JP3750634B2 - User authentication QoS policy management system, method and LAN switch - Google Patents

User authentication QoS policy management system, method and LAN switch Download PDF

Info

Publication number
JP3750634B2
JP3750634B2 JP2002188158A JP2002188158A JP3750634B2 JP 3750634 B2 JP3750634 B2 JP 3750634B2 JP 2002188158 A JP2002188158 A JP 2002188158A JP 2002188158 A JP2002188158 A JP 2002188158A JP 3750634 B2 JP3750634 B2 JP 3750634B2
Authority
JP
Japan
Prior art keywords
server
information
client terminal
lan switch
qos
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2002188158A
Other languages
Japanese (ja)
Other versions
JP2004032525A (en
Inventor
広治 江原
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP2002188158A priority Critical patent/JP3750634B2/en
Publication of JP2004032525A publication Critical patent/JP2004032525A/en
Application granted granted Critical
Publication of JP3750634B2 publication Critical patent/JP3750634B2/en
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Landscapes

  • Small-Scale Networks (AREA)

Description

【0001】
【発明の属する技術分野】
本発明は、PCクライアントが、LANスイッチを介して、認証サーバによる認証を受けるとともに、業務用サーバへのユーザごとのアクセス制御及びアクセス優先順位の制御を受けるユーザ認証QoSポリシー管理システム、方法及びLANスイッチに関する。
【0002】
【従来の技術】
従来のユーザ認証システムは、認証によって、ユーザごとにアクセス制御を行うものであったが、QoS(Quality of Service)と連動するものではなかった。
すなわち、ユーザ認証システムにおいて、QoSを使用する場合、QoSポリシーは別管理され、ユーザごとではなく、ネットワーク全体に適用されていた。
【0003】
【発明が解決しようとする課題】
しかしながら、このような従来のユーザ認証システムには、ユーザごとに重要度が異なる通信の品質を保証できないという問題があった。
その理由は、QoSポリシーが、ネットワーク全体に適用されていることにより、あるユーザにとっては重要な通信と、それを重要としない他のユーザの通信が、同じ優先度で扱われてしまい、その結果として、あるユーザにとって重要な通信が影響を受けてしまうためである。
また、アクセス制御ポリシーとQoSポリシーが一元管理できないという問題もあった。
【0004】
本発明は、上記の事情にかんがみなされたものであり、PCクライアントが、LANスイッチを介して、認証サーバによる認証を受けるとともに、業務用サーバへのユーザごとのアクセス制御及びアクセス優先順位の制御を受けるユーザ認証QoSポリシー管理システム、方法及びLANスイッチの提供を目的とする。
【0005】
【課題を解決するための手段】
上記目的を達成するため、本発明の請求項1記載のユーザ認証QoSポリシー管理システムは、クライアント端末が、LANスイッチを介して、第一のサーバによる認証を受けるとともに、第二のサーバへのアクセス制御及びアクセス優先順位の制御を受けるユーザ認証QoSポリシー管理システムであって、ログオン情報をLANスイッチに送信するクライアント端末と、クライアント端末から送信されてきたログオン情報を第一のサーバに送信するとともに、クライアント端末のアドレス情報を記憶し、かつ、第一のサーバからアクセス制御情報及びQoS情報を受信して、このアクセス制御情報によって第二のサーバに対するクライアント端末のアクセス制御を行うとともに、QoS情報にもとづき第二のサーバに対するクライアント端末のアクセス優先順位を制御するLANスイッチと、LANスイッチから送信されてきたログオン情報にもとづき認証を行い、認証結果が正である場合に、ログオン情報に対応するアクセス制御情報及びQoS情報をLANスイッチに送信する第一のサーバと、LANスイッチによって、アクセス制御情報及びQoS情報にしたがい制御を受けたクライアント端末からのアクセスを受ける第二のサーバとを有し、LANスイッチが複数ある場合に、一のLANスイッチが、ログオン情報及びクライアント端末のアドレス情報を他のLANスイッチに送信し、第一のサーバから受信したアクセス制御情報にもとづき第二のサーバに対するクライアント端末のアクセス制御を行うとともに、QoS情報にもとづき第二のサーバに対するクライアント端末のアクセス優先順位を制御し、他のLANスイッチが、一のLANスイッチから送信されてきたログオン情報を第一のサーバに送信して、第一のサーバからQoS情報を受信し、QoS情報にもとづき第二のサーバに対するクライアント端末のアクセス優先順位を制御する構成としてある。
【0006】
ユーザ認証QoSポリシー管理システムをこのような構成にすれば、ユーザごとにアクセス制御ポリシー及びQoSポリシーを適用することができるため、セキュリティーを高めることができるとともに、ユーザにとってそれぞれ異なる重要な通信の品質を高めることが可能となる。
また、認証サーバによって、アクセス制御ポリシーとQoSポリシーを一元管理することができるため、アクセス制御ポリシーとQoSポリシーの管理を容易に行うことが可能となる。
【0008】
さらに、複数のLANスイッチが、それぞれ複数の業務用サーバを接続している場合には、PCクライアントが接続されたLANスイッチによって、そのPCクライアントに対するアクセス制御ポリシーを適用することが可能となる。
また、各LANスイッチが、認証サーバにアクセスして、QoS情報を受信することによって、ユーザごとのQoSポリシーを、PCクライアントに適用することが可能となる。
【0009】
本発明の請求項記載のユーザ認証QoSポリシー管理システムは、クライアント端末が、LANスイッチを介して、第一のサーバによる認証を受けるとともに、第二のサーバへのアクセス制御及びアクセス優先順位の制御を受けるユーザ認証QoSポリシー管理システムであって、ログオン情報をLANスイッチに送信するクライアント端末と、クライアント端末から送信されてきたログオン情報を第一のサーバに送信するとともに、クライアント端末のアドレス情報を記憶し、かつ、第一のサーバからアクセス制御情報及びQoS情報を受信して、このアクセス制御情報によって第二のサーバに対するクライアント端末のアクセス制御を行うとともに、QoS情報にもとづき第二のサーバに対するクライアント端末のアクセス優先順位を制御するLANスイッチと、LANスイッチから送信されてきたログオン情報にもとづき認証を行い、認証結果が正である場合に、ログオン情報に対応するアクセス制御情報及びQoS情報をLANスイッチに送信する第一のサーバと、LANスイッチによって、アクセス制御情報及びQoS情報にしたがい制御を受けたクライアント端末からのアクセスを受ける第二のサーバとを有し、LANスイッチが複数ある場合に、一のLANスイッチが、クライアント端末のアドレス情報及び第一のサーバから受信したQoS情報を他のLANスイッチに送信し、第一のサーバから受信したアクセス制御情報にもとづき第二のサーバに対するクライアント端末のアクセス制御を行うとともに、QoS情報にもとづき第二のサーバに対するクライアント端末のアクセス優先順位を制御し、他のLANスイッチが、一のLANスイッチから送信されてきたQoS情報にもとづき第二のサーバに対するクライアント端末のアクセス優先順位を制御する構成としてある。
【0010】
ユーザ認証QoSポリシー管理システムをこのような構成にすれば、請求項2におけるものと同様に、複数のLANスイッチが、それぞれ複数の業務用サーバを接続している場合には、PCクライアントが接続されたLANスイッチにより、アクセス制御ポリシーを適用することが可能となる。
また、そのLANスイッチが、その他のLANスイッチに、認証サーバから受信したQoS情報を送信することによって、ユーザごとのQoSポリシーを、各LANスイッチによってPCクライアントに適用することが可能となる。
【0011】
本発明の請求項記載のユーザ認証QoSポリシー管理システムは、アクセス制御情報が、VLAN情報である場合に、LANスイッチ又は一のLANスイッチが、クライアント端末から送信されてきたログオン情報を第一のサーバに送信するとともに、クライアント端末のMACアドレスを記憶し、かつ、第一のサーバからVLAN情報を受信して、クライアント端末のMACアドレスをVLANに含め、このVLANによって第二のサーバに対するクライアント端末のアクセス制御を行う構成としてある。
【0012】
ユーザ認証QoSポリシー管理システムをこのような構成にすれば、LANスイッチに、VLAN(Virtual LAN)を設定することによって、PCクライアントのユーザに対するアクセス制御ポリシー及びQoSポリシーの適用を行うことが可能となる。
【0013】
本発明の請求項記載のユーザ認証QoSポリシー管理システムは、アクセス制御情報が、フィルタ情報である場合に、LANスイッチ又は一のLANスイッチが、クライアント端末から送信されてきたログオン情報を第一のサーバに送信するとともに、クライアント端末のIPアドレスを記憶し、かつ、第一のサーバからフィルタ情報を受信して、このフィルタ情報にもとづきアクセスリストを作成し、初期状態のアクセスリストを更新するとともに、アクセスリストにしたがって、第二のサーバに対するクライアント端末のアクセス制御を行う構成としてある。
【0014】
ユーザ認証QoSポリシー管理システムをこのような構成にすれば、LANスイッチに、アクセスリストを保有させ、これにもとづきアクセス制御を行うことによって、PCクライアントのユーザにアクセス制御ポリシーを適用し、これに併せてQoSポリシーの適用も行うことが可能となる。
【0015】
本発明の請求項記載のユーザ認証QoSポリシー管理方法は、クライアント端末が、LANスイッチを介して、第一のサーバによる認証を受け、第二のサーバにアクセスするユーザ認証QoSポリシー管理方法であって、クライアント端末が、一のLANスイッチにログオン情報を送信し、一のLANスイッチが、クライアント端末から送信されてきたログオン情報を第一のサーバに送信するとともに、クライアント端末のアドレス情報を記憶し、かつ、第一のサーバからアクセス制御情報及びQoS情報を受信して、ログオン情報及びアドレス情報を他のLANスイッチに送信し、アクセス制御情報にもとづき第二のサーバに対するクライアント端末のアクセス制御を行うとともに、QoS情報にもとづき第二のサーバに対するクライアント端末のアクセス優先順位を制御し、他のLANスイッチが、一のLANスイッチから送信されてきたログオン情報を第一のサーバに送信して、第一のサーバからQoS情報を受信し、QoS情報にもとづき第二のサーバに対するクライアント端末のアクセス優先順位を制御する方法としてある。
また、本発明の請求項6記載のユーザ認証QoSポリシー管理方法は、クライアント端末が、LANスイッチを介して、第一のサーバによる認証を受け、第二のサーバにアクセスするユーザ認証QoSポリシー管理方法であって、クライアント端末が、一のLANスイッチにログオン情報を送信し、一のLANスイッチが、クライアント端末から送信されてきたログオン情報を第一のサーバに送信するとともに、クライアント端末のアドレス情報を記憶し、かつ、第一のサーバからアクセス制御情報及びQoS情報を受信して、アドレス情報及びQoS情報を他のLANスイッチに送信し、アクセス制御情報にもとづき第二のサーバに対するクライアント端末のアクセス制御を行うとともに、QoS情報にもとづき第二のサーバに対するクライアント端末のアクセス優先順位を制御し、他のLANスイッチが、一のLANスイッチから送信されてきたQoS情報にもとづき第二のサーバに対するクライアント端末のアクセス優先順位を制御する方法としてある。
【0016】
ユーザ認証QoSポリシー管理方法をこのような方法にすれば、ユーザごとにアクセス制御ポリシー及びQoSポリシーを適用することができ、セキュリティーと、ユーザにとってそれぞれ異なる重要な通信の品質を高めることができるとともに、アクセス制御ポリシーとQoSポリシーの管理を容易に行うことが可能となる。
【0017】
本発明の請求項7記載のLANスイッチは、クライアント端末が第二のサーバにアクセスするにあたり、第一のサーバによる認証を仲介するとともに、アクセス制御及びアクセス優先順位の制御を行うLANスイッチであって、クライアント端末から送信されてきたログオン情報を第一のサーバに送信して、第一のサーバからアクセス制御情報及びQoS情報を受信し、かつ、ログオン情報及びクライアント端末のアドレス情報を他のLANスイッチに送信して、アクセス制御情報にもとづき第二のサーバに対するクライアント端末のアクセス制御を行うとともに、QoS情報にもとづき第二のサーバに対するクライアント端末のアクセス優先順位を制御し、かつ、他のLANスイッチから送信されてきたログオン情報を第一のサーバに送信して、第一のサーバからQoS情報を受信し、QoS情報にもとづき第二のサーバに対するクライアント端末のアクセス優先順位を制御する構成としてある。
また、本発明の請求項8記載のLANスイッチは、クライアント端末が第二のサーバにアクセスするにあたり、第一のサーバによる認証を仲介するとともに、アクセス制御及びアクセス優先順位の制御を行うLANスイッチであって、クライアント端末から送信されてきたログオン情報を第一のサーバに送信して、第一のサーバからアクセス制御情報及びQoS情報を受信し、かつ、クライアント端末のアドレス情報及びQoS情報を他のLANスイッチに送信して、アクセス制御情報にもとづき第二のサーバに対するクライアント端末のアクセス制御を行うとともに、QoS情報にもとづき第二のサーバに対するクライアント端末のアクセス優先順位を制御し、かつ、他のLANスイッチから送信されてきたQoS情報にもとづき第二のサーバに対するクライアント端末のアクセス優先順位を制御する構成としてある。
【0018】
LANスイッチをこのような構成にすれば、PCクライアントからのアクセスに対して、アクセス制限を加えると同時に、QoSポリシーの適用もでき、セキュリティーの確保とともに、ユーザごとにサーバに対する処理の優先順位を設定することが可能となる。
また、LANスイッチをこのような構成にすれば、それぞれ業務用サーバを接続した複数のLANスイッチを接続して使用する場合であっても、これらに接続されたPCクライアントに対して、アクセス制御ポリシーとともにQoSポリシーを適用することが可能となる。
【0021】
【発明の実施の形態】
以下、本発明の実施形態につき、図面を参照して説明する。
[第一実施形態]
まず、本発明の第一実施形態について、図1及び図2を参照して説明する。図1は、本発明の第一実施形態のユーザ認証QoSポリシー管理システムの構成を示すブロック図である。
【0022】
図1に示すように、本実施形態のユーザ認証QoSポリシー管理システムは、LANスイッチ10、認証サーバ20、PCクライアント30(30−1,30−2〜30−n)及び業務用サーバ40(40−1,40−2,40−3〜40−m)を有しており、これらが社内LANなどによって接続されている。
【0023】
LANスイッチ10は、ネットワークの中継機であり、レイヤ2スイッチなどを用いることができる。
このLANスイッチ10は、PCクライアント30からログオン情報(ユーザ名及びパスワード等)を受信すると、認証を行うために、そのログオン情報を認証サーバ20に送信する。このとき、LANスイッチ10は、ユーザ名とMACアドレス(Media Access Control Address)の対応を記憶しておく。
また、LANスイッチ10は、認証結果を認証サーバ20から受信する。そして、この認証結果が正である場合には、あわせてユーザ情報を受信する。
【0024】
このユーザ情報には、VLAN情報及びQoS情報が含まれる。VLAN情報とは、LANスイッチ10にユーザごとのアクセス制御ポリシーを設定するための情報であり、アクセスを許可するポートの範囲を示す。このVLAN情報は、ユーザ名、VLAN名、ポート番号等により構成することができる。
QoS情報とは、LANスイッチ10にユーザごとのQoSポリシーを設定するための情報である。
また、このQoS情報は、ユーザ名、優先する宛先IPアドレス、優先内容等により構成することができる。
この優先内容としては、キューに対する優先度などを設定することができ、例えば、優先度「1」や「2」などを設定することができる。
【0025】
また、LANスイッチ10は、認証サーバ20から返信されたVLAN情報にもとづいて、そのVLANをMAC address based VLANとして自分自身に設定する。
そして、記憶しておいたPCクライアント30のMACアドレスを上記VLANに登録して、ユーザをMAC address based VLANに属させることによって、このユーザにアクセス制御ポリシーを適用する。また、各ユーザごとに、対応するQoSポリシーを適用する。
PCクライアント30のアドレス情報として、悪意の第三者による書き換えが、比較的容易であるIPアドレスではなく、MACアドレスを用いることによって、VLANのセキュリティーを高めることが可能となる。
【0026】
認証サーバ20は、Radius(登録商標)やLDAP等を利用したユーザ認証のためのサーバである。
この認証サーバ20は、LANスイッチ10からログオン情報を受信して、ユーザ認証を実行する。このユーザ認証方法としては、既存の方法を用いることができる。
【0027】
そして、認証結果が正である場合には、このユーザに対応するユーザ情報(VLAN情報及びQoS情報)をLANスイッチ10に返却する。
このため、認証サーバ20には、ユーザごとのユーザ情報をあらかじめ設定して、記憶させておく。
【0028】
PCクライアント30は、ユーザの使用する端末であり、業務用サーバ40に接続するにあたり、まず、LANスイッチ10に対してログオン情報を送信する。そして、このLANスイッチ10によって、業務用サーバ40に対するアクセス制御ポリシー及びQoSポリシーの適用を受ける。
【0029】
このように、初期状態においては、PCクライアント30は、LANスイッチ10としか接続できず、どのVLANにも属していない状態となっており、ユーザ認証の後に、LANスイッチ10の設定によって、対応するVLANに属することとなる。
業務用サーバ40は、各種業務処理を担当するサーバであり、LANスイッチ10を介してPCクライアント30からのアクセスを受ける。
【0030】
次に、第一実施形態のユーザ認証QoSポリシー管理システムにおける処理手順について、図2を参照して説明する。
図2は、本実施形態のユーザ認証QoSポリシー管理システムにおける処理手順を示す流れ図である。
【0031】
まず、PCクライアント30が、LANスイッチ10にアクセスして、ログオン情報(ユーザ名及びパスワード等)を送信する。この場合、PCクライアント30のユーザ(以下、単にユーザと称する場合がある。)は、LANスイッチ10にログオンするように見える(ステップ10)。
【0032】
次に、LANスイッチ10は、ログオン情報を認証サーバ20に送信して照会する(ステップ11)。このとき、LANスイッチ10は、ユーザ名とMACアドレスの対応を記憶しておく。
認証サーバ20は、認証結果とユーザ情報(ユーザに対するVLAN情報及びQoS情報)をLANスイッチ10に返信する(ステップ12)。
【0033】
ここで、ユーザ情報については、認証サーバ20による認証結果が正の場合にのみ、LANスイッチ10に送信され、認証結果が否の場合には、この認証結果のみが、LANスイッチ10に送信される。
そして、認証結果が否の場合は、PCクライアント30のアクセスは拒否され、LANスイッチ10は初期状態にもどる。認証結果が正の場合には、次の処理に進む。
【0034】
LANスイッチ10は、返信されてきたVLAN情報を、MAC address based VLANとして自分自身に設定する。
そして、このMAC address based VLANに、PCクライアント30のMACアドレスを登録することによって、ユーザをこのVLANに属させ、ユーザに対するアクセス制御ポリシーを適用する(ステップ13)。
これによって、例えば、ユーザAは、図1に示す業務用サーバ40−1と業務用サーバ40−2には、アクセス可能であるが、業務用サーバ40−3にはアクセスが不可能となる。
【0035】
さらに、LANスイッチ10は、返信されたQoS情報にもとづいて、ユーザに対するQoSポリシーをそのユーザのVLANに対して適用する(ステップ14)。
これによって、例えば、ユーザAは、業務用サーバ40−1との通信は優先して処理されるが、業務用サーバ40−2との通信は低優先となる。
【0036】
ここで、VLANは、ユーザ単位で形成されるため、このVLANにQoSポリシーを適用するということは、ユーザ単位でQoSポリシーを設定することとなる。
したがって、従来は、QoSポリシーはネットワーク全体に対してしか適用することができないものであったが、これによって、ユーザごとにQoSポリシーを適用することができ、ユーザ単位のきめ細かい業務処理優先順位を設定することができる。
【0037】
このため、ユーザに対する業務用サーバ40の資源の最適分配を図ることができ、業務を効率化することが可能となる。
最後に、ユーザによって、PCクライアント30からログオフ要求がLANスイッチ10に送信されると、LANスイッチ10は、登録したMACアドレスを削除し、ユーザをVLANからはずして初期状態にもどる(ステップ15)。
【0038】
ユーザ認証QoSポリシー管理システムにおける処理手順をこのような手順とすると、PCクライアント30からの業務用サーバ40へのアクセスに対して、LANスイッチ10が、ユーザごとにVLANを形成することによって、アクセス制御ポリシーを適用することができる。
また、LANスイッチ10が、このVLANにQoSポリシーを設定することによって、ユーザごとにQoSポリシーを適用することが可能となる。
【0039】
[第二実施形態]
次に、本発明の第二実施形態につき、図3を参照して説明する。同図は、本発明の第二実施形態のユーザ認証QoSポリシー管理システムの構成を示すブロック図である。
【0040】
本実施形態のユーザ認証QoSポリシー管理システムは、複数のLANスイッチ10(10−1,10−2〜10−p)を有しており、ユーザによる業務用サーバ40へのアクセスを、アクセスリスト(access−list)を用いて制御する点で、第一実施形態と異なる。
【0041】
図3に示すように、本実施形態のユーザ認証QoSポリシー管理システムは、LANスイッチ10、認証サーバ20、PCクライアント30(30−1,30−2〜30−n)及び業務用サーバ40(40−1,40−2,40−3,40−4,40−5,40−6〜40−m)を有しており、これらが社内LANなどによって接続されている。
【0042】
LANスイッチ10は、接続されているPCクライアント30のユーザに対するアクセスリストを保有する。
このアクセスリストは、PCクライアント30のIPアドレス、ユーザ名、アクセスを許可するポート番号等の情報を有している。また、このアクセスリストは、初期状態では、PCクライアント30が、直接接続されたLANスイッチ10としか通信できないように設定されている。
【0043】
LANスイッチ10は、PCクライアント30からログオン情報を受信すると、これを認証サーバ20に送信し、ユーザ認証を行う。
そして、その認証結果が正である場合には、認証サーバ20から認証結果に加え、ユーザ情報として、フィルタ情報及びQoS情報を受信する。
【0044】
このとき、各LANスイッチ10において、ユーザ名とPCクライアント30のIPアドレスとの対応付けを記憶しない場合には、LANスイッチ10は、認証サーバ20へのログオン情報の送信に際し、併せてPCクライアント30のIPアドレスを送信するようにすることができる。
そして、認証サーバ20は、LANスイッチ10に対して、このPCクライアント30のIPアドレスも併せて返却する。
【0045】
ここで、フィルタ情報とは、ユーザによる業務用サーバ40へのアクセスを個別に制限するための情報であり、ユーザ名と、アクセスを許可する宛先IPアドレス等により構成される。
LANスイッチ10は、PCクライアント30のIPアドレスと、フィルタ情報にもとづいて、アクセスリストを作成し、初期状態のアクセスリストと置き換える。
【0046】
なお、アクセスリストの作成においては、フィルタ情報にもとづき作成するとともに、PCクライアント30の特定については、PCクライアント30のIPアドレスとユーザ名を対応付けたテーブルなどをLANスイッチ10に記憶させることによって、これにもとづき行うこともできる。
また、LANスイッチ10は、認証結果が正である場合に、そのユーザのログオン情報とそのユーザが使用しているPCクライアント30のIPアドレスを、ブロードキャストなどの方法によって、他のLANスイッチ10に通知する。
【0047】
さらに、LANスイッチ10に接続されたPCクライアント30のユーザのログオン情報等を受信した他のLANスイッチ10は、認証サーバ20に対して、そのユーザについてのQoS情報を問い合わせて受信する。
このように、ユーザに対するアクセス制御は、そのユーザが使用しているPCクライアント30が接続されたLANスイッチ10によって行われ、QoSポリシーの適用は、業務用サーバ40が接続された各LANスイッチ10のそれぞれによって行われる。
【0048】
認証サーバ20は、LANスイッチ10からログオン情報を受信すると、認証を実行し、認証結果が正である場合には、LANスイッチ10にその認証結果に加えて、ユーザ情報(フィルタ情報及びQoS情報)を返却する。
また、他のLANスイッチ10からの問い合わせに対して、QoS情報を返却する。
なお、これらの返却情報には、必要に応じて、例えばPCクライアント30のIPアドレスなどの情報を加えるようにしてもよい。
【0049】
PCクライアント30は、LANスイッチ10のいずれかと接続されており、同図において、PCクライアント30−1と30−2は、LANスイッチ10−1に接続されている。
業務用サーバ40についても、LANスイッチ10のいずれかと接続されており、同図においては、業務用サーバ40−1〜40−3は、LANスイッチ10−1に、業務用サーバ40−4〜40−6は、LANスイッチ10−2に接続されている。
【0050】
次に、第二実施形態のユーザ認証QoSポリシー管理システムにおける処理手順について、図4を参照して説明する。
図4は、本実施形態のユーザ認証QoSポリシー管理システムにおける処理手順を示す流れ図である。
【0051】
まず、PCクライアント30−1が、LANスイッチ10−1にアクセスして、ログオン情報(ユーザ名及びパスワード等)を送信し、ログオンを行う(ステップ30)。
【0052】
次に、LANスイッチ10−1は、ログオン情報を認証サーバ20に送信して照会する(ステップ31)。このとき、LANスイッチ10に、ユーザ名とIPアドレスの対応を記憶させておいてもよい。
認証サーバ20は、認証結果とユーザ情報(ユーザに対するフィルタ情報及びQoS情報)をLANスイッチ10−1に返信する(ステップ32)。
【0053】
ここで、ユーザ情報については、認証サーバ20による認証結果が正の場合にのみ、LANスイッチ10−1に送信され、認証結果が否の場合には、この認証結果のみが、LANスイッチ10−1に送信される。
そして、認証結果が否の場合は、PCクライアント30−1のアクセスは拒否され、LANスイッチ10−1は初期状態にもどる。認証結果が正の場合には、次の処理に進む。
【0054】
次に、LANスイッチ10−1は、そのユーザのログオン情報とそのユーザが使用しているPCクライアント30−1のIPアドレスを、ブロードキャストなどの方法によって、他のLANスイッチ10(10−2〜10−)に通知する。
このログオン情報等を受信した他のLANスイッチ10は、認証サーバ20に対して、そのユーザについてのQoS情報を問い合わせて受信する(ステップ33)。
【0055】
そして、LANスイッチ10−1は、PCクライアント30−1のIPアドレスとフィルタ情報等にもとづいてアクセスリストを作成して、初期状態のアクセスリストを更新することによって、ユーザに対してアクセス制御ポリシーを適用する(ステップ34)。
これによって、例えば、ユーザAは、図3に示す業務用サーバ40−3と40−4にはアクセス可能であるが、業務用サーバ40−5にはアクセス不可能となるように制御することが可能となる。
【0056】
また、LANスイッチ10−1及び他のLANスイッチ10は、認証サーバ20から受信したQoS情報を記憶するとともに、このQoS情報とPCクライアント30のIPアドレスにもとづいて、ユーザに対するQoSポリシーを適用する(ステップ35)。
【0057】
これによって、例えば、ユーザAは、業務用サーバ40−3との通信は優先して処理されるが、業務用サーバ40−4との通信を低優先に制御することが可能となる。
最後に、ユーザがログオフすると、LANスイッチ10−1は、登録したアクセスリストを初期状態のアクセスリストに置き換え、初期状態に戻る(ステップ36)。
【0058】
なお、本実施形態においては、他のLANスイッチ10が、それぞれ認証サーバ20にアクセスして、ユーザに対するQoS情報を取得する構成としているが、LANスイッチ10−1が、他のLANスイッチ10へログオン情報等を通知するにあたり、QoS情報も併せて送信するようにしてもよい。
このようにすれば、他のLANスイッチ10による認証サーバ20への問い合わせを省略することが可能となる。
【0059】
ユーザ認証QoSポリシー管理システムにおける処理手順をこのような手順とすれば、複数のLANスイッチ10により構成される場合にも、ユーザごとにアクセス制御ポリシーを適用することができることに加え、ユーザごとにQoSポリシーも適用することが可能となる。
【0060】
なお、上記各実施形態を組合せて、ユーザ認証QoSポリシー管理システムを構成することもできる。
すなわち、一のLANスイッチ10を用いる場合に、第二実施形態におけるようなアクセスリストを用いる構成とするができる。また、複数のLANスイッチ10を用いる場合に、第一実施形態におけるようなVLANを設定して、ユーザごとのQoSポリシーの適用を実現することも可能である。
【0061】
【発明の効果】
以上のように、本発明によれば、ユーザごとにアクセス制御ポリシー及びQoSポリシーを適用することができるため、セキュリティーを高めることができるとともに、ユーザにとってそれぞれ異なる重要な通信の品質を高めることが可能となる。
また、認証サーバによって、アクセス制御ポリシーとQoSポリシーを一元管理することができるため、アクセス制御ポリシーとQoSポリシーの管理を容易に行うことが可能となる。
【図面の簡単な説明】
【図1】本発明の第一実施形態のユーザ認証QoSポリシー管理システムの構成を示すブロック図である。
【図2】本発明の第一実施形態のユーザ認証QoSポリシー管理システムにおける動作手順を示す流れ図である。
【図3】本発明の第二実施形態のユーザ認証QoSポリシー管理システムの構成を示すブロック図である。
【図4】本発明の第二実施形態のユーザ認証QoSポリシー管理システムにおける動作手順を示す流れ図である。
【符号の説明】
10(10−1,10−2〜10−p) LANスイッチ
20 認証サーバ
30(30−1,30−2〜30−n) PCクライアント
40(40−1,40−2,40−3,40−4,40−5,40−6〜40−m) 業務用サーバ[0001]
BACKGROUND OF THE INVENTION
The present invention relates to a user authentication QoS policy management system, method, and LAN in which a PC client is authenticated by an authentication server via a LAN switch, and is also subjected to access control and access priority control for each user to a business server. Regarding switches.
[0002]
[Prior art]
The conventional user authentication system performs access control for each user by authentication, but is not linked to QoS (Quality of Service).
That is, when QoS is used in the user authentication system, the QoS policy is separately managed and applied to the entire network, not for each user.
[0003]
[Problems to be solved by the invention]
However, such a conventional user authentication system has a problem that it is not possible to guarantee the quality of communication having different importance for each user.
The reason is that the QoS policy is applied to the entire network, so that communications important to one user and communications of other users who do not make it important are treated with the same priority. This is because communication important to a user is affected.
There is also a problem that the access control policy and the QoS policy cannot be centrally managed.
[0004]
The present invention is considered in view of the above circumstances, and the PC client is authenticated by the authentication server via the LAN switch, and controls access to the business server and control of the access priority for each user. An object of the present invention is to provide a user authentication QoS policy management system, a method, and a LAN switch.
[0005]
[Means for Solving the Problems]
  In order to achieve the above object, a user authentication QoS policy management system according to claim 1 of the present invention provides:Client terminalThrough the LAN switch,First serverAs well as being certified bySecond serverIs a user authentication QoS policy management system that receives access control and access priority control, and transmits logon information to a LAN switch.Client terminalWhen,Client terminalLogon information sent fromFirst serverAnd send toClient terminalAddress information, andFirst serverReceiving access control information and QoS information from theSecond serverAgainstClient terminalAccess control and based on QoS informationSecond serverAgainstClient terminalAuthentication based on the logon information transmitted from the LAN switch and the LAN switch for controlling the access priority of the access, and when the authentication result is positive, the access control information and QoS information corresponding to the logon information are sent to the LAN switch. SendFirst serverAnd received control according to the access control information and QoS information by the LAN switch.Client terminalReceive access fromSecond serverAnd haveWhen there are a plurality of LAN switches, one LAN switch sends logon information and client terminal address information to the other LAN switch, and the second server based on the access control information received from the first server. The access control of the client terminal is performed, the access priority of the client terminal to the second server is controlled based on the QoS information, and the other LAN switch sends the logon information transmitted from the one LAN switch to the first server. , Receive QoS information from the first server, and control the access priority of the client terminal to the second server based on the QoS informationAs a configuration.
[0006]
If the user authentication QoS policy management system has such a configuration, an access control policy and a QoS policy can be applied for each user, so that security can be enhanced and important communication quality different for each user can be obtained. It becomes possible to raise.
Further, since the access control policy and the QoS policy can be centrally managed by the authentication server, the access control policy and the QoS policy can be easily managed.
[0008]
  furtherWhen a plurality of business servers are connected to a plurality of LAN switches, an access control policy for the PC client can be applied by the LAN switch to which the PC client is connected.
  In addition, each LAN switch accesses the authentication server and receives the QoS information, so that the QoS policy for each user can be applied to the PC client.
[0009]
  Claims of the invention2The user authentication QoS policy management system described isA user authentication QoS policy management system in which a client terminal is authenticated by a first server via a LAN switch and is also controlled to access a second server and control access priority. The client terminal that transmits to the switch and the logon information transmitted from the client terminal are transmitted to the first server, the address information of the client terminal is stored, and the access control information and the QoS information are received from the first server. This is received from the LAN switch that controls access of the client terminal to the second server based on the access control information, and controls the access priority of the client terminal to the second server based on the QoS information. Log If the authentication result is positive and the authentication result is positive, the access control information and QoS information are sent by the first server that sends the access control information and QoS information corresponding to the logon information to the LAN switch, and the LAN switch. And a second server that receives access from a client terminal that is controlled, and when there are a plurality of LAN switches, one LAN switch receives the address information of the client terminal and the QoS received from the first server. Information is transmitted to another LAN switch, and the client terminal access control to the second server is performed based on the access control information received from the first server, and the client terminal access priority to the second server is based on the QoS information. The order is controlled, and other LAN switches are Controlling the access priority of the client terminal to the second server based on the QoS information transmitted from the N switchAs a configuration.
[0010]
If the user authentication QoS policy management system has such a configuration, as in the case of claim 2, when a plurality of LAN switches are connected to a plurality of business servers, a PC client is connected. An access control policy can be applied by the LAN switch.
In addition, when the LAN switch transmits the QoS information received from the authentication server to other LAN switches, the QoS policy for each user can be applied to the PC client by each LAN switch.
[0011]
  Claims of the invention3In the user authentication QoS policy management system described above, when the access control information is VLAN information, the LAN switch or one LAN switchClient terminalLogon information sent fromFirst serverAnd send toClient terminalThe MAC address ofFirst serverReceive VLAN information fromClient terminalInclude the MAC address of theSecond serverAgainstClient terminalThe access control is performed.
[0012]
If the user authentication QoS policy management system has such a configuration, it is possible to apply an access control policy and a QoS policy to a PC client user by setting a VLAN (Virtual LAN) in the LAN switch. .
[0013]
  Claims of the invention4In the user authentication QoS policy management system described above, when the access control information is filter information, the LAN switch or one LAN switchClient terminalLogon information sent fromFirst serverAnd send toClient terminalRemember the IP address ofFirst serverReceive the filter information from, create an access list based on this filter information, update the initial access list, and according to the access list,Second serverAgainstClient terminalThe access control is performed.
[0014]
If the user authentication QoS policy management system has such a configuration, the access control policy is applied to the user of the PC client by allowing the LAN switch to have an access list and performing access control based on the access list. Thus, the QoS policy can be applied.
[0015]
  Claims of the invention5The user authentication QoS policy management method described isA user authentication QoS policy management method in which a client terminal receives authentication by a first server via a LAN switch and accesses the second server, and the client terminal transmits logon information to one LAN switch. One LAN switch transmits logon information transmitted from the client terminal to the first server, stores address information of the client terminal, and receives access control information and QoS information from the first server. Then, log-on information and address information are transmitted to other LAN switches, and the client terminal access control to the second server is performed based on the access control information, and the client terminal access priority to the second server is based on the QoS information. The order is controlled, and other LAN switches The logon information transmitted from the LAN switch to send to the first server, the first server receives the QoS information, and controls the access priority of the client terminal to the second server based on the QoS informationThere is as a method.
  The user authentication QoS policy management method according to claim 6 of the present invention is a user authentication QoS policy management method in which a client terminal is authenticated by a first server via a LAN switch and accesses a second server. The client terminal transmits logon information to one LAN switch, and the one LAN switch transmits the logon information transmitted from the client terminal to the first server, and the address information of the client terminal is also transmitted. Stores and receives access control information and QoS information from the first server, transmits address information and QoS information to other LAN switches, and controls access of the client terminal to the second server based on the access control information As well as the class for the second server based on the QoS information. Controls access priority Ant terminal and the other LAN switches, is a method of controlling the access priority of the client terminal to the second server based on the QoS information transmitted from one LAN switch.
[0016]
If the user authentication QoS policy management method is such a method, the access control policy and the QoS policy can be applied for each user, the security and the quality of important communication different for each user can be improved, It becomes possible to easily manage the access control policy and the QoS policy.
[0017]
  The LAN switch according to claim 7 of the present invention is:When the client terminal accesses the second server, it is a LAN switch that mediates authentication by the first server and controls access and access priority, and logs on the logon information transmitted from the client terminal. The access control information and the QoS information are received from the first server, the logon information and the address information of the client terminal are transmitted to the other LAN switch, and the second based on the access control information. Access control of the client terminal to the other server, control access priority of the client terminal to the second server based on the QoS information, and log-on information transmitted from another LAN switch to the first server Send and receive QoS information from the first server Controlling the access priority of the client terminal to the second server based on the QoS informationAs a configuration.
  The LAN switch according to claim 8 of the present invention is a LAN switch that mediates authentication by the first server and controls access and priority of access when the client terminal accesses the second server. The logon information transmitted from the client terminal is transmitted to the first server, the access control information and the QoS information are received from the first server, and the address information and the QoS information of the client terminal are transmitted to the other server. Sending to LAN switch to control access of client terminal to second server based on access control information, controlling access priority of client terminal to second server based on QoS information, and other LAN The second support is based on the QoS information sent from the switch. It is constituted to control the access priority of the client terminal for bus.
[0018]
  If the LAN switch is configured in this way, it can restrict access to access from PC clients and at the same time apply QoS policies, ensuring security and setting processing priority for servers for each user. It becomes possible to do.
  Further, if the LAN switch is configured as described above, even when a plurality of LAN switches connected to business servers are connected and used, the access control policy is applied to the PC clients connected to these switches. At the same time, the QoS policy can be applied.
[0021]
DETAILED DESCRIPTION OF THE INVENTION
Embodiments of the present invention will be described below with reference to the drawings.
[First embodiment]
First, a first embodiment of the present invention will be described with reference to FIGS. 1 and 2. FIG. 1 is a block diagram showing a configuration of a user authentication QoS policy management system according to the first embodiment of this invention.
[0022]
As shown in FIG. 1, the user authentication QoS policy management system of this embodiment includes a LAN switch 10, an authentication server 20, a PC client 30 (30-1, 30-2 to 30-n), and a business server 40 (40 -1, 40-2, 40-3 to 40-m), and these are connected by an in-house LAN or the like.
[0023]
The LAN switch 10 is a network relay, and a layer 2 switch or the like can be used.
When the LAN switch 10 receives logon information (such as a user name and password) from the PC client 30, the LAN switch 10 transmits the logon information to the authentication server 20 in order to perform authentication. At this time, the LAN switch 10 stores the correspondence between the user name and the MAC address (Media Access Control Address).
Further, the LAN switch 10 receives the authentication result from the authentication server 20. If the authentication result is positive, user information is also received.
[0024]
This user information includes VLAN information and QoS information. The VLAN information is information for setting an access control policy for each user in the LAN switch 10, and indicates a range of ports that are permitted to be accessed. This VLAN information can be composed of a user name, VLAN name, port number, and the like.
The QoS information is information for setting a QoS policy for each user in the LAN switch 10.
Further, this QoS information can be composed of a user name, a preferential destination IP address, priority contents, and the like.
As this priority content, a priority for a queue can be set, and for example, a priority “1” or “2” can be set.
[0025]
Further, the LAN switch 10 sets the VLAN as the MAC address based VLAN based on the VLAN information returned from the authentication server 20.
Then, the stored MAC address of the PC client 30 is registered in the VLAN, and the access control policy is applied to the user by making the user belong to the MAC address based VLAN. A corresponding QoS policy is applied to each user.
As the address information of the PC client 30, it is possible to improve the security of the VLAN by using a MAC address instead of an IP address that is relatively easy to be rewritten by a malicious third party.
[0026]
The authentication server 20 is a server for user authentication using Radius (registered trademark), LDAP, or the like.
The authentication server 20 receives logon information from the LAN switch 10 and executes user authentication. As this user authentication method, an existing method can be used.
[0027]
If the authentication result is positive, user information (VLAN information and QoS information) corresponding to this user is returned to the LAN switch 10.
For this reason, user information for each user is set and stored in the authentication server 20 in advance.
[0028]
The PC client 30 is a terminal used by the user, and first transmits logon information to the LAN switch 10 when connecting to the business server 40. The LAN switch 10 receives the access control policy and the QoS policy applied to the business server 40.
[0029]
As described above, in the initial state, the PC client 30 can only be connected to the LAN switch 10 and does not belong to any VLAN, and corresponds to the user authentication after the user authentication. It belongs to VLAN.
The business server 40 is a server in charge of various business processes and receives access from the PC client 30 via the LAN switch 10.
[0030]
Next, a processing procedure in the user authentication QoS policy management system of the first embodiment will be described with reference to FIG.
FIG. 2 is a flowchart showing a processing procedure in the user authentication QoS policy management system of this embodiment.
[0031]
First, the PC client 30 accesses the LAN switch 10 and transmits logon information (user name, password, etc.). In this case, the user of the PC client 30 (hereinafter sometimes simply referred to as a user) appears to log on to the LAN switch 10 (step 10).
[0032]
Next, the LAN switch 10 sends the logon information to the authentication server 20 for inquiry (step 11). At this time, the LAN switch 10 stores the correspondence between the user name and the MAC address.
The authentication server 20 returns an authentication result and user information (VLAN information and QoS information for the user) to the LAN switch 10 (step 12).
[0033]
Here, the user information is transmitted to the LAN switch 10 only when the authentication result by the authentication server 20 is positive. When the authentication result is negative, only the authentication result is transmitted to the LAN switch 10. .
If the authentication result is negative, the access of the PC client 30 is denied and the LAN switch 10 returns to the initial state. If the authentication result is positive, the process proceeds to the next process.
[0034]
The LAN switch 10 sets the returned VLAN information to itself as a MAC address based VLAN.
Then, by registering the MAC address of the PC client 30 in this MAC address based VLAN, the user belongs to this VLAN and the access control policy for the user is applied (step 13).
Thereby, for example, the user A can access the business server 40-1 and the business server 40-2 shown in FIG. 1, but cannot access the business server 40-3.
[0035]
Further, the LAN switch 10 applies the QoS policy for the user to the VLAN of the user based on the returned QoS information (step 14).
Thereby, for example, the user A is preferentially processed for communication with the business server 40-1, but the communication with the business server 40-2 has low priority.
[0036]
Here, since a VLAN is formed in units of users, applying a QoS policy to this VLAN means setting a QoS policy in units of users.
Therefore, in the past, QoS policies could only be applied to the entire network, but this allows QoS policies to be applied on a per-user basis and fine-grained business processing priorities set for each user. can do.
[0037]
For this reason, it is possible to optimally distribute the resources of the business server 40 to the user, and it is possible to improve business efficiency.
Finally, when a logoff request is transmitted from the PC client 30 to the LAN switch 10 by the user, the LAN switch 10 deletes the registered MAC address, removes the user from the VLAN, and returns to the initial state (step 15).
[0038]
When the processing procedure in the user authentication QoS policy management system is such a procedure, the access control is performed by forming a VLAN for each user by the LAN switch 10 for the access to the business server 40 from the PC client 30. Policy can be applied.
In addition, the LAN switch 10 can set the QoS policy for this VLAN, so that the QoS policy can be applied for each user.
[0039]
[Second Embodiment]
Next, a second embodiment of the present invention will be described with reference to FIG. This figure is a block diagram showing the configuration of the user authentication QoS policy management system of the second embodiment of the present invention.
[0040]
The user authentication QoS policy management system of this embodiment has a plurality of LAN switches 10 (10-1, 10-2 to 10-p), and an access list ( It is different from the first embodiment in that it is controlled using (access-list).
[0041]
As shown in FIG. 3, the user authentication QoS policy management system of this embodiment includes a LAN switch 10, an authentication server 20, a PC client 30 (30-1, 30-2 to 30-n), and a business server 40 (40 -1, 40-2, 40-3, 40-4, 40-5, 40-6 to 40-m), and these are connected by an in-house LAN or the like.
[0042]
The LAN switch 10 holds an access list for the user of the connected PC client 30.
This access list includes information such as the IP address of the PC client 30, a user name, and a port number that permits access. In the initial state, this access list is set so that the PC client 30 can communicate only with the directly connected LAN switch 10.
[0043]
When receiving the logon information from the PC client 30, the LAN switch 10 transmits it to the authentication server 20, and performs user authentication.
If the authentication result is positive, filter information and QoS information are received as user information from the authentication server 20 in addition to the authentication result.
[0044]
At this time, if each LAN switch 10 does not store the association between the user name and the IP address of the PC client 30, the LAN switch 10 transmits the logon information to the authentication server 20 together with the PC client 30. The IP address can be transmitted.
Then, the authentication server 20 also returns the IP address of the PC client 30 to the LAN switch 10.
[0045]
Here, the filter information is information for individually restricting access to the business server 40 by the user, and includes a user name, a destination IP address that permits access, and the like.
The LAN switch 10 creates an access list based on the IP address of the PC client 30 and the filter information, and replaces it with the initial access list.
[0046]
The access list is created based on the filter information, and for specifying the PC client 30, a table in which the IP address of the PC client 30 is associated with the user name is stored in the LAN switch 10. This can also be done based on this.
When the authentication result is positive, the LAN switch 10 notifies the other LAN switch 10 of the logon information of the user and the IP address of the PC client 30 used by the user by a method such as broadcasting. To do.
[0047]
Further, the other LAN switch 10 that has received the logon information of the user of the PC client 30 connected to the LAN switch 10 inquires and receives the QoS information about the user from the authentication server 20.
In this way, access control for a user is performed by the LAN switch 10 to which the PC client 30 used by the user is connected, and the QoS policy is applied to each LAN switch 10 to which the business server 40 is connected. Done by each.
[0048]
When the authentication server 20 receives the logon information from the LAN switch 10, the authentication server 20 performs authentication. When the authentication result is positive, the authentication server 20 adds user information (filter information and QoS information) to the LAN switch 10 in addition to the authentication result. To return.
Also, QoS information is returned in response to an inquiry from another LAN switch 10.
For example, information such as the IP address of the PC client 30 may be added to the return information as necessary.
[0049]
The PC client 30 is connected to one of the LAN switches 10, and in the figure, PC clients 30-1 and 30-2 are connected to the LAN switch 10-1.
The business server 40 is also connected to one of the LAN switches 10, and in the figure, the business servers 40-1 to 40-3 are connected to the LAN switch 10-1 to the business servers 40-4 to 40. -6 is connected to the LAN switch 10-2.
[0050]
Next, a processing procedure in the user authentication QoS policy management system of the second embodiment will be described with reference to FIG.
FIG. 4 is a flowchart showing a processing procedure in the user authentication QoS policy management system of this embodiment.
[0051]
First, the PC client 30-1 accesses the LAN switch 10-1, transmits logon information (user name, password, etc.), and logs on (step 30).
[0052]
Next, the LAN switch 10-1 transmits the logon information to the authentication server 20 and inquires (step 31). At this time, the correspondence between the user name and the IP address may be stored in the LAN switch 10.
The authentication server 20 returns an authentication result and user information (filter information and QoS information for the user) to the LAN switch 10-1 (step 32).
[0053]
Here, the user information is transmitted to the LAN switch 10-1 only when the authentication result by the authentication server 20 is positive. When the authentication result is negative, only the authentication result is transmitted to the LAN switch 10-1. Sent to.
If the authentication result is negative, the access of the PC client 30-1 is denied and the LAN switch 10-1 returns to the initial state. If the authentication result is positive, the process proceeds to the next process.
[0054]
  Next, the LAN switch 10-1 transmits the other user's logon information and the IP address of the PC client 30-1 used by the user to another LAN switch 10 (10-2 to 10-10) by a method such as broadcasting. −p).
  The other LAN switch 10 that received this logon information inquires and receives QoS information about the user from the authentication server 20 (step 33).
[0055]
Then, the LAN switch 10-1 creates an access list based on the IP address of the PC client 30-1, filter information, and the like, and updates the access list in the initial state, so that the access control policy is set for the user. Apply (step 34).
Thereby, for example, the user A can control to access the business servers 40-3 and 40-4 shown in FIG. 3 but not to the business server 40-5. It becomes possible.
[0056]
The LAN switch 10-1 and the other LAN switches 10 store the QoS information received from the authentication server 20, and apply the QoS policy for the user based on the QoS information and the IP address of the PC client 30 ( Step 35).
[0057]
Accordingly, for example, the user A can preferentially process the communication with the business server 40-3, but can control the communication with the business server 40-4 with a low priority.
Finally, when the user logs off, the LAN switch 10-1 replaces the registered access list with the initial access list and returns to the initial state (step 36).
[0058]
In the present embodiment, the other LAN switch 10 accesses the authentication server 20 and acquires QoS information for the user. However, the LAN switch 10-1 logs on to the other LAN switch 10. When notifying information or the like, QoS information may also be transmitted.
In this way, inquiries to the authentication server 20 by other LAN switches 10 can be omitted.
[0059]
If the processing procedure in the user authentication QoS policy management system is such a procedure, an access control policy can be applied for each user even when the user authentication QoS policy management system is configured by a plurality of LAN switches 10, and QoS for each user. Policies can also be applied.
[0060]
The user authentication QoS policy management system can be configured by combining the above embodiments.
That is, when one LAN switch 10 is used, an access list as in the second embodiment can be used. In addition, when a plurality of LAN switches 10 are used, it is possible to set a VLAN as in the first embodiment and to apply a QoS policy for each user.
[0061]
【The invention's effect】
As described above, according to the present invention, an access control policy and a QoS policy can be applied for each user, so that security can be improved and quality of communication important for each user can be improved. It becomes.
Further, since the access control policy and the QoS policy can be centrally managed by the authentication server, the access control policy and the QoS policy can be easily managed.
[Brief description of the drawings]
FIG. 1 is a block diagram showing a configuration of a user authentication QoS policy management system according to a first embodiment of this invention.
FIG. 2 is a flowchart showing an operation procedure in the user authentication QoS policy management system according to the first embodiment of this invention.
FIG. 3 is a block diagram illustrating a configuration of a user authentication QoS policy management system according to a second embodiment of this invention.
FIG. 4 is a flowchart showing an operation procedure in the user authentication QoS policy management system of the second embodiment of the present invention.
[Explanation of symbols]
10 (10-1, 10-2 to 10-p) LAN switch
20 Authentication server
30 (30-1, 30-2 to 30-n) PC client
40 (40-1, 40-2, 40-3, 40-4, 40-5, 40-6 to 40-m) Business server

Claims (8)

クライアント端末が、LANスイッチを介して、第一のサーバによる認証を受けるとともに、第二のサーバへのアクセス制御及びアクセス優先順位の制御を受けるユーザ認証QoSポリシー管理システムであって、
ログオン情報を前記LANスイッチに送信する前記クライアント端末と、
前記クライアント端末から送信されてきた前記ログオン情報を前記第一のサーバに送信するとともに、前記クライアント端末のアドレス情報を記憶し、かつ、前記第一のサーバからアクセス制御情報及びQoS情報を受信して、このアクセス制御情報によって前記第二のサーバに対する前記クライアント端末のアクセス制御を行うとともに、前記QoS情報にもとづき前記第二のサーバに対する前記クライアント端末のアクセス優先順位を制御する前記LANスイッチと、
前記LANスイッチから送信されてきた前記ログオン情報にもとづき認証を行い、認証結果が正である場合に、前記ログオン情報に対応する前記アクセス制御情報及び前記QoS情報を前記LANスイッチに送信する前記第一のサーバと、
前記LANスイッチによって、前記アクセス制御情報及び前記QoS情報にしたがい制御を受けたクライアント端末からのアクセスを受ける前記第二のサーバとを有し、
前記LANスイッチが複数ある場合に、
一のLANスイッチが、前記ログオン情報及び前記クライアント端末のアドレス情報を他のLANスイッチに送信し、前記第一のサーバから受信した前記アクセス制御情報にもとづき前記第二のサーバに対する前記クライアント端末のアクセス制御を行うとともに、前記QoS情報にもとづき前記第二のサーバに対する前記クライアント端末のアクセス優先順位を制御し、
前記他のLANスイッチが、前記一のLANスイッチから送信されてきた前記ログオン情報を前記第一のサーバに送信して、前記第一のサーバから前記QoS情報を受信し、前記QoS情報にもとづき前記第二のサーバに対する前記クライアント端末のアクセス優先順位を制御する
ことを特徴とするユーザ認証QoSポリシー管理システム。 A user authentication QoS policy management system in which a client terminal is authenticated by a first server via a LAN switch, and is controlled to access a second server and control access priority.
The client terminal transmitting logon information to the LAN switch;
The logon information transmitted from the client terminal is transmitted to the first server , the address information of the client terminal is stored, and access control information and QoS information are received from the first server. , performs access control of the client terminal to said second server by the access control information, and the LAN switch for controlling the access priority of the client terminal to said second server based on the QoS information,
The first authentication is performed based on the logon information transmitted from the LAN switch, and when the authentication result is positive, the access control information and the QoS information corresponding to the logon information are transmitted to the LAN switch . Server
By the LAN switch, it has a said second server receiving the access from the client terminal which has received the control in accordance with the access control information and the QoS information,
When there are a plurality of the LAN switches,
One LAN switch transmits the logon information and the address information of the client terminal to another LAN switch, and the access of the client terminal to the second server based on the access control information received from the first server And controlling the access priority of the client terminal to the second server based on the QoS information,
The other LAN switch transmits the log-on information transmitted from the one LAN switch to the first server, receives the QoS information from the first server, and based on the QoS information, A user authentication QoS policy management system for controlling an access priority of the client terminal to a second server . クライアント端末が、LANスイッチを介して、第一のサーバによる認証を受けるとともに、第二のサーバへのアクセス制御及びアクセス優先順位の制御を受けるユーザ認証QoSポリシー管理システムであって、A user authentication QoS policy management system in which a client terminal is authenticated by a first server via a LAN switch, and is controlled to access a second server and control access priority.
ログオン情報を前記LANスイッチに送信する前記クライアント端末と、The client terminal for sending logon information to the LAN switch;
前記クライアント端末から送信されてきた前記ログオン情報を前記第一のサーバに送信するとともに、前記クライアント端末のアドレス情報を記憶し、かつ、前記第一のサーバからアクセス制御情報及びQoS情報を受信して、このアクセス制御情報によって前記第二のサーバに対する前記クライアント端末のアクセス制御を行うとともに、前記QoS情報にもとづき前記第二のサーバに対する前記クライアント端末のアクセス優先順位を制御する前記LANスイッチと、The logon information transmitted from the client terminal is transmitted to the first server, the address information of the client terminal is stored, and access control information and QoS information are received from the first server. The LAN switch for controlling access of the client terminal to the second server based on the access control information, and controlling the access priority of the client terminal to the second server based on the QoS information;
前記LANスイッチから送信されてきた前記ログオン情報にもとづき認証を行い、認証結果が正である場合に、前記ログオン情報に対応する前記アクセス制御情報及び前記QoS情報を前記LANスイッチに送信する前記第一のサーバと、Authentication is performed based on the logon information transmitted from the LAN switch, and when the authentication result is positive, the access control information and the QoS information corresponding to the logon information are transmitted to the LAN switch. Server
前記LANスイッチによって、前記アクセス制御情報及び前記QoS情報にしたがい制御を受けたクライアント端末からのアクセスを受ける前記第二のサーバとを有し、The second switch receiving access from a client terminal that has been controlled by the LAN switch according to the access control information and the QoS information;
前記LANスイッチが複数ある場合に、When there are a plurality of the LAN switches,
一のLANスイッチが、前記クライアント端末のアドレス情報及び前記第一のサーバから受信した前記QoS情報を他のLANスイッチに送信し、前記第一のサーバから受信した前記アクセス制御情報にもとづき前記第二のサーバに対する前記クライアント端末のアクセス制御を行うとともに、前記QoS情報にもとづき前記第二のサーバに対する前記クライアント端末のアクセス優先順位を制御し、One LAN switch transmits the address information of the client terminal and the QoS information received from the first server to another LAN switch, and the second LAN switch based on the access control information received from the first server. Controlling access of the client terminal to the server of the client, and controlling the access priority of the client terminal to the second server based on the QoS information,
前記他のLANスイッチが、前記一のLANスイッチから送信されてきた前記QoS情報にもとづき前記第二のサーバに対する前記クライアント端末のアクセス優先順位を制御The other LAN switch controls the access priority of the client terminal to the second server based on the QoS information transmitted from the one LAN switch. するDo
ことを特徴とするユーザ認証QoSポリシー管理システム。A user authentication QoS policy management system. 前記アクセス制御情報が、VLAN情報である場合に、
前記LANスイッチ又は前記一のLANスイッチが、
前記クライアント端末から送信されてきた前記ログオン情報を前記第一のサーバに送信するとともに、前記クライアント端末のMACアドレスを記憶し、かつ、前記第一のサーバからVLAN情報を受信して、前記クライアント端末のMACアドレスを前記VLANに含め、このVLANによって前記第二のサーバに対する前記クライアント端末のアクセス制御を行う
ことを特徴とする請求項1又は2記載のユーザ認証QoSポリシー管理システム。When the access control information is VLAN information,
The LAN switch or the one LAN switch is
Wherein the logon information transmitted from the client terminal transmits to the first server stores the MAC address of the client terminal, and receives the VLAN information from the first server, said client terminal user authentication QoS policy management system according to claim 1 or 2, wherein the performing access control of the client terminal to said second server by the MAC address included in the VLAN, the failed VLAN of. 前記アクセス制御情報が、フィルタ情報である場合に、
前記LANスイッチ又は前記一のLANスイッチが、
前記クライアント端末から送信されてきた前記ログオン情報を前記第一のサーバに送信するとともに、前記クライアント端末のIPアドレスを記憶し、かつ、前記第一のサーバからフィルタ情報を受信して、このフィルタ情報にもとづきアクセスリストを作成し、初期状態のアクセスリストを更新するとともに、前記アクセスリストにしたがって、前記第二のサーバに対する前記クライアント端末のアクセス制御を行う
ことを特徴とする請求項1又は2記載のユーザ認証QoSポリシー管理システム。When the access control information is filter information,
The LAN switch or the one LAN switch is
The log-on information transmitted from the client terminal is transmitted to the first server , the IP address of the client terminal is stored, and the filter information is received from the first server. create an access list based on updates the access list in an initial state, in accordance with the access list, according to claim 1, wherein: performing the client terminal access control to the second server User authentication QoS policy management system. クライアント端末が、LANスイッチを介して、第一のサーバによる認証を受け、第二のサーバにアクセスするユーザ認証QoSポリシー管理方法であって、A user authentication QoS policy management method in which a client terminal receives authentication by a first server via a LAN switch and accesses a second server,
前記クライアント端末が、一のLANスイッチにログオン情報を送信し、The client terminal sends logon information to one LAN switch,
一のLANスイッチが、前記クライアント端末から送信されてきた前記ログオン情報を前記第一のサーバに送信するとともに、前記クライアント端末のアドレス情報を記憶し、かつ、前記第一のサーバからアクセス制御情報及びQoS情報を受信して、前記ログオン情報及び前記アドレス情報を他のLANスイッチに送信し、前記アクセス制御情報にもとづき前記第二のサーバに対する前記クライアント端末のアクセス制御を行うとともに、前記QoS情報にもとづき前記第二のサーバに対する前記クライアント端末のアクセス優先順位を制御し、One LAN switch transmits the logon information transmitted from the client terminal to the first server, stores address information of the client terminal, and receives access control information from the first server and Receive QoS information, send the logon information and the address information to another LAN switch, perform access control of the client terminal to the second server based on the access control information, and based on the QoS information Controlling the access priority of the client terminal to the second server;
前記他のLANスイッチが、前記一のLANスイッチから送信されてきた前記ログオン情報を前記第一のサーバに送信して、前記第一のサーバから前記QoS情報を受信し、前記QoS情報にもとづき前記第二のサーバに対する前記クライアント端末のアクセス優先順位を制御するThe other LAN switch transmits the log-on information transmitted from the one LAN switch to the first server, receives the QoS information from the first server, and based on the QoS information, Control the access priority of the client terminal to the second server
ことを特徴とするユーザ認証QoSポリシー管理方法User authentication QoS policy management method クライアント端末が、LANスイッチを介して、第一のサーバによる認証を受け、第二のサーバにアクセスするユーザ認証QoSポリシー管理方法であって、A user authentication QoS policy management method in which a client terminal receives authentication by a first server via a LAN switch and accesses a second server,
前記クライアント端末が、一のLANスイッチにログオン情報を送信し、The client terminal sends logon information to one LAN switch,
一のLANスイッチが、前記クライアント端末から送信されてきた前記ログオン情報を前記第一のサーバに送信するとともに、前記クライアント端末のアドレス情報を記憶し、かつ、前記第一のサーバからアクセス制御情報及びQoS情報を受信して、前記アドレス情報及び前記QoS情報を他のLANスイッチに送信し、前記アクセス制御情報にもとづき前記第二のサーバに対する前記クライアント端末のアクセス制御を行うとともに、前記QoS情報にもとづき前記第二のサーバに対する前記クライアント端末のアクセス優先順位を制御し、One LAN switch transmits the logon information transmitted from the client terminal to the first server, stores address information of the client terminal, and receives access control information from the first server and Receive QoS information, send the address information and the QoS information to other LAN switches, perform access control of the client terminal to the second server based on the access control information, and based on the QoS information Controlling the access priority of the client terminal to the second server;
前記他のLANスイッチが、前記一のLANスイッチから送信されてきた前記QoS情報にもとづき前記第二のサーバに対する前記クライアント端末のアクセス優先順位を制御するThe other LAN switch controls the access priority of the client terminal to the second server based on the QoS information transmitted from the one LAN switch.
ことを特徴とするユーザ認証QoSポリシー管理方法User authentication QoS policy management method クライアント端末第二のサーバにアクセスするにあたり、第一のサーバによる認証を仲介するとともに、アクセス制御及びアクセス優先順位の制御を行うLANスイッチであって、
前記クライアント端末から送信されてきた前記ログオン情報を前記第一のサーバに送信して、前記第一のサーバからアクセス制御情報及びQoS情報を受信し、かつ、前記ログオン情報及び前記クライアント端末アドレス情報を他のLANスイッチに送信して、前記アクセス制御情報にもとづき前記第二のサーバに対する前記クライアント端末のアクセス制御を行うとともに、前記QoS情報にもとづき前記第二のサーバに対する前記クライアント端末のアクセス優先順位を制御し、かつ、
他のLANスイッチから送信されてきた前記ログオン情報を前記第一のサーバに送信して、前記第一のサーバから前記QoS情報を受信し、前記QoS情報にもとづき前記第二のサーバに対する前記クライアント端末のアクセス優先順位を制御する
ことを特徴とするLANスイッチ。 When the client terminal accesses the second server, it is a LAN switch that mediates authentication by the first server and controls access control and access priority.
Send the logon information transmitted from the client terminal to the first server receives the access control information and the QoS information from the first server, and the log information and the address information of the client terminal the send to other LAN switches, performs access control of the client terminal to said second server based on the access control information, access priority of the client terminal to said second server based on the QoS information Control and
The log-in information transmitted from another LAN switch is transmitted to the first server , the QoS information is received from the first server, and the client terminal for the second server based on the QoS information A LAN switch characterized by controlling access priority of クライアント端末が第二のサーバにアクセスするにあたり、第一のサーバによる認証を仲介するとともに、アクセス制御及びアクセス優先順位の制御を行うLANスイッチであって、When the client terminal accesses the second server, it is a LAN switch that mediates authentication by the first server and controls access control and access priority.
前記クライアント端末から送信されてきた前記ログオン情報を前記第一のサーバに送信して、前記第一のサーバからアクセス制御情報及びQoS情報を受信し、かつ、前記クライアント端末のアドレス情報及び前記QoS情報を他のLANスイッチに送信して、前記アクセス制御情報にもとづき前記第二のサーバに対する前記クライアント端末のアクセス制御を行うとともに、前記QoS情報にもとづき前記第二のサーバに対する前記クライアント端末のアクセス優先順位を制御し、かつ、The logon information transmitted from the client terminal is transmitted to the first server, the access control information and the QoS information are received from the first server, and the address information and the QoS information of the client terminal are received. To the other LAN switch to control the access of the client terminal to the second server based on the access control information, and the access priority of the client terminal to the second server based on the QoS information Control and
他のLANスイッチから送信されてきた前記QoS情報にもとづき前記第二のサーバに対する前記クライアント端末のアクセス優先順位を制御するThe access priority of the client terminal to the second server is controlled based on the QoS information transmitted from another LAN switch.
ことを特徴とするLANスイッチ。A LAN switch characterized by that.
JP2002188158A 2002-06-27 2002-06-27 User authentication QoS policy management system, method and LAN switch Expired - Fee Related JP3750634B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2002188158A JP3750634B2 (en) 2002-06-27 2002-06-27 User authentication QoS policy management system, method and LAN switch

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2002188158A JP3750634B2 (en) 2002-06-27 2002-06-27 User authentication QoS policy management system, method and LAN switch

Publications (2)

Publication Number Publication Date
JP2004032525A JP2004032525A (en) 2004-01-29
JP3750634B2 true JP3750634B2 (en) 2006-03-01

Family

ID=31182990

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2002188158A Expired - Fee Related JP3750634B2 (en) 2002-06-27 2002-06-27 User authentication QoS policy management system, method and LAN switch

Country Status (1)

Country Link
JP (1) JP3750634B2 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2012098774A1 (en) 2011-01-20 2012-07-26 日本電気株式会社 NETWORK SYSTEM, CONTROLLER, AND QoS CONTROL METHOD

Families Citing this family (25)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE112006000618T5 (en) 2005-03-15 2008-02-07 Trapeze Networks, Inc., Pleasanton System and method for distributing keys in a wireless network
US7551574B1 (en) * 2005-03-31 2009-06-23 Trapeze Networks, Inc. Method and apparatus for controlling wireless network access privileges based on wireless client location
US8638762B2 (en) 2005-10-13 2014-01-28 Trapeze Networks, Inc. System and method for network integrity
US7573859B2 (en) 2005-10-13 2009-08-11 Trapeze Networks, Inc. System and method for remote monitoring in a wireless network
US7724703B2 (en) 2005-10-13 2010-05-25 Belden, Inc. System and method for wireless network monitoring
WO2007044986A2 (en) 2005-10-13 2007-04-19 Trapeze Networks, Inc. System and method for remote monitoring in a wireless network
JP4811577B2 (en) * 2006-03-09 2011-11-09 日本電気株式会社 Wireless LAN system, control method according to service level, and wireless LAN access point
JP2007267139A (en) * 2006-03-29 2007-10-11 Fujitsu Ltd Authenticated vlan management device
US7558266B2 (en) 2006-05-03 2009-07-07 Trapeze Networks, Inc. System and method for restricting network access using forwarding databases
US8966018B2 (en) 2006-05-19 2015-02-24 Trapeze Networks, Inc. Automated network device configuration and network deployment
US9258702B2 (en) 2006-06-09 2016-02-09 Trapeze Networks, Inc. AP-local dynamic switching
US8818322B2 (en) 2006-06-09 2014-08-26 Trapeze Networks, Inc. Untethered access point mesh system and method
US9191799B2 (en) 2006-06-09 2015-11-17 Juniper Networks, Inc. Sharing data between wireless switches system and method
US8340110B2 (en) 2006-09-15 2012-12-25 Trapeze Networks, Inc. Quality of service provisioning for wireless networks
US7873061B2 (en) 2006-12-28 2011-01-18 Trapeze Networks, Inc. System and method for aggregation and queuing in a wireless network
US8902904B2 (en) 2007-09-07 2014-12-02 Trapeze Networks, Inc. Network assignment based on priority
US8238942B2 (en) 2007-11-21 2012-08-07 Trapeze Networks, Inc. Wireless station location detection
US8150357B2 (en) 2008-03-28 2012-04-03 Trapeze Networks, Inc. Smoothing filter for irregular update intervals
US8978105B2 (en) 2008-07-25 2015-03-10 Trapeze Networks, Inc. Affirming network relationships and resource access via related networks
US8238298B2 (en) 2008-08-29 2012-08-07 Trapeze Networks, Inc. Picking an optimal channel for an access point in a wireless network
JP2010136014A (en) * 2008-12-03 2010-06-17 Hitachi Information & Communication Engineering Ltd Mac address automatic authentication system
JP5491060B2 (en) * 2009-04-20 2014-05-14 シャープ株式会社 Communication speed setting apparatus, communication speed setting apparatus control method, content filtering system, communication speed setting apparatus control program, and computer-readable recording medium
JP2012070225A (en) * 2010-09-24 2012-04-05 Hitachi Cable Ltd Network relay device and transfer control system
WO2012098779A1 (en) * 2011-01-20 2012-07-26 日本電気株式会社 Network system, controller, and qos control method
CN112134866B (en) * 2020-09-15 2024-06-14 腾讯云计算(北京)有限责任公司 Service access control method, device and system and computer readable storage medium

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2012098774A1 (en) 2011-01-20 2012-07-26 日本電気株式会社 NETWORK SYSTEM, CONTROLLER, AND QoS CONTROL METHOD
US9203776B2 (en) 2011-01-20 2015-12-01 Nec Corporation Network system, controller and QOS control method

Also Published As

Publication number Publication date
JP2004032525A (en) 2004-01-29

Similar Documents

Publication Publication Date Title
JP3750634B2 (en) User authentication QoS policy management system, method and LAN switch
US7249374B1 (en) Method and apparatus for selectively enforcing network security policies using group identifiers
US7590733B2 (en) Dynamic address assignment for access control on DHCP networks
US8108909B2 (en) Systems and methods of controlling network access
US7657011B1 (en) Lawful intercept trigger support within service provider networks
US6154839A (en) Translating packet addresses based upon a user identifier
US8831011B1 (en) Point to multi-point connections
US9231911B2 (en) Per-user firewall
EP1134955A1 (en) Enterprise network management using directory containing network addresses of users and devices providing access lists to routers and servers
US20020110123A1 (en) Network connection control apparatus and method
JP2007180998A (en) Wireless network controller, and wireless network control system
US20130283050A1 (en) Wireless client authentication and assignment
US8595482B2 (en) Packet filtering method for securing security in communications and packet communications system
WO2010003322A1 (en) Method, system and apparatus for controlling terminal access
Poger et al. Secure Public Internet Access Handler ({{{{{SPINACH}}}}})
JP2012070225A (en) Network relay device and transfer control system
WO2020029793A1 (en) Internet access behavior management system, device and method
JP2004048340A (en) System for controlling access / connection quality to wide area computer communication network
CN114640512B (en) Security service system, access control method, and computer-readable storage medium
CN114640514B (en) Security service system, access control method, and computer-readable storage medium
US20220255905A1 (en) Centralized management control lists for private networks
CN118200029A (en) Zero-trust-based multi-stage gateway application authority management and control method and system
JP2003258848A (en) Method and program for processing packet, recording medium, packet exchanger and information processor
AU2237000A (en) Enterprise network management using directory containing network addresses of users and devices providing access lists to routers and servers

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20050627

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20050705

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20050831

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20051115

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20051128

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20091216

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20091216

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20101216

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20101216

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20111216

Year of fee payment: 6

LAPS Cancellation because of no payment of annual fees