JP2013542623A - 拒否された加入者局によって消費されるリソースの制限 - Google Patents

拒否された加入者局によって消費されるリソースの制限 Download PDF

Info

Publication number
JP2013542623A
JP2013542623A JP2013523677A JP2013523677A JP2013542623A JP 2013542623 A JP2013542623 A JP 2013542623A JP 2013523677 A JP2013523677 A JP 2013523677A JP 2013523677 A JP2013523677 A JP 2013523677A JP 2013542623 A JP2013542623 A JP 2013542623A
Authority
JP
Japan
Prior art keywords
aaa
subscriber
network element
suppression
access
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2013523677A
Other languages
English (en)
Other versions
JP5941465B2 (ja
Inventor
ポン ナスワミー、ナマドゥライ アキル
ナスワミー、スドハガー チン
Original Assignee
テレフオンアクチーボラゲット エル エム エリクソン(パブル)
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by テレフオンアクチーボラゲット エル エム エリクソン(パブル) filed Critical テレフオンアクチーボラゲット エル エム エリクソン(パブル)
Publication of JP2013542623A publication Critical patent/JP2013542623A/ja
Application granted granted Critical
Publication of JP5941465B2 publication Critical patent/JP5941465B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0892Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Hardware Design (AREA)
  • Business, Economics & Management (AREA)
  • Accounting & Taxation (AREA)
  • Power Engineering (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Telephonic Communication Services (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Computer And Data Communications (AREA)

Abstract

拒否された加入者局についてのAAAアクセス要求メッセージを少なくとも一時的に抑制することによってAAA処理を回避するために、加入者局とAAAサーバとの間に結合されるネットワークエレメントにおいて実行される方法。ネットワークエレメントは、加入者セッション要求メッセージを加入者局から受信する。加入者セッション要求メッセージは、ネットワークエレメントがAAAサーバにAAAアクセス要求メッセージとして送信するIDを確認するための情報を含む。ネットワークエレメントは、AAAアクセス要求メッセージに対応するAAAアクセス応答メッセージを受信する。AAAアクセス応答メッセージに応答して、ネットワークエレメントは、追加的なAAAアクセス要求メッセージが加入者局に関して少なくとも一時的に抑制されるべきであることを決定する。決定に応答して、ネットワークエレメントは、任意の追加的なAAAアクセス要求メッセージがAAAサーバに送信されることを抑制する。AAAアクセス要求メッセージの抑制は、ネットワークエレメント及びAAAサーバにおける実行リソースを節約する。
【選択図】図2

Description

本発明の実施形態は、一般に、ネットワーキングの分野に関し、特に、ネットワーク処理の期間中に拒否された加入者局(subscriber end stations)によって消費されるリソースを制限することに関する。
消費者向け通信の分野において、ネットワークアクセスプロバイダは、様々な通信媒体にわたり、様々な通信プロトコルを介して、ネットワークアクセスを加入(subscription)ベースのサービスとして加入者に提供する。多くのネットワークアクセスプロバイダは、インターネットと加入者局との間にエッジネットワークエレメントを採用する。加入者局は、ネットワークとの通信に関与するので、エッジネットワークエレメントは、加入者局からインターネットへ、またこの逆へトラフィックを転送する。
例えば、DSLサービスの場合、加入者局は、電話回線上でデジタル加入者線アクセス多重化装置(DSLAM:Digital Subscriber Line Access Multiplexer)に結合されるDSLモデムを利用し得る。DSLAMは、ATM又はT1、T3、OC3、OC12、OC48、若しくはOC128上のイーサネットプロトコルといった様々な広域ネットワーク(WAN:Wide Area Network)サービスを介してエッジネットワークエレメントにさらに結合され得る。大抵の場合、サービスプロバイダは、セキュリティ対策を実装して、加入者局がネットワークの利用を承認されることを確保し得る。このようなセキュリティ対策は、加入者局のID及び対応する加入者を認証し、当該加入者局がある終端局の情報リソースを用いることを承認し、当該加入者局によるネットワークリソースの使用を把握する。このようなセキュリティ対策は、まとめて、認証、承認、及びアカウンティング(AAA:Authentication, Authorization, and Accounting)とそれぞれ呼ばれる。
加入者局がサービスプロバイダのセキュリティ対策によって認証されないたびに、当該加入者局は再度認証を試み得る。多くの場合、エッジネットワークエレメントは、当該エッジネットワークエレメントにクライアント/サーバシステムの一部としてセキュリティ対策を提供するAAAサーバに、認証要求を転送しなければならない。
図1(従来技術)は、加入者局セッション要求及びAAAアクセス要求メッセージ並びに対応する応答メッセージのデータフロー図を図示する。図1の最上部には、加入者局‘A’100、ネットワークエレメント105、及びAAAサーバ110の各々が、時間の経過を示す垂直線と共に図示されている。種々の要求及び応答の送信は、垂直線の間の水平な矢印として経時的に下方に図示される。
図1において、加入者局‘A’100は、ネットワークエレメント105とのセッションを開始しようと試みている。セッションを完全に開始するために、ネットワークエレメント105は、AAAサーバ110に情報を確認しなければならない。複数の加入者局がネットワークエレメント105に結合されてもよく、加入者局‘A’という記号は、例示的な加入者局に焦点を合わせるために用いられることが充分に理解される。
図1において、加入者局‘A’100は、加入者局‘A’セッション要求メッセージ120Aをネットワークエレメント105に送信する。セッション要求メッセージ120Aに応答して、ネットワークエレメント105は、AAAアクセス要求メッセージ130AをAAAサーバ110に送信する。AAAアクセス要求メッセージ130Aに応答して、AAAサーバは、AAAアクセス拒否メッセージ135Aをネットワークエレメント105に送信する。ネットワークエレメント105は、AAAアクセス拒否メッセージ135Aに応答して、加入者局‘A’セッション拒否メッセージ125Aを加入者局‘A’100に送信する。
少なくとも幾つかの場合において、加入者局‘A’100は、各セッション拒否メッセージ125A〜125Nの後に、別の加入者局‘A’セッション要求メッセージ120B〜120Nをネットワークエレメント105に試みるであろう。従来技術において、ネットワークエレメント105は、各加入者局‘A’セッション要求メッセージ120A〜120Nに応答して、AAAアクセス要求メッセージ130A〜130Nを送信する。同様に、AAAサーバ110は、各AAAアクセス要求メッセージ130A〜130Nに応答して、AAAアクセス拒否メッセージ135A〜135Nを送信し、ネットワークエレメント105は、各AAAアクセス拒否メッセージ135A〜135Nに応答して、加入者局‘A’セッション拒否メッセージ125A〜125Nを送信する。
本発明の実施形態は、拒否された加入者局についての追加的なAAAアクセス要求メッセージを抑制することによってAAA処理を回避するために、加入者局とAAAサーバとの間に結合されるネットワークエレメントにおいて実行される方法を含む。ネットワークエレメントは、1つ以上の加入者セッション要求メッセージを加入者局から受信する。各加入者セッション要求メッセージは、ネットワークエレメントがAAAサーバにAAAアクセス要求メッセージとして送信するIDを確認するための情報を含む。ネットワークエレメントは、AAAアクセス要求メッセージに対応するAAAアクセス応答メッセージをAAAサーバから受信する。AAAアクセス応答メッセージに応答して、ネットワークエレメントは、追加的なAAAアクセス要求メッセージが加入者局に関して少なくとも一時的に抑制されるべきであることを決定する。追加的なAAAアクセス要求メッセージが抑制されるべきであるという決定に応答して、ネットワークエレメントは、任意の追加的なAAAアクセス要求メッセージがAAAサーバに送信されることを抑制する。AAAアクセス要求メッセージの抑制は、ネットワークエレメント及びAAAサーバにおける実行リソースを節約する(preserves)。
本発明の実施形態は、AAA処理を回避するために、複数の加入者局とAAAサーバとの間に結合されるべきネットワークエレメントを含む。ネットワークエレメントは、複数の加入者局に結合されるべき1つ以上のポートのセットと、AAAサーバに結合されるべきAAA通信モジュールと、AAA通信モジュールに結合される抑制モジュールと、を含む。AAA通信モジュールは、複数の加入者局から送信される加入者セッション要求メッセージを受信するように構成される。AAA通信は、AAAアクセス要求メッセージをAAAサーバに送信し、対応する様々なタイプのAAAアクセス応答メッセージを受信するようにさらに構成される。AAAアクセス応答メッセージの少なくとも1つのタイプは、AAAアクセス拒否メッセージである。抑制モジュールは、複数の加入者局のうちの任意の1つに関連付けられるAAAアクセス要求メッセージの抑制をいつアクティブ化すべきかを決定するように構成される決定モジュールを含む。抑制モジュールは、決定モジュールに結合され、抑制がアクティブ化される場合にAAAアクセス要求メッセージの抑制を生じさせるように構成されるトリガモジュールをさらに含む。AAAアクセス要求メッセージの抑制は、ネットワークエレメント及びAAAサーバにおける実行リソースを節約する。
本発明の実施形態は、AAAサーバ及びエッジネットワークエレメントにおけるAAA処理を回避するために、加入者局及びエッジネットワークエレメントに結合されるAAAサーバにおいて実行される方法を含む。AAAサーバは、IDを確認するための情報を含むAAAアクセス要求メッセージをエッジネットワークエレメントから受信する。AAAサーバは、IDを確認するための情報に基づいて、加入者局に対応する加入者レコードにアクセスする。加入者レコードは、加入者局に関連付けられる加入者のアカウントに関する情報を含む。AAAサーバは、AAAアクセス要求メッセージに応答してAAAアクセス拒否メッセージを送信する。AAAアクセス拒否メッセージは、加入者局に関連付けられる任意の追加的なAAAアクセス要求メッセージの少なくとも一時的な抑制を示唆する、加入者のアカウントに基づくステータスを含む。AAアクセス要求メッセージの抑制は、ネットワークエレメント及びAAAサーバにおける実行リソースを節約する。
本発明の実施形態は、AAAサーバ及びエッジネットワークエレメントにおけるAAA処理を回避するための、エッジネットワークエレメントに結合されるべきAAAサーバを含む。エッジネットワークエレメントは、複数の加入者局にも結合される。AAAサーバは、複数の加入者局のうちの様々な加入者局についてのAAAアクセス要求メッセージをエッジネットワークエレメントから受信するように構成される通信モジュールを備える。通信モジュールは、対応するAAAアクセス応答メッセージをエッジネットワークエレメントに送信するようにさらに構成される。AAAサーバは、通信モジュールに結合される加入者レコード管理モジュールをさらに備える。加入者レコード管理モジュールは、複数の加入者レコードを記憶するように構成される。加入者レコード管理モジュールは、各AAAアクセス要求メッセージに応答して、対応する加入者に関連する情報を含む加入者レコードにアクセスするようにさらに構成される。AAAサーバは、加入者レコード管理モジュール及び通信モジュールに結合されるAAAアクセス応答生成モジュールをさらに備える。AAAアクセス応答生成モジュールは、現在アクセスされている加入者レコードに基づいて、AAAアクセス応答メッセージを生成するように構成され、当該AAAアクセス応答メッセージのうちの少なくとも1つはAAAアクセス拒否メッセージである。AAAアクセス拒否メッセージは、当該加入者レコードに関連付けられる任意の追加的なAAAアクセス要求メッセージの少なくとも一時的な抑制を示す。AAAアクセス要求メッセージの抑制は、ネットワークエレメント及びAAAサーバにおける実行リソースを節約する。
本発明は、限定としてではなく例として、同様の参照符号が類似の要素を示す添付の図面の図において示される。本開示における「ある(an)」又は「1つの(one)」実施形態への様々な言及は、必ずしも同じ実施形態を指さず、そのような言及は少なくとも1つを意味することに留意すべきである。さらに、特定の特徴、構成、又は特性がある実施形態に関連して説明される場合、明示的に説明されていてもいなくても、他の実施形態に関連して当該特徴、構成、又は特性を達成することは当業者の知識の範囲内であると考えられる。
本発明は、下記の説明及び本発明の実施形態を図示するために用いられる添付の図面を参照することによって最もよく理解され得る。図面において:
加入者局セッション要求及びAAAアクセス要求メッセージ並びに対応する応答メッセージのデータフロー図を図示する(従来技術)。 本発明の実施形態に係る拒否された加入者局についての追加的なAAAアクセス要求メッセージを少なくとも一時的に抑制することの概要を示すデータフロー図を図示する。 一時的な抑制を示すステータス付きのアクセス拒否メッセージに基づいて、拒否された加入者局についての追加的なAAAアクセス要求メッセージを少なくとも一時的に抑制する本発明の第1の実施形態のデータフロー図を図示する。 AAAアクセスの試行回数に基づいて、拒否された加入者局についての追加的なAAAアクセス要求メッセージを一時的に抑制する本発明の第2の実施形態のデータフロー図を図示する。 拒否された加入者局についての追加的なAAAアクセス要求メッセージをネットワークエレメントにおいて少なくとも一時的に抑制する本発明の第3の実施形態のデータフロー図を図示する。 拒否された加入者局についての追加的なセッション要求メッセージをアクセスネットワーク内で少なくとも一時的に抑制する本発明の第4の実施形態のデータフロー図を図示する。 本発明の実施形態に係る、拒否された加入者局についてAAAアクセス拒否メッセージが少なくとも一時的に抑制される、ネットワークエレメントと、AAAサーバと、アクセスネットワークとを備えるシステムを図示するブロック図である。 本発明の実施形態に係る、拒否された加入者局についての追加的なAAAアクセス要求メッセージを少なくとも一時的に抑制するための本発明の方法のフローチャートを図示する。
下記の説明は、拒否された加入者局についてのAAA処理を回避するための方法及び装置を説明する。下記の説明において、本発明のより完全な理解を提供するために、ロジック実装、オペレーションコード、オペランドを特定するための手段、リソースパーティショニング/シェアリング/デュプリケーション実装、システムコンポーネントのタイプ及び相互関係、並びにロジックパーティショニング/統合の選択といった多数の具体的な詳細が述べられる。しかしながら、そのような具体的な詳細無しに本発明は実施をされ得ることが、当業者によって認識されるであろう。他の場合において、制御構造、ゲートレベル回路、及び完全なソフトウェア命令シーケンスは、本発明を不明瞭にしないために示されていない。当業者は、包含される説明により、過度な実験無しに適当な機能を実装することが可能である。
本明細書における「一実施形態」、「ある実施形態」、「例示的な実施形態」等への言及は、説明される当該実施形態は特定の特徴、構造、又は特性を含み得るが、全ての実施形態が必ずしも当該特定の特徴、構造、又は特性を含まなくてもよいことを示す。また、そのような表現は、必ずしも同じ実施形態に言及しない。さらに、特定の特徴、構造、又は特性がある実施形態に関連して説明される場合、明示的に説明されていてもいなくても、他の実施形態に関連して当該特徴、構成、又は特性を達成することは当業者の知識の範囲内であると考えられる。
下記の説明及び特許請求の範囲において、「結合される」及び「接続される」という用語が、これらの派生語と共に用いられ得る。これらの用語は互いに同義語として意図されないことが理解されるべきである。「結合される」は、互いに直接物理的に又は電気的に接触してもしなくてもよい2つ以上の要素が互いに協働し又は相互作用することを示すために用いられる。「接続される」は、互いに結合される2つ以上の要素間における通信の確立を示すために用いられる。
本明細書においては、ネットワークエレメント(例えば、ルータ、スイッチ、ブリッジ)は、ネットワーク上の他の機器(例えば、他のネットワークエレメント、終端局)を通信可能に相互接続するハードウェア及びソフトウェアを含むネットワーキング機器の部品(piece)である。幾つかのネットワークエレメントは、複数のネットワーキング機能(例えば、ルーティング、ブリッジング、スイッチング、レイヤ2アグリゲーション、セッションボーダーコントロール、QoS(Quality of Service)、及び/若しくは加入者管理)についてのサポートを提供し、並びに/又は、複数のアプリケーションサービス(例えば、データ、音声、及びビデオ)についてのサポートを提供する「マルチサービスのネットワークエレメント」である。加入者局(例えば、サーバ、ワークステーション、ラップトップ、ネットブック、パームトップ、携帯電話、スマートフォン、マルチメディアフォン、VOIP(Voice Over Internet Protocol)電話、ユーザ機器、端末、ポータブルメディアプレーヤ、GPUユニット、ゲームシステム、セットトップボックス)は、インターネット上で提供されるコンテンツ/サービス、及び/又は、インターネットにオーバーレイされる(例えば、トンネリングされる)仮想プライベートネットワーク(VPN:virtual private networks)上で提供されるコンテンツ/サービスにアクセスする。コンテンツ及び/又はサービスは、典型的に、サービス又はコンテンツプロバイダに属する1つ以上の終端局(例えば、サーバ終端局)、又はピアツーピアサービスに参加する終端局によって提供され、例えば、公開ウェブページ(例えば、無料コンテンツ、ストアフロント、検索サービス)、プライベートウェブページ(例えば、電子メールサービスを提供する、ユーザ名/パスワードでアクセスされるウェブページ)、及び/又はVPN上の企業ネットワークを含み得る。典型的には、加入者局は、(例えば、(有線又は無線で)アクセスネットワークに結合される顧客宅内の機器を介して)エッジネットワークエレメントに結合され、当該エッジネットワークエレメントは、他のエッジネットワークエレメントに(例えば、1つ以上のコアネットワークエレメントを介して)結合され、当該他のエッジネットワークエレメントは、他の終端局(例えば、サーバ局(server end stations))に結合される。
幾つかのネットワークエレメントは、AAA(authentication, authorization, and accounting)プロトコル(例えば、RADIUS(Remote Authentication Dial-In User Service)、Diameter、及び/又は、TACACS+(Terminal Access Controller Access Control System))についての機能を含む。AAAは、クライアント/サーバモデルを介して提供されることができ、AAAクライアントは、ネットワークエレメント上に実装され、AAAサーバは、ネットワーク上でローカルに、又はネットワークエレメントに結合される遠隔終端局(例えば、サーバ終端局)上で実装されることができる。認証は、加入者を識別し及び確認する処理である。例えば、加入者は、ユーザ名とパスワードとの組み合わせによって又はユニークキーによって識別され得る。承認は、(例えば、アクセス制御ポリシーの使用を介して)ある終端局の情報リソースにアクセスするなど、加入者が認証された後に何をできるかを決定する。アカウンティングは、ユーザアクティビティを記録する。簡単な例として、加入者局は、サービス/コンテンツプロバイダのサーバ終端局に結合されるコアネットワークエレメントに結合される(AAA処理をサポートする)エッジネットワークエレメントを介して(例えば、アクセスネットワークを介して)結合されてもよい。AAA処理は、加入者についての加入者レコードを識別するために実行される。加入者レコードは、当該加入者のトラフィックを処理する期間中に用いられる属性(例えば、加入者名、パスワード、認証情報、アクセス制御情報、レート制限情報、ポリシー情報(policing information))のセットを含む。
図2は、本発明の実施形態に係る、拒否された加入者局についての追加的なAAAアクセス要求メッセージを少なくとも一時的に抑制することの概要を図示するデータフロー図である。図2の最上部には、加入者局‘A’200、アクセスネットワーク250、ネットワークエレメント205、及びAAAサーバ210の各々が、時間の経過を示す垂直線と共に図示されている。種々のメッセージの送信は、垂直線の間の水平な矢印として経時的に下方に図示され、具体的な実装に基づいて随意的なメッセージは、破線矢印で示される。
図2において、加入者局‘A’200は、アクセスネットワーク250を介してネットワークエレメント205に結合される。時々、加入者局‘A’200は、ネットワークエレメント205とのセッションを開始しようと試みる。アクセスネットワークは、例えば、ATM又はイーサネットプロトコルを用いるT1、T3、OC3、OC12、OC48、及びOC128といった様々な広域ネットワーク(WAN)サービスに結合されるDSLAM及び/又はケーブルモデムターミネーションシステムを含んでもよい。本発明の一実施形態において、ネットワークエレメント205は、1つ以上のAAA(authentication, authorization, and accounting)プロトコルについての機能を含むエッジネットワークエレメント(例えば、AAAクライアント)である。
セッションの開始を容易にするために、加入者局‘A’200は、ネットワークエレメント205に向けて加入者局‘A’セッション要求メッセージ220Aを送信する。このメッセージは、アクセスネットワーク250を介して送信され、ネットワークエレメント205によって加入者局‘A’セッション要求メッセージ221Aとして受信される。例えば、加入者局‘A’セッション要求メッセージ220Aは、DSLAM(図示せず)によって受信され、ネットワークエレメント205に加入者局‘A’セッション要求メッセージ221Aとして転送されてもよい。加入者局‘A’セッション要求メッセージ221Aに応答して、ネットワークエレメント205は、AAAサーバ210にAAAアクセス要求メッセージ230Aを送信するであろう。AAAアクセス要求メッセージ230Aは、認証要求を含む。
少なくとも幾つかの場合において、AAAサーバ210は、AAAアクセス要求メッセージ230Aの認証を拒否するであろう。AAAサーバ210は、多くの理由のうちのいずれかにのためにアクセス要求を拒否し得る。例えば、不正確なユーザ名/パスワードの組み合わせ又は無効なキーなど、AAAアクセス要求メッセージ230Aに含まれる識別情報が何らかの理由で無効又は不完全であることがある。他の場合では、識別情報は正確であるが、加入者局‘A’200が認証されない何らかの他の理由があることがある。例えば、加入者局‘A’200に関連付けられる加入者がネットワークアクセスを無効にしたということがあり得る。ネットワークアクセスの無効化についての理由には、不充分な支払、利用規約の違反、及び障害が起きた加入者局含まれ得るが、これらに限定されない。
AAAサーバ210は、AAAアクセス要求メッセージ230Aに応答して、ネットワークエレメント205にAAAアクセス拒否メッセージ235Aを送信する。本発明の幾つかの実施形態においては、加入者局‘A’に関連付けられる追加的なAAAアクセス要求メッセージが抑制されるべきであることを示すステータス情報をAAAアクセス拒否メッセージ235Aが含むであろうが、別の実施形態ではそのような情報が含まれない。
AAAセキュリティ対策の幾つかの実装は、Request for Comments (RFC) 2865,“Remote Authentication Dial In User Service (RADIUS)”,June 2000において説明されるRADIUSプロトコルに準拠する一方、他の実装は、RFC 3588,“Diameter Base Protocol”,September 2003に準拠し得る。
一実施形態において、AAAアクセス拒否メッセージ235Aは、RFC2865において説明されるような標準的なRADIUSプロトコルに従う。RADIUSプロトコルは、ネットワークエレメント205又はAAAサーバ210の設計者によって示される設定可能な目的に特化され得る一般的な(generic)フィールドを各AAAメッセージが含むことを可能にする。この一般的なフィールドは、ベンダ固有の属性(VSA:Vendor-Specific Attribute)と呼ばれる。この実施形態において、AAAアクセス拒否メッセージ235AはVSAを含み、追加的なAAAアクセス要求メッセージが抑制されるべきであることを示すステータス情報は当該VSAに含まれる。RFC3588におけるDiameterプロトコルに準拠する別の実施形態は、属性値ペア(AVP:attribute-value pair)を用いてステータス情報を送信し得る。
幾つかの実施形態において、ネットワークエレメント205は、アクセスネットワーク250を介して加入者局‘A’200に向けて、加入者局‘A’セッション拒否メッセージ223Aを送信し、このメッセージは、加入者局セッション拒否メッセージ222Aとして加入者局‘A’に渡される。しかしながら、他の実施形態では、加入者局‘A’セッション拒否メッセージ223A及び222Aは、アクセスネットワーク250又は加入者局‘A’200に送信されない。加入者局‘A’セッション拒否メッセージ223A及び222Aは、ネットワークエレメント205からアクセスネットワーク250へ、及びアクセスネットワーク250から加入者局‘A’200へ進む破線として示される。
ステータス付きでも又はステータス無しでも、AAAアクセス拒否メッセージ235Aを受信することに応答して、ネットワークエレメント205は、抑制判定238を行うであろう。即ち、ネットワークエレメント205は、加入者局‘A’に関連付けられるAAAアクセス要求メッセージの抑制があるべきかを決定するであろう。抑制判定238は、ネットワークエレメント205の垂直線から抑制判定238へ向かう曲線状の矢印と、抑制判定238からネットワークエレメント205の垂直線へ戻る第2の曲線状の矢印と、によってネットワークエレメント205と関連付けられる楕円として図示される。抑制判定238の種々の実施形態が予期され、これらの実施形態のうちの幾つかは、図3A及び図3Bを参照しつつ説明されるであろう。
抑制が発生するべきであることが決定される場合、ネットワークエレメント205は、加入者局‘A’に関連付けられるAAAアクセス拒否メッセージの抑制を生じさせるであろう。抑制は種々の手法で発生してもよく、多様な実施形態が予期される。
ネットワークエレメント205から下方に伸びる垂直線に沿って抑制判定238から下方に伸びる縦の長方形によって表されるように、追加的な加入者局‘A’セッション要求メッセージ220G〜220Mに応答する、AAAサーバ210への任意の追加的なAAAアクセス要求メッセージの一時的な抑制240をネットワークエレメント205は生じさせる。抑制240がアクティブである間、ネットワークエレメント205は、追加的な加入者局‘A’セッション要求メッセージ220G〜220Mに応答する如何なる追加的なAAAアクセス要求メッセージもAAAサーバ210に送信しないであろう。幾つかの実施形態において、任意の追加的な加入者局‘A’セッション要求メッセージ220G〜220Mは、アクセスネットワーク250内でブロックされ、従って、ネットワークエレメントは追加的な加入者局‘A’セッション要求メッセージ221G〜221Mを受信しないであろう(それ故に、追加的な加入者局‘A’セッション要求メッセージ221G〜221Mは、アクセスネットワーク250からネットワークエレメント205に伸びる破線で示される)。他の実施形態において、任意の追加的な加入者局‘A’セッション要求メッセージ220G〜220Mは、アクセスネットワーク250を通過し、ネットワークエレメント205によって追加的な加入者局‘A’セッション要求メッセージ221G〜221Mとして受信される。抑制手法240の実施形態は、図4A及び図4Bを参照しつつ説明される。
抑制240の終了にあたり、ネットワークエレメント205は、当該ネットワークエレメント205が加入者局‘A’セッション要求メッセージ221Aを処理したのと同じ手法で、加入者局‘A’セッション要求メッセージ221Nを処理するであろう。抑制判定238及び一時的な抑制手法240の例示的な実施形態は、図3A〜3B及び図4A〜4Bを参照しつつ本明細書において後述されるが、本発明は他の実施形態においても実施をされ得ることが認識されるであろう。
抑制240は、ある期間に限定され得る。別の実施形態において、抑制240は、ある期間に限定されないが、代わりに何らかの外部のイベントに応答して終了する。例えば、ネットワークエレメント205は、抑制240が終了されるべきであることを示すメッセージを受信し得る。また別の実施形態において、抑制240は、ある期間に限定され得るが、抑制240が終了されるべきであることを示すメッセージをネットワークエレメント205が受信するなど、何らかの外部のイベントにも応答して終了され得る。抑制240がある期間に限定される実施形態において、抑制240は一時的であるといわれる。抑制240がある期間に限定されない実施形態では、抑制は外部のイベントにのみ応答して終了するので、抑制は必ずしも一時的ではない。この意味で、抑制240が、設定される期間について継続してもよく、未確定の期間について継続してもよく、又は全く終了しなくてもよいという理由で、抑制240は少なくとも一時的である。
例えば、一実施形態において、一時的な抑制は、アクセスリセットタイマに関連付けられる。一時的な抑制がアクティブ化されることに応答して、対応するアクセスリセットタイマが開始される。対応する加入者局に関連して特定され又は全ての加入者局について設定され得るある期間の間、アクセスリセットタイマが実行されることに応答して、一時的な抑制は非アクティブ化されるであろう;抑制240は、一時的であると言われる。別の実施形態において、抑制は、抑制が非アクティブ化されるべきであることを示す承認変更メッセージに応答して、非アクティブ化される;抑制240は、必ずしも一時的ではないが終了し得る。さらなる実施形態は、アクセスリセットタイマと承認変更メッセージとの組み合わせを利用することにより、抑制240が、対応するアクセスリセットタイマの完了に応答して終了するだけでなく、承認変更メッセージにも応答して終了し得るようにする;抑制240は一時的であり、当該期間の終了に先立って終了され得る。
AAAアクセス要求メッセージを抑制することの利点は、ネットワーク帯域幅、中央処理装置(CPU:central processing unit)リソース、及び/又はストレージリソースといった、ネットワークエレメント205及びAAAサーバ210における実行リソースの節約である。ネットワークエレメント250及びAAAサーバ210は、加入者局‘A’セッション要求メッセージ220G〜220Mに応じるために必要とされる処理の量を制限することによって、実行リソースを節約する(conserve)。
拒否された加入者局によって消費される実行リソースを制限する他の方法は、セキュリティの脆弱性を招来し、及び/又は拒否された加入者局が必要以上に実行リソースを消費することを可能にしかねない。例えば、1つの方法は、認証要求を受け付けるが、ネットワークの分離された部分(isolated portion)にのみ加入者局がアクセスすることを承認する。加入者局を承認するのをネットワークの分離された部分とすることによって、加入者局は、利用可能なリソースへ限定されたアクセスを有し又は全くアクセスできないが、加入者局の認証要求は拒否されなかったので、認証について要求をくりかえすことはないであろう。しかしながら、ネットワークへの限定されたアクセスを許可することでさえ、セキュリティへの潜在的な影響がある。さらに、加入者局は、ネットワークの限定された部分に分離されている間でさえ、ネットワークエレメント上及びアクセスネットワーク上のリソースを消費し得る。従って、追加的なAAAアクセス要求メッセージを抑制することは、より多くの実行リソースを節約し、セキュリティの脆弱性を広げないため、有利である。
図3Aは、抑制を示すステータス付きのアクセス拒否メッセージに基づいて、拒否された加入者局についての追加的なAAAアクセス要求メッセージを少なくとも一時的に抑制する本発明の第1の実施形態のデータフロー図を図示する。AAAアクセス拒否メッセージ235Aがステータス付きのAAAアクセス拒否メッセージ335Aに置換され、抑制判定238がステータス付きのアクセス拒否メッセージに基づく抑制判定338に置換されていることを除いて、図3Aは図2と同一である。図3Aにおいて、AAAサーバ310は、AAAアクセス要求メッセージ230Aに、ステータス付きのAAAアクセス拒否メッセージ335Aにより応答するように構成されている。ステータス付きのAAAアクセス拒否メッセージ335Aは、AAAアクセス要求メッセージの抑制が保証されていることを示す情報を含む。ステータス付きのAAAアクセス拒否メッセージ335Aを受信することに応答して、ネットワークエレメント205は、ステータス付きのアクセス拒否メッセージ335A内に含まれる情報に基づいて抑制判定338を行う。幾つかの実施形態において、アクセス拒否メッセージ内に含まれる情報は、加入者局‘A’200がAAAサーバ310によって拒否された理由である。他の実施形態において、情報は、抑制が保証されていることを示す単なるフラグである。
図3Bは、AAAアクセス試行の回数に基づいて、拒否された加入者局についての追加的なAAAアクセス要求メッセージを少なくとも一時的に抑制する本発明の第2の実施形態のデータフロー図を図示する。1)加入者局‘A’セッション要求メッセージ220B〜F/221B〜Fの結果、ネットワークエレメント205がAAAアクセス要求メッセージ230B〜FをAAAサーバ210に送信し、(ステータス付きの/無しの)応答するAAAアクセス拒否メッセージ235B〜FをAAAサーバ210から受信することになること−これは、AAAアクセス拒否メッセージ235Fの後まで、抑制が開始されないためである、及び、2)抑制判定238が試行に基づく抑制判定368に置換されることを除いて、図3Bは図2と同一である。
具体的には、加入者局‘A’200は、図2を参照しつつ説明したのと同様の手法で、ネットワークエレメント205とのセッションを開始しようと試みる。加入者局‘A’セッション要求メッセージ220Aは、図2を参照しつつ説明されたのと同様の手法で、ネットワークエレメント205及びAAAサーバ210によって送信され及び処理される。ただし、この場合、ネットワークエレメント205は、加入者局‘A’が不成功裏に繰り返した加入者局‘A’セッション要求メッセージ221A〜221Fの回数をトラッキングする。試行のなんらかの閾値の回数(図3Bでは6回と図示されるが、本発明においては如何なる特定の数にも限定されない)に達することに応じて、ネットワークエレメント205は、試行の回数に基づく抑制判定368を行う。ネットワークエレメント205は、図2を参照しつつ説明されたのと同様の手法で、加入者局‘A’に関連付けられるAAAアクセス要求メッセージの抑制240を生じさせる。一実施形態において、抑制判定368は試行の回数に基づくが、別の実施形態は、他の基準を用いてもよい(例えば、ローリングする時間ウィンドウ内における試行の回数)。
図4Aは、拒否された加入者局についての追加的なAAAアクセス要求メッセージをネットワークエレメントにおいて少なくとも一時的に抑制する本発明の第3の実施形態のデータフロー図を図示する。図2と同様に、図4Aの最上部には、加入者局‘A’200、アクセスネットワーク250、ネットワークエレメント205、及びAAAサーバ210の各々が、時間の経過を示す垂直線と共に図示されている。種々のメッセージの送信は、垂直線の間の水平な矢印として経時的に下方に図示され、具体的な実装に基づいて随意的なメッセージは、破線矢印で示される。
図4Aは、メッセージ220A、221A、230A及び235Aではなく、図2からの抑制判定238から始まる。また、図4Aにおいて、加入者局‘A’セッション要求メッセージ221G〜Mは、(図2における破線とは対照的に)実線であり、これらのメッセージがネットワークエレメント205によって受信されることを示す。さらに、図2の抑制240は、加入者局‘A’に関連付けられるAAAアクセス要求メッセージの少なくとも一時的な抑制をネットワークエレメント205において生じさせること440に置換される。従って、図4Aにおける焦点は、追加的なAAAアクセス要求メッセージの抑制がネットワークエレメント205において生じることである。
あるネットワークエレメント(例えば、あるエッジネットワークエレメント)は、加入者回線を用いる加入者局(又は、ときには住宅用ゲートウェイ(例えば、ルータ、モデム)といった加入者宅内機器(CPE:customer premise equipment))を内部的に表す。加入者回線は、ネットワークエレメント内で加入者セッションを一意に識別し、典型的にはセッションの期間中は存在する。従って、ネットワークエレメントは、典型的に、加入者が当該ネットワークエレメントに接続する場合に加入者回線を割り当て、それに応じて当該加入者が接続を断つ場合に当該加入者回線の割当を解除する。各加入者セッションは、別のプロトコル上のポイントツーポイントプロトコル(PPPoX)(例えば、ここでXはイーサネット又はATM(Asynchronous Transfer Mode)である)、イーサネット、802.1QバーチャルLAN(VLAN)、インターネットプロトコル、又はATM)といったプロトコルを用いて、ネットワークエレメントと加入者局(又は、ときには住宅用ゲートウェイ若しくはモデムといったCPE)との間で通信される区別可能なパケットのフローを表す。加入者セッションは、様々なメカニズム(例えば、動的ホスト構成プロトコル(DHCP:dynamic host configuration protocol)の手動でのプロビジョニング、DHCP/CLIPS(client-less internet protocol service)、又はMAC(Media Access Control)アドレストラッキング)を用いて開始されることができる。例えば、ポイントツーポイントプロトコル(PPP)は、DSLサービスについて一般に用いられ、加入者がユーザ名及びパスワードを入力することを可能にするPPPクライアントのインストールを必要とし、これらは、加入者レコードを選択するために用いられ得る。(例えば、ケーブルモデムサービスについて)DHCPが用いられる場合、ユーザ名は典型的には提供されないが、そのような状況においては、加入者局(又はCPE)におけるハードウェアのMACアドレスが提供される。ネットワークエレメント上でのDHCP及びCLIPSの使用は、MACアドレスをキャプチャし、これらのアドレスを用いて、加入者を識別し及びその加入者レコードにアクセスする。
図4Aを参照すると、いったん抑制判定238が生じると、図2を参照しつつ説明されたように、ネットワークエレメント205は、加入者局‘A’に関連付けられる追加的なAAAアクセス要求メッセージの抑制をネットワークエレメント205において生じさせる440。ここで、ネットワークエレメント205は、追加的な加入者局‘A’セッション要求メッセージ221G〜Mの受信を継続するが、対応するAAAアクセス要求メッセージをAAAサーバ210には送信しない。本発明の一実施形態において、ネットワークエレメント205は、セッション要求メッセージ内に含まれる加入者局‘A’200に関連付けられる識別子に基づいて、加入者局‘A’200に関連付けられるMACアドレスに基づいて、又は、加入者局‘A’200に関連付けられる回線識別子に基づいて、当該セッション要求メッセージをフィルタリングするが、別の実施形態は、より多くの、より少ない、又は異なる識別子を用いてもよい。抑制が終了すると、ネットワークエレメント205は、加入者局‘A’セッション要求メッセージのフィルタリングを停止し、加入者局‘A’200に関連付けられる対応するAAAアクセス要求メッセージをAAAサーバ210に再度送信するであろう。
図4Bは、拒否された加入者局についての追加的なセッション要求メッセージをアクセスネットワーク内で少なくとも一時的に抑制する本発明の第4の実施形態のデータフロー図を図示する。1)抑制を生じさせること440が、加入者局‘A’に関連付けられるAAAアクセス要求メッセージの少なくとも一時的な抑制をアクセスネットワーク250内で生じさせること445に置換されていること、2)抑制445の始まりに、ネットワークエレメント205からアクセスネットワーク250への抑制メッセージ455が追加されていること、3)加入者局‘A’セッション要求メッセージ221G〜221Mが除去されていること、及び、4)抑制445の終わりに、ネットワークエレメント205からアクセスネットワーク250への非抑制メッセージ460が追加されていること、を除いて、図4Bは図4Aと同一である。図4Bにおける焦点は、追加的なAAAアクセス要求メッセージの抑制が追加的なセッション要求メッセージがネットワークエレメント205に到達することの抑制を含むことである。
いったん抑制判定238が発生すると、(図2を参照しつつ説明されたように、)ネットワークエレメント205は、アクセスネットワーク250において、加入者局‘A’200に関連付けられる追加的なセッション要求メッセージの抑制445を生じさせる。この場合、ネットワークエレメント205は、加入者局‘A’200を何らかの一意の値によって識別するアクセスネットワーク250に抑制メッセージ455を送信する。
本発明の一実施形態において、ネットワークエレメント205は、MACアドレスに基づいて又は回線識別子に基づいて、加入者局‘A’200を識別する。抑制メッセージ455は充分な情報を伝達するので、アクセスネットワークは、追加的な加入者局‘A’セッション要求メッセージ220G〜220Mがネットワークエレメント205に到達することを回避することが可能である。従って、追加的な加入者局‘A’セッション要求メッセージ221G〜221Mについてネットワークエレメント205において要求される処理がない為、ネットワークエレメント205における実行リソースはさらに節約される。抑制の終了にあたり、ネットワークエレメント205は、加入者局‘A’がもはや抑制されるべきではないことを識別する非抑制メッセージ460をアクセスネットワーク250に送信するであろう。一実施形態において、抑制メッセージ及び非抑制メッセージは、それぞれ回線ダウン及び回線アップを示す運用、管理、保守及びプロビジョニング(OAMP:operations, administration, maintenance, and provisioning)メッセージである一方、別の実施形態は、障害、設定、アカウンティング、パフォーマンス、セキュリティ(FCAPS:fault, configuration, accounting, performance, security)メッセージなどの他のタイプのメッセージを用いてもよい。
アクセスネットワーク250が非抑制メッセージ460を受信した後、アクセスネットワーク250は、加入者局‘A’セッション要求メッセージ220Nを受信することに応答して、加入者局‘A’セッション要求メッセージ221Nをネットワークエレメント205に送信するであろう。ネットワークエレメント205は、対応するAAAアクセス要求メッセージ230NをAAAサーバ210に送信するであろう。図3A及び図3Bに示される実施形態は図4A及び図4Bに示される実施形態のいずれとも共に用いられ得ることに留意すべきである。
図5は、本発明の実施形態に係る、拒否された加入者局についてAAAアクセス拒否メッセージが少なくとも一時的に抑制される、ネットワークエレメントと、AAAサーバと、アクセスネットワークとを備えるシステムを図示するブロック図である。図示されるシステムは、先行する図2〜図4Bにおいて説明されたような手法で動作する。この図は、具体的な実装に依存して随意的である、メッセージ、モジュール、及び結合を含む。そのため、随意的なモジュールは、破線の箱で示され、他のモジュールと破線矢印で結合される。随意的なメッセージは一点鎖線矢印で示される一方、必須のメッセージは点線矢印で示される。さらに、データレコードにおける随意的なフィールドは角括弧で示される一方、必須のフィールドは角括弧無しで示される。
図5において、加入者局200A〜200Nは、アクセスネットワーク250を介してネットワークエレメント205におけるポート515Aに結合される。ネットワークエレメント205は、ポート515Nを介してコンテンツ/サービス570に、及びAAAサーバ210に、さらに結合される。
ネットワークエレメント205は、抑制モジュール530に結合されるAAA通信モジュール525を少なくとも備える。AAA通信モジュール525は、AAAサーバ210と通信している。AAA通信モジュール525は、AAAアクセス要求メッセージ560及びAAAアクセス応答メッセージ565を、それぞれ少なくとも送信し及び受信する。本発明の幾つかの実施形態において、AAA通信モジュール525は、関連付けられる加入者局の非抑制を示すAAA承認変更メッセージ568も受信する。
抑制モジュール530は、抑制判定238を行い、加入者局‘A’に関連付けられる追加的なAAAアクセス要求メッセージの抑制240を生じさせる。具体的には、抑制モジュールは、図2を参照しつつ説明されたように(例えば、図3A及び/又は図3Bにおいて説明された手法で)抑制判定を行うことが可能である決定モジュール531を備え、当該抑制モジュールは、図2を参照しつつ説明されたように(例えば、図4A及び図4Bにおいて説明された手法で)抑制を生じさせるトリガモジュール532をさらに備える。
アクセスリセットタイムを利用する実施形態において、抑制モジュールは、決定モジュール531及びトリガモジュール532に結合されるタイマモジュール536をさらに備える。タイマモジュール536は、複数のアクセスリセットタイム536#1〜536#Nを維持する。各タイマは、1つ以上の現在抑制されている加入者局に対応する。決定モジュール531が抑制判定238を行う場合、対応するアクセスリセットタイマがタイマモジュール536において開始される。本発明の一実施形態において、このタイマは、グローバル値に基づいて又は関連付けられる加入者(この値は、ブロックされる加入者レコード526Aに記憶され得る)に基づいて、ある期間について動作するように設定されるが、別の実施形態においては、より多くの、より少ない、又は異なる手法で設定されてもよい(例えば、ポートごとに設定される値、バーチャルルータごとに設定される値等)。アクセスリセットタイマが割り振られた期間について動作した後、トリガモジュールは、一時的な抑制を非アクティブ化するであろう。
少なくとも幾つかの実施形態において、抑制モジュールは、ブロックされる識別子のリスト535を維持する。ブロックされる識別子のリスト535は、AAAアクセス要求メッセージの抑制がアクティブ化される加入者局又は加入者に各々関連付けられる識別子のリストを含む。本発明の一実施形態において、ブロックされる識別子のリスト535は、回線ハンドル(circuit handles)(CCT-Handles)のリスト及びMACアドレスのリストを含んでもよいが、別の実施形態は、より多くの、より少ない、又は異なる識別子(例えば、ATM VPI/VCI、VLAN IDのリスト、及び/又は、加入者識別子のリスト)を用いてもよい。トリガモジュール532は、加入者局の抑制のアクティブ化に応じて、当該加入者局に関連付けられる識別子を、ブロックされる識別子535のリストに付加するであろう。抑制の非アクティブ化に応じて、トリガモジュールは、抑制が非アクティブ化された加入者局又は加入者に関連付けられる識別子を、ブロックされる識別子535のリストから除去するであろう。
トリガモジュール532は、AAAアクセス要求メッセージの抑制を多くの手法でアクティブ化/非アクティブ化することが可能である。これらの手法のうちの幾つかは、図4A及び図4Bを参照しつつ説明される。
例えば、図4Aに示されるように、ネットワークエレメントにおける抑制を実装する実施形態において、ネットワークエレメントは、パケット処理モジュール580を含み得る。トリガモジュール532は、抑制判定238に応じて、抑制される加入者局に関連付けられる識別子をパケット処理モジュール580に通信するであろう。パケット処理モジュール580は、ブロックされる加入者局又は加入者に関連付けられる、到来するセッション要求メッセージを識別し、AAAアクセス要求メッセージが送信されないように当該セッション要求を破棄する(drop)ことが可能であるであろう。
図4Aを参照する別の実施形態において、トリガモジュール532は、ブロックされる加入者局又は加入者に関連付けられるセッション要求メッセージに関する追加的なAAAアクセス要求メッセージが送信されるべきではないことをAAA通信モジュール525に示し得る。この場合、AAA通信モジュールは、ブロックされる加入者局又は加入者からのセッション要求メッセージを受信することに応答して、如何なるAAAアクセス要求メッセージもAAAサーバ210に送信しないであろう。
追加的なAAAアクセス要求メッセージの抑制を生じさせる別の手法は、図4Bにおいて説明されたようにアクセスネットワーク250において実行される。この実施形態において、トリガモジュール532は、OAMPモジュール581と通信して、追加的なAAAアクセス要求メッセージの抑制のアクティブ化/非アクティブ化を示す。OAMPモジュール581は、対応する抑制/非抑制メッセージをアクセスネットワーク250に送信する。抑制/非抑制メッセージに応じて、アクセスネットワークは、関連付けられる加入者局からのセッション要求メッセージをブロックし又は転送するであろう。この場合、抑制は、AAAアクセス要求メッセージだけを抑制するのではなく、セッション要求メッセージがネットワークエレメント205に到達することも抑制する。少なくとも幾つかの実施形態において、抑制/非抑制メッセージは、アクセスネットワーク250が加入者局に関連付けられるネットワーク回線をシャットダウンし/起動すべきであることを示すチャネルダウン/チャネルアップOAMPメッセージである。この方法の利点は、抑制のために対応するAAAアクセス要求メッセージを有しないであろう追加的なセッション要求メッセージに応答するために、ネットワークエレメント205が実行リソースを用いないことである。
図5において、AAAサーバ210は、AAAアクセス要求メッセージに応答して各加入者を認証するためのものである。AAAサーバ210は、通信モジュール550、AAAアクセス応答生成モジュール555、及び加入者レコード管理モジュール540を備える。加入者レコード管理モジュール540は、加入者レコードのリスト545を維持する。
通信モジュール550は、ネットワークエレメント205におけるAAA通信モジュール525にメッセージを送信し及びAAA通信モジュール525からメッセージを受信することに関与する。AAAアクセス応答生成モジュール555は、AAAアクセス要求メッセージ560に対する適当なAAAアクセス応答メッセージ565を構築する(builds)。少なくとも幾つかの場合において、このメッセージは、対応する加入者局又は加入者に関連付けられる追加的なAAAアクセス要求メッセージの抑制を示唆するステータス情報付きの又はステータス情報無しのAAAアクセス拒否メッセージであるであろう。
加入者レコード545Aは、各加入者に連付けられる情報を含む。加入者レコード545Aは、ユーザ名など、対応する加入者を一意に識別する加入者識別子を少なくとも含む。本発明の一実施形態において、加入者識別子は、加入者に関連付けられる一意の整数である一方、別の実施形態においては、加入者識別子は異なっていてもよい(例えば、対応する加入者局に関連付けられるMACアドレス)。本発明の一実施形態において、加入者レコード545Aは、パスワード、フレーム化されたIPアドレス、サービスタイプ、アクセスリセットタイマを識別する情報、及び/又は、拒否メッセージの理由(図5においてそれぞれ角括弧内に示される)も含む。
幾つかの実施形態において、加入者レコード545Aからの情報は、AAAアクセス応答メッセージ565においてAAA通信モジュール525に送信される。このような実施形態において、AAAアクセス応答生成モジュールは、加入者レコード545Aからの情報を含む適当なAAAアクセス応答メッセージ565を構築する。加入者レコード545Aに含まれる情報は、抑制モジュールによって用いられて、図2において説明されたように(例えば、図4A及び図4Bにおいて説明された手法で)AAAアクセス要求メッセージ240の抑制を生じさせる。一実施形態において、AAA通信モジュール525は、AAAアクセス応答メッセージ565内で受信される加入者情報に入力される(populated)ブロックされる加入者レコードのリスト526をさらに含む。別の実施形態において、加入者情報は、抑制モジュール530におけるブロックされる識別子のリスト535に入力される。
上記のアクセスリセットタイマを利用する実施形態において、加入者レコード545は、特定のアクセスリセットタイマ又は一時的な抑制に応答する各加入者についてのアクセスリセットタイマを動作させる時間の長さを識別する情報をさらに含むことができる。この情報は、タイマモジュール536において正確なタイマを選択し又は正確なタイマ値を設定するために用いられるであろう。
さらに、本発明の一実施形態において、トリガモジュール532は、図4A及び図4Bを参照しつつ説明されたものなど、複数の抑制の手法をサポートする。この実施形態において、トリガモジュール532は、サービスタイプフィールドを用いて、特定の加入者局200A〜200Nについて利用可能な抑制の手法のうちのどれが用いられるべきかを決定することができる。例えば、サービスタイプは、加入者局200A〜200Nがブロードキャストチャネルを介してネットワークエレメント205に結合されることを示してもよく、従って、トリガモジュール532は、図4Aを参照しつつ説明された手法を用いるであろう。あるいは、サービスタイプは、加入者局200A〜200Nが回線ベースのチャネルを介してネットワークエレメント205に結合されることを示してもよく、従って、トリガモジュール532は、図4Bを参照しつつ説明された手法を用いて、抑制445を生じさせるであろう。
図4A及び図4Bを参照すると、抑制モジュールは、抑制440又は445を生じさせ、加入者レコード545Aから入力される情報を用いて、AAAアクセス要求メッセージが抑制されるべきである加入者局セッション要求メッセージを識別する。本発明の一実施形態において、抑制モジュールは、加入者識別子を利用して、加入者局を抑制するために用いられるブロックされる識別子を決定する一方、別の実施形態は、フレーム化されたIPアドレスを利用する。一実施形態において、ブロックされる識別子はCCTハンドルである一方、別の実施形態において、ブロックされる識別子は別の識別子とすることができる(例えば、MACアドレス、ATM VPI/VCI、VLAN ID、加入者ID)。
一実施形態において、加入者レコード545は、なぜ加入者が抑制されるべきかを示す拒否理由を含む。例えば、拒否理由は、不充分な支払、利用規約の違反、及び/又は障害が起きた加入者局を示してもよい。これらの理由の全ては、関連付けられる加入者局又は加入者について、追加的なアクセス要求メッセージが抑制されるべきであることを示唆し得る。本発明の一実施形態において、拒否理由は、AAAアクセス応答メッセージ565においてAAA通信モジュールに送信される。図3Aを参照すると、拒否理由は、ステータス付きのAAAアクセス拒否メッセージ335Aに含まれ、決定モジュール531によって用いられて、抑制判定338を行う。
幾つかの実施形態において、通信モジュール550は、加入者レコード545Aが加入者レコード管理モジュール540によって更新されることに応答して、AAA承認変更メッセージ568を送信するように構成される。具体的には、加入者レコード545Aが不充分な支払を示す拒否理由を有する場合において、加入者レコード管理モジュール540は、充分な支払が為されたことの標識を受信した後に、拒否理由をクリアし得る。この場合において、通信モジュール550は、対応する加入者局の抑制がもはや保証されないことを示すAAA承認変更メッセージ568をAAA通信モジュール525に送信し得る。
図6は、拒否された加入者局についての追加的なAAAアクセス要求メッセージを少なくとも一時的に抑制するための本発明の方法のフローチャートを図示する。当該方法における多くのステップは、本発明の実装に依存して随意的であり、そのようなステップは破線のマーキングで示される。
処理におけるある時点で、ネットワークエレメント205は、拒否理由を示すステータス情報付きの又はステータス情報無しの、加入者局‘A’に関連付けられるAAAアクセス拒否メッセージを受信する620。応答して、ネットワークエレメント205は、追加的なAAAアクセス要求メッセージの抑制を生じさせるべきか否かの判定を行う625。ネットワークエレメント205が抑制を生じさせないことを決定する場合、当該ネットワークエレメントは処理を継続する630。
ネットワークエレメント205が追加的なAAAアクセス要求メッセージの抑制を生じさせることを決定する場合、当該ネットワークエレメントは、加入者局‘A’についての抑制を生じさせる640(これは、図4Aを参照しつつ説明されたようにネットワークエレメント205内であっても、又は、図4Bを参照しつつ説明されたようにアクセスネットワーク内であってもよく、従って、追加的なセッション要求メッセージの抑制はネットワークエレメント205によっても受信されるようにする)。アクセスリセットタイマを含む実施形態において、ネットワークエレメントは、抑制判定を判定することに応答して、加入者局‘A’についてアクセスリセットタイムを開始するであろう650。
その後のある時点で、ネットワークエレメント205は、加入者局‘A’についての追加的なAAAアクセス要求メッセージの抑制を終了させるであろう660。ネットワークエレメント205は、セッション要求メッセージの受信の抑制を生じさせた場合において、追加的なセッション要求メッセージの抑制も終了させるであろう665。アクセスリセットタイマを利用した実施形態において、抑制を終了させること660は、加入者局に関連付けられるアクセスリセットタイマ動作の完了650に応答して実行され得る。
さらに、ネットワークエレメント205は、加入者局‘A’の非抑制を示すAAA承認変更メッセージを受信してもよい670。AAA承認変更メッセージに応答して、ネットワークエレメント205は、抑制を終了すべきかを判定しなければならない675。抑制が存在しないため又はメッセージの代わりに抑制を継続すべきであることを示す他の要因ために、抑制を終了させる必要が無い場合、ネットワークエレメント205は、処理を継続するであろう630。抑制を終了させるべきである場合、ネットワークエレメント205は、上記のように抑制を終了させるであろう660。アクセスリセットタイマを利用する実施形態において、ネットワークエレメント205は、抑制を終了させる決定675に応答して、加入者局‘A’に関連付けられるアクセスリセットタイマをさらにクリアし得る680。
ネットワークエレメントは、一般に、制御プレーンとデータプレーン(転送プレーン又はメディアプレーンと呼ばれることもある)とに分離される。ネットワークエレメントがルータである(又はルーティング機能を実装している)場合において、制御プレーンは、典型的に、どのようにデータ(例えば、パケット)がルーティングされるべきか(例えば、データについての次のホップ、及び当該データについての出力ポート(outgoing port))を決定し、データプレーンは、当該データを転送することを担当する。例えば、制御プレーンは、典型的に、他のネットワークエレメントと通信してルートを交換し、当該ルートを1つ以上のルーティングメトリックに基づいて選択する1つ以上のルーティングプロトコル(例えば、ボーダゲートウェイプロトコル(BGP)、インテリアゲートウェイプロトコル(IGP)(例えば、OSPF(Open Shortest Path First)、RIP(Routing Information Protocol)、IS−IS(Intermediate System to Intermediate System)、LDP(Label Distribution Protocol)、RSVP(Resource Reservation Protocol)))を含む。
ルート及び隣接関係(adjacencies)は、制御プレーン上の1つ以上のルーティング構造(例えば、RIB(Routing Information Base)、LIB(Label Information Base)、1つ以上の隣接関係構造)に記憶される。制御プレーンは、データプレーンをルーティング構造に基づく情報(例えば、隣接関係及びルート情報)でプログラムする。例えば、制御プレーンは、隣接関係及びルート情報を、データプレーン上の1つ以上の転送構造(例えば、FIB(Forwarding Information Base)、LFIB(Label Forwarding Information Base)、及び1つ以上の隣接関係構造)にプログラムする。データプレーンは、トラフィックを転送する場合に、これらの転送構造及び隣接関係構造を用いる。
ルーティングプロトコルの各々は、あるルートメトリック(当該メトリックは、異なるルーティングプロトコルについては異ならせることができる)に基づいて、ルートエントリをメインRIBにダウンロードする。ルーティングプロトコルの各々は、メインRIBにダウンロードされないルートエントリを含むルートエントリを、ローカルRIB(例えば、OSPFローカルRIB)に記憶することができる。メインRIBを管理するRIBモジュールは、(メトリックのセットに基づいて)ルーティングプロトコルによってダウンロードされるルートからルートを選択し、これらの選択されたルート(アクティブルートエントリと呼ばれることもある)をデータプレーンにダウンロードする。RIBモジュールは、ルーティングプロトコル間でルートが再分配されるようにすることもできる。
レイヤ2転送について、ネットワークエレメントは、データを当該データにおけるレイヤ2情報に基づいて転送するために用いられる1つ以上のブリッジングテーブルを記憶することができる。
典型的に、ネットワークエレメントは、1つ以上のラインカードのセット、1つ以上の制御カードのセット、及び、随意的に、1つ以上のサービスカード(リソースカードと呼ばれることもある)のセットを含む。これらのカードは、1つ以上のメカニズム(例えば、第1のフルメッシュがラインカードを結合し、第2のフルメッシュが全てのカードを結合する)によって互いに結合される。ラインカードのセットがデータプレーンを構成する一方、制御カードのセットは、制御プレーンを提供し、ラインカードによって外部のネットワークエレメントとパケットを交換する。サービスカードのセットは、特殊な処理(例えば、レイヤ4〜レイヤ7サービス(例えば、ファイアウォール、IPsec、IDS、P2P)、VoIPセッションボーダコントローラ、モバイルワイヤレスゲートウェイ(GGSN、EPS(Evolved Packet System)ゲートウェイ))を提供することができる。例として、サービスカードは、IPsecトンネルを終了させ、付随する認証及び暗号化アルゴリズムを実行するために用いられてもよい。
本明細書において説明されるように、命令は、ある動作を実行するように設定され、又は所定の機能若しくはソフトウェア命令を非一時的なコンピュータ読取可能な媒体において具現化されるメモリに記憶する特定用途向け集積回路(ASIC)などハードウェアの特定の設定を指し得る。従って、図において示される技法は、1つ以上の電子デバイス(例えば、局(end station)、ネットワークエレメント)上に記憶され及び実行されるコード及びデータを用いて実装されることができる。そのような電子デバイスは、非一時的な(non-transitory)コンピュータ読取可能な記憶媒体(例えば、磁気ディスク、光ディスク、RAM、ROM、フラッシュメモリデバイス、相変化メモリ)及び一時的なコンピュータ読取可能な通信媒体(例えば、搬送波、赤外線信号、デジタル信号といった、電気的な、光学的な、音響の又は他の形態の伝搬信号)といったコンピュータ読取可能な媒体を用いて、コード及びデータを記憶し及び(内部的に及び/又はネットワークを介して他の電子デバイスと)通信する。また、そのような電子デバイスは、典型的に、1つ以上のストレージデバイス(非一時的な機械読み取り可能な記憶媒体)、ユーザ入力/出力デバイス(例えば、キーボード、タッチスクリーン、及び/又はディスプレイ)、及びネットワーク接続といった、1つ以上の他のコンポーネントに結合される1つ以上のプロセッサのセットを含む。プロセッサのセットと他のコンポーネントとの結合は、典型的に、1つ以上のバス及びブリッジ(バスコントローラとも称される)を介する。従って、所与の電子デバイスのストレージデバイスは、典型的に、当該電子デバイスの当該1つ以上のプロセッサのセット上での実行のためのコード及び/又はデータを記憶する。当然ながら、本発明のある実施形態の1つ以上の部分は、ソフトウェア、ファームウェア、及び/又はハードウェアの様々な組み合わせを用いて実装され得る。
本発明は幾つかの実施形態の観点から説明されたが、本発明が説明された実施形態に限定されないことを当業者は認識するであろう。本発明の方法及び装置は、添付の特許請求の範囲の精神及び範囲内における変形及び変更と共に実施をされることができる。従って、上記説明は、本発明を限定するものではなく、実例としてみなされるべきである。

Claims (22)

  1. 認証、承認、及びアカウンティング(AAA)処理を回避するためにネットワークエレメントにおいて実行される方法であって、当該ネットワークエレメントは加入者局とAAAサーバとの間に結合され、前記方法は、
    少なくともIDを確認するための情報を含む1つ以上の加入者セッション要求メッセージを前記加入者局から受信するステップと、
    前記1つ以上の加入者セッション要求メッセージに対応する1つ以上のAAAアクセス要求メッセージを前記AAAサーバに送信するステップと、
    前記1つ以上のAAAアクセス要求メッセージに対応する1つ以上のAAAアクセス応答メッセージを前記AAAサーバから受信するステップと、
    前記1つ以上のAAAアクセス応答メッセージに応答して、前記加入者局に関連付けられる任意の追加的なAAAアクセス要求メッセージの少なくとも一時的な抑制を生じさせることを決定するステップと、
    前記決定するステップに応答して、前記加入者局から受信される加入者セッション要求メッセージに応答して前記AAAサーバに送信されつつある任意の追加的なAAAアクセス要求メッセージの少なくとも一時的な抑制を生じさせるステップであって、それによって、前記ネットワークエレメント及び前記AAAサーバにおいて実行リソースが節約される、ステップと、
    を含む、方法。
  2. 前記対応する1つ以上のAAAアクセス応答メッセージは、単一のAAAアクセス拒否メッセージであり、前記決定するステップは、
    前記AAAアクセス拒否メッセージが前記少なくとも一時的な抑制を示唆するステータスを含むことを決定するステップ、
    を含む、請求項1に記載の方法。
  3. 前記生じさせるステップは、
    前記加入者局に関連付けられるメディアアクセス制御アドレスに基づいて、前記加入者局に関連付けられる任意の追加的なAAAアクセス要求メッセージが破棄されることを生じさせるステップ、
    を含む、請求項2に記載の方法。
  4. 前記決定するステップに応答して、アクセスリセットタイマを開始するステップと、当該アクセスリセットタイマは前記加入者局に関連付けられ、前記アクセスリセットタイマは時間間隔を測定することと、
    前記時間間隔の完了に応答して、前記少なくとも一時的な抑制の終了を生じさせるステップと、
    をさらに含む、請求項1に記載の方法。
  5. 前記少なくとも一時的な抑制が終了するべきであることを示唆するステータスを含む、前記加入者局に関連付けられるAAA承認変更メッセージを前記AAAサーバから受信するステップと、
    前記AAA承認変更メッセージに応答して、前記少なくとも一時的な抑制の終了を生じさせるステップと、
    をさらに含む、請求項1に記載の方法。
  6. 前記加入者局に関連付けられる1つ以上の追加的なセッション要求メッセージを受信するステップと、
    前記一時的な抑制に従って、対応する如何なるAAAアクセス要求メッセージを送信することもなく、前記1つ以上の追加的なセッション要求メッセージを破棄するステップと、破棄することは、前記加入者局に関連付けられるメディアアクセス制御アドレスに基づいて為されることと、
    をさらに含む、請求項1に記載の方法。
  7. 前記生じさせるステップは、前記加入者局に関連付けられる回線がシャットダウンされるべきであることを示す、運用、管理、保守及びプロビジョニングメッセージを前記加入者局に向けて送信することを含む、請求項1に記載の方法。
  8. 前記少なくとも一時的な抑制を生じさせることを決定するステップは、ステータス付きのAAAアクセス拒否メッセージである、前記対応する1つ以上のAAAアクセス応答メッセージのうちのただ1つの受信にも応答して行われ、
    当該ステータスは、
    前記加入者局に関連付けられる回線がシャットダウンされるべきであることを示す、運用、管理、保守及びプロビジョニングメッセージを前記加入者局に向けて送信するステップがさらに含まれること、
    を示唆する、請求項1に記載の方法。
  9. 複数の加入者局と認証、承認、及びアカウンティング(AAA)サーバとの間に結合される、AAA処理を回避するためのネットワークエレメントであって、当該ネットワークエレメントは、
    前記複数の加入者局に結合されるべき1つ以上のポートのセットと、
    前記複数の加入者局から送信される加入者セッション要求メッセージを受信し、対応するAAAアクセス要求メッセージを前記AAAサーバに送信し、及び、AAAアクセス拒否メッセージを含む様々なタイプの対応するAAAアクセス応答メッセージを受信するように構成される、前記AAAサーバに結合されるべきAAA通信モジュールと、
    前記複数の加入者局のうちの任意の1つに関連付けられるAAAアクセス要求メッセージの抑制をいつアクティブ化すべきかを決定するように構成される決定モジュール、及び、
    前記決定モジュールに結合され、前記抑制がアクティブ化される場合に前記抑制を生じさせ、それによって前記ネットワークエレメント及び前記AAAサーバにおいて実行リソースが節約されるように構成されるトリガモジュール、
    を含む、前記AAA通信モジュールに結合される抑制モジュールと、
    を備える、ネットワークエレメント。
  10. 前記抑制モジュールが、
    1つ以上のアクセスリセットタイマのセットを維持して、前記抑制のうちの少なくともいくつかについての時間間隔を測定し、
    対応する時間間隔の完了に応じて前記抑制の非アクティブ化を生じさせる
    ように構成され、前記決定モジュールに結合されるタイマモジュール、
    を含む、請求項9に記載のネットワークエレメント。
  11. 前記AAA通信モジュールが、
    前記複数の加入者局のうちの対応する1つに各々関連付けられ、対応する前記抑制が非アクティブ化されるべきであることを示唆するステータスを各々示すAAA承認変更メッセージを受信し、
    対応する前記抑制の非アクティブ化を生じさせる、
    ようにさらに構成される、請求項9に記載のネットワークエレメント。
  12. 前記トリガモジュールは、前記複数の加入者局のうちの識別された加入者局に関連付けられる加入者セッション要求メッセージの抑制によって、前記複数の加入者局のうちのそれら識別された加入者局の前記抑制をさらに生じさせることとなる、請求項9に記載のネットワークエレメント。
  13. 前記トリガモジュールに結合され、前記トリガモジュールに従って、前記複数の加入者局のうちの前記識別された加入者局からの追加的なセッション要求メッセージを破棄することにより、前記AAA通信モジュールが対応する如何なるAAAアクセス要求メッセージも送信しないようにするパケット処理モジュール、
    をさらに備え、追加的なセッション要求メッセージは各々、前記複数の加入者局のうちの前記識別された加入者局のうちの1つに対応するメディアアクセス制御アドレスによって決定される、請求項12に記載のネットワークエレメント。
  14. 前記トリガモジュールに結合されて、前記トリガモジュールに従って、前記複数の加入者局と前記ネットワークエレメントとの間に結合されるアクセスネットワークに抑制メッセージを送信する運用、管理、保守及びプロビジョニングモジュール、
    をさらに備え、当該抑制メッセージは、前記複数の加入者局のうちの前記識別された加入者のうちの1つに関連付けられる回線がシャットダウンされるべきであることを示す、請求項12に記載のネットワークエレメント。
  15. 認証、承認、及びアカウンティング(AAA)サーバにおいて、当該AAAサーバ及びエッジネットワークエレメントにおけるAAA処理を回避するために実行される方法であって、加入者局と前記AAAサーバは前記エッジネットワークエレメントに結合され、前記方法は、
    少なくともIDを確認するための情報を含むAAAアクセス要求メッセージを前記エッジネットワークエレメントから受信するステップと、
    IDを確認するための前記情報に基づいて、前記加入者局に対応する加入者レコードにアクセスするステップと、当該加入者レコードは、前記加入者局に関連付けられる加入者のアカウントに関する情報を含むことと、
    前記AAAアクセス要求メッセージに応答して、前記加入者のアカウントに基づくステータスを含むAAAアクセス拒否メッセージであるAAAアクセス応答メッセージを送信するステップであって、前記ステータスは少なくとも前記加入者局に関連付けられる任意の追加的なAAAアクセス要求メッセージの少なくとも一時的な抑制を示唆し、それによって、前記ネットワークエレメント及び前記AAAサーバにおいて実行リソースが節約されるステップと、
    を含む、方法。
  16. 拒否理由フィールドに含まれる値を変更するために前記加入者レコードを更新するステップと、
    前記更新することに応答して、前記少なくとも一時的な抑制の終了を示唆するステータスを示すAAA承認変更メッセージを送信するステップと、
    をさらに含む、請求項15に記載の方法。
  17. 前記加入者レコードは、前記加入者のアカウントが支払いされていないことを示す情報を含む、請求項15に記載の方法。
  18. 前記AAAアクセス拒否メッセージは、前記ステータスを送信するためのフィールドを含む、請求項15に記載の方法。
  19. エッジネットワークエレメントに結合されるべき、認証、承認、及びアカウンティング(AAA)サーバ及び前記エッジネットワークエレメントにおけるAAA処理を回避するためのAAAサーバであって、前記ネットワークエレメントは、複数の加入者局に結合され、前記AAAサーバは、
    前記複数の加入者局のうちの様々な加入者局についてのAAAアクセス要求メッセージを前記エッジネットワークエレメントから受信し、対応するAAAアクセス応答メッセージを前記エッジネットワークエレメントに送信するための通信モジュールと、
    前記通信モジュールに結合され、対応する加入者に関連するアカウント情報を各々含む複数の加入者レコードを記憶し、前記AAAアクセス要求メッセージの各々に応答して当該加入者レコードのうちの対応する1つにアクセスするように構成される加入者レコード管理モジュールと、
    前記加入者レコード管理モジュール及び前記通信モジュールに結合され、前記加入者レコードのうちの現在アクセスされている1つに基づき、当該加入者レコードに関連付けられる任意の追加的なAAAアクセス要求メッセージの少なくとも一時的な抑制を前記ネットワークエレメントに示すAAAアクセス拒否タイプのAAAアクセス応答メッセージを生成し、それによって、前記ネットワークエレメント及び前記AAAサーバにおいて実行リソースが節約されるように構成されるAAAアクセス応答生成モジュールと、
    を備える、AAAサーバ。
  20. 前記アカウント情報は、理由が無いことと、前記対応する加入者が支払いをしていないことと、を含む拒否理由のグループから選択される拒否理由を含む、
    請求項19に記載のAAAサーバ。
  21. 前記アカウント情報は、拒否理由が無いことと、前記対応する加入者が支払いをしていないことと、前記対応する加入者のアクセスが制限されたことと、前記対応する加入者がサービスをキャンセルしたことと、を含む拒否理由のグループから選択される拒否理由を含む、請求項19に記載のAAAサーバ。
  22. 前記加入者レコード管理モジュールは、前記複数の加入者レコードのうちのいずれかの前記アカウント情報を更新するようにさらに構成され、
    前記通信モジュールは、前記更新の各々に応答して、更新された前記加入者レコードに基づき、前記対応する少なくとも一時的な抑制の終了を示唆するAAA承認変更メッセージを前記エッジネットワークエレメントに送信するようにさらに構成される、
    ことを含む、請求項19に記載のAAAサーバ。
JP2013523677A 2010-08-10 2011-06-30 拒否された加入者局によって消費されるリソースの制限 Expired - Fee Related JP5941465B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US12/854,084 US8352603B2 (en) 2010-08-10 2010-08-10 Limiting resources consumed by rejected subscriber end stations
US12/854,084 2010-08-10
PCT/IB2011/052871 WO2012020333A1 (en) 2010-08-10 2011-06-30 Limiting resources consumed by rejected subscriber end stations

Publications (2)

Publication Number Publication Date
JP2013542623A true JP2013542623A (ja) 2013-11-21
JP5941465B2 JP5941465B2 (ja) 2016-06-29

Family

ID=44514857

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2013523677A Expired - Fee Related JP5941465B2 (ja) 2010-08-10 2011-06-30 拒否された加入者局によって消費されるリソースの制限

Country Status (8)

Country Link
US (2) US8352603B2 (ja)
EP (1) EP2604018A1 (ja)
JP (1) JP5941465B2 (ja)
CN (1) CN103026687A (ja)
AU (1) AU2011288210B2 (ja)
BR (1) BR112013001255A2 (ja)
SG (1) SG187539A1 (ja)
WO (1) WO2012020333A1 (ja)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2014056528A1 (en) * 2012-10-10 2014-04-17 Nokia Solutions And Networks Oy Peer revival detection
SE541247C2 (en) 2016-04-04 2019-05-14 Telesteps Ab A ladder tube for a collapsible ladder and ladders including such tubes
US10154371B1 (en) * 2018-02-06 2018-12-11 T-Mobile Usa, Inc. Response at network terminal to initialization failure
WO2019155477A1 (en) * 2018-02-08 2019-08-15 Telefonaktiebolaget Lm Ericsson (Publ) A method for seamless migration of session authentication to a different stateful diameter authenticating peer
EP3881584A1 (en) * 2018-11-16 2021-09-22 Lenovo (Singapore) Pte. Ltd. Accessing a denied network resource

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003283738A (ja) * 2002-03-22 2003-10-03 Ricoh Co Ltd 画像形成装置遠隔管理用データ通信装置および画像形成装置遠隔管理システム
US20050243717A1 (en) * 2004-04-29 2005-11-03 Jeremy Stieglitz Controlling access message flow
JP2005323409A (ja) * 2002-01-11 2005-11-17 Nippon Telegr & Teleph Corp <Ntt> マルチキャスト通信システム
JP2006185389A (ja) * 2004-12-28 2006-07-13 Sony Corp 通信装置および方法、並びにプログラム
JP2010061192A (ja) * 2008-09-01 2010-03-18 Yamaha Corp 中継装置、およびプログラム

Family Cites Families (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7010727B1 (en) * 2001-06-15 2006-03-07 Nortel Networks Limited Method and system for negotiating compression techniques to be utilized in packet data communications
CN1628449B (zh) * 2002-06-20 2010-06-16 诺基亚公司 传送计费信息的方法、系统和设备
WO2004028089A1 (ja) * 2002-09-20 2004-04-01 Matsushita Electric Industrial Co., Ltd. 複数のデータ通信ネットワークを接続する 中間ネットワーク要素におけるアクセス制御
US7900240B2 (en) * 2003-05-28 2011-03-01 Citrix Systems, Inc. Multilayer access control security system
US20060130140A1 (en) * 2004-12-14 2006-06-15 International Business Machines Corporation System and method for protecting a server against denial of service attacks
US20060146825A1 (en) * 2004-12-30 2006-07-06 Padcom, Inc. Network based quality of service
US8064882B2 (en) * 2007-03-09 2011-11-22 Cisco Technology, Inc. Blacklisting of unlicensed mobile access (UMA) users via AAA policy database
CN101321382B (zh) * 2007-06-05 2011-09-21 中兴通讯股份有限公司 高速分组数据会话释放方法
US8036636B1 (en) * 2008-04-25 2011-10-11 Sprint Communications Company L.P. Access gateway record suppression
US8255994B2 (en) * 2008-08-20 2012-08-28 Sprint Communications Company L.P. Detection and suppression of short message service denial of service attacks
US7869364B2 (en) * 2008-10-27 2011-01-11 Broadsoft, Inc. SIP server overload detection and control
KR20100102026A (ko) * 2009-03-10 2010-09-20 주식회사 케이티 사용자 단말 인증 방법과 그 인증 서버 및 사용자 단말
US20100274893A1 (en) * 2009-04-27 2010-10-28 Sonus Networks, Inc. Methods and apparatus for detecting and limiting focused server overload in a network

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005323409A (ja) * 2002-01-11 2005-11-17 Nippon Telegr & Teleph Corp <Ntt> マルチキャスト通信システム
JP2003283738A (ja) * 2002-03-22 2003-10-03 Ricoh Co Ltd 画像形成装置遠隔管理用データ通信装置および画像形成装置遠隔管理システム
US20050243717A1 (en) * 2004-04-29 2005-11-03 Jeremy Stieglitz Controlling access message flow
JP2006185389A (ja) * 2004-12-28 2006-07-13 Sony Corp 通信装置および方法、並びにプログラム
JP2010061192A (ja) * 2008-09-01 2010-03-18 Yamaha Corp 中継装置、およびプログラム

Also Published As

Publication number Publication date
US8352603B2 (en) 2013-01-08
WO2012020333A1 (en) 2012-02-16
JP5941465B2 (ja) 2016-06-29
AU2011288210B2 (en) 2014-09-11
US8688836B2 (en) 2014-04-01
EP2604018A1 (en) 2013-06-19
AU2011288210A1 (en) 2013-03-28
US20130111568A1 (en) 2013-05-02
US20120042071A1 (en) 2012-02-16
BR112013001255A2 (pt) 2016-05-17
SG187539A1 (en) 2013-03-28
CN103026687A (zh) 2013-04-03

Similar Documents

Publication Publication Date Title
US20220022040A1 (en) Methods, systems, and computer readable media for mitigating 5g roaming security attacks using security edge protection proxy (sepp)
EP1987629B1 (en) Techniques for authenticating a subscriber for an access network using dhcp
US8332525B2 (en) Dynamic service groups based on session attributes
US8274895B2 (en) Dynamic management of network flows
US9112909B2 (en) User and device authentication in broadband networks
EP3151510B1 (en) Mac (l2) level authentication, security and policy control
EP1886447B1 (en) System and method for authentication of sp ethernet aggregation networks
US20150350912A1 (en) Residential service delivery based on unique residential apn
EP3151509A1 (en) Enhanced evpn mac route advertisement having mac (l2) level authentication, security and policy control
US7630386B2 (en) Method for providing broadband communication service
CN110611893B (zh) 为漫游无线用户设备扩展订户服务
JP5941465B2 (ja) 拒否された加入者局によって消費されるリソースの制限
EP3264710B1 (en) Securely transferring the authorization of connected objects
EP2926533B1 (en) Dynamic ipoe clips subscriber method and apparatus
JP4776582B2 (ja) ネットワークシステム及び集約装置
US20150341328A1 (en) Enhanced Multi-Level Authentication For Network Service Delivery

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20140530

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20150522

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20150602

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20150813

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20151027

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20160121

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20160216

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20160517

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20160520

R150 Certificate of patent or registration of utility model

Ref document number: 5941465

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees