となる共有鍵を有することを特徴とするネットワークシステム。
【請求項1】
AAA(Authentication Authorization Accounting)サーバと、
複数の基地局とを備え、
前記各基地局は、端末と無線接続し、前記AAAサーバと前記各基地局とによってオーバレイネットワークが形成され、
前記各基地局は、
前記端末の識別符号が格納される分散ハッシュテーブルと、
前記AAAサーバの動作状態を監視する動作監視部と、
前記動作監視部の監視結果に基づいて起動し、前記分散ハッシュテーブルを参照して前記端末の認証を行う端末認証部と、
を有することを特徴とするネットワークシステム。
【請求項2】
請求項1記載のネットワークシステムにおいて、
前記各基地局と接続する前記端末の課金情報は、前記分散ハッシュテーブルに格納されていることを特徴とするネットワークシステム。
【請求項3】
請求項2記載のネットワークシステムにおいて、
前記AAAサーバは、前記分散ハッシュテーブルに格納された課金情報を収集することを特徴とするネットワークシステム。
【請求項4】
請求項3記載のネットワークシステムにおいて、
前記各基地局は、前記端末認証部による前記端末の認証及び前記分散ハッシュテーブルへの課金情報の格納に必要とする共有鍵を有することを特徴とするネットワークシステム。
【請求項5】
請求項1又は4記載のネットワークシステムにおいて、
新たな基地局は、前記オーバレイネットワークに参加するために必要となる共有鍵を有することを特徴とするネットワークシステム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図2】
【図3】
【図4】
【図5】
【図6】
【公開番号】特開2012−138863(P2012−138863A)
【公開日】平成24年7月19日(2012.7.19)
【国際特許分類】
【出願番号】特願2010−291472(P2010−291472)
【出願日】平成22年12月28日(2010.12.28)
【出願人】(000004330)日本無線株式会社 (1,186)
【Fターム(参考)】
【公開日】平成24年7月19日(2012.7.19)
【国際特許分類】
【出願日】平成22年12月28日(2010.12.28)
【出願人】(000004330)日本無線株式会社 (1,186)
【Fターム(参考)】
[ Back to top ]