JP2009303079A - Network connecting control method and network connecting control apparatus - Google Patents
Network connecting control method and network connecting control apparatus Download PDFInfo
- Publication number
- JP2009303079A JP2009303079A JP2008157211A JP2008157211A JP2009303079A JP 2009303079 A JP2009303079 A JP 2009303079A JP 2008157211 A JP2008157211 A JP 2008157211A JP 2008157211 A JP2008157211 A JP 2008157211A JP 2009303079 A JP2009303079 A JP 2009303079A
- Authority
- JP
- Japan
- Prior art keywords
- identifier
- group
- designated
- user terminal
- correspondence
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Description
この発明は、ネットワーク接続制御方法およびネットワーク接続制御装置に関する。 The present invention relates to a network connection control method and a network connection control apparatus.
従来より、VPN(Virtual Private Network)環境を実現するための技術として、ユーザのアクセスに基づいて、レイヤー2トンネリングプロトコルアクセスコンセントレーター(LAC)とレイヤー2トンネリングプロトコルネットワークサーバ(LNS)とを、ネットワークを介してレイヤー2トンネリングプロトコル(L2TP)により接続する技術が知られている(例えば、非特許文献1参照)。
Conventionally, as a technology for realizing a VPN (Virtual Private Network) environment, based on user access, a
また、L2TPによる接続を制御するために、RADIUS(Remote Authentication Dial In User Service)サーバを用いる技術が知られている(例えば、非特許文献2〜4参照)。RADIUSサーバは、LACから送られる情報に基づいて、L2TPによる接続を制御する。以下、L2TPによる接続制御について、図17および図18を用いて説明する。図17および図18は、従来技術を説明するための図である。
In addition, a technique using a RADIUS (Remote Authentication Dial In User Service) server to control connection by L2TP is known (see, for example, Non-Patent
例えば、図17に示すように、まず、ユーザ端末1がアクセスしたLACは、RADIUSサーバに、ユーザがユーザ端末1を介して指定したLNSグループの識別子である「LNSグループ1」を「User−Name属性」として送信する(図17の(1)参照)。ここで、ユーザが指定するLNSグループの識別子とは、例えば、ユーザが指定するインターネットサービスプロバイダ(ISP)のドメイン情報などのことである。
For example, as shown in FIG. 17, first, the LAC accessed by the
そして、「User−Name:LNSグループ1」を受信したRADIUSサーバは、ユーザ端末がアクセスしたLACがL2TPによって接続されるLNSの候補(接続先LNS候補)を示す「Tunnel−Server−Endpoint属性」として、「LNSグループ1」に所属する「LNS1およびLNS2」を、ユーザ端末1がアクセスしたLACに通知する(図17の(2)参照)。
Then, the RADIUS server that has received “User-Name:
RADIUSサーバから「Tunnel−Server−Endpoint属性」を通知されたLACは、「LNS1およびLNS2」から1つのLNSを選択し、選択したLNSとネットワークを介してL2TPにより接続を行なう。 The LAC notified of the “Tunnel-Server-Endpoint attribute” from the RADIUS server selects one LNS from “LNS1 and LNS2”, and connects to the selected LNS via the network via L2TP.
しかし、ユーザ端末がLACを介して接続したいLNSグループを指定した際に、指定されたLNSグループに所属するLNSへの接続を無条件に許可してしまうと、ユーザ端末がLNSとの間で行なう認証処理のため、LNS、または「LNSと協調して動作するRADIUSサーバ」における負荷が増大することとなる。 However, when the user terminal designates an LNS group that the user terminal wants to connect to via the LAC, if the user terminal unconditionally permits connection to the LNS belonging to the designated LNS group, the user terminal performs a connection with the LNS. Because of the authentication process, the load on the LNS or the “RADIUS server operating in cooperation with the LNS” increases.
また、LNSへの接続を無条件に許可してしまうと、悪意のあるユーザは、任意のLNSグループに対して接続要求を頻繁に行なうことにより、LNS、または「LNSと協調して動作するRADIUSサーバ」における負荷を容易に増大させることができる。 Further, if the connection to the LNS is unconditionally permitted, a malicious user frequently makes a connection request to an arbitrary LNS group, thereby causing the LNS or “RADIUS that operates in cooperation with the LNS”. The load on the “server” can be easily increased.
このため、LNSグループごとに接続を許可するLACを識別するための「接続許可テーブル」をRADIUSサーバに登録しておき、LACから接続を要求するLNSグループが送信された場合、RADIUSサーバが、接続要求されたLNSグループ用の「接続許可テーブル」を用いて、接続を許可するか否かを判定する技術が知られている。 For this reason, if a “connection permission table” for identifying a LAC that permits connection for each LNS group is registered in the RADIUS server, and the LNS group that requests connection is transmitted from the LAC, the RADIUS server A technique for determining whether or not to permit connection using a “connection permission table” for a requested LNS group is known.
具体的には、RADIUSサーバは、接続を許可するLACを識別するための「NAS−IP−Adress」や「Called−Station−Id」、および、接続を許可するユーザ(ユーザ端末)を識別するための「Calling−Station−Id」や「NAS−Port」などの属性情報の値の組み合わせを、LNSグループごとに登録した「接続許可テーブル」を記憶する。 Specifically, the RADIUS server identifies “NAS-IP-Address” and “Called-Station-Id” for identifying a LAC that permits connection, and a user (user terminal) that permits connection. “Calling-Station-Id” and “NAS-Port” are stored in a “connection permission table” in which combinations of attribute information values such as “Calling-Station-Id” and “NAS-Port” are registered.
ここで、「NAS−IP−Adress」は、LACに割り当てられたIP−Adressのことであり、「Called−Station−Id」は、ユーザ端末がLACを呼び出す際に用いた回線番号、すなわち、LACに割り当てられた回線番号のことである。したがって、「NAS−IP−Adress」や「Called−Station−Id」は、LACを識別するための属性情報となる。 Here, “NAS-IP-Address” is an IP-Address assigned to the LAC, and “Called-Station-Id” is a line number used when the user terminal calls the LAC, that is, the LAC. Is the line number assigned to. Therefore, “NAS-IP-Address” and “Called-Station-Id” are attribute information for identifying the LAC.
また、「Calling−Station−Id」は、ユーザがユーザ端末を介してLACを呼び出す際に通知した回線番号、すなわち、ユーザ端末に割り当てられた回線番号のことであり、「NAS−Port」は、ユーザ端末を介してユーザが利用した回線につながるLACのポート番号のことである。したがって、「Calling−Station−Id」や「NAS−Port」は、ユーザが利用する回線を識別するための属性情報となる。 “Calling-Station-Id” is the line number notified when the user calls the LAC via the user terminal, that is, the line number assigned to the user terminal. “NAS-Port” is This is the LAC port number connected to the line used by the user via the user terminal. Therefore, “Calling-Station-Id” and “NAS-Port” are attribute information for identifying the line used by the user.
例えば、RADIUSサーバは、図18に示すように、LNSグループ1用接続許可テーブル、LNSグループ2用接続許可テーブル、LNSグループ3用接続許可テーブルといったように、接続を許可する「NAS−IP−Adress」と「Calling−Station−Id」との組み合わせをLNSグループごとに記憶する。
For example, as shown in FIG. 18, the RADIUS server permits “NAS-IP-Address” that permits connection, such as a connection permission table for
ここで、ユーザ端末1がアクセスしたLACが、RADIUSサーバに、ユーザがユーザ端末1を介して指定したLNSグループ識別子として「User−Name:LNSグループ1」を、「NAS−IP−Adress:192.168.1.1」および「Calling−Station−Id:1111111111」の属性情報とともに送信すると(図18の(1)参照)、RADIUSサーバは、受信したLNSグループ識別子に対応するLNSグループ1用接続許可テーブルを検索し、LNSグループ識別子とともに受信した属性情報の組み合わせがLNSグループ1用接続許可テーブルに登録されているか否かを判定する。
Here, the LAC accessed by the
図18に示す例の場合、「NAS−IP−Adress:192.168.1.1」および「Calling−Station−Id:1111111111」の属性情報の組み合わせがLNSグループ1用接続許可テーブルに存在するので、RADIUSサーバは、接続先LNS候補を示す「Tunnel−Server−Endpoint属性」として、「LNSグループ1」に所属する「LNS1およびLNS2」を、ユーザ端末1がアクセスしたLACに通知する(図18の(2)参照)。
In the case of the example shown in FIG. 18, the combination of attribute information “NAS-IP-Address: 192.168.1.1” and “Calling-Station-Id: 1111111111” exists in the connection permission table for
ここで、受信したLNSグループ識別子に対応する接続許可テーブルに、受信した属性情報の組み合わせが存在しない場合は、RADIUSサーバは、LACとLNSとの接続を不許可とする。 Here, when the combination of the received attribute information does not exist in the connection permission table corresponding to the received LNS group identifier, the RADIUS server does not permit the connection between the LAC and the LNS.
このように、RADIUSサーバに接続許可テーブルを登録し、RADIUSサーバがLACから受信した属性情報と接続許可テーブルとに基づいて接続許可を判定することにより、LNSおよびRADIUSサーバにおける負荷が増大することを回避することができる。 In this way, by registering the connection permission table in the RADIUS server and determining the connection permission based on the attribute information received from the LAC and the connection permission table, the load on the LNS and the RADIUS server is increased. It can be avoided.
なお、図18に示す例では、接続許可テーブルに2種類の属性情報の組み合わせを登録する場合について説明したが、「Called−Station−Id」や「NAS−Port」などの属性情報を組み合わせることにより、さらに、厳密な接続許可の判定処理を行なうことができる。 In the example illustrated in FIG. 18, the case where a combination of two types of attribute information is registered in the connection permission table has been described, but by combining attribute information such as “Called-Station-Id” and “NAS-Port”. Furthermore, a strict connection permission determination process can be performed.
ところで、上記した従来の技術は、必ずしも認証処理の負荷を軽減するものではないという課題があった。 However, the above-described conventional technique has a problem that it does not necessarily reduce the load of authentication processing.
すなわち、上記した従来の技術においてRADIUSサーバは、複数種類の属性情報の組み合わせを登録した接続許可テーブルを記憶して管理する必要がある。このため、RADIUSサーバは、LACとLNSとの間の接続許可・不許可を管理するために用いられるディスクやメモリなどの領域を大量に確保しなければならず、必ずしも接続要求に対する認証処理の負荷を軽減するものではなかった。 That is, in the above-described conventional technology, the RADIUS server needs to store and manage a connection permission table in which combinations of a plurality of types of attribute information are registered. For this reason, the RADIUS server must secure a large area such as a disk and a memory used for managing connection permission / denial between the LAC and the LNS, and the authentication processing load for the connection request is not necessarily required. It was not something to alleviate.
また、RADIUSサーバは、大量のデータが登録された接続許可テーブルを参照して、受信した属性情報の組み合わせが存在するか否かを検索しなければならず、必ずしも接続要求に対する認証処理の負荷を軽減するものではなかった。 In addition, the RADIUS server must search the connection permission table in which a large amount of data is registered to search whether there is a combination of the received attribute information, and does not necessarily reduce the load of authentication processing for the connection request. It was not a relief.
そこで、この発明は、上述した従来技術の課題を解決するためになされたものであり、認証処理の負荷を軽減することが可能になるネットワーク接続制御方法およびネットワーク接続制御装置を提供することを目的とする。 Accordingly, the present invention has been made to solve the above-described problems of the prior art, and an object thereof is to provide a network connection control method and a network connection control apparatus that can reduce the load of authentication processing. And
上述した課題を解決し、目的を達成するため、この方法は、ユーザの所有するユーザ端末が指定したネットワークである指定ネットワークへの接続を、前記ユーザ端末がアクセスするユーザアクセス装置と、前記指定ネットワークと接続されるネットワーク接続装置との接続を許可するか否かによって制御するネットワーク接続制御装置に適用されるネットワーク接続制御方法であって、前記ユーザアクセス装置を一意に特定するためのユーザアクセス装置識別子と、前記ユーザアクセス装置をグループ分けした各ユーザアクセス装置グループを一意に特定するためのユーザアクセス装置グループ識別子とを対応付けた第一の対応テーブルと、前記ユーザアクセス装置グループ識別子と、前記ネットワーク接続装置をグループ分けした各ネットワーク接続装置グループを一意に特定するためのネットワーク接続装置グループ識別子とを対応付けた装置間対応関係ごとに、接続を許可することを指示する接続許可指示情報、または、接続を許可するか否かをグループ単位より細分化した単位で行なうことを指示する細分化指示情報のいずれかからなる指示情報を対応付けた第二の対応テーブルと、前記ネットワーク接続装置グループ識別子と、前記ユーザ端末を一意に特定するためのユーザ端末識別子、および/または、前記ユーザ端末が利用する回線を一意に特定するためのユーザ利用回線識別子からなるユーザ端末情報とを対応付けた第三の対応テーブルとを所定の記憶部において保持する対応テーブル保持ステップと、前記ユーザ端末が現にアクセスしたユーザアクセス装置から、当該ユーザアクセス装置の前記ユーザアクセス装置識別子であるアクセス装置識別子と、前記指定ネットワークと接続されるネットワーク接続装置グループの前記ネットワーク接続装置グループ識別子である指定ネットワークグループ識別子と、当該ユーザアクセス装置にアクセスしたユーザ端末の前記ユーザ端末情報であるアクセスユーザ端末情報とを取得した場合に、前記第一の対応テーブルを参照して、前記アクセス装置識別子に対応するユーザアクセス装置グループ識別子を検索する第一の検索ステップと、前記第二の対応テーブルを参照して、前記指定ネットワークグループ識別子および前記第一の検索ステップによって検索された前記ユーザアクセス装置グループ識別子からなる指定装置間対応関係を含む装置間対応関係が存在するか否かを検索し、前記指定装置間対応関係を含む装置間対応関係が存在する場合は、当該装置間対応関係に対応づけられた前記指示情報を検索する第二の検索ステップと、前記第二の検索ステップによって検索された前記指示情報が前記細分化指示情報であった場合に、前記第三の対応テーブルを参照して、前記指定装置間対応関係の指定ネットワークグループ識別子および前記アクセスユーザ端末情報の組み合わせが存在するか否かを検索する第三の検索ステップと、前記第二の検索ステップによる検索結果において前記指定装置間対応関係を含む装置間対応関係が存在しない場合および前記第三の検索ステップによる検索結果において前記指定装置間対応関係の指定ネットワークグループ識別子および前記アクセスユーザ端末情報の組み合わせが存在しない場合は、前記ユーザ端末がアクセスしたユーザアクセス装置に対して接続を許可しないことを通知し、前記第二の検索ステップによる検索結果において前記指定装置間対応関係を含む装置間対応関係に対応付けられた指示情報が前記接続許可指示情報であった場合および前記第三の検索ステップによる検索結果において前記指定装置間対応関係の指定ネットワークグループ識別子および前記アクセスユーザ端末情報の組み合わせが存在する場合は、前記ユーザ端末がアクセスしたユーザアクセス装置に対して接続を許可することを通知する通知ステップと、を含んだことを要件とする。 In order to solve the above-described problems and achieve the object, this method includes a user access device that accesses a designated network, which is a network designated by a user terminal owned by the user, and the designated network. A network connection control method applied to a network connection control device that controls whether or not a connection with a network connection device connected to the network is permitted, and a user access device identifier for uniquely identifying the user access device A first correspondence table that associates user access device group identifiers for uniquely identifying each user access device group into which the user access devices are grouped, the user access device group identifier, and the network connection Each network in which devices are grouped Connection permission instruction information for instructing to permit connection for each device correspondence relationship in which a network connection device group identifier for uniquely identifying a work connection device group is associated, or whether to permit connection A second correspondence table in which instruction information consisting of any of the subdivision instruction information instructing to be performed in a unit subdivided from the group unit, the network connection device group identifier, and the user terminal are uniquely set Predetermined storage of a user terminal identifier for specifying and / or a third correspondence table in which user terminal information including a user use line identifier for uniquely specifying a line used by the user terminal is associated A correspondence table holding step held by the user terminal and whether or not the user access device is actually accessed by the user terminal An access device identifier that is the user access device identifier of the user access device, a designated network group identifier that is the network connection device group identifier of a network connection device group connected to the designated network, and access to the user access device When the access user terminal information that is the user terminal information of the user terminal that has been acquired is obtained, the first access table is searched for a user access device group identifier corresponding to the access device identifier by referring to the first correspondence table Inter-device correspondence relationship including a designated device correspondence relationship including the designated network group identifier and the user access device group identifier retrieved in the first search step with reference to the second correspondence table. Exist A second search step for searching for the instruction information associated with the correspondence between the devices, if there is a correspondence between the devices including the correspondence between the designated devices. When the instruction information retrieved in the second retrieval step is the segmentation instruction information, the designated network group identifier and the access of the designated device correspondence relationship are referred to by referring to the third correspondence table A third search step for searching whether or not a combination of user terminal information exists; and a search result obtained by the second search step when there is no correspondence between devices including the correspondence between the designated devices and the first A designated network group identifier of the correspondence relationship between the designated devices and the access user terminal information in the retrieval result of the third retrieval step If there is no combination, the user access device accessed by the user terminal is notified that the connection is not permitted, and the inter-device correspondence including the correspondence between the designated devices in the search result of the second search step When the instruction information associated with is the connection permission instruction information and in the search result of the third search step, there is a combination of the specified network group identifier of the correspondence relationship between the specified devices and the access user terminal information In this case, it is necessary to include a notification step of notifying that the user access device accessed by the user terminal is permitted to connect.
また、この装置は、ユーザの所有するユーザ端末が指定したネットワークである指定ネットワークへの接続を、前記ユーザ端末がアクセスするユーザアクセス装置と、前記指定ネットワークと接続されるネットワーク接続装置との接続を認証するか否かによって制御するネットワーク接続制御装置であって、前記ユーザアクセス装置を一意に特定するためのユーザアクセス装置識別子と、前記ユーザアクセス装置をグループ分けした各ユーザアクセス装置グループを一意に特定するためのユーザアクセス装置グループ識別子とを対応付けた第一の対応テーブルと、前記ユーザアクセス装置グループ識別子と、前記ネットワーク接続装置をグループ分けした各ネットワーク接続装置グループを一意に特定するためのネットワーク接続装置グループ識別子とを対応付けた装置間対応関係ごとに、接続を許可することを指示する接続許可指示情報、または、接続を許可するか否かをグループ単位より細分化した単位で行なうことを指示する細分化指示情報のいずれかからなる指示情報を対応付けた第二の対応テーブルと、前記ネットワーク接続装置グループ識別子と、前記ユーザ端末を一意に特定するためのユーザ端末識別子、および/または、前記ユーザ端末が利用する回線を一意に特定するためのユーザ利用回線識別子からなるユーザ端末情報とを対応付けた第三の対応テーブルとを保持する対応テーブル保持手段と、前記ユーザ端末が現にアクセスしたユーザアクセス装置から、当該ユーザアクセス装置の前記ユーザアクセス装置識別子であるアクセス装置識別子と、前記指定ネットワークと接続されるネットワーク接続装置グループの前記ネットワーク接続装置グループ識別子である指定ネットワークグループ識別子と、当該ユーザアクセス装置にアクセスしたユーザ端末の前記ユーザ端末情報であるアクセスユーザ端末情報とを取得した場合に、前記第一の対応テーブルを参照して、前記アクセス装置識別子に対応するユーザアクセス装置グループ識別子を検索する第一の検索手段と、前記第二の対応テーブルを参照して、前記指定ネットワークグループ識別子および前記第一の検索手段によって検索された前記ユーザアクセス装置グループ識別子からなる指定装置間対応関係を含む装置間対応関係が存在するか否かを検索し、前記指定装置間対応関係を含む装置間対応関係が存在する場合は、当該装置間対応関係に対応づけられた前記指示情報を検索する第二の検索手段と、前記第二の検索手段によって検索された前記指示情報が前記細分化指示情報であった場合に、前記第三の対応テーブルを参照して、前記指定装置間対応関係の指定ネットワークグループ識別子および前記アクセスユーザ端末情報の組み合わせが存在するか否かを検索する第三の検索手段と、前記第二の検索手段による検索結果において前記指定装置間対応関係を含む装置間対応関係が存在しない場合および前記第三の検索手段による検索結果において前記指定装置間対応関係の指定ネットワークグループ識別子および前記アクセスユーザ端末情報の組み合わせが存在しない場合は、前記ユーザ端末がアクセスしたユーザアクセス装置に対して接続を許可しないことを通知し、前記第二の検索手段による検索結果において前記指定装置間対応関係を含む装置間対応関係に対応付けられた指示情報が前記接続許可指示情報であった場合および前記第三の検索手段による検索結果において前記指定装置間対応関係の指定ネットワークグループ識別子および前記アクセスユーザ端末情報の組み合わせが存在する場合は、前記ユーザ端末がアクセスしたユーザアクセス装置に対して接続を許可することを通知する通知手段と、を備えたことを要件とする。 In addition, this device connects a user access device accessed by the user terminal and a network connection device connected to the designated network for connection to a designated network which is a network designated by a user terminal owned by the user. A network connection control device that controls whether to authenticate, and uniquely identifies a user access device identifier for uniquely identifying the user access device and each user access device group into which the user access device is grouped A first correspondence table in which user access device group identifiers are associated with each other, a network connection for uniquely identifying each network connection device group in which the user access device group identifier and the network connection device are grouped Equipment glue Connection permission instruction information for instructing to permit connection or subdivision for instructing whether or not to permit connection in a unit that is subdivided from the group unit for each correspondence between devices in association with identifiers A second correspondence table in which instruction information consisting of any one of the network instruction information is associated, the network connection device group identifier, a user terminal identifier for uniquely identifying the user terminal, and / or the user terminal Correspondence table holding means for holding a third correspondence table that associates user terminal information consisting of user use line identifiers for uniquely identifying a line used by the user, and a user access device that the user terminal has actually accessed To an access device identifier that is the user access device identifier of the user access device and the designated network. When the designated network group identifier that is the network connection device group identifier of the network connection device group that is connected to the work and the access user terminal information that is the user terminal information of the user terminal that accessed the user access device is acquired A first search means for searching for a user access device group identifier corresponding to the access device identifier with reference to the first correspondence table, and the designated network group identifier with reference to the second correspondence table. And a search is made as to whether or not there is a correspondence between devices including a correspondence between designated devices made up of the user access device group identifiers searched by the first search means, and between devices including the correspondence between the designated devices If a correspondence relationship exists, the correspondence relationship between the devices is not supported. A second retrieval means for retrieving the associated instruction information; and when the instruction information retrieved by the second retrieval means is the segmentation instruction information, refer to the third correspondence table A third search unit that searches for a combination of the specified network group identifier of the correspondence relationship between the specified devices and the access user terminal information; and the designation in the search result by the second search unit When there is no device correspondence including the device correspondence and when there is no combination of the designated network group identifier of the designated device correspondence and the access user terminal information in the search result by the third search means, Notifying the user access device accessed by the user terminal that connection is not permitted, When the instruction information associated with the inter-device correspondence including the correspondence between the designated devices in the search result by the search means is the connection permission instruction information, and between the designated devices in the search result by the third search means A notification means for notifying that the user access device accessed by the user terminal is permitted to connect when the combination of the designated network group identifier of the correspondence relationship and the access user terminal information exists. Requirement.
開示の方法および装置によれば、接続を許可するユーザアクセス装置とネットワーク接続装置との組み合わせを装置単位ではなくグループ単位にし、グループ単位のみでは接続を許可するか否かを判定することができない組み合わせに関してのみ、ユーザがユーザ端末を介して利用した回線の情報を用いた粒度の細かい認証処理を行なうので、認証処理の負荷を軽減することが可能になる。 According to the disclosed method and apparatus, a combination of a user access apparatus that permits connection and a network connection apparatus is made in units of groups, not in units of apparatuses, and a combination in which it is not possible to determine whether or not connections are permitted only in units of groups With regard to only the above, since fine-grained authentication processing using the information of the line used by the user via the user terminal is performed, it is possible to reduce the load of the authentication processing.
以下に添付図面を参照して、この発明に係るネットワーク接続制御方法およびネットワーク接続制御装置の実施例を詳細に説明する。なお、以下では、この発明に係るネットワーク接続制御方法を実行するネットワーク接続制御装置としてのLAC制御サーバを含んで構成されるネットワーク接続制御システムを実施例として説明する。 Exemplary embodiments of a network connection control method and a network connection control apparatus according to the present invention will be described below in detail with reference to the accompanying drawings. In the following, a network connection control system including a LAC control server as a network connection control apparatus that executes the network connection control method according to the present invention will be described as an embodiment.
[用語の説明]
まず最初に、以下の実施例で用いる主要な用語を説明する。以下の実施例で用いる「ユーザ端末」とは、ネットワーク通信機能を備えたパーソナルコンピュータなどの情報機器のことであり、「ユーザ端末」は、ユーザの指定したネットワーク(以下、指定ネットワークと記す)とVPN(Virtual Private Network)環境にて接続することを要求するために「LAC」にアクセスする。
[Explanation of terms]
First, main terms used in the following examples will be described. The “user terminal” used in the following embodiments is an information device such as a personal computer having a network communication function, and the “user terminal” is a network designated by the user (hereinafter referred to as a designated network). “LAC” is accessed to request connection in a VPN (Virtual Private Network) environment.
また、「LAC」とは、レイヤー2トンネリングプロトコル(L2TP)にて規定されるレイヤー2トンネリングプロトコルアクセスコンセントレーターであり、VPN環境にて指定ネットワークとの接続を要求するために「ユーザ端末」がアクセスする装置である。なお、「LAC」は、特許請求の範囲に記載の「ユーザアクセス装置」に対応する。
“LAC” is a
また、「LNS」とは、L2TPにて規定されるレイヤー2トンネリングプロトコルネットワークサーバであり、指定ネットワークに接続される装置である。なお、「LNS」は、特許請求の範囲に記載の「ネットワーク接続装置」に対応する。
“LNS” is a
また、「LAC制御サーバ」とは、「ユーザ端末」の指定ネットワークへのL2TPによるVPN接続を、「ユーザ端末」がアクセスした「LAC」と「ユーザ端末」が指定した指定ネットワークに接続される「LNS」との接続を許可するか否かによって制御するRADIUS(Remote Authentication Dial In User Service)サーバである。なお、「LAC制御サーバ」は、特許請求の範囲に記載の「ネットワーク接続制御装置」に対応する。 The “LAC control server” is a VPN connection by L2TP to the designated network of the “user terminal” connected to the designated network designated by the “LAC” accessed by the “user terminal” and the “user terminal”. It is a RADIUS (Remote Authentication Dial In User Service) server that is controlled depending on whether or not the connection with the “LNS” is permitted. The “LAC control server” corresponds to the “network connection control device” recited in the claims.
[実施例1におけるネットワーク接続制御システムの全体構成]
次に、図1を用いて、実施例1におけるネットワーク接続制御システムの全体構成について説明する。図1は、実施例1におけるネットワーク接続制御システムの全体構成について説明するための図である。
[Overall Configuration of Network Connection Control System in Embodiment 1]
Next, the overall configuration of the network connection control system according to the first embodiment will be described with reference to FIG. FIG. 1 is a diagram for explaining the overall configuration of the network connection control system according to the first embodiment.
図1に示すように、実施例1におけるネットワーク接続制御システムは、ユーザ端末40とLAC20とLNS30とLAC制御サーバ10とから構成され、LAC制御サーバ10が、ユーザ端末40からアクセスされたLAC20と、ユーザ端末40が指定したネットワーク(指定ネットワーク)と接続されるLNS30との接続を許可するか否かによって、ユーザ端末40の指定ネットワークへの接続(VPN接続)を制御する。
As illustrated in FIG. 1, the network connection control system according to the first embodiment includes a
ここで、図1に示すように、実施例1におけるネットワーク接続制御システムにおいて、LACは、例えば、設置される場所によってグループ化され(LACグループ1、LACグループ2、・・・・など)、さらに、LNSは、例えば、インターネットサービスプロバイダ(ISP)によってグループ化される(LNSグループ1、LNSグループ2、・・・・など)。
Here, as shown in FIG. 1, in the network connection control system according to the first embodiment, the LACs are grouped according to, for example, installation locations (
そして、本発明は、接続を許可するLACとLNSとの組み合わせを装置単位ではなくグループ単位にし、グループ単位のみでは接続を許可するか否かを判定することができない組み合わせに関してのみ、ユーザがユーザ端末を介して利用した回線の情報を用いた粒度の細かい認証処理を行なうことにより、LAC制御サーバ10における認証処理の負荷を軽減することが可能になることに主たる特徴がある。以下、LAC制御サーバ10およびLAC20の構成および処理手順を詳述することにより、この主たる特徴について説明する。
In the present invention, the combination of LAC and LNS that permits connection is made in units of groups, not in units of devices, and the user can use the user terminal only for combinations that cannot determine whether or not connections are permitted only in units of groups. The main feature is that it is possible to reduce the load of authentication processing in the
[実施例1におけるLAC制御サーバの構成]
続いて、図2〜5を用いて、実施例1におけるLAC制御サーバの構成を説明する。図2は、実施例1におけるLAC制御サーバの構成を示すブロック図であり、図3は、LACグループ対応テーブル記憶部を説明するための図であり、図4は、実施例1におけるLNS対応テーブル記憶部を説明するための図であり、図5は、実施例1における論理回線対応テーブル記憶部を説明するための図である。
[Configuration of LAC Control Server in Embodiment 1]
Then, the structure of the LAC control server in Example 1 is demonstrated using FIGS. FIG. 2 is a block diagram illustrating a configuration of the LAC control server in the first embodiment, FIG. 3 is a diagram for explaining a LAC group correspondence table storage unit, and FIG. 4 is an LNS correspondence table in the first embodiment. FIG. 5 is a diagram for explaining a logical line correspondence table storage unit according to the first embodiment.
図2に示すように、実施例1におけるLAC制御サーバ10は、通信制御I/F部11と、記憶部12と、処理部13とから構成され、さらに、LAC20およびLNS30とネットワークを介して接続される。なお、図2ではLAC20およびLNS30を一つのみ示しているが、実際には、図1に示すように、LAC制御サーバ10は、複数のLAC20およびLNS30とネットワークを介して接続されている。
As shown in FIG. 2, the
通信制御I/F部11は、LAC20と、記憶部12および処理部13との間でやり取りする各種情報に関する通信を制御する。例えば、通信制御I/F部11は、LAC20が送信した情報(後述する「アクセスLAC識別子」、「指定LNSグループ識別子」および「アクセス論理回線識別子」)を受信して処理部13に転送したり、処理部13による処理結果をLAC20に転送したりする。
The communication control I /
記憶部12は、後述する処理部13による各種処理に用いるデータを記憶し、特に本発明に密接に関連するものとしては、図2に示すように、LACグループ対応テーブル記憶部12aと、LNS対応テーブル記憶部12bと、論理回線対応テーブル記憶部12cと、検索結果記憶部12dとを備える。なお、LACグループ対応テーブル記憶部12aと、LNS対応テーブル記憶部12bと、論理回線対応テーブル記憶部12cとは、特許請求の範囲に記載の「対応テーブル保持ステップ」に対応する。
The
LACグループ対応テーブル記憶部12aは、LACを一意に特定するためのLAC識別子と、LACをグループ分けした各LACグループを一意に特定するためのLACグループ識別子とを対応付けた「LACグループ対応テーブル」を記憶する。なお、「LACグループ」は、特許請求の範囲に記載の「ユーザアクセス装置グループ」に対応し、「LACグループ識別子」は、同じく「ユーザアクセス装置グループ識別子」に対応し、「LACグループ対応テーブル」は、同じく「第一の対応テーブル」に対応する。
The LAC group correspondence
具体的には、LACグループ対応テーブル記憶部12aは、図3に示すように、LAC識別子としてLACのIPアドレス(LAC IPアドレス)と「LACグループ識別子」とを対応付けたLACグループ対応テーブルを記憶する。例えば、図3に示すように、「LAC IPアドレス:10.2.1.101」と「LACグループ識別子:LACグループ2」とを対応付けて記憶し、「LAC IPアドレス:10.2.1.104」と「LACグループ識別子:LACグループ1」とを対応付けて記憶する。なお、「LAC IPアドレス」は、後述するLACグループ検索部13aによる検索処理に用いられる検索キーとなる。
Specifically, as shown in FIG. 3, the LAC group correspondence
図2に戻って、LNS対応テーブル記憶部12bは、LACグループ識別子と、LNSをグループ分けした各LNSグループを一意に特定するためのLNSグループ識別子と、各LNSグループに所属する一つまたは複数のLNSとを対応付けた装置間対応関係ごとに、接続を許可することを指示する「FALSE」、または、接続の認証をグループ単位より細分化した単位で行なうことを指示する「TRUE」のいずれかからなる「指示情報」を対応付けたLNS対応テーブルを記憶する。なお、「LNSグループ」は、特許請求の範囲に記載の「ネットワーク接続装置グループ」に対応し、「LNSグループ識別子」は、同じく「ネットワーク接続装置グループ識別子」に対応し、「FALSE」は、同じく「接続許可指示情報」に対応し、「TRUE」は、同じく「細分化指示情報」に対応し、「LNS対応テーブル」は、同じく「第二の対応テーブル」に対応する。
Returning to FIG. 2, the LNS correspondence
具体的には、LNS対応テーブル記憶部12bは、図4に示すように、LACグループ識別子と、LNSグループ識別子と、「当該LNSグループ識別子が割り当てられたLNSであり、かつ、当該LACグループ識別子と当該LNSグループ識別子との組み合わせにおいて指定されたLNS」とを対応付けた装置間対応関係ごとに、「FALSE」、または「TRUE」を対応付けたLNS対応テーブルを記憶する。
Specifically, as shown in FIG. 4, the LNS correspondence
例えば、LNS対応テーブル記憶部12bは、図4に示すように、「LACグループ識別子:LACグループ1」と「LNSグループ識別子:LNSグループ2」と「LNSグループ2に所属するLNSであり、かつ、LACグループ1とLNSグループ2との組み合わせにおいて指定されたLNS」として「LNS:LNS4、LNS5」とからなる装置間対応関係に「指示情報:FALSE」を対応付けて記憶する。
For example, as shown in FIG. 4, the LNS correspondence
また、LNS対応テーブル記憶部12bは、図4に示すように、「LACグループ識別子:LACグループ2」と「LNSグループ識別子:LNSグループ2」と「LNSグループ2に所属するLNSであり、かつ、LACグループ2とLNSグループ2との組み合わせにおいて指定されたLNS」である「LNS:LNS10、LNS11」とからなる装置間対応関係に「指示情報:TRUE」を対応付けて記憶する。なお、「LACグループ識別子」と「LNSグループ識別子」とは、後述するLNS検索部13bによる検索処理に用いられる検索キーとなる。
Further, as shown in FIG. 4, the LNS correspondence
図2に戻って、論理回線対応テーブル記憶部12cは、LACグループ識別子とLNSグループ識別子とユーザがユーザ端末40を介して利用する論理回線を一意に特定するためのユーザ利用回線識別子とを対応付けた論理回線対応テーブルを記憶する。ここで、論理回線識別子は、LAC20が管理するユーザ端末40と、LAC20との間で用いられる論理回線を識別するための情報であり、ユーザがユーザ端末40を介して利用する回線を一意に特定するための識別子(ユーザ利用回線識別子)の具体例となる。なお、「論理回線対応テーブル」は、特許請求の範囲に記載の「第三の対応テーブル」に対応する。
Returning to FIG. 2, the logical line correspondence
例えば、論理回線対応テーブル記憶部12cは、図5に示すように、「LACグループ識別子:LACグループ1」と、「LNSグループ識別子:LNSグループ1」と、「論理回線識別子:11111111」とを対応付けた論理回線対応テーブルを記憶する。なお、「LACグループ識別子」と「LNSグループ識別子」と「論理回線識別子」とは、後述する論理回線検索部13cによる検索処理に用いられる検索キーとなる。
For example, as shown in FIG. 5, the logical line correspondence
図2に戻って、検索結果記憶部12dは、後述するLACグループ検索部13aと、LNS検索部13bと、論理回線検索部13cとによる検索結果を記憶する。なお、検索結果記憶部12dについては、後に詳述する。
Returning to FIG. 2, the search
図2に戻って、処理部13は、通信制御I/F部11から転送された情報と、記憶部12が記憶する情報を用いて各種処理を実行し、特に本発明に密接に関連するものとしては、図2に示すように、LACグループ検索部13aと、LNS検索部13bと、論理回線検索部13cと、認証結果通知部13dとを備える。なお、「LACグループ検索部13a」は、特許請求の範囲に記載の「第一の検索ステップ」に対応し、「LNS検索部13b」は、同じく「第二の検索ステップ」に対応し、「論理回線検索部13c」は、同じく「第三の検索ステップ」に対応し、「認証結果通知部13d」は、同じく「通知ステップ」に対応する。
Returning to FIG. 2, the
ここで、処理部13は、ユーザ端末40が現にアクセスしたLAC20から、当該LAC20のLAC識別子(LAC IPアドレス)である「アクセスLAC識別子」と、ユーザ端末40が指定した指定ネットワークと接続されるLNSグループの識別子(LNSグループ識別子)である「指定LNSグループ識別子」と、ユーザがユーザ端末40を介してLAC20にアクセスした際に利用した論理回線の識別子である「アクセス論理回線識別子」とを、通信制御I/F部11を介して取得した場合に、以下の各種処理を実行する。なお、「アクセスLAC識別子」は、特許請求の範囲に記載の「アクセス装置識別子」に対応し、「指定LNSグループ識別子」は、同じく「指定ネットワークグループ識別子」に対応する。
Here, the
また、以下では、ユーザ端末40がアクセスしたLAC20から、「アクセスLAC識別子:10.2.1.100、指定LNSグループ識別子:LNSグループ2、アクセス論理回線識別子:22222222」を取得した場合(以下、第一の場合と記す)と、「アクセスLAC識別子:10.2.1.101、指定LNSグループ識別子:LNSグループ2、アクセス論理回線識別子:55555555」を取得した場合(以下、第二の場合と記す)と、「アクセスLAC識別子:10.2.1.102、指定LNSグループ識別子:LNSグループ1、アクセス論理回線識別子:12345678」を取得した場合(以下、第三の場合と記す)と、「アクセスLAC識別子:10.2.1.101、指定LNSグループ識別子:LNSグループ2、アクセス論理回線識別子:87654321」を取得した場合(以下、第四の場合と記す)と、について説明する。
In the following, when “access LAC identifier: 10.2.1.100, designated LNS group identifier:
LACグループ検索部13aは、LACグループ対応テーブル記憶部12aが記憶するLACグループ対応テーブルを参照して、LAC20から取得した「アクセスLAC識別子」に対応する「LACグループ識別子」を検索し、検索した「LACグループ識別子」を、検索結果記憶部12dに格納する。
The LAC
例えば、LACグループ検索部13aは、第一の場合、「アクセスLAC識別子:10.2.1.100」を検索キーとし、図3に示すLACグループ対応テーブルを参照して、「LACグループ識別子:LACグループ1」を検索する。
For example, in the first case, the LAC
また、LACグループ検索部13aは、第二の場合および第四の場合、「アクセスLAC識別子:10.2.1.101」を検索キーとし、図3に示すLACグループ対応テーブルを参照して、「LACグループ識別子:LACグループ2」を検索する。
Further, in the second and fourth cases, the LAC
また、LACグループ検索部13aは、第三の場合、「アクセスLAC識別子:10.2.1.102」を検索キーとし、図3に示すLACグループ対応テーブルを参照して、「LACグループ識別子:LACグループ3」を検索する。
In the third case, the LAC
LNS検索部13bは、LNS対応テーブル記憶部12bが記憶するLNS対応テーブルを参照して、「LAC20から受信した指定LNSグループ識別子およびLACグループ検索部13aによって検索され検索結果記憶部12dに格納されたLACグループ識別子からなる指定装置間対応関係」を含む装置間対応関係が存在するか否かを検索し、指定装置間対応関係を含む装置間対応関係が存在する場合は、当該装置間対応関係に対応づけられた指示情報を検索し、その結果を検査結果記憶部12dに格納する。
The
例えば、LNS検索部13bは、第一の場合、「LACグループ識別子:LACグループ1」および「指定LNSグループ識別子:LNSグループ2」からなる指定装置間対応関係を検索キーとし、図4に示すLNS対応テーブルを参照して、「LACグループ1、LNSグループ2」を含む装置間対応関係(「LACグループ1」と「LNSグループ2」と「LNS4、LNS5」との対応関係)が登録されていることを検索し、検索された装置間対応関係に対応付けられた指示情報が「FALSE」であることを検索する。
For example, in the first case, the
また、LNS検索部13bは、第二の場合および第四の場合、「LACグループ識別子:LACグループ2」および「指定LNSグループ識別子:LNSグループ2」からなる指定装置間対応関係を検索キーとし、図4に示すLNS対応テーブルを参照して、「LACグループ2、LNSグループ2」を含む装置間対応関係(「LACグループ2」と「LNSグループ2」と「LNS10、LNS11」との対応関係)が登録されていることを検索し、検索された装置間対応関係に対応付けられた指示情報が「TRUE」であることを検索する。
Further, in the second case and the fourth case, the
また、LNS検索部13bは、第三の場合、「LACグループ識別子:LACグループ3」および「指定LNSグループ識別子:LNSグループ1」からなる指定装置間対応関係を検索キーとし、図4に示すLNS対応テーブルを参照して、「LACグループ3、LNSグループ1」を含む装置間対応関係が登録されていないとする検索結果を取得する。
Further, in the third case, the
論理回線検索部13cは、LNS検索部13bによって検索され検索結果記憶部12dに格納された指示情報が「TRUE」であった場合に、論理回線対応テーブル記憶部12cが記憶する論理回線対応テーブルを参照して、「LAC20から受信した指定ネットワークグループ識別子およびLACグループ検索部13aによって検索され検索結果記憶部12dに格納されたLACグループ識別子からなる指定装置間対応関係」と「アクセス論理回線識別子」の組み合わせが存在するか否かを検索し、その検索結果を、検索結果記憶部12dに格納する。
The logical
例えば、論理回線検索部13cは、第二の場合、「LACグループ識別子:LACグループ2」および「指定LNSグループ識別子:LNSグループ2」からなる指定装置間対応関係と「アクセス論理回線識別子:55555555」との組み合わせを検索キーとし、図5に示す論理回線対応テーブルを参照して、検索対象となる組み合わせが登録されているとする検索結果を取得する。
For example, in the second case, the logical
また、論理回線検索部13cは、第四の場合、「LACグループ識別子:LACグループ2」および「指定LNSグループ識別子:LNSグループ2」からなる指定装置間対応関係と「アクセス論理回線識別子:87654321」との組み合わせを検索キーとし、図5に示す論理回線対応テーブルを参照して、検索対象となる組み合わせが登録されていないとする検索結果を取得する。
Further, in the fourth case, the logical
認証結果通知部13dは、ユーザ端末40がアクセスしたLAC20に対して、検査結果記憶部12に格納された検査結果を通信制御I/F部11を介して通知する。すなわち、認証結果通知部13dは、LNS検索部13bによる検索結果において、指定装置間対応関係を含む装置間対応関係が存在しない場合(第三の場合)、および論理回線検索部13cによる検索結果において、指定装置間対応関係およびアクセス論理回線識別子の組み合わせが存在しない場合(第四の場合)は、ユーザ端末40がアクセスしたLAC20に対して、接続を許可しないことを通信制御I/F部11を介して通知する。
The authentication
また、認証結果通知部13dは、LNS検索部13bによる検索結果において、指定装置間対応関係を含む装置間対応関係に対応付けられた指示情報が「FALSE」であった場合(第一の場合)、および論理回線検索部13cによる検索結果において、指定装置間対応関係およびアクセス論理回線識別子の組み合わせが存在する場合(第二の場合)は、ユーザ端末40がアクセスしたLAC20に対して、接続を許可することを通信制御I/F部11を介して通知する。
Also, the authentication
ここで、接続を許可する場合、認証結果通知部13dは、LNS対応テーブルにおいて、指定装置間対応関係を含む装置間対応関係の一つまたは複数のLNS30をユーザ端末40がアクセスしたLAC20に対して、通信制御I/F部11を介して通知する。
Here, when the connection is permitted, the authentication
すなわち、認証結果通知部13dは、第一の場合、「LACグループ識別子:LACグループ1」および「指定LNSグループ識別子:LNSグループ2」からなる指定装置間対応関係を含む装置間対応関係に登録されている「LNS4、LNS5」をユーザ端末40がアクセスしたLAC20に対して通知する。
That is, in the first case, the authentication
また、認証結果通知部13dは、第二の場合、「LACグループ識別子:LACグループ2」および「指定LNSグループ識別子:LNSグループ2」からなる指定装置間対応関係を含む装置間対応関係に登録されている「LNS10、LNS11」をユーザ端末40がアクセスしたLAC20に対して通知する。
In the second case, the authentication
[実施例1におけるLACの構成]
次に、図6を用いて、実施例1におけるLACの構成を説明する。図6は、実施例1におけるLACの構成を示すブロック図である。
[Configuration of LAC in Embodiment 1]
Next, the configuration of the LAC in the first embodiment will be described with reference to FIG. FIG. 6 is a block diagram illustrating a configuration of the LAC in the first embodiment.
図6に示すように、実施例1におけるLAC20は、通信制御I/F部21と、記憶部22と、処理部23とから構成され、さらに、LAC制御サーバ10と、ユーザ端末40と、LNS30とネットワークを介して接続される。なお、図6では、ユーザ端末40およびLNS30それぞれを一つのみ示しているが、実際には、LAC20は、複数のユーザ端末40およびLNS30とネットワークを介して接続されている。
As illustrated in FIG. 6, the
通信制御I/F部21は、LAC制御サーバ10と、ユーザ端末40と、LNS30と記憶部22および処理部23との間でやり取りする各種情報に関する通信を制御する。
The communication control I /
例えば、通信制御I/F部21は、LAC制御サーバ10へ、ユーザ端末40から受信した「指定LNSグループ識別子」や、自身の「アクセスLAC識別子」や、ユーザ端末40との間で用いられた論理回線の識別子である「アクセス論理回線識別子」を転送したり、LAC制御サーバ10から受信した「認証を不許可とする認証結果」を自身にアクセスしたユーザ端末40に転送したり、LAC制御サーバ10から「認証を許可とする認証結果」とともに受信した「LNS」を後述するLNS選択接続部23aに転送したり、後述するLNS選択接続部23aが選択したLNS30との通信を制御したりする。
For example, the communication control I /
記憶部22は、後述する処理部23による処理に用いるデータを記憶し、特に本発明に密接に関連するものとしては、図6に示すように、基準記憶部22aを備える。
The
基準記憶部22aは、後述するLNS選択接続部23aが一つのLNSを選択する際に用いられる選択基準を記憶する。例えば、「負荷が最小となっているLNS」、「ランダムに選択したLNS」、といった選択基準を記憶する。
The
処理部23は、各種処理を実行し、特に本発明に密接に関連するものとしては、図6に示すように、LNS選択接続部23aを備える。
The
LNS選択接続部23aは、LAC制御サーバ10から、通信制御I/F部21を介して「認証を許可とする認証結果」とともに通知された「LNS」から、基準記憶部22aが記憶する選択基準に基づいて、一つのLNS30を選択し、選択した一つのLNS30との間にL2TPによる接続を確立する。
The LNS
例えば、第一の場合、LNS選択接続部23aは、「LNS4、LNS5」から、「ランダムに選択したLNS」とする選択基準によって、「LNS5」であるLNS30を選択し、選択したLNS30との間にL2TPによる接続を確立する。
For example, in the first case, the LNS
また、第二の場合、LNS選択接続部23aは、「LNS10、LNS11」から、例えば、「負荷が最小となっているLNS」とする基準によって、「LNS11」であるLNS30を選択し、選択したLNS30との間にL2TPによる接続を確立する。
In the second case, the LNS
[実施例1におけるネットワーク接続制御システムの処理の手順]
次に、図7および図8を用いて、実施例1におけるネットワーク接続制御システムの処理を説明する。図7は、実施例1におけるLAC制御サーバの処理を説明するための図であり、図8は、実施例1におけるLACの処理を説明するための図である。
[Processing Procedure of Network Connection Control System in Embodiment 1]
Next, processing of the network connection control system according to the first embodiment will be described with reference to FIGS. FIG. 7 is a diagram for explaining the processing of the LAC control server in the first embodiment, and FIG. 8 is a diagram for explaining the LAC processing in the first embodiment.
[実施例1におけるLAC制御サーバの処理の手順]
図7に示すように、まず、実施例1におけるLAC制御サーバ10は、ユーザがユーザ端末40を介してアクセスしたLAC20からアクセスLAC識別子と指定LNSグループ識別子とアクセス論理回線識別子とを受信すると(ステップS701肯定)、LACグループ検索部13aは、受信したアクセスLAC識別子からLACグループ識別子を、LACグループ対応テーブル記憶部12aが記憶するLACグループ対応テーブルを用いて検索する(ステップS702)。
[Processing Procedure of LAC Control Server in Embodiment 1]
As shown in FIG. 7, first, the
そして、LNS検索部13bは、LACグループ検索部13aによって検索され検索結果記憶部12dに格納されたLACグループ識別子とLAC20から受信した指定LNSグループ識別子との組み合わせ(指定装置間対応関係)を、LNS対応テーブル記憶部12bが記憶するLNS対応テーブルを用いて検索する(ステップS703)。すなわち、LNS検索部13bは、LNS対応テーブルに指定装置間対応関係を含む装置間対応関係が存在するか否かを検索する。
Then, the
ここで、LNS検索部13bによる検索結果において、LNS対応テーブルに検索対象となる組み合わせ(指定装置間対応関係)が登録されていない場合(ステップS704否定、第三の場合)、認証結果通知部13dは、ユーザ端末40がアクセスしたLAC20に対して、LNS30への接続を不許可とする認証結果を、通信制御I/F部11を介して通知し(ステップS708)、処理を終了する。
Here, in the search result by the
一方、LNS検索部13bによる検索結果において、LNS対応テーブルに検索対象となる組み合わせ(指定装置間対応関係)が登録されている場合(ステップS704肯定)、当該指定装置間対応関係を含む装置間対応関係に対応づけられた指示情報を検索し、指示情報が「TRUE」であるか否かを検索する(ステップS705)。
On the other hand, in the search result by the
ここで、LNS検索部13bによる検索結果において、LNS対応テーブルに検索対象となる組み合わせ(指定装置間対応関係)を含む装置間対応関係に対応づけられた指示情報が「FALSE」である場合(ステップS705否定、第一の場合)、認証結果通知部13dは、ユーザ端末40がアクセスしたLAC20に対して、LNS30への接続を許可とする認証結果とともに、LNS対応テーブルにおいて、指定装置間対応関係を含む装置間対応関係の一つまたは複数のLNSをユーザ端末40がアクセスしたLAC20に対して、通信制御I/F部11を介して通知し(ステップS709)、処理を終了する。
Here, in the search result by the
一方、LNS検索部13bによる検索結果において、LNS対応テーブルに検索対象となる組み合わせ(指定装置間対応関係)を含む装置間対応関係に対応づけられた指示情報が「TRUE」である場合(ステップS705肯定、第二および第四の場合)、論理回線検索部13cは、LACグループ検索部13aによって検索されたLACグループ識別子と、LAC20から受信した指定ネットワークグループ識別子と、LAC20から受信したアクセス論理回線識別子との組み合わせを、論理回線対応テーブル記憶部12cが記憶する論理回線対応テーブルを用いて検索する(ステップS706)。
On the other hand, in the search result by the
ここで、論理回線検索部13cによる検索結果において、論理回線対応テーブルに検索対象の組み合わせが登録されていない場合(ステップS707否定、第四の場合)、認証結果通知部13dは、ユーザ端末40がアクセスしたLAC20に対して、LNS30への接続を不許可とする認証結果を、通信制御I/F部11を介して通知し(ステップS708)、処理を終了する。
Here, in the search result by the logical
一方、論理回線検索部13cによる検索結果において、論理回線対応テーブルに検索対象の組み合わせが登録されている場合(ステップS707肯定、第二の場合)、認証結果通知部13dは、ユーザ端末40がアクセスしたLAC20に対して、LNS30への接続を許可とする認証結果とともに、LNS対応テーブルにおいて、指定装置間対応関係を含む装置間対応関係の一つまたは複数のLNSを、ユーザ端末40がアクセスしたLAC20に対して、通信制御I/F部11を介して通知し(ステップS709)、処理を終了する。
On the other hand, in the search result by the logical
[実施例1におけるLACの処理の手順]
図8に示すように、まず、実施例1におけるLAC20は、ユーザ端末40からアクセスされて、指定LNSグループ識別子を受信すると(ステップS801肯定)、LAC制御サーバ10に自身のLAC識別子であるアクセスLAC識別子と指定LNSグループ識別子と、アクセス論理回線識別子とを、LAC制御サーバ10に送信する(ステップS802)。
[Procedure for LAC Processing in Embodiment 1]
As shown in FIG. 8, first, when the
そして、通信制御I/F部21は、LAC制御サーバ10から認証結果を受信すると(ステップS803肯定)、受信した認証結果が「許可とする認証結果」であるか否かを判定する(ステップS804)。
When the communication control I /
ここで、通信制御I/F部21は、受信した認証結果が「不許可とする認証結果」である場合(ステップS804否定、第三および第四の場合)、認証を不許可と、自身にアクセスしたユーザ端末40に通知し(ステップS805)、処理を終了する。
Here, if the received authentication result is “authentication result not permitted” (No in step S804, third and fourth cases), the communication control I /
一方、通信制御I/F部21は、受信した認証結果が「許可とする認証結果」である場合(ステップS804肯定、第一および第二の場合)、認証結果とともに受信したLNSの情報をLNS選択接続部23aに転送し、LNS選択接続部23aは、認証結果とともに受信した接続候補としてのLNSから一つのLNS30を、基準記憶部22aが記憶する選択機銃を用いて選択し、選択した一つのLNS30との間にL2TPによる接続を確立し(ステップ806)、処理を終了する。
On the other hand, when the received authentication result is “permitted authentication result” (Yes in step S804, in the first and second cases), the communication control I /
[実施例1の効果]
上記したように、実施例1によれば、接続を許可するLAC20とLNS30との組み合わせを装置単位ではなくグループ単位にし、グループ単位のみでは接続を許可するか否かを判定することができない組み合わせに関してのみ、ユーザがユーザ端末を介して利用した回線の情報を用いた粒度の細かい認証処理を行なうので、上記した主たる特徴の通り、認証処理の負荷を軽減することが可能になる。
[Effect of Example 1]
As described above, according to the first embodiment, the combination of the
また、接続許可用の対応テーブルを、グループ単位の対応テーブルと装置単位(ユーザ端末属性単位)の対応テーブルとに分割して管理するので、対応テーブルに登録するデータ量を軽減してLAC制御サーバ10において対応テーブルを記憶、管理するために確保すべき領域を削減することができ、認証処理の負荷を軽減することが可能になる。
Also, since the connection permission correspondence table is divided and managed as a group unit correspondence table and a device unit (user terminal attribute unit) correspondence table, the amount of data registered in the correspondence table is reduced and the
なお、上記した実施例では、論理回線対応テーブル記憶部12cが論理回線対応テーブルとして、LACグループ識別子とLNSグループ識別子と論理回線識別子とを対応付けて記憶する場合について説明したが、本発明はこれに限定されるものではなく、論理回線対応テーブル記憶部12cが論理回線対応テーブルとして、LNSグループ識別子と論理回線識別子とを対応付けて記憶する場合であってもよい。
In the above-described embodiment, the case where the logical line correspondence
例えば、論理回線対応テーブル記憶部12cは、図5に示すLACグループ識別子の項目を削除し、図9に示すように、「LNSグループ識別子:LNSグループ1」および「論理回線識別子:11111111」のみを対応付けた論理回線対応テーブルを記憶してもよい。なお、図9は、実施例1における変形例を説明するための図である。
For example, the logical line correspondence
この場合、論理回線検索部13cは、論理回線対応テーブルの「LNSグループ識別子」および「論理回線識別子」を検索キーとし、LNS検索部13bによる検索結果において、LNS対応テーブルに検索対象となる組み合わせ(指定装置間対応関係)を含む装置間対応関係に対応づけられた指示情報が「TRUE」である場合(第二および第四の場合)、指定装置間対応関係の指定LNSグループ識別子と、アクセス論理回線識別子との組み合わせが、論理回線対応テーブル記憶部12cが記憶する論理回線対応テーブルに登録されているか否かを検索する。
In this case, the logical
なお、論理回線対応テーブルとして図5に示す対応テーブルを保持したまま、論理回線検索部13cの使用する検索キーが、指定装置間対応関係の指定LNSグループ識別子と、アクセス論理回線識別子との組み合わせである場合であってもよい。
While the correspondence table shown in FIG. 5 is held as the logical line correspondence table, the search key used by the logical
このように検索キーの組み合わせを減少することで、装置単位での継続認証が必要となる際の、認証処理における負荷を軽減することが可能になる。 By reducing the number of search key combinations in this way, it is possible to reduce the load in the authentication process when continuous authentication is required in units of devices.
上述した実施例1では、ユーザ利用回線識別子として論理回線識別子を用い、LAC制御サーバ10が、現にユーザ端末40がアクセスしたLAC20からアクセス論理回線識別子を取得する場合について説明した。ここで、実施例2では、ユーザ利用回線識別子として論理回線識別子とともに、ユーザがユーザ端末40を介して利用する物理回線の識別子(物理回線識別子)を用い、LAC制御サーバ10が、LAC20からアクセス論理回線識別子とともに、現にユーザがユーザ端末40を介してLAC20にアクセスした際に利用した物理回線の識別子であるアクセス物理回線識別子を取得する場合について説明する。
In the first embodiment described above, a case has been described in which a logical line identifier is used as a user use line identifier and the
なお、実施例2におけるネットワーク接続制御システムの全体構成は、図1を用いて説明した実施例1におけるネットワーク接続制御システムの全体構成と同様であるので説明を省略する。 The overall configuration of the network connection control system according to the second embodiment is the same as the overall configuration of the network connection control system according to the first embodiment described with reference to FIG.
[実施例2におけるLAC制御サーバの構成]
まず最初に、図10〜図13を用いて、実施例2におけるLAC制御サーバの構成について説明する。図10は、実施例2におけるLAC制御サーバの構成を示すブロック図であり、図11は、物理回線グループ対応テーブル記憶部を説明するための図であり、図12は、実施例2におけるLNS対応テーブル記憶部を説明するための図であり、図13は、実施例2における論理回線対応テーブル記憶部を説明するための図である。
[Configuration of LAC Control Server in Embodiment 2]
First, the configuration of the LAC control server according to the second embodiment will be described with reference to FIGS. FIG. 10 is a block diagram illustrating a configuration of the LAC control server in the second embodiment, FIG. 11 is a diagram for explaining a physical line group correspondence table storage unit, and FIG. 12 is an LNS correspondence in the second embodiment. FIG. 13 is a diagram for explaining the logical line correspondence table storage unit according to the second embodiment.
図10に示すように、実施例2におけるLAC制御サーバ10は、図2に示す実施例1におけるLAC制御サーバ10と比較して、物理回線グループ対応テーブル記憶部12eおよび物理回線グループ検索部13eを新たに備える。以下、これらを中心に説明する。
As shown in FIG. 10, the
物理回線グループ対応テーブル記憶部12eは、LAC識別子と物理回線識別子と、物理回線識別子をグループ分けした各物理回線グループを一意に特定するための物理回線グループ識別子とを対応付けた物理回線グループ対応テーブルを記憶する。ここで、物理回線グループ対応テーブルは、特許請求の範囲に記載の「第四の対応テーブル」に対応する。
The physical line group correspondence
具体的には、物理回線グループ対応テーブル記憶部12eは、図11に示すように、LAC識別子としてLACのIPアドレス(LAC IPアドレス)と「物理回線識別子範囲」と「物理回線グループ識別子」とを対応付けた物理回線グループ対応テーブルを記憶する。例えば、図11に示すように、「LAC IPアドレス:10.2.1.100」と「物理回線識別子範囲:0000〜1000」と「物理回線グループ識別子:物理回線グループ1」とを対応付けて記憶する。すなわち、図11に示す物理回線グループ対応テーブルは、「LAC IPアドレス」が「10.2.1.100」であり「物理回線識別子」が「0000〜1000」の範囲にある値ならば、「物理接続グループ1」に対応することを示している。なお、「LAC IPアドレス」および「物理回線識別子範囲」は、後述する物理回線グループ検索部13eによる検索処理に用いられる検索キーとなる。
Specifically, as shown in FIG. 11, the physical line group correspondence
図10に戻って、LACグループ対応テーブル記憶部12aは、実施例1と同様のLACグループ対応テーブル(図3参照)を記憶する。
Returning to FIG. 10, the LAC group correspondence
実施例2におけるLNS対応テーブル記憶部12bは、LNS対応テーブルにおける装置間対応関係として、LACグループ識別子、LNSグループ識別子および「当該LNSグループ識別子が割り当てられたLNSであり、かつ、当該LACグループ識別子と当該LNSグループ識別子との組み合わせにおいて指定されたLNS」に加えて、物理回線グループ識別子をさらに対応付けて記憶し、装置間対応関係ごとに、「FALSE」、または「TRUE」を対応付けて記憶する。
The LNS correspondence
例えば、LNS対応テーブル記憶部12bは、図12に示すように、「LACグループ識別子:LACグループ1」と「LNSグループ識別子:LNSグループ2」と「物理回線グループ識別子:物理接続グループ2」と「LNS:LNS4、LNS5」とからなる装置間対応関係に「指示情報:FALSE」を対応付けて記憶する。なお、「LACグループ識別子」と「LNSグループ識別子」と「物理回線グループ識別子」とは、実施例2におけるLNS検索部13bによる検索処理に用いられる検索キーとなる。
For example, the LNS correspondence
図10に戻って、実施例2における論理回線対応テーブル記憶部12cは、LACグループ識別子、LNSグループ識別子および論理回線識別子に物理回線グループ識別子をさらに対応付けた論理回線対応テーブルを記憶する。
Returning to FIG. 10, the logical line correspondence
例えば、論理回線対応テーブル記憶部12cは、図13に示すように、「LACグループ識別子:LACグループ1」と、「LNSグループ識別子:LNSグループ1」と、「物理回線グループ識別子:物理接続グループ1」と「論理回線識別子:11111111」とを対応付けた論理回線対応テーブルを記憶する。なお、「LACグループ識別子」と「LNSグループ識別子」と「物理回線グループ識別子」と「論理回線識別子」とは、実施例2における論理回線検索部13cによる検索処理に用いられる検索キーとなる。
For example, as shown in FIG. 13, the logical line correspondence
図10に戻って、実施例2における処理部13は、ユーザ端末40が現にアクセスしたLAC20から、「アクセスLAC識別子」、「指定LNSグループ識別子」および「アクセス論理回線識別子」とともに「アクセス物理回線識別子」を通信制御I/F部11を介して取得した場合に、以下の各種処理を実行する。
Returning to FIG. 10, the
また、以下では、ユーザ端末40がアクセスしたLAC20から、「アクセスLAC識別子:10.2.1.100、指定LNSグループ識別子:LNSグループ2、アクセス論理回線識別子:22222222、アクセス物理回線識別子:2000」を取得した場合(以下、第一の場合と記す)と、「アクセスLAC識別子:10.2.1.104、指定LNSグループ識別子:LNSグループ3、アクセス論理回線識別子:33333333、アクセス物理回線識別子:1000」を取得した場合(以下、第二の場合と記す)と、「アクセスLAC識別子:10.2.1.102、指定LNSグループ識別子:LNSグループ1、アクセス論理回線識別子:12345678、アクセス物理回線識別子:3000」を取得した場合(以下、第三の場合と記す)と、「アクセスLAC識別子:10.2.1.104、指定LNSグループ識別子:LNSグループ3、アクセス論理回線識別子:87654321、アクセス物理回線識別子:1000」を取得した場合(以下、第四の場合と記す)と、について説明する。
In the following, from the
物理回線グループ検索部13eは、物理回線グループ対応テーブル記憶部12eが記憶する物理回線グループ対応テーブルを参照して、LAC20から取得した「アクセスLAC識別子」および「アクセス物理回線識別子」に対応する物理回線グループ識別子を検索し、検索した「物理回線グループ識別子」を、検索結果記憶部12dに格納する。
The physical line group search unit 13e refers to the physical line group correspondence table stored in the physical line group correspondence
例えば、物理回線グループ検索部13eは、第一の場合、「アクセスLAC識別子:10.2.1.100、アクセス物理回線識別子:2000」を検索キーとし、図11に示す物理回線グループ対応テーブルを参照して、「物理回線グループ識別子:物理接続グループ2」を検索する。
For example, in the first case, the physical line group search unit 13e uses “access LAC identifier: 10.2.1.100, access physical line identifier: 2000” as a search key, and uses the physical line group correspondence table shown in FIG. Refer to “physical line group identifier:
また、物理回線グループ検索部13eは、第二の場合、「アクセスLAC識別子:10.2.1.104、アクセス物理回線識別子:1000」を検索キーとし、図11に示す物理回線グループ対応テーブルを参照して、「物理回線グループ識別子:物理接続グループ1」を検索する。
Further, in the second case, the physical line group search unit 13e uses the “access LAC identifier: 10.2.1.104, access physical line identifier: 1000” as a search key, and uses the physical line group correspondence table shown in FIG. Refer to “physical line group identifier:
また、物理回線グループ検索部13eは、第三の場合、「アクセスLAC識別子:10.2.1.102、アクセス物理回線識別子:3000」を検索キーとし、図11に示す物理回線グループ対応テーブルを参照して、「物理回線グループ識別子:物理接続グループ3」を検索する。 Further, in the third case, the physical line group search unit 13e uses the “access LAC identifier: 10.2.1.102, access physical line identifier: 3000” as a search key, and uses the physical line group correspondence table shown in FIG. Refer to “physical line group identifier: physical connection group 3”.
また、物理回線グループ検索部13eは、第四の場合、「アクセスLAC識別子:10.2.1.104、アクセス物理回線識別子:1000」を検索キーとし、図11に示す物理回線グループ対応テーブルを参照して、「物理回線グループ識別子:物理接続グループ1」を検索する。
Further, in the fourth case, the physical line group search unit 13e uses the “access LAC identifier: 10.2.1.104, access physical line identifier: 1000” as a search key, and uses the physical line group correspondence table shown in FIG. Refer to “physical line group identifier:
LACグループ検索部13aは、実施例1と同様に、LACグループ対応テーブル記憶部12aが記憶するLACグループ対応テーブルを参照して、LAC20から取得した「アクセスLAC識別子」に対応する「LACグループ識別子」を検索し、検索した「LACグループ識別子」を、検索結果記憶部12dに格納する。
Similarly to the first embodiment, the LAC
例えば、LACグループ検索部13aは、第一の場合、「アクセスLAC識別子:10.2.1.100」を検索キーとし、図3に示すLACグループ対応テーブルを参照して、「LACグループ識別子:LACグループ1」を検索する。
For example, in the first case, the LAC
また、LACグループ検索部13aは、第二の場合および第四の場合、「アクセスLAC識別子:10.2.1.104」を検索キーとし、図3に示すLACグループ対応テーブルを参照して、「LACグループ識別子:LACグループ1」を検索する。
Further, in the second and fourth cases, the LAC
また、LACグループ検索部13aは、第三の場合、「アクセスLAC識別子:10.2.1.102」を検索キーとし、図3に示すLACグループ対応テーブルを参照して、「LACグループ識別子:LACグループ3」を検索する。
In the third case, the LAC
実施例2におけるLNS検索部13bは、LNS対応テーブル記憶部12bが記憶するLNS対応テーブル(図12)を参照して、「LAC20から受信した指定LNSグループ識別子とLACグループ検索部13aによって検索され検索結果記憶部12dに格納されたLACグループ識別子と物理回線グループ検索部13eによって検索され検索結果記憶部12dに格納された物理回線グループ識別子からなる指定装置間対応関係」を含む装置間対応関係が存在するか否かを検索し、指定装置間対応関係を含む装置間対応関係が存在する場合は、当該装置間対応関係に対応づけられた指示情報を検索し、その結果を検査結果記憶部12dに格納する。
The
例えば、LNS検索部13bは、第一の場合、「LACグループ識別子:LACグループ1、指定LNSグループ識別子:LNSグループ2、物理回線グループ識別子:物理接続グループ2」からなる指定装置間対応関係を検索キーとし、図12に示すLNS対応テーブルを参照して、「LACグループ1、LNSグループ2、物理接続グループ2」を含む装置間対応関係(「LACグループ1」と「LNSグループ2」と「物理接続グループ2」と「LNS4、LNS5」との対応関係)が登録されていることを検索し、検索された装置間対応関係に対応付けられた指示情報が「FALSE」であることを検索する。
For example, in the first case, the
また、LNS検索部13bは、第二の場合、「LACグループ識別子:LACグループ1、指定LNSグループ識別子:LNSグループ3、物理回線グループ識別子:物理接続グループ1」からなる指定装置間対応関係を検索キーとし、図12に示すLNS対応テーブルを参照して、「LACグループ1、LNSグループ3、物理接続グループ1」を含む装置間対応関係(「LACグループ1」と「LNSグループ3」と「物理接続グループ1」と「LNS6、LNS7、LNS8」との対応関係)が登録されていることを検索し、検索された装置間対応関係に対応付けられた指示情報が「TRUE」であることを検索する。
Further, in the second case, the
また、LNS検索部13bは、第三の場合、「LACグループ識別子:LACグループ1、指定LNSグループ識別子:LNSグループ1、物理回線グループ識別子:物理接続グループ3」からなる指定装置間対応関係を検索キーとし、図12に示すLNS対応テーブルを参照して、「LACグループ1、LNSグループ1、物理接続グループ3」を含む装置間対応関係が登録されていないとする検索結果を取得する。
Further, in the third case, the
また、LNS検索部13bは、第四の場合、「LACグループ識別子:LACグループ1、指定LNSグループ識別子:LNSグループ3、物理回線グループ識別子:物理接続グループ1」からなる指定装置間対応関係を検索キーとし、図12に示すLNS対応テーブルを参照して、「LACグループ1、LNSグループ3、物理接続グループ1」を含む装置間対応関係(「LACグループ1」と「LNSグループ3」と「物理接続グループ1」と「LNS6、LNS7、LNS8」との対応関係)が登録されていることを検索し、検索された装置間対応関係に対応付けられた指示情報が「TRUE」であることを検索する。
Further, in the fourth case, the
実施例2における論理回線検索部13cは、LNS検索部13bによって検索され検索結果記憶部12dに格納された指示情報が「TRUE」であった場合に、論理回線対応テーブル記憶部12cが記憶する論理回線対応テーブル(図13)を参照して、「LAC20から受信した指定LNSグループ識別子とLACグループ検索部13aによって検索され検索結果記憶部12dに格納されたLACグループ識別子と物理回線グループ検索部13eによって検索され検索結果記憶部12dに格納された物理回線グループ識別子からなる指定装置間対応関係」と「アクセス論理回線識別子」の組み合わせが存在するか否かを検索し、その検索結果を、検索結果記憶部12dに格納する。
The logical
例えば、論理回線検索部13cは、第二の場合、「LACグループ識別子:LACグループ1、指定LNSグループ識別子:LNSグループ3、物理回線グループ識別子:物理接続グループ1」からなる指定装置間対応関係と「アクセス論理回線識別子:3333333」との組み合わせを検索キーとし、図13に示す論理回線対応テーブルを参照して、検索対象となる組み合わせが登録されているとする検索結果を取得する。
For example, in the second case, the logical
また、論理回線検索部13cは、第四の場合、「LACグループ識別子:LACグループ1、指定LNSグループ識別子:LNSグループ3、物理回線グループ識別子:物理接続グループ1」からなる指定装置間対応関係と「アクセス論理回線識別子:87654321」との組み合わせを検索キーとし、図13に示す論理回線対応テーブルを参照して、検索対象となる組み合わせが登録されていないとする検索結果を取得する。
Further, in the fourth case, the logical
認証結果通知部13dは、LNS検索部13bによる検索結果において、指定装置間対応関係を含む装置間対応関係が存在しない場合(第三の場合)、および論理回線検索部13cによる検索結果において、指定装置間対応関係およびアクセス論理回線識別子の組み合わせが存在しない場合(第四の場合)は、ユーザ端末40がアクセスしたLAC20に対して、接続を許可しないことを通信制御I/F部11を介して通知する。
The authentication
また、認証結果通知部13dは、LNS検索部13bによる検索結果において、指定装置間対応関係を含む装置間対応関係に対応付けられた指示情報が「FALSE」であった場合(第一の場合)、および論理回線検索部13cによる検索結果において、指定装置間対応関係およびアクセス論理回線識別子の組み合わせが存在する場合(第二の場合)は、ユーザ端末40がアクセスしたLAC20に対して、接続を許可することを通信制御I/F部11を介して通知する。
Also, the authentication
ここで、接続を許可する場合、認証結果通知部13dは、LNS対応テーブルにおいて、指定装置間対応関係を含む装置間対応関係のLNSグループに所属する一つまたは複数のLNSをユーザ端末40がアクセスしたLAC20に対して、通信制御I/F部11を介して通知する。
Here, when the connection is permitted, the authentication
すなわち、認証結果通知部13dは、第一の場合、「LACグループ識別子:LACグループ1、指定LNSグループ識別子:LNSグループ2、物理回線グループ識別子:物理接続グループ2」からなる指定装置間対応関係を含む装置間対応関係に登録されている「LNS4、LNS5」をユーザ端末40がアクセスしたLAC20に対して通知する。
That is, in the first case, the authentication
また、認証結果通知部13dは、第二の場合、「LACグループ識別子:LACグループ1、指定LNSグループ識別子:LNSグループ3、物理回線グループ識別子:物理接続グループ1」からなる指定装置間対応関係を含む装置間対応関係に登録されている「LNS6、LNS7、LNS8」をユーザ端末40がアクセスしたLAC20に対して通知する。
Further, in the second case, the authentication
なお、実施例2におけるLAC20は、LAC制御サーバ10に対して、「アクセスLAC識別子」、「指定LNSグループ識別子」および「アクセス論理回線識別子」とともに「アクセス物理回線識別子」を送信する以外は、図6を用いて説明した実施例1におけるLAC20と同様の処理を実行するので説明を省略する。
Note that the
[実施例2におけるネットワーク接続制御システムの処理の手順]
次に、図14および図15を用いて、実施例2におけるネットワーク接続制御システムの処理を説明する。図14は、実施例2におけるLAC制御サーバの処理を説明するための図であり、図15は、実施例2におけるLACの処理を説明するための図である。
[Processing Procedure of Network Connection Control System in Embodiment 2]
Next, processing of the network connection control system according to the second embodiment will be described with reference to FIGS. 14 and 15. FIG. 14 is a diagram for explaining the processing of the LAC control server in the second embodiment, and FIG. 15 is a diagram for explaining the LAC processing in the second embodiment.
[実施例2におけるLAC制御サーバの処理の手順]
図14に示すように、まず、実施例2におけるLAC制御サーバ10は、ユーザがユーザ端末40を介してアクセスしたLAC20からアクセスLAC識別子、指定LNSグループ識別子、アクセス論理回線識別子およびアクセス物理回線識別子を受信すると(ステップS1401肯定)、物理回線グループ検索部13eは、受信したアクセスLAC識別子およびアクセス物理回線識別子から物理回線部ループ識別子を、物理回線グループ対応テーブル記憶部12eが記憶する物理回線グループ対応テーブルを用いて検索する(ステップS1402)。
[Processing Procedure of LAC Control Server in Second Embodiment]
As shown in FIG. 14, first, the
そして、LACグループ検索部13aは、受信したアクセスLAC識別子からLACグループ識別子を、LACグループ対応テーブル記憶部12aが記憶するLACグループ対応テーブルを用いて検索する(ステップS1403)。
Then, the LAC
そののち、LNS検索部13bは、LACグループ検索部13aによって検索され検索結果記憶部12dに格納されたLACグループ識別子とLAC20から受信した指定LNSグループ識別子と物理回線グループ検索部13eによって検索され検索結果記憶部12dに格納された物理回線グループ識別子との組み合わせ(指定装置間対応関係)を、LNS対応テーブル記憶部12bが記憶するLNS対応テーブルを用いて検索する(ステップS1404)。
Thereafter, the
ここで、LNS検索部13bによる検索結果において、LNS対応テーブルに検索対象となる組み合わせ(指定装置間対応関係)が登録されていない場合(ステップS1405否定、第三の場合)、認証結果通知部13dは、ユーザ端末40がアクセスしたLAC20に対して、LNS30への接続を不許可とする認証結果を、通信制御I/F部11を介して通知し(ステップS1409)、処理を終了する。
Here, in the search result by the
一方、LNS検索部13bによる検索結果において、LNS対応テーブルに検索対象となる組み合わせ(指定装置間対応関係)が登録されている場合(ステップS1405肯定)、当該指定装置間対応関係を含む装置間対応関係に対応づけられた指示情報を検索し、指示情報が「TRUE」であるか否かを検索する(ステップS1406)。
On the other hand, in the search result by the
ここで、LNS検索部13bによる検索結果において、LNS対応テーブルに検索対象となる組み合わせ(指定装置間対応関係)を含む装置間対応関係に対応づけられた指示情報が「FALSE」である場合(ステップS1406否定、第一の場合)、認証結果通知部13dは、ユーザ端末40がアクセスしたLAC20に対して、LNS30への接続を許可とする認証結果とともに、LNS対応テーブルにおいて、指定装置間対応関係を含む装置間対応関係の一つまたは複数のLNSをユーザ端末40がアクセスしたLAC20に対して、通信制御I/F部11を介して通知し(ステップS1410)、処理を終了する。
Here, in the search result by the
一方、LNS検索部13bによる検索結果において、LNS対応テーブルに検索対象となる組み合わせ(指定装置間対応関係)を含む装置間対応関係に対応づけられた指示情報が「TRUE」である場合(ステップS1406肯定、第二および第四の場合)、論理回線検索部13cは、LACグループ検索部13aによって検索されたLACグループ識別子と、LAC20から受信した指定ネットワークグループ識別子と、物理回線グループ検索部13eによって検索された物理回線グループ識別子と、LAC20から受信したアクセス論理回線識別子との組み合わせを、論理回線対応テーブル記憶部12cが記憶する論理回線対応テーブルを用いて検索する(ステップS1407)。
On the other hand, in the search result by the
ここで、論理回線検索部13cによる検索結果において、論理回線対応テーブルに検索対象の組み合わせが登録されていない場合(ステップS1408否定、第四の場合)、認証結果通知部13dは、ユーザ端末40がアクセスしたLAC20に対して、LNS30への接続を不許可とする認証結果を、通信制御I/F部11を介して通知し(ステップS1409)、処理を終了する。
Here, in the search result by the logical
一方、論理回線検索部13cによる検索結果において、論理回線対応テーブルに検索対象の組み合わせが登録されている場合(ステップS1408肯定、第二の場合)、認証結果通知部13dは、ユーザ端末40がアクセスしたLAC20に対して、LNS30への接続を許可とする認証結果とともに、LNS対応テーブルにおいて、指定装置間対応関係を含む装置間対応関係の一つまたは複数のLNSを、ユーザ端末40がアクセスしたLAC20に対して、通信制御I/F部11を介して通知し(ステップS1410)、処理を終了する。
On the other hand, in the search result by the logical
[実施例2におけるLACの処理の手順]
図15に示すように、まず、実施例2におけるLAC20は、ユーザ端末40からアクセスされて、指定LNSグループ識別子を受信すると(ステップS1501肯定)、LAC制御サーバ10に自身のLAC識別子であるアクセスLAC識別子と指定LNSグループ識別子と、アクセス論理回線識別子と、アクセス物理回線識別子とを、LAC制御サーバ10に送信する(ステップS1502)。
[Procedure for LAC Processing in Second Embodiment]
As illustrated in FIG. 15, first, when the
そして、通信制御I/F部21は、LAC制御サーバ10から認証結果を受信すると(ステップS1503肯定)、受信した認証結果が「許可とする認証結果」であるか否かを判定する(ステップS1504)。
When the communication control I /
ここで、通信制御I/F部21は、受信した認証結果が「不許可とする認証結果」である場合(ステップS1504否定、第三および第四の場合)、認証を不許可と、自身にアクセスしたユーザ端末40に通知し(ステップS1505)、処理を終了する。
Here, if the received authentication result is “authentication result not permitted” (No in step S1504, third and fourth cases), the communication control I /
一方、通信制御I/F部21は、受信した認証結果が「許可とする認証結果」である場合(ステップS1504肯定、第一および第二の場合)、認証結果とともに受信したLNSの情報をLNS選択接続部23aに転送し、LNS選択接続部23aは、認証結果とともに受信した接続候補としてのLNSから一つのLNS30を、基準記憶部22aが記憶する選択機銃を用いて選択し、選択した一つのLNS30との間にL2TPによる接続を確立し(ステップ1506)、処理を終了する。
On the other hand, when the received authentication result is “permitted authentication result” (Yes in step S1504, in the first and second cases), the communication control I /
[実施例2の効果]
上記したように、実施例2によれば、接続を許可するLAC20とLNS30との組み合わせを、LACグループおよびLNSグループとともに物理回線グループを加えたグループ単位にすることで接続を許可するための組み合わせをさらに減少させるので、認証処理の負荷をより軽減することが可能になる。
[Effect of Example 2]
As described above, according to the second embodiment, the combination of the
なお、上記した実施例では、論理回線対応テーブル記憶部12cが論理回線対応テーブルとして、LACグループ識別子とLNSグループ識別子と物理回線グループ識別子と論理回線識別子とを対応付けて記憶する場合について説明したが、本発明はこれに限定されるものではなく、論理回線対応テーブル記憶部12cが論理回線対応テーブルとして、以下に示すような組み合わせを対応付けて記憶する場合であってもよい。
In the above-described embodiment, the case where the logical line correspondence
例えば、論理回線対応テーブル記憶部12cは、図13に示すLACグループ識別子および物理回線グループ識別子の項目を削除し、実施例1における変形例として図9を用いて上述した場合と同様に、「LNSグループ識別子」および「論理回線識別子」のみを対応付けた論理回線対応テーブルを記憶してもよい。この場合、論理回線検索部13cは、論理回線対応テーブルの「LNSグループ識別子」および「論理回線識別子」を検索キーとし、LNS検索部13bによる検索結果において、LNS対応テーブルに検索対象となる組み合わせ(指定装置間対応関係)を含む装置間対応関係に対応づけられた指示情報が「TRUE」である場合(第二および第四の場合)、指定装置間対応関係の指定LNSグループ識別子と、アクセス論理回線識別子との組み合わせが、論理回線対応テーブル記憶部12cが記憶する論理回線対応テーブルに登録されているか否かを検索する。
For example, the logical line correspondence
また、論理回線対応テーブル記憶部12cは、図13に示すLACグループ識別子の項目を削除し、図16の(A)に示すように、「LNSグループ識別子」、「物理回線グループ識別子」および「論理回線識別子」のみを対応付けた論理回線対応テーブルを記憶してもよい。この場合、論理回線検索部13cは、論理回線対応テーブルの「LNSグループ識別子」、「論理回線識別子」および「物理回線グループ識別子」を検索キーとし、LNS検索部13bによる検索結果において、LNS対応テーブルに検索対象となる組み合わせ(指定装置間対応関係)を含む装置間対応関係に対応づけられた指示情報が「TRUE」である場合(第二および第四の場合)、指定装置間対応関係の指定LNSグループ識別子および物理回線グループ識別子と、アクセス論理回線識別子との組み合わせが、論理回線対応テーブル記憶部12cが記憶する論理回線対応テーブルに登録されているか否かを検索する。なお、図16は、実施例2における変形例を説明するための図である。
Also, the logical line correspondence
また、論理回線対応テーブル記憶部12cは、図13に示す物理回線グループ識別子の項目を削除し、図16の(B)に示すように、「LACグループ識別子」、「LNSグループ識別子」および「論理回線識別子」のみを対応付けた論理回線対応テーブルを記憶してもよい。この場合、論理回線検索部13cは、論理回線対応テーブルの「LACグループ識別子」、「LNSグループ識別子」および「論理回線識別子」を検索キーとし、LNS検索部13bによる検索結果において、LNS対応テーブルに検索対象となる組み合わせ(指定装置間対応関係)を含む装置間対応関係に対応づけられた指示情報が「TRUE」である場合(第二および第四の場合)、指定装置間対応関係のLACグループ識別子および指定LNSグループ識別子と、アクセス論理回線識別子との組み合わせが、論理回線対応テーブル記憶部12cが記憶する論理回線対応テーブルに登録されているか否かを検索する。
Further, the logical line correspondence
なお、論理回線対応テーブルとして図13に示す対応テーブルを保持したまま、論理回線検索部13cの使用する検索キーが、「指定装置間対応関係の指定LNSグループ識別子と、アクセス論理回線識別子との組み合わせ」や、「指定装置間対応関係の指定LNSグループ識別子および物理回線グループ識別子と、アクセス論理回線識別子との組み合わせ」や、「指定装置間対応関係のLACグループ識別子および指定LNSグループ識別子と、アクセス論理回線識別子との組み合わせ」である場合であってもよい。
While the correspondence table shown in FIG. 13 is held as the logical line correspondence table, the search key used by the logical
このように検索キーの組み合わせを減少することで、装置単位での継続認証が必要となる際の、認証処理における負荷を軽減することが可能になる。 By reducing the number of search key combinations in this way, it is possible to reduce the load in the authentication process when continuous authentication is required in units of devices.
ところで、上記の実施例1および2では、LAC20およびLNS30それぞれが、すべて実際の機器である場合について説明したが、本発明はこれに限定されるものではなく、実際の機器の中に、仮想的なLACまたは仮想的なLNSが含まれる場合であってもよい。例えば、実際の機器である「LNS」の中に、仮想LNSを複数設定する場合であってもよい。
In the first and second embodiments described above, the case where each of the
また、上記の実施例1および2では、ユーザ端末40に関する情報(ユーザ端末情報)として、ユーザ利用回線識別子のみを用い、また、LAC20にアクセスしたユーザ端末40の情報(アクセスユーザ端末情報)として、アクセスユーザ利用回線識別子のみを用いた場合について説明したが、本発明はこれに限定されるものではなく、ユーザ端末情報やアクセスユーザ端末情報として、ユーザ端末40のIPアドレスやMACアドレスなど、ユーザ端末40を一意に特定するため情報(ユーザ端末識別子およびアクセスユーザ端末識別子)のみを用る場合であってもよい。あるいは、ユーザ端末情報として、ユーザ端末識別子とユーザ利用回線識別子との組み合わせを用い、アクセスユーザ端末情報として、アクセスユーザ端末識別子とアクセスユーザ利用回線識別子との組み合わせを用いる場合であってもよい。
In the first and second embodiments described above, only the user usage line identifier is used as information (user terminal information) related to the
また、図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部または一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的または物理的に分散・統合して構成することができる。さらに、各装置にて行なわれる各処理機能は、その全部または任意の一部が、CPUおよび当該CPUにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。 Further, each component of each illustrated apparatus is functionally conceptual, and does not necessarily need to be physically configured as illustrated. In other words, the specific form of distribution / integration of each device is not limited to that shown in the figure, and all or a part thereof may be functionally or physically distributed or arbitrarily distributed in arbitrary units according to various loads or usage conditions. Can be integrated and configured. Further, all or any part of each processing function performed in each device may be realized by a CPU and a program analyzed and executed by the CPU, or may be realized as hardware by wired logic.
なお、本実施例で説明したネットワーク接続制御方法は、あらかじめ用意されたプログラムをパーソナルコンピュータやワークステーションなどのコンピュータで実行することによって実現することができる。このプログラムは、インターネットなどのネットワークを介して配布することができる。また、このプログラムは、ハードディスク、フレキシブルディスク(FD)、CD−ROM、MO、DVDなどのコンピュータで読み取り可能な記録媒体に記録され、コンピュータによって記録媒体から読み出されることによって実行することもできる。 The network connection control method described in this embodiment can be realized by executing a program prepared in advance on a computer such as a personal computer or a workstation. This program can be distributed via a network such as the Internet. The program can also be executed by being recorded on a computer-readable recording medium such as a hard disk, a flexible disk (FD), a CD-ROM, an MO, and a DVD and being read from the recording medium by the computer.
以上のように、本発明に係るネットワーク接続制御方法およびネットワーク接続制御装置は、ユーザの所有するユーザ端末が指定したネットワークである指定ネットワークへの接続を、ユーザ端末がアクセスするユーザアクセス装置と、指定ネットワークと接続されるネットワーク接続装置との接続を許可するか否かによって制御する場合に有用であり、特に、認証処理の負荷を軽減することに適する。 As described above, the network connection control method and the network connection control device according to the present invention specify the connection to the designated network, which is the network designated by the user terminal owned by the user, and the user access device that the user terminal accesses This is useful for controlling whether to permit connection with a network connection device connected to the network, and is particularly suitable for reducing the load of authentication processing.
10 LAC制御サーバ
11 通信制御I/F部
12 記憶部
12a LACグループ対応テーブル記憶部
12b LNS対応テーブル記憶部
12c 論理回線対応テーブル記憶部
12d 検索結果記憶部
13 処理部
13a LACグループ検索部
13b LNS検索部
13c 論理回線検索部
13d 認証結果通知部
20 LAC
21 通信制御I/F部
22 記憶部
22a 基準記憶部
23 処理部
23a LNS選択接続部
30 LNS
40 ユーザ端末
DESCRIPTION OF
21 communication control I /
40 User terminal
Claims (10)
前記ユーザアクセス装置を一意に特定するためのユーザアクセス装置識別子と、前記ユーザアクセス装置をグループ分けした各ユーザアクセス装置グループを一意に特定するためのユーザアクセス装置グループ識別子とを対応付けた第一の対応テーブルと、前記ユーザアクセス装置グループ識別子と、前記ネットワーク接続装置をグループ分けした各ネットワーク接続装置グループを一意に特定するためのネットワーク接続装置グループ識別子とを対応付けた装置間対応関係ごとに、接続を許可することを指示する接続許可指示情報、または、接続を許可するか否かをグループ単位より細分化した単位で行なうことを指示する細分化指示情報のいずれかからなる指示情報を対応付けた第二の対応テーブルと、前記ネットワーク接続装置グループ識別子と、前記ユーザ端末を一意に特定するためのユーザ端末識別子、および/または、前記ユーザ端末が利用する回線を一意に特定するためのユーザ利用回線識別子からなるユーザ端末情報とを対応付けた第三の対応テーブルとを所定の記憶部において保持する対応テーブル保持ステップと、
前記ユーザ端末が現にアクセスしたユーザアクセス装置から、当該ユーザアクセス装置の前記ユーザアクセス装置識別子であるアクセス装置識別子と、前記指定ネットワークと接続されるネットワーク接続装置グループの前記ネットワーク接続装置グループ識別子である指定ネットワークグループ識別子と、当該ユーザアクセス装置にアクセスしたユーザ端末の前記ユーザ端末情報であるアクセスユーザ端末情報とを取得した場合に、
前記第一の対応テーブルを参照して、前記アクセス装置識別子に対応するユーザアクセス装置グループ識別子を検索する第一の検索ステップと、
前記第二の対応テーブルを参照して、前記指定ネットワークグループ識別子および前記第一の検索ステップによって検索された前記ユーザアクセス装置グループ識別子からなる指定装置間対応関係を含む装置間対応関係が存在するか否かを検索し、前記指定装置間対応関係を含む装置間対応関係が存在する場合は、当該装置間対応関係に対応づけられた前記指示情報を検索する第二の検索ステップと、
前記第二の検索ステップによって検索された前記指示情報が前記細分化指示情報であった場合に、前記第三の対応テーブルを参照して、前記指定装置間対応関係の指定ネットワークグループ識別子および前記アクセスユーザ端末情報の組み合わせが存在するか否かを検索する第三の検索ステップと、
前記第二の検索ステップによる検索結果において前記指定装置間対応関係を含む装置間対応関係が存在しない場合および前記第三の検索ステップによる検索結果において前記指定装置間対応関係の指定ネットワークグループ識別子および前記アクセスユーザ端末情報の組み合わせが存在しない場合は、前記ユーザ端末がアクセスしたユーザアクセス装置に対して接続を許可しないことを通知し、前記第二の検索ステップによる検索結果において前記指定装置間対応関係を含む装置間対応関係に対応付けられた指示情報が前記接続許可指示情報であった場合および前記第三の検索ステップによる検索結果において前記指定装置間対応関係の指定ネットワークグループ識別子および前記アクセスユーザ端末情報の組み合わせが存在する場合は、前記ユーザ端末がアクセスしたユーザアクセス装置に対して接続を許可することを通知する通知ステップと、
を含んだことを特徴とするネットワーク接続制御方法。 Whether or not to permit connection to a designated network, which is a network designated by a user terminal owned by the user, between a user access device accessed by the user terminal and a network connection device connected to the designated network A network connection control method applied to a network connection control device to be controlled,
A first associated with a user access device identifier for uniquely identifying the user access device and a user access device group identifier for uniquely identifying each user access device group into which the user access devices are grouped Connection is made for each device correspondence relationship in which a correspondence table, the user access device group identifier, and a network connection device group identifier for uniquely identifying each network connection device group into which the network connection devices are grouped are associated. Is associated with instruction information consisting of either connection permission instruction information for instructing permission or subdivision instruction information for instructing whether or not to permit connection in a unit subdivided from the group unit A second correspondence table and the network connection device group; The identifier is associated with user terminal information including a user terminal identifier for uniquely identifying the user terminal and / or a user terminal line identifier for uniquely identifying a line used by the user terminal. A correspondence table holding step for holding the three correspondence tables in a predetermined storage unit;
From the user access device that is currently accessed by the user terminal, an access device identifier that is the user access device identifier of the user access device and a designation that is the network connection device group identifier of the network connection device group connected to the designated network When acquiring the network group identifier and access user terminal information that is the user terminal information of the user terminal that has accessed the user access device,
A first search step of searching for a user access device group identifier corresponding to the access device identifier with reference to the first correspondence table;
Whether there is an inter-device correspondence relationship including the designated device correspondence relationship composed of the designated network group identifier and the user access device group identifier retrieved by the first retrieval step with reference to the second correspondence table. A second search step for searching for the instruction information associated with the correspondence between the devices, if there is a correspondence between the devices including the correspondence between the designated devices.
When the instruction information retrieved in the second retrieval step is the segmentation instruction information, the designated network group identifier and the access of the designated device correspondence relationship are referred to by referring to the third correspondence table A third search step for searching whether a combination of user terminal information exists;
When there is no inter-device correspondence including the correspondence between the designated devices in the search result by the second search step, and in the search result by the third search step, the designated network group identifier of the correspondence between the designated devices and the If there is no combination of access user terminal information, the user access device accessed by the user terminal is notified that the connection is not permitted, and the correspondence between the designated devices is determined in the search result of the second search step. When the instruction information associated with the inter-device correspondence is the connection permission instruction information and in the search result by the third search step, the designated network group identifier of the designated inter-device correspondence and the access user terminal information If there is a combination of A notification step in which the user terminal to notify that permits connection to the user access device has accessed,
A network connection control method comprising:
前記通知ステップは、前記ユーザ端末がアクセスしたユーザアクセス装置に対して接続を許可することを通知する場合に、前記第二の対応テーブルを参照して、前記指定装置間対応関係を含む装置間対応関係の一つまたは複数のネットワーク接続装置をさらに通知することを特徴とする請求項1に記載のネットワーク接続制御方法。 The correspondence table holding step includes one or a plurality of network connection device group identifiers together with a combination of the user access device group identifier and the network connection device group identifier as the device correspondence relationship in the second correspondence table. The network connection devices of
When notifying that the user access device accessed by the user terminal is permitted to be connected, the notifying step refers to the second correspondence table and includes correspondence between the devices including the correspondence relationship between the designated devices. The network connection control method according to claim 1, further comprising notifying one or a plurality of network connection devices in relation.
前記第三の検索ステップは、前記第三の対応テーブルを参照して、前記指定装置間対応関係および前記アクセス論理回線識別子の組み合わせが存在するか否かを検索し、
前記通知ステップは、前記第三の検索ステップによる検索結果において前記指定装置間対応関係および前記アクセス論理回線識別子の組み合わせが存在しない場合は、前記ユーザ端末がアクセスしたユーザアクセス装置に対して接続を許可しないことを通知し、前記第三の検索ステップによる検索結果において前記指定装置間対応関係および前記アクセス論理回線識別子の組み合わせが存在する場合は、当該指定装置間対応関係を含む装置間対応関係の一つまたは複数のネットワーク接続装置を、前記ユーザ端末がアクセスしたユーザアクセス装置に対して接続を許可するために通知することを特徴とする請求項4に記載のネットワーク接続制御方法。 The correspondence table holding step holds, as the third correspondence table, the user access device group identifier further associated with the network connection device group identifier and the logical line identifier,
The third search step refers to the third correspondence table to search whether or not there is a combination of the correspondence relationship between the designated devices and the access logical line identifier,
The notifying step permits connection to the user access device accessed by the user terminal when there is no combination of the correspondence relationship between the designated devices and the access logical line identifier in the search result of the third search step. If there is a combination of the correspondence relationship between the designated devices and the access logical line identifier in the search result of the third search step, one of the correspondence relationships between the devices including the correspondence relationship between the designated devices is present. 5. The network connection control method according to claim 4, wherein one or a plurality of network connection devices are notified to permit connection to a user access device accessed by the user terminal.
前記対応テーブル保持ステップは、前記ユーザアクセス装置識別子と、前記物理回線識別子と、前記物理回線識別子をグループ分けした各物理回線グループを一意に特定するための物理回線グループ識別子とを対応付けた第四の対応テーブルをさらに保持し、かつ、前記第二の対応テーブルにおける前記装置間対応関係として、前記物理回線グループ識別子をさらに対応付けて保持し、
前記第四の対応テーブルを参照して、前記アクセス装置識別子および前記アクセス物理回線識別子に対応する物理回線グループ識別子を検索する第四の検索ステップをさらに含み、
前記第二の検索ステップは、前記第二の対応テーブルを参照して、前記指定ネットワークグループ識別子、前記第一の検索ステップによって検索された前記ユーザアクセス装置グループ識別子および前記第四の検索ステップによって検索された前記物理回線グループ識別子からなる指定装置間対応関係を含む装置間対応関係が存在するか否かを検索し、前記指定装置間対応関係を含む装置間対応関係が存在する場合は、当該装置間対応関係に対応づけられた前記指示情報を検索することを特徴とする請求項4に記載のネットワーク接続制御方法。 Together with the logical line identifier, a physical line identifier for uniquely identifying a physical line used by the user terminal is set as the user use line identifier, and further, the user equipment accessed by the user terminal, the access device identifier, When obtaining an access physical line identifier that is an identifier of a physical line used when the user terminal accesses the user access device together with a designated network group identifier and the access logical line identifier,
In the correspondence table holding step, a fourth associated with the user access device identifier, the physical line identifier, and a physical line group identifier for uniquely identifying each physical line group into which the physical line identifier is grouped. And further holding the physical line group identifier as a correspondence relationship between the devices in the second correspondence table,
A fourth search step of searching for a physical line group identifier corresponding to the access device identifier and the access physical line identifier with reference to the fourth correspondence table;
The second search step refers to the second correspondence table and searches by the designated network group identifier, the user access device group identifier searched by the first search step, and the fourth search step. It is searched whether or not there is a correspondence relationship between devices including the correspondence relationship between designated devices including the specified physical line group identifier, and when there is a correspondence relationship between devices including the correspondence relationship between designated devices, the device concerned 5. The network connection control method according to claim 4, wherein the instruction information associated with the inter-correspondence relationship is searched.
前記第三の検索ステップは、前記第三の対応テーブルを参照して、前記指定装置間対応関係の指定ネットワークグループ識別子および物理回線グループ識別子と前記アクセス論理回線識別子との組み合わせが存在するか否かを検索し、
前記通知ステップは、前記第三の検索ステップによる検索結果において前記指定装置間対応関係の指定ネットワークグループ識別子および物理回線グループ識別子と前記アクセス論理回線識別子との組み合わせが存在しない場合は、前記ユーザ端末がアクセスしたユーザアクセス装置に対して接続を許可しないことを通知し、前記第三の検索ステップによる検索結果において前記指定装置間対応関係の指定ネットワークグループ識別子および物理回線グループ識別子と前記アクセス論理回線識別子との組み合わせが存在する場合は、当該指定装置間対応関係を含む装置間対応関係の一つまたは複数のネットワーク接続装置を、前記ユーザ端末がアクセスしたユーザアクセス装置に対して接続を許可するために通知することを特徴とする請求項6に記載のネットワーク接続制御方法。 The correspondence table holding step holds the physical line group identifier in association with the network connection device group identifier and the logical line identifier as the third correspondence table,
In the third search step, referring to the third correspondence table, whether or not there is a combination of the designated network group identifier and physical line group identifier of the designated device correspondence relationship and the access logical line identifier. Search for
In the notification step, when there is no combination of the specified network group identifier and physical line group identifier and the access logical line identifier of the correspondence relationship between the specified devices in the search result of the third search step, the user terminal Notifying the accessed user access device that connection is not permitted, and in the search result of the third search step, the designated network group identifier and physical line group identifier of the correspondence relationship between the designated devices, and the access logical line identifier, If there is a combination, the one or more network connection devices including the device-to-device correspondence relationship are notified to permit connection to the user access device accessed by the user terminal. Claims Network connection control method according to.
前記第三の検索ステップは、前記第三の対応テーブルを参照して、前記指定装置間対応関係の指定ネットワークグループ識別子およびユーザアクセス装置グループ識別子と前記アクセス論理回線識別子との組み合わせが存在するか否かを検索し、
前記通知ステップは、前記第三の検索ステップによる検索結果において前記指定装置間対応関係の指定ネットワークグループ識別子およびユーザアクセス装置グループ識別子と前記アクセス論理回線識別子との組み合わせが存在しない場合は、前記ユーザ端末がアクセスしたユーザアクセス装置に対して接続を許可しないことを通知し、前記第三の検索ステップによる検索結果において前記指定装置間対応関係の指定ネットワークグループ識別子およびユーザアクセス装置グループ識別子と前記アクセス論理回線識別子との組み合わせが存在する場合は、当該指定装置間対応関係を含む装置間対応関係におけるネットワーク接続装置グループに所属する一つまたは複数のネットワーク接続装置を、前記ユーザ端末がアクセスしたユーザアクセス装置に対して接続を許可するために通知することを特徴とする請求項6に記載のネットワーク接続制御方法。 The correspondence table holding step holds, as the third correspondence table, the user access device group identifier further associated with the network connection device group identifier and the logical line identifier,
In the third search step, referring to the third correspondence table, whether or not there is a combination of the designated network group identifier of the correspondence relationship between the designated devices and the user access device group identifier and the access logical line identifier. Search for
In the search result of the third search step, the notification step includes the user terminal if there is no combination of the specified network group identifier and the user access device group identifier of the specified device correspondence relationship and the access logical line identifier. That the access is not permitted to the accessed user access device, and in the search result of the third search step, the specified network group identifier and user access device group identifier of the correspondence relationship between the specified devices and the access logical line When a combination with the identifier exists, the user access that the user terminal has accessed one or more network connection devices belonging to the network connection device group in the device-to-device correspondence relationship including the specified device-to-device correspondence relationship. Network connection control method according to claim 6, wherein the notifying to allow connection to the device.
前記第三の検索ステップは、前記第三の対応テーブルを参照して、前記指定装置間対応関係と前記アクセス論理回線識別子との組み合わせが存在するか否かを検索し、
前記通知ステップは、前記第三の検索ステップによる検索結果において前記指定装置間対応関係と前記アクセス論理回線識別子との組み合わせが存在しない場合は、前記ユーザ端末がアクセスしたユーザアクセス装置に対して接続を許可しないことを通知し、前記第三の検索ステップによる検索結果において前記指定装置間対応関係と前記アクセス論理回線識別子との組み合わせが存在する場合は、当該指定装置間対応関係を含む装置間対応関係におけるネットワーク接続装置グループに所属する一つまたは複数のネットワーク接続装置を、前記ユーザ端末がアクセスしたユーザアクセス装置に対して接続を許可するために通知することを特徴とする請求項6に記載のネットワーク接続制御方法。 The correspondence table holding step holds, as the third correspondence table, the user access device group identifier and the physical line group identifier in further association with the network connection device group identifier and the logical line identifier,
The third search step refers to the third correspondence table to search whether a combination of the correspondence relationship between the designated devices and the access logical line identifier exists,
The notifying step establishes a connection to the user access device accessed by the user terminal when there is no combination of the correspondence relationship between the designated devices and the access logical line identifier in the search result of the third search step. If the combination of the correspondence relationship between the designated devices and the access logical line identifier exists in the search result in the third search step, the correspondence relationship between the devices including the correspondence relationship between the designated devices is notified. 7. The network according to claim 6, wherein one or a plurality of network connection devices belonging to the network connection device group in the network is notified to permit connection to the user access device accessed by the user terminal. Connection control method.
前記ユーザアクセス装置を一意に特定するためのユーザアクセス装置識別子と、前記ユーザアクセス装置をグループ分けした各ユーザアクセス装置グループを一意に特定するためのユーザアクセス装置グループ識別子とを対応付けた第一の対応テーブルと、前記ユーザアクセス装置グループ識別子と、前記ネットワーク接続装置をグループ分けした各ネットワーク接続装置グループを一意に特定するためのネットワーク接続装置グループ識別子とを対応付けた装置間対応関係ごとに、接続を許可することを指示する接続許可指示情報、または、接続を許可するか否かをグループ単位より細分化した単位で行なうことを指示する細分化指示情報のいずれかからなる指示情報を対応付けた第二の対応テーブルと、前記ネットワーク接続装置グループ識別子と、前記ユーザ端末を一意に特定するためのユーザ端末識別子、および/または、前記ユーザ端末が利用する回線を一意に特定するためのユーザ利用回線識別子からなるユーザ端末情報とを対応付けた第三の対応テーブルとを保持する対応テーブル保持手段と、
前記ユーザ端末が現にアクセスしたユーザアクセス装置から、当該ユーザアクセス装置の前記ユーザアクセス装置識別子であるアクセス装置識別子と、前記指定ネットワークと接続されるネットワーク接続装置グループの前記ネットワーク接続装置グループ識別子である指定ネットワークグループ識別子と、当該ユーザアクセス装置にアクセスしたユーザ端末の前記ユーザ端末情報であるアクセスユーザ端末情報とを取得した場合に、
前記第一の対応テーブルを参照して、前記アクセス装置識別子に対応するユーザアクセス装置グループ識別子を検索する第一の検索手段と、
前記第二の対応テーブルを参照して、前記指定ネットワークグループ識別子および前記第一の検索手段によって検索された前記ユーザアクセス装置グループ識別子からなる指定装置間対応関係を含む装置間対応関係が存在するか否かを検索し、前記指定装置間対応関係を含む装置間対応関係が存在する場合は、当該装置間対応関係に対応づけられた前記指示情報を検索する第二の検索手段と、
前記第二の検索手段によって検索された前記指示情報が前記細分化指示情報であった場合に、前記第三の対応テーブルを参照して、前記指定装置間対応関係の指定ネットワークグループ識別子および前記アクセスユーザ端末情報の組み合わせが存在するか否かを検索する第三の検索手段と、
前記第二の検索手段による検索結果において前記指定装置間対応関係を含む装置間対応関係が存在しない場合および前記第三の検索手段による検索結果において前記指定装置間対応関係の指定ネットワークグループ識別子および前記アクセスユーザ端末情報の組み合わせが存在しない場合は、前記ユーザ端末がアクセスしたユーザアクセス装置に対して接続を許可しないことを通知し、前記第二の検索手段による検索結果において前記指定装置間対応関係を含む装置間対応関係に対応付けられた指示情報が前記接続許可指示情報であった場合および前記第三の検索手段による検索結果において前記指定装置間対応関係の指定ネットワークグループ識別子および前記アクセスユーザ端末情報の組み合わせが存在する場合は、前記ユーザ端末がアクセスしたユーザアクセス装置に対して接続を許可することを通知する通知手段と、
を備えたことを特徴とするネットワーク接続制御装置。 Whether or not to authenticate the connection between the user access device accessed by the user terminal and the network connection device connected to the designated network, the connection to the designated network that is the network designated by the user terminal owned by the user A network connection control device for controlling,
A first associated with a user access device identifier for uniquely identifying the user access device and a user access device group identifier for uniquely identifying each user access device group into which the user access devices are grouped Connection is made for each device correspondence relationship in which a correspondence table, the user access device group identifier, and a network connection device group identifier for uniquely identifying each network connection device group into which the network connection devices are grouped are associated. Is associated with instruction information consisting of either connection permission instruction information for instructing permission or subdivision instruction information for instructing whether or not to permit connection in a unit subdivided from the group unit A second correspondence table and the network connection device group; The identifier is associated with user terminal information including a user terminal identifier for uniquely identifying the user terminal and / or a user terminal line identifier for uniquely identifying a line used by the user terminal. Correspondence table holding means for holding three correspondence tables;
From the user access device that is currently accessed by the user terminal, an access device identifier that is the user access device identifier of the user access device and a designation that is the network connection device group identifier of the network connection device group connected to the designated network When acquiring the network group identifier and access user terminal information that is the user terminal information of the user terminal that has accessed the user access device,
A first search means for searching for a user access device group identifier corresponding to the access device identifier with reference to the first correspondence table;
Whether there is an inter-device correspondence relationship including a designated device correspondence relationship composed of the specified network group identifier and the user access device group identifier searched by the first search means with reference to the second correspondence table If there is a correspondence relationship between devices including the correspondence relationship between the designated devices, a second search means for retrieving the instruction information associated with the correspondence relationship between the devices,
When the instruction information retrieved by the second retrieval means is the segmentation instruction information, the designated network group identifier and the access of the designated device correspondence relationship are referred to by referring to the third correspondence table A third search means for searching whether a combination of user terminal information exists;
When there is no device correspondence including the specified device correspondence in the search result by the second search means, and in the search result by the third search means, the designated network group identifier of the designated device correspondence If there is no combination of access user terminal information, the user access device accessed by the user terminal is notified that the connection is not permitted, and the correspondence relationship between the designated devices is determined in the search result by the second search means. When the instruction information associated with the inter-device correspondence is the connection permission instruction information and in the search result by the third retrieval means, the designated network group identifier of the designated inter-device correspondence and the access user terminal information If there is a combination of And notifying means for notifying to allow the connection to the user access device and Seth,
A network connection control device comprising:
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2008157211A JP4541430B2 (en) | 2008-06-16 | 2008-06-16 | Network connection control method and network connection control device |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2008157211A JP4541430B2 (en) | 2008-06-16 | 2008-06-16 | Network connection control method and network connection control device |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2009303079A true JP2009303079A (en) | 2009-12-24 |
JP4541430B2 JP4541430B2 (en) | 2010-09-08 |
Family
ID=41549480
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2008157211A Active JP4541430B2 (en) | 2008-06-16 | 2008-06-16 | Network connection control method and network connection control device |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP4541430B2 (en) |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2006013827A (en) * | 2004-06-25 | 2006-01-12 | Hitachi Communication Technologies Ltd | Packet transfer apparatus |
JP2006086930A (en) * | 2004-09-17 | 2006-03-30 | Hitachi Communication Technologies Ltd | Packet transfer apparatus and access network system |
JP2008271138A (en) * | 2007-04-19 | 2008-11-06 | Nippon Telegr & Teleph Corp <Ntt> | Network connection control method |
-
2008
- 2008-06-16 JP JP2008157211A patent/JP4541430B2/en active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2006013827A (en) * | 2004-06-25 | 2006-01-12 | Hitachi Communication Technologies Ltd | Packet transfer apparatus |
JP2006086930A (en) * | 2004-09-17 | 2006-03-30 | Hitachi Communication Technologies Ltd | Packet transfer apparatus and access network system |
JP2008271138A (en) * | 2007-04-19 | 2008-11-06 | Nippon Telegr & Teleph Corp <Ntt> | Network connection control method |
Also Published As
Publication number | Publication date |
---|---|
JP4541430B2 (en) | 2010-09-08 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10715485B2 (en) | Managing dynamic IP address assignments | |
JP6888078B2 (en) | Network function NF management method and NF management device | |
US9009782B2 (en) | Steering traffic among multiple network services using a centralized dispatcher | |
US9479490B2 (en) | Methods and systems for single sign-on while protecting user privacy | |
JP5508273B2 (en) | Network location service | |
US9537942B2 (en) | Proxy assignment apparatus and method for assigning proxy | |
JP6181881B2 (en) | Control device, control system, control method, and control program | |
JP4378182B2 (en) | Mobile communication system, mobile communication control method, and program | |
JP2007243356A (en) | Dns server client system, dns server device, cash server device, dns query request control method, and dns query request control program | |
JP4541430B2 (en) | Network connection control method and network connection control device | |
JP5296770B2 (en) | Authentication device, authentication method, authentication program, and authentication system | |
JP2019153913A (en) | Home gateway device, connection terminal access management method, and connection terminal access management program | |
US20210064411A1 (en) | Management apparatus, management system, management method and management program | |
US8730811B2 (en) | Managing network traffic | |
US20150142960A1 (en) | Information processing apparatus, information processing method and information processing system | |
JP2006040025A (en) | Storage connection change method, storage management system and program | |
JP2016071531A (en) | Information processing device, control method thereof, and program | |
JP5800089B2 (en) | Relay device, information processing device, access control method, and program | |
KR102058541B1 (en) | Server monitering method and server monitering apparatus using the method | |
KR101145298B1 (en) | Network system and web redirection method using the same | |
JP5898155B2 (en) | Information system, first server device, information processing method, and program | |
JP6489972B2 (en) | Connection availability determination apparatus, method, program, and recording medium | |
JP2008276604A (en) | Internet storage name service method, internet storage name service server device and program | |
JP2009044216A (en) | Method and system for constraining spread of information flowed out to network | |
CN112261086A (en) | Synchronization method, device, equipment and storage medium of load balancing configuration information |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20100528 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20100608 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20100623 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 4541430 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130702 Year of fee payment: 3 |
|
S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |