JP2004207788A - Access control method, access controller, and access control system using the same - Google Patents
Access control method, access controller, and access control system using the same Download PDFInfo
- Publication number
- JP2004207788A JP2004207788A JP2002371089A JP2002371089A JP2004207788A JP 2004207788 A JP2004207788 A JP 2004207788A JP 2002371089 A JP2002371089 A JP 2002371089A JP 2002371089 A JP2002371089 A JP 2002371089A JP 2004207788 A JP2004207788 A JP 2004207788A
- Authority
- JP
- Japan
- Prior art keywords
- message
- access control
- terminal device
- request
- access
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Description
【0001】
【発明の属する技術分野】
この発明は、クライアントの端末装置(パーソナルコンピュータ、以下、「PC」という)を異種ネットワークに接続するために、DHCP(DynamicHost Configuration Protocol:RFC2131)を用いてネットワーク、サーバへのアクセスを制御するアクセス制御方法、アクセス制御装置およびその装置を用いたアクセス制御システムに関するものである。
【0002】
【従来の技術】
従来のアクセス制御方法は、たとえば特許文献1に示すように、PCがネットワークに接続する際に、同一ネットワーク内に接続されたDHCPサーバとの間で、接続要求情報およびこの要求に対する割り当て設定情報の提案をブロードキャストするとともに、認証の要求およびこの要求に対する認証を行うものがあった。
【0003】
ところが、近年では、通信事業者などが提供する通信サービス(たとえば、動画の配信など)を受けるために、WAN(Wide Area Network)などのバックボーンネットワークとLAN(Local Area Network)、またはLAN同士の異種ネットワーク間で認証を行う必要性が生じてきており、この従来例のように、PCとDHCPサーバが同じユーザのLAN内に接続させて認証を行う方法では、通信事業者が運用上ユーザに対して通信サービスの管理を正しく行うことが困難であった。また、この方法では、DHCPサーバがユーザのネットワーク内に設けられているので、このサーバの運用や管理の面でも問題があった。
【0004】
そこで、従来では、図45のアクセス制御システムの構成図に示すように、コアネットワークA上にDHCPサーバ10を接続させ、リレーエージェントであるPEルータ20や集線装置30または集線装置30および40を介して、接続要求を行うクライアントの各PC50の認証およびIPアドレスの割り当てを行うものがあった。
【0005】
このシステムでは、図46のDHCPのシーケンス図に示すように、接続要求を行うPC50は、IPアドレスを持っていないので、送信元アドレスが「0」番で、宛先が「ブロードキャスト」のディスカバー(Discover)メッセージを送信する。集線装置30は、tagVLANによる多重伝送によって、このディスカバーメッセージをPEルータ20に転送している。PEルータ20は、このディスカバーメッセージを取り込むと、送信元アドレスを「自装置20のIPアドレス」に、宛先アドレスを「DHCPサーバ10のIPアドレス」に書き換えて、このディスカバーメッセージをコアネットワークAに転送する。
【0006】
DHCPサーバ10は、このディスカバーメッセージを受信すると、送信元アドレスが「DHCPサーバ10のIPアドレス」で、宛先アドレスが「PEルータ20のIPアドレス」のオファー(Offer)メッセージをコアネットワークAに送信して応答する。PEルータ20は、このオファーメッセージを取り込むと、送信元アドレスを「自装置20のIPアドレス」に、宛先を「ブロードキャスト」に書き換えて、先程ディスカバーメッセージを受信したポートに、このオファーメッセージを転送する。
【0007】
次に、PC50が送信元アドレスが「0」番で、宛先が「ブロードキャスト」のリクエスト(Request)メッセージを送信すると、PEルータ20は、送信元アドレスを「自装置20のIPアドレス」に、宛先アドレスを「DHCPサーバ10のIPアドレス」に書き換えて、このリクエストメッセージをコアネットワークAに転送する。DHCPサーバ10は、このリクエストメッセージを受信すると、プールしてあるアドレスの中から特定のIPアドレスを割り当て、このアドレスを付与したAckメッセージを作成してPC50に応答していた。
【0008】
【特許文献1】
特開2001−326696号公報(第2,4,5頁、図1−図3)
【0009】
【発明が解決しようとする課題】
しかしながら、上記従来例では、クライアントのPCからの複数のアドレス要求に答えて、プールしてあるアドレスを割り当ててしまうので、1台のPCが複数のIPアドレスを取得することが可能となり、アドレスの枯渇化を招くことがあるという問題点があった。
【0010】
また、この従来例では、不正ユーザが正規クライアントのIDやMACアドレスなどの識別情報を入手し、この情報を用いてIPアドレスを取得してデータの配信を受ける場合にも、的確に対応ができないという問題点があった。
【0011】
この発明は、上記問題点に鑑みなされたもので、正規のクライアントに対して一つのアドレスのアサインのみを許可し、プールされているアドレスを効率良く的確に割り当てることができるアクセス制御方法、アクセス制御装置およびその装置を用いたアクセス制御システムを提供することを目的とする。
【0012】
【課題を解決するための手段】
上記目的を達成するため、請求項1にかかるアクセス制御方法では、ネットワークへの接続要求を端末装置から、該ネットワークに接続されるDHCPサーバへ送信する際に、前記接続要求のための要求メッセージをアクセス制御装置を介して前記DHCPサーバに転送するアクセス制御方法において、前記ネットワークに認証サーバを接続させ、前記端末装置で、前記要求メッセージにユーザクラスIDの識別情報を付与して送信する要求送信工程と、前記要求メッセージに対応して、前記アクセス制御装置で、アクセス要求のためのアクセス要求メッセージに前記ユーザクラスIDの識別情報を付与して、前記認証サーバに送信する識別情報送信工程と、前記アクセス要求メッセージに付与された識別情報に基づき、前記認証サーバで、前記端末装置の認証を行うとともに、該認証の応答を行う認証工程と、前記認証サーバからの認証応答に応じて、前記アクセス制御装置で、少なくとも前記ユーザクラスIDの識別情報を付与した前記要求メッセージを、前記DHCPサーバに送信する要求転送工程と、前記要求メッセージに付与された識別情報に応じて、前記DHCPサーバで、予めプールされた情報の中から前記端末装置の接続要求に必要な情報を割り当てて、前記アクセス制御装置を介して該端末装置に応答するデータ転送工程とを含むことを特徴とするアクセス制御方法が提供される。
【0013】
この発明によれば、ユーザクラスIDの識別情報に基づき、認証サーバでの認証および認証の応答後のDHCPサーバによる端末装置の接続要求に必要な情報の割り当てを行うことで、正規のクライアントに対して一つのアドレスのアサインのみの許可とプールされているアドレスの割り当てを行う。
【0014】
また、請求項2にかかるアクセス制御方法では、前記DHCPサーバから送信される前記端末装置の接続要求に必要な情報を、前記アクセス制御装置で記憶する記憶工程と、前記記憶された情報に応じて、受信したパケットの中継の有無を、前記アクセス制御装置で判断する判断工程とをさらに含むことを特徴とする。
【0015】
この発明によれば、端末装置の接続要求に必要な情報をアクセス制御装置のテーブルに記憶させ、このテーブル内の情報によって、ネットワーク側から受信したパケットの中継の有無を判断し、データ中継のフィルタリングを行う。
【0016】
また、請求項3にかかるアクセス制御方法では、前記端末装置で、DHCPサーバを検知するためのディスカバーメッセージを送信する検知工程と、前記アクセス制御装置で、受信した前記ディスカバーメッセージに、該受信したポートを識別するためのサーキットIDを付与して、前記DHCPサーバに送信するディスカバー転送工程と、前記ディスカバーメッセージに対応して、前記DHCPサーバで、前記サーキットIDを付与したオファーメッセージを応答する提供工程とをさらに含むことを特徴とする。
【0017】
この発明によれば、受信したディスカバーメッセージにサーキットIDを付与することで、DHCPサーバからのオファーメッセージにこのサーキットIDを付与することを可能にし、アクセス制御装置におけるオファーメッセージの転送先ポートの識別を可能にする。
【0018】
また、請求項4にかかるアクセス制御方法では、前記アクセス制御装置は、前記端末装置から前記DHCPサーバへ転送するメッセージに前記サーキットIDを付与して、該DHCPサーバへ転送し、前記DHCPサーバから前記端末装置へ転送するメッセージから前記サーキットIDを削除して、該端末装置へ転送し、前記DHCPサーバは、前記アクセス制御装置から受信したメッセージに対応して、前記応答用のメッセージを送信する際に、当該受信メッセージに付与されていたサーキットIDを、当該応答用のメッセージに付与して前記アクセス制御装置へ送信することを特徴とする。
【0019】
この発明によれば、端末装置からDHCPサーバへ転送するメッセージの全てにサーキットIDを付与することで、DHCPサーバから応答されるメッセージにこのサーキットIDを付与することを可能にし、アクセス制御装置におけるメッセージの転送先ポートの識別を可能にし、かつ転送時には不要なサーキットIDを削除して転送する。
【0020】
また、請求項5にかかるアクセス制御方法では、前記認証サーバは、前記アクセス制御装置からのメッセージに応答する際、該応答用のメッセージに該アクセス制御装置からのメッセージに付与されていたサーキットIDを、当該応答用のメッセージに付与して前記アクセス制御装置へ送信することを特徴とする。
【0021】
この発明によれば、認証サーバでも、アクセス制御装置からのメッセージに付与されていたサーキットIDを、応答用のメッセージに付与して送信することで、どのポートから接続要求があった端末装置の認証であるかを認識可能にする。
【0022】
また、請求項6にかかるアクセス制御方法において、前記データ転送工程では、前記アクセス制御装置は、前記DHCPサーバからの前記端末装置の接続要求に必要な情報の送信元アドレスを、自装置のアドレスに変更して前記端末装置に転送することを特徴とする。
【0023】
この発明によれば、端末装置の接続要求に必要な情報に付与された送信元アドレスであるDHCPサーバのアドレスを、アクセス制御装置のアドレスに書き換えて端末装置に転送することで、端末装置からDHCPサーバへの更新要求に対して認証サーバでの再認証を可能にする。
【0024】
また、請求項7にかかるアクセス制御方法では、ネットワークへの接続要求を端末装置から、該ネットワークに接続されるDHCPサーバへ送信する際に、前記接続要求のための要求メッセージをアクセス制御装置を介して前記DHCPサーバに転送するアクセス制御方法において、前記端末装置の接続要求に必要な情報を、前記アクセス制御装置で記憶する記憶工程と、前記端末装置で、前記要求メッセージにユーザクラスIDの識別情報を付与して送信する要求送信工程と、前記要求メッセージに対応して、前記アクセス制御装置で、アクセス要求のためのアクセス要求メッセージに前記ユーザクラスIDの識別情報を付与して、前記認証サーバに送信する識別情報送信工程と、前記アクセス要求メッセージに付与された識別情報に基づき、前記認証サーバで、前記端末装置の認証を行うとともに、該認証の応答を行う認証工程と、前記認証サーバからの認証応答に応じて、前記アクセス制御装置で、予めプールされた情報の中から前記端末装置の接続要求に必要な情報を割り当てて、該端末装置に応答するデータ送信工程とを含むことを特徴とする。
【0025】
この発明によれば、アクセス制御装置にDHCPサーバの機能を持たせ、ユーザクラスIDの識別情報に基づき、認証サーバでの認証および認証の応答後のアクセス制御装置による端末装置の接続要求に必要な情報の割り当てを行うことで、正規のクライアントに対して一つのアドレスのアサインのみを許可するとともに、プールされているアドレスの割り当てを行う。
【0026】
また、請求項8にかかるアクセス制御方法では、前記記憶された情報に応じて、受信したパケットの中継の有無を、前記アクセス制御装置で判断する判断工程をさらに含むことを特徴とする。
【0027】
この発明によれば、接続に必要な情報を割り当てる時にテーブルに記憶した情報を利用して、ネットワーク側から受信したパケットの中継の有無を判断し、データ中継のフィルタリングを行う。
【0028】
また、請求項9にかかるアクセス制御方法では、少なくとも一つの特定ネットワークへの接続要求を端末装置から、前記ネットワークに接続されたDHCPサーバへ送信する際に、前記接続要求のための要求メッセージをアクセス制御装置を介して前記DHCPサーバに転送するアクセス制御方法において、前記端末装置と前記DHCPサーバが接続された少なくとも一つの特定ネットワークとの間には、当該特定ネットワークと異なる少なくとも一つの異種ネットワークが介在しており、かつ前記各特定ネットワークには、前記DHCPサーバとともに認証サーバをそれぞれ接続させ、前記端末装置で、前記要求メッセージに、前記特定ネットワークのうち、ある特定ネットワークに対応するユーザクラスIDの識別情報を付与して送信する要求送信工程と、アクセス要求のためのアクセス要求メッセージに前記ユーザクラスIDの識別情報を付与して、前記ある特定ネットワークに接続された認証サーバに送信する識別情報送信工程と、前記アクセス要求メッセージに付与された識別情報に基づき、前記認証サーバで、前記端末装置の認証を行うとともに、該認証の応答を行う認証工程と、前記認証サーバからの認証応答に応じて、前記アクセス制御装置で、前記ユーザクラスIDの識別情報を付与した前記要求メッセージを、前記ある特定ネットワークに接続されたDHCPサーバに送信する要求転送工程と、前記要求メッセージに付与された識別情報に応じて、前記DHCPサーバで、予めプールされた情報の中から前記端末装置の接続要求に必要な情報を割り当てて、前記アクセス制御装置を介して該端末装置に応答するデータ転送工程とを含むことを特徴とする。
【0029】
この発明によれば、たとえば端末装置による接続要求が可能なネットワークが複数ある場合に、端末装置は、ある特定ネットワークに対応するユーザクラスIDの識別情報に基づき、認証サーバでの認証および認証の応答後のDHCPサーバによる端末装置の接続要求に必要な情報の割り当てを行うことで、正規のクライアントに対して複数のネットワークに一つずつのアドレスのアサインのみを許可するとともに、プールされているアドレスの割り当てを行う。
【0030】
また、請求項10にかかるアクセス制御方法では、前記DHCPサーバから前記ネットワーク毎に転送される前記端末装置の接続要求に必要な情報を、前記アクセス制御装置で記憶する記憶工程と、前記記憶された情報に応じて、受信したパケットの中継の有無を、前記アクセス制御装置で判断する判断工程とをさらに含むことを特徴とする。
【0031】
この発明によれば、複数の接続可能なネットワークがある場合は、ネットワーク毎にアサインされる端末装置の接続要求に必要な情報が変わり、この情報をアクセス制御装置のテーブルに記憶させ、このテーブル内の情報によって、ネットワーク側から受信したパケットの中継の有無を判断することで、データ中継のフィルタリングを行う。
【0032】
また、請求項11にかかるアクセス制御方法において、前記データ転送工程では、前記アクセス制御装置は、前記DHCPサーバからの前記端末装置の接続要求に必要な情報の送信元アドレスを、自装置のアドレスに変更して前記端末装置に転送することを特徴とする。
【0033】
この発明によれば、端末装置の接続要求に必要な情報に付与された送信元アドレスであるDHCPサーバのアドレスを、アクセス制御装置のアドレスに書き換えて端末装置に転送することで、端末装置からDHCPサーバへの更新要求に対して認証サーバでの再認証を可能にする。
【0034】
また、請求項12にかかるアクセス制御装置では、端末装置とネットワーク間に接続され、該端末装置から送信される該ネットワークへの接続要求のための要求メッセージを、該ネットワークに接続されるDHCPサーバへ転送するとともに、前記ネットワークに接続された認証サーバへアクセス要求のためのアクセス要求メッセージを送信するアクセス制御装置において、前記端末装置から送信されたユーザクラスIDの識別情報が付与された要求メッセージに対応して、アクセス要求のためのアクセス要求メッセージに前記ユーザクラスIDの識別情報を付与する情報制御手段と、前記アクセス要求メッセージを前記認証サーバへ送信させる送信制御手段と、前記識別情報が付与された要求メッセージを保持する保持手段と、前記認証サーバからの認証応答に応じて、前記保持された要求メッセージを前記DHCPサーバへ転送させるとともに、前記DHCPサーバから送信される前記端末装置の接続要求に必要な情報を、該端末装置へ転送させる転送制御手段とを備えたことを特徴とする。
【0035】
この発明によれば、アクセス制御装置からのアクセス要求メッセージに付与されたユーザクラスIDの識別情報に基づき、認証サーバでの認証を可能にし、さらに認証の応答後にアクセス制御装置から送信される要求メッセージに付与されたユーザクラスIDの識別情報に基づき、DHCPサーバで端末装置の接続要求に必要な情報の割り当てを行うことで、正規のクライアントに対して一つのアドレスのアサインのみを許可するとともに、プールされているアドレスの割り当てを行う。
【0036】
また、請求項13にかかるアクセス制御装置は、前記DHCPサーバから送信される前記端末装置の接続要求に必要な情報を記憶する記憶手段と、前記記憶手段に記憶された情報に応じて、受信したパケットの中継の有無を判断する判断手段とをさらに備えたことを特徴とする。
【0037】
この発明によれば、端末装置の接続要求に必要な情報をアクセス制御装置の記憶手段に記憶させ、この記憶手段内の情報によって、ネットワーク側から受信したパケットの中継の有無を判断手段で判断し、データ中継のフィルタリングを行う。
【0038】
また、請求項14にかかるアクセス制御装置は、メッセージの受信ポートに対応したサーキットIDを記憶するサーキットID記憶手段と、前記メッセージに付与されたサーキットIDに基づいて、サーキットID記憶手段を検索して、該メッセージを受信したポートを識別する識別手段をさらに備え、前記転送制御手段は、前記端末装置から送信される前記DHCPサーバを検知するためのディスカバーメッセージに、該ディスカバーメッセージを受信したポートを識別するためのサーキットIDを付与して、前記DHCPサーバに転送するとともに、該DHCPサーバから送信されるオファーメッセージに付与されたサーキットIDを削除するとともに、該削除したサーキットIDに基づいて、前記識別手段で識別されたポートに、前記オファーメッセージを転送することを特徴とする。
【0039】
この発明によれば、受信したディスカバーメッセージにサーキットIDを付与して転送し、受信したオファーメッセージに付与されたサーキットIDからサーキットID記憶手段を検索して、ポートを識別し、このポートにオファーメッセージを転送することで、ディスカバーメッセージを受信したポートにオファーメッセージを転送することが可能となる。
【0040】
また、請求項15にかかるアクセス制御装置では、前記転送制御手段は、前記DHCPサーバから送信されるメッセージに付与されたサーキットIDを削除した後に、転送することを特徴とする。
【0041】
この発明によれば、端末装置では不要のサーキットIDを削除した後に、DHCPからのメッセージを転送することで、不要なデータ転送を削減する。
【0042】
また、請求項16にかかるアクセス制御装置では、前記転送制御手段は、前記DHCPサーバからの前記端末装置の接続要求に必要な情報の送信元アドレスを、自装置のアドレスに変更して前記端末装置へ転送させることを特徴とする。
【0043】
この発明によれば、端末装置の接続要求に必要な情報に付与された送信元アドレスであるDHCPサーバのアドレスを、転送制御手段が自装置のアドレスに書き換えて端末装置に転送することで、端末装置からDHCPサーバへの更新要求に対して認証サーバでの再認証を可能にする。
【0044】
また、請求項17にかかるアクセス制御装置は、端末装置とネットワーク間に接続され、該端末装置から送信される該ネットワークへの接続要求のための要求メッセージを、該ネットワークに接続されるDHCPサーバへ転送するとともに、前記ネットワークに接続された認証サーバへアクセス要求のためのアクセス要求メッセージを送信するアクセス制御装置において、前記端末装置の接続要求に必要な情報を記憶する記憶手段と、前記端末装置から送信されたユーザクラスIDの識別情報が付与された要求メッセージに対応して、アクセス要求のためのアクセス要求メッセージに前記ユーザクラスIDの識別情報を付与する情報制御手段と、前記アクセス要求メッセージを前記認証サーバへ送信させるメッセージ送信制御手段と、前記認証サーバからの認証応答に応じて、予めプールされている情報から、前記端末装置の接続要求に必要な情報を割り当て、前記記憶手段に記憶させる情報割当手段と、前記割り当てられた情報を前記端末装置に送信させる情報送信制御手段とを備えたことを特徴とする。
【0045】
この発明によれば、アクセス制御装置に情報割当手段を設けて、ユーザクラスIDの識別情報に基づき、接続要求に必要な情報をプールされている情報から割り当てることで、正規のクライアントに対して一つのアドレスのアサインのみを許可するとともに、プールされているアドレスの割り当てを行う。
【0046】
また、請求項18にかかるアクセス制御装置は、前記記憶手段に記憶された情報に応じて、受信したパケットの中継の有無を判断する判断手段をさらに備えたことを特徴とする
【0047】
この発明によれば、割り当て時にアサインされる接続に必要な情報をテーブルに記憶させておき、ネットワーク側から受信したパケットの中継の有無をこのテーブルを用いて判断し、データ中継のフィルタリングを行う。
【0048】
また、請求項19にかかるアクセス制御装置では、端末装置と少なくとも一つの特定ネットワーク間に接続され、該端末装置から送信される該特定ネットワークへの接続要求のための要求メッセージを、該特定ネットワークに接続されるDHCPサーバへ転送するとともに、前記特定ネットワークに接続された認証サーバへアクセス要求のためのアクセス要求メッセージを送信するアクセス制御装置において、端末装置からの前記特定ネットワークのうちのある特定ネットワークに対するユーザクラスIDの識別情報が付与された要求メッセージに対応して、アクセス要求のためのアクセス要求メッセージに前記ユーザクラスIDの識別情報を付与する情報制御手段と、前記アクセス要求メッセージを前記ある特定ネットワークに接続された認証サーバへ送信させる送信制御手段と、前記識別情報が付与された要求メッセージを保持する保持手段と、前記認証サーバからの認証応答に応じて、前記保持された要求メッセージを前記ある特定ネットワークに接続されたDHCPサーバへ転送させるとともに、前記DHCPサーバから送信される前記端末装置の接続要求に必要な情報を、該端末装置へ転送させる転送制御手段とを備えたことを特徴とする。
【0049】
この発明によれば、アクセス制御装置からのアクセス要求メッセージに付与されたユーザクラスIDの識別情報に基づき、各ネットワークの認証サーバでの認証を可能にし、さらに認証の応答後にアクセス制御装置から送信される要求メッセージに付与されたユーザクラスIDの識別情報に基づき、各ネットワークのDHCPサーバで端末装置の接続要求に必要な情報の割り当てを行うことで、正規のクライアントに対して複数のネットワークに一つずつのアドレスのアサインのみを許可するとともに、プールされているアドレスの割り当てを可能にする。
【0050】
また、請求項20にかかるアクセス制御装置は、前記DHCPサーバから送信される前記端末装置の接続要求に必要な情報を記憶する記憶手段と、前記記憶手段に記憶された情報に応じて、受信したパケットの中継の有無を判断する判断手段とをさらに備えたことを特徴とする。
【0051】
この発明によれば、複数の接続可能なネットワークがある場合も、ネットワーク毎にアサインされる情報を記憶手段に記憶させ、受信したパケットの中継の有無を、この記憶手段内の情報によって判断手段が判断することで、データ中継のフィルタリングを行う。
【0052】
また、請求項21にかかるアクセス制御装置では、前記転送制御手段は、前記DHCPサーバからの前記端末装置の接続要求に必要な情報の送信元アドレスを、自装置のアドレスに変更して前記端末装置へ転送させることを特徴とする。
【0053】
この発明によれば、端末装置の接続要求に必要な情報に付与された送信元アドレスであるDHCPサーバのアドレスを、転送制御手段が自装置のアドレスに書き換えて端末装置に転送することで、端末装置からDHCPサーバへの更新要求に対して認証サーバでの再認証を可能にする。
【0054】
また、請求項22にかかるアクセス制御システムでは、ネットワークへの接続要求に対し、該接続要求に必要な情報の応答を行うアクセス制御システムにおいて、前記接続要求のための要求メッセージにユーザクラスIDの識別情報を付与して送信する端末装置と、前記ネットワークと端末装置間に接続される請求項12〜16のいずれか一つに記載のアクセス制御装置と、前記ネットワークに接続され、前記アクセス制御装置からのアクセス要求メッセージに付与されたユーザクラスIDの識別情報に基づき、前記端末装置の認証を行うとともに、該認証の応答を行う認証サーバと、前記ネットワークに接続され、前記要求メッセージに付与された識別情報に応じて、前記端末装置の接続要求に必要な情報を応答するDHCPサーバとを備えたことを特徴とする。
【0055】
この発明によれば、アクセス制御装置によって送信される要求メッセージおよびアクセス要求メッセージに付与されるユーザクラスIDの識別情報に基づき、認証サーバでの認証および認証の応答後のDHCPサーバによる端末装置の接続要求に必要な情報の割り当てを行うことで、正規のクライアントに対して一つのアドレスのアサインのみを許可するとともに、プールされているアドレスの割り当てを行う。
【0056】
また、請求項23にかかるアクセス制御システムでは、ネットワークへの接続要求に対し、該接続要求に必要な情報の応答を行うアクセス制御システムにおいて、前記接続要求のための要求メッセージにユーザクラスIDの識別情報を付与して送信する端末装置と、前記ネットワークと端末装置間に接続される請求項17または18に記載のアクセス制御装置と、前記ネットワークに接続され、前記アクセス制御装置からのアクセス要求メッセージに付与されたユーザクラスIDの識別情報に基づき、前記端末装置の認証を行うとともに、該認証の応答を行う認証サーバとを備え、前記認証サーバからの認証応答に応じて、前記アクセス制御装置が、前記端末装置の接続要求に必要な情報を、該端末装置に応答することを特徴とする。
【0057】
この発明によれば、アクセス制御装置にDHCPサーバの機能を持たせ、アクセス制御装置によって送信されるアクセス要求メッセージに付与されるユーザクラスIDの識別情報に基づき、認証サーバでの認証および端末装置で接続要求に必要な情報の割り当てを行うことで、正規のクライアントに対して一つのアドレスのアサインのみを許可するとともに、プールされているアドレスの割り当てを行う。
【0058】
また、請求項24にかかるアクセス制御システムでは、少なくとも一つの特定ネットワークへの接続要求に対し、該特定ネットワーク毎に接続要求に必要な情報の応答を行うアクセス制御システムにおいて、前記特定ネットワークのうち、ある特定ネットワークに対応するユーザクラスIDの識別情報を付与した前記接続要求のための要求メッセージを送信する端末装置と、前記各特定ネットワークと端末装置間に接続される請求項19〜21のいずれか一つに記載のアクセス制御装置と、前記特定ネットワーク毎にそれぞれ接続され、前記アクセス制御装置からのアクセス要求メッセージに付与されたユーザクラスIDの識別情報に基づき、前記端末装置の認証を行うとともに、該認証の応答を行う認証サーバと、前記特定ネットワーク毎にそれぞれ接続され、前記要求メッセージに付与された識別情報に応じて、前記端末装置の接続要求に必要な情報を応答するDHCPサーバとを備え、前記特定ネットワーク毎に端末装置の認証および該端末装置の接続要求に必要な情報の応答を行うことを特徴とする。
【0059】
この発明によれば、たとえば端末装置による接続要求が可能なネットワークが複数ある場合に、ある特定ネットワークに対応するユーザクラスIDの識別情報に基づき、認証サーバでの認証および認証の応答後のDHCPサーバによる端末装置の接続要求に必要な情報の割り当てを行うことで、正規のクライアントに対して複数のネットワークに一つずつのアドレスのアサインのみを許可するとともに、プールされているアドレスの割り当てを行う。
【0060】
【発明の実施の形態】
以下に図1〜図44の添付図面を参照して、この発明にかかるアクセス制御方法、アクセス制御装置およびその装置を用いたアクセス制御システムの好適な実施の形態を説明する。なお、以下の図において、図45と同様の構成部分に関しては、説明の都合上、同一符号を付記するものとする。
【0061】
(実施の形態1)
図1は、この発明にかかるアクセス制御システムの実施の形態1の構成を示す構成図である。図1において、図45と異なる点は、コアネットワークA上に認証サーバを接続させて、RADIUSのプロトコルを用いて、接続要求を行うPCの認証を行う点と、これに伴いDHCPサーバ10、PEルータ20およびPC50の構成と動作が異なる点である。
【0062】
まず、DHCPサーバ10は、図2に示すように、コアネットワークAと接続されてメッセージなどのパケットの入出力を行うLANインターフェース11と、LANインターフェース11と接続されてパケットの送受信を行うパケット送信部12およびパケット受信部13と、DHCPを用いてメッセージの処理制御を行うDHCP制御部14と、ユーザの設定情報がエントリされるユーザ設定情報テーブル15とから構成されている。
【0063】
DHCP制御部14は、DHCPパケットのタイプに応じたパケット処理を行っており、たとえばプールされているIPアドレスを、リクエストメッセージにより要求を行ったクライアントのPCに割り当てるなどの処理制御を行っている。なお、この処理は後述する。
【0064】
ユーザ設定情報テーブル15は、図3に示すように、接続要求を行う各クライアントのPC50のユーザIDと、割り当てられたIPアドレスと、サブネットマスクと、中継を行うPEルータのIPアドレスと、図示しないDNS(Domain Name System)サーバのIPアドレスと、割り当てられたアドレスの利用可能時間とからなるデータによって構成されている。
【0065】
なお、このシステムにおいて、DHCPサーバ10とPC50間で伝送されるDHCPメッセージパケットは、図4のフォーマットに示すように、MACヘッダ、IPヘッダおよびUDPヘッダが付与されたDHCPのメッセージで構成されている。なお、このDHCPメッセージが、クライアントからDHCPサーバに送信される場合には、UDPヘッダ内のUDPポート番号のうち、dポートが「67」の値で、sポートが「68」の値となり、またDHCPサーバからクライアントに送信される場合には、dポートが「68」の値で、sポートが「67」の値となる。
【0066】
このDHCPメッセージは、図5のフォーマットに示すように、op、htype、hlen、hops、xid、secs、flags、ciaddr、yiaddr、siaddr、giaddr、chaddr、sname、fileおよびoptionsの各フィールドからなっており、このメッセージのフィールドのうち、この実施の形態で特に関わってくるのは、yiaddrおよびoptionsの各フィールドである。
【0067】
このyiaddrは、DHCPサーバから接続アクセス要求を行ったクライアントPCに割り当てられるIPアドレスであり、optionsフィールドは、オペレーションのパラメータを設定するフィールドからなる。このoptionsフィールドのうち、この実施の形態で特に関わってくるのは、図6〜図13のフォーマットに示すように、DHCPメッセージタイプ、ユーザクラスID、リレーエージェント情報、エージェントサーキットID、サブネットマスク、ルータ、ドメインネームサーバおよびIPアドレスリースタイムの各オプションである。
【0068】
このDHCPサーバ10では、図14のデータ処理動作を説明するためのフローチャートに示すように、パケット受信部13がLANインターフェース11からパケットを受信している(ステップ101)。DHCP制御部14は、この受信パケットがDHCPパケットの場合には(ステップ102)、まずこの受信されたDHCPパケットがディスカバーメッセージか判断し(ステップ103)、ディスカバーメッセージの場合には、オファーメッセージをクライアントへ送信する(ステップ104)。このメッセージの判断は、図6に示したコード「53」で規定されるDHCPメッセージタイプオプションのタイプ「1−8」によって判断されている。ここで、タイプ「1」はディスカバーメッセージを、タイプ「2」はオファーメッセージを、タイプ「3」はリクエストメッセージを、タイプ「4」はディクライン(DECLINE)メッセージを、タイプ「5」はACKメッセージを、タイプ「6」はNAKメッセージを、タイプ「7」はリリース(RELEASE)メッセージを、またタイプ「8」はインフォーム(INFORM)メッセージをそれぞれ示している。
【0069】
また、この受信されたDHCPメッセージがオファーメッセージの場合には(ステップ105)、このパケットを廃棄し(ステップ106)、リクエストメッセージの場合には(ステップ107)、メッセージ中のユーザクラスIDオプション(図7参照)を取り出し、そのユーザクラスデータ中のユーザIDを抽出してユーザ設定情報テーブル15で検索し、このユーザIDが検索されると、このテーブル15にエントリされている各情報をDHCPオプションのフィールドに付加してACKメッセージを作成し、パケット送信部12からクライアントに送信する(ステップ108)。
【0070】
また、この受信されたDHCPメッセージがACKメッセージの場合には(ステップ109)、このパケットを廃棄し(ステップ110)、ディクラインメッセージの場合には(ステップ111)、ACKメッセージで割り当てたIPアドレスを異常と判断し(ステップ112)、NAKメッセージの場合には(ステップ113)、このパケットを廃棄し(ステップ114)、リリースメッセージの場合には(ステップ115)、クライアントに割り当てていたIPアドレスをプールへ返し(ステップ116)、インフォームメッセージの場合には(ステップ117)、このメッセージを記録する(ステップ118)。また、受信されたパケットがこれらのいずれのタイプのメッセージでない場合には、このパケットを廃棄して(ステップ119)、上記フローチャートの動作を終了する。
【0071】
図15は、図1に示したPEルータ20の構成を示す構成図である。図において、PEルータ20は、コアネットワークAまたは集線装置30と接続されて、パケットの送受信を行うパケット送信部21およびパケット受信部22と、パケットのフィルタリング処理や中継処理を行うIP中継制御部23と、DHCPを用いてDHCPメッセージの処理制御を行うDHCP制御部24と、RADIUSを用いてRADIUSメッセージの処理制御を行う認証制御部25と、IP中継制御部23に接続されるフィルタリング用テーブル26と、DHCP制御部24に接続されるサーキットIDテーブル27とから構成されている。
【0072】
パケット受信部22は、パケットをコアネットワークAまたは集線装置30から受信すると、受信処理を行っている。すなわち、PEルータ20では、図16のフローチャートに示すように、パケット受信部22がパケットを受信すると(ステップ201)、パケット受信部22でのデータ処理に移行し(ステップ202)、この受信パケットがIPパケットとARPパケットのいずれかのパケットかどうか判断する(ステップ203)。ここで、受信パケットがIP/ARPのいずれかのパケットの場合には、IP中継処理部に受信パケットを出力してIP中継制御部23でのデータ処理に移行し(ステップ204)、またこの受信パケットがIP/ARPのいずれのパケットでもない場合には、パケットを廃棄している(ステップ205)。
【0073】
IP中継制御部23は、パケット受信部22で受信されたパケットの種類判別およびフィルタリング用テーブル26にエントリされている内容に基づいて、パケットの中継または遮断処理を行う。また、フィルタリング用テーブル26は、図17の構成図に示すように、宛先アドレスおよびサブネットマスクの情報と、送信元アドレスおよびサブネットマスクの情報と、パケットの入力ポートと、出力ポートと、パケットの中継/遮断を示す情報とが対応付けられてエントリされている。
【0074】
IP中継制御部23は、図16に示すように、PEルータ20での処理動作がIP中継処理部での制御に移行すると(ステップ204)、まず受信パケットがDHCPメッセージパケットかどうか判断し(ステップ206)、DHCPメッセージパケットの場合には、DHCP制御部24のデータ処理に移行する(ステップ207)。また、この受信パケットがDHCPメッセージパケットでない場合には、RADIUSメッセージパケットかどうか判断し(ステップ208)、RADIUSメッセージパケットの場合には、認証制御部25のデータ処理に移行する(ステップ209)。
【0075】
また、この受信パケットがRADIUSメッセージパケットでない場合には、IP中継制御部23は、受信パケット内の宛先アドレス、送信元アドレスを抽出し、この宛先アドレス、送信元アドレスに基づいてフィルタリング用テーブルを検索し(ステップ210)、この受信パケットが中継パケットかどうかを、該当するエントリの中継/遮断の情報から判断する(ステップ211)。ここで、この受信パケットが中継パケットでない場合には、この受信パケットを廃棄し(ステップ205)、また受信パケットが中継パケットの場合には、この受信パケットをパケット送信部21から送信する(ステップ212)。
【0076】
DHCP制御部24は、DHCPのプロトコルを用いて受信されたDHCPメッセージを、そのタイプに応じたデータ処理の制御を行うとともに、ディスカバーメッセージを受信した際に、サーキットIDテーブル27を参照してリレーエージェント情報の追加処理を行って、DHCPサーバ10へ転送し、またリクエストメッセージを受信した際に、ユーザクラスIDを取り出してRADIUSメッセージを、認証サーバ60へ転送している。また、サーキットIDテーブル27は、図18の構成図に示すように、メッセージが入力する物理ポートと、この物理ポートが所属するVLANの番号と、サーキットIDの情報とが対応付けられてエントリされている。
【0077】
なお、このシステムにおいて、PEルータ20と認証サーバ60間で伝送されるRADIUSパケットは、図21のフォーマットに示すように、MACヘッダ、IPヘッダおよびUDPヘッダが付与されたRADIUSメッセージで構成されている。このRADIUSメッセージは、図22のフォーマットに示すように、メッセージのコードと、識別子と、メッセージ長と、メッセージを認証する認証データと、属性値とから構成されており、この属性値は、図23のフォーマットに示すように、タイプと、メッセージ長と、値などから構成されており、この実施の形態で特に関わってくるのは、タイプを示すユーザネイムとユーザパスワードのフィールドに、ユーザIDとパスワードの情報を付与する点である。
【0078】
このDHCP制御部24では、図19のデータ処理動作を説明するためのフローチャートに示すように、パケット受信部22がDHCPメッセージパケットを受信すると(ステップ301)、DHCP制御部24は、まずこの受信されたDHCPパケットがディスカバーメッセージか判断し(ステップ302)、ディスカバーメッセージの場合には、図20に示すリレーエージェント情報の追加処理を行う(ステップ303)。このメッセージの判断でも、上述したごとく、図6に示したコード「53」で規定されるDHCPメッセージタイプオプションのタイプ「1−8」によって判断されている。
【0079】
図20では、DHCP制御部24は、受信したディスカバーメッセージの物理ポートとVLAN IDを取得し(ステップ401)、この取得した物理ポートとVLAN IDとからサーキットIDテーブル27を検索し、該当するサーキットIDの情報を検出する(ステップ402)。そして、サーキットIDがあるかどうか判断する(ステップ403)。ここで、サーキットIDがサーキットIDテーブル27にない場合は、受信されたディスカバーメッセージを廃棄し、以降のデータ処理を行わない(ステップ404)。また、サーキットIDがある場合には、図8に示したリレーエージェント情報オプション内のエージェント情報に付与されたサーキットIDをディスカバーメッセージに追加する(ステップ405)。
【0080】
そして、DHCP制御部24は、図19のステップ303において、ディスカバーメッセージの宛先アドレスを「DHCPサーバ10のアドレス」に、送信元アドレスを「自装置(PEルータ20)のIPアドレス」に書き換えてDHCPサーバ10に送信する。また、受信パケットがオファーメッセージの場合には(ステップ304)、オファーメッセージの宛先アドレスを「ブロードキャスト」、送信元アドレスを「自装置20のIPアドレス」に書き換えて、クライアントであるPC50に送信する(ステップ305)。
【0081】
また、この受信されたDHCPメッセージがリクエストメッセージの場合には(ステップ306)、メッセージ中のユーザクラスIDオプション内のユーザクラスデータ(図7参照)に付与されたユーザIDと、パスワードとを取り出し、これらを属性値のフィールドに付与してRADIUSメッセージの中のアクセス−リクエストのメッセージを作成して、認証サーバ60に送信するとともに、このDHCPのリクエストメッセージを保存して、RADIUSメッセージの中のアクセス−アクセプトのメッセージが受信されるのを待つ(ステップ307)。
【0082】
また、この受信されたDHCPメッセージがACKメッセージの場合には(ステップ308)、宛先アドレスを「ブロードキャスト」に、送信元アドレスを「自装置20のIPアドレス」に書き換えてクライアントのPCに送信する。同時に、PEルータ20のフィルタリング用テーブル26にDHCPで配布するIPアドレスを登録し、中継を許可する。またACKメッセージ内の利用時間の情報を取得し、装置内の図示しないクライアント監視タイマを再スタートする(ステップ309)。この監視タイマには、データ中継を許可する利用時間がクライアント毎に設定されており、DHCP制御部24は、図24のフローチャートに示すように、タイマが満了すると(ステップ411)、フィルタリング用テーブル26の中継の許可を遮断する「遮断」に変更し、これ以降、そのクライアントのデータ中継を停止する(ステップ412)。
【0083】
また、図19において、この受信されたDHCPメッセージがディクラインメッセージの場合には(ステップ310)、ディスカバーメッセージと同様に、オプションフィールドにリレーエージェント情報を追加する追加処理を行い、宛先アドレスを「DHCPサーバ10のアドレス」に、送信元アドレスを「自装置のアドレス」に書き換えて、DHCPサーバ10に送信する(ステップ311)。また、NAKメッセージの場合には(ステップ312)、メッセージの宛先アドレスを「ブロードキャスト」に、送信元アドレスを「自装置20のIPアドレス」に書き換えてクライアントに送信する(ステップ313)。
【0084】
また、この受信されたDHCPメッセージがリリースメッセージの場合には(ステップ314)、ディスカバーメッセージと同様に、オプションフィールドにリレーエージェント情報を追加する追加処理を行い、宛先アドレスをDHCPサーバ10のアドレスに、送信元アドレスを自装置のアドレスに書き換えて、DHCPサーバ10に送信するとともに、該当するフィルタリング用テーブル26のエントリを削除し、クライアント監視タイマを停止する(ステップ315)。
【0085】
さらに、この受信されたDHCPメッセージがインフォームメッセージの場合には(ステップ316)、ディスカバーメッセージと同様に、オプションフィールドにリレーエージェント情報を追加する追加処理を行い、宛先アドレスを「DHCPサーバ10のアドレス」に、送信元アドレスを「自装置のアドレス」に書き換えて、DHCPサーバ10に送信する(ステップ317)。また、受信されたパケットがこれらのいずれのタイプのメッセージでない場合には、このパケットを廃棄して(ステップ318)、上記フローチャートの動作を終了する。
【0086】
次に、認証制御部25は、RADIUSのプロトコルを用いて受信されたRADIUSメッセージのコードに応じた処理制御を行う。すなわち、認証制御部25は、図25のフローチャートに示すように、認証サーバ60からのRADIUSパケットが受信されると(ステップ421)、この受信パケットのコードから判断して、アクセス−アクセプト(Access−Accept)メッセージの場合には(ステップ422)、認証が許可されたと判断し、DHCPのリクエストメッセージをDHCPサーバ10に送信する(ステップ423)。
【0087】
また、受信されたRADIUSパケットがアクセス−リジェクト(Access−Reject)メッセージの場合には(ステップ424)、認証が許可されなかったと判断し、保持しているDHCPのリクエストメッセージを廃棄して(ステップ425)、上記動作を終了する。
【0088】
図26は、図1に示したPC50の構成を示す構成図である。図において、PC50は、集線装置30やレイヤ2のスイッチ40を介してPEルータ20と接続されて、DHCPパケットの入出力を行うLANインターフェース51と、パケットの送受信を行うパケット送信部52およびパケット受信部53と、DHCPのプロトコルを用いてDHCPメッセージの処理制御を行うDHCP処理部54とから構成されている。
【0089】
このPC50では、図27のフローチャートに示すように、PC50の初期化処理またはコマンドによりDHCPの再起動が行われると(ステップ431)、DHCP処理部54は、ネットワークへの接続アクセス要求を行うために、ディスカバーメッセージを作成して、このディスカバーメッセージをパケット送信部52からLANインターフェース51を介してPEルータ20に送信し(ステップ432)、内部に設けた監視タイマを起動させてオファーメッセージの受信待ち状態になる(ステップ433)。
【0090】
そして、このタイマがタイムアウトになるまで(ステップ434)、オファーメッセージの受信があったかどうか判断しており(ステップ435)、タイマがタイムアウトになると、通信不可能状態に遷移し、コマンドによりPC50がDHCP再起動待ちの状態なる(ステップ436)。次に、オファーメッセージの受信がなされると、ユーザクラスIDを付加したリクエストメッセージを作成して、このリクエストメッセージをPEルータ20に送信して(ステップ437)、監視タイマを起動させてACKメッセージの受信待ち状態に遷移する(ステップ438)。
【0091】
そして、このタイマがタイムアウトになるまで、ACKメッセージの受信があったかどうか判断しており(ステップ440)、タイマがタイムアウトになると(ステップ439)、通信不可能状態に遷移し、コマンドによりPC50がDHCP再起動待ちの状態なる(ステップ436)。次に、ACKメッセージの受信がなされると(ステップ440)、このメッセージから得られたIPアドレス、ルータアドレス、DNSサーバアドレスなどの情報を、図示しない内部テーブルに設定し、アドレス利用タイマをスタートさせる(ステップ441)。次に、このアドレス利用タイマが満了すると(ステップ442)、ユーザクラスIDを付加して、リクエストメッセージをPEルータに送信する。
【0092】
図28は、認証サーバ60の構成を示す構成図である。図において、認証サーバ60は、コアネットワークAと接続されてメッセージなどのパケットの入出力を行うLANインターフェース61と、LANインターフェース61と接続されてパケットの送受信を行うパケット送信部62およびパケット受信部63と、RADIUSのプロトコルを用いて認証の処理制御を行う認証制御部64と、アクセスネットワークユーザ認証テーブル65とから構成されている。
【0093】
認証制御部64は、アクセスネットワークユーザ認証テーブル65にエントリされているユーザ認証情報に基づいて、受信されたRADIUSメッセージの認証を行っている。アクセスネットワークユーザ認証テーブル65は、図29の構成図に示すように、クライアントのユーザIDとパスワードが予め対応付けられてエントリされている。
【0094】
このような構成において、認証サーバ60は、図30のフローチャートに示すように、パケット受信部63がLANインターフェース61を介してパケットを受信すると(ステップ451)、このパケットがRADIUSメッセージかどうか判断される(ステップ452)。ここで、このパケットがRADIUSメッセージでない場合には、受信パケットが廃棄され(ステップ453)、またRADIUSメッセージの場合には、このメッセージ内のユーザ認証情報からアクセスネットワークユーザ認証テーブル65を検索して認証制御部64の認証処理動作によるユーザの認証がなされる(ステップ454)。
【0095】
そして、認証制御部64は、受信したアクセス−リクエストのメッセージ中のユーザIDとパスワードが、アクセスネットワークユーザ認証テーブル65にエントリされている内容と一致すると、認証の許可を与えており、認証が許可された場合には(ステップ455)、認証制御部64は、RADIUSメッセージのアクセス−アクセプトのメッセージを作成し(ステップ456)、また認証が許可されなかった場合には(ステップ455)、アクセス−リジェクトのメッセージを作成して(ステップ457)、パケット送信部62からLANインターフェース61を介してコアネットワークAに送信する(ステップ458)。
【0096】
次に、図31の認証対応のDHCPのプロトコルシーケンスを示すシーケンス図と、図32のシステム全体における実施の形態1のメッセージの流れを示すフローチャートに基づいて、アクセス制御システムでのアクセス制御の動作を説明する。
【0097】
図31、図32において、まず、初期化処理などでネットワークへの接続アクセス要求を行うPC50は、送信元アドレスが「0」で、宛先アドレスが「ブロードキャスト」のDHCPのディスカバーメッセージを作成し、集線装置30または集線装置30および40を介して、PEルータ20に送信する。
【0098】
このディスカバーメッセージを受信したPEルータ20は、このメッセージを受信した物理ポートとVLAN IDを取得し、この物理ポートとVLAN IDの情報からサーキットIDテーブル27を検索して、該当するサーキットIDを抽出する。そして、このディスカバーメッセージに、この抽出したサーキットIDが付与されたリレーエージェント情報オプションを追加し、かつ送信元アドレスを「自装置20のIPアドレス」に、宛先アドレスを「DHCPサーバ10のIPアドレス」に書き換えて、コアネットワークAを介して、DHCPサーバ10に転送する。
【0099】
自装置宛のディスカバーメッセージを受信したDHCPサーバ10は、DHCPメッセージのタイプオプションのタイプ情報から、メッセージがディスカバリーであることを認識し、かつサーキットIDを認識する。次に、DHCPサーバ10は、応答用のオファーメッセージに、サーキットIDが付与されたリレーエージェント情報オプション(受信したディスカバーメッセージに追加されていたリレーエージェント情報オプション)を追加し、かつ送信元アドレスを「自装置10のIPアドレス」に、宛先アドレスを「PEルータ20のIPアドレス」に設定し、コアネットワークAを介して、PEルータ20に送信する。
【0100】
PEルータ20は、このオファーメッセージを受信すると、このオファーメッセージの送信元アドレスを「自装置20のIPアドレス」に、宛先アドレスを「ブロードキャスト」に書き換える。さらにPEルータは、この受信したオファーメッセージに付与されたサーキットIDを抽出し、このサーキットIDからサーキットIDテーブル27を検索して、該当する物理ポートを抽出し、作成したこのオファーメッセージを、この抽出した物理ポート(以前にディスカバーメッセージを受信した物理ポート)を介してPC50に送信する。
【0101】
PC50は、このオファーメッセージを受信すると、ユーザIDとパスワードが付与されたユーザクラスIDオプションを追加し、かつ送信元アドレスが「0」で、宛先アドレスが「ブロードキャスト」のDHCPのリクエストメッセージを作成し、このリクエストメッセージをPEルータ20に送信する。
【0102】
このリクエストメッセージを受信したPEルータ20は、メッセージ中のユーザクラスIDに付与されたユーザIDとパスワード(図7参照)を抽出し、これらを属性値のフィールド(図21、図22参照)に付与して、RADIUSのアクセス−リクエストのメッセージを作成し、このアクセス−リクエストのメッセージを認証サーバ60に送信する。さらに、PEルータ20は、このリクエストメッセージを受信した物理ポートとVLANを取得し、この物理ポートとVLANの情報からサーキットIDテーブル27を検索して、該当するサーキットIDを抽出する。次に、PEルータ20は、このリクエストメッセージに、この抽出したサーキットIDが付与されたリレーエージェント情報オプションを追加して、たとえば内部のバッファなどに保持する。
【0103】
認証サーバ60は、このアクセス−リクエストのメッセージを受信すると、このメッセージ中のユーザクラスIDを抽出し、このユーザクラスIDの内容がアクセスネットワークユーザ認証テーブル65にエントリされている内容と一致すると、この抽出したユーザクラスIDを属性値のフィールド(図21、図22参照)に付与して、アクセス−アクセプトのメッセージを作成し、このメッセージをPEルータ20に送信する。
【0104】
このアクセス−アクセプトのメッセージを受信すると、PEルータ20は、アクセス−アクセプトのメッセージに付与されたユーザクラスID(図21〜図23参照)を抽出する。次に、PEルータ20は、内部に保持していたDHCPのリクエストメッセージの送信元アドレスを「自装置20のIPアドレス」に、宛先アドレスを「DHCPサーバ10のIPアドレス」に設定し、コアネットワークAを介して、リレーエージェント情報オプションとユーザクラスIDとが付与されたリクエストメッセージをDHCPサーバ10に送信する。
【0105】
DHCPサーバ10は、このリクエストメッセージを受信すると、ユーザクラスIDオプション中のユーザIDを抽出し、このユーザIDからユーザ設定情報テーブル15を検索し、割り当てられたIPアドレスを含む該当エントリの各情報が付与されたDHCPオプションのフィールドに追加して、ACKメッセージを作成し、このDHCPオプションと、サーキットIDが付与されたリレーエージェント情報オプション(受信したリクエストメッセージに追加されていたリレーエージェント情報オプション)が追加されたACKメッセージをPEルータ20に送信する。
【0106】
PEルータ20は、このACKメッセージを受信すると、このACKメッセージからリレーエージェント情報オプションを削除し、このACKメッセージを集線装置30または集線装置30および40を介してPC50に送信する。また、課金サーバなどがネットワーク上に接続されている場合には、PEルータと課金サーバ間で、RADIUSのアカウンティングリクエストとアカウンティングアクセプトを送受信して課金に関する情報をやり取りすることも可能である。
【0107】
また、PC50が、一旦IPアドレスを取得した後で、リースタイムが満了する前にIPアドレスの再取得を行う場合も考えられるが、この場合には、図32の▲5▼に示したユーザクラスIDが付与されたDHCPリクエストを、PC50からDHCPサーバ10宛に送信することになる。そして、図32の▲5▼以降の動作を繰り返すシーケンスを行うことで、継続した通信サービスの提供を受けることが可能となる。
【0108】
このように、この実施の形態では、クライアントからのクラスIDと、PEルータのサーキットIDとの組み合わせによって、DHCPサーバからアサインするアドレスを決定するので、一つのクラスIDに対して一つのアドレスのみをアサインすることが可能となり、プールされているアドレスを的確に割り当てることができる。このため、たとえば異なるアクセスポイントからネットワークに接続しても、このクラスIDとサーキットIDとの組み合わせで一意的にクライアントを特定することができるので、異なるアクセスポイントからの接続アクセス要求に対しても、正規のクライアントを特定して、容易にアドレスをアサインすることができる。
【0109】
また、この実施の形態では、クライアントへのアドレスの配布と同時に、PEルータでアサインするアドレス宛のパケットのみ通過させるフィルタを自動設定するので、正規のクライアントにのみにコンテンツ配信などの通信サービスを提供することができ、クライアントがアドレス詐称などを行って、DoS(Denial of Service)アタック(サービス不能攻撃)を行うことを排除することができる。
【0110】
また、この実施の形態では、タグVLANを用いて多重化しているので、どのVLANかによって、接続されている回線がわかる。そこで、この発明では、たとえば図9に示したエージェントサーキットIDサブオプションの値(Value)のフィールドに、VLANの識別子であるVLAN IDを付与して、サーキットIDとの組み合わせによって、DHCPサーバからアサインするアドレスを決定するように構成することも可能である。この場合には、アクセスポイント固定で使用することで、上記の効果を得ることができる。
【0111】
なお、この実施の形態では、クライアントのPC50からはDHCPディスカバーメッセージのみを送信するようにしたが、この発明はこれに限らず、このディスカバーメッセージにユーザクラスIDを付与して送ることも可能である。この場合には、このディスカバーメッセージをDHCPサーバ10に転送する前に、PEルータ20からアクセス−リクエストのメッセージを認証サーバ60へ送信することが可能となり、この結果、認証サーバ60での認証の問い合わせを行うことが可能となる。従って、この場合において、認証が不可のときには、DHCPサーバ10へのアクセスが不要となり、不必要なメッセージ転送を削減することができる。
【0112】
また、この発明では、ACKメッセージの転送時に、PEルータ20のIP中継制御部23が、このACKメッセージの送信元アドレスを、DHCPサーバ10のIPアドレスから自ルータ20のIPアドレスに変更して、クライアントであるPC50に転送することも可能である。この場合には、次にPC50からDHCPサーバ10への更新要求がなされた際に、認証制御部25の認証制御によってアクセス−リクエストのメッセージを認証サーバ60に送信できるようにして、この認証サーバ60で、このPC50に対する再認証を可能にすることができ、クライアント認証の信頼性を高めることができる。
【0113】
また、ユーザクラスIDとサーキットIDは、上述したDHCPメッセージのoptionsの他に、たとえばDHCPメッセージのoptionsの一つであるベンダー拡張インフォメーションに定義することも可能である。この場合には、ユーザクラスIDオプションとサーキットIDオプションを、このベンダー拡張インフォメーションの値(Value)に、それぞれ定義されたコードで連続して付与することが可能となる。
【0114】
(実施の形態2)
図33は、実施の形態2にかかるPEルータの構成を示す構成図である。なお、以下の図において、図15および図32と同様な構成部分に関しては、説明の都合上、同一符号を付記するものとする。
【0115】
図33において、実施の形態1に示したPEルータと異なる点は、ルータにDHCPサーバの機能を内蔵させた点で、すなわち、DHCP制御部24にこのサーバの機能を組み込むとともに、図3のユーザ設定情報テーブルと同一構成のユーザ設定情報テーブル28をDHCP制御部24に接続させるものである。
【0116】
このDHCP制御部24では、図34のデータ処理動作を説明するためのフローチャートに示すように、パケット受信部22がDHCPメッセージパケットを受信すると(ステップ501)、DHCP制御部24は、まずこの受信されたDHCPパケットがディスカバーメッセージかどうか判断し(ステップ502)、ディスカバーメッセージの場合には、オファーメッセージをクライアントのPC50に送信する(ステップ503)。
【0117】
また、受信パケットがオファーメッセージの場合には(ステップ504)、オファーメッセージを廃棄し(ステップ505)、またリクエストメッセージの場合には(ステップ506)、メッセージ中のユーザクラスIDオプションのユーザクラスID(図7参照)に付与されたユーザIDと、パスワードとを取り出し、これらを属性値のフィールドに付与してRADIUSメッセージの中のアクセス−リクエストのメッセージを作成して、認証サーバ60に送信するとともに、このDHCPのリクエストメッセージを保存して、RADIUSアクセス−アクセプトが受信されるのを待つ(ステップ507)。
【0118】
また、この受信されたDHCPメッセージがACKメッセージの場合には(ステップ508)、ACKメッセージを廃棄し(ステップ509)、ディクラインメッセージの場合には(ステップ510)、割り当てたアドレスを異常と判断する(ステップ511)。また、NAKメッセージの場合には(ステップ512)、NAKメッセージを廃棄し(ステップ513)、またリリースメッセージの場合には(ステップ514)、割り当てたアドレスをプールに返す(ステップ515)。さらに、この受信されたDHCPメッセージがインフォームメッセージの場合には(ステップ516)、このメッセージを記録する(ステップ517)。また、受信されたパケットがこれらのいずれのタイプのメッセージでない場合には、このパケットを廃棄して(ステップ518)、上記フローチャートの動作を終了する。
【0119】
次に、認証制御部25は、RADIUSのプロトコルを用いて受信されたRADIUSメッセージのコードに応じた処理制御を行う。すなわち、認証制御部25は、図35のフローチャートに示すように、認証サーバ60からのRADIUSパケットが受信されると(ステップ551)、この受信パケットのコードから判断して、アクセス−アクセプトメッセージの場合には(ステップ552)、認証が許可されたと判断し、DHCPのACKメッセージをクライアントのPC50に送信する(ステップ553)。
【0120】
また、受信されたRADIUSパケットがアクセス−リジェクトメッセージの場合には(ステップ554)、認証が許可されなかったと判断し、保持しているDHCPのリクエストメッセージを廃棄して(ステップ555)、上記動作を終了する。
【0121】
次に、図36のシステム全体における実施の形態2のメッセージの流れを示すフローチャートに基づいて、アクセス制御システムでのアクセス制御の動作を説明する。
【0122】
PC50からディスカバーメッセージを受信すると、PEルータ20は、ディスカバーメッセージを受信したポートを介してPC50にオファーメッセージを送信する。
【0123】
PC50は、このオファーメッセージを受信すると、ユーザIDとパスワードが付与されたユーザクラスIDオプションを追加したリクエストメッセージを作成し、このリクエストメッセージをPEルータ20に送信する。
【0124】
このリクエストメッセージを受信したPEルータ20は、メッセージ中のユーザクラスIDに付与されたユーザIDとパスワードを抽出し、これらを属性値のフィールドに付与して、RADIUSのアクセス−リクエストのメッセージを作成し、このアクセス−リクエストのメッセージを認証サーバ60に送信する。
【0125】
認証サーバ60は、このアクセス−リクエストのメッセージを受信すると、このメッセージ中のユーザクラスIDを抽出し、このユーザクラスIDの内容がアクセスネットワークユーザ認証テーブル65にエントリされている内容と一致すると、この抽出したユーザクラスIDを属性値のフィールドに付与して、アクセス−アクセプトのメッセージを作成し、このメッセージをPEルータ20に送信する。
【0126】
PEルータ20は、アクセス−アクセプトのメッセージを受信すると、認証が許可されたと判断し、リクエストメッセージの中のユーザクラスIDオプションのユーザIDを抽出し、このユーザIDからユーザ設定情報テーブル28を検索し、割り当てられたIPアドレスを含む該当エントリの各情報が付与されたDHCPオプションのフィールドを追加したACKメッセージを作成し、このACKメッセージをPC50に送信する。
【0127】
このように、この実施の形態では、PEルータにDHCPサーバを内蔵し、クライアントからのクラスIDのみによって、PEルータがアサインするアドレスを決定するので、サーキットIDの設定やこれを記憶するテーブルが不要となり、処理手順がほぼ半分となり、PEルータから迅速に、かつ容易にアドレスをアサインすることができ、プールされているアドレスを的確に割り当てることができる。
【0128】
また、この実施の形態では、DHCPサーバやサーキットIDに関わるテーブルなどの構成要件がなくなるので、アクセス制御システムの部品点数が削減されるとともに、製作コストが削減されたアクセス制御システムを提供することができる。
【0129】
(実施の形態3)
図37は、この発明にかかるアクセス制御システムの実施の形態3の構成を示す構成図である。図37では、コアネットワークAに接続されたPEルータ70に、たとえば通信事業者である各ISP(Internet Service Provider)1〜3のバックボーンネットワークが接続されており、さらにこのバックボーンネットワークに認証サーバ80,82,84と、DHCPサーバ81,83,85がそれぞれ対をなして接続されている。これら認証サーバおよびDHCPサーバは、実施の形態1で示した認証サーバ60およびDHCPサーバ10と同様の構成になっており、これら認証サーバ80,82,84およびDHCPサーバ81,83,85は、各ISPのバックボーンネットワークに接続アクセス要求を行うクライアントの認証およびIPアドレスの割り当てを行っている。
【0130】
また、PEルータ20,70間は、MPLS(Multi ProtocolLabel Switching)を用いてネットワーク上にトンネリングを張ってデータ中継を行う透過接続サービスを提供している。
【0131】
このようなシステム構成において、PEルータ20は、実施の形態1に示したPEルータに、MPLS中継制御部31と、MPLSラベルテーブル32を加え、かつサーキットIDテーブルを削除した構成になっている。このMPLS中継制御部31は、コアネットワークA上にトンネリングを張ってデータ中継の制御を行っており、このMPLSラベルテーブル32には、ラベルと、対応するVPNのグループ番号と、所属ポートの情報がエントリされている。
【0132】
PEルータ20では、図40のフローチャートに示すように、パケット受信部22がパケットを受信すると(ステップ601)、パケット受信部22でのデータ処理に移行し(ステップ602)、この受信パケットがIPパケットとARPパケットのいずれかのパケットかどうか判断する(ステップ603)。ここで、受信パケットがIP/ARPのいずれのパケットでもない場合、MPLSのパケットかどうか判断し(ステップ604)、MPLSのパケットの場合には、MPLS中継制御部31による中継処理に移行し(ステップ605)、またMPLSのパケットでない場合には、パケットを廃棄している(ステップ606)。
【0133】
このMPLS中継制御部31では、図41のMPLSの中継処理に示すように、受信パケットのラベル値をMPLSラベルテーブルで検索し(ステップ651)、ヒットするエントリがある場合には(ステップ652)、ラベルをはずして、所属しているポートにデータを中継する(ステップ653)。また、ヒットするエントリがない場合には、パケットを廃棄する(ステップ654)。
【0134】
図40において、IP中継制御部23は、PEルータ20での処理動作がIP中継処理部での制御に移行すると(ステップ607)、まず受信パケットがDHCPメッセージパケットかどうか判断し(ステップ608)、DHCPメッセージパケットの場合には、DHCP制御部24のデータ処理に移行する(ステップ609)。また、この受信パケットがDHCPメッセージパケットでない場合には、RADIUSメッセージパケットかどうか判断し(ステップ610)、RADIUSメッセージパケットの場合には、認証制御部25のデータ処理に移行する(ステップ611)。
【0135】
また、この受信パケットがRADIUSメッセージパケットでない場合には、IP中継制御部23は、受信パケット内の宛先アドレスを抽出し、この宛先アドレスに基づいてフィルタリング用テーブルを検索し(ステップ612)、この受信パケットが中継パケットかどうかを、該当するエントリの中継/遮断の情報から判断する(ステップ613)。ここで、この受信パケットが中継パケットでない場合には、この受信パケットを廃棄し(ステップ606)、また受信パケットが中継パケットの場合には、この受信パケットにラベルを付加し、パケット送信部21から送信する(ステップ614)。
【0136】
DHCP制御部24では、図42のデータ処理動作を説明するためのフローチャートに示すように、パケット受信部22がDHCPメッセージパケットを受信すると(ステップ701)、DHCP制御部24は、まずこの受信されたDHCPパケットがディスカバーメッセージか判断し(ステップ702)、ディスカバーメッセージの場合には、リレーエージェント情報の追加処理を行う。そして、DHCP制御部24は、ディスカバーメッセージの宛先アドレスをDHCPサーバのアドレスに、送信元アドレスを自装置(PEルータ20)のIPアドレスに書き換えてDHCPサーバに送信する(ステップ703)。なお、認証サーバやDHCPサーバにメッセージを送信する場合には、ユーザクラスIDの値に応じて、ISP毎に管理しているサーバに送信する。これによって、ユーザ管理、アドレス管理を各ISPが行うことが可能になる。
【0137】
また、受信パケットがオファーメッセージの場合には(ステップ704)、オファーメッセージの宛先アドレスを「ブロードキャスト」に、送信元アドレスを「自装置のIPアドレス」に書き換えて、PC50に送信する(ステップ705)。また、この受信されたDHCPメッセージがリクエストメッセージの場合には(ステップ706)、メッセージ中のユーザクラスIDオプションに付与されたユーザIDと、パスワードとを取り出し、これらを属性値のフィールドに付与してRADIUSメッセージの中のアクセス−リクエストのメッセージを作成して、認証サーバ60に送信するとともに、このDHCPのリクエストメッセージを保存して、RADIUSアクセス−アクセプトが受信されるのを待つ(ステップ707)。
【0138】
また、この受信されたDHCPメッセージがACKメッセージの場合には(ステップ708)、宛先アドレスを「ブロードキャスト」に、送信元アドレスを「自装置のIPアドレス」に書き換えてクライアントのPCに送信する。(ステップ709)。また、この受信されたDHCPメッセージがディクラインメッセージの場合には(ステップ710)、ディスカバーメッセージと同様に、オプションフィールドにリレーエージェント情報を追加する追加処理を行い、宛先アドレスを「DHCPサーバのアドレス」に、送信元アドレスを「自装置のアドレス」に書き換えて、DHCPサーバに送信する(ステップ711)。また、NAKメッセージの場合には(ステップ712)、メッセージの宛先アドレスを「ブロードキャスト」に、送信元アドレスを「自装置のIPアドレス」に書き換えてクライアントに送信する(ステップ713)。
【0139】
また、この受信されたDHCPメッセージがリリースメッセージの場合には(ステップ714)、ディスカバーメッセージと同様に、オプションフィールドにリレーエージェント情報を追加する追加処理を行い、宛先アドレスを「DHCPサーバのアドレス」に、送信元アドレスを「自装置のアドレス」に書き換えて、DHCPサーバに送信する(ステップ715)。
【0140】
さらに、この受信されたDHCPメッセージがインフォームメッセージの場合には(ステップ716)、ディスカバーメッセージと同様に、オプションフィールドにリレーエージェント情報を追加する追加処理を行い、宛先アドレスを「DHCPサーバのアドレス」に、送信元アドレスを「自装置のアドレス」に書き換えて、DHCPサーバに送信する(ステップ717)。また、受信されたパケットがこれらのいずれのタイプのメッセージでない場合には、このパケットを廃棄して(ステップ718)、上記フローチャートの動作を終了する。
【0141】
次に、認証制御部25は、RADIUSのプロトコルを用いて受信されたRADIUSメッセージのコードに応じた処理制御を行う。すなわち、認証制御部25は、図43のフローチャートに示すように、認証サーバ60からのRADIUSパケットが受信されると(ステップ801)、この受信パケットのコードから判断して、アクセス−アクセプトメッセージの場合には(ステップ802)、認証が許可されたと判断し、DHCPのリクエストメッセージをDHCPサーバに送信する(ステップ803)。
【0142】
また、受信されたRADIUSパケットがアクセス−リジェクトメッセージの場合には(ステップ804)、認証が許可されなかったと判断し、保持しているDHCPのリクエストメッセージを廃棄して(ステップ805)、上記動作を終了する。
【0143】
次に、図44ののシステム全体における実施の形態3のメッセージの流れを示すフローチャートに基づいて、アクセス制御システムでのアクセス制御の動作を説明する。なお、図44では、ISP1の認証サーバ80とDHCPサーバ81に接続アクセス要求を行う場合を説明する。
【0144】
まず、接続アクセス要求を行うPC50は、ユーザIDとパスワードが付与されたユーザクラスIDオプションを追加したディスカバーメッセージを作成し、集線装置30、または集線装置30および40を介して、PEルータ20に送信する。この場合、PC50は、アクセス要求を行うISP毎に異なるユーザクラスIDを予め設定しているので、この場合には、たとえばISP1に対応したユーザクラスIDをディスカバーメッセージに付与して送信する。
【0145】
このディスカバーメッセージを受信したPEルータ20は、このメッセージに付与されたユーザクラスIDからISP1のDHCPサーバ81宛のディスカバーメッセージと判断して、このメッセージをDHCPサーバ81に転送する。
【0146】
自装置宛のディスカバーメッセージを受信したDHCPサーバ81は、このディスカバーメッセージからユーザクラスIDを抽出し、この抽出したユーザクラスIDを付与して、応答用のオファーメッセージを作成し、PEルータ20に送信する。PEルータ20は、このオファーメッセージを受信すると、ディスカバーメッセージを受信したポートを介してPC50にこのオファーメッセージを転送する。
【0147】
PC50はこのオファーメッセージを受信すると、ユーザクラスIDオプション(図7参照)を追加したリクエストメッセージをPEルータに送信し、PEルータ20は、メッセージ中のユーザクラスIDに付与されたユーザIDとパスワードを抽出し、これらを属性値のフィールドに付与して、RADIUSのアクセス−リクエストのメッセージを作成し、このアクセス−リクエストのメッセージを認証サーバ80に送信する。
【0148】
認証サーバ80は、このアクセス−リクエストのメッセージを受信すると、このメッセージ中のユーザクラスIDを抽出し、このユーザクラスIDの内容がアクセスネットワークユーザ認証テーブルにエントリされている内容と一致すると、アクセス−アクセプトのメッセージを作成し、このメッセージをPEルータ20に送信する。このアクセス−アクセプトのメッセージを受信すると、PEルータ20は、保持していたDHCPのリクエストメッセージ(ユーザクラスIDオプションが追加されたメッセージ)をDHCPサーバ81に送信する。
【0149】
DHCPサーバ81は、このリクエストメッセージを受信すると、ユーザクラスIDオプション中のユーザIDを抽出し、このユーザIDからユーザ設定情報テーブルを検索し、割り当てられたIPアドレスを含む該当エントリの各情報が付与されたDHCPオプションのフィールドを追加したACKメッセージを作成し、このDHCPオプションが追加されたACKメッセージをPEルータ20に送信する。PEルータ20は、受信したこのACKメッセージを、集線装置30または集線装置30および40を介してPC50に送信する。
【0150】
このように、この実施の形態では、クライアントからのISP毎に設定されたクラスIDによって、DHCPサーバからアサインするアドレスを決定するので、ISP毎に一つのアドレスのみをアサインすることが可能となり、プールされているアドレスをISPが的確に割り当てることができる。これによって、ユーザ管理、アドレス管理を各ISPが行うことが可能になる。
【0151】
また、この実施の形態の場合も、上述した実施の形態と同様に、クライアントへのアドレスの配布と同時に、PEルータでアサインするアドレス宛のパケットのみ通過させるフィルタを自動設定するので、正規のクライアントにのみにコンテンツ配信などの通信サービスを提供することができる。
【0152】
なお、この実施の形態では、PEルータ20,70間は、MPLSを用いてネットワーク上にトンネリングを張ってデータ中継を行う透過接続サービスを提供しているが、この発明はこれに限らず、他の方式、例えばIP in IP Tunneling Protocol(RFC1853)や、IP in IPv6(Generic Packet Tunneling in IPv6:RFC2473)や、GRE(General Routing Encapsulation:RFC1701)を用いてネットワーク上にトンネリングを張ってデータ中継を行う透過接続サービスを提供している場合においても、同様の通信サービスを提供することができる。
【0153】
この発明は、これら実施形態に限定されるものではなく、この発明の要旨を逸脱しない範囲で種々の変形実施が可能である。たとえば、認証サーバへの問い合わせは、オプションにより、問い合わせをする/しないの選択が可能なように構成することも可能である。また、認証サーバの機能とDHCPサーバの機能を1台のサーバに併用して設けることも可能である。
【0154】
また、この発明では、コアネットワークに、たとえばコンテンツの配信を行う配信サーバを接続させ、DHCPサーバから得たIPアドレスなどの接続情報に基づいて、配信サーバとPEルータ間をIP接続させるように構成することも可能であり、これによりマルチキャストで配信サーバからクライアントまでコンテンツ配信を行うことができる。
【0155】
また、この発明では、たとえば実施の形態1または2のシステムと、実施の形態3のシステムを組み合わせることも可能であり、この場合にもネットワーク毎にユーザクラスIDの識別情報が異なる値に設定されているので、同一PCでもネットワーク毎に異なるIPアドレスを取得することが可能になる。
【0156】
【発明の効果】
以上説明したように、この発明では、端末装置から送信される要求メッセージおよびアクセス制御装置によってアクセス要求メッセージにそれぞれ付与されるユーザクラスIDの識別情報に基づき、認証サーバでの認証および認証の応答後のDHCPサーバによる端末装置の接続要求に必要な情報の割り当てを行うので、正規のクライアントに対して一つのアドレスのアサインのみを許可し、プールされているアドレスを効率良く的確に割り当てることができる。
【0157】
また、この発明では、DHCPサーバによって割り当てられる端末装置の接続要求に必要な情報をアクセス制御装置の記憶手段に記憶させ、この記憶手段内の情報によって、アクセス制御装置が受信したパケットの中継の有無を判断するので、適切にデータ中継のフィルタリングを行うことができ、クライアントがアドレス詐称などを行って、DoS(Denial of Service)アタック(サービス不能攻撃)を行うことを排除することができる。
【0158】
また、この発明では、アクセス制御装置が受信したディスカバーメッセージにサーキットIDを付与してDHCPサーバに転送することで、DHCPサーバからのオファーメッセージにこのサーキットIDを付与することを可能にするので、このオファーメッセージの転送先ポートの識別が容易になる。
【0159】
また、この発明では、アクセス制御装置にDHCPの情報割当機能を持たせ、ユーザクラスIDの識別情報に基づき、認証サーバでの認証および認証の応答後のアクセス制御装置による端末装置の接続要求に必要な情報の割り当てを行うので、正規のクライアントに対して一つのアドレスのアサインのみを許可し、プールされているアドレスを効率良く的確に割り当てることができる。
【0160】
また、この発明では、端末装置による接続要求が可能なネットワークが複数ある場合に、端末装置からのアクセス要求メッセージに付与されたユーザクラスIDの識別情報に基づき、各ネットワークの認証サーバでの認証を可能にし、さらに認証の応答後にアクセス制御装置から送信される要求メッセージに付与されたユーザクラスIDの識別情報に基づき、各ネットワークのDHCPサーバで端末装置の接続要求に必要な情報の割り当てを可能とするので、正規のクライアントに対して複数のネットワークに一つずつのアドレスのアサインを許可し、プールされているアドレスを効率良く的確に割り当てることができる。
【図面の簡単な説明】
【図1】この発明にかかるアクセス制御システムの実施の形態1の構成を示す構成図である。
【図2】図1に示したDHCPサーバの構成を示す構成図である。
【図3】図2に示したユーザ設定情報テーブルの構成の一例を示す構成図である。
【図4】DHCPパケットの構成を示すフォーマットの図である。
【図5】図4に示したDHCPメッセージの構成を示すフォーマットの図である。
【図6】DHCPメッセージタイプオプションの構成を示すフォーマットの図である。
【図7】ユーザクラスIDオプションの構成を示すフォーマットの図である。
【図8】リレーエージェント情報オプションの構成を示すフォーマットの図である。
【図9】エージェントサーキットIDサブオプションの構成を示すフォーマットの図である。
【図10】サブネットマスクオプションの構成を示すフォーマットの図である。
【図11】ルータオプションの構成を示すフォーマットの図である。
【図12】ドメインネームサーバオプションの構成を示すフォーマットの図である。
【図13】IPアドレスリースタイムオプションの構成を示すフォーマットの図である。
【図14】図2に示したDHCPサーバのデータ処理動作を説明するためのフローチャートである。
【図15】図1に示したPEルータの構成を示す構成図である。
【図16】図15に示したPEルータのデータ処理動作を説明するためのフローチャートである。
【図17】図15に示したフィルタリング用テーブルの構成を示す構成図である。
【図18】同じく、図15に示したサーキットIDテーブルの構成を示す構成図である。
【図19】同じく、図15に示したDHCP制御部のデータ処理動作を説明するためのフローチャートである。
【図20】図19に示したリレーエージェント情報の追加処理動作を説明するためのフローチャートである。
【図21】RADIUSパケットの構成を示すフォーマットの図である。
【図22】図21に示したRADIUSメッセージの構成を示すフォーマットの図である。
【図23】図22に示した属性値の構成を示すフォーマットの図である。
【図24】図15に示したDHCP制御部のクライアント監視タイマの動作を説明するためのフローチャートの図である。
【図25】図15に示した認証制御部のデータ処理動作を説明するためのフローチャートである。
【図26】図1に示したPCの構成を示す構成図である。
【図27】図26に示したPCの初期化またはDHCP再起動時の動作を説明するためのフローチャートの図である。
【図28】図1に示した認証サーバの構成を示す構成図である。
【図29】図28に示したアクセスネットワークユーザ認証テーブルの構成を示す構成図である。
【図30】図28に示した認証サーバの認証動作を説明するためのフローチャートである。
【図31】認証対応のDHCPのプロトコルシーケンスを示すシーケンス図である。
【図32】アクセス制御システム全体における実施の形態1のメッセージの流れを示すフローチャートの図である。
【図33】実施の形態2にかかるPEルータの構成を示す構成図である。
【図34】図33に示したDHCP制御部のデータ処理動作を説明するためのフローチャートである。
【図35】図33に示した認証制御部のデータ処理動作を説明するためのフローチャートである。
【図36】アクセス制御システム全体における実施の形態2のメッセージの流れを示すフローチャートである。
【図37】この発明にかかるアクセス制御システムの実施の形態3の構成を示す構成図である。
【図38】図37に示したPEルータの構成を示す構成図である。
【図39】図38に示したMPLSラベルテーブルの構成を示す構成図である。
【図40】図38に示したPEルータのデータ処理動作を説明するためのフローチャートである。
【図41】同じく、図38に示したMPLS中継制御部のMPLS中継処理動作を説明するためのフローチャートである。
【図42】同じく、図38に示したDHCP制御部のデータ処理動作を説明するためのフローチャートである。
【図43】図38に示した認証制御部のデータ処理動作を説明するためのフローチャートである。
【図44】アクセス制御システム全体における実施の形態3のメッセージの流れを示すフローチャートである。
【図45】従来のアクセス制御システムの構成に示す構成図である。
【図46】図45に示したアクセス制御システムにおけるDHCPのプロトコルシーケンスを示すシーケンス図である。
【符号の説明】
1〜3 ISP
10,81,83,85 DHCPサーバ
11,51,61 LANインターフェース
12,21,52,62 パケット送信部
13,22、53,63 パケット受信部
14,24 DHCP制御部
15 ユーザ設定情報テーブル
20,70 ルータ
23 IP中継制御部
25,46,64 認証制御部
26 フィルタリング用テーブル
27 サーキットIDテーブル
28 ユーザ設定情報テーブル
30 集線装置
31 MPLS中継制御部
32 MPLSラベルテーブル
50 PC
54 DHCP処理部
60,80,82,84 認証サーバ
65 アクセスネットワークユーザ認証テーブル
70 PEルータ
A コアネットワーク[0001]
TECHNICAL FIELD OF THE INVENTION
The present invention provides access control for controlling access to a network and a server using a DHCP (DynamicHost Configuration Protocol: RFC2131) in order to connect a client terminal device (personal computer, hereinafter, referred to as “PC”) to a heterogeneous network. The present invention relates to a method, an access control device, and an access control system using the device.
[0002]
[Prior art]
A conventional access control method, for example, as disclosed in
[0003]
However, in recent years, in order to receive a communication service (for example, moving image distribution, etc.) provided by a communication carrier or the like, a backbone network such as a WAN (Wide Area Network) and a LAN (Local Area Network) or different types of LANs are used. The need to perform authentication between networks has arisen. As in this conventional example, in a method in which a PC and a DHCP server are connected to the same user's LAN to perform authentication, a communication carrier is required to operate the user in operation. It was difficult to manage communication services correctly. Further, in this method, since the DHCP server is provided in the user's network, there is a problem in operation and management of the server.
[0004]
Therefore, conventionally, as shown in the configuration diagram of the access control system in FIG. 45, the DHCP
[0005]
In this system, as shown in the DHCP sequence diagram of FIG. 46, since the PC 50 making the connection request does not have an IP address, the discovery (Discover) in which the source address is “0” and the destination is “broadcast” is performed. ) Send the message. The
[0006]
Upon receiving the discover message, the DHCP
[0007]
Next, when the PC 50 transmits a request (Request) message whose source address is “0” and the destination is “broadcast”, the
[0008]
[Patent Document 1]
JP 2001-326696 A (
[0009]
[Problems to be solved by the invention]
However, in the above conventional example, a pooled address is assigned in response to a plurality of address requests from a client PC, so that one PC can acquire a plurality of IP addresses, and the There has been a problem that exhaustion may be caused.
[0010]
Further, in this conventional example, it is not possible to properly cope with a case where an unauthorized user obtains identification information such as an ID and a MAC address of a legitimate client, obtains an IP address using this information, and receives data distribution. There was a problem.
[0011]
The present invention has been made in view of the above problems, and has an access control method and an access control method in which only one address can be assigned to a legitimate client, and a pooled address can be efficiently and accurately assigned. An object is to provide an apparatus and an access control system using the apparatus.
[0012]
[Means for Solving the Problems]
In order to achieve the above object, in the access control method according to the first aspect, when transmitting a connection request to a network from a terminal device to a DHCP server connected to the network, a request message for the connection request is transmitted. In an access control method for transferring to a DHCP server via an access control device, a request transmitting step in which an authentication server is connected to the network, and the terminal device adds identification information of a user class ID to the request message and transmits the request message. In response to the request message, the access control device assigns identification information of the user class ID to an access request message for an access request, and transmits the identification information to the authentication server. Based on the identification information given to the access request message, the authentication server, An authentication step of performing authentication of the terminal device and responding to the authentication, and the request message in which the access control device assigns at least identification information of the user class ID in response to an authentication response from the authentication server. A request transfer step of transmitting the request information to the DHCP server, and in accordance with the identification information given to the request message, the DHCP server extracts information necessary for a connection request of the terminal device from information pooled in advance in the DHCP server. A data transfer step of allocating and responding to the terminal device via the access control device.
[0013]
According to the present invention, based on the identification information of the user class ID, the authentication required by the authentication server and the information necessary for the connection request of the terminal device by the DHCP server after the response of the authentication are performed, so that the legitimate client is assigned to the authorized client. Only one address is assigned and the pooled address is assigned.
[0014]
Further, in the access control method according to
[0015]
According to the present invention, information necessary for a connection request of a terminal device is stored in a table of an access control device, and based on the information in the table, it is determined whether or not a packet received from a network is relayed, and filtering of data relay is performed. I do.
[0016]
In the access control method according to
[0017]
According to the present invention, by providing a circuit ID to a received discover message, it is possible to provide this circuit ID to an offer message from a DHCP server, and the access control apparatus can identify the transfer destination port of the offer message. enable.
[0018]
In the access control method according to
[0019]
According to the present invention, by assigning a circuit ID to all messages transferred from the terminal device to the DHCP server, it is possible to assign the circuit ID to a message responded from the DHCP server, The transfer destination port can be identified, and at the time of transfer, an unnecessary circuit ID is deleted and transferred.
[0020]
In the access control method according to claim 5, when the authentication server responds to a message from the access control device, the authentication server adds a circuit ID assigned to the message from the access control device to the response message. The message is added to the response message and transmitted to the access control device.
[0021]
According to the present invention, even in the authentication server, the circuit ID assigned to the message from the access control device is assigned to the response message and transmitted, so that the authentication of the terminal device which has requested the connection from any port can be performed. Is recognizable.
[0022]
In the access control method according to
[0023]
According to the present invention, by rewriting the address of the DHCP server, which is the source address added to the information necessary for the connection request of the terminal device, to the address of the access control device and transferring the address to the terminal device, Enables re-authentication by the authentication server in response to an update request to the server.
[0024]
In the access control method according to the seventh aspect, when transmitting a connection request to a network from a terminal device to a DHCP server connected to the network, a request message for the connection request is transmitted via the access control device. In the access control method of transferring to the DHCP server, the access control device stores information required for the connection request of the terminal device, and the terminal device stores user class ID identification information in the request message. A request transmitting step of transmitting a request to the authentication server, in response to the request message, the access control device assigns identification information of the user class ID to an access request message for an access request, and Transmitting the identification information to be transmitted, based on the identification information given to the access request message. The authentication server performs authentication of the terminal device, and performs an authentication step of responding to the authentication; and in response to an authentication response from the authentication server, the access control device selects one of information pooled in advance. A data transmission step of allocating necessary information to the connection request of the terminal device and responding to the terminal device.
[0025]
According to the present invention, the access control device is provided with the function of a DHCP server, and based on the identification information of the user class ID, the access control device is required to perform authentication at the authentication server and a connection request of the terminal device after the response of the authentication. By allocating the information, only the assignment of one address to a legitimate client is permitted, and the pooled address is allocated.
[0026]
The access control method according to claim 8, further comprising a determining step of determining whether or not the received packet is relayed by the access control device according to the stored information.
[0027]
According to the present invention, when information necessary for connection is allocated, it is determined whether or not a packet received from the network is relayed by using information stored in the table, and data relay filtering is performed.
[0028]
In the access control method according to the ninth aspect, when a request for connection to at least one specific network is transmitted from a terminal device to a DHCP server connected to the network, a request message for the connection request is accessed. In the access control method of transferring to a DHCP server via a control device, at least one heterogeneous network different from the specific network is interposed between the terminal device and at least one specific network to which the DHCP server is connected. And each of the specific networks is connected to an authentication server together with the DHCP server. The terminal device includes, in the request message, identification of a user class ID corresponding to a specific network among the specific networks. Add information and send A request transmitting step, an identification information transmitting step of adding identification information of the user class ID to an access request message for an access request, and transmitting the identification information to an authentication server connected to the specific network; Based on the provided identification information, the authentication server authenticates the terminal device, and performs an authentication step of responding to the authentication, and, in response to an authentication response from the authentication server, the access control device includes: A request transfer step of transmitting the request message added with the identification information of the user class ID to a DHCP server connected to the certain network, and the DHCP server according to the identification information given to the request message, Allocate necessary information to the connection request of the terminal device from among the pooled information in advance, and Characterized in that it comprises a data transfer step of responding to the terminal device via the access control device.
[0029]
According to the present invention, for example, when there are a plurality of networks to which a connection request can be made by the terminal device, the terminal device performs authentication in the authentication server and a response to the authentication based on the identification information of the user class ID corresponding to the specific network. By allocating information necessary for a terminal device connection request by the DHCP server later, only a single address can be assigned to a plurality of networks for a legitimate client, and a pooled address can be assigned. Make an assignment.
[0030]
The access control method according to
[0031]
According to the present invention, when there are a plurality of connectable networks, information necessary for a connection request of a terminal device assigned to each network changes, and this information is stored in a table of the access control device. Based on this information, it is determined whether or not the packet received from the network is relayed, thereby filtering the data relay.
[0032]
In the access control method according to
[0033]
According to the present invention, by rewriting the address of the DHCP server, which is the source address added to the information necessary for the connection request of the terminal device, to the address of the access control device and transferring the address to the terminal device, Enables re-authentication by the authentication server in response to an update request to the server.
[0034]
In the access control apparatus according to the twelfth aspect, a request message for connection request to the network, which is connected between the terminal apparatus and the network and transmitted from the terminal apparatus, is transmitted to a DHCP server connected to the network. An access control device for transferring and transmitting an access request message for an access request to an authentication server connected to the network, wherein the access control device responds to the request message to which the identification information of the user class ID transmitted from the terminal device is added. And information control means for providing identification information of the user class ID to an access request message for an access request, transmission control means for transmitting the access request message to the authentication server, and the identification information is provided. Holding means for holding a request message; Transfer the held request message to the DHCP server in response to the authentication response from the server, and transfer the information required for the connection request of the terminal device transmitted from the DHCP server to the terminal device. And control means.
[0035]
According to the present invention, based on the identification information of the user class ID given to the access request message from the access control device, the authentication at the authentication server is enabled, and further, the request message transmitted from the access control device after the response of the authentication. By assigning information necessary for a connection request of a terminal device by the DHCP server based on the identification information of the user class ID given to the client, only one address can be assigned to a legitimate client and the pool can be assigned. The assigned address.
[0036]
The access control device according to claim 13 stores the information required for the connection request of the terminal device transmitted from the DHCP server, and receives the information in accordance with the information stored in the storage device. Determining means for determining whether or not to relay the packet.
[0037]
According to the present invention, information necessary for a connection request of the terminal device is stored in the storage device of the access control device, and the presence / absence of the relay of the packet received from the network is determined by the determination device based on the information in the storage device. , Perform data relay filtering.
[0038]
Further, the access control device according to claim 14 searches circuit ID storage means for storing a circuit ID corresponding to a reception port of a message, and circuit ID storage means based on the circuit ID given to the message. Further comprising identification means for identifying a port that has received the message, wherein the transfer control means identifies a port that has received the discover message in a discover message for detecting the DHCP server transmitted from the terminal device. To the DHCP server, and deletes the circuit ID assigned to the offer message transmitted from the DHCP server, and based on the deleted circuit ID, identifies the identification means. To the port identified by And wherein the transfer of fur message.
[0039]
According to the present invention, a circuit ID is assigned to a received discover message and transferred, a circuit ID storage unit is searched from a circuit ID assigned to a received offer message, a port is identified, and an offer message is assigned to this port. By transferring the offer message, the offer message can be transferred to the port that has received the discover message.
[0040]
Further, in the access control apparatus according to
[0041]
According to the present invention, unnecessary data transfer is reduced by transferring a message from the DHCP after deleting an unnecessary circuit ID in the terminal device.
[0042]
17. The access control device according to
[0043]
According to the present invention, the transfer control means rewrites the address of the DHCP server, which is the source address added to the information required for the connection request of the terminal device, to the address of the own device and transfers the address to the terminal device. Re-authentication by the authentication server is enabled in response to an update request from the device to the DHCP server.
[0044]
An access control device according to claim 17 is connected between a terminal device and a network, and transmits a request message for a connection request to the network transmitted from the terminal device to a DHCP server connected to the network. In an access control device for transferring and transmitting an access request message for an access request to an authentication server connected to the network, a storage unit for storing information necessary for a connection request of the terminal device; and Information control means for providing the identification information of the user class ID to an access request message for an access request in response to the transmitted request message to which the identification information of the user class ID has been added; Message transmission control means for transmitting the message to an authentication server; Information allocating means for allocating information necessary for a connection request of the terminal device from information pooled in advance in accordance with an authentication response from a server, and storing the allocated information in the storage device; And information transmission control means for transmitting the information.
[0045]
According to the present invention, the access control device is provided with the information allocating means, and the information necessary for the connection request is allocated from the pooled information based on the identification information of the user class ID. Allows assignment of only one address and assigns pooled addresses.
[0046]
Further, the access control device according to claim 18 further comprises a judging means for judging whether or not the received packet is relayed according to the information stored in the storage means.
[0047]
According to the present invention, information necessary for a connection assigned at the time of assignment is stored in a table, the presence or absence of relay of a packet received from the network side is determined using this table, and data relay filtering is performed.
[0048]
In the access control apparatus according to claim 19, a request message for connection request to the specific network, which is connected between the terminal apparatus and at least one specific network, is transmitted from the terminal apparatus to the specific network. An access control device for transferring to a connected DHCP server and transmitting an access request message for an access request to an authentication server connected to the specific network, comprising: Information control means for giving the identification information of the user class ID to an access request message for an access request in response to the request message to which the identification information of the user class ID is given; Connected to Transmission control means for transmitting the request message to the authentication server, holding means for holding the request message to which the identification information is added, and connecting the held request message to the certain network in response to an authentication response from the authentication server. Transfer control means for transferring the information required for the connection request of the terminal device transmitted from the DHCP server to the terminal device while transferring the information to the designated DHCP server.
[0049]
According to the present invention, based on the identification information of the user class ID given to the access request message from the access control device, it is possible to perform authentication at the authentication server of each network, and further transmitted from the access control device after the response of the authentication. The DHCP server of each network allocates information necessary for a connection request of a terminal device based on the identification information of the user class ID given to the request message to be transmitted to a plurality of networks for a legitimate client. Only assignment of addresses is allowed, and pooled addresses can be assigned.
[0050]
Further, the access control device according to claim 20 stores the information required for the connection request of the terminal device transmitted from the DHCP server, and receives the information in accordance with the information stored in the storage device. Determining means for determining whether or not to relay the packet.
[0051]
According to the present invention, even when there are a plurality of connectable networks, information assigned to each network is stored in the storage unit, and the presence / absence of relay of the received packet is determined by the information in the storage unit based on the information in the storage unit. By judging, data relay filtering is performed.
[0052]
22. The access control device according to
[0053]
According to the present invention, the transfer control means rewrites the address of the DHCP server, which is the source address added to the information required for the connection request of the terminal device, to the address of the own device and transfers the address to the terminal device. Re-authentication by the authentication server is enabled in response to an update request from the device to the DHCP server.
[0054]
The access control system according to
[0055]
According to the present invention, based on the request message transmitted by the access control device and the identification information of the user class ID given to the access request message, the authentication by the authentication server and the connection of the terminal device by the DHCP server after the response of the authentication are performed. By allocating information necessary for the request, only one address can be assigned to a legitimate client, and a pooled address is allocated.
[0056]
The access control system according to
[0057]
According to the present invention, the access control device is provided with a function of a DHCP server, and based on the identification information of the user class ID given to the access request message transmitted by the access control device, the authentication by the authentication server and the terminal device By allocating information necessary for a connection request, only one address can be assigned to a legitimate client and a pooled address is allocated.
[0058]
Further, in the access control system according to
[0059]
According to the present invention, for example, when there are a plurality of networks to which a connection request can be made by a terminal device, based on identification information of a user class ID corresponding to a certain specific network, authentication at an authentication server and a DHCP server after an authentication response are performed. In this case, the information necessary for the connection request of the terminal device is assigned, and only the assignment of one address to each of a plurality of networks is permitted to the authorized client, and the pooled addresses are assigned.
[0060]
BEST MODE FOR CARRYING OUT THE INVENTION
Hereinafter, preferred embodiments of an access control method, an access control device, and an access control system using the device according to the present invention will be described with reference to the accompanying drawings of FIGS. In the following drawings, the same components as those in FIG. 45 are denoted by the same reference numerals for convenience of explanation.
[0061]
(Embodiment 1)
FIG. 1 is a configuration diagram showing a configuration of an access control system according to a first embodiment of the present invention. FIG. 1 differs from FIG. 45 in that an authentication server is connected to the core network A and the PC requesting the connection is authenticated using the RADIUS protocol, and the
[0062]
First, as shown in FIG. 2, the
[0063]
The
[0064]
As shown in FIG. 3, the user setting information table 15 includes a user ID of the
[0065]
In this system, a DHCP message packet transmitted between the
[0066]
As shown in the format of FIG. 5, the DHCP message includes fields of op, htype, hlen, hops, xid, secs, flags, ciaddr, yiaddr, siaddr, giaddr, chaddr, sname, file, and options. Of the fields of this message, those of particular interest in this embodiment are the fields iaddr and options.
[0067]
The yaaddr is an IP address assigned to the client PC that has made a connection access request from the DHCP server, and the options field is a field for setting operation parameters. Among the options fields, those particularly relevant in this embodiment are, as shown in the format of FIGS. 6 to 13, a DHCP message type, a user class ID, relay agent information, an agent circuit ID, a subnet mask, a router, and the like. , Domain name server and IP address lease time.
[0068]
In the
[0069]
If the received DHCP message is an offer message (step 105), the packet is discarded (step 106). If the received DHCP message is a request message (step 107), a user class ID option (FIG. 7) is extracted, and the user ID in the user class data is extracted and searched for in the user setting information table 15. When this user ID is searched, each information entered in this table 15 is retrieved from the DHCP option. An ACK message is created by adding it to the field, and transmitted from the
[0070]
If the received DHCP message is an ACK message (Step 109), the packet is discarded (Step 110). If the received DHCP message is a discline message (Step 111), the IP address assigned in the ACK message is changed. It is determined that the packet is abnormal (step 112). In the case of a NAK message (step 113), this packet is discarded (step 114). In the case of a release message (step 115), the IP address assigned to the client is pooled. (Step 116), and in the case of an inform message (step 117), this message is recorded (step 118). If the received packet is not a message of any of these types, the packet is discarded (step 119), and the operation of the flowchart is terminated.
[0071]
FIG. 15 is a configuration diagram showing the configuration of the
[0072]
When receiving the packet from the core network A or the
[0073]
The IP
[0074]
As shown in FIG. 16, when the processing operation of the
[0075]
If the received packet is not a RADIUS message packet, the IP
[0076]
The
[0077]
In this system, a RADIUS packet transmitted between the
[0078]
In the
[0079]
In FIG. 20, the
[0080]
In step 303 of FIG. 19, the
[0081]
If the received DHCP message is a request message (step 306), the user ID and password given to the user class data (see FIG. 7) in the user class ID option in the message are extracted. By adding these to the attribute value fields, an access-request message in the RADIUS message is created and transmitted to the
[0082]
If the received DHCP message is an ACK message (step 308), the destination address is rewritten to “broadcast” and the source address is rewritten to “IP address of
[0083]
In FIG. 19, if the received DHCP message is a discline message (step 310), similar to the Discover message, an additional process of adding relay agent information to the option field is performed, and the destination address is changed to “DHCP”. The source address is rewritten to the “address of the
[0084]
If the received DHCP message is a release message (step 314), an additional process of adding relay agent information to an option field is performed as in the case of the discover message, and the destination address is set to the address of the
[0085]
Further, if the received DHCP message is an inform message (step 316), an additional process of adding relay agent information to an option field is performed as in the case of the discover message, and the destination address is changed to the "address of the
[0086]
Next, the
[0087]
If the received RADIUS packet is an access-reject message (Step 424), it is determined that the authentication is not permitted, and the stored DHCP request message is discarded (Step 425). ), End the above operation.
[0088]
FIG. 26 is a configuration diagram showing a configuration of the
[0089]
In the
[0090]
Until the timer times out (step 434), it is determined whether or not the offer message has been received (step 435). When the timer times out, the state transits to the communication disabled state, and the
[0091]
Until the timer times out, it is determined whether or not an ACK message has been received (step 440). When the timer times out (step 439), a transition is made to a communication disabled state, and the command causes the
[0092]
FIG. 28 is a configuration diagram showing the configuration of the
[0093]
The
[0094]
In such a configuration, when the
[0095]
When the user ID and the password in the received access-request message match the contents entered in the access network user authentication table 65, the
[0096]
Next, the operation of access control in the access control system will be described based on a sequence diagram showing a DHCP protocol sequence corresponding to authentication in FIG. 31 and a flow chart showing a message flow of the first embodiment in the entire system in FIG. explain.
[0097]
In FIG. 31 and FIG. 32, first, the
[0098]
The
[0099]
The
[0100]
When receiving the offer message, the
[0101]
When receiving this offer message, the
[0102]
Upon receiving this request message, the
[0103]
Upon receiving the access-request message, the
[0104]
Upon receiving the access-accept message, the
[0105]
Upon receiving this request message, the
[0106]
When receiving the ACK message, the
[0107]
Further, it is conceivable that the
[0108]
As described above, in this embodiment, the address to be assigned from the DHCP server is determined based on the combination of the class ID from the client and the circuit ID of the PE router. Therefore, only one address is assigned to one class ID. Assignment is possible, and pooled addresses can be assigned accurately. For this reason, for example, even when connecting to the network from different access points, the client can be uniquely specified by the combination of the class ID and the circuit ID. An authorized client can be specified and an address can be easily assigned.
[0109]
In addition, in this embodiment, a communication service such as content distribution is provided only to authorized clients because the filter that allows only packets addressed to the address assigned by the PE router is automatically set at the same time when the address is distributed to the client. It is possible to eliminate the client from performing a DoS (Denial of Service) attack (denial of service attack) by performing address spoofing or the like.
[0110]
Also, in this embodiment, since the multiplexing is performed using the tag VLAN, the connected line can be known depending on which VLAN. Therefore, in the present invention, for example, a VLAN ID, which is a VLAN identifier, is assigned to the value (Value) field of the agent circuit ID suboption shown in FIG. 9 and assigned from the DHCP server in combination with the circuit ID. It is also possible to configure to determine the address. In this case, the above effect can be obtained by using the access point fixedly.
[0111]
In this embodiment, only the DHCP discover message is transmitted from the
[0112]
According to the present invention, at the time of transferring the ACK message, the IP
[0113]
The user class ID and the circuit ID can be defined in vendor extension information which is one of the options of the DHCP message, for example, in addition to the options of the DHCP message described above. In this case, the user class ID option and the circuit ID option can be continuously added to the value (Value) of the vendor extension information using the respectively defined codes.
[0114]
(Embodiment 2)
FIG. 33 is a configuration diagram illustrating a configuration of the PE router according to the second embodiment. In the following drawings, the same components as those in FIGS. 15 and 32 are denoted by the same reference numerals for convenience of description.
[0115]
33 differs from the PE router shown in the first embodiment in that the router has a built-in function of a DHCP server, that is, the function of this server is incorporated in the
[0116]
In the
[0117]
If the received packet is an offer message (step 504), the offer message is discarded (step 505), and if the received packet is a request message (step 506), the user class ID of the user class ID option in the message (step 506) The user ID and the password assigned to the
[0118]
If the received DHCP message is an ACK message (step 508), the ACK message is discarded (step 509). If the received DHCP message is a discline message (step 510), the assigned address is determined to be abnormal. (Step 511). If the message is a NAK message (step 512), the NAK message is discarded (step 513). If the message is a release message (step 514), the assigned address is returned to the pool (step 515). Further, when the received DHCP message is an inform message (step 516), the message is recorded (step 517). If the received packet is not any of these types of messages, the packet is discarded (step 518), and the operation of the flowchart is terminated.
[0119]
Next, the
[0120]
If the received RADIUS packet is an access-reject message (step 554), it is determined that the authentication has not been permitted, and the DHCP request message being held is discarded (step 555). finish.
[0121]
Next, an operation of access control in the access control system will be described based on a flowchart showing a message flow of the second embodiment in the entire system of FIG.
[0122]
Upon receiving the discover message from the
[0123]
When receiving the offer message, the
[0124]
The
[0125]
Upon receiving the access-request message, the
[0126]
When receiving the access-accept message, the
[0127]
As described above, in this embodiment, the DHCP server is built in the PE router, and the address to be assigned by the PE router is determined only by the class ID from the client. Therefore, there is no need to set the circuit ID and a table for storing the circuit ID. Thus, the processing procedure is almost halved, the addresses can be quickly and easily assigned from the PE router, and the pooled addresses can be accurately assigned.
[0128]
Further, in this embodiment, since there are no components such as a table relating to the DHCP server and the circuit ID, it is possible to provide an access control system in which the number of parts of the access control system is reduced and the production cost is reduced. it can.
[0129]
(Embodiment 3)
FIG. 37 is a configuration diagram showing a configuration of the third embodiment of the access control system according to the present invention. In FIG. 37, the backbone networks of, for example, ISPs (Internet Service Providers) 1 to 3 that are communication carriers are connected to the
[0130]
In addition, a transparent connection service is provided between the
[0131]
In such a system configuration, the
[0132]
In the
[0133]
As shown in the MPLS relay processing of FIG. 41, the MPLS
[0134]
In FIG. 40, when the processing operation of the
[0135]
If the received packet is not a RADIUS message packet, the IP
[0136]
In the
[0137]
If the received packet is an offer message (Step 704), the destination address of the offer message is rewritten to “broadcast” and the source address is rewritten to “IP address of own apparatus” and transmitted to the PC 50 (Step 705). . If the received DHCP message is a request message (step 706), the user ID and the password assigned to the user class ID option in the message are extracted, and these are assigned to the attribute value fields. An access-request message in the RADIUS message is created and transmitted to the
[0138]
If the received DHCP message is an ACK message (step 708), the destination address is rewritten to “broadcast” and the source address is rewritten to “IP address of own device” and transmitted to the client PC. (Step 709). If the received DHCP message is a discline message (step 710), as in the case of the discover message, an additional process of adding relay agent information to the option field is performed, and the destination address is changed to "DHCP server address". Then, the source address is rewritten to “the address of the own device” and transmitted to the DHCP server (step 711). In the case of a NAK message (step 712), the destination address of the message is rewritten to “broadcast” and the source address is rewritten to “IP address of own device” and transmitted to the client (step 713).
[0139]
If the received DHCP message is a release message (step 714), an additional process of adding relay agent information to the option field is performed as in the case of the discover message, and the destination address is set to the “DHCP server address”. The source address is rewritten to the "address of the own device" and transmitted to the DHCP server (step 715).
[0140]
Further, if the received DHCP message is an inform message (step 716), an additional process of adding relay agent information to the option field is performed as in the case of the discover message, and the destination address is set to the “DHCP server address”. Next, the source address is rewritten to “the address of the own device” and transmitted to the DHCP server (step 717). If the received packet is not a message of any of these types, the packet is discarded (step 718), and the operation of the flowchart is terminated.
[0141]
Next, the
[0142]
If the received RADIUS packet is an access-reject message (step 804), it is determined that the authentication has not been permitted, the DHCP request message being held is discarded (step 805), and the above operation is performed. finish.
[0143]
Next, an access control operation in the access control system will be described based on a flowchart showing a message flow of the third embodiment in the entire system of FIG. FIG. 44 illustrates a case where a connection access request is made to the
[0144]
First, the
[0145]
The
[0146]
The
[0147]
When receiving the offer message, the
[0148]
Upon receiving the access-request message, the
[0149]
Upon receiving the request message, the
[0150]
As described above, in this embodiment, the address to be assigned from the DHCP server is determined by the class ID set for each ISP from the client, so that only one address can be assigned for each ISP, The ISP can appropriately assign the assigned address. This enables each ISP to perform user management and address management.
[0151]
Also, in the case of this embodiment, similarly to the above-described embodiment, at the same time as distributing the address to the client, a filter that allows only the packet addressed to the address assigned by the PE router is automatically set. Communication services such as content distribution can be provided only to users.
[0152]
In this embodiment, a transparent connection service is provided between the
[0153]
The present invention is not limited to these embodiments, and various modifications can be made without departing from the spirit of the present invention. For example, the inquiry to the authentication server can be optionally configured so that the user can select whether or not to inquire. In addition, the function of the authentication server and the function of the DHCP server can be provided together in one server.
[0154]
Further, according to the present invention, a distribution server for distributing contents is connected to the core network, and an IP connection is made between the distribution server and the PE router based on connection information such as an IP address obtained from a DHCP server. It is also possible to perform content distribution from the distribution server to the client by multicast.
[0155]
Further, in the present invention, for example, the system of the first or second embodiment and the system of the third embodiment can be combined. In this case, too, the identification information of the user class ID is set to a different value for each network. Therefore, it becomes possible to acquire a different IP address for each network even with the same PC.
[0156]
【The invention's effect】
As described above, according to the present invention, based on the request message transmitted from the terminal device and the identification information of the user class ID assigned to the access request message by the access control device, the authentication at the authentication server and the response of the authentication are performed. Since the information necessary for the terminal device connection request by the DHCP server is assigned, only one address can be assigned to a legitimate client, and the pooled addresses can be efficiently and accurately assigned.
[0157]
According to the present invention, information necessary for a connection request of a terminal device assigned by the DHCP server is stored in a storage unit of the access control device, and the information in the storage unit is used to determine whether a packet received by the access control device is relayed. Therefore, it is possible to appropriately perform filtering of data relay, and it is possible to prevent a client from performing a DoS (Denial of Service) attack (denial of service attack) by performing address spoofing or the like.
[0158]
Further, in the present invention, by providing a circuit ID to the discover message received by the access control apparatus and transferring the circuit ID to the DHCP server, it is possible to provide the offer message from the DHCP server with the circuit ID. It is easy to identify the destination port of the offer message.
[0159]
Further, in the present invention, the access control device is provided with a DHCP information allocation function, and based on the identification information of the user class ID, it is necessary to perform authentication at the authentication server and a connection request of the terminal device by the access control device after the response of the authentication. Since assignment of information is performed, only one address can be assigned to a legitimate client, and pooled addresses can be efficiently and accurately assigned.
[0160]
Further, in the present invention, when there are a plurality of networks to which a connection request can be made by the terminal device, the authentication by the authentication server of each network is performed based on the identification information of the user class ID given to the access request message from the terminal device. In addition, based on the identification information of the user class ID given to the request message transmitted from the access control device after the response of the authentication, the DHCP server of each network can allocate the information required for the connection request of the terminal device. Therefore, an authorized client can be assigned one address to each of a plurality of networks, and pooled addresses can be efficiently and accurately assigned.
[Brief description of the drawings]
FIG. 1 is a configuration diagram illustrating a configuration of an access control system according to a first embodiment of the present invention;
FIG. 2 is a configuration diagram illustrating a configuration of a DHCP server illustrated in FIG. 1;
FIG. 3 is a configuration diagram illustrating an example of a configuration of a user setting information table illustrated in FIG. 2;
FIG. 4 is a format diagram illustrating a configuration of a DHCP packet.
FIG. 5 is a format diagram showing a configuration of a DHCP message shown in FIG. 4;
FIG. 6 is a format diagram showing a configuration of a DHCP message type option.
FIG. 7 is a format diagram showing a configuration of a user class ID option.
FIG. 8 is a format diagram showing a configuration of a relay agent information option.
FIG. 9 is a diagram of a format showing a configuration of an agent circuit ID suboption.
FIG. 10 is a format diagram showing a configuration of a subnet mask option.
FIG. 11 is a format diagram showing a configuration of a router option.
FIG. 12 is a format diagram showing a configuration of a domain name server option.
FIG. 13 is a format diagram showing a configuration of an IP address lease time option.
FIG. 14 is a flowchart illustrating a data processing operation of the DHCP server shown in FIG. 2;
FIG. 15 is a configuration diagram illustrating a configuration of a PE router illustrated in FIG. 1;
FIG. 16 is a flowchart illustrating a data processing operation of the PE router illustrated in FIG. 15;
17 is a configuration diagram illustrating a configuration of a filtering table illustrated in FIG. 15;
18 is a configuration diagram showing the configuration of the circuit ID table shown in FIG. 15;
19 is a flowchart for explaining a data processing operation of the DHCP control unit shown in FIG.
FIG. 20 is a flowchart for explaining an operation of adding relay agent information shown in FIG. 19;
FIG. 21 is a diagram of a format showing a configuration of a RADIUS packet.
FIG. 22 is a format diagram illustrating a configuration of the RADIUS message illustrated in FIG. 21;
FIG. 23 is a diagram of a format showing a configuration of an attribute value shown in FIG. 22;
FIG. 24 is a flowchart illustrating the operation of a client monitoring timer of the DHCP control unit shown in FIG. 15;
25 is a flowchart illustrating a data processing operation of the authentication control unit illustrated in FIG.
FIG. 26 is a configuration diagram illustrating a configuration of the PC illustrated in FIG. 1;
FIG. 27 is a flowchart for explaining the operation at the time of initialization of the PC shown in FIG. 26 or restart of DHCP.
FIG. 28 is a configuration diagram illustrating a configuration of the authentication server illustrated in FIG. 1;
FIG. 29 is a configuration diagram illustrating a configuration of an access network user authentication table illustrated in FIG. 28;
FIG. 30 is a flowchart illustrating an authentication operation of the authentication server shown in FIG. 28;
FIG. 31 is a sequence diagram showing an authentication-compatible DHCP protocol sequence.
FIG. 32 is a flowchart showing a flow of a message according to the first embodiment in the entire access control system.
FIG. 33 is a configuration diagram illustrating a configuration of a PE router according to the second embodiment;
FIG. 34 is a flowchart illustrating a data processing operation of the DHCP control unit illustrated in FIG. 33;
FIG. 35 is a flowchart for explaining a data processing operation of the authentication control unit shown in FIG. 33;
FIG. 36 is a flowchart showing a message flow according to the second embodiment in the entire access control system.
FIG. 37 is a configuration diagram showing a configuration of an access control system according to a third embodiment of the present invention;
38 is a configuration diagram showing a configuration of a PE router shown in FIG. 37.
FIG. 39 is a configuration diagram showing a configuration of an MPLS label table shown in FIG. 38;
FIG. 40 is a flowchart illustrating a data processing operation of the PE router illustrated in FIG. 38;
FIG. 41 is a flowchart for explaining an MPLS relay processing operation of the MPLS relay control unit shown in FIG. 38;
FIG. 42 is a flowchart for explaining a data processing operation of the DHCP control unit shown in FIG. 38;
FIG. 43 is a flowchart illustrating a data processing operation of the authentication control unit illustrated in FIG. 38;
FIG. 44 is a flowchart showing a message flow according to the third embodiment in the entire access control system.
FIG. 45 is a configuration diagram showing a configuration of a conventional access control system.
FIG. 46 is a sequence diagram showing a DHCP protocol sequence in the access control system shown in FIG. 45;
[Explanation of symbols]
1-3 ISP
10,81,83,85 DHCP server
11, 51, 61 LAN interface
12,21,52,62 Packet transmission unit
13,22,53,63 Packet receiving unit
14,24 DHCP control unit
15 User setting information table
20,70 router
23 IP relay control unit
25, 46, 64 Authentication control unit
26 Filtering table
27 Circuit ID table
28 User setting information table
30 Concentrator
31 MPLS relay control unit
32 MPLS label table
50 PC
54 DHCP processing unit
60,80,82,84 Authentication server
65 Access Network User Authentication Table
70 PE router
A Core Network
Claims (24)
前記ネットワークに認証サーバを接続させ、
前記端末装置で、前記要求メッセージにユーザクラスIDの識別情報を付与して送信する要求送信工程と、
前記要求メッセージに対応して、前記アクセス制御装置で、アクセス要求のためのアクセス要求メッセージに前記ユーザクラスIDの識別情報を付与して、前記認証サーバに送信する識別情報送信工程と、
前記アクセス要求メッセージに付与された識別情報に基づき、前記認証サーバで、前記端末装置の認証を行うとともに、該認証の応答を行う認証工程と、
前記認証サーバからの認証応答に応じて、前記アクセス制御装置で、少なくとも前記ユーザクラスIDの識別情報を付与した前記要求メッセージを、前記DHCPサーバに送信する要求転送工程と、
前記要求メッセージに付与された識別情報に応じて、前記DHCPサーバで、予めプールされた情報の中から前記端末装置の接続要求に必要な情報を割り当てて、前記アクセス制御装置を介して該端末装置に応答するデータ転送工程と、
を含むことを特徴とするアクセス制御方法。An access control method for transmitting a request message for the connection request to the DHCP server via an access control device when transmitting a connection request to the network from a terminal device to a DHCP server connected to the network,
Connecting an authentication server to the network,
A request transmission step of, in the terminal device, adding identification information of a user class ID to the request message and transmitting the request message;
In response to the request message, the access control device, in the access request message for the access request to give the identification information of the user class ID, identification information transmission step of transmitting to the authentication server,
Based on the identification information given to the access request message, in the authentication server, while authenticating the terminal device, an authentication step of responding to the authentication,
A request transfer step of transmitting, to the DHCP server, the request message to which at least the identification information of the user class ID has been added, in the access control device according to an authentication response from the authentication server;
According to the identification information given to the request message, the DHCP server allocates information necessary for a connection request of the terminal device from among pooled information in advance, and allocates the terminal device via the access control device. A data transfer process responding to the
An access control method comprising:
前記DHCPサーバから送信される前記端末装置の接続要求に必要な情報を、前記アクセス制御装置で記憶する記憶工程と、
前記記憶された情報に応じて、受信したパケットの中継の有無を、前記アクセス制御装置で判断する判断工程と、
をさらに含むことを特徴とする請求項1に記載のアクセス制御方法。In the access control method,
A storage step of storing, in the access control device, information necessary for a connection request of the terminal device transmitted from the DHCP server,
A determination step of determining whether the received packet is relayed according to the stored information by the access control device;
The access control method according to claim 1, further comprising:
前記アクセス制御装置で、受信した前記ディスカバーメッセージに、該受信したポートを識別するためのサーキットIDを付与して、前記DHCPサーバに送信するディスカバー転送工程と、
前記ディスカバーメッセージに対応して、前記DHCPサーバで、前記サーキットIDを付与したオファーメッセージを応答する提供工程と、
をさらに含むことを特徴とする請求項1または2に記載のアクセス制御方法。In the access control method, a detection step of transmitting a discover message for detecting a DHCP server in the terminal device;
A discovery transfer step of, in the access control device, adding a circuit ID for identifying the received port to the received discover message and transmitting the circuit ID to the DHCP server;
Providing, at the DHCP server, responding to the offer message with the circuit ID in response to the discover message;
The access control method according to claim 1, further comprising:
前記DHCPサーバは、前記アクセス制御装置から受信したメッセージに対応して、前記応答用のメッセージを送信する際に、当該受信メッセージに付与されていたサーキットIDを、当該応答用のメッセージに付与して前記アクセス制御装置へ送信することを特徴とする請求項1〜3のいずれか一つに記載のアクセス制御方法。In the access control method, the access control device assigns the circuit ID to a message transferred from the terminal device to the DHCP server, transfers the message to the DHCP server, and transfers a message transferred from the DHCP server to the terminal device. And deletes the circuit ID from the terminal device and transfers it to the terminal device.
When transmitting the response message in response to the message received from the access control device, the DHCP server appends the circuit ID assigned to the received message to the response message. The access control method according to any one of claims 1 to 3, wherein the access control method is transmitted to the access control device.
前記端末装置の接続要求に必要な情報を、前記アクセス制御装置で記憶する記憶工程と、
前記端末装置で、前記要求メッセージにユーザクラスIDの識別情報を付与して送信する要求送信工程と、
前記要求メッセージに対応して、前記アクセス制御装置で、アクセス要求のためのアクセス要求メッセージに前記ユーザクラスIDの識別情報を付与して、前記認証サーバに送信する識別情報送信工程と、
前記アクセス要求メッセージに付与された識別情報に基づき、前記認証サーバで、前記端末装置の認証を行うとともに、該認証の応答を行う認証工程と、
前記認証サーバからの認証応答に応じて、前記アクセス制御装置で、予めプールされた情報の中から前記端末装置の接続要求に必要な情報を割り当てて、該端末装置に応答するデータ送信工程と、
を含むことを特徴とするアクセス制御方法。An access control method for transmitting a request message for the connection request to the DHCP server via an access control device when transmitting a connection request to the network from a terminal device to a DHCP server connected to the network,
A storage step of storing information necessary for a connection request of the terminal device in the access control device,
A request transmission step of, in the terminal device, adding identification information of a user class ID to the request message and transmitting the request message;
In response to the request message, the access control device, in the access request message for the access request to give the identification information of the user class ID, identification information transmission step of transmitting to the authentication server,
Based on the identification information given to the access request message, in the authentication server, while authenticating the terminal device, an authentication step of responding to the authentication,
In response to an authentication response from the authentication server, the access control device assigns information necessary for a connection request of the terminal device from among information pooled in advance, and a data transmission step of responding to the terminal device,
An access control method comprising:
前記端末装置と前記DHCPサーバが接続された少なくとも一つの特定ネットワークとの間には、当該特定ネットワークと異なる少なくとも一つの異種ネットワークが介在しており、かつ前記各特定ネットワークには、前記DHCPサーバとともに認証サーバをそれぞれ接続させ、
前記端末装置で、前記要求メッセージに、前記特定ネットワークのうち、ある特定ネットワークに対応するユーザクラスIDの識別情報を付与して送信する要求送信工程と、
アクセス要求のためのアクセス要求メッセージに前記ユーザクラスIDの識別情報を付与して、前記ある特定ネットワークに接続された認証サーバに送信する識別情報送信工程と、
前記アクセス要求メッセージに付与された識別情報に基づき、前記認証サーバで、前記端末装置の認証を行うとともに、該認証の応答を行う認証工程と、
前記認証サーバからの認証応答に応じて、前記アクセス制御装置で、前記ユーザクラスIDの識別情報を付与した前記要求メッセージを、前記ある特定ネットワークに接続されたDHCPサーバに送信する要求転送工程と、
前記要求メッセージに付与された識別情報に応じて、前記DHCPサーバで、予めプールされた情報の中から前記端末装置の接続要求に必要な情報を割り当てて、前記アクセス制御装置を介して該端末装置に応答するデータ転送工程と、
を含むことを特徴とするアクセス制御方法。Access for transferring a request message for the connection request to the DHCP server via an access control device when transmitting a connection request to at least one specific network from a terminal device to a DHCP server connected to the network; In the control method,
At least one heterogeneous network different from the specific network is interposed between the terminal device and at least one specific network to which the DHCP server is connected, and each of the specific networks is provided together with the DHCP server. Connect each authentication server,
A request transmitting step of, in the terminal device, transmitting the request message with identification information of a user class ID corresponding to a specific network among the specific networks;
An identification information transmitting step of adding identification information of the user class ID to an access request message for an access request and transmitting the identification information to an authentication server connected to the specific network;
Based on the identification information given to the access request message, in the authentication server, while authenticating the terminal device, an authentication step of responding to the authentication,
A request transfer step of, in response to an authentication response from the authentication server, transmitting, by the access control device, the request message to which the identification information of the user class ID has been added, to a DHCP server connected to the specific network;
According to the identification information given to the request message, the DHCP server allocates information necessary for a connection request of the terminal device from among pooled information in advance, and allocates the terminal device via the access control device. A data transfer process responding to the
An access control method comprising:
前記DHCPサーバから前記ネットワーク毎に転送される前記端末装置の接続要求に必要な情報を、前記アクセス制御装置で記憶する記憶工程と、
前記記憶された情報に応じて、受信したパケットの中継の有無を、前記アクセス制御装置で判断する判断工程と、
をさらに含むことを特徴とする請求項9に記載のアクセス制御方法。In the access control method,
A storage step of storing, in the access control device, information necessary for a connection request of the terminal device transferred from the DHCP server for each network,
A determination step of determining whether the received packet is relayed according to the stored information by the access control device;
The access control method according to claim 9, further comprising:
前記端末装置から送信されたユーザクラスIDの識別情報が付与された要求メッセージに対応して、アクセス要求のためのアクセス要求メッセージに前記ユーザクラスIDの識別情報を付与する情報制御手段と、
前記アクセス要求メッセージを前記認証サーバへ送信させる送信制御手段と、
前記識別情報が付与された要求メッセージを保持する保持手段と、
前記認証サーバからの認証応答に応じて、前記保持された要求メッセージを前記DHCPサーバへ転送させるとともに、前記DHCPサーバから送信される前記端末装置の接続要求に必要な情報を、該端末装置へ転送させる転送制御手段と、
を備えたことを特徴とするアクセス制御装置。An authentication server connected between a terminal device and a network, for transferring a request message for connection request to the network transmitted from the terminal device to a DHCP server connected to the network, An access control device for transmitting an access request message for an access request to
Information control means for providing the identification information of the user class ID to an access request message for an access request in response to the request message to which the identification information of the user class ID transmitted from the terminal device is provided;
Transmission control means for transmitting the access request message to the authentication server,
Holding means for holding a request message to which the identification information is added,
In accordance with an authentication response from the authentication server, the held request message is transferred to the DHCP server, and information necessary for the connection request of the terminal device transmitted from the DHCP server is transferred to the terminal device. Transfer control means for causing
An access control device comprising:
前記記憶手段に記憶された情報に応じて、受信したパケットの中継の有無を判断する判断手段と、
をさらに備えたことを特徴とする請求項12に記載のアクセス制御装置。A storage unit configured to store information necessary for a connection request of the terminal device transmitted from the DHCP server,
Judging means for judging the presence or absence of the relay of the received packet according to the information stored in the storage means,
The access control device according to claim 12, further comprising:
メッセージの受信ポートに対応したサーキットIDを記憶するサーキットID記憶手段と、
前記メッセージに付与されたサーキットIDに基づいて、サーキットID記憶手段を検索して、該メッセージを受信したポートを識別する識別手段をさらに備え、
前記転送制御手段は、前記端末装置から送信される前記DHCPサーバを検知するためのディスカバーメッセージに、該ディスカバーメッセージを受信したポートを識別するためのサーキットIDを付与して、前記DHCPサーバに転送するとともに、該DHCPサーバから送信されるオファーメッセージに付与されたサーキットIDを削除するとともに、該削除したサーキットIDに基づいて、前記識別手段で識別されたポートに、前記オファーメッセージを転送することを特徴とする請求項12または13に記載のアクセス制御装置。The access control device,
Circuit ID storage means for storing a circuit ID corresponding to a message receiving port;
Based on the circuit ID given to the message, further comprising: an identification unit that searches a circuit ID storage unit and identifies a port that has received the message.
The transfer control unit adds a circuit ID for identifying a port that has received the discover message to a discover message for detecting the DHCP server transmitted from the terminal device, and transfers the message to the DHCP server. And deleting the circuit ID given to the offer message transmitted from the DHCP server, and transferring the offer message to the port identified by the identification means based on the deleted circuit ID. 14. The access control device according to claim 12, wherein:
前記端末装置の接続要求に必要な情報を記憶する記憶手段と、
前記端末装置から送信されたユーザクラスIDの識別情報が付与された要求メッセージに対応して、アクセス要求のためのアクセス要求メッセージに前記ユーザクラスIDの識別情報を付与する情報制御手段と、
前記アクセス要求メッセージを前記認証サーバへ送信させるメッセージ送信制御手段と、
前記認証サーバからの認証応答に応じて、予めプールされている情報から、前記端末装置の接続要求に必要な情報を割り当て、前記記憶手段に記憶させる情報割当手段と、
前記割り当てられた情報を前記端末装置に送信させる情報送信制御手段と、
を備えたことを特徴とするアクセス制御装置。An authentication server connected between a terminal device and a network, for transferring a request message for connection request to the network transmitted from the terminal device to a DHCP server connected to the network, An access control device for transmitting an access request message for an access request to
Storage means for storing information necessary for a connection request of the terminal device,
Information control means for providing the identification information of the user class ID to an access request message for an access request in response to the request message to which the identification information of the user class ID transmitted from the terminal device is provided;
Message transmission control means for transmitting the access request message to the authentication server,
In accordance with an authentication response from the authentication server, from the information pooled in advance, information necessary for the connection request of the terminal device is allocated, and information allocating means for storing in the storage means,
Information transmission control means for transmitting the assigned information to the terminal device,
An access control device comprising:
端末装置からの前記特定ネットワークのうちのある特定ネットワークに対するユーザクラスIDの識別情報が付与された要求メッセージに対応して、アクセス要求のためのアクセス要求メッセージに前記ユーザクラスIDの識別情報を付与する情報制御手段と、
前記アクセス要求メッセージを前記ある特定ネットワークに接続された認証サーバへ送信させる送信制御手段と、
前記識別情報が付与された要求メッセージを保持する保持手段と、
前記認証サーバからの認証応答に応じて、前記保持された要求メッセージを前記ある特定ネットワークに接続されたDHCPサーバへ転送させるとともに、前記DHCPサーバから送信される前記端末装置の接続要求に必要な情報を、該端末装置へ転送させる転送制御手段と、
を備えたことを特徴とするアクセス制御装置。A request message for connection request to the specific network, which is connected between the terminal device and at least one specific network, and transmitted from the terminal device to a DHCP server connected to the specific network; An access control device for transmitting an access request message for an access request to an authentication server connected to a network,
In response to a request message from a terminal device to which identification information of a user class ID for a certain specific network among the specific networks has been added, the identification information of the user class ID is added to an access request message for an access request. Information control means;
Transmission control means for transmitting the access request message to an authentication server connected to the certain network,
Holding means for holding a request message to which the identification information is added,
In response to an authentication response from the authentication server, the request message stored is transferred to a DHCP server connected to the specific network, and information necessary for a connection request of the terminal device transmitted from the DHCP server is transmitted. Transfer control means for transferring to the terminal device,
An access control device comprising:
前記記憶手段に記憶された情報に応じて、受信したパケットの中継の有無を判断する判断手段と、
をさらに備えたことを特徴とする請求項19に記載のアクセス制御装置。A storage unit configured to store information necessary for a connection request of the terminal device transmitted from the DHCP server,
Judging means for judging the presence or absence of the relay of the received packet according to the information stored in the storage means,
20. The access control device according to claim 19, further comprising:
前記接続要求のための要求メッセージにユーザクラスIDの識別情報を付与して送信する端末装置と、
前記ネットワークと端末装置間に接続される請求項12〜16のいずれか一つに記載のアクセス制御装置と、
前記ネットワークに接続され、前記アクセス制御装置からのアクセス要求メッセージに付与されたユーザクラスIDの識別情報に基づき、前記端末装置の認証を行うとともに、該認証の応答を行う認証サーバと、
前記ネットワークに接続され、前記要求メッセージに付与された識別情報に応じて、前記端末装置の接続要求に必要な情報を応答するDHCPサーバと、
を備えたことを特徴とするアクセス制御システム。In an access control system that responds to a connection request to a network with information necessary for the connection request,
A terminal device for adding identification information of a user class ID to a request message for the connection request and transmitting the request message;
The access control device according to any one of claims 12 to 16, which is connected between the network and a terminal device;
An authentication server that is connected to the network and authenticates the terminal device based on identification information of a user class ID given to an access request message from the access control device, and performs a response to the authentication;
A DHCP server connected to the network and responding to the information required for the connection request of the terminal device according to the identification information given to the request message;
An access control system comprising:
前記接続要求のための要求メッセージにユーザクラスIDの識別情報を付与して送信する端末装置と、
前記ネットワークと端末装置間に接続される請求項17または18に記載のアクセス制御装置と、
前記ネットワークに接続され、前記アクセス制御装置からのアクセス要求メッセージに付与されたユーザクラスIDの識別情報に基づき、前記端末装置の認証を行うとともに、該認証の応答を行う認証サーバと、
を備え、前記認証サーバからの認証応答に応じて、前記アクセス制御装置が、前記端末装置の接続要求に必要な情報を、該端末装置に応答することを特徴とするアクセス制御システム。In an access control system that responds to a connection request to a network with information necessary for the connection request,
A terminal device for adding identification information of a user class ID to a request message for the connection request and transmitting the request message;
The access control device according to claim 17 or 18, wherein the access control device is connected between the network and a terminal device.
An authentication server that is connected to the network and authenticates the terminal device based on identification information of a user class ID given to an access request message from the access control device, and performs a response to the authentication;
An access control system, wherein the access control device responds to the terminal device with information necessary for a connection request of the terminal device in response to an authentication response from the authentication server.
前記特定ネットワークのうち、ある特定ネットワークに対応するユーザクラスIDの識別情報を付与した前記接続要求のための要求メッセージを送信する端末装置と、
前記各特定ネットワークと端末装置間に接続される請求項19〜21のいずれか一つに記載のアクセス制御装置と、
前記特定ネットワーク毎にそれぞれ接続され、前記アクセス制御装置からのアクセス要求メッセージに付与されたユーザクラスIDの識別情報に基づき、前記端末装置の認証を行うとともに、該認証の応答を行う認証サーバと、
前記特定ネットワーク毎にそれぞれ接続され、前記要求メッセージに付与された識別情報に応じて、前記端末装置の接続要求に必要な情報を応答するDHCPサーバと、
を備え、前記特定ネットワーク毎に端末装置の認証および該端末装置の接続要求に必要な情報の応答を行うことを特徴とするアクセス制御システム。An access control system for responding to information required for a connection request for each specific network in response to a connection request to at least one specific network,
A terminal device that transmits a request message for the connection request to which identification information of a user class ID corresponding to a certain specific network is assigned,
The access control device according to any one of claims 19 to 21, wherein the access control device is connected between each of the specific networks and a terminal device.
An authentication server that is connected to each of the specific networks and performs authentication of the terminal device based on identification information of a user class ID given to an access request message from the access control device, and performs a response to the authentication;
A DHCP server connected to each of the specific networks, and responding to the information required for the connection request of the terminal device according to the identification information given to the request message;
And an access control system for performing authentication of a terminal device and response of information necessary for a connection request of the terminal device for each of the specific networks.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2002371089A JP2004207788A (en) | 2002-12-20 | 2002-12-20 | Access control method, access controller, and access control system using the same |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2002371089A JP2004207788A (en) | 2002-12-20 | 2002-12-20 | Access control method, access controller, and access control system using the same |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2004207788A true JP2004207788A (en) | 2004-07-22 |
Family
ID=32810068
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2002371089A Pending JP2004207788A (en) | 2002-12-20 | 2002-12-20 | Access control method, access controller, and access control system using the same |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2004207788A (en) |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2008244765A (en) * | 2007-03-27 | 2008-10-09 | Toshiba Corp | Dynamic host configuration protocol server, and ip address assignment method |
WO2009008076A1 (en) * | 2007-07-11 | 2009-01-15 | Fujitsu Limited | Authentication system, terminal authentication apparatus, and authentication process program |
JP2010193051A (en) * | 2009-02-17 | 2010-09-02 | Fujitsu Telecom Networks Ltd | Network management method, dhcp relay agent, and dhcp server |
KR101046332B1 (en) | 2009-02-02 | 2011-07-05 | 한남대학교 산학협력단 | IP address allocation system and its method according to security level of internal network |
JP2014533054A (en) * | 2011-11-08 | 2014-12-08 | ▲ホア▼▲ウェイ▼技術有限公司 | Method for transferring authentication information, relay device, and server |
-
2002
- 2002-12-20 JP JP2002371089A patent/JP2004207788A/en active Pending
Cited By (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2008244765A (en) * | 2007-03-27 | 2008-10-09 | Toshiba Corp | Dynamic host configuration protocol server, and ip address assignment method |
WO2009008076A1 (en) * | 2007-07-11 | 2009-01-15 | Fujitsu Limited | Authentication system, terminal authentication apparatus, and authentication process program |
JP5018883B2 (en) * | 2007-07-11 | 2012-09-05 | 富士通株式会社 | Authentication system, terminal authentication device, and authentication processing program |
US8312513B2 (en) | 2007-07-11 | 2012-11-13 | Fujitsu Limited | Authentication system and terminal authentication apparatus |
KR101046332B1 (en) | 2009-02-02 | 2011-07-05 | 한남대학교 산학협력단 | IP address allocation system and its method according to security level of internal network |
JP2010193051A (en) * | 2009-02-17 | 2010-09-02 | Fujitsu Telecom Networks Ltd | Network management method, dhcp relay agent, and dhcp server |
JP2014533054A (en) * | 2011-11-08 | 2014-12-08 | ▲ホア▼▲ウェイ▼技術有限公司 | Method for transferring authentication information, relay device, and server |
US10075441B2 (en) | 2011-11-08 | 2018-09-11 | Huawei Technologies Co., Ltd. | Method for transferring authorization information, relay device, and server |
US10320788B2 (en) | 2011-11-08 | 2019-06-11 | Huawei Technologies Co., Ltd. | Method for transferring authorization information, relay device, and server |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US20100223655A1 (en) | Method, System, and Apparatus for DHCP Authentication | |
US9756052B2 (en) | Method and apparatus for dual stack access | |
US7152117B1 (en) | Techniques for dynamic host configuration using overlapping network | |
US8605582B2 (en) | IP network system and its access control method, IP address distributing device, and IP address distributing method | |
EP2346217B1 (en) | Method, device and system for identifying an IPv6 session | |
JP4975190B2 (en) | Search method for hosts in IPv6 network | |
CN110958272B (en) | Identity authentication method, identity authentication system and related equipment | |
JP2007166082A (en) | Packet transfer device | |
WO2013159641A1 (en) | Address allocation method, device, and system | |
WO2012088911A1 (en) | Method and device for ip terminal to access network | |
EP2615788A1 (en) | Method for dual stack user management and broadband access server | |
JP4852110B2 (en) | IPv6 address acquisition apparatus, method, and system | |
CN104601743A (en) | IP (internet protocol) forwarding IPoE (IP over Ethernet) dual-stack user access control method and equipment based on Ethernet | |
JP2008066907A (en) | Packet communication device | |
JP2001326696A (en) | Method for controlling access | |
US20060193330A1 (en) | Communication apparatus, router apparatus, communication method and computer program product | |
CN106131177B (en) | Message processing method and device | |
JP3994412B2 (en) | Network system, network identifier setting method, network connection point, network identifier setting program, and recording medium | |
JP3823674B2 (en) | COMMUNICATION METHOD AND COMMUNICATION CONTROL DEVICE WITH PROTOCOL CONVERSION | |
WO2011140954A1 (en) | Method and device for obtaining remote ip address | |
JP2004207788A (en) | Access control method, access controller, and access control system using the same | |
JP5261432B2 (en) | Communication system, packet transfer method, network switching apparatus, access control apparatus, and program | |
JP2008160868A (en) | Packet transfer device | |
JP2004072633A (en) | IPv6 NODE ACCOMMODATING METHOD AND IPv6 NODE ACCOMMODATING SYSTEM | |
JP2004104355A (en) | Method and apparatus for managing network address and network address management system |