宅内ゲートウェイ装置およびネットワークシステムのアカウンティング管理方式
【課題】
従来のPPPoE接続ではBRASが認証やアカウンティング管理およびIPアドレスの払い出しなどを行っていたので、BRASの容量がボトルネックとなっていた。
【解決手段】
本発明は、端末毎の通信量を管理する管理サーバを備えるネットワークシステムに接続する宅内ゲートウェイ装置において、スイッチ手段と、前記スイッチ手段に接続される端末の通信量を計測する計測手段と、前記計測手段が計測した通信量を前記管理サーバに通知する通知手段とを設け、前記通知手段は、予め定められた時間間隔で前記通信量を前記管理サーバに通知することを特徴とする。
従来のPPPoE接続ではBRASが認証やアカウンティング管理およびIPアドレスの払い出しなどを行っていたので、BRASの容量がボトルネックとなっていた。
【解決手段】
本発明は、端末毎の通信量を管理する管理サーバを備えるネットワークシステムに接続する宅内ゲートウェイ装置において、スイッチ手段と、前記スイッチ手段に接続される端末の通信量を計測する計測手段と、前記計測手段が計測した通信量を前記管理サーバに通知する通知手段とを設け、前記通知手段は、予め定められた時間間隔で前記通信量を前記管理サーバに通知することを特徴とする。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、インターネットアクセス技術に関し、特にBRAS(Broadband Remote Access Server)を使用せずにアクセス制御を行う宅内ゲートウェイ装置およびネットワークシステムのアカウンティング管理方式に関する。
【背景技術】
【0002】
近年、急速に発展したインターネットサービスにおいて、ブロードバンドアクセス方式として、PPPoE(Point to Point Protocol over Ether)が広く使用され、BRASサーバによるユーザ認証が行なわれてきた。
一般に、BRASが認証を行う場合、先ず、ユーザ側のルータなどの端末とBRASとの間で、PPPoEによるセッション確立を行う。次のPPPoEのセッションステージでは、PPPセッションを開始し、LCP(Link Control Protocol)パケットによるネゴシエーションが行われ、端末から認証プロトコルを要求する。PAP(Password Authentication Protocol)あるいはCHAP(Challenge Handshake Authentication Protocol)など認証プロトコルが決まると、端末からBRASに認証情報が送られ、BRASは接続を要求している端末が許可されたユーザか否か認証を行う。認証が成功すると、IPCP(IP Control Protocol)パケットによって、BRASのIPアドレスが通知される。端末側はBRASにIPアドレスを要求し、BRASからIPアドレスが払い出される。このようにして、IPによるインターネットアクセスが可能となる。
【0003】
また、PPPoEでは、認証後に、接続が生きているか否かを確認するキープアライブを行い、一旦、切断を検出した場合は再認証が必要で、不正なユーザが正規のユーザに成りすまして接続することを防止する。
このような従来のネットワークシステムとアカウンティング方式について図6を用いて説明する。従来のPPPoE認証は、回線終端装置112から114に接続されたパソコン(PC)607やブロードバンド(BB)ルータ608あるいはVoIP(Voice over IP)アダプタ609などの装置は、集線装置604および集約SW106や602を介して接続されるBRAS601によって認証されていた。認証後のIP網100への接続もBRAS601を経由するので、端末の全ての通信はBRAS601に集約される。
【0004】
一方、アカウンティング管理についても、すべてのサービスはBRAS601を経由して利用されるので、BRAS601は、各端末が利用するサービス(インターネットアクセス、IP電話、VODなどの映像配信サービス)毎にPPPoEのセッションを確立し、ユーザ毎あるいはサービス毎の通信量を計測して記録していた。
このように、従来のBRASは、本来のアクセスルータとしての機能だけでなく、ユーザ認証,アカウンティング管理,IPの払い出しなどの端末管理も行っていたが、近年のインターネットのブロードバンド化に伴う回線容量の増大に伴って、BRASの負荷は益々高くなり、高価なBRASの集中管理に代わるシステムが求められている。
【0005】
また、BRASがユーザ認証を行わずに、RADIUS(Remote Authentication Dial-In User Service)サーバが行うこともある。この場合は、PPPoEセッションを確立後、端末からPPPoEで送られてきた認証情報は、BRASによってRADIUSパケットに変換され、ユーザが利用するサービスプロバイダのRADIUSサーバに送られる。RADIUSサーバでの認証が成功すると、BRASはIPアドレスの払い出しを行って、確立されたセッションの管理や制御を行う。このようなRADIUSサーバによる認証やアカウンティングに関しては、業界団体IETF(Internet Engineering Task Force )が定めた標準書(非特許文献1および2)に詳しく記載されている。
【0006】
また、非特許文献3では、BRASに代わる方法として、エッジスイッチによる分散管理が提案されている。
【非特許文献1】RFC 2865(RADIUS認証)
【非特許文献2】RFC 2866(RADIUSアカウンティング)
【非特許文献3】「FUJITSU ACCESS REVIEW Vol.13 No.1」(p45-51)
【発明の開示】
【発明が解決しようとする課題】
【0007】
ところが、上記のような従来技術では、ユーザの全ての通信がBRASを通るため管理がし易いという利点がある反面、BRASの処理能力に限界がある。従来のPPPoE接続では各ユーザはBRASで認証され、ユーザの通信は全てBRASに集約され、BRAS経由で行われるため、BRAS以下のアクセス中継網を大容量化してもBRASの容量がボトルネックとなる。しかも、回線容量を増やすためには、高価なBRASの設置台数を増やさなければならず、コスト面での問題がある。
【0008】
この問題を解決するために、非特許文献3では、BRASでPPPoE認証を行う代わりに、エッジ側でEAPoL(Extensible Authentication Protocol over LAN)を用いたIEEE802.1x認証を行う方法が提案されている。しかし、この場合は、BRASで行っていたIPアドレスの付与やアカウンティング管理などの認証以外の処理を、BRASの代わりに行う装置が必要となる。例えば、IPアドレスの付与をDHCP(Dynamic Host Configuration Protocol)サーバで行った場合でも、アカウンティング管理やセキュリティ確保などを行う仕組みが必要である。
【0009】
アカウンティング管理は、高価なBRASを使わない場合、システム内のいずれかの場所で、ユーザの単位時間あたりのデータ通信量を計測する必要がある。集線装置には、ユーザ毎の通信量を計測できるものもあるが、サービス毎の通信量を計測するためには、集線装置を通るデータの内容を解析しなくてはならず、集線装置のパフォーマンスやコストが犠牲になってしまう。
【0010】
一方、IEEE802.1x認証を行うシステムの場合、IEEE802.1x認証は再認証の機能を持っているが、RADIUSサーバは多数の集線装置の配下にある被認証装置(宅内ゲートウェイなど)を認証するため、RADIUSサーバに対する再認証のトラフィックおよび処理の負荷が高くなり、今度は、RADIUSサーバの性能がボトルネックになるという問題がある。
【0011】
また、セキュリティ面では、IEEE802.1x認証を用いたシステムの場合、従来のPPPoEのように、一度認証されたあとで不正な装置につなぎ換えられるのを防止する仕組みが必要となる。
上記課題に鑑み、本発明の目的は、DHCPベースのシステムで、BRASを使用せずに、従来のBRASで行っていたのと同等のアカウンティング情報の管理やセキュリティ確保を可能にする宅内ゲートウェイ装置およびネットワークシステムのアカウンティング管理方式を提供することである。
【課題を解決するための手段】
【0012】
請求項1に係る発明は、端末毎の通信量を管理する管理サーバを備えるネットワークシステムに接続する宅内ゲートウェイ装置において、スイッチ手段と、前記スイッチ手段に接続される端末の通信量を計測する計測手段と、前記計測手段が計測した通信量を前記管理サーバに通知する通知手段とを設けたことを特徴とする。
請求項2に係る発明は、請求項1に記載の宅内ゲートウェイ装置において、前記通知手段は、予め定められた時間間隔で前記通信量を前記管理サーバに通知することを特徴とする。
【0013】
請求項3に係る発明は、請求項1または2に記載の宅内ゲートウェイ装置において、サプリカントによるIEEE802.1x認証を行う認証要求手段を設けたことを特徴とする。
請求項4に係る発明は、請求項1乃至3のいずれか一項に記載の宅内ゲートウェイ装置を有し、端末毎の通信量を管理する管理サーバを備えるネットワークシステムのアカウンティング管理方式において、EAPoLを定期的に送出してセッションの状態を確認するキープアライブ手段を有する集線装置を備えたことを特徴とする。
【0014】
請求項5に係る発明は、請求項4に記載のネットワークシステムのアカウンティング管理方式において、前記集線装置に前記宅内ゲートウェイ装置とのセッションを切断する切断手段を設け、前記集線装置は、定期的に送出する前記EAPoLの応答が無かった場合に、前記切断手段によってセッションを切断することを特徴とする。
請求項6に係る発明は、請求項5に記載のネットワークシステムのアカウンティング管理方式において、前記宅内ゲートウェイ装置に再認証を要求する再認証要求手段を設け、前記集線装置が前記宅内ゲートウェイ装置とのセッションを切断した場合に、前記宅内ゲートウェイ装置は前記再認証要求手段によって前記集線装置に再認証を要求することを特徴とする。
【発明の効果】
【0015】
本発明では、BRASを使わないネットワークシステムにおいても、管理サーバに負荷を掛けずに、ユーザ毎の通信量やサービス毎の通信量の計測を行うことができる。また、計測した情報を、宅内ゲートウェイ装置が管理サーバに通知あるいは管理サーバが宅内ゲートウェイ装置に要求することで、アカウンティング管理を行うことができる。特に、最もユーザ側に近い宅内ゲートウェイ装置で通信量を計測するので、集約スイッチや集線装置等で通信量を計測する場合に比べて、これらの装置への負荷を低減でき、従来のBRASを用いたアカウンティング管理と同等の情報収集が可能となる。
【0016】
さらに、集線装置と宅内ゲートウェイ装置との間でキープアライブ動作を行うことで、集線装置が切断を検出することができ、アカウンティング管理サーバへの負荷を減らすことができる。また、キープアライブ動作にEAPoLを用いるので、キープアライブのフレームを偽装したアクセスを防止することができ、従来と同等のセキュリティを確保することができる。
【発明を実施するための最良の形態】
【0017】
(第1の実施形態)
図1は、本発明に係る「宅内ゲートウェイ装置およびネットワークシステムのアカウンティング管理方式」のネットワークシステムを示し、IP網(インターネット網)100に接続するL3SW(レイヤ3スイッチ)101を中心に描いてある。L3SW101には、DHCPサーバ102,SNMP(Simple Network Management Protocol)による監視サーバ103,アカウンティング管理を行うRADIUSサーバ104,端末のファームウェアのバージョンアップやVoIPアダプタの設定などを自動的に行う自動設定サーバ105などが接続されている。本実施形態では、ユーザ宅内にアカウンティング機能を有する宅内ゲートウェイ装置を設置することでネットワークシステムのアカウンティング管理を実現する。
【0018】
L3SW101の配下には、レイヤ2のスイッチやVLAN制御,QoS制御などを行う集約SW106から108が接続され、集約SW106から108の下には、光ファイバー網の場合は集線装置109に示すOLT(Optical Line Terminal)が、ADSL(Asymmetric Digital Subscriber Line)の場合は集線装置111に示すDSLAM(Digital Subscriber Line Access Multiplexer)が、あるいはCATVやその他の通信網の集線装置110がそれぞれ接続される。集線装置(OLT)109の下には、加入者宅側の回線終端装置(ONU:Optical Network Unit)112から114が接続される。また、集線装置(DSLAM)111の下には、加入者宅の回線終端装置(ADSLモデム)116が接続される。あるいはCATVなどその他の集線装置110には、集線装置110に対応する宅内の回線終端装置115が接続される。
【0019】
加入者宅側の各回線終端装置には、本発明に係る宅内ゲートウェイ装置117から119が接続される。宅内ゲートウェイ装置117から119は、複数のパソコンを接続するためのブロードバンドルータ機能,IP電話機を接続するためのVoIPアダプタ機能を持ち、加入者宅内で使用されるPC120および122や、IP電話機121および123などの全ての通信は、この宅内ゲートウェイ装置117から119を介して行われる。また、宅内ゲートウェイ装置117から119は、宅内のLAN側はプライベートアドレスで管理し、宅外のWAN側はDHCPサーバからグローバルアドレスを取得して接続する。さらに、宅内ゲートウェイ装置117から119は、IEEE802.1x認証のサプリカント機能を搭載する。
【0020】
ここで、宅内ゲートウェイ装置117について説明する。尚、宅内ゲートウェイ装置118および119も、宅内ゲートウェイ装置117と同じ構造である。図2は宅内ゲートウェイ装置117のブロック図で、スイッチ手段201、通信量計測手段202、通知手段203、認証要求手段204、網側の接続ポート205、端末側の接続ポート206および207、VoIPアダプタ208および209、キープアライブ応答手段210を有する。端末側の接続ポート206および207にはPC120あるいは122が、VoIPアダプタ208および209にはIP電話機121あるいは123が、それぞれ接続される。スイッチ手段201は、PC120,122あるいはIP電話機121,123が送受信するパケットデータを、宛先に応じてルーティングする。
【0021】
通信量計測手段202は、スイッチ手段201を通るパケットデータの端末毎あるいは端末が利用するサービス毎に通信量を計測する。例えば、PC120による網側へのインターネットアクセスが10:00:00に開始され、50分間接続された、或いは、IP電話機121による通話が12時10分から30分間行われた、などの通信量が計測される。通信量計測手段202によって計測された通信量データは、通知手段203によって、アカウンティング管理サーバであるRADIUSサーバ104にスイッチ手段201を介して送られる。
【0022】
また、通知手段203は、RADIUSサーバ104から通信量データの要求があった場合にも、通信量データをRADIUSサーバ104に送信する。
一方、認証要求手段204は、集線装置(OLT)109とのセッションを開始する時、或いは、セッションが切断された時に認証要求を集線装置(OLT)109に送り、セッション確立の認証を得る。
【0023】
さらに、キープアライブ応答手段210は、集線装置(OLT)109から定期的に送られてくるEAPoLパケットによるキープアライブメッセージに対して応答を返す。これによって、集線装置(OLT)109は宅内ゲートウェイ装置117がセッション動作中であることを確認する。もし、宅内ゲートウェイ装置117からEAPoLパケットの応答が無かった場合は、宅内ゲートウェイ装置117とのセッションを切断する。切断された場合は、認証要求手段204は、再認証要求手段として認証要求と同様の手順で、集線装置(OLT)109に再認証を要求する。尚、本実施形態では、分かり易いように、キープアライブ応答手段210を独立したブロックとして設けたが、EAPoLを使用する認証要求手段204などが行うようにしても構わない。
【0024】
このように、本実施形態の宅内ゲートウェイ装置は、WAN側のポートを通過する送受信データ量の計測機能を設け、計測した情報は、定期的にアカウンティング管理サーバに通知、あるいはアカウンティング管理サーバから情報を収集することによって、ユーザ毎あるいはサービス毎の通信量を蓄積および管理することができる。
次に、集線装置(OLT)109について説明する。尚、集線装置110および集線装置(DSLAM)111も、通信媒体が異なる以外は、集線装置(OLT)109と同じ構造である。図3は集線装置(OLT)109のブロック図で、301はスイッチ手段、302は切断手段、303はキープアライブ手段、304は網側の接続I/F、305から308は端末側の接続I/F、309は認証手段をそれぞれ示している。ここでの集線装置(OLT)109は光ファイバ回線を集線するOLTで、端末側の各接続I/Fには回線終端装置(ONU)112から114が接続される。回線終端装置(ONU)112から113で終端された回線はそれぞれ宅内ゲートウェイ装置117から119が接続され、PCやIP電話機などの各端末が接続される。
【0025】
集線装置(OLT)109の認証手段309は、宅内ゲートウェイ装置117から送られてくるEAPoL開始メッセージに含まれている情報をRADIUSサーバ104に問い合わせて、登録されている正規のユーザ(端末)か否かを認証する。認証手段309に認証されると、宅内ゲートウェイ装置117は集線装置(OLT)109のスイッチ手段301を介して、アップリンク側と疎通が可能になり、DHCPサーバ102からIPアドレスの払い出しを受ける。
【0026】
集線装置(OLT)109のキープアライブ手段303は、接続I/F305に接続される回線終端装置112を介して、定期的に、宅内ゲートウェイ装置117にEAPoLパケットを送り、宅内ゲートウェイ装置117からEAPoLパケットが戻ってくることを確認する。もし、宅内ゲートウェイ装置117からEAPoLパケットの応答が無かった場合は、宅内ゲートウェイ装置117とのセッションを切断する。
【0027】
次に、ネットワークシステムの動作シーケンスについて説明する。図4は宅内ゲートウェイ装置117の認証とアカウンティングのシーケンスを示した図である。尚、図1と同符号のものは同じものを示す。先ず、宅内ゲートウェイ装置117は、EAPoL開始メッセージ(401)を集線装置(OLT)109に送り、集線装置(OLT)109はEAPoLパケットをRADIUSパケット(402)に変換して、開始メッセージ含まれている情報が予め登録された情報であるか否かをRADIUSサーバ104に問い合わせる。登録されている正規ユーザおよび装置の場合、RADIUSサーバ104は認証を行い、集線装置(OLT)109にRADIUSパケットで認証メッセージ(403)を返す。集線装置(OLT)109は受け取った認証メッセージ(403)をEAPoLパケットの認証メッセージ(404)に変換して、宅内ゲートウェイ装置117に返す。
【0028】
RADIUSサーバ104に認証されると、宅内ゲートウェイ装置117はアップリンク側へのアクセスが可能となり、L3SW101を介してDHCPサーバ102にIPアドレスの払い出しを要求し、DHCPサーバ102からIPアドレスが払い出される(405)。この後、宅内ゲートウェイ装置117は、自動設定サーバ105にアクセスしてサーバ情報を取得し(406)、VoIPアダプタ208および209の設定などを行う。
【0029】
次に、宅内ゲートウェイ装置117は、アカウンティング管理サーバであるRADIUSサーバ104に通信の開始を通知(407)し、インターネットアクセスが可能になる(408,410)。以降、宅内ゲートウェイ装置117はRADIUSサーバ104に送受信量を定期的に通知する(407,409,411)。或いは、RADIUSサーバ104から宅内ゲートウェイ装置117に、定期的に情報を要求しても構わない。
【0030】
尚、本実施形態では、アカウンティング管理サーバをRADIUSサーバ104とし、宅内ゲートウェイ装置117をRADIUSクライアントとして動作させているが、宅内ゲートウェイ装置117側で通信量の計測情報を拡張MIB(Management Information Base)情報として保持しておき、監視サーバ103のSNMPマネージャから定期的にMIB情報を収集することも可能である。
【0031】
このように、通信量を計測するアカウンティングを宅内ゲートウェイ装置側で行うことによって、BRASを使わないネットワークにおいても、アカウンティング管理サーバに負荷を掛けずに、ユーザ毎の通信量やサービス毎の通信量の計測が可能である。計測した情報は、宅内ゲートウェイ装置がアカウンティング管理サーバに通知あるいは管理サーバが宅内ゲートウェイ装置に要求することによって、アカウンティング管理を行うことができる。
【0032】
しかも、最もユーザ側に近い宅内ゲートウェイ装置で通信量を計測することで、集約スイッチや集線装置等で通信量を計測する場合に比べて容易に実現することができ、これらの装置への負荷も低減でき、従来のBRASを用いたアカウンティング管理と同等の情報収集が可能となる。
また、OLTやDSLAMなどの集線装置は、IEEE802.1x認証のクライアント機能を搭載し、ダウンリンク回線についてはIEEE802.1x認証を行い、認証された端末装置のみをアップリンク回線に接続することができる。
【0033】
特に、本実施形態の宅内ゲートウェイ装置は、IP電話機を接続するためのVoIPアダプタの機能と、複数のパソコンを接続するためのブロードバンドルータの機能を有するので、従来のように、VoIPアダプタやブロードバンドルータを新たに準備する必要がない。従って、このような従来装置の代わりに宅内ゲートウェイ装置を設置できるので、新たな物理的スペースを必要とせず、設置に対するユーザの抵抗感を軽減できる。
【0034】
(第2の実施形態)
次に、本発明に係る「宅内ゲートウェイ装置およびネットワークシステムとアカウンティング管理方式」の第2の実施形態について説明する。尚、ネットワークシステムの構成は、第1の実施形態の図1と同じなので、ここではネットワークシステムの動作について説明する。図5は宅内ゲートウェイ装置の認証とアカウンティングのシーケンスを示した図である。尚、アカウンティング開始通知(407),データ通信(408)およびアカウンティング情報の通知(409)などのシーケンスは第1の実施形態と同じである。
【0035】
アカウンティング開始通知(407)がRADIUSサーバ104に送られた後も定期的にアカウンティング情報をRADIUSサーバ104に通知(409)するが、その時間間隔は、第1の実施形態よりも粗くなっている。その代わり、宅内ゲートウェイ装置117は、集線装置(OLT)109との間で、予め設定された短い周期でキープアライブ動作を行う。キープアライブ動作は、集線装置(OLT)109のキープアライブ手段303からEAPoLパケット(501)が宅内ゲートウェイ装置117に送られ、これを受けた宅内ゲートウェイ装置117のキープアライブ応答手段210がEAPoLパケット(502)を集線装置(OLT)109に返す動作である。同様に、集線装置(OLT)109のEAPoLパケット(503)に対して、宅内ゲートウェイ装置117はEAPoLパケット(504)を集線装置(OLT)109に返し、集線装置(OLT)109のEAPoLパケット(506)に対して、宅内ゲートウェイ装置117はEAPoLパケット(507)を集線装置(OLT)109に返す。
【0036】
ここで、宅内ゲートウェイ装置117から定期的にEAPoLパケット(505)を集線装置(OLT)109に返すようにしても構わない。また、集線装置(OLT)109のEAPoLパケット(508)に対して、所定の時間内に、宅内ゲートウェイ装置117からEAPoLパケットが返ってこない場合、集線装置(OLT)109のキープアライブ手段303は宅内ゲートウェイ装置117が動作していないものと判断する。尚、EAPoLの代わりにPingでも構わないが、セキュリティ上、暗号化されたEAPoLを用いるのが望ましい。
【0037】
集線装置(OLT)109のキープアライブ手段303が非動作端末を検出すると、切断手段302は、宅内ゲートウェイ装置117との通信路を閉塞して未認証の状態にする。宅内ゲートウェイ装置117が、再び、通信を行う際には宅内ゲートウェイ装置117の認証要求手段204が再認証要求を行う。
尚、アカウンティング情報を定期的に宅内ゲートウェイ装置117からRADIUSサーバ104に通知する場合、RADIUSサーバ104のIPアドレスを取得する方法は、例えば、宅内ゲートウェイ装置117がDHCPサーバ102からIPアドレスを取得した直後に、予め指定した(宅内ゲートウェイ装置117に予め埋め込まれた)IPアドレスにアクセスし、RADIUSサーバ104のIPアドレスを通知してもらうなどの方法がある。
【0038】
一般的なネットワークシステムでは、ユーザの手間を省くため、ファームウェアのバージョンアップやVoIPアダプタの設定を予め決められた自動設定サーバ105にアクセスする方法が取られている。このような自動設定サーバ105にアクセスしてアドレスを通知してもらうようにすれば、上記の方法は新たに機器を増設する必要がない。
このように、IEEE802.1xの再認証において、EAPoLによるキープアライブ機能を併用して、エッジ側への負荷分散を図ることができるので、アカウンティングサーバであるRADIUSサーバ104の負荷を大幅に低減することができる。特に、負荷の重いIEEE802.1xの再認証の間隔を粗くして、一定周期で集線装置(OLT)109とキープアライブ動作を行うようにしたので、IEEE802.1xの再認証を頻繁に行う場合と同等のセキュリティを確保することができる。
【0039】
また、キープアライブ動作に単純なPingでなくEAPoLを用いるので、キープアライブのフレームを偽装したアクセスを防止することができ、セキュリティも向上する。
【図面の簡単な説明】
【0040】
【図1】本発明に係るアカウンティング管理方式を実現するネットワークシステムの構成図である。
【図2】本発明に係る宅内ゲートウェイ装置のブロック図である。
【図3】本発明に係る集線装置のブロック図である。
【図4】本発明の第1の実施形態の動作シーケンスである。
【図5】本発明の第2の実施形態の動作シーケンスである。
【図6】BRASでPPPoE認証を行う従来のシステム構成である。
【符号の説明】
【0041】
101・・・L3SW
102・・・DHCPサーバ
103・・・監視サーバ(SNMPマネージャ)
104・・・RADIUSサーバ
105・・・自動設定サーバ
106,107,108・・・集約スイッチ(集約SW)
109・・・集線装置(OLT)
110・・・電話機(IP電話用)
111・・・集線装置(DSLAM)
112,113,114,115,116・・・回線終端装置
117,118,119・・・宅内ゲートウェイ監視装置
120,122,607・・・PC
201,301・・・スイッチ手段
202・・・通信量計測手段
203・・・通知手段
204・・・認証要求手段
205・・・接続ポート(網側)
206,207,208,209・・・接続ポート(端末側)
210・・・キープアライブ応答手段
302・・・切断手段
303・・・キープアライブ手段
601・・・BRAS
608・・・ブロードバンドルータ
609・・・VoIPアダプタ
【技術分野】
【0001】
本発明は、インターネットアクセス技術に関し、特にBRAS(Broadband Remote Access Server)を使用せずにアクセス制御を行う宅内ゲートウェイ装置およびネットワークシステムのアカウンティング管理方式に関する。
【背景技術】
【0002】
近年、急速に発展したインターネットサービスにおいて、ブロードバンドアクセス方式として、PPPoE(Point to Point Protocol over Ether)が広く使用され、BRASサーバによるユーザ認証が行なわれてきた。
一般に、BRASが認証を行う場合、先ず、ユーザ側のルータなどの端末とBRASとの間で、PPPoEによるセッション確立を行う。次のPPPoEのセッションステージでは、PPPセッションを開始し、LCP(Link Control Protocol)パケットによるネゴシエーションが行われ、端末から認証プロトコルを要求する。PAP(Password Authentication Protocol)あるいはCHAP(Challenge Handshake Authentication Protocol)など認証プロトコルが決まると、端末からBRASに認証情報が送られ、BRASは接続を要求している端末が許可されたユーザか否か認証を行う。認証が成功すると、IPCP(IP Control Protocol)パケットによって、BRASのIPアドレスが通知される。端末側はBRASにIPアドレスを要求し、BRASからIPアドレスが払い出される。このようにして、IPによるインターネットアクセスが可能となる。
【0003】
また、PPPoEでは、認証後に、接続が生きているか否かを確認するキープアライブを行い、一旦、切断を検出した場合は再認証が必要で、不正なユーザが正規のユーザに成りすまして接続することを防止する。
このような従来のネットワークシステムとアカウンティング方式について図6を用いて説明する。従来のPPPoE認証は、回線終端装置112から114に接続されたパソコン(PC)607やブロードバンド(BB)ルータ608あるいはVoIP(Voice over IP)アダプタ609などの装置は、集線装置604および集約SW106や602を介して接続されるBRAS601によって認証されていた。認証後のIP網100への接続もBRAS601を経由するので、端末の全ての通信はBRAS601に集約される。
【0004】
一方、アカウンティング管理についても、すべてのサービスはBRAS601を経由して利用されるので、BRAS601は、各端末が利用するサービス(インターネットアクセス、IP電話、VODなどの映像配信サービス)毎にPPPoEのセッションを確立し、ユーザ毎あるいはサービス毎の通信量を計測して記録していた。
このように、従来のBRASは、本来のアクセスルータとしての機能だけでなく、ユーザ認証,アカウンティング管理,IPの払い出しなどの端末管理も行っていたが、近年のインターネットのブロードバンド化に伴う回線容量の増大に伴って、BRASの負荷は益々高くなり、高価なBRASの集中管理に代わるシステムが求められている。
【0005】
また、BRASがユーザ認証を行わずに、RADIUS(Remote Authentication Dial-In User Service)サーバが行うこともある。この場合は、PPPoEセッションを確立後、端末からPPPoEで送られてきた認証情報は、BRASによってRADIUSパケットに変換され、ユーザが利用するサービスプロバイダのRADIUSサーバに送られる。RADIUSサーバでの認証が成功すると、BRASはIPアドレスの払い出しを行って、確立されたセッションの管理や制御を行う。このようなRADIUSサーバによる認証やアカウンティングに関しては、業界団体IETF(Internet Engineering Task Force )が定めた標準書(非特許文献1および2)に詳しく記載されている。
【0006】
また、非特許文献3では、BRASに代わる方法として、エッジスイッチによる分散管理が提案されている。
【非特許文献1】RFC 2865(RADIUS認証)
【非特許文献2】RFC 2866(RADIUSアカウンティング)
【非特許文献3】「FUJITSU ACCESS REVIEW Vol.13 No.1」(p45-51)
【発明の開示】
【発明が解決しようとする課題】
【0007】
ところが、上記のような従来技術では、ユーザの全ての通信がBRASを通るため管理がし易いという利点がある反面、BRASの処理能力に限界がある。従来のPPPoE接続では各ユーザはBRASで認証され、ユーザの通信は全てBRASに集約され、BRAS経由で行われるため、BRAS以下のアクセス中継網を大容量化してもBRASの容量がボトルネックとなる。しかも、回線容量を増やすためには、高価なBRASの設置台数を増やさなければならず、コスト面での問題がある。
【0008】
この問題を解決するために、非特許文献3では、BRASでPPPoE認証を行う代わりに、エッジ側でEAPoL(Extensible Authentication Protocol over LAN)を用いたIEEE802.1x認証を行う方法が提案されている。しかし、この場合は、BRASで行っていたIPアドレスの付与やアカウンティング管理などの認証以外の処理を、BRASの代わりに行う装置が必要となる。例えば、IPアドレスの付与をDHCP(Dynamic Host Configuration Protocol)サーバで行った場合でも、アカウンティング管理やセキュリティ確保などを行う仕組みが必要である。
【0009】
アカウンティング管理は、高価なBRASを使わない場合、システム内のいずれかの場所で、ユーザの単位時間あたりのデータ通信量を計測する必要がある。集線装置には、ユーザ毎の通信量を計測できるものもあるが、サービス毎の通信量を計測するためには、集線装置を通るデータの内容を解析しなくてはならず、集線装置のパフォーマンスやコストが犠牲になってしまう。
【0010】
一方、IEEE802.1x認証を行うシステムの場合、IEEE802.1x認証は再認証の機能を持っているが、RADIUSサーバは多数の集線装置の配下にある被認証装置(宅内ゲートウェイなど)を認証するため、RADIUSサーバに対する再認証のトラフィックおよび処理の負荷が高くなり、今度は、RADIUSサーバの性能がボトルネックになるという問題がある。
【0011】
また、セキュリティ面では、IEEE802.1x認証を用いたシステムの場合、従来のPPPoEのように、一度認証されたあとで不正な装置につなぎ換えられるのを防止する仕組みが必要となる。
上記課題に鑑み、本発明の目的は、DHCPベースのシステムで、BRASを使用せずに、従来のBRASで行っていたのと同等のアカウンティング情報の管理やセキュリティ確保を可能にする宅内ゲートウェイ装置およびネットワークシステムのアカウンティング管理方式を提供することである。
【課題を解決するための手段】
【0012】
請求項1に係る発明は、端末毎の通信量を管理する管理サーバを備えるネットワークシステムに接続する宅内ゲートウェイ装置において、スイッチ手段と、前記スイッチ手段に接続される端末の通信量を計測する計測手段と、前記計測手段が計測した通信量を前記管理サーバに通知する通知手段とを設けたことを特徴とする。
請求項2に係る発明は、請求項1に記載の宅内ゲートウェイ装置において、前記通知手段は、予め定められた時間間隔で前記通信量を前記管理サーバに通知することを特徴とする。
【0013】
請求項3に係る発明は、請求項1または2に記載の宅内ゲートウェイ装置において、サプリカントによるIEEE802.1x認証を行う認証要求手段を設けたことを特徴とする。
請求項4に係る発明は、請求項1乃至3のいずれか一項に記載の宅内ゲートウェイ装置を有し、端末毎の通信量を管理する管理サーバを備えるネットワークシステムのアカウンティング管理方式において、EAPoLを定期的に送出してセッションの状態を確認するキープアライブ手段を有する集線装置を備えたことを特徴とする。
【0014】
請求項5に係る発明は、請求項4に記載のネットワークシステムのアカウンティング管理方式において、前記集線装置に前記宅内ゲートウェイ装置とのセッションを切断する切断手段を設け、前記集線装置は、定期的に送出する前記EAPoLの応答が無かった場合に、前記切断手段によってセッションを切断することを特徴とする。
請求項6に係る発明は、請求項5に記載のネットワークシステムのアカウンティング管理方式において、前記宅内ゲートウェイ装置に再認証を要求する再認証要求手段を設け、前記集線装置が前記宅内ゲートウェイ装置とのセッションを切断した場合に、前記宅内ゲートウェイ装置は前記再認証要求手段によって前記集線装置に再認証を要求することを特徴とする。
【発明の効果】
【0015】
本発明では、BRASを使わないネットワークシステムにおいても、管理サーバに負荷を掛けずに、ユーザ毎の通信量やサービス毎の通信量の計測を行うことができる。また、計測した情報を、宅内ゲートウェイ装置が管理サーバに通知あるいは管理サーバが宅内ゲートウェイ装置に要求することで、アカウンティング管理を行うことができる。特に、最もユーザ側に近い宅内ゲートウェイ装置で通信量を計測するので、集約スイッチや集線装置等で通信量を計測する場合に比べて、これらの装置への負荷を低減でき、従来のBRASを用いたアカウンティング管理と同等の情報収集が可能となる。
【0016】
さらに、集線装置と宅内ゲートウェイ装置との間でキープアライブ動作を行うことで、集線装置が切断を検出することができ、アカウンティング管理サーバへの負荷を減らすことができる。また、キープアライブ動作にEAPoLを用いるので、キープアライブのフレームを偽装したアクセスを防止することができ、従来と同等のセキュリティを確保することができる。
【発明を実施するための最良の形態】
【0017】
(第1の実施形態)
図1は、本発明に係る「宅内ゲートウェイ装置およびネットワークシステムのアカウンティング管理方式」のネットワークシステムを示し、IP網(インターネット網)100に接続するL3SW(レイヤ3スイッチ)101を中心に描いてある。L3SW101には、DHCPサーバ102,SNMP(Simple Network Management Protocol)による監視サーバ103,アカウンティング管理を行うRADIUSサーバ104,端末のファームウェアのバージョンアップやVoIPアダプタの設定などを自動的に行う自動設定サーバ105などが接続されている。本実施形態では、ユーザ宅内にアカウンティング機能を有する宅内ゲートウェイ装置を設置することでネットワークシステムのアカウンティング管理を実現する。
【0018】
L3SW101の配下には、レイヤ2のスイッチやVLAN制御,QoS制御などを行う集約SW106から108が接続され、集約SW106から108の下には、光ファイバー網の場合は集線装置109に示すOLT(Optical Line Terminal)が、ADSL(Asymmetric Digital Subscriber Line)の場合は集線装置111に示すDSLAM(Digital Subscriber Line Access Multiplexer)が、あるいはCATVやその他の通信網の集線装置110がそれぞれ接続される。集線装置(OLT)109の下には、加入者宅側の回線終端装置(ONU:Optical Network Unit)112から114が接続される。また、集線装置(DSLAM)111の下には、加入者宅の回線終端装置(ADSLモデム)116が接続される。あるいはCATVなどその他の集線装置110には、集線装置110に対応する宅内の回線終端装置115が接続される。
【0019】
加入者宅側の各回線終端装置には、本発明に係る宅内ゲートウェイ装置117から119が接続される。宅内ゲートウェイ装置117から119は、複数のパソコンを接続するためのブロードバンドルータ機能,IP電話機を接続するためのVoIPアダプタ機能を持ち、加入者宅内で使用されるPC120および122や、IP電話機121および123などの全ての通信は、この宅内ゲートウェイ装置117から119を介して行われる。また、宅内ゲートウェイ装置117から119は、宅内のLAN側はプライベートアドレスで管理し、宅外のWAN側はDHCPサーバからグローバルアドレスを取得して接続する。さらに、宅内ゲートウェイ装置117から119は、IEEE802.1x認証のサプリカント機能を搭載する。
【0020】
ここで、宅内ゲートウェイ装置117について説明する。尚、宅内ゲートウェイ装置118および119も、宅内ゲートウェイ装置117と同じ構造である。図2は宅内ゲートウェイ装置117のブロック図で、スイッチ手段201、通信量計測手段202、通知手段203、認証要求手段204、網側の接続ポート205、端末側の接続ポート206および207、VoIPアダプタ208および209、キープアライブ応答手段210を有する。端末側の接続ポート206および207にはPC120あるいは122が、VoIPアダプタ208および209にはIP電話機121あるいは123が、それぞれ接続される。スイッチ手段201は、PC120,122あるいはIP電話機121,123が送受信するパケットデータを、宛先に応じてルーティングする。
【0021】
通信量計測手段202は、スイッチ手段201を通るパケットデータの端末毎あるいは端末が利用するサービス毎に通信量を計測する。例えば、PC120による網側へのインターネットアクセスが10:00:00に開始され、50分間接続された、或いは、IP電話機121による通話が12時10分から30分間行われた、などの通信量が計測される。通信量計測手段202によって計測された通信量データは、通知手段203によって、アカウンティング管理サーバであるRADIUSサーバ104にスイッチ手段201を介して送られる。
【0022】
また、通知手段203は、RADIUSサーバ104から通信量データの要求があった場合にも、通信量データをRADIUSサーバ104に送信する。
一方、認証要求手段204は、集線装置(OLT)109とのセッションを開始する時、或いは、セッションが切断された時に認証要求を集線装置(OLT)109に送り、セッション確立の認証を得る。
【0023】
さらに、キープアライブ応答手段210は、集線装置(OLT)109から定期的に送られてくるEAPoLパケットによるキープアライブメッセージに対して応答を返す。これによって、集線装置(OLT)109は宅内ゲートウェイ装置117がセッション動作中であることを確認する。もし、宅内ゲートウェイ装置117からEAPoLパケットの応答が無かった場合は、宅内ゲートウェイ装置117とのセッションを切断する。切断された場合は、認証要求手段204は、再認証要求手段として認証要求と同様の手順で、集線装置(OLT)109に再認証を要求する。尚、本実施形態では、分かり易いように、キープアライブ応答手段210を独立したブロックとして設けたが、EAPoLを使用する認証要求手段204などが行うようにしても構わない。
【0024】
このように、本実施形態の宅内ゲートウェイ装置は、WAN側のポートを通過する送受信データ量の計測機能を設け、計測した情報は、定期的にアカウンティング管理サーバに通知、あるいはアカウンティング管理サーバから情報を収集することによって、ユーザ毎あるいはサービス毎の通信量を蓄積および管理することができる。
次に、集線装置(OLT)109について説明する。尚、集線装置110および集線装置(DSLAM)111も、通信媒体が異なる以外は、集線装置(OLT)109と同じ構造である。図3は集線装置(OLT)109のブロック図で、301はスイッチ手段、302は切断手段、303はキープアライブ手段、304は網側の接続I/F、305から308は端末側の接続I/F、309は認証手段をそれぞれ示している。ここでの集線装置(OLT)109は光ファイバ回線を集線するOLTで、端末側の各接続I/Fには回線終端装置(ONU)112から114が接続される。回線終端装置(ONU)112から113で終端された回線はそれぞれ宅内ゲートウェイ装置117から119が接続され、PCやIP電話機などの各端末が接続される。
【0025】
集線装置(OLT)109の認証手段309は、宅内ゲートウェイ装置117から送られてくるEAPoL開始メッセージに含まれている情報をRADIUSサーバ104に問い合わせて、登録されている正規のユーザ(端末)か否かを認証する。認証手段309に認証されると、宅内ゲートウェイ装置117は集線装置(OLT)109のスイッチ手段301を介して、アップリンク側と疎通が可能になり、DHCPサーバ102からIPアドレスの払い出しを受ける。
【0026】
集線装置(OLT)109のキープアライブ手段303は、接続I/F305に接続される回線終端装置112を介して、定期的に、宅内ゲートウェイ装置117にEAPoLパケットを送り、宅内ゲートウェイ装置117からEAPoLパケットが戻ってくることを確認する。もし、宅内ゲートウェイ装置117からEAPoLパケットの応答が無かった場合は、宅内ゲートウェイ装置117とのセッションを切断する。
【0027】
次に、ネットワークシステムの動作シーケンスについて説明する。図4は宅内ゲートウェイ装置117の認証とアカウンティングのシーケンスを示した図である。尚、図1と同符号のものは同じものを示す。先ず、宅内ゲートウェイ装置117は、EAPoL開始メッセージ(401)を集線装置(OLT)109に送り、集線装置(OLT)109はEAPoLパケットをRADIUSパケット(402)に変換して、開始メッセージ含まれている情報が予め登録された情報であるか否かをRADIUSサーバ104に問い合わせる。登録されている正規ユーザおよび装置の場合、RADIUSサーバ104は認証を行い、集線装置(OLT)109にRADIUSパケットで認証メッセージ(403)を返す。集線装置(OLT)109は受け取った認証メッセージ(403)をEAPoLパケットの認証メッセージ(404)に変換して、宅内ゲートウェイ装置117に返す。
【0028】
RADIUSサーバ104に認証されると、宅内ゲートウェイ装置117はアップリンク側へのアクセスが可能となり、L3SW101を介してDHCPサーバ102にIPアドレスの払い出しを要求し、DHCPサーバ102からIPアドレスが払い出される(405)。この後、宅内ゲートウェイ装置117は、自動設定サーバ105にアクセスしてサーバ情報を取得し(406)、VoIPアダプタ208および209の設定などを行う。
【0029】
次に、宅内ゲートウェイ装置117は、アカウンティング管理サーバであるRADIUSサーバ104に通信の開始を通知(407)し、インターネットアクセスが可能になる(408,410)。以降、宅内ゲートウェイ装置117はRADIUSサーバ104に送受信量を定期的に通知する(407,409,411)。或いは、RADIUSサーバ104から宅内ゲートウェイ装置117に、定期的に情報を要求しても構わない。
【0030】
尚、本実施形態では、アカウンティング管理サーバをRADIUSサーバ104とし、宅内ゲートウェイ装置117をRADIUSクライアントとして動作させているが、宅内ゲートウェイ装置117側で通信量の計測情報を拡張MIB(Management Information Base)情報として保持しておき、監視サーバ103のSNMPマネージャから定期的にMIB情報を収集することも可能である。
【0031】
このように、通信量を計測するアカウンティングを宅内ゲートウェイ装置側で行うことによって、BRASを使わないネットワークにおいても、アカウンティング管理サーバに負荷を掛けずに、ユーザ毎の通信量やサービス毎の通信量の計測が可能である。計測した情報は、宅内ゲートウェイ装置がアカウンティング管理サーバに通知あるいは管理サーバが宅内ゲートウェイ装置に要求することによって、アカウンティング管理を行うことができる。
【0032】
しかも、最もユーザ側に近い宅内ゲートウェイ装置で通信量を計測することで、集約スイッチや集線装置等で通信量を計測する場合に比べて容易に実現することができ、これらの装置への負荷も低減でき、従来のBRASを用いたアカウンティング管理と同等の情報収集が可能となる。
また、OLTやDSLAMなどの集線装置は、IEEE802.1x認証のクライアント機能を搭載し、ダウンリンク回線についてはIEEE802.1x認証を行い、認証された端末装置のみをアップリンク回線に接続することができる。
【0033】
特に、本実施形態の宅内ゲートウェイ装置は、IP電話機を接続するためのVoIPアダプタの機能と、複数のパソコンを接続するためのブロードバンドルータの機能を有するので、従来のように、VoIPアダプタやブロードバンドルータを新たに準備する必要がない。従って、このような従来装置の代わりに宅内ゲートウェイ装置を設置できるので、新たな物理的スペースを必要とせず、設置に対するユーザの抵抗感を軽減できる。
【0034】
(第2の実施形態)
次に、本発明に係る「宅内ゲートウェイ装置およびネットワークシステムとアカウンティング管理方式」の第2の実施形態について説明する。尚、ネットワークシステムの構成は、第1の実施形態の図1と同じなので、ここではネットワークシステムの動作について説明する。図5は宅内ゲートウェイ装置の認証とアカウンティングのシーケンスを示した図である。尚、アカウンティング開始通知(407),データ通信(408)およびアカウンティング情報の通知(409)などのシーケンスは第1の実施形態と同じである。
【0035】
アカウンティング開始通知(407)がRADIUSサーバ104に送られた後も定期的にアカウンティング情報をRADIUSサーバ104に通知(409)するが、その時間間隔は、第1の実施形態よりも粗くなっている。その代わり、宅内ゲートウェイ装置117は、集線装置(OLT)109との間で、予め設定された短い周期でキープアライブ動作を行う。キープアライブ動作は、集線装置(OLT)109のキープアライブ手段303からEAPoLパケット(501)が宅内ゲートウェイ装置117に送られ、これを受けた宅内ゲートウェイ装置117のキープアライブ応答手段210がEAPoLパケット(502)を集線装置(OLT)109に返す動作である。同様に、集線装置(OLT)109のEAPoLパケット(503)に対して、宅内ゲートウェイ装置117はEAPoLパケット(504)を集線装置(OLT)109に返し、集線装置(OLT)109のEAPoLパケット(506)に対して、宅内ゲートウェイ装置117はEAPoLパケット(507)を集線装置(OLT)109に返す。
【0036】
ここで、宅内ゲートウェイ装置117から定期的にEAPoLパケット(505)を集線装置(OLT)109に返すようにしても構わない。また、集線装置(OLT)109のEAPoLパケット(508)に対して、所定の時間内に、宅内ゲートウェイ装置117からEAPoLパケットが返ってこない場合、集線装置(OLT)109のキープアライブ手段303は宅内ゲートウェイ装置117が動作していないものと判断する。尚、EAPoLの代わりにPingでも構わないが、セキュリティ上、暗号化されたEAPoLを用いるのが望ましい。
【0037】
集線装置(OLT)109のキープアライブ手段303が非動作端末を検出すると、切断手段302は、宅内ゲートウェイ装置117との通信路を閉塞して未認証の状態にする。宅内ゲートウェイ装置117が、再び、通信を行う際には宅内ゲートウェイ装置117の認証要求手段204が再認証要求を行う。
尚、アカウンティング情報を定期的に宅内ゲートウェイ装置117からRADIUSサーバ104に通知する場合、RADIUSサーバ104のIPアドレスを取得する方法は、例えば、宅内ゲートウェイ装置117がDHCPサーバ102からIPアドレスを取得した直後に、予め指定した(宅内ゲートウェイ装置117に予め埋め込まれた)IPアドレスにアクセスし、RADIUSサーバ104のIPアドレスを通知してもらうなどの方法がある。
【0038】
一般的なネットワークシステムでは、ユーザの手間を省くため、ファームウェアのバージョンアップやVoIPアダプタの設定を予め決められた自動設定サーバ105にアクセスする方法が取られている。このような自動設定サーバ105にアクセスしてアドレスを通知してもらうようにすれば、上記の方法は新たに機器を増設する必要がない。
このように、IEEE802.1xの再認証において、EAPoLによるキープアライブ機能を併用して、エッジ側への負荷分散を図ることができるので、アカウンティングサーバであるRADIUSサーバ104の負荷を大幅に低減することができる。特に、負荷の重いIEEE802.1xの再認証の間隔を粗くして、一定周期で集線装置(OLT)109とキープアライブ動作を行うようにしたので、IEEE802.1xの再認証を頻繁に行う場合と同等のセキュリティを確保することができる。
【0039】
また、キープアライブ動作に単純なPingでなくEAPoLを用いるので、キープアライブのフレームを偽装したアクセスを防止することができ、セキュリティも向上する。
【図面の簡単な説明】
【0040】
【図1】本発明に係るアカウンティング管理方式を実現するネットワークシステムの構成図である。
【図2】本発明に係る宅内ゲートウェイ装置のブロック図である。
【図3】本発明に係る集線装置のブロック図である。
【図4】本発明の第1の実施形態の動作シーケンスである。
【図5】本発明の第2の実施形態の動作シーケンスである。
【図6】BRASでPPPoE認証を行う従来のシステム構成である。
【符号の説明】
【0041】
101・・・L3SW
102・・・DHCPサーバ
103・・・監視サーバ(SNMPマネージャ)
104・・・RADIUSサーバ
105・・・自動設定サーバ
106,107,108・・・集約スイッチ(集約SW)
109・・・集線装置(OLT)
110・・・電話機(IP電話用)
111・・・集線装置(DSLAM)
112,113,114,115,116・・・回線終端装置
117,118,119・・・宅内ゲートウェイ監視装置
120,122,607・・・PC
201,301・・・スイッチ手段
202・・・通信量計測手段
203・・・通知手段
204・・・認証要求手段
205・・・接続ポート(網側)
206,207,208,209・・・接続ポート(端末側)
210・・・キープアライブ応答手段
302・・・切断手段
303・・・キープアライブ手段
601・・・BRAS
608・・・ブロードバンドルータ
609・・・VoIPアダプタ
【特許請求の範囲】
【請求項1】
端末毎の通信量を管理する管理サーバを備えるネットワークシステムに接続する宅内ゲートウェイ装置において、
スイッチ手段と、
前記スイッチ手段に接続される端末の通信量を計測する計測手段と、
前記計測手段が計測した通信量を前記管理サーバに通知する通知手段と
を設けたことを特徴とする宅内ゲートウェイ装置。
【請求項2】
請求項1に記載の宅内ゲートウェイ装置において、
前記通知手段は、予め定められた時間間隔で前記通信量を前記管理サーバに通知することを特徴とする宅内ゲートウェイ装置。
【請求項3】
請求項1または2に記載の宅内ゲートウェイ装置において、
サプリカントによるIEEE802.1x認証を行う認証要求手段を設けたことを特徴とする宅内ゲートウェイ装置。
【請求項4】
請求項1乃至3のいずれか一項に記載の宅内ゲートウェイ装置を有し、端末毎の通信量を管理する管理サーバを備えるネットワークシステムのアカウンティング管理方式において、
EAPoL(Extended Authentication Protcol over LAN)を定期的に送出してセッションの状態を確認するキープアライブ手段と、IEEE802.1x認証の認証手段とを有する集線装置を備えたことを特徴とするネットワークシステムのアカウンティング管理方式。
【請求項5】
請求項4に記載のネットワークシステムのアカウンティング管理方式において、
前記集線装置に前記宅内ゲートウェイ装置とのセッションを切断する切断手段を設け、
前記集線装置は、定期的に送出する前記EAPoLの応答が無かった場合に、前記切断手段によってセッションを切断することを特徴とするネットワークシステムのアカウンティング管理方式。
【請求項6】
請求項5に記載のネットワークシステムのアカウンティング管理方式において、
前記宅内ゲートウェイ装置に再認証を要求する再認証要求手段を設け、
前記集線装置が前記宅内ゲートウェイ装置とのセッションを切断した場合に、前記宅内ゲートウェイ装置は前記再認証要求手段によって前記集線装置に再認証を要求することを特徴とするネットワークシステムのアカウンティング管理方式。
【請求項1】
端末毎の通信量を管理する管理サーバを備えるネットワークシステムに接続する宅内ゲートウェイ装置において、
スイッチ手段と、
前記スイッチ手段に接続される端末の通信量を計測する計測手段と、
前記計測手段が計測した通信量を前記管理サーバに通知する通知手段と
を設けたことを特徴とする宅内ゲートウェイ装置。
【請求項2】
請求項1に記載の宅内ゲートウェイ装置において、
前記通知手段は、予め定められた時間間隔で前記通信量を前記管理サーバに通知することを特徴とする宅内ゲートウェイ装置。
【請求項3】
請求項1または2に記載の宅内ゲートウェイ装置において、
サプリカントによるIEEE802.1x認証を行う認証要求手段を設けたことを特徴とする宅内ゲートウェイ装置。
【請求項4】
請求項1乃至3のいずれか一項に記載の宅内ゲートウェイ装置を有し、端末毎の通信量を管理する管理サーバを備えるネットワークシステムのアカウンティング管理方式において、
EAPoL(Extended Authentication Protcol over LAN)を定期的に送出してセッションの状態を確認するキープアライブ手段と、IEEE802.1x認証の認証手段とを有する集線装置を備えたことを特徴とするネットワークシステムのアカウンティング管理方式。
【請求項5】
請求項4に記載のネットワークシステムのアカウンティング管理方式において、
前記集線装置に前記宅内ゲートウェイ装置とのセッションを切断する切断手段を設け、
前記集線装置は、定期的に送出する前記EAPoLの応答が無かった場合に、前記切断手段によってセッションを切断することを特徴とするネットワークシステムのアカウンティング管理方式。
【請求項6】
請求項5に記載のネットワークシステムのアカウンティング管理方式において、
前記宅内ゲートウェイ装置に再認証を要求する再認証要求手段を設け、
前記集線装置が前記宅内ゲートウェイ装置とのセッションを切断した場合に、前記宅内ゲートウェイ装置は前記再認証要求手段によって前記集線装置に再認証を要求することを特徴とするネットワークシステムのアカウンティング管理方式。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図2】
【図3】
【図4】
【図5】
【図6】
【公開番号】特開2007−226620(P2007−226620A)
【公開日】平成19年9月6日(2007.9.6)
【国際特許分類】
【出願番号】特願2006−48193(P2006−48193)
【出願日】平成18年2月24日(2006.2.24)
【出願人】(000237662)富士通アクセス株式会社 (682)
【Fターム(参考)】
【公開日】平成19年9月6日(2007.9.6)
【国際特許分類】
【出願日】平成18年2月24日(2006.2.24)
【出願人】(000237662)富士通アクセス株式会社 (682)
【Fターム(参考)】
[ Back to top ]