JP2015041801A - Terminal authentication method and terminal authentication system - Google Patents

Terminal authentication method and terminal authentication system Download PDF

Info

Publication number
JP2015041801A
JP2015041801A JP2013170598A JP2013170598A JP2015041801A JP 2015041801 A JP2015041801 A JP 2015041801A JP 2013170598 A JP2013170598 A JP 2013170598A JP 2013170598 A JP2013170598 A JP 2013170598A JP 2015041801 A JP2015041801 A JP 2015041801A
Authority
JP
Japan
Prior art keywords
user terminal
terminal
edge router
user
line
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2013170598A
Other languages
Japanese (ja)
Inventor
健 大坂
Takeshi Osaka
健 大坂
俊一 坪井
Shunichi Tsuboi
俊一 坪井
寛規 井上
Hironori Inoue
寛規 井上
聡史 西山
Satoshi Nishiyama
聡史 西山
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2013170598A priority Critical patent/JP2015041801A/en
Publication of JP2015041801A publication Critical patent/JP2015041801A/en
Pending legal-status Critical Current

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

PROBLEM TO BE SOLVED: To allow for automatic re-authentication of a terminal, authenticated by connecting with one of a plurality of data circuit termination devices, by connecting with other data circuit termination device.SOLUTION: A terminal authentication system 1 includes data circuit termination devices 3a, 3b connectable with a user terminal 7, an edge router 2 for connection with the data circuit termination devices 3a, 3b, a line authentication server 4 connected with the edge router 2 and authenticating the line between the data circuit termination devices 3a, 3b and edge router 2, and a terminal authentication server 5 for authenticating the user terminal 7. The terminal authentication server 5 authenticates the user terminal 7 by an identifier combining an address prefix given to the user terminal 7, and a user address unique to the user terminal 7. The edge router 2 stores the identifier, and identifies that a packet, the transmission source of which is a unique user address included in the identifier, is the packet of the authenticated user terminal 7.

Description

本発明は、ユーザ端末を認証する端末認証方法および端末認証システムに関する。   The present invention relates to a terminal authentication method and a terminal authentication system for authenticating a user terminal.

従来、無線LAN(Local Area Network)アクセスポイントや家庭内ルータからセキュアな通信を行うため、トンネルを設定する方法が提案されている。非特許文献1に記載の技術は、ユーザが無線ネットワークに接続するときに、ネットワークの検出と登録とプロビジョニング、および、ネットワーク接続を自動化することを目的とするものである。   Conventionally, a method for setting a tunnel has been proposed in order to perform secure communication from a wireless local area network (LAN) access point or a home router. The technique described in Non-Patent Document 1 aims to automate network detection, registration, provisioning, and network connection when a user connects to a wireless network.

固定回線網では、アドレスと物理回線とを対応付ける回線認証が行われている。非特許文献2に記載の技術は、ブロードバンド・ルータを起動したのち、PPPoE(Point-to-Point Protocol over Ethernet(登録商標))によって接続を要求し、同時に認証を要求するものである。この認証情報は、RADIUS(Remote Authentication Dial In User Service)というプロトコルを使って、バックボーンにある認証サーバに送られて認証される。
IPv6(Internet Protocol version 6)ネットワークにおいて回線認証は、回線終端装置がエッジルータに接続されたときに、アドレスプリフィックスによる認証が行われる。このIPv6ネットワークにおける回線認証は、タイムアウト以外の方法では、エッジルータが記憶する低レイヤの端末識別情報が消去されないという問題があった。 In the fixed line network, line authentication for associating addresses with physical lines is performed. The technique described in Non-Patent Document 2 requests a connection by PPPoE (Point-to-Point Protocol over Ethernet (registered trademark)) after starting a broadband router and simultaneously requests authentication. This authentication information is sent to an authentication server in the backbone and authenticated using a protocol called RADIUS (Remote Authentication Dial In User Service).
In the IPv6 (Internet Protocol version 6) network, line authentication is performed using an address prefix when a line terminating device is connected to an edge router. The line authentication in the IPv6 network has a problem that the low-layer terminal identification information stored in the edge router is not erased by a method other than timeout.

「Light Radio WI-FI SOLUTION」、[online]、平成24年1月、Alcatel-Lucent、検索日[平成25年7月27日]、インターネット<URL:http://www.alcatel-lucent.com/wps/DocumentStreamerServlet?LMSG_CABINET=Docs_and_Resource_Ctr&LMSG_CONTENT_FILE=White_Papers/LightRadio_Wi-Fi_EN_TechWhitePaper.pdf>"Light Radio WI-FI SOLUTION", [online], January 2012, Alcatel-Lucent, search date [July 27, 2013], Internet <URL: http: //www.alcatel-lucent.com /wps/DocumentStreamerServlet?LMSG_CABINET=Docs_and_Resource_Ctr&LMSG_CONTENT_FILE=White_Papers/LightRadio_Wi-Fi_EN_TechWhitePaper.pdf> 高橋健太郎、「[Question6]NTTのNGNはどんなしくみ?」、[online]、2007年1月、日経NETWORK、検索日[平成25年7月27日]、インターネット<URL:http://itpro.nikkeibp.co.jp/article/COLUMN/20070125/259673/>Kentaro Takahashi, “[Question 6] How does NTT's NGN work?”, [Online], January 2007, Nikkei NETWORK, search date [July 27, 2013], Internet <URL: http: // itpro. nikkeibp.co.jp/article/COLUMN/20070125/259673/>

ユーザ端末がアドレスプリフィックスやMac(Media Access Control)アドレスなどによって識別されて認証されたならば、エッジルータは、これらの識別情報を保持して、このユーザ端末を接続する。エッジルータは、接続タイムアウトによって識別情報を消去したり、設定変更などによって識別情報を消去したりしない限り、これら識別情報を保持する。このとき、エッジルータのいずれかのVLAN(Virtual LAN)に接続されて認証された端末は、タイムアウトや設定変更により消去されない限り、同一のエッジルータの他のVLANに接続できないという問題がある。また、エッジルータは、タイムアウトや設定変更まで識別情報を保持することにより、メモリリソースを消費するという問題がある。   If the user terminal is identified and authenticated by an address prefix, a Mac (Media Access Control) address, or the like, the edge router holds the identification information and connects the user terminal. The edge router retains the identification information unless the identification information is erased due to a connection timeout or the identification information is erased due to a setting change or the like. At this time, there is a problem that a terminal that is connected to one of the VLANs (Virtual LAN) of the edge router and authenticated cannot be connected to another VLAN of the same edge router unless it is deleted due to timeout or setting change. Further, the edge router has a problem that memory resources are consumed by holding identification information until timeout or setting change.

次に、端末認証システムが、テーブルを有さない回線終端装置を備えていた場合を考える。端末認証システムが第1の回線終端装置に接続された端末を認証したのち、第2の回線終端装置に同端末を接続した場合、同端末の認証情報を第1の回線終端装置が保持しているので、端末認証システムは、同端末について二重認証であると判断する。よって、第1の回線終端装置が同端末の認証情報を消去するまで、第2の回線終端装置への同端末の接続は、認証されないという問題がある。   Next, consider a case where the terminal authentication system includes a line terminating device that does not have a table. After the terminal authentication system authenticates the terminal connected to the first line terminator, when the terminal is connected to the second line terminator, the first line terminator holds the authentication information of the terminal. Therefore, the terminal authentication system determines that double authentication is performed for the terminal. Therefore, there is a problem that the connection of the terminal to the second line termination device is not authenticated until the first line termination device erases the authentication information of the terminal.

本発明は、前記した問題を解決し、複数の回線終端装置のうちの1つに接続して認証した端末を他の回線終端装置に接続したならば、自動で再認証可能な端末認証方法および端末認証システムを提供することを課題とする。   The present invention solves the above-described problem, and a terminal authentication method capable of automatically re-authenticating if a terminal connected to one of a plurality of line terminators is authenticated to another line terminator, and It is an object to provide a terminal authentication system.

前記課題を解決するため、請求項1に記載の発明は、ユーザ端末と接続可能な回線終端装置と、前記回線終端装置に接続されるエッジルータと、前記エッジルータに接続され、前記回線終端装置と前記エッジルータ間の回線を認証する回線認証サーバと、前記ユーザ端末を認証する端末認証サーバと、を備える端末認証システムが実行する端末認証方法であって、前記端末認証サーバは、前記ユーザ端末に付与されたアドレスプリフィックスと、前記ユーザ端末に固有のユーザアドレスとを組み合わせた識別子により、前記ユーザ端末を認証し、前記エッジルータは、前記識別子を記憶し、当該識別子が含む固有のユーザアドレスが送信元であるパケットが、認証済みの前記ユーザ端末のパケットであることを識別する、ことを特徴とする端末認証方法とした。   In order to solve the above problem, the invention according to claim 1 is directed to a line termination device connectable to a user terminal, an edge router connected to the line termination device, and the line termination device connected to the edge router. And a terminal authentication method executed by a terminal authentication system comprising: a line authentication server for authenticating a line between the edge router and a terminal authentication server for authenticating the user terminal, wherein the terminal authentication server includes the user terminal The user terminal is authenticated by an identifier obtained by combining an address prefix given to the user terminal and a user address unique to the user terminal, the edge router stores the identifier, and a unique user address included in the identifier is The terminal that identifies that the packet that is the transmission source is a packet of the authenticated user terminal. And the authentication method.

このようにすることで、エッジルータは、端末認証サーバで認証することなく、このパケットを送信したユーザ端末を自動で再認証し、トラヒックをインターネットに疎通させることができる。   By doing so, the edge router can automatically re-authenticate the user terminal that transmitted this packet without authenticating with the terminal authentication server, and can communicate the traffic to the Internet.

請求項2に記載の発明では、前記ユーザ端末に固有のユーザアドレスとは、IPv6(Internet Protocol version 6)のインタフェースID(Identification)またはMac(Media Access Control)アドレスである、ことを特徴とする請求項1に記載の端末認証方法とした。   In the second aspect of the present invention, the user address unique to the user terminal is an interface ID (Identification) of IPv6 (Internet Protocol version 6) or a Mac (Media Access Control) address. The terminal authentication method according to item 1 is adopted.

このようにすることで、IPv6ネットワークに限られず、IPv4(Internet Protocol version 4)ネットワークにも本発明を適用することができる。   In this way, the present invention can be applied not only to an IPv6 network but also to an IPv4 (Internet Protocol version 4) network.

請求項3に記載の発明では、前記端末認証システムは、当該エッジルータとインターネットとを接続するゲートウェイを更に備え、前記端末認証サーバは、前記ユーザ端末を認証したならば、前記識別子の固有のユーザアドレスを含むトラヒックを、前記ゲートウェイを介してインターネットに疎通させる、ことを特徴とする請求項1または請求項2に記載の端末認証方法とした。   According to a third aspect of the present invention, the terminal authentication system further includes a gateway that connects the edge router and the Internet, and the terminal authentication server authenticates the user terminal when the user terminal is authenticated. The terminal authentication method according to claim 1 or 2, wherein traffic including an address is communicated to the Internet via the gateway.

このようにすることで、端末認証システムは、認証したユーザ端末のトラヒックを、ゲートウェイを介してインターネットに疎通させることができる。   By doing in this way, the terminal authentication system can communicate the traffic of the authenticated user terminal to the Internet via the gateway.

請求項4に記載の発明では、前記回線終端装置は、前記識別子の情報の保持時間を超えた際に当該識別子の情報を削除し、その旨を前記エッジルータに通知する、ことを特徴とする請求項3に記載の端末認証方法とした。   The invention according to claim 4 is characterized in that the line terminating device deletes the information of the identifier when the retention time of the information of the identifier is exceeded, and notifies the edge router to that effect. The terminal authentication method according to claim 3.

このようにすることで、エッジルータは、不要な認証情報を削除して、自身のメモリを解放することができる。   By doing so, the edge router can delete unnecessary authentication information and release its own memory.

請求項5に記載の発明では、前記エッジルータは、第1のVLANにおける前記識別子の情報を保持している状態で、第2のVLANを介して前記ユーザ端末のパケットを検知したならば、前記第1のVLANを介して前記ユーザ端末の存在を確認する、ことを特徴とする請求項3に記載の端末認証方法とした。   In the invention according to claim 5, if the edge router detects the packet of the user terminal via the second VLAN while holding the identifier information in the first VLAN, the edge router The terminal authentication method according to claim 3, wherein the presence of the user terminal is confirmed via the first VLAN.

このようにすることで、エッジルータは、端末認証サーバに認証要求を送信することなく、このユーザ端末を再認証することができる。   By doing in this way, the edge router can re-authenticate this user terminal, without transmitting an authentication request to a terminal authentication server.

請求項6に記載の発明では、前記エッジルータは、前記第1のVLANにおける前記識別子の情報が保持されている状態で、前記第2のVLANを介して前記ユーザ端末のパケットを検知したならば、前記第1のVLANにおける前記ユーザ端末の情報を削除する、ことを特徴とする請求項5に記載の端末認証方法とした。   In the invention according to claim 6, if the edge router detects a packet of the user terminal via the second VLAN in a state where the information of the identifier in the first VLAN is held. 6. The terminal authentication method according to claim 5, wherein information on the user terminal in the first VLAN is deleted.

このようにすることで、エッジルータは、このユーザ端末の情報を格納していた自身の物理リソースを解放することができる。   By doing in this way, the edge router can release its own physical resources storing the user terminal information.

請求項7に記載の発明では、第1のエッジルータに前記識別子の情報が保持されている状態で、第2のエッジルータが前記ユーザ端末のパケットを検知したならば、前記端末認証サーバは、前記ユーザ端末の認証を再度行い、前記第1のエッジルータは、前記ユーザ端末の情報を削除する、ことを特徴とする請求項3に記載の端末認証方法とした。   In the invention according to claim 7, when the second edge router detects the packet of the user terminal in a state where the information of the identifier is held in the first edge router, the terminal authentication server The terminal authentication method according to claim 3, wherein the user terminal is authenticated again, and the first edge router deletes the information on the user terminal.

このようにすることで、端末認証サーバは、この通信パケットが含んだユーザアドレスを自身のデータベースと照合することなく、このユーザ端末を認証することができる。また、エッジルータは、このユーザ端末の情報を格納していた自身の物理リソースを解放することができる。   By doing in this way, the terminal authentication server can authenticate this user terminal, without collating the user address contained in this communication packet with its own database. Further, the edge router can release its own physical resource storing the user terminal information.

請求項8に記載の発明では、ユーザ端末と接続可能な回線終端装置と、前記回線終端装置に接続されるエッジルータと、前記エッジルータに接続され、前記回線終端装置と前記エッジルータ間の回線を認証する回線認証サーバと、前記ユーザ端末を認証し、前記ユーザ端末に付与されたアドレスプリフィックスと、前記ユーザ端末に固有のユーザアドレスとを組み合わせた識別子により、前記ユーザ端末を認証する端末認証サーバと、を備え、前記エッジルータは、前記識別子を記憶する記憶部と、当該識別子の固有のユーザアドレスが送信元であるパケットが、認証済みの前記ユーザ端末のパケットであることを識別するパケット識別部と、を備えることを特徴とする端末認証システムとした。   According to an eighth aspect of the present invention, a line termination device connectable to a user terminal, an edge router connected to the line termination device, a line between the line termination device and the edge router connected to the edge router A line authentication server that authenticates the user terminal, and a terminal authentication server that authenticates the user terminal using an identifier that combines an address prefix assigned to the user terminal and a user address unique to the user terminal. The edge router includes a storage unit that stores the identifier, and a packet identifier that identifies that a packet whose source is a unique user address of the identifier is a packet of the authenticated user terminal And a terminal authentication system.

このようにすることで、エッジルータのパケット識別部は、端末認証サーバで認証することなく、このユーザ端末を自動で再認証してトラヒックをインターネットに疎通させることができる。   By doing in this way, the packet identification part of an edge router can re-authenticate this user terminal automatically without authenticating with a terminal authentication server, and can make traffic communicate with the internet.

本発明によれば、複数の回線終端装置のうちの1つに接続して認証した端末を他の回線終端装置に接続したならば、自動で再認証可能な端末認証方法および端末認証システムを提供することができる。   According to the present invention, there is provided a terminal authentication method and a terminal authentication system capable of automatically re-authenticating when a terminal connected to one of a plurality of line terminators is authenticated to another line terminator. can do.

第1の実施形態における端末認証システムを示す概略の構成図である。It is a schematic block diagram which shows the terminal authentication system in 1st Embodiment. 第1の実施形態における回線認証動作を示すシーケンス図である。It is a sequence diagram which shows the line | wire authentication operation | movement in 1st Embodiment. 第1の実施形態におけるハンドオーバ動作を示すシーケンス図である。It is a sequence diagram which shows the hand-over operation | movement in 1st Embodiment. 第1の実施形態における回線終端装置のタイムアウト動作を示すシーケンス図である。It is a sequence diagram which shows the time-out operation | movement of the line termination apparatus in 1st Embodiment. 第1の実施形態の変形例におけるハンドオーバ動作を示すシーケンス図である。It is a sequence diagram which shows the hand-over operation in the modification of 1st Embodiment. 第2の実施形態における端末認証システムを示す概略の構成図である。It is a schematic block diagram which shows the terminal authentication system in 2nd Embodiment. 第2の実施形態におけるハンドオーバ動作を示すシーケンス図である。It is a sequence diagram which shows the hand-over operation in 2nd Embodiment. 第2の実施形態の変形例におけるハンドオーバ動作を示すシーケンス図である。It is a sequence diagram which shows the hand-over operation | movement in the modification of 2nd Embodiment.

次に、本発明を実施するための形態(「実施形態」という)について、適宜図面を参照しながら詳細に説明する。
(第1の実施形態)
図1は、第1の実施形態における端末認証システムを示す概略の構成図である。
図1に示すように、端末認証システム1は、エッジルータ2と、回線終端装置3a,3bと、回線認証サーバ4と、端末認証サーバ5と、ゲートウェイ6とを備え、インターネット9に接続されている。この端末認証システム1は、ユーザ端末7を認証し、トラヒックをインターネット9に疎通させるものである。この端末認証システム1において各部は、IPv6の通信パケットで相互に通信可能である。 Next, modes for carrying out the present invention (referred to as “embodiments”) will be described in detail with reference to the drawings as appropriate.
(First embodiment)
FIG. 1 is a schematic configuration diagram showing a terminal authentication system according to the first embodiment.
As shown in FIG. 1, the terminal authentication system 1 includes an edge router 2, line terminators 3 a and 3 b, a line authentication server 4, a terminal authentication server 5, and a gateway 6, and is connected to the Internet 9. Yes. This terminal authentication system 1 authenticates a user terminal 7 and allows traffic to communicate with the Internet 9. In the terminal authentication system 1, the units can communicate with each other using IPv6 communication packets.

回線終端装置3a,3bは、例えば、無線通信機能と有線通信機能とを備え、ユーザの宅内に設置されて、ユーザ端末7と接続可能である。回線終端装置3a,3bは、ユーザ端末7を加入者回線に接続するものである。
エッジルータ2は、加入者回線を介して回線終端装置3a,3bと接続されており、加入者回線や、この加入者回線に接続されたユーザ端末7を、ゲートウェイ6に接続するものである。エッジルータ2は、情報を格納する記憶部21と、パケット識別部22と、複数のVLAN23a,23bとを備えている。VLAN23a(第1のVLAN)には、回線終端装置3aが論理的に接続されている。VLAN23b(第2のVLAN)には、回線終端装置3bが論理的に接続されている。これらVLAN23aとVLAN23bとは、それぞれ異なるアドレスプリフィックスで運用されている。 The line termination devices 3a and 3b have, for example, a wireless communication function and a wired communication function, are installed in the user's home, and can be connected to the user terminal 7. The line terminators 3a and 3b are for connecting the user terminal 7 to a subscriber line.
The edge router 2 is connected to the line terminators 3a and 3b via subscriber lines, and connects the subscriber line and the user terminal 7 connected to the subscriber line to the gateway 6. The edge router 2 includes a storage unit 21 that stores information, a packet identification unit 22, and a plurality of VLANs 23a and 23b. The line termination device 3a is logically connected to the VLAN 23a (first VLAN). The line termination device 3b is logically connected to the VLAN 23b (second VLAN). The VLAN 23a and the VLAN 23b are operated with different address prefixes.

回線認証サーバ4は、エッジルータ2と通信可能に接続されており、例えば、回線終端装置3aの接続要求に応じて、回線終端装置3aとエッジルータ2間の加入者回線を認証するものである。   The line authentication server 4 is communicably connected to the edge router 2 and, for example, authenticates a subscriber line between the line termination device 3a and the edge router 2 in response to a connection request from the line termination device 3a. .

端末認証サーバ5は、加入者回線に接続されたユーザ端末7を認証し、このユーザ端末7のトラヒックをインターネット9に疎通させるものである。端末認証サーバ5は、ユーザ端末7に付与されたアドレスプリフィックスと、ユーザ端末7に固有のユーザアドレスとを組み合わせた識別子により、ユーザ端末7を認証する。ここでユーザ端末7に固有のユーザアドレスとは、IPv6のインタフェースIDである。
ゲートウェイ6は、例えば、他事業者網などであるインターネット9と、エッジルータ2との間に接続されて、端末認証サーバ5の指示に応じて、ユーザ端末7のトラヒックをインターネット9に疎通させるか否かを切り替えるものである。
ユーザ端末7は、無線通信機能を備え、回線終端装置3a,3bのいずれかと無線で接続可能である。図1に示すように、ユーザ端末7は、回線終端装置3aに無線で接続したのちに、このユーザ端末7の所有者の移動によってハンドオーバして、回線終端装置3bに接続している。しかし、これに限られず、ユーザ端末7は、有線通信機能を備え、回線終端装置3a,3bのいずれかと有線で接続可能であってもよい。このとき、回線終端装置3aに有線接続されていたユーザ端末7は、その接続を解除され、新たに回線終端装置3bに有線接続される。 The terminal authentication server 5 authenticates the user terminal 7 connected to the subscriber line and allows the traffic of the user terminal 7 to communicate with the Internet 9. The terminal authentication server 5 authenticates the user terminal 7 with an identifier that combines an address prefix assigned to the user terminal 7 and a user address unique to the user terminal 7. Here, the user address unique to the user terminal 7 is an IPv6 interface ID.
For example, the gateway 6 is connected between the edge router 2 and the Internet 9, which is another provider's network, etc., and allows the traffic of the user terminal 7 to communicate with the Internet 9 in response to an instruction from the terminal authentication server 5. Whether or not to switch.
The user terminal 7 has a wireless communication function and can be wirelessly connected to either the line termination device 3a or 3b. As shown in FIG. 1, after the user terminal 7 is wirelessly connected to the line termination device 3a, the user terminal 7 is handed over by the movement of the owner of the user terminal 7 and connected to the line termination device 3b. However, the present invention is not limited to this, and the user terminal 7 may have a wired communication function and be connectable to any one of the line termination devices 3a and 3b by wire. At this time, the user terminal 7 that has been wire-connected to the line termination device 3a is released from the connection and newly connected to the line termination device 3b.

図2は、第1の実施形態における回線認証動作を示すシーケンス図である。
シーケンスQ10a〜Q14aの動作は、回線終端装置3aに係る回線認証のシーケンスを示している。シーケンスQ10b〜Q14bの動作は、回線終端装置3bに係る回線認証のシーケンスを示している。
シーケンスQ10aにおいて、回線終端装置3aは、回線認証要求をエッジルータ2のVLAN23aへ送信する。この回線認証要求は、発信者IDを含むDHCP(Dynamic Host Configuration Protocol)リクエストである。
シーケンスQ11aにおいて、エッジルータ2は、この回線認証要求を回線認証サーバ4へ中継する。
シーケンスQ12aにおいて、回線認証サーバ4は、回線認証要求が含んだ発信者IDを自身のデータベース(不図示)と照合し、その要求を認証するか否かを判断する。このシーケンスQ12aにおいて回線認証サーバ4は、この回線認証要求を認証して、アドレスプリフィックスを払い出す。 FIG. 2 is a sequence diagram showing a line authentication operation in the first embodiment.
The operations of the sequences Q10a to Q14a indicate a line authentication sequence related to the line terminating device 3a. The operations of the sequences Q10b to Q14b show a line authentication sequence related to the line terminating device 3b.
In sequence Q10a, the line terminating device 3a transmits a line authentication request to the VLAN 23a of the edge router 2. This line authentication request is a DHCP (Dynamic Host Configuration Protocol) request including a caller ID.
In sequence Q11a, the edge router 2 relays this line authentication request to the line authentication server 4.
In sequence Q12a, the line authentication server 4 compares the caller ID included in the line authentication request with its own database (not shown), and determines whether or not to authenticate the request. In this sequence Q12a, the line authentication server 4 authenticates this line authentication request and issues an address prefix.

シーケンスQ13aにおいて、回線認証サーバ4は、このアドレスプリフィックスを含むDHCPリプライをエッジルータ2へ送信する。
シーケンスQ14aにおいて、エッジルータ2のVLAN23aは、このアドレスプリフィックスを含むDHCPリプライを回線終端装置3aへ中継する。これにより、回線終端装置3aは、ユーザ端末7が接続されたときに、自身のアドレスプリフィックスを払い出して、このユーザ端末7に係る回線を認証することができるので、以降、エッジルータ2を介して通信させることが可能である。回線終端装置3aは、ユーザ端末7に係る回線を認証すると共に、その認証情報を不図示の記憶部に記憶する。
シーケンスQ10b〜Q14bの動作は、シーケンスQ10a〜Q14aの動作と同様である。この動作により、回線終端装置3bは、自身のアドレスプリフィックスを払い出して回線を認証することができるので、以降、エッジルータ2を介して通信可能である。 In sequence Q13a, the line authentication server 4 transmits a DHCP reply including this address prefix to the edge router 2.
In sequence Q14a, the VLAN 23a of the edge router 2 relays the DHCP reply including this address prefix to the line terminating device 3a. Thus, when the user terminal 7 is connected, the line terminating device 3a can issue its own address prefix and authenticate the line related to the user terminal 7. It is possible to communicate. The line terminating device 3a authenticates the line related to the user terminal 7 and stores the authentication information in a storage unit (not shown).
The operations of sequences Q10b to Q14b are the same as the operations of sequences Q10a to Q14a. With this operation, the line terminating device 3b can authenticate the line by issuing its own address prefix, and thereafter can communicate via the edge router 2.

図3は、第1の実施形態におけるハンドオーバ動作を示すシーケンス図である。
図3に示すハンドオーバ動作の当初において、ユーザ端末7は、回線終端装置3aの配下であり、その後、シーケンスQ41において回線終端装置3bの配下にハンドオーバする。以下の図では、ユーザ端末7のことを、単に「端末」と記載している場合がある。
シーケンスQ20〜Q30の動作は、通信パケットによってユーザ端末7を認証して、そのトラヒックをインターネット9に疎通させるシーケンスを示している。このユーザ端末7は、回線終端装置3bから、図2で示す回線認証動作で払い出されたアドレスプリフィックスの払い出しを受けている。
シーケンスQ20において、ユーザ端末7は、回線認証動作で払い出されたアドレスプリフィックスと下位ビットであるユーザアドレスとを繋げたIPアドレスを含む認証要求を、回線終端装置3aへ送信する。シーケンスQ20におけるIPアドレスは、IPv6であり、下位ビットであるユーザアドレスは、ユーザ端末7が備える固有のユーザアドレスである。 FIG. 3 is a sequence diagram illustrating a handover operation according to the first embodiment.
At the beginning of the handover operation shown in FIG. 3, the user terminal 7 is under the line termination device 3a, and then hands over to the line termination device 3b in sequence Q41. In the following drawings, the user terminal 7 may be simply described as “terminal”.
The operations of the sequences Q20 to Q30 show a sequence for authenticating the user terminal 7 with a communication packet and communicating the traffic with the Internet 9. The user terminal 7 receives an address prefix issued by the line authentication operation shown in FIG. 2 from the line terminating device 3b.
In sequence Q20, the user terminal 7 transmits an authentication request including an IP address obtained by connecting the address prefix issued in the line authentication operation and the user address as the lower bits to the line terminating device 3a. The IP address in the sequence Q20 is IPv6, and the user address that is the lower bit is a unique user address included in the user terminal 7.

シーケンスQ21において、回線終端装置3aは、この認証要求を、エッジルータ2へ中継する。
シーケンスQ22において、エッジルータ2は、このVLAN23aと関連づけて、この認証要求が含むユーザアドレスを自身の記憶部21(図1参照)に記憶する。
シーケンスQ23において、エッジルータ2のVLAN23aは、この認証要求を端末認証サーバ5へ中継する。
シーケンスQ24において、端末認証サーバ5は、この認証要求が含んだユーザアドレスを自身のデータベース(不図示)と照合し、このユーザアドレスを含むパケットを疎通許可できるか否かを判断する。このシーケンスQ24において端末認証サーバ5は、このユーザアドレスを含むパケットを疎通許可するように、自身を設定する。
シーケンスQ25において、端末認証サーバ5は、認証OKをエッジルータ2のVLAN23aへ送信する。
シーケンスQ26において、端末認証サーバ5は、疎通許可をゲートウェイ6へ送信する。 In sequence Q21, the line terminating device 3a relays this authentication request to the edge router 2.
In sequence Q22, the edge router 2 stores the user address included in the authentication request in its own storage unit 21 (see FIG. 1) in association with the VLAN 23a.
In sequence Q23, the VLAN 23a of the edge router 2 relays this authentication request to the terminal authentication server 5.
In sequence Q24, the terminal authentication server 5 compares the user address included in the authentication request with its own database (not shown), and determines whether or not communication including the packet including the user address can be permitted. In this sequence Q24, the terminal authentication server 5 sets itself so as to permit communication of a packet including this user address.
In sequence Q25, the terminal authentication server 5 transmits authentication OK to the VLAN 23a of the edge router 2.
In sequence Q26, the terminal authentication server 5 transmits a communication permission to the gateway 6.

シーケンスQ27において、エッジルータ2のVLAN23aは、認証OKを受信したので、以降は、このユーザアドレスを含むパケットを疎通許可するように、自身を設定する。
シーケンスQ28において、エッジルータ2のVLAN23aは、認証情報を生成する。
シーケンスQ29において、エッジルータ2のVLAN23aは、認証OKを回線終端装置3aへ送信する。
シーケンスQ30において、回線終端装置3aは、認証OKをユーザ端末7へ中継する。以降、ユーザ端末7は、自身のトラヒックをインターネット9に疎通させることができる。 In sequence Q27, the VLAN 23a of the edge router 2 receives the authentication OK, and thereafter sets itself so as to permit communication of packets including this user address.
In sequence Q28, the VLAN 23a of the edge router 2 generates authentication information.
In sequence Q29, the VLAN 23a of the edge router 2 transmits authentication OK to the line terminating device 3a.
In sequence Q30, the line terminating device 3a relays the authentication OK to the user terminal 7. Thereafter, the user terminal 7 can communicate its traffic to the Internet 9.

シーケンスQ40〜Q47の動作は、ユーザ端末7をハンドオーバした後に、そのトラヒックをインターネット9に疎通させるシーケンスを示している。
シーケンスQ40において、ユーザ端末7は、回線終端装置3aの配下から外れる。これにより、回線終端装置3aは、このユーザ端末7と通信不能となる。
シーケンスQ41において、ユーザ端末7は、ハンドオーバにより、回線終端装置3bの配下となる。これにより、回線終端装置3bは、ハンドオーバしたユーザ端末7に、自身のアドレスプリフィックスを払い出して、このユーザ端末7に係る回線を認証するので、以降、エッジルータ2を介して通信させることが可能である。回線終端装置3bは、ユーザ端末7に係る回線を認証すると共に、その認証情報を不図示の記憶部に記憶する。 The operations of the sequences Q40 to Q47 show a sequence for communicating the traffic to the Internet 9 after the user terminal 7 is handed over.
In the sequence Q40, the user terminal 7 is removed from the line termination device 3a. As a result, the line terminating device 3a cannot communicate with the user terminal 7.
In sequence Q41, the user terminal 7 is under the control of the line terminating device 3b by the handover. As a result, the line terminating device 3b issues its own address prefix to the handed over user terminal 7 and authenticates the line related to the user terminal 7, so that communication can be performed via the edge router 2 thereafter. is there. The line terminating device 3b authenticates the line related to the user terminal 7 and stores the authentication information in a storage unit (not shown).

シーケンスQ42において、ユーザ端末7は、インターネット9における任意のノードを送信先とする通信パケットを、回線終端装置3bへ送信する。
シーケンスQ43において、回線終端装置3bは、この通信パケットを、エッジルータ2へ中継する。
シーケンスQ44において、エッジルータ2のVLAN23bは、この通信パケットが含むアドレスプリフィックスとユーザアドレスとを、VLAN23aに確認する。これにより、端末認証システム1のエッジルータ2は、端末認証サーバ5に認証要求を送信することなく、このユーザ端末7を再認証することができる。
シーケンスQ45において、エッジルータ2のVLAN23bは、この通信パケットが含むアドレスプリフィックスおよびユーザアドレスが、回線終端装置3bに払い出したアドレスプリフィックスおよび既にVLAN23aで認証されたユーザーアドレスと同一であるため、ハンドオーバを許容して認証OKと判断する。これにより、エッジルータ2は、端末認証サーバ5で認証することなく、このユーザ端末7を自動で再認証して、そのトラヒックをインターネット9に疎通させることができる。 In sequence Q42, the user terminal 7 transmits a communication packet whose destination is an arbitrary node in the Internet 9 to the line terminating device 3b.
In sequence Q43, the line terminating device 3b relays this communication packet to the edge router 2.
In sequence Q44, the VLAN 23b of the edge router 2 confirms the address prefix and the user address included in the communication packet with the VLAN 23a. Thereby, the edge router 2 of the terminal authentication system 1 can re-authenticate the user terminal 7 without transmitting an authentication request to the terminal authentication server 5.
In sequence Q45, the VLAN 23b of the edge router 2 allows the handover because the address prefix and user address included in this communication packet are the same as the address prefix issued to the line termination device 3b and the user address already authenticated by the VLAN 23a. It is determined that the authentication is OK. As a result, the edge router 2 can automatically re-authenticate the user terminal 7 without authenticating with the terminal authentication server 5, and can communicate the traffic with the Internet 9.

シーケンスQ46において、エッジルータ2のVLAN23bは、認証情報を生成する。
シーケンスQ47において、エッジルータ2のVLAN23bは、シーケンスQ43において受信した通信パケットを、ゲートウェイ6へ送信する。この通信パケットは、ゲートウェイ6を介して、インターネット9上の宛先ノードに転送される。ユーザ端末7がハンドオーバにより、認証元のVLAN23aから他のVLAN23bの配下になったときでも、端末認証システム1は、明示的な認証要求無しに、ユーザ端末7のトラヒックをゲートウェイ6を介してインターネット9に疎通させることができる。
シーケンスQ48において、エッジルータ2のVLAN23aは、認証情報を削除する。これにより、エッジルータ2は、この認証情報を格納していた自身の物理リソースを解放することができる。
以降、ユーザ端末7は、自身のトラヒックをインターネット9に疎通させることができる。 In sequence Q46, the VLAN 23b of the edge router 2 generates authentication information.
In sequence Q47, the VLAN 23b of the edge router 2 transmits the communication packet received in sequence Q43 to the gateway 6. This communication packet is transferred to the destination node on the Internet 9 via the gateway 6. Even when the user terminal 7 is subordinated to another VLAN 23b from the authentication source VLAN 23a by the handover, the terminal authentication system 1 transmits the traffic of the user terminal 7 through the gateway 6 via the gateway 6 without an explicit authentication request. Can be communicated to.
In sequence Q48, the VLAN 23a of the edge router 2 deletes the authentication information. Thereby, the edge router 2 can release its own physical resource storing the authentication information.
Thereafter, the user terminal 7 can communicate its traffic to the Internet 9.

図4は、第1の実施形態における回線終端装置のタイムアウト動作を示すシーケンス図である。
このタイムアウト動作の実行前は、ユーザ端末7が認証され、トラヒックをインターネット9に疎通させている状態である。この状態において、例えば、ユーザ端末7が検知できなくなった場合に、回線終端装置3aとエッジルータ2とは、このユーザ端末7の認証情報を削除する。
シーケンスQ50において、ユーザ端末7は、電源オフにより、回線終端装置3aの配下から外れる。 FIG. 4 is a sequence diagram showing a time-out operation of the line terminating device in the first embodiment.
Before this time-out operation is executed, the user terminal 7 is authenticated and traffic is communicated with the Internet 9. In this state, for example, when the user terminal 7 cannot be detected, the line terminating device 3a and the edge router 2 delete the authentication information of the user terminal 7.
In sequence Q50, the user terminal 7 is removed from the subordinate of the line terminating device 3a when the power is turned off.

シーケンスQ51は、シーケンスQ50から所定のタイムアウト時間が経過したときである。このシーケンスQ51において、回線終端装置3aは、このユーザ端末7の認証情報を削除する。これにより、回線終端装置3aは、不要な認証情報を削除して、自身のメモリを解放することができる。
シーケンスQ52において、回線終端装置3aは、このユーザ端末7の認証情報の削除通知を、エッジルータ2へ送信する。
シーケンスQ53において、エッジルータ2は、このユーザ端末7の認証情報を削除し、図4の処理を終了する。これにより、エッジルータ2は、不要な認証情報を削除して、自身のメモリを解放することができる。 Sequence Q51 is when a predetermined timeout time has elapsed from sequence Q50. In this sequence Q51, the line terminating device 3a deletes the authentication information of the user terminal 7. Thereby, the line termination device 3a can delete unnecessary authentication information and release its own memory.
In sequence Q52, the line terminating device 3a transmits the authentication information deletion notification of the user terminal 7 to the edge router 2.
In sequence Q53, the edge router 2 deletes the authentication information of the user terminal 7 and ends the process of FIG. Thereby, the edge router 2 can delete unnecessary authentication information and release its own memory.

図5は、第1の実施形態の変形例におけるハンドオーバ動作を示すシーケンス図である。
このハンドオーバ動作の実行前は、ユーザ端末7が認証されて自身のトラヒックをインターネット9に疎通させている状態である。
シーケンスQ40,Q41の動作は、図3に示すシーケンスQ40,Q41の動作と同様である。 FIG. 5 is a sequence diagram illustrating a handover operation in a modification of the first embodiment.
Before this handover operation is executed, the user terminal 7 is authenticated and communicates its own traffic to the Internet 9.
The operations of sequences Q40 and Q41 are the same as the operations of sequences Q40 and Q41 shown in FIG.

シーケンスQ60おいて、ユーザ端末7は、自らの認証を要求する認証要求を、回線終端装置3bへ送信する。
シーケンスQ61において、回線終端装置3bは、この認証要求を、エッジルータ2へ中継する。
シーケンスQ62において、エッジルータ2のVLAN23bは、この認証要求のパケットが含むアドレスプリフィックスとユーザアドレスとを、VLAN23aに確認する。
シーケンスQ63において、エッジルータ2のVLAN23bは、この認証要求パケットが含むアドレスプリフィックスおよびユーザアドレスとが、回線終端装置3bに払い出したアドレスプリフィックスおよび既にVLAN23aで認証されたユーザーアドレスと同一であるため、ハンドオーバを許容して認証OKと判断する。これにより、エッジルータ2のVLAN23bは、この認証要求パケットを端末認証サーバ5へ送信することなく、ユーザ端末7を認証することができる。 In sequence Q60, the user terminal 7 transmits an authentication request for requesting its own authentication to the line terminating device 3b.
In sequence Q61, the line terminating device 3b relays this authentication request to the edge router 2.
In sequence Q62, the VLAN 23b of the edge router 2 confirms the address prefix and the user address included in the authentication request packet with the VLAN 23a.
In sequence Q63, since the VLAN 23b of the edge router 2 has the same address prefix and user address included in this authentication request packet as the address prefix issued to the line terminating device 3b and the user address already authenticated by the VLAN 23a, handover is performed. And is determined to be OK. As a result, the VLAN 23 b of the edge router 2 can authenticate the user terminal 7 without transmitting this authentication request packet to the terminal authentication server 5.

シーケンスQ64において、エッジルータ2のVLAN23bは、認証情報を生成する。ユーザ端末7は、ハンドオーバにより、認証元のVLAN23aから他のVLAN23bの配下になったとき、明示的な認証要求によっても、ユーザ端末7のトラヒックをインターネット9に疎通させることができる。
シーケンスQ65において、エッジルータ2のVLAN23aは、認証情報を削除する。これにより、この認証情報に係るエッジルータ2の物理リソースを解放することができる。 In sequence Q64, the VLAN 23b of the edge router 2 generates authentication information. The user terminal 7 can communicate the traffic of the user terminal 7 to the Internet 9 even by an explicit authentication request when the user terminal 7 is subordinate to another VLAN 23b from the authentication source VLAN 23a.
In sequence Q65, the VLAN 23a of the edge router 2 deletes the authentication information. As a result, the physical resources of the edge router 2 related to the authentication information can be released.

シーケンスQ66において、エッジルータ2のVLAN23bは、認証OKの応答を回線終端装置3bへ送信する。
シーケンスQ67において、回線終端装置3bは、認証OKの応答をユーザ端末7へ中継する。
以降、ユーザ端末7は、自身のトラヒックをインターネット9に疎通させることができる。 In sequence Q66, the VLAN 23b of the edge router 2 transmits an authentication OK response to the line terminating device 3b.
In sequence Q67, the line terminating device 3b relays the authentication OK response to the user terminal 7.
Thereafter, the user terminal 7 can communicate its traffic to the Internet 9.

(第2の実施形態)
図6は、第2の実施形態における端末認証システム1Aを示す概略の構成図である。図1に示す第1の実施形態の端末認証システム1と同一の要素には同一の符号を付与している。
図6に示すように、第2の実施形態の端末認証システム1Aは、第1の実施形態の端末認証システム1とは異なり、複数のエッジルータ2c、2dを備え、それらには回線終端装置3c,3dがそれぞれ接続されている。エッジルータ2cは、第1の実施形態と同様に、記憶部21cとパケット識別部22cとを備えている。エッジルータ2dは、第1の実施形態と同様に、記憶部21dとパケット識別部22dとを備えている。
第2の実施形態の端末認証システム1Aは、第1の実施形態とは異なる端末認証サーバ5Aを備えている。それ以外は、第1の実施形態の端末認証システム1と同様に構成されている。
ユーザ端末7は、異なるエッジルータ2dに係る回線終端装置3dにハンドオーバしても、第1の実施形態と同様に、自身のトラヒックをインターネット9に疎通させることができる。 (Second Embodiment)
FIG. 6 is a schematic configuration diagram illustrating a terminal authentication system 1A according to the second embodiment. The same elements as those in the terminal authentication system 1 according to the first embodiment shown in FIG.
As shown in FIG. 6, unlike the terminal authentication system 1 of the first embodiment, the terminal authentication system 1A of the second embodiment includes a plurality of edge routers 2c and 2d, which include a line termination device 3c. , 3d are connected to each other. As in the first embodiment, the edge router 2c includes a storage unit 21c and a packet identification unit 22c. As in the first embodiment, the edge router 2d includes a storage unit 21d and a packet identification unit 22d.
A terminal authentication system 1A according to the second embodiment includes a terminal authentication server 5A that is different from the first embodiment. Other than that, it is comprised similarly to the terminal authentication system 1 of 1st Embodiment.
Even if the user terminal 7 is handed over to the line termination device 3d related to the different edge router 2d, the user terminal 7 can communicate its own traffic to the Internet 9 as in the first embodiment.

図7は、第2の実施形態におけるハンドオーバ動作を示すシーケンス図である。
図7に示すハンドオーバ動作の当初において、ユーザ端末7は、回線終端装置3cの配下であり、その後、シーケンスQ91においてハンドオーバして回線終端装置3dの配下となる。
シーケンスQ70〜Q80の動作は、通信パケットによってユーザ端末7を認証して、そのトラヒックをインターネット9に疎通させるシーケンスを示している。
シーケンスQ70において、ユーザ端末7は、回線認証動作で払い出されたアドレスプリフィックスと下位ビットであるユーザアドレスとを繋げたIPアドレスを含む認証要求を、回線終端装置3cへ送信する。シーケンスQ70におけるIPアドレスは、IPv6であり、下位ビットであるユーザアドレスは、ユーザ端末7が備える固有のユーザアドレスである。 FIG. 7 is a sequence diagram illustrating a handover operation according to the second embodiment.
At the beginning of the handover operation shown in FIG. 7, the user terminal 7 is under the line termination device 3c, and then handed over in sequence Q91 to be under the line termination device 3d.
The operations of the sequences Q70 to Q80 show a sequence for authenticating the user terminal 7 with a communication packet and communicating the traffic with the Internet 9.
In sequence Q70, the user terminal 7 transmits an authentication request including an IP address obtained by connecting the address prefix issued in the line authentication operation and the user address which is the lower bit to the line terminating device 3c. The IP address in the sequence Q70 is IPv6, and the user address that is the lower bit is a unique user address provided in the user terminal 7.

シーケンスQ71において、回線終端装置3cは、この認証要求を、エッジルータ2cへ中継する。
シーケンスQ72において、エッジルータ2cは、この認証要求が含むユーザアドレスを自身の記憶部21c(図6参照)に記憶する。
シーケンスQ73において、エッジルータ2cは、この認証要求を端末認証サーバ5Aへ送信する。
シーケンスQ74において、端末認証サーバ5Aは、この認証要求が含んだユーザアドレスを自身のデータベース(不図示)と照合し、このユーザアドレスを含むパケットを疎通許可できるか否かを判断する。このシーケンスQ74において端末認証サーバ5Aは、このユーザアドレスを含むパケットを疎通許可するように、自身を設定する。 In sequence Q71, the line terminating device 3c relays this authentication request to the edge router 2c.
In sequence Q72, the edge router 2c stores the user address included in the authentication request in its storage unit 21c (see FIG. 6).
In sequence Q73, the edge router 2c transmits this authentication request to the terminal authentication server 5A.
In sequence Q74, the terminal authentication server 5A compares the user address included in the authentication request with its own database (not shown), and determines whether or not communication including a packet including the user address can be permitted. In this sequence Q74, the terminal authentication server 5A sets itself so as to permit communication of a packet including this user address.

シーケンスQ75において、端末認証サーバ5Aは、認証OKをエッジルータ2cへ送信する。
シーケンスQ76において、端末認証サーバ5Aは、疎通許可をゲートウェイ6へ送信する。
シーケンスQ77において、エッジルータ2cは、認証OKを受信すると、以降は、このユーザアドレスを含むパケットを疎通許可するように、自身を設定する。 In sequence Q75, the terminal authentication server 5A transmits authentication OK to the edge router 2c.
In sequence Q76, the terminal authentication server 5A transmits a communication permission to the gateway 6.
In sequence Q77, when receiving the authentication OK, the edge router 2c thereafter sets itself so as to permit communication of the packet including the user address.

シーケンスQ78において、エッジルータ2cは、認証情報を生成する。
シーケンスQ79において、エッジルータ2cは、認証OKを回線終端装置3cへ送信する。
シーケンスQ80において、回線終端装置3cは、認証OKをユーザ端末7へ中継する。以降、ユーザ端末7は、自身のトラヒックをインターネット9に疎通させることができる。 In sequence Q78, the edge router 2c generates authentication information.
In sequence Q79, the edge router 2c transmits authentication OK to the line terminating device 3c.
In sequence Q80, the line terminating device 3c relays the authentication OK to the user terminal 7. Thereafter, the user terminal 7 can communicate its traffic to the Internet 9.

シーケンスQ90〜Q102の動作は、ユーザ端末7をハンドオーバした後に、そのトラヒックをインターネット9に疎通させるシーケンスを示している。
シーケンスQ90,Q91の動作は、図3に示したシーケンスQ40,Q41の動作と同様であり、ユーザ端末7は、ハンドオーバにより、回線終端装置3cの配下から外れて、回線終端装置3dの配下となる。これにより、回線終端装置3bは、ハンドオーバしたユーザ端末7に、自身のアドレスプリフィックスを払い出して、このユーザ端末7に係る回線を認証するので、以降、エッジルータ2を介して通信させることが可能である。回線終端装置3bは、ユーザ端末7に係る回線を認証すると共に、その認証情報を不図示の記憶部に記憶する。 The operations of sequences Q90 to Q102 show a sequence for communicating the traffic to the Internet 9 after the user terminal 7 is handed over.
The operations of the sequences Q90 and Q91 are the same as the operations of the sequences Q40 and Q41 shown in FIG. 3, and the user terminal 7 is removed from the subordinate of the line terminating device 3c by the handover and is subordinated to the line terminating device 3d. . As a result, the line terminating device 3b issues its own address prefix to the handed over user terminal 7 and authenticates the line related to the user terminal 7, so that communication can be performed via the edge router 2 thereafter. is there. The line terminating device 3b authenticates the line related to the user terminal 7 and stores the authentication information in a storage unit (not shown).

シーケンスQ92において、ユーザ端末7は、インターネット9における任意のノードを送信先とする通信パケットを、回線終端装置3dへ送信する。
シーケンスQ93において、回線終端装置3dは、この通信パケットを、エッジルータ2dへ中継する。
シーケンスQ94において、エッジルータ2cは、この通信パケットが含むユーザアドレスを自身の記憶部21c(図6参照)に記憶する。 In sequence Q92, the user terminal 7 transmits a communication packet whose destination is an arbitrary node in the Internet 9 to the line terminating device 3d.
In sequence Q93, the line terminating device 3d relays this communication packet to the edge router 2d.
In sequence Q94, the edge router 2c stores the user address included in the communication packet in its storage unit 21c (see FIG. 6).

シーケンスQ95において、エッジルータ2dは、新たな認証要求を、端末認証サーバ5Aへ送信する。エッジルータ2dは、この認証要求が含むアドレスプリフィックスとユーザアドレスの組合せを、シーケンスQ93で受信した通信パケットが含むアドレスプリフィックスとユーザアドレスの組合せと同一に設定する。
シーケンスQ96において、端末認証サーバ5Aは、この認証要求のパケットが含むアドレスプリフィックスおよびユーザアドレスが、既に自身で認証したものであるため、認証OKと判断する。これにより、端末認証サーバ5Aは、この認証要求のパケットが含んだユーザアドレスを自身のデータベース(不図示)と照合することなく、ユーザ端末7を認証することができる。
シーケンスQ97において、端末認証サーバ5Aは、認証OKの応答をエッジルータ2dへ送信する。 In sequence Q95, the edge router 2d transmits a new authentication request to the terminal authentication server 5A. Edge router 2d sets the combination of the address prefix and user address included in this authentication request to be the same as the combination of the address prefix and user address included in the communication packet received in sequence Q93.
In sequence Q96, terminal authentication server 5A determines that authentication is OK because the address prefix and user address included in this authentication request packet have already been authenticated by itself. As a result, the terminal authentication server 5A can authenticate the user terminal 7 without checking the user address included in the authentication request packet with its own database (not shown).
In sequence Q97, the terminal authentication server 5A transmits an authentication OK response to the edge router 2d.

シーケンスQ98において、エッジルータ2dは、認証OKを受信すると、以降は、このユーザアドレスを疎通許可するように、自身を設定する。
シーケンスQ99において、エッジルータ2dは、このユーザ端末7の認証情報を生成する。
シーケンスQ100において、エッジルータ2dは、シーケンスQ94で受信した通信パケットを、ゲートウェイ6へ送信する。この通信パケットは、ゲートウェイ6を介して、インターネット9上の宛先ノードに転送される。以降、ユーザ端末7は、自身のトラヒックをインターネット9に疎通させることができる。 In sequence Q98, when receiving the authentication OK, the edge router 2d sets itself so as to permit communication of this user address.
In sequence Q99, the edge router 2d generates authentication information of the user terminal 7.
In sequence Q100, the edge router 2d transmits the communication packet received in sequence Q94 to the gateway 6. This communication packet is transferred to the destination node on the Internet 9 via the gateway 6. Thereafter, the user terminal 7 can communicate its traffic to the Internet 9.

シーケンスQ101において、端末認証サーバ5Aは、このユーザ端末7の認証削除の指示をエッジルータ2cへ送信する。
シーケンスQ102において、エッジルータ2cは、このユーザ端末7の認証情報を削除する。これにより、エッジルータ2cは、このユーザ端末7の認証情報を格納していた自身の物理リソースを解放することができる。
以降、ユーザ端末7は、ハンドオーバにより、認証元のエッジルータ2cから他のエッジルータ2dの配下になったときでも、明示的な認証要求無しに、ユーザ端末7のトラヒックをインターネット9に疎通させることができる。 In sequence Q101, the terminal authentication server 5A transmits an instruction to delete the authentication of the user terminal 7 to the edge router 2c.
In sequence Q102, the edge router 2c deletes the authentication information of the user terminal 7. Thereby, the edge router 2c can release its own physical resource storing the authentication information of the user terminal 7.
Thereafter, the user terminal 7 allows the traffic of the user terminal 7 to communicate with the Internet 9 without an explicit authentication request even when the authentication is performed by the handover from the edge router 2c to another edge router 2d. Can do.

図8は、第2の実施形態の変形例におけるハンドオーバ動作を示すシーケンス図である。
このハンドオーバ動作の実行前は、ユーザ端末7が認証されてトラヒックをインターネット9に疎通させている状態である。
シーケンスQ90,Q91の動作は、図7に示すシーケンスQ90,Q91の動作や、図3に示すシーケンスQ40,Q41の動作と同様である。 FIG. 8 is a sequence diagram illustrating a handover operation in a modification of the second embodiment.
Before the handover operation is executed, the user terminal 7 is authenticated and the traffic is communicated with the Internet 9.
The operations of sequences Q90 and Q91 are the same as the operations of sequences Q90 and Q91 shown in FIG. 7 and the operations of sequences Q40 and Q41 shown in FIG.

シーケンスQ110おいて、ユーザ端末7は、自らの認証を要求する認証要求を、回線終端装置3dへ送信する。
シーケンスQ111において、回線終端装置3dは、この認証要求を、エッジルータ2dへ中継する。
シーケンスQ112において、エッジルータ2dは、この認証要求のパケットが含むユーザアドレスを、自身の記憶部21d(図6参照)に記憶する。
シーケンスQ113において、エッジルータ2dは、この認証要求を端末認証サーバ5Aへ送信する。 In sequence Q110, the user terminal 7 transmits an authentication request for requesting its own authentication to the line terminating device 3d.
In sequence Q111, the line terminating device 3d relays this authentication request to the edge router 2d.
In sequence Q112, the edge router 2d stores the user address included in the authentication request packet in its own storage unit 21d (see FIG. 6).
In sequence Q113, the edge router 2d transmits this authentication request to the terminal authentication server 5A.

シーケンスQ114において、端末認証サーバ5Aは、この認証要求のパケットが含むアドレスプリフィックスおよびユーザアドレスが、既に自身で認証されたものであるため、認証OKと判断する。これにより、端末認証サーバ5Aは、この認証要求のパケットが含んだユーザアドレスを自身のデータベース(不図示)と照合することなく、ユーザ端末7を認証することができる。
シーケンスQ115において、端末認証サーバ5Aは、認証OKをエッジルータ2dへ送信する。 In sequence Q114, terminal authentication server 5A determines that authentication is OK because the address prefix and user address included in this authentication request packet have already been authenticated by itself. As a result, the terminal authentication server 5A can authenticate the user terminal 7 without checking the user address included in the authentication request packet with its own database (not shown).
In sequence Q115, terminal authentication server 5A transmits authentication OK to edge router 2d.

シーケンスQ116において、エッジルータ2dは、認証OKを受信すると、以降は、このユーザアドレスを含むパケットを疎通許可するように、自身を設定する。
シーケンスQ117において、エッジルータ2dは、認証情報を生成する。
シーケンスQ118において、エッジルータ2dは、認証OKを回線終端装置3dへ送信する。
シーケンスQ119において、回線終端装置3dは、認証OKをユーザ端末7へ中継する。以降、ユーザ端末7は、自身のトラヒックをインターネット9に疎通させることができる。 In sequence Q116, when receiving the authentication OK, the edge router 2d thereafter configures itself so as to permit the communication including the user address.
In sequence Q117, the edge router 2d generates authentication information.
In sequence Q118, the edge router 2d transmits authentication OK to the line terminating device 3d.
In sequence Q119, the line terminating device 3d relays the authentication OK to the user terminal 7. Thereafter, the user terminal 7 can communicate its traffic to the Internet 9.

シーケンスQ120において、端末認証サーバ5Aは、このユーザ端末7の認証削除の指示をエッジルータ2cへ送信する。
シーケンスQ121において、エッジルータ2cは、このユーザ端末7の認証情報を削除する。これにより、この認証情報に係るエッジルータ2cの物理リソースを解放することができる。
ユーザ端末7は、ハンドオーバにより、認証元の回線終端装置3cの配下から他の回線終端装置3dの配下になったとき、明示的な認証要求によっても、ユーザ端末7のトラヒックをインターネット9に疎通させることができる。 In sequence Q120, the terminal authentication server 5A transmits an instruction to delete the authentication of the user terminal 7 to the edge router 2c.
In sequence Q121, the edge router 2c deletes the authentication information of the user terminal 7. Thereby, the physical resource of the edge router 2c related to this authentication information can be released.
The user terminal 7 communicates the traffic of the user terminal 7 to the Internet 9 even by an explicit authentication request when the user terminal 7 is subordinated to the other line terminating apparatus 3d by the handover. be able to.

(変形例)
本発明は、上記実施形態に限定されることなく、本発明の趣旨を逸脱しない範囲で、変更実施が可能であり、例えば、次の(a),(b)のようなものがある。 (Modification)
The present invention is not limited to the above-described embodiment, and can be modified without departing from the spirit of the present invention. For example, there are the following (a) and (b).

(a) 第1、第2の実施形態では、各装置がIPv6ネットワークで接続されている。しかし、これに限られず、各装置がIPv4ネットワークで接続されていてもよい。この場合、ユーザ端末7を認証するには、アドレスプリフィックスとMacアドレスとの組合せ情報を用いる。 (A) In the first and second embodiments, each device is connected by an IPv6 network. However, the present invention is not limited to this, and each device may be connected by an IPv4 network. In this case, in order to authenticate the user terminal 7, combination information of an address prefix and a Mac address is used.

(b) 第1、第2の実施形態において、ユーザ端末7は、このユーザ端末7のアドレスプリフィックスとユーザアドレスとの組合せによって認証される。しかし、これに限られず、ユーザ端末7は、ユーザアドレスのみで認証されてもよい。 (B) In the first and second embodiments, the user terminal 7 is authenticated by a combination of the address prefix of the user terminal 7 and the user address. However, the present invention is not limited to this, and the user terminal 7 may be authenticated only with the user address.

1,1A 端末認証システム
2,2c,2d エッジルータ
21,21c,21d 記憶部
22,22c,22d パケット識別部
23a VLAN (第1のVLAN)
23b VLAN (第2のVLAN)
3a〜3d 回線終端装置
4 回線認証サーバ
5,5A 端末認証サーバ
6 ゲートウェイ
7 ユーザ端末
9 インターネット 1, 1A Terminal authentication system 2, 2c, 2d Edge router 21, 21, c, 21d Storage unit 22, 22c, 22d Packet identification unit 23a VLAN (first VLAN)
23b VLAN (second VLAN)
3a to 3d Line terminating device 4 Line authentication server 5, 5A Terminal authentication server 6 Gateway 7 User terminal 9 Internet

Claims (8)

ユーザ端末と接続可能な回線終端装置と、
前記回線終端装置に接続されるエッジルータと、
前記エッジルータに接続され、前記回線終端装置と前記エッジルータ間の回線を認証する回線認証サーバと、
前記ユーザ端末を認証する端末認証サーバと、
を備える端末認証システムが実行する端末認証方法であって、
前記端末認証サーバは、前記ユーザ端末に付与されたアドレスプリフィックスと、前記ユーザ端末に固有のユーザアドレスとを組み合わせた識別子により、前記ユーザ端末を認証し、
前記エッジルータは、前記識別子を記憶し、当該識別子が含む固有のユーザアドレスが送信元であるパケットが、認証済みの前記ユーザ端末のパケットであることを識別する、
ことを特徴とする端末認証方法。 A line termination device connectable to the user terminal;
An edge router connected to the line termination device;
A line authentication server connected to the edge router and authenticating a line between the line terminator and the edge router;
A terminal authentication server for authenticating the user terminal;
A terminal authentication method executed by a terminal authentication system comprising:
The terminal authentication server authenticates the user terminal with an identifier that combines an address prefix assigned to the user terminal and a user address unique to the user terminal,
The edge router stores the identifier, and identifies that a packet whose source is a unique user address included in the identifier is a packet of the authenticated user terminal.
A terminal authentication method. 前記ユーザ端末に固有のユーザアドレスとは、IPv6(Internet Protocol version 6)のインタフェースID(Identification)またはMac(Media Access Control)アドレスである、
ことを特徴とする請求項1に記載の端末認証方法。 The user address unique to the user terminal is an interface ID (Identification) or Mac (Media Access Control) address of IPv6 (Internet Protocol version 6).
The terminal authentication method according to claim 1. 前記端末認証システムは、当該エッジルータとインターネットとを接続するゲートウェイを更に備えており、
前記端末認証サーバは、
前記ユーザ端末を認証したならば、前記識別子の固有のユーザアドレスを含むトラヒックを、前記ゲートウェイを介してインターネットに疎通させる、
ことを特徴とする請求項1または請求項2に記載の端末認証方法。 The terminal authentication system further includes a gateway that connects the edge router and the Internet,
The terminal authentication server is
If the user terminal is authenticated, traffic including the unique user address of the identifier is communicated to the Internet through the gateway.
The terminal authentication method according to claim 1 or 2, characterized in that 前記回線終端装置は、前記識別子の情報の保持時間を超えた際に当該識別子の情報を削除し、その旨を前記エッジルータに通知する、
ことを特徴とする請求項3に記載の端末認証方法。 The line termination device deletes the identifier information when the identifier information retention time is exceeded, and notifies the edge router to that effect.
The terminal authentication method according to claim 3. 前記エッジルータは、第1のVLANにおける前記識別子の情報を保持している状態で、第2のVLANを介して前記ユーザ端末のパケットを検知したならば、前記第1のVLANを介して前記ユーザ端末の存在を確認する、
ことを特徴とする請求項3に記載の端末認証方法。 If the edge router detects the packet of the user terminal via the second VLAN while holding the identifier information in the first VLAN, the edge router detects the user terminal via the first VLAN. Check for device presence,
The terminal authentication method according to claim 3. 前記エッジルータは、前記第1のVLANにおける前記識別子の情報が保持されている状態で、前記第2のVLANを介して前記ユーザ端末のパケットを検知したならば、前記第1のVLANにおける前記ユーザ端末の情報を削除する、
ことを特徴とする請求項5に記載の端末認証方法。 If the edge router detects a packet of the user terminal via the second VLAN in a state where the information of the identifier in the first VLAN is held, the edge router detects the user of the first VLAN. Delete device information,
The terminal authentication method according to claim 5. 第1のエッジルータに前記識別子の情報が保持されている状態で、第2のエッジルータが前記ユーザ端末のパケットを検知したならば、
前記端末認証サーバは、前記ユーザ端末の認証を再度行い、
前記第1のエッジルータは、前記ユーザ端末の情報を削除する、
ことを特徴とする請求項3に記載の端末認証方法。 If the second edge router detects the packet of the user terminal while the identifier information is held in the first edge router,
The terminal authentication server performs authentication of the user terminal again,
The first edge router deletes the user terminal information;
The terminal authentication method according to claim 3. ユーザ端末と接続可能な回線終端装置と、
前記回線終端装置に接続されるエッジルータと、
前記エッジルータに接続され、前記回線終端装置と前記エッジルータ間の回線を認証する回線認証サーバと、
前記ユーザ端末を認証し、前記ユーザ端末に付与されたアドレスプリフィックスと、前記ユーザ端末に固有のユーザアドレスとを組み合わせた識別子により、前記ユーザ端末を認証する端末認証サーバと、
を備える端末認証システムであって、
前記エッジルータは、
前記識別子を記憶する記憶部と、
当該識別子の固有のユーザアドレスが送信元であるパケットが、認証済みの前記ユーザ端末のパケットであることを識別するパケット識別部と、
を備えることを特徴とする端末認証システム。 A line termination device connectable to the user terminal;
An edge router connected to the line termination device;
A line authentication server connected to the edge router and authenticating a line between the line terminator and the edge router;
A terminal authentication server that authenticates the user terminal and authenticates the user terminal by an identifier that combines an address prefix assigned to the user terminal and a user address unique to the user terminal;
A terminal authentication system comprising:
The edge router is
A storage unit for storing the identifier;
A packet identifying unit for identifying that the packet whose source is the unique user address of the identifier is the packet of the authenticated user terminal;
A terminal authentication system comprising:
JP2013170598A 2013-08-20 2013-08-20 Terminal authentication method and terminal authentication system Pending JP2015041801A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2013170598A JP2015041801A (en) 2013-08-20 2013-08-20 Terminal authentication method and terminal authentication system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2013170598A JP2015041801A (en) 2013-08-20 2013-08-20 Terminal authentication method and terminal authentication system

Publications (1)

Publication Number Publication Date
JP2015041801A true JP2015041801A (en) 2015-03-02

Family

ID=52695754

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2013170598A Pending JP2015041801A (en) 2013-08-20 2013-08-20 Terminal authentication method and terminal authentication system

Country Status (1)

Country Link
JP (1) JP2015041801A (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11005952B2 (en) 2016-11-09 2021-05-11 Mitsubishi Electric Corporation Data distribution system, mobile station, distribution device, data distribution method, and computer readable medium

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002023813A (en) * 2000-07-06 2002-01-25 Digital Electronics Corp Host computer and recording medium with its program recorded and control system using the same
JP2002271377A (en) * 2001-03-13 2002-09-20 Nec Corp Mobile terminal managing system in mobile net
JP2006166315A (en) * 2004-12-10 2006-06-22 Zero:Kk User identification system and ip address generation method
JP2013005027A (en) * 2011-06-13 2013-01-07 Nippon Telegr & Teleph Corp <Ntt> Radio communication system and access point

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002023813A (en) * 2000-07-06 2002-01-25 Digital Electronics Corp Host computer and recording medium with its program recorded and control system using the same
JP2002271377A (en) * 2001-03-13 2002-09-20 Nec Corp Mobile terminal managing system in mobile net
JP2006166315A (en) * 2004-12-10 2006-06-22 Zero:Kk User identification system and ip address generation method
JP2013005027A (en) * 2011-06-13 2013-01-07 Nippon Telegr & Teleph Corp <Ntt> Radio communication system and access point

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11005952B2 (en) 2016-11-09 2021-05-11 Mitsubishi Electric Corporation Data distribution system, mobile station, distribution device, data distribution method, and computer readable medium

Similar Documents

Publication Publication Date Title
US11438303B2 (en) Client device address assignment following authentication
JP5121212B2 (en) Management device, control method of management device, and computer program for causing computer to execute the control method
US20150365414A1 (en) Method and Device for Authenticating Static User Terminal
EP2234343A1 (en) Method, device and system for selecting service network
US20100223655A1 (en) Method, System, and Apparatus for DHCP Authentication
CN107026813B (en) Access authentication method and system of WiFi network and portal server
RU2679345C1 (en) Method and device for automatic network interaction of gateway device
WO2015051675A1 (en) Network access device management method and device
US9596209B2 (en) Causing client device to request a new internet protocol address based on a link local address
US8887237B2 (en) Multimode authentication
WO2018113591A1 (en) Scheduling method, system, controller and computer storage medium
US9356908B2 (en) Method and system for causing a client device to renew a dynamic IP address
JP2019533951A (en) Next-generation system certification
US9634917B2 (en) Method and system for detecting use of wrong internet protocol address
ES2399083T3 (en) Procedure and apparatus for the verification of a dynamic host configuration protocol (DHCP) release message
CN109788528B (en) Access point and method and system for opening internet access service thereof
US20160080315A1 (en) Enhanced dynamic host configuration protocol (dhcp)
US10505892B2 (en) Method for transmitting at least one IP data packet, related system and computer program product
JP2010187314A (en) Network relay apparatus with authentication function, and terminal authentication method employing the same
JP2015041801A (en) Terminal authentication method and terminal authentication system
CN104243626B (en) Information processing apparatus
CN107534585A (en) Communication means and terminal
CN105704104A (en) Authentication method and access equipment
WO2020078428A1 (en) Method and device enabling a user to access the internet, broadband remote access server, and storage medium
US10673809B2 (en) Technique for managing an address in a local area network

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20150717

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20160517

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20160518

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20160712

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20160920