ユーザ端末接続制御方法および装置
【課題】同時接続可能なセッション数を制限し、且つ、強制的なセッションの切断を低減できるユーザ端末接続制御方法および装置を提供する。
【解決手段】アクセスサーバまたは認証サーバに、複数のユーザ識別子からなるグループ毎に、最大接続数と優先的にインターネット接続を許容するユーザ端末識別子とを示すユーザ管理テーブルを設け、ユーザ認証のための通信手順の実行過程で、ユーザが所属するグループの現在の接続数が最大接続数に達しているか否かを判定し、既に最大接続数に達していた場合は、ユーザ端末が優先接続すべきユーザ端末か否かによって、インターネットへの接続可否を決定する。
【解決手段】アクセスサーバまたは認証サーバに、複数のユーザ識別子からなるグループ毎に、最大接続数と優先的にインターネット接続を許容するユーザ端末識別子とを示すユーザ管理テーブルを設け、ユーザ認証のための通信手順の実行過程で、ユーザが所属するグループの現在の接続数が最大接続数に達しているか否かを判定し、既に最大接続数に達していた場合は、ユーザ端末が優先接続すべきユーザ端末か否かによって、インターネットへの接続可否を決定する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、ユーザ端末のインターネットへの接続を制御するユーザ端末接続制御方法および装置に関し、更に詳しくは、ユーザ端末との間にPPP(Point to Point Protocol)に従ってセッションを確立した後、該ユーザ端末のIP網への接続を制御するパケット転送装置、およびユーザ端末のインターネットへのアクセスを制限する認証サーバに関する。
【背景技術】
【0002】
ユーザ端末をインターネット接続事業者が管理するISP(Internet Service Provider)網を介してインターネットに接続する場合、インターネット通信で必要となるIP(Internet Protocol)アドレスは、ISPから配布される。ISPが介在するネットワーク構成では、ユーザ端末とISP網との間にアクセスネットワークが存在する。
【0003】
アクセスネットワークには、各ユーザ端末とインターネットとの接続/切断を制御するためのアクセスサーバ、またはBAS(Broadband Access Server)と呼ばれるパケット転送装置(以下、BASと言う)が設定されている。ユーザ端末は、多くの場合、Ethernet(登録商標名)上でのPPP(Point to Point Protocol)接続技術であるPPPoE(PPP over Ethernet)によって、BASに接続される。
【0004】
標準的なインターネット接続サービスでは、ユーザ毎に1つのIPアドレスが配布される。この場合、各ユーザがインターネットに同時接続可能な端末台数は1台だけである。
配布された1つのIPアドレスで複数台のユーザ端末をインターネットに接続するためには、例えば、ブロードバンドルータ等の装置を使用し、NAT(Network Address Translation)やIPマスカレード等のアドレス変換技術により、1つのIPアドレスを複数のユーザ端末で共有する必要がある。但し、NATやIPマスカレードを用いると、通信に特別な手順を必要としたり、使用可能なアプリケーション種類が制約される場合がある。ISPによっては、複数の端末を同時にインターネット接続できるように、同一ユーザに複数のIPアドレスを配布する付加的なサービスを提供している。
【0005】
アクセスネットワークは、一般に、ブロードキャスト型ネットワークであるEthernetで構築されているため、ネットワークへのユーザ端末の追加は比較的容易に行われる。そのため、ISPは、ユーザによる不正アクセスを防止し、IPアドレスや通信帯域等のネットワークリソースを有効利用するために、ユーザ毎にインターネットへの接続数を制限している。
【0006】
PPPoEを用いたインターネット接続環境における接続数制限は、従来は、アクセスネットワーク内、具体的には、ユーザ端末とBASとの間に設置されているL2スイッチによって行われている。L2スイッチは、例えば、特開2000−112852号公報(特許文献1)に記載されているように、通信パケットのMAC(Media Access Control)アドレスを参照して、ユーザ端末毎の接続数の制限できる。
【0007】
特許文献1に記載されたL2スイッチは、受信した全てのパケットについて、送信元MACアドレスと受信ポートとの対応関係を示すエントリ情報をMACアドレステーブルに登録しておき、このテーブルを参照することによって、その後に受信されるパケットの転送先ポートを決定している。特許文献1では、予め指定され新たエージングタイム以内に新たなパケットが受信されないエントリ情報をMACアドレステーブルから削除すると共に、ポート毎にテーブル登録可能なエントリ数(MACアドレス数)を制限しておくことによって、同時に接続可能なユーザ端末の数を制限している。
【0008】
すなわち、上記L2スイッチは、特定の受信ポートに関して、MACアドレステーブルの登録エントリ数が予め指定された上限値に達すると、上記特定ポートからその後に受信される新たな送信元MACアドレスをもつ受信パケットについては、MACアドレステーブルへのエントリ登録(学習機能)を停止し、MACアドレステーブルに該当エントリを持たない未学習のMACアドレスを持つ受信パケットは全て破棄することによって、ポート毎に、同時通信可能な接続数(MACアドレス数)を制限している。
【0009】
尚、接続端末台数を制限する従来技術として、例えば、特開2003−16031号公報(特許文献2)には、TCP/IPプロトコルを利用したクライアント・サーバシステムにおいて、サーバに同時接続されるクライアント数を制限する接続制御方式が提案されている。特許文献2では、クライアントとの通信相手となるサーバ側に、各クライアントのIPアドレスと接続優先度との関係を示す優先度テーブルを設けておき、接続クライアント数が上限値に達した状態で、新たなクライアントから接続要求が発生した時、要求元クライアントの接続優先度を上記優先度テーブルが示す既に接続中のクライアントの中で最低の優先度と比較し、要求元クライアントの接続優先度の方が高ければ、最低優先度をもつクライアントのセッションを切断した上で、新たな接続要求を受付け、そうでない場合は接続要求を拒否するようにしている。
【0010】
【特許文献1】特開2000−112852号公報
【特許文献2】特開2003−16031号公報
【発明の開示】
【発明が解決しようとする課題】
【0011】
然るに、L2スイッチによるMACアドレスに基づく接続数制限では、同一ユーザ端末から複数のPPPセッションを接続した場合でも、1つの接続と見做されるため、PPPセッション数を制限できない。また、ユーザが場所を移動して、端末を別のL2スイッチ経由でインターネットに接続するような利用形態を制限することができない。特に、特許文献1のように、エージングタイムによって登録エントリを削除する方式では、MACアドレステーブルに空きエントリがない時、緊急を要するユーザ端末が、直ちにインターネットをアクセスできないという問題もある。
【0012】
一方、特許文献2のように、全てのIPアドレスに接続優先度を与えておき、接続数が上限値の達した状態で新たな接続要求が発生した時、通信中の低優先度のセッションを切断する方式では、優先度判定に時間を要し、且つ、低優先度セッションに強制的な切断が多発するため、ユーザに安定した通信サービスを提供できないという問題がある。
【0013】
本発明の目的は、同時接続可能なセッション数を制限し、且つ、強制的なセッションの切断頻度を低減できるユーザ端末接続制御方法および装置を提供することにある。
【課題を解決するための手段】
【0014】
上記目的を達成するため、本発明では、複数のユーザ識別子からなるグループ毎に、最大接続数と優先的にインターネット接続を許容するユーザ端末識別子とを示すユーザ管理テーブルを使用し、ユーザ認証のための通信手順の実行過程で、ユーザが所属するグループの現在の接続数が最大接続数に達しているか否かを判定し、既に最大接続数に達していた場合は、ユーザ端末が優先接続すべきユーザ端末か否かによって、インターネットへの接続可否を決定するようにしたことを特徴とする。
【0015】
ユーザ認証に成功したユーザであっても、ユーザ端末が、優先接続すべきユーザ端末として登録されていなければ、インターネットへのアクセスは拒否される。ユーザ端末が、グループ内で優先接続すべきユーザ端末として登録されていた場合は、同一グループで既にアクセス許可済みのユーザ端末のうちの1つについてセッション切断処理を実行した後、インターネットへのアクセスが許可される。上記ユーザ管理テーブルは、アクセスサーバとして動作するパケット転送装置、またはISP網に接続された認証サーバの何れに設けてもよい。
【0016】
ユーザ管理テーブルを認証サーバに設けた場合、認証サーバからアクセスサーバに送信される応答メッセージには、パスワードに基づく通常のユーザ認証結果以外に、ユーザ所属グループにおける現在の接続数と最大接続数との比較結果と、ユーザ端末が優先接続すべきユーザ端末か否かの判定結果が反映される。また、認証サーバが、ユーザ端末のインターネットアクセスを許可した場合、上記応答メッセージによって、ユーザ端末が使用すべきIPアドレスが指定される。
【0017】
ユーザ管理テーブルをアクセスサーバ(パケット転送装置)に設けた場合、パケット転送装置は、認証サーバから認証成功を示す応答メッセージを受信した時点で、ユーザ所属グループにおける現在の接続数と最大接続数との比較と、ユーザ端末が優先接続すべきユーザ端末か否かの判定を行って、ユーザ端末への応答内容を決定する。
【発明の効果】
【0018】
本発明によれば、アクセスサーバまたは認証サーバにおいて、複数のユーザ識別子からなるグループ別にインターネットへの接続数を制限するようにしているため、ユーザが移動先で別のL2スイッチ経由でインターネットをアクセスする場合でも、平常時と一貫した接続数制限を実現することが可能となる。また、グループ毎に、優先的にインターネット接続を許容するユーザ端末識別子を予め登録することによって、グループ内での現在の接続数が最大接続数に達していた場合でも、登録ユーザ端末には、即座にインターネット接続を許可できる。この場合、接続中の何れかのセッションが切断されるが、セッションの切断は、優先権をもつユーザ端末と同一グループに所属する端末で発生するため、他のグループに所属するユーザ端末への影響は回避できる。
【発明を実施するための最良の形態】
【0019】
以下、図面を参照して、本発明の実施例について説明する。
【実施例1】
【0020】
図1は、本発明が適用される通信ネットワークシステムの構成例を示す。
ここに示した通信ネットワークシステムは、パケット転送装置(以下、ブロードバンドアクセスサーバ:BASと言う)10と複数のL2スイッチ60(60−1、60−2)とを含むアクセスネットワークNW1と、ISPが管理するISPネットワークNW2と、インターネットNW3とから構成される。
【0021】
各L2スイッチは、それぞれ少なくとも1台のユーザ端末H(H1−1〜H1−L、H2−1、…、H3−1〜H3−M、H4−1〜H4−N)が接続された複数のLAN(LAN−1〜LAN−4)を収容している。これらのユーザ端末Hは、L2スイッチ60を介して、PPPoE(PPP over Ethernet)によってブロードバンドアクセスサーバ(BAS)10に接続され、BAS10とISPネットワーク2を介して、インターネットNW3上の何れかのサーバ90(90−1〜90−m)をアクセスする。
【0022】
ISPネットワークNW2には、予め登録されたユーザについて、ユーザID、パスワード、住所、氏名、口座番号などのユーザ情報を管理する加入者認証サーバ(以下、単に認証サーバと言う)40が接続されている。本実施例では、ユーザ端末HをLAN毎にグループ化し、各グループに所属する複数のユーザ端末が、共通のパスワードを使用してユーザ認証を受けるものとする。
【0023】
ユーザ端末Hが、L2スイッチ60を介して、BAS10との間にPPPセッションを確立すると、BAS10は、ユーザ端末に認証データの送信を要求する。BAS10は、ユーザ端末からユーザIDとパスワードとを含む認証データを受信すると、認証サーバ40に対して、ユーザIDとパスワードとを含む認証要求メッセージを送信する。
【0024】
認証サーバ40は、BAS10から認証要求を受信すると、受信したユーザIDに該当するユーザ情報を参照し、ユーザが提示したパスワードの正当性をチェックし(ユーザ認証)、認証結果をBAS10に返送する。BAS10は、認証サーバ40からの応答結果によって、ユーザ端末のインターネットへの接続可否を決定する。
【0025】
BAS10と認証サーバ40との通信には、例えば、Radius(Remote Authentication Dial In User Service)プロトコルが適用される。Radiusプロトコルで動作する認証サーバは、一般にRadiusサーバと呼ばれている。以下に説明する実施例では、認証サーバ40は、インターネットユーザ毎の課金情報の管理機能も備えている。
【0026】
図2は、ブロードバンドアクセスサーバ(BAS)10の1実施例を示すブロック構成図である。
BAS10は、L2スイッチ60またはISPネットワークNW2と通信するための入出力回線LI−i、LO−i(i=1〜n、nは自然数)に接続された複数の回線インタフェース11(11−1〜11−n)と、これらの入出力インタフェースに接続されたプロトコル処理部12および制御部15からなる。
【0027】
プロトコル処理部12は、各回線インタフェース11−iが入力回線LI−iから受信したパケット(またはフレーム)を受け取り、受信パケットのヘッダに含まれる宛先アドレスに基づいてルーティングテーブル13を参照し、宛先アドレス該当する回線インタフェースまたは制御部15に受信パケットを転送する。また、プロトコル処理部12は、インターネットをアクセスするPPPコネクション毎に、課金に必要な統計情報を収集し、統計テーブル14に蓄積する。統計テーブル14に蓄積された課金情報は、定期的およびPPPコネクションの切断時に認証サーバ40に通知される。
【0028】
制御部15は、プロセッサ20と、該プロセッサ20が利用する各種のプログラムを記憶するためのメモリ21と、データおよび各種のテーブルを記憶するためのメモリ22と、制御端末100と接続するための端末インタフェース23とから構成されている。
メモリ21には、プロセッサ20が実行する本発明に関係するプログラムとして、接続制御ルーチン30と、PPP LCP/NCP通信制御ルーチン31と、認証サーバ40と通信するためRadius通信制御ルーチン32とが格納されている。接続制御ルーチン30は、図6で後述するユーザ端末および認証サーバとの通信シーケンスの全体的な制御、プロトコル処理部12への統計情報収集の開始/停止の指示、認証サーバへの統計情報の定期的な通知、その他の制御動作を行う。尚、メモリ22に破線のブロックで示したユーザ管理テーブル33と、メモリ21に破線のブロックで示した接続数管理ルーチン34は、後述する本発明の第2実施例にのみに関係するため、ここでの説明は省略する。
【0029】
図3は、制御部15によって更新され、プロトコル処理部12が参照するルーティングテーブル26の1実施例を示す。
ルーティングテーブル14は、宛先IPアドレス141と出力ポート番号142との関係を示す複数のエントリが登録されている。認証に成功したユーザ端末に対して認証サーバ40が割り当てたIPアドレスを宛先IPアドレス141とするエントリには、更に、出力リンク情報143と宛先MACアドレス144とが含まれる。これらのエントリは、BAS10が、認証に成功したユーザ端末にIPアドレスを配布する時点で、ルーティングテーブル14に登録され、PPPセッションの解放時点で、ルーティングテーブル14から削除される。
【0030】
図4は、認証サーバ40の1実施例を示すブロック構成図である。
認証サーバ40は、プロセッサ41と、ISPネットワークNW2に接続するための回線インタフェース42と、プロセッサ41が利用する各種のプログラムを格納するためのメモリ43と、プロセッサ41が利用する各種のテーブルおよびデータを記憶するためのメモリ44と、認証サーバ40と管理者とのインタフェースとなる入力装置45および表示装置46とから構成されている。
【0031】
メモリ43には、プロセッサ41が実行する本発明に関係するプログラムとして、Radiusプロトコルに従ってBAS10と通信するためのRadius通信制御ルーチン50と、ユーザを認証するための認証処理ルーチン52と、アドレスプールからユーザ端末に割り当てるべきIPアドレスを検索すると共に、解放されたIPアドレスを空きアドレスとしてアドレスプールに戻すためのIPアドレス管理ルーチン52と、課金処理ルーチン53と、接続数管理ルーチン54とを備える。また、メモリ44には、IPアドレスプール55と、ユーザ管理テーブル56と、課金情報ファイル57とが形成されている。
【0032】
図5は、認証サーバ40が備えるユーザ管理テーブル56の1実施例を示す。
ユーザ管理テーブル56は、グループ番号561をもつ複数のサブテーブル560(560−1、560−2、…)からなる。各サブテーブル560は、ユーザ情報として、ユーザID562と、パスワード563と、IPアドレス564と、その他の個人情報(図示せず)を含み、この他に、優先MACアドレス565と、最大接続数567と、現在の接続数568を含む。
【0033】
ここで、ユーザID562は、各グループに所属するメンバーのユーザ識別子を示し、パスワード563は、ユーザ認証に際してグループ内の複数のユーザが共通に使用するパスワードを示している。IPアドレス564は、認証サーバ40が各ユーザに割当てたIPアドレスを示し、PPPセッションを接続中のユーザエントリに登録される。優先MACアドレス565は、インターネットNW3に優先的に接続すべきユーザ端末のMACアドレス、最大接続数567は、グループ毎に予め契約されたインターネットNW3に同時接続可能なセッション数の値を示し、現在の接続数568は、各グループでインターネットNW3に接続中のセッション数を示している。
【0034】
優先MACアドレス565として登録可能なアドレス数の上限値は、最大接続数567となるが、実際の応用においては、少数に限定される。その他の個人情報としては、例えば、PPPセッション接続中のユーザ端末とサーバ90との最後の交信時刻情報、サーバ90との送受信パケットの総数などの情報が含まれる。これらの情報は、認証サーバ40がBAS10から定期的に受信する統計情報から判明する。
【0035】
次に、図1に示したユーザ端末H、例えば、ユーザID「user1-2@isp1」、MACアドレス「00:11:22:33:44: 55」をもつユーザ端末H1−2が、PPP(Point to Point Protocol)を使用して、BAS10にインターネットへの接続を要求した場合の通信シーケンスについて、図6を参照して説明する。
【0036】
ユーザ端末H1−2は、PPPの通常の接続シーケンスに従って、BAS10との間にPPP LCPセッションを確立する(SQ1)。PPP LCPセッションは、ユーザ端末H1−2からBAS10に、PPP LCP Configure-Requestを送信し、これに応答して、BAS10からユーザ端末H1−2に、PPP LCP Configure-Responseを返送することによって確立される。
【0037】
PPP LCPセッションを確立したBAS10は、ユーザ端末H1−2がインターネットへの接続資格をもっているか否かを判断するために、ユーザ端末H1に、認証データとなるユーザIDとパスワードの送信を要求する(SQ2)。上記要求に応答して、ユーザ端末H1−2が、ユーザIDとパスワードを含む認証応答メッセージを送信すると(SQ3)、BAS10は、ISPが管理する認証サーバ40に対して、ユーザ端末H1−2から受信したユーザID(「user1-2@isp1」)とパスワードPW(user1)を含むアクセス要求メッセージ(Access-Request)を送信する(SQ4)。本実施例では、上記アクセス要求メッセージに、ユーザ端末H1−2のMACアドレス「00:11:22:33:44:55」が付加的な情報として含まれている。
【0038】
認証サーバ40は、アクセス要求メッセージ(Access-Request)を受信すると、ユーザ管理テーブル56から、受信メッセージが示すユーザID(「user1-2@isp1」)と対応するテーブルエントリを検索し、受信メッセージが示すパスワードと予め該テーブルエントリ登録されたパスワード563とを照合する(ユーザ認証JB1)。本実施例の特徴は、ユーザ端末H1−2の正当性が確認された場合、認証サーバ40が、上記ユーザIDが所属するグループの最大接続数と現在の接続数とを比較し、接続数に余裕があるか否かを判定する接続数確認処理(JB2)を実行するようにしたことにある。
【0039】
接続数確認処理(JB2)では、プロセッサ41は、図7に示すように、アクセス要求メッセージ(Access-Request)が示すユーザIDをキーとしてユーザ管理テーブル56を検索し、ユーザIDが所属するサブテーブル(この例では、サブテーブル560−1)を特定する(ステップ541)。プロセッサ41は、上記サブテーブルが示す現在の接続数568の値と最大接続数567の値「Max(1)」とを比較する(ステップ542)。
【0040】
現在の接続数の値が最大接続数Max(1)よりも少なければ、プロセッサ41は、現在の接続数568に1を加算(インクリメント)し(ステップ543)、IPアドレスプール55からユーザ端末H1−2に割り当てるべき空きIPアドレスを検索し、該IPアドレスを含むアクセス要求応答メッセージ(Access-Response)をBAS10に送信する(ステップ545、図6のSQ5)。
【0041】
もし、現在の接続数が最大接続数に達していた場合、プロセッサ41は、アクセス要求メッセージ(Access-Request)が示すユーザ端末のMACアドレスが、上記サブテーブルに登録された優先MACアドレス565に一致するか否かをチェックする(ステップ546)。ユーザ端末のMACアドレスが優先MACアドレスとして登録されていなければ、プロセッサ41は、認証失敗を示す応答メッセージ(Access-Reject)を生成し、これをBAS10に送信する(ステップ545、図6のSQ5)。
【0042】
ユーザ端末のMACアドレスが優先MACアドレスとして登録されていた場合、プロセッサ41は、同一グループに所属するPPPセッション接続中のユーザIDの中から、セッションを強制的に切断すべきユーザIDを選択し(ステップ547)、BAS10に対して、上記選択されたユーザIDのセッション(選択セッション)の切断を要求(ステップ548)した後、ステップ544、545を実行する。切断対象となるPPPセッションは、例えば、その時点でサーバ90との交信中断時間が最も長いセッション、送受信パケットの総数の最も少ないセッション等、その選択方法は特に限定されない。
【0043】
認証サーバ40が、ユーザ認証成功時にBAS10に送信する応答メッセージ(Access-Accept)は、例えば、図8に示すように、IPヘッダ101とUDPヘッダ102とを付加したIPパケット形式で送信される。上記応答メッセージは、メッセージ種類「Access-Accept」を示すRadius Code103に続くRadius アトリビュートとして、Framed-IP-Addressアトリビュート104と、Vendor-Specificアトリビュート105と、その他のアトリビュート106とを含む。Framed-IP-Addressアトリビュート104によって、認証サーバ40がユーザ端末H1−2に割り当てたIPアドレスの値(この例では、「192.168.1.2」)が指定される。
【0044】
図6に戻って、BAS10は、認証サーバ40から応答メッセージ(Access-Accept)を受信すると、ユーザ端末H1−2に、認証完了を示す通知メッセージを送信する(SQ6)。BAS10が、認証サーバ40から認証失敗を示す応答メッセージ(Access-Reject)を受信した場合、ユーザ端末H1−2には、認証失敗を示す通知メッセージが送信され、PPPセッションが切断される。
【0045】
ユーザ端末H1−2は、BAS10からアクセス要求許可を示す認証完了通知メッセージを受信すると、IPCP(Internet Protocol Control Protocol)に従って、BAS10にIPアドレスの割り当て要求(IPCP Configure-Request)を送信する(SQ7)。BAS10は、上記IPアドレスの割り当て要求に応答して、既に認証サーバ40から受信済みとなっているIPアドレスを含むIPアドレス配布メッセージ(IPCP Configure-Acknowledgment)を生成し、これをユーザ端末H1−2に返送する(SQ8)。
【0046】
BAS10は、この後、認証サーバ40に課金開始要求メッセージ(Accounting-Request (start))を送信し(SQ9)、認証サーバ40から課金開始応答メッセージ(Accounting-Response (Start))を受信すると(SQ10)、ルーティングテーブル13に宛先IPアドレス「192.168.1.2」用のテーブルエントリを追加し(JB11)、送信元IPアドレスが「192.168.1.2」のパケットについて、プロトコル処理部12による課金用統計データの収集動作を開始する。これによって、ユーザ端末HによるインターネットNW3のアクセスパケット(IP over PPP)の転送動作が開始される(SQ11)。
【0047】
図9は、PPPセッションの切断シーケンスを示す。
ユーザがインターネット接続の切断操作を行うと、ユーザ端末H1−2は、BAS10に対してPPP LCPセッションの切断要求メッセージ(PPP LCP Terminate-Request)を送信する(SQ21)。BAS10は、上記切断要求メッセージを受信すると、ユーザ端末H1−2に応答メッセージ(PPP LCP Terminate-Response)を返信し(SQ22)、認証サーバ40に対して、ユーザID(「user1-2@isp1」)に関する課金処理の停止要求メッセージ(Accounting-Request(stop))を送信する(SQ23)。上記課金停止要求メッセージには、プロトコル処理部12で収集したユーザ端末H1−2の統計データが含まれている。
【0048】
上記課金停止要求メッセージを受信した認証サーバ40は、ユーザ管理テーブル56を参照し、指定ユーザID(「user1-2@isp1」)が所属するサブテーブル560−1における現在の接続数568の値を1だけ減算し(JB3)、無用となったIPアドレスをアドレスプール44に解放する(JB4)。この後、認証サーバ40は、BAS10に、課金停止応答メッセージ(Accounting-Response(stop))を送信する(SQ24)。BAS10は、認証サーバ40からの課金停止応答メッセージを受信すると、ルーティングテーブルから該当するPPPセッション情報を削除する(JB12)。
【実施例2】
【0049】
実施例1では、グループ別の接続数制限を認証サーバで行ったが、グループ別の接続数制限は、ブロードバンドアクセスサーバサーバ(BAS)10側で行うこともできる。実施例2は、図2に破線で示したように、BAS10のメモリ22にユーザ管理テーブル33を設け、プロセッサ20が、メモリ21に用意された接続数管理ルーチン34を実行するようにしたことを特徴としている。
【0050】
BAS10が備えるユーザ管理テーブル33は、図5に示したユーザ管理テーブル56から、パスワード563とIPアドレス564を除外した内容となっている。また、実施例2の場合、認証サーバ40が備えるユーザ管理テーブル56では、IPアドレス564、優先MACアドレス565、最大接続数567、現在の接続数568は不要となる。
【0051】
図10は、実施例2の接続シーケンスを示す。
ユーザ端末H1−2とBAS10、BAS10と認証サーバ40の間で実行される通信手順SQ1〜SQ10は、図6に示した実施例1と同一のため、説明は省略する。
【0052】
認証サーバ40は、BAS10から、例えば、ユーザID(「user1-2@isp1」)とパスワードPW(user1)を含むアクセス要求メッセージ(Access-Request)を受信すると、ユーザ管理テーブル56から、受信メッセージが示すユーザID(「user1-2@isp1」)と対応するテーブルエントリを検索し、受信メッセージが示すパスワードと予め該テーブルエントリ登録されたパスワード563とを照合する(ユーザ認証JB1)。パスワードが一致すると、認証サーバ40は、IPアドレスプール55からユーザ端末H1−2に割り当てるべき空きIPアドレスを検索し、該IPアドレスを含むアクセス要求応答メッセージ(Access-Response)をBAS10に送信する(SQ5)。
【0053】
実施例2では、認証サーバ40からアクセス要求応答メッセージ(Access-Response)を受信したBAS10が、ユーザ情報管理テーブル33を参照して、接続数確認処理(JB10)を実行する。BAS10は、ユーザIDの所属グループで現在の接続数が最大接続数に達していない場合、またはユーザ端末が優先端末として登録されていた場合は、要求元のユーザ端末H1−2に対して、認証完了メッセージを送信し、そうでなければ、認証失敗メッセージを送信する(SQ6)。
【0054】
図11は、BAS10のプロセッサ20が実行する接続数確認処理(JB10)のフローチャートを示す。
プロセッサ20は、実施例1と同様、アクセス要求元のユーザIDをキーとしてユーザ管理テーブル33を検索し、ユーザIDが所属するサブテーブル(この例では、サブテーブル560−1)を特定する(ステップ341)。プロセッサ20は、上記サブテーブルが示す現在の接続数568の値と最大接続数567の値「Max(1)」とを比較する(ステップ342)。
【0055】
現在の接続数の値が最大接続数Max(1)よりも少なければ、プロセッサ20は、現在の接続数568に1を加算(インクリメント)し(ステップ343)、認証完了メッセージをユーザ端末H1−2に送信する(ステップ345、図11のSQ6)。
もし、現在の接続数が最大接続数に達していた場合、プロセッサ20は、ユーザ端末のMACアドレスが、上記サブテーブルに登録された優先MACアドレス565に一致するか否かをチェックする(ステップ346)。ユーザ端末のMACアドレスが優先MACアドレスとして登録されていなければ、プロセッサ20は、認証失敗を示す応答メッセージ(Access-Reject)を生成し、これをユーザ端末H1−2に送信する(ステップ345、図11のSQ6)。
【0056】
ユーザ端末のMACアドレスが優先MACアドレスとして登録されていた場合、プロセッサ20は、同一グループに所属するPPPセッション接続中のユーザIDの中から、セッションを強制的に切断すべきユーザIDを選択し(ステップ347)、選択されたユーザIDのセッション(選択セッション)を切断(ステップ348)した後、ステップ345を実行する。切断対象となるPPPセッションは、実施例1と同様、例えば、その時点でサーバ90との交信中断時間が最も長いセッション、送受信パケットの総数の最も少ないセッション等、その選択方法は特に限定されない。
【0057】
図12は、実施例2におけるPPPセッションの切断処理を示す。
ユーザ端末H1−2とBAS10、BAS10と認証サーバ40の間で実行される通信手順SQ21〜SQ24は、図9に示した実施例1と同一のため、説明は省略する。
【0058】
認証サーバ40は、BAS10から課金処理の停止要求メッセージ(Accounting-Request(stop))を受信すると(SQ23)、ユーザ管理テーブル56に指定ユーザIDと対応して登録されているIPアドレスをアドレスプール44に解放(JB4)した後、BAS10に、課金停止応答メッセージ(Accounting-Response(stop))を送信する(SQ24)。
【0059】
BAS10は、認証サーバ40からの課金停止応答メッセージを受信すると、ルーティングテーブルから該当するPPPセッション情報を削除する(JB12)。また、ユーザ管理テーブル33を参照して、上記指定ユーザIDが所属するサブテーブルにおける現在の接続数568の値を1だけ減算する(JB13)。
【図面の簡単な説明】
【0060】
【図1】本発明が適用される通信ネットワークシステムの構成例を示す図。
【図2】本発明のパケット転送装置(図1のBAS10)の構成例を示す図。
【図3】本発明のパケット転送装置が備えるルーティングテーブルの1例を示す図。
【図4】認証サーバ40の1実施例を示す構成図。
【図5】認証サーバが備えるユーザ管理テーブルの1例を示す図。
【図6】ユーザ端末からBASにインターネットへの接続を要求した場合の通信シーケンスの第1実施例を示す図。
【図7】認証サーバが実行する接続数確認処理54の1実施例を示すフローチャート。
【図8】認証サーバからBASに送信されるAccess-Acceptメッセージのフォーマット図。
【図9】ユーザ端末からBASに切断を要求した場合の通信シーケンスの第1実施例を示す図。
【図10】ユーザ端末からBASにインターネットへの接続を要求した場合の通信シーケンスの第2実施例を示す図。
【図11】BASが実行する接続数確認処理34の1実施例を示すフローチャート。
【図12】ユーザ端末からBASに切断を要求した場合の通信シーケンスの第2実施例を示す図。
【符号の説明】
【0061】
H1−1〜H4−N:ユーザ端末、10:パケット転送装置(BAS)、
NW1:アクセス網、NW2:ISP網、NW3:インターネット、40:認証サーバ、60:L2スィッチ、90:Webサーバ、
11、42:回線インタフェース、12:プロトコル処理部、
13:ルーティングテーブル、14:統計テーブル、15:制御部、
20、41:プロセッサ、30:接続制御ルーチン、
31:PPP LCP/NCP通信制御ルーチン、
32、50:Radius通信制御ルーチン、33、56:ユーザ管理テーブル、
34、54:接続数管理ルーチン、51:認証処理ルーチン、
52:IPアドレス管理ルーチン、53:課金処理ルーチン。
【技術分野】
【0001】
本発明は、ユーザ端末のインターネットへの接続を制御するユーザ端末接続制御方法および装置に関し、更に詳しくは、ユーザ端末との間にPPP(Point to Point Protocol)に従ってセッションを確立した後、該ユーザ端末のIP網への接続を制御するパケット転送装置、およびユーザ端末のインターネットへのアクセスを制限する認証サーバに関する。
【背景技術】
【0002】
ユーザ端末をインターネット接続事業者が管理するISP(Internet Service Provider)網を介してインターネットに接続する場合、インターネット通信で必要となるIP(Internet Protocol)アドレスは、ISPから配布される。ISPが介在するネットワーク構成では、ユーザ端末とISP網との間にアクセスネットワークが存在する。
【0003】
アクセスネットワークには、各ユーザ端末とインターネットとの接続/切断を制御するためのアクセスサーバ、またはBAS(Broadband Access Server)と呼ばれるパケット転送装置(以下、BASと言う)が設定されている。ユーザ端末は、多くの場合、Ethernet(登録商標名)上でのPPP(Point to Point Protocol)接続技術であるPPPoE(PPP over Ethernet)によって、BASに接続される。
【0004】
標準的なインターネット接続サービスでは、ユーザ毎に1つのIPアドレスが配布される。この場合、各ユーザがインターネットに同時接続可能な端末台数は1台だけである。
配布された1つのIPアドレスで複数台のユーザ端末をインターネットに接続するためには、例えば、ブロードバンドルータ等の装置を使用し、NAT(Network Address Translation)やIPマスカレード等のアドレス変換技術により、1つのIPアドレスを複数のユーザ端末で共有する必要がある。但し、NATやIPマスカレードを用いると、通信に特別な手順を必要としたり、使用可能なアプリケーション種類が制約される場合がある。ISPによっては、複数の端末を同時にインターネット接続できるように、同一ユーザに複数のIPアドレスを配布する付加的なサービスを提供している。
【0005】
アクセスネットワークは、一般に、ブロードキャスト型ネットワークであるEthernetで構築されているため、ネットワークへのユーザ端末の追加は比較的容易に行われる。そのため、ISPは、ユーザによる不正アクセスを防止し、IPアドレスや通信帯域等のネットワークリソースを有効利用するために、ユーザ毎にインターネットへの接続数を制限している。
【0006】
PPPoEを用いたインターネット接続環境における接続数制限は、従来は、アクセスネットワーク内、具体的には、ユーザ端末とBASとの間に設置されているL2スイッチによって行われている。L2スイッチは、例えば、特開2000−112852号公報(特許文献1)に記載されているように、通信パケットのMAC(Media Access Control)アドレスを参照して、ユーザ端末毎の接続数の制限できる。
【0007】
特許文献1に記載されたL2スイッチは、受信した全てのパケットについて、送信元MACアドレスと受信ポートとの対応関係を示すエントリ情報をMACアドレステーブルに登録しておき、このテーブルを参照することによって、その後に受信されるパケットの転送先ポートを決定している。特許文献1では、予め指定され新たエージングタイム以内に新たなパケットが受信されないエントリ情報をMACアドレステーブルから削除すると共に、ポート毎にテーブル登録可能なエントリ数(MACアドレス数)を制限しておくことによって、同時に接続可能なユーザ端末の数を制限している。
【0008】
すなわち、上記L2スイッチは、特定の受信ポートに関して、MACアドレステーブルの登録エントリ数が予め指定された上限値に達すると、上記特定ポートからその後に受信される新たな送信元MACアドレスをもつ受信パケットについては、MACアドレステーブルへのエントリ登録(学習機能)を停止し、MACアドレステーブルに該当エントリを持たない未学習のMACアドレスを持つ受信パケットは全て破棄することによって、ポート毎に、同時通信可能な接続数(MACアドレス数)を制限している。
【0009】
尚、接続端末台数を制限する従来技術として、例えば、特開2003−16031号公報(特許文献2)には、TCP/IPプロトコルを利用したクライアント・サーバシステムにおいて、サーバに同時接続されるクライアント数を制限する接続制御方式が提案されている。特許文献2では、クライアントとの通信相手となるサーバ側に、各クライアントのIPアドレスと接続優先度との関係を示す優先度テーブルを設けておき、接続クライアント数が上限値に達した状態で、新たなクライアントから接続要求が発生した時、要求元クライアントの接続優先度を上記優先度テーブルが示す既に接続中のクライアントの中で最低の優先度と比較し、要求元クライアントの接続優先度の方が高ければ、最低優先度をもつクライアントのセッションを切断した上で、新たな接続要求を受付け、そうでない場合は接続要求を拒否するようにしている。
【0010】
【特許文献1】特開2000−112852号公報
【特許文献2】特開2003−16031号公報
【発明の開示】
【発明が解決しようとする課題】
【0011】
然るに、L2スイッチによるMACアドレスに基づく接続数制限では、同一ユーザ端末から複数のPPPセッションを接続した場合でも、1つの接続と見做されるため、PPPセッション数を制限できない。また、ユーザが場所を移動して、端末を別のL2スイッチ経由でインターネットに接続するような利用形態を制限することができない。特に、特許文献1のように、エージングタイムによって登録エントリを削除する方式では、MACアドレステーブルに空きエントリがない時、緊急を要するユーザ端末が、直ちにインターネットをアクセスできないという問題もある。
【0012】
一方、特許文献2のように、全てのIPアドレスに接続優先度を与えておき、接続数が上限値の達した状態で新たな接続要求が発生した時、通信中の低優先度のセッションを切断する方式では、優先度判定に時間を要し、且つ、低優先度セッションに強制的な切断が多発するため、ユーザに安定した通信サービスを提供できないという問題がある。
【0013】
本発明の目的は、同時接続可能なセッション数を制限し、且つ、強制的なセッションの切断頻度を低減できるユーザ端末接続制御方法および装置を提供することにある。
【課題を解決するための手段】
【0014】
上記目的を達成するため、本発明では、複数のユーザ識別子からなるグループ毎に、最大接続数と優先的にインターネット接続を許容するユーザ端末識別子とを示すユーザ管理テーブルを使用し、ユーザ認証のための通信手順の実行過程で、ユーザが所属するグループの現在の接続数が最大接続数に達しているか否かを判定し、既に最大接続数に達していた場合は、ユーザ端末が優先接続すべきユーザ端末か否かによって、インターネットへの接続可否を決定するようにしたことを特徴とする。
【0015】
ユーザ認証に成功したユーザであっても、ユーザ端末が、優先接続すべきユーザ端末として登録されていなければ、インターネットへのアクセスは拒否される。ユーザ端末が、グループ内で優先接続すべきユーザ端末として登録されていた場合は、同一グループで既にアクセス許可済みのユーザ端末のうちの1つについてセッション切断処理を実行した後、インターネットへのアクセスが許可される。上記ユーザ管理テーブルは、アクセスサーバとして動作するパケット転送装置、またはISP網に接続された認証サーバの何れに設けてもよい。
【0016】
ユーザ管理テーブルを認証サーバに設けた場合、認証サーバからアクセスサーバに送信される応答メッセージには、パスワードに基づく通常のユーザ認証結果以外に、ユーザ所属グループにおける現在の接続数と最大接続数との比較結果と、ユーザ端末が優先接続すべきユーザ端末か否かの判定結果が反映される。また、認証サーバが、ユーザ端末のインターネットアクセスを許可した場合、上記応答メッセージによって、ユーザ端末が使用すべきIPアドレスが指定される。
【0017】
ユーザ管理テーブルをアクセスサーバ(パケット転送装置)に設けた場合、パケット転送装置は、認証サーバから認証成功を示す応答メッセージを受信した時点で、ユーザ所属グループにおける現在の接続数と最大接続数との比較と、ユーザ端末が優先接続すべきユーザ端末か否かの判定を行って、ユーザ端末への応答内容を決定する。
【発明の効果】
【0018】
本発明によれば、アクセスサーバまたは認証サーバにおいて、複数のユーザ識別子からなるグループ別にインターネットへの接続数を制限するようにしているため、ユーザが移動先で別のL2スイッチ経由でインターネットをアクセスする場合でも、平常時と一貫した接続数制限を実現することが可能となる。また、グループ毎に、優先的にインターネット接続を許容するユーザ端末識別子を予め登録することによって、グループ内での現在の接続数が最大接続数に達していた場合でも、登録ユーザ端末には、即座にインターネット接続を許可できる。この場合、接続中の何れかのセッションが切断されるが、セッションの切断は、優先権をもつユーザ端末と同一グループに所属する端末で発生するため、他のグループに所属するユーザ端末への影響は回避できる。
【発明を実施するための最良の形態】
【0019】
以下、図面を参照して、本発明の実施例について説明する。
【実施例1】
【0020】
図1は、本発明が適用される通信ネットワークシステムの構成例を示す。
ここに示した通信ネットワークシステムは、パケット転送装置(以下、ブロードバンドアクセスサーバ:BASと言う)10と複数のL2スイッチ60(60−1、60−2)とを含むアクセスネットワークNW1と、ISPが管理するISPネットワークNW2と、インターネットNW3とから構成される。
【0021】
各L2スイッチは、それぞれ少なくとも1台のユーザ端末H(H1−1〜H1−L、H2−1、…、H3−1〜H3−M、H4−1〜H4−N)が接続された複数のLAN(LAN−1〜LAN−4)を収容している。これらのユーザ端末Hは、L2スイッチ60を介して、PPPoE(PPP over Ethernet)によってブロードバンドアクセスサーバ(BAS)10に接続され、BAS10とISPネットワーク2を介して、インターネットNW3上の何れかのサーバ90(90−1〜90−m)をアクセスする。
【0022】
ISPネットワークNW2には、予め登録されたユーザについて、ユーザID、パスワード、住所、氏名、口座番号などのユーザ情報を管理する加入者認証サーバ(以下、単に認証サーバと言う)40が接続されている。本実施例では、ユーザ端末HをLAN毎にグループ化し、各グループに所属する複数のユーザ端末が、共通のパスワードを使用してユーザ認証を受けるものとする。
【0023】
ユーザ端末Hが、L2スイッチ60を介して、BAS10との間にPPPセッションを確立すると、BAS10は、ユーザ端末に認証データの送信を要求する。BAS10は、ユーザ端末からユーザIDとパスワードとを含む認証データを受信すると、認証サーバ40に対して、ユーザIDとパスワードとを含む認証要求メッセージを送信する。
【0024】
認証サーバ40は、BAS10から認証要求を受信すると、受信したユーザIDに該当するユーザ情報を参照し、ユーザが提示したパスワードの正当性をチェックし(ユーザ認証)、認証結果をBAS10に返送する。BAS10は、認証サーバ40からの応答結果によって、ユーザ端末のインターネットへの接続可否を決定する。
【0025】
BAS10と認証サーバ40との通信には、例えば、Radius(Remote Authentication Dial In User Service)プロトコルが適用される。Radiusプロトコルで動作する認証サーバは、一般にRadiusサーバと呼ばれている。以下に説明する実施例では、認証サーバ40は、インターネットユーザ毎の課金情報の管理機能も備えている。
【0026】
図2は、ブロードバンドアクセスサーバ(BAS)10の1実施例を示すブロック構成図である。
BAS10は、L2スイッチ60またはISPネットワークNW2と通信するための入出力回線LI−i、LO−i(i=1〜n、nは自然数)に接続された複数の回線インタフェース11(11−1〜11−n)と、これらの入出力インタフェースに接続されたプロトコル処理部12および制御部15からなる。
【0027】
プロトコル処理部12は、各回線インタフェース11−iが入力回線LI−iから受信したパケット(またはフレーム)を受け取り、受信パケットのヘッダに含まれる宛先アドレスに基づいてルーティングテーブル13を参照し、宛先アドレス該当する回線インタフェースまたは制御部15に受信パケットを転送する。また、プロトコル処理部12は、インターネットをアクセスするPPPコネクション毎に、課金に必要な統計情報を収集し、統計テーブル14に蓄積する。統計テーブル14に蓄積された課金情報は、定期的およびPPPコネクションの切断時に認証サーバ40に通知される。
【0028】
制御部15は、プロセッサ20と、該プロセッサ20が利用する各種のプログラムを記憶するためのメモリ21と、データおよび各種のテーブルを記憶するためのメモリ22と、制御端末100と接続するための端末インタフェース23とから構成されている。
メモリ21には、プロセッサ20が実行する本発明に関係するプログラムとして、接続制御ルーチン30と、PPP LCP/NCP通信制御ルーチン31と、認証サーバ40と通信するためRadius通信制御ルーチン32とが格納されている。接続制御ルーチン30は、図6で後述するユーザ端末および認証サーバとの通信シーケンスの全体的な制御、プロトコル処理部12への統計情報収集の開始/停止の指示、認証サーバへの統計情報の定期的な通知、その他の制御動作を行う。尚、メモリ22に破線のブロックで示したユーザ管理テーブル33と、メモリ21に破線のブロックで示した接続数管理ルーチン34は、後述する本発明の第2実施例にのみに関係するため、ここでの説明は省略する。
【0029】
図3は、制御部15によって更新され、プロトコル処理部12が参照するルーティングテーブル26の1実施例を示す。
ルーティングテーブル14は、宛先IPアドレス141と出力ポート番号142との関係を示す複数のエントリが登録されている。認証に成功したユーザ端末に対して認証サーバ40が割り当てたIPアドレスを宛先IPアドレス141とするエントリには、更に、出力リンク情報143と宛先MACアドレス144とが含まれる。これらのエントリは、BAS10が、認証に成功したユーザ端末にIPアドレスを配布する時点で、ルーティングテーブル14に登録され、PPPセッションの解放時点で、ルーティングテーブル14から削除される。
【0030】
図4は、認証サーバ40の1実施例を示すブロック構成図である。
認証サーバ40は、プロセッサ41と、ISPネットワークNW2に接続するための回線インタフェース42と、プロセッサ41が利用する各種のプログラムを格納するためのメモリ43と、プロセッサ41が利用する各種のテーブルおよびデータを記憶するためのメモリ44と、認証サーバ40と管理者とのインタフェースとなる入力装置45および表示装置46とから構成されている。
【0031】
メモリ43には、プロセッサ41が実行する本発明に関係するプログラムとして、Radiusプロトコルに従ってBAS10と通信するためのRadius通信制御ルーチン50と、ユーザを認証するための認証処理ルーチン52と、アドレスプールからユーザ端末に割り当てるべきIPアドレスを検索すると共に、解放されたIPアドレスを空きアドレスとしてアドレスプールに戻すためのIPアドレス管理ルーチン52と、課金処理ルーチン53と、接続数管理ルーチン54とを備える。また、メモリ44には、IPアドレスプール55と、ユーザ管理テーブル56と、課金情報ファイル57とが形成されている。
【0032】
図5は、認証サーバ40が備えるユーザ管理テーブル56の1実施例を示す。
ユーザ管理テーブル56は、グループ番号561をもつ複数のサブテーブル560(560−1、560−2、…)からなる。各サブテーブル560は、ユーザ情報として、ユーザID562と、パスワード563と、IPアドレス564と、その他の個人情報(図示せず)を含み、この他に、優先MACアドレス565と、最大接続数567と、現在の接続数568を含む。
【0033】
ここで、ユーザID562は、各グループに所属するメンバーのユーザ識別子を示し、パスワード563は、ユーザ認証に際してグループ内の複数のユーザが共通に使用するパスワードを示している。IPアドレス564は、認証サーバ40が各ユーザに割当てたIPアドレスを示し、PPPセッションを接続中のユーザエントリに登録される。優先MACアドレス565は、インターネットNW3に優先的に接続すべきユーザ端末のMACアドレス、最大接続数567は、グループ毎に予め契約されたインターネットNW3に同時接続可能なセッション数の値を示し、現在の接続数568は、各グループでインターネットNW3に接続中のセッション数を示している。
【0034】
優先MACアドレス565として登録可能なアドレス数の上限値は、最大接続数567となるが、実際の応用においては、少数に限定される。その他の個人情報としては、例えば、PPPセッション接続中のユーザ端末とサーバ90との最後の交信時刻情報、サーバ90との送受信パケットの総数などの情報が含まれる。これらの情報は、認証サーバ40がBAS10から定期的に受信する統計情報から判明する。
【0035】
次に、図1に示したユーザ端末H、例えば、ユーザID「user1-2@isp1」、MACアドレス「00:11:22:33:44: 55」をもつユーザ端末H1−2が、PPP(Point to Point Protocol)を使用して、BAS10にインターネットへの接続を要求した場合の通信シーケンスについて、図6を参照して説明する。
【0036】
ユーザ端末H1−2は、PPPの通常の接続シーケンスに従って、BAS10との間にPPP LCPセッションを確立する(SQ1)。PPP LCPセッションは、ユーザ端末H1−2からBAS10に、PPP LCP Configure-Requestを送信し、これに応答して、BAS10からユーザ端末H1−2に、PPP LCP Configure-Responseを返送することによって確立される。
【0037】
PPP LCPセッションを確立したBAS10は、ユーザ端末H1−2がインターネットへの接続資格をもっているか否かを判断するために、ユーザ端末H1に、認証データとなるユーザIDとパスワードの送信を要求する(SQ2)。上記要求に応答して、ユーザ端末H1−2が、ユーザIDとパスワードを含む認証応答メッセージを送信すると(SQ3)、BAS10は、ISPが管理する認証サーバ40に対して、ユーザ端末H1−2から受信したユーザID(「user1-2@isp1」)とパスワードPW(user1)を含むアクセス要求メッセージ(Access-Request)を送信する(SQ4)。本実施例では、上記アクセス要求メッセージに、ユーザ端末H1−2のMACアドレス「00:11:22:33:44:55」が付加的な情報として含まれている。
【0038】
認証サーバ40は、アクセス要求メッセージ(Access-Request)を受信すると、ユーザ管理テーブル56から、受信メッセージが示すユーザID(「user1-2@isp1」)と対応するテーブルエントリを検索し、受信メッセージが示すパスワードと予め該テーブルエントリ登録されたパスワード563とを照合する(ユーザ認証JB1)。本実施例の特徴は、ユーザ端末H1−2の正当性が確認された場合、認証サーバ40が、上記ユーザIDが所属するグループの最大接続数と現在の接続数とを比較し、接続数に余裕があるか否かを判定する接続数確認処理(JB2)を実行するようにしたことにある。
【0039】
接続数確認処理(JB2)では、プロセッサ41は、図7に示すように、アクセス要求メッセージ(Access-Request)が示すユーザIDをキーとしてユーザ管理テーブル56を検索し、ユーザIDが所属するサブテーブル(この例では、サブテーブル560−1)を特定する(ステップ541)。プロセッサ41は、上記サブテーブルが示す現在の接続数568の値と最大接続数567の値「Max(1)」とを比較する(ステップ542)。
【0040】
現在の接続数の値が最大接続数Max(1)よりも少なければ、プロセッサ41は、現在の接続数568に1を加算(インクリメント)し(ステップ543)、IPアドレスプール55からユーザ端末H1−2に割り当てるべき空きIPアドレスを検索し、該IPアドレスを含むアクセス要求応答メッセージ(Access-Response)をBAS10に送信する(ステップ545、図6のSQ5)。
【0041】
もし、現在の接続数が最大接続数に達していた場合、プロセッサ41は、アクセス要求メッセージ(Access-Request)が示すユーザ端末のMACアドレスが、上記サブテーブルに登録された優先MACアドレス565に一致するか否かをチェックする(ステップ546)。ユーザ端末のMACアドレスが優先MACアドレスとして登録されていなければ、プロセッサ41は、認証失敗を示す応答メッセージ(Access-Reject)を生成し、これをBAS10に送信する(ステップ545、図6のSQ5)。
【0042】
ユーザ端末のMACアドレスが優先MACアドレスとして登録されていた場合、プロセッサ41は、同一グループに所属するPPPセッション接続中のユーザIDの中から、セッションを強制的に切断すべきユーザIDを選択し(ステップ547)、BAS10に対して、上記選択されたユーザIDのセッション(選択セッション)の切断を要求(ステップ548)した後、ステップ544、545を実行する。切断対象となるPPPセッションは、例えば、その時点でサーバ90との交信中断時間が最も長いセッション、送受信パケットの総数の最も少ないセッション等、その選択方法は特に限定されない。
【0043】
認証サーバ40が、ユーザ認証成功時にBAS10に送信する応答メッセージ(Access-Accept)は、例えば、図8に示すように、IPヘッダ101とUDPヘッダ102とを付加したIPパケット形式で送信される。上記応答メッセージは、メッセージ種類「Access-Accept」を示すRadius Code103に続くRadius アトリビュートとして、Framed-IP-Addressアトリビュート104と、Vendor-Specificアトリビュート105と、その他のアトリビュート106とを含む。Framed-IP-Addressアトリビュート104によって、認証サーバ40がユーザ端末H1−2に割り当てたIPアドレスの値(この例では、「192.168.1.2」)が指定される。
【0044】
図6に戻って、BAS10は、認証サーバ40から応答メッセージ(Access-Accept)を受信すると、ユーザ端末H1−2に、認証完了を示す通知メッセージを送信する(SQ6)。BAS10が、認証サーバ40から認証失敗を示す応答メッセージ(Access-Reject)を受信した場合、ユーザ端末H1−2には、認証失敗を示す通知メッセージが送信され、PPPセッションが切断される。
【0045】
ユーザ端末H1−2は、BAS10からアクセス要求許可を示す認証完了通知メッセージを受信すると、IPCP(Internet Protocol Control Protocol)に従って、BAS10にIPアドレスの割り当て要求(IPCP Configure-Request)を送信する(SQ7)。BAS10は、上記IPアドレスの割り当て要求に応答して、既に認証サーバ40から受信済みとなっているIPアドレスを含むIPアドレス配布メッセージ(IPCP Configure-Acknowledgment)を生成し、これをユーザ端末H1−2に返送する(SQ8)。
【0046】
BAS10は、この後、認証サーバ40に課金開始要求メッセージ(Accounting-Request (start))を送信し(SQ9)、認証サーバ40から課金開始応答メッセージ(Accounting-Response (Start))を受信すると(SQ10)、ルーティングテーブル13に宛先IPアドレス「192.168.1.2」用のテーブルエントリを追加し(JB11)、送信元IPアドレスが「192.168.1.2」のパケットについて、プロトコル処理部12による課金用統計データの収集動作を開始する。これによって、ユーザ端末HによるインターネットNW3のアクセスパケット(IP over PPP)の転送動作が開始される(SQ11)。
【0047】
図9は、PPPセッションの切断シーケンスを示す。
ユーザがインターネット接続の切断操作を行うと、ユーザ端末H1−2は、BAS10に対してPPP LCPセッションの切断要求メッセージ(PPP LCP Terminate-Request)を送信する(SQ21)。BAS10は、上記切断要求メッセージを受信すると、ユーザ端末H1−2に応答メッセージ(PPP LCP Terminate-Response)を返信し(SQ22)、認証サーバ40に対して、ユーザID(「user1-2@isp1」)に関する課金処理の停止要求メッセージ(Accounting-Request(stop))を送信する(SQ23)。上記課金停止要求メッセージには、プロトコル処理部12で収集したユーザ端末H1−2の統計データが含まれている。
【0048】
上記課金停止要求メッセージを受信した認証サーバ40は、ユーザ管理テーブル56を参照し、指定ユーザID(「user1-2@isp1」)が所属するサブテーブル560−1における現在の接続数568の値を1だけ減算し(JB3)、無用となったIPアドレスをアドレスプール44に解放する(JB4)。この後、認証サーバ40は、BAS10に、課金停止応答メッセージ(Accounting-Response(stop))を送信する(SQ24)。BAS10は、認証サーバ40からの課金停止応答メッセージを受信すると、ルーティングテーブルから該当するPPPセッション情報を削除する(JB12)。
【実施例2】
【0049】
実施例1では、グループ別の接続数制限を認証サーバで行ったが、グループ別の接続数制限は、ブロードバンドアクセスサーバサーバ(BAS)10側で行うこともできる。実施例2は、図2に破線で示したように、BAS10のメモリ22にユーザ管理テーブル33を設け、プロセッサ20が、メモリ21に用意された接続数管理ルーチン34を実行するようにしたことを特徴としている。
【0050】
BAS10が備えるユーザ管理テーブル33は、図5に示したユーザ管理テーブル56から、パスワード563とIPアドレス564を除外した内容となっている。また、実施例2の場合、認証サーバ40が備えるユーザ管理テーブル56では、IPアドレス564、優先MACアドレス565、最大接続数567、現在の接続数568は不要となる。
【0051】
図10は、実施例2の接続シーケンスを示す。
ユーザ端末H1−2とBAS10、BAS10と認証サーバ40の間で実行される通信手順SQ1〜SQ10は、図6に示した実施例1と同一のため、説明は省略する。
【0052】
認証サーバ40は、BAS10から、例えば、ユーザID(「user1-2@isp1」)とパスワードPW(user1)を含むアクセス要求メッセージ(Access-Request)を受信すると、ユーザ管理テーブル56から、受信メッセージが示すユーザID(「user1-2@isp1」)と対応するテーブルエントリを検索し、受信メッセージが示すパスワードと予め該テーブルエントリ登録されたパスワード563とを照合する(ユーザ認証JB1)。パスワードが一致すると、認証サーバ40は、IPアドレスプール55からユーザ端末H1−2に割り当てるべき空きIPアドレスを検索し、該IPアドレスを含むアクセス要求応答メッセージ(Access-Response)をBAS10に送信する(SQ5)。
【0053】
実施例2では、認証サーバ40からアクセス要求応答メッセージ(Access-Response)を受信したBAS10が、ユーザ情報管理テーブル33を参照して、接続数確認処理(JB10)を実行する。BAS10は、ユーザIDの所属グループで現在の接続数が最大接続数に達していない場合、またはユーザ端末が優先端末として登録されていた場合は、要求元のユーザ端末H1−2に対して、認証完了メッセージを送信し、そうでなければ、認証失敗メッセージを送信する(SQ6)。
【0054】
図11は、BAS10のプロセッサ20が実行する接続数確認処理(JB10)のフローチャートを示す。
プロセッサ20は、実施例1と同様、アクセス要求元のユーザIDをキーとしてユーザ管理テーブル33を検索し、ユーザIDが所属するサブテーブル(この例では、サブテーブル560−1)を特定する(ステップ341)。プロセッサ20は、上記サブテーブルが示す現在の接続数568の値と最大接続数567の値「Max(1)」とを比較する(ステップ342)。
【0055】
現在の接続数の値が最大接続数Max(1)よりも少なければ、プロセッサ20は、現在の接続数568に1を加算(インクリメント)し(ステップ343)、認証完了メッセージをユーザ端末H1−2に送信する(ステップ345、図11のSQ6)。
もし、現在の接続数が最大接続数に達していた場合、プロセッサ20は、ユーザ端末のMACアドレスが、上記サブテーブルに登録された優先MACアドレス565に一致するか否かをチェックする(ステップ346)。ユーザ端末のMACアドレスが優先MACアドレスとして登録されていなければ、プロセッサ20は、認証失敗を示す応答メッセージ(Access-Reject)を生成し、これをユーザ端末H1−2に送信する(ステップ345、図11のSQ6)。
【0056】
ユーザ端末のMACアドレスが優先MACアドレスとして登録されていた場合、プロセッサ20は、同一グループに所属するPPPセッション接続中のユーザIDの中から、セッションを強制的に切断すべきユーザIDを選択し(ステップ347)、選択されたユーザIDのセッション(選択セッション)を切断(ステップ348)した後、ステップ345を実行する。切断対象となるPPPセッションは、実施例1と同様、例えば、その時点でサーバ90との交信中断時間が最も長いセッション、送受信パケットの総数の最も少ないセッション等、その選択方法は特に限定されない。
【0057】
図12は、実施例2におけるPPPセッションの切断処理を示す。
ユーザ端末H1−2とBAS10、BAS10と認証サーバ40の間で実行される通信手順SQ21〜SQ24は、図9に示した実施例1と同一のため、説明は省略する。
【0058】
認証サーバ40は、BAS10から課金処理の停止要求メッセージ(Accounting-Request(stop))を受信すると(SQ23)、ユーザ管理テーブル56に指定ユーザIDと対応して登録されているIPアドレスをアドレスプール44に解放(JB4)した後、BAS10に、課金停止応答メッセージ(Accounting-Response(stop))を送信する(SQ24)。
【0059】
BAS10は、認証サーバ40からの課金停止応答メッセージを受信すると、ルーティングテーブルから該当するPPPセッション情報を削除する(JB12)。また、ユーザ管理テーブル33を参照して、上記指定ユーザIDが所属するサブテーブルにおける現在の接続数568の値を1だけ減算する(JB13)。
【図面の簡単な説明】
【0060】
【図1】本発明が適用される通信ネットワークシステムの構成例を示す図。
【図2】本発明のパケット転送装置(図1のBAS10)の構成例を示す図。
【図3】本発明のパケット転送装置が備えるルーティングテーブルの1例を示す図。
【図4】認証サーバ40の1実施例を示す構成図。
【図5】認証サーバが備えるユーザ管理テーブルの1例を示す図。
【図6】ユーザ端末からBASにインターネットへの接続を要求した場合の通信シーケンスの第1実施例を示す図。
【図7】認証サーバが実行する接続数確認処理54の1実施例を示すフローチャート。
【図8】認証サーバからBASに送信されるAccess-Acceptメッセージのフォーマット図。
【図9】ユーザ端末からBASに切断を要求した場合の通信シーケンスの第1実施例を示す図。
【図10】ユーザ端末からBASにインターネットへの接続を要求した場合の通信シーケンスの第2実施例を示す図。
【図11】BASが実行する接続数確認処理34の1実施例を示すフローチャート。
【図12】ユーザ端末からBASに切断を要求した場合の通信シーケンスの第2実施例を示す図。
【符号の説明】
【0061】
H1−1〜H4−N:ユーザ端末、10:パケット転送装置(BAS)、
NW1:アクセス網、NW2:ISP網、NW3:インターネット、40:認証サーバ、60:L2スィッチ、90:Webサーバ、
11、42:回線インタフェース、12:プロトコル処理部、
13:ルーティングテーブル、14:統計テーブル、15:制御部、
20、41:プロセッサ、30:接続制御ルーチン、
31:PPP LCP/NCP通信制御ルーチン、
32、50:Radius通信制御ルーチン、33、56:ユーザ管理テーブル、
34、54:接続数管理ルーチン、51:認証処理ルーチン、
52:IPアドレス管理ルーチン、53:課金処理ルーチン。
【特許請求の範囲】
【請求項1】
各ユーザ端末との間にPPP(Point to Point Protocol)に従ってセッションを確立し、複数のユーザ端末をIP網に接続するパケット転送装置と、上記パケット転送装置が発行する認証要求に応じて、ユーザ端末の認証を行う認証サーバとを有するネットワークにおけるユーザ端末接続制御方法であって、
上記認証サーバが、ユーザグループ毎に、所属メンバーのユーザ識別子と、IP網に同時接続可能な最大接続数と、現在の接続数と、IP網に優先接続すべきユーザ端末識別情報とを記憶しており、
上記パケット転送装置が、各ユーザ端末とIP網との接続に先立って、ユーザ端末から通知されたユーザ識別子とパスワードとユーザ端末識別情報とを含む認証要求メッセージを上記認証サーバに送信し、
上記認証サーバが、上記認証要求メッセージが示すユーザ識別子とパスワードとに基づいてユーザ認証を行い、ユーザ認証に成功した時、該ユーザ識別子が所属するユーザグループの現在の接続数が最大接続数よりも少ないことを確認して、ユーザ端末への割り当てIPアドレスを指定したアクセス許可メッセージを上記パケット転送装置に送信し、
上記パケット転送装置が、ユーザ端末からのIPアドレス要求に応答して、上記アクセス許可メッセージで指定されたIPアドレスを要求元のユーザ端末に通知することを特徴とするユーザ端末接続制御方法。
【請求項2】
前記認証サーバが、前記ユーザグループの現在の接続数が最大接続数に達していた時、前記認証要求メッセージが示すユーザ端末識別情報が優先接続すべきユーザ端末識別情報か否かをチェックし、上記ユーザ端末識別情報が優先接続すべきユーザ端末識別情報となっていた場合、前記パケット転送装置に、上記ユーザグループで既にアクセス許可済みのユーザ端末のうちの1つについてセッションの切断を要求した後、前記アクセス許可メッセージを送信し、上記ユーザ端末識別情報が優先接続すべきユーザ端末識別情報でなければ、前記パケット転送装置にアクセス拒否メッセージを送信することを特徴とする請求項1に記載のユーザ端末接続制御方法。
【請求項3】
各ユーザ端末との間にPPP(Point to Point Protocol)に従ってセッションを確立し、複数のユーザ端末をIP網に接続するパケット転送装置と、上記パケット転送装置が発行する認証要求に応じて、ユーザ端末の認証を行う認証サーバとを有するネットワークにおけるユーザ端末接続制御方法であって、
上記パケット転送装置が、ユーザグループ毎に、所属メンバーのユーザ識別子と、IP網に同時接続可能な最大接続数と、現在の接続数と、IP網に優先接続すべきユーザ端末識別情報とを記憶しており、
上記パケット転送装置が、各ユーザ端末とIP網との接続に先立って、ユーザ端末から通知されたユーザ識別子とパスワードとを含む認証要求メッセージを上記認証サーバに送信し、
上記認証サーバが、上記認証要求メッセージが示すユーザ識別子とパスワードとに基づいてユーザ認証を行い、認証に成功した場合は、ユーザ端末への割り当てIPアドレスを指定したアクセス許可メッセージを上記パケット転送装置に送信し、
上記アクセス許可メッセージを受信したパケット転送装置が、認証されたユーザ識別子が所属するユーザグループの現在の接続数が最大接続数よりも少ないことを確認して、上記ユーザ端末に認証完了メッセージを送信し、該ユーザ端末からのIPアドレス要求に応答して、上記アクセス許可メッセージで指定されたIPアドレスを要求元のユーザ端末に通知することを特徴とするユーザ端末接続制御方法。
【請求項4】
前記パケット転送装置が、前記認証されたユーザ識別子が所属するユーザグループの現在の接続数が最大接続数に達していた時、上記ユーザ識別子と対応するユーザ端末識別情報が優先接続すべきユーザ端末識別情報か否かをチェックし、上記ユーザ端末識別情報が優先接続すべきユーザ端末識別情報となっていた場合、上記ユーザグループで既にアクセス許可済みのユーザ端末のうちの1つについてセッションを切断した後、前記ユーザ端末に認証完了メッセージを送信し、上記ユーザ端末識別情報が優先接続すべきユーザ端末識別情報でなければ、前記ユーザ端末にアクセス拒否メッセージを送信することを特徴とする請求項3に記載のユーザ端末接続制御方法。
【請求項5】
IP網への接続を要求するユーザ端末について認証処理を行う認証サーバであって、
ネットワークを介して、パケット転送装置から、ユーザ識別子とパスワードとユーザ端末識別情報とを含む認証要求メッセージを受信し、認証結果に応じて生成されたアクセス許可メッセージまたはアクセス拒否メッセージを上記パケット転送装置に送信するための回線インタフェースと、
ユーザグループ毎に、所属メンバーのユーザ識別子と、IP網に同時接続可能な最大接続数と、現在の接続数と、IP網に優先接続すべきユーザ端末識別情報とを記憶したユーザ管理テーブルと、
上記認証要求メッセージが示すユーザ識別子とパスワードとに基づいてユーザ認証を行うプロセッサとを有し、
上記プロセッサが、ユーザ認証に成功した時、上記ユーザ管理テーブルを参照して、上記ユーザ識別子が所属するユーザグループの現在の接続数と最大接続数とを比較し、現在の接続数が最大接続数に達していなければ、上記パケット転送装置にアクセス許可メッセージを送信し、現在の接続数が最大接続数に達していた場合は、上記認証要求メッセージが示すユーザ端末識別情報が優先接続すべきユーザ端末識別情報か否かをチェックし、上記ユーザ端末識別情報が優先接続すべきユーザ端末識別情報でなければ、上記パケット転送装置にアクセス拒否メッセージを送信し、上記ユーザ端末識別情報が優先接続すべきユーザ端末識別情報となっていた場合は、上記パケット転送装置に、上記ユーザグループで既にアクセス許可済みのユーザ端末のうちの1つについてセッションの切断を要求した後、アクセス許可メッセージを送信することを特徴とする認証サーバ。
【請求項6】
各ユーザ端末との間にPPP(Point to Point Protocol)に従ってセッションを確立し、複数のユーザ端末をIP網に接続するためのパケット転送装置であって、
それぞれ通信回線に接続された複数の回線インタフェース部と、制御部と、上記回線インタフェースおよび制御部の間で受信パケットをルーティングするためのプロトコル処理部とからなり、上記制御部が、
ユーザグループ毎に、所属メンバーのユーザ識別子と、IP網に同時接続可能な最大接続数と、現在の接続数と、IP網に優先接続すべきユーザ端末識別情報とを記憶したユーザ管理テーブルと、
各ユーザ端末とIP網との接続に先立って、ユーザ端末から通知されたユーザ識別子とパスワードとを含む認証要求メッセージを認証サーバに送信し、認証サーバからアクセス許可を示す応答メッセージを受信した時、上記ユーザ管理テーブルで、認証されたユーザ識別子が所属するユーザグループの現在の接続数と最大接続数とを比較し、現在の接続数が最大接続数よりも少ない場合は、ユーザ端末に認証完了メッセージを送信し、現在の接続数が最大接続数に達していた場合は、上記ユーザ識別子と対応するユーザ端末識別情報が優先接続すべきユーザ端末識別情報か否かをチェックし、上記ユーザ端末識別情報が優先接続すべきユーザ端末識別情報となっていた場合は、上記ユーザグループで既にアクセス許可済みのユーザ端末のうちの1つについてセッションを切断した後、前記ユーザ端末に認証完了メッセージを送信し、上記ユーザ端末識別情報が優先接続すべきユーザ端末識別情報でなければ、前記ユーザ端末にアクセス拒否メッセージを送信するIP網接続制御機能と、
ユーザ端末からのIPアドレス要求に応答して、上記アクセス許可メッセージで指定されたIPアドレスを要求元のユーザ端末に通知する機能を備えたことを特徴とするパケット転送装置。
【請求項1】
各ユーザ端末との間にPPP(Point to Point Protocol)に従ってセッションを確立し、複数のユーザ端末をIP網に接続するパケット転送装置と、上記パケット転送装置が発行する認証要求に応じて、ユーザ端末の認証を行う認証サーバとを有するネットワークにおけるユーザ端末接続制御方法であって、
上記認証サーバが、ユーザグループ毎に、所属メンバーのユーザ識別子と、IP網に同時接続可能な最大接続数と、現在の接続数と、IP網に優先接続すべきユーザ端末識別情報とを記憶しており、
上記パケット転送装置が、各ユーザ端末とIP網との接続に先立って、ユーザ端末から通知されたユーザ識別子とパスワードとユーザ端末識別情報とを含む認証要求メッセージを上記認証サーバに送信し、
上記認証サーバが、上記認証要求メッセージが示すユーザ識別子とパスワードとに基づいてユーザ認証を行い、ユーザ認証に成功した時、該ユーザ識別子が所属するユーザグループの現在の接続数が最大接続数よりも少ないことを確認して、ユーザ端末への割り当てIPアドレスを指定したアクセス許可メッセージを上記パケット転送装置に送信し、
上記パケット転送装置が、ユーザ端末からのIPアドレス要求に応答して、上記アクセス許可メッセージで指定されたIPアドレスを要求元のユーザ端末に通知することを特徴とするユーザ端末接続制御方法。
【請求項2】
前記認証サーバが、前記ユーザグループの現在の接続数が最大接続数に達していた時、前記認証要求メッセージが示すユーザ端末識別情報が優先接続すべきユーザ端末識別情報か否かをチェックし、上記ユーザ端末識別情報が優先接続すべきユーザ端末識別情報となっていた場合、前記パケット転送装置に、上記ユーザグループで既にアクセス許可済みのユーザ端末のうちの1つについてセッションの切断を要求した後、前記アクセス許可メッセージを送信し、上記ユーザ端末識別情報が優先接続すべきユーザ端末識別情報でなければ、前記パケット転送装置にアクセス拒否メッセージを送信することを特徴とする請求項1に記載のユーザ端末接続制御方法。
【請求項3】
各ユーザ端末との間にPPP(Point to Point Protocol)に従ってセッションを確立し、複数のユーザ端末をIP網に接続するパケット転送装置と、上記パケット転送装置が発行する認証要求に応じて、ユーザ端末の認証を行う認証サーバとを有するネットワークにおけるユーザ端末接続制御方法であって、
上記パケット転送装置が、ユーザグループ毎に、所属メンバーのユーザ識別子と、IP網に同時接続可能な最大接続数と、現在の接続数と、IP網に優先接続すべきユーザ端末識別情報とを記憶しており、
上記パケット転送装置が、各ユーザ端末とIP網との接続に先立って、ユーザ端末から通知されたユーザ識別子とパスワードとを含む認証要求メッセージを上記認証サーバに送信し、
上記認証サーバが、上記認証要求メッセージが示すユーザ識別子とパスワードとに基づいてユーザ認証を行い、認証に成功した場合は、ユーザ端末への割り当てIPアドレスを指定したアクセス許可メッセージを上記パケット転送装置に送信し、
上記アクセス許可メッセージを受信したパケット転送装置が、認証されたユーザ識別子が所属するユーザグループの現在の接続数が最大接続数よりも少ないことを確認して、上記ユーザ端末に認証完了メッセージを送信し、該ユーザ端末からのIPアドレス要求に応答して、上記アクセス許可メッセージで指定されたIPアドレスを要求元のユーザ端末に通知することを特徴とするユーザ端末接続制御方法。
【請求項4】
前記パケット転送装置が、前記認証されたユーザ識別子が所属するユーザグループの現在の接続数が最大接続数に達していた時、上記ユーザ識別子と対応するユーザ端末識別情報が優先接続すべきユーザ端末識別情報か否かをチェックし、上記ユーザ端末識別情報が優先接続すべきユーザ端末識別情報となっていた場合、上記ユーザグループで既にアクセス許可済みのユーザ端末のうちの1つについてセッションを切断した後、前記ユーザ端末に認証完了メッセージを送信し、上記ユーザ端末識別情報が優先接続すべきユーザ端末識別情報でなければ、前記ユーザ端末にアクセス拒否メッセージを送信することを特徴とする請求項3に記載のユーザ端末接続制御方法。
【請求項5】
IP網への接続を要求するユーザ端末について認証処理を行う認証サーバであって、
ネットワークを介して、パケット転送装置から、ユーザ識別子とパスワードとユーザ端末識別情報とを含む認証要求メッセージを受信し、認証結果に応じて生成されたアクセス許可メッセージまたはアクセス拒否メッセージを上記パケット転送装置に送信するための回線インタフェースと、
ユーザグループ毎に、所属メンバーのユーザ識別子と、IP網に同時接続可能な最大接続数と、現在の接続数と、IP網に優先接続すべきユーザ端末識別情報とを記憶したユーザ管理テーブルと、
上記認証要求メッセージが示すユーザ識別子とパスワードとに基づいてユーザ認証を行うプロセッサとを有し、
上記プロセッサが、ユーザ認証に成功した時、上記ユーザ管理テーブルを参照して、上記ユーザ識別子が所属するユーザグループの現在の接続数と最大接続数とを比較し、現在の接続数が最大接続数に達していなければ、上記パケット転送装置にアクセス許可メッセージを送信し、現在の接続数が最大接続数に達していた場合は、上記認証要求メッセージが示すユーザ端末識別情報が優先接続すべきユーザ端末識別情報か否かをチェックし、上記ユーザ端末識別情報が優先接続すべきユーザ端末識別情報でなければ、上記パケット転送装置にアクセス拒否メッセージを送信し、上記ユーザ端末識別情報が優先接続すべきユーザ端末識別情報となっていた場合は、上記パケット転送装置に、上記ユーザグループで既にアクセス許可済みのユーザ端末のうちの1つについてセッションの切断を要求した後、アクセス許可メッセージを送信することを特徴とする認証サーバ。
【請求項6】
各ユーザ端末との間にPPP(Point to Point Protocol)に従ってセッションを確立し、複数のユーザ端末をIP網に接続するためのパケット転送装置であって、
それぞれ通信回線に接続された複数の回線インタフェース部と、制御部と、上記回線インタフェースおよび制御部の間で受信パケットをルーティングするためのプロトコル処理部とからなり、上記制御部が、
ユーザグループ毎に、所属メンバーのユーザ識別子と、IP網に同時接続可能な最大接続数と、現在の接続数と、IP網に優先接続すべきユーザ端末識別情報とを記憶したユーザ管理テーブルと、
各ユーザ端末とIP網との接続に先立って、ユーザ端末から通知されたユーザ識別子とパスワードとを含む認証要求メッセージを認証サーバに送信し、認証サーバからアクセス許可を示す応答メッセージを受信した時、上記ユーザ管理テーブルで、認証されたユーザ識別子が所属するユーザグループの現在の接続数と最大接続数とを比較し、現在の接続数が最大接続数よりも少ない場合は、ユーザ端末に認証完了メッセージを送信し、現在の接続数が最大接続数に達していた場合は、上記ユーザ識別子と対応するユーザ端末識別情報が優先接続すべきユーザ端末識別情報か否かをチェックし、上記ユーザ端末識別情報が優先接続すべきユーザ端末識別情報となっていた場合は、上記ユーザグループで既にアクセス許可済みのユーザ端末のうちの1つについてセッションを切断した後、前記ユーザ端末に認証完了メッセージを送信し、上記ユーザ端末識別情報が優先接続すべきユーザ端末識別情報でなければ、前記ユーザ端末にアクセス拒否メッセージを送信するIP網接続制御機能と、
ユーザ端末からのIPアドレス要求に応答して、上記アクセス許可メッセージで指定されたIPアドレスを要求元のユーザ端末に通知する機能を備えたことを特徴とするパケット転送装置。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【公開番号】特開2006−148648(P2006−148648A)
【公開日】平成18年6月8日(2006.6.8)
【国際特許分類】
【出願番号】特願2004−337273(P2004−337273)
【出願日】平成16年11月22日(2004.11.22)
【出願人】(000153465)株式会社日立コミュニケーションテクノロジー (770)
【Fターム(参考)】
【公開日】平成18年6月8日(2006.6.8)
【国際特許分類】
【出願日】平成16年11月22日(2004.11.22)
【出願人】(000153465)株式会社日立コミュニケーションテクノロジー (770)
【Fターム(参考)】
[ Back to top ]