JP2012138863A - Network system - Google Patents

Network system Download PDF

Info

Publication number
JP2012138863A
JP2012138863A JP2010291472A JP2010291472A JP2012138863A JP 2012138863 A JP2012138863 A JP 2012138863A JP 2010291472 A JP2010291472 A JP 2010291472A JP 2010291472 A JP2010291472 A JP 2010291472A JP 2012138863 A JP2012138863 A JP 2012138863A
Authority
JP
Japan
Prior art keywords
terminal
aaa server
base station
distributed hash
network system
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2010291472A
Other languages
Japanese (ja)
Inventor
Koichi Yagishita
孝一 柳下
Minoru Sakai
穣 境
Shigeji Yoshida
成志 吉田
Yusuke Doi
裕介 洞井
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Japan Radio Co Ltd
Original Assignee
Japan Radio Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Japan Radio Co Ltd filed Critical Japan Radio Co Ltd
Priority to JP2010291472A priority Critical patent/JP2012138863A/en
Publication of JP2012138863A publication Critical patent/JP2012138863A/en
Pending legal-status Critical Current

Links

Abstract

PROBLEM TO BE SOLVED: To provide a network system which can efficiently perform authentication of a terminal even when an AAA server malfunctions or stops in a network comprising a plurality of terminals.SOLUTION: A network system 10 comprises an AAA server 16, and base stations 14a, 14b and 14c wirelessly connected with a terminal 12. An overlay network 18 is formed by the AAA server 16 and base stations 14a, 14b and 14c. The base stations 14a, 14b and 14c has: distributed hash tables 20a, 20b and 20c storing an identification code of the terminal 12; an operation monitoring unit 24 for monitoring an operational state of the AAA server 16; and a terminal authentication unit 26 which starts up based on a monitoring result of the operation monitoring unit 24 for performing authentication of the terminal 12 by referring to the distributed hash tables 20a, 20b and 20c.

Description

本発明は、AAAサーバと、複数の基地局とを備えるネットワークシステムに関する。   The present invention relates to a network system including an AAA server and a plurality of base stations.

ネットワーク接続サービスを利用する利用者は、一般的に、端末から基地局に無線接続してネットワークに接続する必要がある。端末からネットワークエントリの要求を受けた基地局は、ネットワーク上で接続しているAAA(Authentication Authorization Accounting)サーバに対して前記端末の認証要求を行う。前記端末がAAAサーバによって認証されることにより、利用者はネットワーク接続サービスを利用することができる。   A user who uses a network connection service generally needs to connect to a network by wireless connection from a terminal to a base station. Upon receiving a network entry request from a terminal, the base station makes an authentication request for the terminal to an AAA (Authentication Authorization Accounting) server connected on the network. When the terminal is authenticated by the AAA server, the user can use the network connection service.

しかしながら、ネットワーク上のAAAサーバが故障した場合には、ネットワークサービスの希望利用者は、故障後に端末から基地局に対してネットワークエントリできないこととなり、AAAサーバの復旧までネットワークサービスを利用することができない。   However, if the AAA server on the network fails, the desired user of the network service cannot enter the network from the terminal to the base station after the failure, and cannot use the network service until the AAA server is restored. .

このようなAAAサーバの故障を考慮したシステムとして、特許文献1に示す無線LANシステムがある。このシステムでは、認証サーバに障害が発生した場合には、アクセスポイントで端末のMACアドレスに基づいた認証が行われている。また、特許文献1には、アクセスポイントが2台ある場合についても記載されている。   As a system that considers such a failure of the AAA server, there is a wireless LAN system disclosed in Patent Document 1. In this system, when a failure occurs in the authentication server, authentication based on the MAC address of the terminal is performed at the access point. Patent Document 1 also describes a case where there are two access points.

特開2001−111544公報JP 2001-111544 A

しかしながら、特許文献1に示されるシステムでは、各アクセスポイントが、利用者が利用するすべての端末のMACアドレスのテーブルを備える必要があり、現実には、データ量との関係で前記MACアドレスのテーブルを用意することは困難である。   However, in the system disclosed in Patent Document 1, each access point needs to have a table of MAC addresses of all terminals used by the user. In reality, the MAC address table is related to the amount of data. It is difficult to prepare.

また、特許文献1には、各アクセスポイントが、MACアドレスに基づいた認証を行う場合に、相互間でMACアドレスのテーブルの情報の交換が行われていない。このために、認証サーバに障害が発生した後は、MACアドレスのテーブルの更新がされないために、各アクセスポイントが、障害直前において保有していたMACアドレスに、すべての端末のMACアドレスが含まれていない場合には、ハンドオーバの際に問題が生じうる。すなわち、隣接するアクセスポイントにおいて、一方のアクセスポイントに接続していた端末が、他方のアクセスポイントにハンドオーバする場合に、当該端末のMACアドレスが他方のアクセスポイントのMACアドレスのテーブルに含まれていないと、当該端末のハンドオーバは認められないこととなる。   Further, in Patent Document 1, when each access point performs authentication based on a MAC address, information in the MAC address table is not exchanged between the access points. For this reason, since the MAC address table is not updated after a failure occurs in the authentication server, the MAC addresses of all terminals are included in the MAC addresses that each access point has immediately before the failure. If not, a problem may occur during handover. That is, in a neighboring access point, when a terminal connected to one access point hands over to the other access point, the MAC address of the terminal is not included in the MAC address table of the other access point Then, handover of the terminal is not permitted.

本発明は、上記の課題を考慮してなされたものであって、多数の端末を有するネットワークにおいてAAAサーバに異常が発生又は停止した場合であっても、端末の認証を効率的に行うことが可能なネットワークシステムを提供することを目的とする。   The present invention has been made in consideration of the above-described problems, and can efficiently perform terminal authentication even when an abnormality occurs or stops in an AAA server in a network having a large number of terminals. An object is to provide a possible network system.

本発明に係るネットワークシステムは、AAA(Authentication Authorization Accounting)サーバと、複数の基地局とを備え、前記各基地局は、端末と無線接続し、前記AAAサーバと前記各基地局とによってオーバレイネットワークが形成され、前記各基地局は、前記端末の識別符号が格納される分散ハッシュテーブルと、   The network system according to the present invention includes an AAA (Authentication Authorization Accounting) server and a plurality of base stations. Each base station is wirelessly connected to a terminal, and an overlay network is formed by the AAA server and each base station. Each base station is formed with a distributed hash table in which an identification code of the terminal is stored;

前記AAAサーバの動作状態を監視する動作監視部と、前記動作監視部の監視結果に基づいて起動し、前記分散ハッシュテーブルを参照して前記端末の認証を行う端末認証部と、を有することを特徴とする。   An operation monitoring unit that monitors an operation state of the AAA server, and a terminal authentication unit that is activated based on a monitoring result of the operation monitoring unit and authenticates the terminal with reference to the distributed hash table. Features.

前記ネットワークシステムにおいて、前記各基地局と接続する前記端末の課金情報は、前記分散ハッシュテーブルに格納されていることを特徴とする。   In the network system, billing information of the terminal connected to each base station is stored in the distributed hash table.

前記ネットワークシステムにおいて、前記AAAサーバは、前記分散ハッシュテーブルに格納された課金情報を収集することを特徴とする。   In the network system, the AAA server collects charging information stored in the distributed hash table.

前記ネットワークシステムにおいて、前記各基地局は、前記端末認証部による前記端末の認証及び前記分散ハッシュテーブルへの課金情報の格納に必要とする共有鍵を有することを特徴とする。   In the network system, each base station has a shared key necessary for authentication of the terminal by the terminal authentication unit and storage of charging information in the distributed hash table.

前記ネットワークシステムにおいて、新たな基地局は、前記オーバレイネットワークに参加するために必要となる共有鍵を有することを特徴とする。   In the network system, a new base station has a shared key necessary for participating in the overlay network.

本発明のネットワークシステムによれば、各基地局が、AAAサーバの監視結果に基づいて、端末認証部を起動させ、端末の識別符号が格納される分散ハッシュテーブルを参照して端末の認証を行うことにより、多数の端末を有するネットワークにおいてAAAサーバに異常が発生又は停止した場合であっても、端末の認証を効率的に行うことができる。   According to the network system of the present invention, each base station activates the terminal authentication unit based on the monitoring result of the AAA server, and authenticates the terminal with reference to the distributed hash table in which the terminal identification code is stored. As a result, even when an abnormality occurs or stops in the AAA server in a network having a large number of terminals, the terminals can be efficiently authenticated.

また、端末の課金情報は、分散ハッシュテーブルに格納され、AAAサーバが、分散ハッシュテーブルに格納された課金情報を収集することにより、AAAサーバは、異常が発生又は停止した場合であっても、復旧までの間の課金情報を収集することができる。   Further, the charging information of the terminal is stored in the distributed hash table, and the AAA server collects the charging information stored in the distributed hash table, so that the AAA server can be operated even when an abnormality occurs or stops. Billing information until recovery can be collected.

さらに、各基地局が、端末認証部による端末の認証及び分散ハッシュテーブルへの課金情報の格納に必要とする共有鍵を有し、又は、各基地局以外の新たな基地局が、オーバレイネットワークに参加するために必要となる共有鍵を有することにより、第三者に対するセキュリティを担保することができる。   Furthermore, each base station has a shared key required for terminal authentication by the terminal authentication unit and storage of billing information in the distributed hash table, or a new base station other than each base station enters the overlay network. By having a shared key necessary for participation, security for a third party can be ensured.

本発明の実施形態に係るネットワークシステムの説明図である。It is explanatory drawing of the network system which concerns on embodiment of this invention. 基地局の構成の説明図である。It is explanatory drawing of a structure of a base station. AAAサーバの構成の説明図である。It is explanatory drawing of a structure of an AAA server. 識別符号テーブルの説明図である。It is explanatory drawing of an identification code table. 図5Aは分散ハッシュテーブルの説明図であり、図5Bは分散ハッシュテーブルの説明図であり、図5Cは分散ハッシュテーブルの説明図である。5A is an explanatory diagram of the distributed hash table, FIG. 5B is an explanatory diagram of the distributed hash table, and FIG. 5C is an explanatory diagram of the distributed hash table. ネットワークシステムの動作を説明するためのフローチャートである。It is a flowchart for demonstrating operation | movement of a network system.

以下、本発明の実施形態について図面を参照して説明する。図1は、ネットワークシステム10の説明図であり、図2は、基地局14aの構成の説明図であり、図3は、AAAサーバ16の構成の説明図であり、図4は、識別符号テーブル38の説明図であり、図5Aは分散ハッシュテーブル20a、図5Bは分散ハッシュテーブル20b、図5Cは分散ハッシュテーブル20cの説明図である。   Embodiments of the present invention will be described below with reference to the drawings. 1 is an explanatory diagram of the network system 10, FIG. 2 is an explanatory diagram of the configuration of the base station 14a, FIG. 3 is an explanatory diagram of the configuration of the AAA server 16, and FIG. 4 is an identification code table. 38 is an explanatory diagram of the distributed hash table 20a, FIG. 5B is a distributed hash table 20b, and FIG. 5C is an explanatory diagram of the distributed hash table 20c.

ネットワークシステム10は、通信機能を有するコンピュータや携帯電話等である端末(MS)12a〜12e(以下端末12とも言う)と、前記端末12a〜12eが無線接続する基地局14a〜14cと、AAAサーバ16とを備え、基地局14a〜14cと、AAAサーバ16とはオーバレイネットワーク(overlay network)18を形成している。また、端末12a、12b、12cは基地局14aに無線接続し、端末12dは基地局14bに無線接続し、端末12eは基地局14cに無線接続する。なお、ネットワークシステム10は、端末12a〜12e、基地局14a〜14cを備えるが、端末、基地局の数はこれらに限定されるものではない。   The network system 10 includes terminals (MS) 12a to 12e (hereinafter also referred to as terminals 12) which are computers or mobile phones having a communication function, base stations 14a to 14c to which the terminals 12a to 12e are wirelessly connected, and an AAA server. 16, and the base stations 14 a to 14 c and the AAA server 16 form an overlay network 18. The terminals 12a, 12b, and 12c are wirelessly connected to the base station 14a, the terminal 12d is wirelessly connected to the base station 14b, and the terminal 12e is wirelessly connected to the base station 14c. The network system 10 includes terminals 12a to 12e and base stations 14a to 14c, but the number of terminals and base stations is not limited to these.

基地局14aは、端末12がネットワークエントリの際に認証を受けるための識別符号、課金情報が格納される分散ハッシュテーブル(DHT:Distributed
Hash Table)20aと、分散ハッシュテーブル20aを管理するテーブル管理部22と、AAAサーバ16の動作状態を監視(Keep Alive)する動作監視部24と、端末12のネットワークエントリの際のEAP認証(Extensible Authentication Protocol Authentication)を行う端末認証部26と、端末12に対する課金(Accounting)情報を管理する課金情報管理部28と、課金情報管理部28で管理される課金情報が記録される課金情報記録部30とを備える。課金情報は、端末12の識別符号である課金用IDと、端末12のアクセス時間、端末12で送受信されたパケット量等に関するアクセス情報とを備える。また、端末認証部26にはAAAサーバ16と同一のサーバ証明書が記録される。さらに、基地局14aは、オーバレイネットワーク18を形成するために第三者が知り得ない共有鍵を備えている。なお、基地局14b〜14cも基地局14aと同様の構成であるが、基地局14aの分散ハッシュテーブル20a(図5A)に対応して、基地局14bは分散ハッシュテーブル20b(図5B)、基地局14cは分散ハッシュテーブル20c(図5C)をそれぞれ備える。 The base station 14a has a distributed hash table (DHT: Distributed) in which an identification code for receiving authentication when the terminal 12 is a network entry and charging information are stored.
Hash Table) 20a, a table management unit 22 that manages the distributed hash table 20a, an operation monitoring unit 24 that monitors the operation state of the AAA server 16 (Keep Alive), and EAP authentication (Extensible at the time of network entry of the terminal 12) A terminal authentication unit 26 that performs authentication protocol authentication, a charging information management unit 28 that manages charging information for the terminal 12, and a charging information recording unit 30 that records the charging information managed by the charging information management unit 28. With. The billing information includes a billing ID that is an identification code of the terminal 12, and access information regarding the access time of the terminal 12, the amount of packets transmitted and received by the terminal 12, and the like. In the terminal authentication unit 26, the same server certificate as that of the AAA server 16 is recorded. Furthermore, the base station 14 a has a shared key that cannot be known by a third party in order to form the overlay network 18. The base stations 14b to 14c have the same configuration as the base station 14a. However, the base station 14b corresponds to the distributed hash table 20b (FIG. 5B) and the base station 14a corresponding to the distributed hash table 20a (FIG. 5A). Each station 14c has a distributed hash table 20c (FIG. 5C).

AAAサーバ16は、端末12をEAP認証する端末認証部32と、端末12に提供するサービスの承認(Authorization)を行うサービス承認部34と、端末12の課金情報の管理を行うアカウンティング部36とを備える。   The AAA server 16 includes a terminal authentication unit 32 that performs EAP authentication of the terminal 12, a service approval unit 34 that performs authorization of a service provided to the terminal 12, and an accounting unit 36 that manages accounting information of the terminal 12. Prepare.

端末認証部32は、識別符号テーブル38を備える。識別符号テーブル38には、端末12の識別符号である接続用ID、パスワードが記録される。ここで、端末12aの接続用IDはIa、パスワードはPa、端末12bの接続用IDはIb、パスワードはPb、以下同様に、端末12c、12d、12eの各接続用IDはIc、Id、Ie、各パスワードはPc、Pd、Peである。   The terminal authentication unit 32 includes an identification code table 38. In the identification code table 38, a connection ID and a password that are identification codes of the terminal 12 are recorded. Here, the connection ID of the terminal 12a is Ia, the password is Pa, the connection ID of the terminal 12b is Ib, the password is Pb, and similarly, the connection IDs of the terminals 12c, 12d, and 12e are Ic, Id, and Ie. The passwords are Pc, Pd, and Pe.

後述するように、識別符号テーブル38の接続用ID、パスワードはオーバレイネットワーク18に送信(put)され、分散ハッシュテーブル20a、20b、20cに格納される。基地局14a、14b、14cのそれぞれには、InnerNAIである接続用IDをハッシュ化したkeyに対応するハッシュ空間が割り当てられる。基地局14aの分散ハッシュテーブル20aには、端末12a、12dの接続用IDが割り当てられ、基地局14bの分散ハッシュテーブル20bには、端末12b、12eの接続用IDが割り当てられ、基地局14cの分散ハッシュテーブル20cには、端末12cの接続用IDが割り当てられる。そして、分散ハッシュテーブル20a、20b、20cのそれぞれには、keyとしてハッシュ化された接続用IDが、valueとしてパスワードが格納される。ここで、端末12aの接続用IDはIa、パスワードはPa、端末12bの接続用IDはIb、パスワードはPb、以下同様に、端末12c、12d、12eの各接続用IDはIc、Id、Ie、各パスワードはPc、Pd、Peである。   As will be described later, the connection ID and password in the identification code table 38 are transmitted (put) to the overlay network 18 and stored in the distributed hash tables 20a, 20b, and 20c. A hash space corresponding to a key obtained by hashing the connection ID which is InnerNAI is assigned to each of the base stations 14a, 14b and 14c. The connection hash IDs of the terminals 12a and 12d are assigned to the distributed hash table 20a of the base station 14a, and the connection IDs of the terminals 12b and 12e are assigned to the distributed hash table 20b of the base station 14b. The connection hash ID of the terminal 12c is assigned to the distributed hash table 20c. In each of the distributed hash tables 20a, 20b, and 20c, a connection ID hashed as a key and a password as a value are stored. Here, the connection ID of the terminal 12a is Ia, the password is Pa, the connection ID of the terminal 12b is Ib, the password is Pb, and similarly, the connection IDs of the terminals 12c, 12d, and 12e are Ic, Id, and Ie. The passwords are Pc, Pd, and Pe.

また、基地局14a、14b、14cのそれぞれには、OuterNAIである課金用IDをハッシュ化したkeyに対応するハッシュ空間も割り当てられる。基地局14aの分散ハッシュテーブル20aには、端末12a、12dの課金用IDが割り当てられ、基地局14bの分散ハッシュテーブル20bには、端末12b、12eの課金用IDが割り当てられ、基地局14cの分散ハッシュテーブル20cには、端末12cの課金用IDが割り当てられる。そして、分散ハッシュテーブル20a、20b、20cのそれぞれには、keyとしてハッシュ化された課金用IDが、valueとしてアクセス情報が格納される。ここで、端末12aの課金IDはXa、アクセス情報はAa、端末12bの課金用IDはXb、アクセス情報はAb、以下同様に、端末12c、12d、12eの各課金用IDはXc、Xd、Xe、各アクセス情報はAc、Ad、Aeである。   In addition, a hash space corresponding to a key obtained by hashing a charging ID that is an OuterNAI is also assigned to each of the base stations 14a, 14b, and 14c. The charging IDs of the terminals 12a and 12d are assigned to the distributed hash table 20a of the base station 14a, and the charging IDs of the terminals 12b and 12e are assigned to the distributed hash table 20b of the base station 14b. The charging ID of the terminal 12c is assigned to the distributed hash table 20c. In each of the distributed hash tables 20a, 20b, and 20c, a billing ID hashed as a key and access information as a value are stored. Here, the charging ID of the terminal 12a is Xa, the access information is Aa, the charging ID of the terminal 12b is Xb, the access information is Ab, and similarly, the charging IDs of the terminals 12c, 12d, and 12e are Xc, Xd, Xe and each access information are Ac, Ad, and Ae.

次に、ネットワークシステム10の動作について、図6に基づいて説明する。図6は、ネットワークシステム10の動作を説明するためのフローチャートである。なお、以下は基地局14aの動作を中心に説明するが、基地局14b、14cについても基地局14aと同様に動作するので、その説明を省略する。   Next, the operation of the network system 10 will be described with reference to FIG. FIG. 6 is a flowchart for explaining the operation of the network system 10. In the following, the description will be focused on the operation of the base station 14a. However, the base stations 14b and 14c operate in the same manner as the base station 14a, and thus the description thereof is omitted.

ネットワークシステム10では、まず、端末認証部32が、識別符号テーブル38の識別符号である接続用ID、パスワードをハッシュ化して、オーバレイネットワーク18にputする(ステップS1)。オーバレイネットワーク18にputされた接続用ID、パスワードは、基地局14a、14b、14cに割り当てられたハッシュ空間に基づいて、分散ハッシュテーブル20a、20b、20cに格納される((図5A〜5C参照、ステップS2)。   In the network system 10, first, the terminal authentication unit 32 hashes the connection ID and password, which are identification codes in the identification code table 38, and puts them into the overlay network 18 (step S1). The connection ID and password put in the overlay network 18 are stored in the distributed hash tables 20a, 20b, and 20c based on the hash space assigned to the base stations 14a, 14b, and 14c (see FIGS. 5A to 5C). Step S2).

次に、基地局14aの動作監視部24はAAAサーバ16の動作状態を監視する(ステップS3)。具体的には、動作監視部24がAAAサーバ16に対して、動作状態に関するポーリング(polling)を行う。ポーリングによる監視の結果、AAAサーバ16が正常に動作していることが確認できた場合には、AAAサーバ16の監視を継続する(ステップS3 YES)。   Next, the operation monitoring unit 24 of the base station 14a monitors the operation state of the AAA server 16 (step S3). Specifically, the operation monitoring unit 24 polls the AAA server 16 regarding the operation state. As a result of monitoring by polling, if it is confirmed that the AAA server 16 is operating normally, the monitoring of the AAA server 16 is continued (YES in step S3).

一方、ポーリングによる監視において、動作監視部24が、AAAサーバ16から所定時間以上の応答が得られなかった場合には、AAAサーバ16に異常が発生又は停止したと判断し、その旨を端末認証部26及び課金情報管理部28に通知する(ステップS3 NO)。   On the other hand, in the monitoring by polling, if the operation monitoring unit 24 does not receive a response for a predetermined time or more from the AAA server 16, it is determined that an abnormality has occurred or has stopped in the AAA server 16, and that is the terminal authentication. Is notified to the unit 26 and the billing information management unit 28 (NO in step S3).

前記通知を受けた端末認証部26、課金情報管理部28は、端末12の認証機能、課金情報に関する機能を起動する(ステップS4)。AAAサーバ16に異常等が発生した後は、AAAサーバ16による端末12の課金情報の記録が行われなくなる。これに対応して、課金情報管理部28は、無線接続している端末12aの課金情報を課金情報記録部30に記録する。同様に、基地局14bの課金情報管理部28は端末12dの課金情報を記録し、基地局14cの課金情報管理部28は端末12eの課金情報を記録する。   Upon receiving the notification, the terminal authentication unit 26 and the billing information management unit 28 activate the authentication function of the terminal 12 and the function related to the billing information (step S4). After an abnormality or the like occurs in the AAA server 16, the accounting information of the terminal 12 is not recorded by the AAA server 16. Correspondingly, the charging information management unit 28 records the charging information of the wirelessly connected terminal 12 a in the charging information recording unit 30. Similarly, the charging information management unit 28 of the base station 14b records the charging information of the terminal 12d, and the charging information management unit 28 of the base station 14c records the charging information of the terminal 12e.

基地局14aの課金情報管理部28は、定期的に課金情報記録部30に記憶されている課金情報をDHT管理部22に送信し、DHT管理部22は受信した課金情報をハッシュ化して、オーバレイネットワーク18にputする。オーバレイネットワーク18にputされた課金情報は、基地局14a、14b、14cに割り当てられたハッシュ空間に基づいて、DHT管理部22a、22b、22cを介して分散ハッシュテーブル20a、20b、20cに格納される((図5A〜5C参照)。   The billing information management unit 28 of the base station 14a periodically sends the billing information stored in the billing information recording unit 30 to the DHT management unit 22, and the DHT management unit 22 hashes the received billing information to generate an overlay. Put to network 18. The accounting information put to the overlay network 18 is stored in the distributed hash tables 20a, 20b, 20c via the DHT management units 22a, 22b, 22c based on the hash space assigned to the base stations 14a, 14b, 14c. (See FIGS. 5A-5C).

AAAサーバ16に異常等が発生した後は、端末12b、12cが基地局14aに対してネットワークエントリを希望しても、AAAサーバ16によるネットワークエントリが行われなくなる。そこで、端末認証部26が端末12b、12cの認証を行う。   After an abnormality or the like occurs in the AAA server 16, even if the terminals 12b and 12c desire a network entry for the base station 14a, the network entry by the AAA server 16 is not performed. Therefore, the terminal authentication unit 26 authenticates the terminals 12b and 12c.

端末12bから接続用ID及びパスワードが端末認証部26を介してDHT管理部22に送信され、DHT管理部22が接続用IDを引数としてgetコマンドを実行する。ここでは、端末12bから正規の接続用ID及びパスワードが送信されたとし、接続用IDをIb、パスワードをPbとする。   The connection ID and password are transmitted from the terminal 12b to the DHT management unit 22 via the terminal authentication unit 26, and the DHT management unit 22 executes a get command with the connection ID as an argument. Here, it is assumed that the regular connection ID and password are transmitted from the terminal 12b, the connection ID is Ib, and the password is Pb.

接続用IDであるIbは基地局14bの分散ハッシュテーブル20bに格納されているので、基地局14bのDHT管理部22は、分散ハッシュテーブル20bから接続用IDであるIbに対応するvalueであるPbを基地局14aのDHT管理部22に送信する。基地局14aのDHT管理部22は取得したvalueであるPbを端末認証部26に送信し、端末認証部26は、送信されてきたvalueと端末12bから送信されたパスワードとを照合する。照合の結果、一致するので、端末12bのネットワークエントリが認められる。一方、端末12bから正規の接続用ID及びパスワードと異なる接続用ID、パスワードが端末認証部26に送信されてきた場合には、端末認証部26は当該端末12bのネットワークエントリを拒否する。   Since Ib which is the connection ID is stored in the distributed hash table 20b of the base station 14b, the DHT management unit 22 of the base station 14b reads Pb which is a value corresponding to Ib which is the connection ID from the distributed hash table 20b. Is transmitted to the DHT management unit 22 of the base station 14a. The DHT management unit 22 of the base station 14a transmits the acquired value Pb to the terminal authentication unit 26, and the terminal authentication unit 26 collates the transmitted value with the password transmitted from the terminal 12b. As a result of the collation, the network entry of the terminal 12b is recognized because they match. On the other hand, when a connection ID and password different from the regular connection ID and password are transmitted from the terminal 12b to the terminal authentication unit 26, the terminal authentication unit 26 rejects the network entry of the terminal 12b.

端末12bの場合と同様に基地局14aに対して、端末12cから正規の接続用ID及びパスワードが端末認証部26に送信されてきた場合には、基地局14cの分散ハッシュテーブル20cに端末12cの接続用ID及びパスワードが格納されているので、ネットワークエントリが認められる。   Similarly to the case of the terminal 12b, when a regular connection ID and password are transmitted from the terminal 12c to the terminal authentication unit 26 to the base station 14a, the terminal 12c's distributed hash table 20c includes the terminal 12c. Since the connection ID and password are stored, network entry is permitted.

基地局14aは、端末認証部26、課金情報管理部28が起動した後も、動作監視部24はAAAサーバ16の動作の監視を行う(ステップS5)。基地局14aは、AAAサーバ16に対するポーリングによる監視の結果、AAAサーバ16が復帰し正常に動作していることが確認できた場合(ステップS5 YES)には、端末認証部26、課金情報管理部28は停止する(ステップS6)。   In the base station 14a, even after the terminal authentication unit 26 and the billing information management unit 28 are activated, the operation monitoring unit 24 monitors the operation of the AAA server 16 (step S5). When the base station 14a confirms that the AAA server 16 has returned and is operating normally as a result of monitoring by polling the AAA server 16, the terminal authentication unit 26, the billing information management unit, and so on are confirmed. 28 stops (step S6).

復帰したAAAサーバ16のアカウンティング部36は、基地局14a〜14cの各課金情報記録部30から記録されている課金情報を収集する(ステップS7)。   The accounting unit 36 of the restored AAA server 16 collects the billing information recorded from each billing information recording unit 30 of the base stations 14a to 14c (step S7).

ネットワークシステム10では、基地局14a〜14cが第三者が知り得ない共有鍵を備え、この共有鍵を備えることにより、オーバレイネットワーク18を形成することができる。従って、基地局14a〜14c以外の基地局がオーバレイネットワーク18に参加(join)する場合には、当該基地局が前記共有鍵を備えることが必要である。また、基地局14aがput、get、join等のコマンドを実行する場合には、前記共有鍵をコマンドに含めるようにしてもよい。   In the network system 10, the base stations 14 a to 14 c have a shared key that cannot be known by a third party, and the overlay network 18 can be formed by providing this shared key. Therefore, when a base station other than the base stations 14a to 14c joins the overlay network 18, the base station needs to have the shared key. When the base station 14a executes a command such as put, get, and join, the shared key may be included in the command.

以上説明したように、ネットワークシステム10は、AAAサーバ16と、基地局14a、14b、14cとを備え、基地局14a、14b、14cは端末12と無線接続し、AAAサーバ16と基地局14a、14b、14cとによってオーバレイネットワーク18が形成され、基地局14a、14b、14cは、端末12の識別符号が格納される分散ハッシュテーブル20a、20b、20cと、AAAサーバ16の動作状態を監視する動作監視部24と、動作監視部24の監視結果に基づいて起動し、分散ハッシュテーブル20a、20b、20cを参照して端末12の認証を行う端末認証部26とを有する。   As described above, the network system 10 includes the AAA server 16 and the base stations 14a, 14b, and 14c. The base stations 14a, 14b, and 14c are wirelessly connected to the terminal 12, and the AAA server 16 and the base station 14a, 14b, 14c form an overlay network 18, and the base stations 14a, 14b, 14c monitor the operating states of the distributed hash tables 20a, 20b, 20c in which the identification codes of the terminals 12 are stored and the AAA server 16 The monitoring unit 24 includes a terminal authentication unit 26 that is activated based on the monitoring result of the operation monitoring unit 24 and authenticates the terminal 12 with reference to the distributed hash tables 20a, 20b, and 20c.

ネットワークシステム10によれば、基地局14a、14b、14cが、AAAサーバ16の監視結果に基づいて、端末認証部26を起動させ、端末12の識別符号が格納される分散ハッシュテーブル20を参照して端末12の認証を行うことにより、多数の端末12を有するネットワークにおいてAAAサーバ16に異常が発生又は停止した場合であっても、端末12の認証を効率的に行うことができる。   According to the network system 10, the base stations 14a, 14b, and 14c activate the terminal authentication unit 26 based on the monitoring result of the AAA server 16, and refer to the distributed hash table 20 in which the identification code of the terminal 12 is stored. By authenticating the terminal 12, the terminal 12 can be efficiently authenticated even when an abnormality occurs or stops in the AAA server 16 in a network having a large number of terminals 12.

また、端末12の課金情報は、分散ハッシュテーブル20に格納され、AAAサーバ16は、分散ハッシュテーブル20に格納された課金情報を収集することにより、AAAサーバ16は、異常が発生又は停止した場合であっても、復旧までの間の課金情報を収集することができる。   In addition, the charging information of the terminal 12 is stored in the distributed hash table 20, and the AAA server 16 collects the charging information stored in the distributed hash table 20, so that the AAA server 16 becomes abnormal or stops. Even so, it is possible to collect billing information until recovery.

さらに、基地局14a、14b、14cが、端末認証部26による端末12の認証及び分散ハッシュテーブル20への課金情報の格納に必要とする共有鍵を有し、又は、基地局14a、14b、14c以外の新たな基地局が、オーバレイネットワーク18に参加するために必要となる共有鍵を有することにより、第三者に対するセキュリティを担保することができる。   Further, the base stations 14a, 14b, and 14c have a shared key required for authentication of the terminal 12 by the terminal authentication unit 26 and storage of charging information in the distributed hash table 20, or the base stations 14a, 14b, and 14c. Since a new base station other than the above has a shared key necessary for joining the overlay network 18, security for a third party can be ensured.

なお、本発明は、上述の実施形態に限らず、本発明の要旨を逸脱することなく、種々の構成を採り得ることはもちろんである。   It should be noted that the present invention is not limited to the above-described embodiment, and various configurations can be adopted without departing from the gist of the present invention.

例えば、接続用ID、課金用IDは端末12を識別することができれば、特に限定されるものではなく、MACアドレスを用いることができる。   For example, the connection ID and the billing ID are not particularly limited as long as the terminal 12 can be identified, and a MAC address can be used.

また、復帰したAAAサーバ16では、アカウンティング部36が、基地局14a〜14cの各課金情報記録部30に記録されている課金情報を収集しているが、アカウンティング部36が課金情報を収集する代わりに、基地局14a〜14cの各動作監視部24がAAAサーバ16の復帰を確認した後に、各課金情報管理部28が、各課金情報記録部30から課金情報をAAAサーバ16に送信するようにしてもよい。   In the restored AAA server 16, the accounting unit 36 collects the billing information recorded in the billing information recording units 30 of the base stations 14 a to 14 c, but instead of the accounting unit 36 collecting the billing information. In addition, after each operation monitoring unit 24 of the base stations 14 a to 14 c confirms the return of the AAA server 16, each charging information management unit 28 transmits the charging information from each charging information recording unit 30 to the AAA server 16. May be.

10…ネットワークシステム
12…端末
14…基地局
16…AAAサーバ
18…オーバレイネットワーク
20…分散ハッシュテーブル
22…DHT管理部
24…動作監視部
26、32…端末認証部
28…課金情報管理部
30…課金情報記録部
34…サービス承認部
36…アカウンティング部
38…識別符号テーブル DESCRIPTION OF SYMBOLS 10 ... Network system 12 ... Terminal 14 ... Base station 16 ... AAA server 18 ... Overlay network 20 ... Distributed hash table 22 ... DHT management part 24 ... Operation monitoring part 26, 32 ... Terminal authentication part 28 ... Billing information management part 30 ... Billing Information recording unit 34 ... service approval unit 36 ... accounting unit 38 ... identification code table

Claims (5)

AAA(Authentication Authorization Accounting)サーバと、
複数の基地局とを備え、
前記各基地局は、端末と無線接続し、前記AAAサーバと前記各基地局とによってオーバレイネットワークが形成され、
前記各基地局は、
前記端末の識別符号が格納される分散ハッシュテーブルと、
前記AAAサーバの動作状態を監視する動作監視部と、
前記動作監視部の監視結果に基づいて起動し、前記分散ハッシュテーブルを参照して前記端末の認証を行う端末認証部と、
を有することを特徴とするネットワークシステム。 AAA (Authentication Authorization Accounting) server;
With multiple base stations,
Each base station wirelessly connects with a terminal, and an overlay network is formed by the AAA server and each base station,
Each of the base stations
A distributed hash table in which identification codes of the terminals are stored;
An operation monitoring unit for monitoring an operation state of the AAA server;
A terminal authentication unit that is activated based on the monitoring result of the operation monitoring unit, authenticates the terminal with reference to the distributed hash table, and
A network system comprising: 請求項1記載のネットワークシステムにおいて、
前記各基地局と接続する前記端末の課金情報は、前記分散ハッシュテーブルに格納されていることを特徴とするネットワークシステム。 The network system according to claim 1,
Billing information of the terminal connected to each base station is stored in the distributed hash table. 請求項2記載のネットワークシステムにおいて、
前記AAAサーバは、前記分散ハッシュテーブルに格納された課金情報を収集することを特徴とするネットワークシステム。 The network system according to claim 2, wherein
The network system, wherein the AAA server collects billing information stored in the distributed hash table. 請求項3記載のネットワークシステムにおいて、
前記各基地局は、前記端末認証部による前記端末の認証及び前記分散ハッシュテーブルへの課金情報の格納に必要とする共有鍵を有することを特徴とするネットワークシステム。 The network system according to claim 3, wherein
Each of the base stations has a shared key required for authentication of the terminal by the terminal authentication unit and storage of charging information in the distributed hash table. 請求項1又は4記載のネットワークシステムにおいて、
新たな基地局は、前記オーバレイネットワークに参加するために必要となる共有鍵を有することを特徴とするネットワークシステム。 The network system according to claim 1 or 4,
A new base station has a shared key required to participate in the overlay network.
JP2010291472A 2010-12-28 2010-12-28 Network system Pending JP2012138863A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2010291472A JP2012138863A (en) 2010-12-28 2010-12-28 Network system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2010291472A JP2012138863A (en) 2010-12-28 2010-12-28 Network system

Publications (1)

Publication Number Publication Date
JP2012138863A true JP2012138863A (en) 2012-07-19

Family

ID=46675914

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2010291472A Pending JP2012138863A (en) 2010-12-28 2010-12-28 Network system

Country Status (1)

Country Link
JP (1) JP2012138863A (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2016111711A (en) * 2014-12-09 2016-06-20 華為技術有限公司Huawei Technologies Co.,Ltd. Access control method and system and access point
US11962583B2 (en) 2021-07-05 2024-04-16 Kabushiki Kaisha Toshiba Authentication system using access point device and authentication server to handle a device's network access authentication request

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2016111711A (en) * 2014-12-09 2016-06-20 華為技術有限公司Huawei Technologies Co.,Ltd. Access control method and system and access point
US10289504B2 (en) 2014-12-09 2019-05-14 Huawei Technologies Co., Ltd. Access control method and system, and access point
US11962583B2 (en) 2021-07-05 2024-04-16 Kabushiki Kaisha Toshiba Authentication system using access point device and authentication server to handle a device's network access authentication request

Similar Documents

Publication Publication Date Title
CN107734502B (en) Micro base station communication management method, system and equipment based on block chain
EP2566204B1 (en) Authentication method and device, authentication centre and system
CN106412113B (en) A kind of energy cloud service system and its communication means
CN102368764B (en) A kind of method, system and client communicated by multi-point login
EP2658207B1 (en) Authorization method and terminal device
JP5985107B2 (en) DEVICE CONTROL SYSTEM, DEVICE CONTROL DEVICE, DEVICE CONTROL METHOD, AND PROGRAM
TWI802562B (en) Management device, management system, and recording medium
CN102271133B (en) Authentication method, device and system
JP2012533792A (en) Managing instant messaging sessions
CN105744555B (en) A kind of terminal maintenance method, maintenance device and NM server
CN104581722A (en) Network connection method and device based on WPS (Wireless Fidelity Protected Setup)
CN111194035B (en) Network connection method, device and storage medium
CN101083660A (en) Session control based IP network authentication method of dynamic address distribution protocol
JP2012221274A (en) Network management system and server
CN102377774A (en) Network relay device and frame relaying control method
CN110110519A (en) Password remapping method, password resetting equipment and the readable storage medium storing program for executing of safety device
CN109104475A (en) Connect restoration methods, apparatus and system
CN113573378A (en) Electronic contest data processing method, device, equipment and storage medium
CN105792095A (en) Secret key negotiation method and system for MTC (Machine Type Communication) packet communication and network entity
US11695751B2 (en) Peer-to-peer notification system
CN105592459A (en) Security authentication device based on wireless communication
CN101697550A (en) Method and system for controlling access authority of double-protocol-stack network
JP6290044B2 (en) Authentication system, authentication server, client device, and authentication method
JP2012138863A (en) Network system
JP4792912B2 (en) Power line communication security system