JP2007226620A - Home gateway device and accounting management system for network system - Google Patents
Home gateway device and accounting management system for network system Download PDFInfo
- Publication number
- JP2007226620A JP2007226620A JP2006048193A JP2006048193A JP2007226620A JP 2007226620 A JP2007226620 A JP 2007226620A JP 2006048193 A JP2006048193 A JP 2006048193A JP 2006048193 A JP2006048193 A JP 2006048193A JP 2007226620 A JP2007226620 A JP 2007226620A
- Authority
- JP
- Japan
- Prior art keywords
- gateway device
- home gateway
- authentication
- network system
- concentrator
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Images
Landscapes
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
Description
本発明は、インターネットアクセス技術に関し、特にBRAS(Broadband Remote Access Server)を使用せずにアクセス制御を行う宅内ゲートウェイ装置およびネットワークシステムのアカウンティング管理方式に関する。 The present invention relates to Internet access technology, and more particularly, to an in-home gateway apparatus that performs access control without using BRAS (Broadband Remote Access Server) and an accounting management system for a network system.
近年、急速に発展したインターネットサービスにおいて、ブロードバンドアクセス方式として、PPPoE(Point to Point Protocol over Ether)が広く使用され、BRASサーバによるユーザ認証が行なわれてきた。
一般に、BRASが認証を行う場合、先ず、ユーザ側のルータなどの端末とBRASとの間で、PPPoEによるセッション確立を行う。次のPPPoEのセッションステージでは、PPPセッションを開始し、LCP(Link Control Protocol)パケットによるネゴシエーションが行われ、端末から認証プロトコルを要求する。PAP(Password Authentication Protocol)あるいはCHAP(Challenge Handshake Authentication Protocol)など認証プロトコルが決まると、端末からBRASに認証情報が送られ、BRASは接続を要求している端末が許可されたユーザか否か認証を行う。認証が成功すると、IPCP(IP Control Protocol)パケットによって、BRASのIPアドレスが通知される。端末側はBRASにIPアドレスを要求し、BRASからIPアドレスが払い出される。このようにして、IPによるインターネットアクセスが可能となる。
2. Description of the Related Art Recently, PPPoE (Point to Point Protocol over Ether) has been widely used as a broadband access method in rapidly developing Internet services, and user authentication has been performed by a BRAS server.
In general, when the BRAS performs authentication, first, a session is established by PPPoE between a terminal such as a router on the user side and the BRAS. In the next PPPoE session stage, a PPP session is started, negotiation by an LCP (Link Control Protocol) packet is performed, and an authentication protocol is requested from the terminal. Once an authentication protocol such as PAP (Password Authentication Protocol) or CHAP (Challengage Handshake Authentication Protocol) is determined, authentication information is sent from the terminal to the BRAS, and the BRAS authenticates whether the terminal requesting the connection is an authorized user. Do. When the authentication is successful, the IP address of the BRAS is notified by an IPCP (IP Control Protocol) packet. The terminal side requests an IP address from the BRAS, and the IP address is issued from the BRAS. In this way, Internet access by IP becomes possible.
また、PPPoEでは、認証後に、接続が生きているか否かを確認するキープアライブを行い、一旦、切断を検出した場合は再認証が必要で、不正なユーザが正規のユーザに成りすまして接続することを防止する。
このような従来のネットワークシステムとアカウンティング方式について図6を用いて説明する。従来のPPPoE認証は、回線終端装置112から114に接続されたパソコン(PC)607やブロードバンド(BB)ルータ608あるいはVoIP(Voice over IP)アダプタ609などの装置は、集線装置604および集約SW106や602を介して接続されるBRAS601によって認証されていた。認証後のIP網100への接続もBRAS601を経由するので、端末の全ての通信はBRAS601に集約される。
Also, in PPPoE, after authentication, keep alive is performed to check whether or not the connection is alive. Once disconnection is detected, re-authentication is required, and an unauthorized user impersonates a legitimate user and connects. To prevent.
Such a conventional network system and accounting method will be described with reference to FIG. In conventional PPPoE authentication, devices such as a personal computer (PC) 607, a broadband (BB)
一方、アカウンティング管理についても、すべてのサービスはBRAS601を経由して利用されるので、BRAS601は、各端末が利用するサービス(インターネットアクセス、IP電話、VODなどの映像配信サービス)毎にPPPoEのセッションを確立し、ユーザ毎あるいはサービス毎の通信量を計測して記録していた。
このように、従来のBRASは、本来のアクセスルータとしての機能だけでなく、ユーザ認証,アカウンティング管理,IPの払い出しなどの端末管理も行っていたが、近年のインターネットのブロードバンド化に伴う回線容量の増大に伴って、BRASの負荷は益々高くなり、高価なBRASの集中管理に代わるシステムが求められている。
On the other hand, for accounting management, since all services are used via the BRAS 601, the BRAS 601 uses a PPPoE session for each service (video access service such as Internet access, IP phone, and VOD) used by each terminal. Established and measured and recorded the traffic for each user or service.
As described above, the conventional BRAS not only functions as an original access router but also performs terminal management such as user authentication, accounting management, and IP allocation. Along with the increase, the load of BRAS becomes higher and a system that replaces the expensive centralized management of BRAS is demanded.
また、BRASがユーザ認証を行わずに、RADIUS(Remote Authentication Dial-In User Service)サーバが行うこともある。この場合は、PPPoEセッションを確立後、端末からPPPoEで送られてきた認証情報は、BRASによってRADIUSパケットに変換され、ユーザが利用するサービスプロバイダのRADIUSサーバに送られる。RADIUSサーバでの認証が成功すると、BRASはIPアドレスの払い出しを行って、確立されたセッションの管理や制御を行う。このようなRADIUSサーバによる認証やアカウンティングに関しては、業界団体IETF(Internet Engineering Task Force )が定めた標準書(非特許文献1および2)に詳しく記載されている。
In addition, the RADIUS (Remote Automation Dial-In User Service) server may perform the BRAS without performing user authentication. In this case, after establishing the PPPoE session, the authentication information sent from the terminal by PPPoE is converted into a RADIUS packet by BRAS and sent to the RADIUS server of the service provider used by the user. When the authentication with the RADIUS server is successful, the BRAS issues an IP address, and manages and controls the established session. Such authentication and accounting by the RADIUS server are described in detail in a standard document (Non-patent
また、非特許文献3では、BRASに代わる方法として、エッジスイッチによる分散管理が提案されている。
ところが、上記のような従来技術では、ユーザの全ての通信がBRASを通るため管理がし易いという利点がある反面、BRASの処理能力に限界がある。従来のPPPoE接続では各ユーザはBRASで認証され、ユーザの通信は全てBRASに集約され、BRAS経由で行われるため、BRAS以下のアクセス中継網を大容量化してもBRASの容量がボトルネックとなる。しかも、回線容量を増やすためには、高価なBRASの設置台数を増やさなければならず、コスト面での問題がある。 However, the conventional technology as described above has an advantage that all communication of the user passes through the BRAS and is easy to manage. However, the processing capability of the BRAS is limited. In the conventional PPPoE connection, each user is authenticated by BRAS, and all user communications are aggregated into BRAS and performed via BRAS. Therefore, even if the capacity of an access relay network below BRAS is increased, the BRAS capacity becomes a bottleneck. . Moreover, in order to increase the line capacity, it is necessary to increase the number of expensive BRAS installed, and there is a problem in terms of cost.
この問題を解決するために、非特許文献3では、BRASでPPPoE認証を行う代わりに、エッジ側でEAPoL(Extensible Authentication Protocol over LAN)を用いたIEEE802.1x認証を行う方法が提案されている。しかし、この場合は、BRASで行っていたIPアドレスの付与やアカウンティング管理などの認証以外の処理を、BRASの代わりに行う装置が必要となる。例えば、IPアドレスの付与をDHCP(Dynamic Host Configuration Protocol)サーバで行った場合でも、アカウンティング管理やセキュリティ確保などを行う仕組みが必要である。
In order to solve this problem, Non-Patent
アカウンティング管理は、高価なBRASを使わない場合、システム内のいずれかの場所で、ユーザの単位時間あたりのデータ通信量を計測する必要がある。集線装置には、ユーザ毎の通信量を計測できるものもあるが、サービス毎の通信量を計測するためには、集線装置を通るデータの内容を解析しなくてはならず、集線装置のパフォーマンスやコストが犠牲になってしまう。 In accounting management, when an expensive BRAS is not used, it is necessary to measure a data communication amount per unit time of a user at any location in the system. Some concentrators can measure the amount of traffic for each user, but in order to measure the amount of traffic for each service, the contents of the data that passes through the concentrator must be analyzed and the performance of the concentrator. And cost.
一方、IEEE802.1x認証を行うシステムの場合、IEEE802.1x認証は再認証の機能を持っているが、RADIUSサーバは多数の集線装置の配下にある被認証装置(宅内ゲートウェイなど)を認証するため、RADIUSサーバに対する再認証のトラフィックおよび処理の負荷が高くなり、今度は、RADIUSサーバの性能がボトルネックになるという問題がある。 On the other hand, in the case of a system that performs IEEE 802.1x authentication, IEEE 802.1x authentication has a re-authentication function, but the RADIUS server authenticates a device to be authenticated (such as a home gateway) under the control of many concentrators. There is a problem that the traffic of re-authentication for the RADIUS server and the processing load become high, and this time, the performance of the RADIUS server becomes a bottleneck.
また、セキュリティ面では、IEEE802.1x認証を用いたシステムの場合、従来のPPPoEのように、一度認証されたあとで不正な装置につなぎ換えられるのを防止する仕組みが必要となる。
上記課題に鑑み、本発明の目的は、DHCPベースのシステムで、BRASを使用せずに、従来のBRASで行っていたのと同等のアカウンティング情報の管理やセキュリティ確保を可能にする宅内ゲートウェイ装置およびネットワークシステムのアカウンティング管理方式を提供することである。
In terms of security, in the case of a system using IEEE802.1x authentication, a mechanism for preventing connection to an unauthorized device after being authenticated once is required, as in conventional PPPoE.
In view of the above problems, an object of the present invention is to provide an in-home gateway device that enables management of accounting information and security ensuring equivalent to those performed in a conventional BRAS without using a BRAS in a DHCP-based system, and It is to provide a network system accounting management method.
請求項1に係る発明は、端末毎の通信量を管理する管理サーバを備えるネットワークシステムに接続する宅内ゲートウェイ装置において、スイッチ手段と、前記スイッチ手段に接続される端末の通信量を計測する計測手段と、前記計測手段が計測した通信量を前記管理サーバに通知する通知手段とを設けたことを特徴とする。
請求項2に係る発明は、請求項1に記載の宅内ゲートウェイ装置において、前記通知手段は、予め定められた時間間隔で前記通信量を前記管理サーバに通知することを特徴とする。
The invention according to
According to a second aspect of the present invention, in the residential gateway device according to the first aspect, the notifying unit notifies the management server of the communication amount at a predetermined time interval.
請求項3に係る発明は、請求項1または2に記載の宅内ゲートウェイ装置において、サプリカントによるIEEE802.1x認証を行う認証要求手段を設けたことを特徴とする。
請求項4に係る発明は、請求項1乃至3のいずれか一項に記載の宅内ゲートウェイ装置を有し、端末毎の通信量を管理する管理サーバを備えるネットワークシステムのアカウンティング管理方式において、EAPoLを定期的に送出してセッションの状態を確認するキープアライブ手段を有する集線装置を備えたことを特徴とする。
The invention according to
According to a fourth aspect of the present invention, there is provided an accounting management method for a network system that includes the residential gateway device according to any one of the first to third aspects and includes a management server that manages a communication amount for each terminal. It is characterized by comprising a concentrator having keep-alive means for periodically sending out and confirming the state of the session.
請求項5に係る発明は、請求項4に記載のネットワークシステムのアカウンティング管理方式において、前記集線装置に前記宅内ゲートウェイ装置とのセッションを切断する切断手段を設け、前記集線装置は、定期的に送出する前記EAPoLの応答が無かった場合に、前記切断手段によってセッションを切断することを特徴とする。
請求項6に係る発明は、請求項5に記載のネットワークシステムのアカウンティング管理方式において、前記宅内ゲートウェイ装置に再認証を要求する再認証要求手段を設け、前記集線装置が前記宅内ゲートウェイ装置とのセッションを切断した場合に、前記宅内ゲートウェイ装置は前記再認証要求手段によって前記集線装置に再認証を要求することを特徴とする。
According to a fifth aspect of the present invention, in the accounting management method for the network system according to the fourth aspect, the concentrator is provided with a cutting means for disconnecting a session with the in-home gateway device, and the concentrator is periodically transmitted. When there is no response to the EAPoL, the disconnection unit disconnects the session.
The invention according to claim 6 is the network system accounting management method according to claim 5, wherein re-authentication request means for requesting re-authentication to the in-home gateway device is provided, and the concentrator is in session with the in-home gateway device. In the case where the home gateway device is disconnected, the re-authentication request means requests the re-authentication to the concentrator.
本発明では、BRASを使わないネットワークシステムにおいても、管理サーバに負荷を掛けずに、ユーザ毎の通信量やサービス毎の通信量の計測を行うことができる。また、計測した情報を、宅内ゲートウェイ装置が管理サーバに通知あるいは管理サーバが宅内ゲートウェイ装置に要求することで、アカウンティング管理を行うことができる。特に、最もユーザ側に近い宅内ゲートウェイ装置で通信量を計測するので、集約スイッチや集線装置等で通信量を計測する場合に比べて、これらの装置への負荷を低減でき、従来のBRASを用いたアカウンティング管理と同等の情報収集が可能となる。 In the present invention, even in a network system that does not use BRAS, the communication volume for each user and the communication volume for each service can be measured without imposing a load on the management server. In addition, accounting management can be performed when the home gateway device notifies the management server of the measured information or the management server requests the home gateway device. In particular, since the traffic volume is measured by the home gateway device closest to the user side, the load on these devices can be reduced compared to the case where the traffic volume is measured by an aggregation switch, a concentrator, etc., and the conventional BRAS is used. It is possible to collect information equivalent to the existing accounting management.
さらに、集線装置と宅内ゲートウェイ装置との間でキープアライブ動作を行うことで、集線装置が切断を検出することができ、アカウンティング管理サーバへの負荷を減らすことができる。また、キープアライブ動作にEAPoLを用いるので、キープアライブのフレームを偽装したアクセスを防止することができ、従来と同等のセキュリティを確保することができる。 Furthermore, by performing a keep-alive operation between the line concentrator and the home gateway apparatus, the line concentrator can detect disconnection, and the load on the accounting management server can be reduced. Further, since EAPoL is used for the keep alive operation, it is possible to prevent an access in which a keep alive frame is camouflaged, and to ensure the same security as the conventional one.
(第1の実施形態)
図1は、本発明に係る「宅内ゲートウェイ装置およびネットワークシステムのアカウンティング管理方式」のネットワークシステムを示し、IP網(インターネット網)100に接続するL3SW(レイヤ3スイッチ)101を中心に描いてある。L3SW101には、DHCPサーバ102,SNMP(Simple Network Management Protocol)による監視サーバ103,アカウンティング管理を行うRADIUSサーバ104,端末のファームウェアのバージョンアップやVoIPアダプタの設定などを自動的に行う自動設定サーバ105などが接続されている。本実施形態では、ユーザ宅内にアカウンティング機能を有する宅内ゲートウェイ装置を設置することでネットワークシステムのアカウンティング管理を実現する。
(First embodiment)
FIG. 1 shows a network system of “accounting management method for home gateway apparatus and network system” according to the present invention, and mainly depicts an L3SW (
L3SW101の配下には、レイヤ2のスイッチやVLAN制御,QoS制御などを行う集約SW106から108が接続され、集約SW106から108の下には、光ファイバー網の場合は集線装置109に示すOLT(Optical Line Terminal)が、ADSL(Asymmetric Digital Subscriber Line)の場合は集線装置111に示すDSLAM(Digital Subscriber Line Access Multiplexer)が、あるいはCATVやその他の通信網の集線装置110がそれぞれ接続される。集線装置(OLT)109の下には、加入者宅側の回線終端装置(ONU:Optical Network Unit)112から114が接続される。また、集線装置(DSLAM)111の下には、加入者宅の回線終端装置(ADSLモデム)116が接続される。あるいはCATVなどその他の集線装置110には、集線装置110に対応する宅内の回線終端装置115が接続される。
Under the L3SW 101, layer 2 switches,
加入者宅側の各回線終端装置には、本発明に係る宅内ゲートウェイ装置117から119が接続される。宅内ゲートウェイ装置117から119は、複数のパソコンを接続するためのブロードバンドルータ機能,IP電話機を接続するためのVoIPアダプタ機能を持ち、加入者宅内で使用されるPC120および122や、IP電話機121および123などの全ての通信は、この宅内ゲートウェイ装置117から119を介して行われる。また、宅内ゲートウェイ装置117から119は、宅内のLAN側はプライベートアドレスで管理し、宅外のWAN側はDHCPサーバからグローバルアドレスを取得して接続する。さらに、宅内ゲートウェイ装置117から119は、IEEE802.1x認証のサプリカント機能を搭載する。
In-
ここで、宅内ゲートウェイ装置117について説明する。尚、宅内ゲートウェイ装置118および119も、宅内ゲートウェイ装置117と同じ構造である。図2は宅内ゲートウェイ装置117のブロック図で、スイッチ手段201、通信量計測手段202、通知手段203、認証要求手段204、網側の接続ポート205、端末側の接続ポート206および207、VoIPアダプタ208および209、キープアライブ応答手段210を有する。端末側の接続ポート206および207にはPC120あるいは122が、VoIPアダプタ208および209にはIP電話機121あるいは123が、それぞれ接続される。スイッチ手段201は、PC120,122あるいはIP電話機121,123が送受信するパケットデータを、宛先に応じてルーティングする。
Here, the
通信量計測手段202は、スイッチ手段201を通るパケットデータの端末毎あるいは端末が利用するサービス毎に通信量を計測する。例えば、PC120による網側へのインターネットアクセスが10:00:00に開始され、50分間接続された、或いは、IP電話機121による通話が12時10分から30分間行われた、などの通信量が計測される。通信量計測手段202によって計測された通信量データは、通知手段203によって、アカウンティング管理サーバであるRADIUSサーバ104にスイッチ手段201を介して送られる。
The communication
また、通知手段203は、RADIUSサーバ104から通信量データの要求があった場合にも、通信量データをRADIUSサーバ104に送信する。
一方、認証要求手段204は、集線装置(OLT)109とのセッションを開始する時、或いは、セッションが切断された時に認証要求を集線装置(OLT)109に送り、セッション確立の認証を得る。
Further, the
On the other hand, the
さらに、キープアライブ応答手段210は、集線装置(OLT)109から定期的に送られてくるEAPoLパケットによるキープアライブメッセージに対して応答を返す。これによって、集線装置(OLT)109は宅内ゲートウェイ装置117がセッション動作中であることを確認する。もし、宅内ゲートウェイ装置117からEAPoLパケットの応答が無かった場合は、宅内ゲートウェイ装置117とのセッションを切断する。切断された場合は、認証要求手段204は、再認証要求手段として認証要求と同様の手順で、集線装置(OLT)109に再認証を要求する。尚、本実施形態では、分かり易いように、キープアライブ応答手段210を独立したブロックとして設けたが、EAPoLを使用する認証要求手段204などが行うようにしても構わない。
Furthermore, the keep alive response means 210 returns a response to the keep alive message by the EAPoL packet periodically sent from the line concentrator (OLT) 109. As a result, the line concentrator (OLT) 109 confirms that the in-
このように、本実施形態の宅内ゲートウェイ装置は、WAN側のポートを通過する送受信データ量の計測機能を設け、計測した情報は、定期的にアカウンティング管理サーバに通知、あるいはアカウンティング管理サーバから情報を収集することによって、ユーザ毎あるいはサービス毎の通信量を蓄積および管理することができる。
次に、集線装置(OLT)109について説明する。尚、集線装置110および集線装置(DSLAM)111も、通信媒体が異なる以外は、集線装置(OLT)109と同じ構造である。図3は集線装置(OLT)109のブロック図で、301はスイッチ手段、302は切断手段、303はキープアライブ手段、304は網側の接続I/F、305から308は端末側の接続I/F、309は認証手段をそれぞれ示している。ここでの集線装置(OLT)109は光ファイバ回線を集線するOLTで、端末側の各接続I/Fには回線終端装置(ONU)112から114が接続される。回線終端装置(ONU)112から113で終端された回線はそれぞれ宅内ゲートウェイ装置117から119が接続され、PCやIP電話機などの各端末が接続される。
As described above, the home gateway device according to the present embodiment has a function for measuring the amount of transmitted / received data passing through the WAN-side port, and the measured information is periodically notified to the accounting management server, or information is sent from the accounting management server. By collecting, it is possible to accumulate and manage the traffic for each user or service.
Next, the line concentrator (OLT) 109 will be described. The
集線装置(OLT)109の認証手段309は、宅内ゲートウェイ装置117から送られてくるEAPoL開始メッセージに含まれている情報をRADIUSサーバ104に問い合わせて、登録されている正規のユーザ(端末)か否かを認証する。認証手段309に認証されると、宅内ゲートウェイ装置117は集線装置(OLT)109のスイッチ手段301を介して、アップリンク側と疎通が可能になり、DHCPサーバ102からIPアドレスの払い出しを受ける。
The
集線装置(OLT)109のキープアライブ手段303は、接続I/F305に接続される回線終端装置112を介して、定期的に、宅内ゲートウェイ装置117にEAPoLパケットを送り、宅内ゲートウェイ装置117からEAPoLパケットが戻ってくることを確認する。もし、宅内ゲートウェイ装置117からEAPoLパケットの応答が無かった場合は、宅内ゲートウェイ装置117とのセッションを切断する。
The keep
次に、ネットワークシステムの動作シーケンスについて説明する。図4は宅内ゲートウェイ装置117の認証とアカウンティングのシーケンスを示した図である。尚、図1と同符号のものは同じものを示す。先ず、宅内ゲートウェイ装置117は、EAPoL開始メッセージ(401)を集線装置(OLT)109に送り、集線装置(OLT)109はEAPoLパケットをRADIUSパケット(402)に変換して、開始メッセージ含まれている情報が予め登録された情報であるか否かをRADIUSサーバ104に問い合わせる。登録されている正規ユーザおよび装置の場合、RADIUSサーバ104は認証を行い、集線装置(OLT)109にRADIUSパケットで認証メッセージ(403)を返す。集線装置(OLT)109は受け取った認証メッセージ(403)をEAPoLパケットの認証メッセージ(404)に変換して、宅内ゲートウェイ装置117に返す。
Next, an operation sequence of the network system will be described. FIG. 4 is a diagram showing an authentication and accounting sequence of the
RADIUSサーバ104に認証されると、宅内ゲートウェイ装置117はアップリンク側へのアクセスが可能となり、L3SW101を介してDHCPサーバ102にIPアドレスの払い出しを要求し、DHCPサーバ102からIPアドレスが払い出される(405)。この後、宅内ゲートウェイ装置117は、自動設定サーバ105にアクセスしてサーバ情報を取得し(406)、VoIPアダプタ208および209の設定などを行う。
When authenticated by the
次に、宅内ゲートウェイ装置117は、アカウンティング管理サーバであるRADIUSサーバ104に通信の開始を通知(407)し、インターネットアクセスが可能になる(408,410)。以降、宅内ゲートウェイ装置117はRADIUSサーバ104に送受信量を定期的に通知する(407,409,411)。或いは、RADIUSサーバ104から宅内ゲートウェイ装置117に、定期的に情報を要求しても構わない。
Next, the
尚、本実施形態では、アカウンティング管理サーバをRADIUSサーバ104とし、宅内ゲートウェイ装置117をRADIUSクライアントとして動作させているが、宅内ゲートウェイ装置117側で通信量の計測情報を拡張MIB(Management Information Base)情報として保持しておき、監視サーバ103のSNMPマネージャから定期的にMIB情報を収集することも可能である。
In this embodiment, the accounting management server is the
このように、通信量を計測するアカウンティングを宅内ゲートウェイ装置側で行うことによって、BRASを使わないネットワークにおいても、アカウンティング管理サーバに負荷を掛けずに、ユーザ毎の通信量やサービス毎の通信量の計測が可能である。計測した情報は、宅内ゲートウェイ装置がアカウンティング管理サーバに通知あるいは管理サーバが宅内ゲートウェイ装置に要求することによって、アカウンティング管理を行うことができる。 In this way, by accounting on the home gateway device side for accounting for the traffic volume, even in a network that does not use BRAS, the traffic volume for each user and the traffic volume for each service can be reduced without imposing a load on the accounting management server. Measurement is possible. The measured information can be managed by the home gateway device notifying the accounting management server or the management server requesting the home gateway device.
しかも、最もユーザ側に近い宅内ゲートウェイ装置で通信量を計測することで、集約スイッチや集線装置等で通信量を計測する場合に比べて容易に実現することができ、これらの装置への負荷も低減でき、従来のBRASを用いたアカウンティング管理と同等の情報収集が可能となる。
また、OLTやDSLAMなどの集線装置は、IEEE802.1x認証のクライアント機能を搭載し、ダウンリンク回線についてはIEEE802.1x認証を行い、認証された端末装置のみをアップリンク回線に接続することができる。
In addition, by measuring the communication volume with the gateway device closest to the user side, it can be realized more easily than when measuring the communication volume with an aggregation switch, line concentrator, etc., and the load on these devices is also increased. This makes it possible to collect information equivalent to the accounting management using the conventional BRAS.
Concentrators such as OLT and DSLAM are equipped with a client function for IEEE 802.1x authentication, can perform IEEE 802.1x authentication for the downlink line, and connect only the authenticated terminal apparatus to the uplink line. .
特に、本実施形態の宅内ゲートウェイ装置は、IP電話機を接続するためのVoIPアダプタの機能と、複数のパソコンを接続するためのブロードバンドルータの機能を有するので、従来のように、VoIPアダプタやブロードバンドルータを新たに準備する必要がない。従って、このような従来装置の代わりに宅内ゲートウェイ装置を設置できるので、新たな物理的スペースを必要とせず、設置に対するユーザの抵抗感を軽減できる。 In particular, the residential gateway device according to the present embodiment has a VoIP adapter function for connecting an IP telephone and a broadband router function for connecting a plurality of personal computers. There is no need to prepare a new. Therefore, since a home gateway apparatus can be installed instead of such a conventional apparatus, a new physical space is not required, and the user's resistance to installation can be reduced.
(第2の実施形態)
次に、本発明に係る「宅内ゲートウェイ装置およびネットワークシステムとアカウンティング管理方式」の第2の実施形態について説明する。尚、ネットワークシステムの構成は、第1の実施形態の図1と同じなので、ここではネットワークシステムの動作について説明する。図5は宅内ゲートウェイ装置の認証とアカウンティングのシーケンスを示した図である。尚、アカウンティング開始通知(407),データ通信(408)およびアカウンティング情報の通知(409)などのシーケンスは第1の実施形態と同じである。
(Second Embodiment)
Next, a second embodiment of the “home gateway device and network system and accounting management method” according to the present invention will be described. Since the configuration of the network system is the same as that of FIG. 1 of the first embodiment, the operation of the network system will be described here. FIG. 5 is a diagram showing the authentication and accounting sequence of the home gateway apparatus. The sequence of accounting start notification (407), data communication (408) and accounting information notification (409) is the same as that in the first embodiment.
アカウンティング開始通知(407)がRADIUSサーバ104に送られた後も定期的にアカウンティング情報をRADIUSサーバ104に通知(409)するが、その時間間隔は、第1の実施形態よりも粗くなっている。その代わり、宅内ゲートウェイ装置117は、集線装置(OLT)109との間で、予め設定された短い周期でキープアライブ動作を行う。キープアライブ動作は、集線装置(OLT)109のキープアライブ手段303からEAPoLパケット(501)が宅内ゲートウェイ装置117に送られ、これを受けた宅内ゲートウェイ装置117のキープアライブ応答手段210がEAPoLパケット(502)を集線装置(OLT)109に返す動作である。同様に、集線装置(OLT)109のEAPoLパケット(503)に対して、宅内ゲートウェイ装置117はEAPoLパケット(504)を集線装置(OLT)109に返し、集線装置(OLT)109のEAPoLパケット(506)に対して、宅内ゲートウェイ装置117はEAPoLパケット(507)を集線装置(OLT)109に返す。
Even after the accounting start notification (407) is sent to the
ここで、宅内ゲートウェイ装置117から定期的にEAPoLパケット(505)を集線装置(OLT)109に返すようにしても構わない。また、集線装置(OLT)109のEAPoLパケット(508)に対して、所定の時間内に、宅内ゲートウェイ装置117からEAPoLパケットが返ってこない場合、集線装置(OLT)109のキープアライブ手段303は宅内ゲートウェイ装置117が動作していないものと判断する。尚、EAPoLの代わりにPingでも構わないが、セキュリティ上、暗号化されたEAPoLを用いるのが望ましい。
Here, the EAPoL packet (505) may be periodically returned from the
集線装置(OLT)109のキープアライブ手段303が非動作端末を検出すると、切断手段302は、宅内ゲートウェイ装置117との通信路を閉塞して未認証の状態にする。宅内ゲートウェイ装置117が、再び、通信を行う際には宅内ゲートウェイ装置117の認証要求手段204が再認証要求を行う。
尚、アカウンティング情報を定期的に宅内ゲートウェイ装置117からRADIUSサーバ104に通知する場合、RADIUSサーバ104のIPアドレスを取得する方法は、例えば、宅内ゲートウェイ装置117がDHCPサーバ102からIPアドレスを取得した直後に、予め指定した(宅内ゲートウェイ装置117に予め埋め込まれた)IPアドレスにアクセスし、RADIUSサーバ104のIPアドレスを通知してもらうなどの方法がある。
When the keep
When the accounting information is periodically notified from the
一般的なネットワークシステムでは、ユーザの手間を省くため、ファームウェアのバージョンアップやVoIPアダプタの設定を予め決められた自動設定サーバ105にアクセスする方法が取られている。このような自動設定サーバ105にアクセスしてアドレスを通知してもらうようにすれば、上記の方法は新たに機器を増設する必要がない。
このように、IEEE802.1xの再認証において、EAPoLによるキープアライブ機能を併用して、エッジ側への負荷分散を図ることができるので、アカウンティングサーバであるRADIUSサーバ104の負荷を大幅に低減することができる。特に、負荷の重いIEEE802.1xの再認証の間隔を粗くして、一定周期で集線装置(OLT)109とキープアライブ動作を行うようにしたので、IEEE802.1xの再認証を頻繁に行う場合と同等のセキュリティを確保することができる。
In a general network system, in order to save the user's trouble, a method of accessing the
Thus, in IEEE802.1x re-authentication, the load distribution to the edge side can be achieved by using the keep-alive function by EAPoL, so that the load on the
また、キープアライブ動作に単純なPingでなくEAPoLを用いるので、キープアライブのフレームを偽装したアクセスを防止することができ、セキュリティも向上する。 In addition, since EAPoL is used instead of simple Ping for the keep alive operation, access in which a keep alive frame is camouflaged can be prevented, and security is improved.
101・・・L3SW
102・・・DHCPサーバ
103・・・監視サーバ(SNMPマネージャ)
104・・・RADIUSサーバ
105・・・自動設定サーバ
106,107,108・・・集約スイッチ(集約SW)
109・・・集線装置(OLT)
110・・・電話機(IP電話用)
111・・・集線装置(DSLAM)
112,113,114,115,116・・・回線終端装置
117,118,119・・・宅内ゲートウェイ監視装置
120,122,607・・・PC
201,301・・・スイッチ手段
202・・・通信量計測手段
203・・・通知手段
204・・・認証要求手段
205・・・接続ポート(網側)
206,207,208,209・・・接続ポート(端末側)
210・・・キープアライブ応答手段
302・・・切断手段
303・・・キープアライブ手段
601・・・BRAS
608・・・ブロードバンドルータ
609・・・VoIPアダプタ
101 ... L3SW
102: DHCP server 103: Monitoring server (SNMP manager)
104 ...
109 ... Concentrator (OLT)
110 ... Telephone (for IP phone)
111 ... Concentrator (DSLAM)
112, 113, 114, 115, 116 ...
201, 301 ... switch means 202 ... communication amount measuring means 203 ... notification means 204 ... authentication request means 205 ... connection port (network side)
206, 207, 208, 209... Connection port (terminal side)
210 ... keep alive response means 302 ... cutting means 303 ... keep
608 ...
Claims (6)
スイッチ手段と、
前記スイッチ手段に接続される端末の通信量を計測する計測手段と、
前記計測手段が計測した通信量を前記管理サーバに通知する通知手段と
を設けたことを特徴とする宅内ゲートウェイ装置。 In a home gateway device connected to a network system having a management server for managing the communication amount for each terminal,
Switch means;
Measuring means for measuring a communication amount of a terminal connected to the switch means;
An in-home gateway device, comprising: notification means for notifying the management server of a communication amount measured by the measurement means.
前記通知手段は、予め定められた時間間隔で前記通信量を前記管理サーバに通知することを特徴とする宅内ゲートウェイ装置。 In the in-home gateway device according to claim 1,
The in-home gateway device characterized in that the notifying means notifies the management server of the communication amount at a predetermined time interval.
サプリカントによるIEEE802.1x認証を行う認証要求手段を設けたことを特徴とする宅内ゲートウェイ装置。 In the residential gateway device according to claim 1 or 2,
An in-home gateway device comprising authentication request means for performing IEEE 802.1x authentication by a supplicant.
EAPoL(Extended Authentication Protcol over LAN)を定期的に送出してセッションの状態を確認するキープアライブ手段と、IEEE802.1x認証の認証手段とを有する集線装置を備えたことを特徴とするネットワークシステムのアカウンティング管理方式。 In the accounting management method of a network system comprising the residential gateway device according to any one of claims 1 to 3 and comprising a management server that manages a communication amount for each terminal,
Network system accounting characterized by comprising a line concentrator having keep alive means for periodically checking EAPoL (Extended Authentication Protocol over LAN) and confirming the session state, and IEEE 802.1x authentication authentication means Management method.
前記集線装置に前記宅内ゲートウェイ装置とのセッションを切断する切断手段を設け、
前記集線装置は、定期的に送出する前記EAPoLの応答が無かった場合に、前記切断手段によってセッションを切断することを特徴とするネットワークシステムのアカウンティング管理方式。 In the accounting management system of the network system according to claim 4,
A disconnecting means for disconnecting a session with the in-home gateway device is provided in the line concentrator,
An accounting management method for a network system, wherein the concentrator disconnects a session by the disconnecting means when there is no response to the EAPoL that is periodically transmitted.
前記宅内ゲートウェイ装置に再認証を要求する再認証要求手段を設け、
前記集線装置が前記宅内ゲートウェイ装置とのセッションを切断した場合に、前記宅内ゲートウェイ装置は前記再認証要求手段によって前記集線装置に再認証を要求することを特徴とするネットワークシステムのアカウンティング管理方式。 In the accounting management system of the network system according to claim 5,
Providing re-authentication request means for requesting re-authentication to the home gateway device;
An accounting management method for a network system, wherein when the concentrator disconnects a session with the in-home gateway device, the in-home gateway device requests re-authentication to the concentrator by the re-authentication request means.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2006048193A JP2007226620A (en) | 2006-02-24 | 2006-02-24 | Home gateway device and accounting management system for network system |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2006048193A JP2007226620A (en) | 2006-02-24 | 2006-02-24 | Home gateway device and accounting management system for network system |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2007226620A true JP2007226620A (en) | 2007-09-06 |
Family
ID=38548374
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2006048193A Withdrawn JP2007226620A (en) | 2006-02-24 | 2006-02-24 | Home gateway device and accounting management system for network system |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2007226620A (en) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2009223387A (en) * | 2008-03-13 | 2009-10-01 | Canon Inc | Data processor |
JP2010226657A (en) * | 2009-03-25 | 2010-10-07 | Canon Inc | Communication apparatus, method of controlling the same, and program |
CN103916401A (en) * | 2014-04-17 | 2014-07-09 | 中国联合网络通信集团有限公司 | Gateway device authentication method, authentication device and authentication system |
JP2015523630A (en) * | 2012-05-18 | 2015-08-13 | アクト コーポレイションAquto Corporation | Billing and billing for content, services and access |
-
2006
- 2006-02-24 JP JP2006048193A patent/JP2007226620A/en not_active Withdrawn
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2009223387A (en) * | 2008-03-13 | 2009-10-01 | Canon Inc | Data processor |
US8789137B2 (en) | 2008-03-13 | 2014-07-22 | Canon Kabushiki Kaisha | Data processing device |
JP2010226657A (en) * | 2009-03-25 | 2010-10-07 | Canon Inc | Communication apparatus, method of controlling the same, and program |
JP2015523630A (en) * | 2012-05-18 | 2015-08-13 | アクト コーポレイションAquto Corporation | Billing and billing for content, services and access |
JP2018028914A (en) * | 2012-05-18 | 2018-02-22 | アクト コーポレイションAquto Corporation | Charging and billing for content, service and access |
CN103916401A (en) * | 2014-04-17 | 2014-07-09 | 中国联合网络通信集团有限公司 | Gateway device authentication method, authentication device and authentication system |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9344462B2 (en) | Switching between connectivity types to maintain connectivity | |
CA2672331C (en) | Method, system and apparatus for provisioning a communication client | |
US9332579B2 (en) | Method and system for efficient use of a telecommunication network and the connection between the telecommunications network and a customer premises equipment | |
US20080225749A1 (en) | Auto-configuration of a network device | |
US20130239181A1 (en) | Secure tunneling platform system and method | |
WO2010133458A1 (en) | Network access nodes | |
US20130235822A1 (en) | Method and system for efficient management of a telecommunications network and the connection between the telecommunications network and a customer premises equipment | |
WO2014176964A1 (en) | Communication managing method and communication system | |
US9413829B2 (en) | Method for efficient initialization of a telecommunications network and telecommunications network | |
US9032083B2 (en) | Method and system for efficient use of a telecommunications network and the connection between the telecommunications network and a customer premises equipment | |
WO2007028330A1 (en) | A method and system for automatically distributing the service to the ppp access terminal | |
JP2007226620A (en) | Home gateway device and accounting management system for network system | |
JP2009033557A (en) | Network access system and network access method | |
CN100546305C (en) | A kind of forced verifying from end-to-end protocol method and apparatus | |
US7817638B2 (en) | Method for promptly redialing a broadband access server | |
Cisco | Software Enhancements for the Cisco 800 Routers and SOHO Routers | |
WO2013072046A1 (en) | Secure tunneling platform system and method | |
JP2012134778A (en) | Conversion device, telephone number authentication system, and telephone number authentication method used for the same |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A300 | Application deemed to be withdrawn because no request for examination was validly filed |
Free format text: JAPANESE INTERMEDIATE CODE: A300 Effective date: 20090512 |