JP3831656B2 - ネットワーク接続装置およびネットワーク接続方法 - Google Patents

ネットワーク接続装置およびネットワーク接続方法 Download PDF

Info

Publication number
JP3831656B2
JP3831656B2 JP2001371940A JP2001371940A JP3831656B2 JP 3831656 B2 JP3831656 B2 JP 3831656B2 JP 2001371940 A JP2001371940 A JP 2001371940A JP 2001371940 A JP2001371940 A JP 2001371940A JP 3831656 B2 JP3831656 B2 JP 3831656B2
Authority
JP
Japan
Prior art keywords
subscriber
network
service
terminal
registered
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2001371940A
Other languages
English (en)
Other versions
JP2003174482A (ja
JP2003174482A5 (ja
Inventor
眞利 滝広
裕章 宮田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2001371940A priority Critical patent/JP3831656B2/ja
Priority to US10/077,750 priority patent/US20030115482A1/en
Publication of JP2003174482A publication Critical patent/JP2003174482A/ja
Publication of JP2003174482A5 publication Critical patent/JP2003174482A5/ja
Application granted granted Critical
Publication of JP3831656B2 publication Critical patent/JP3831656B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Description

【0001】
【発明の属する技術分野】
本発明は、インターネット等のネットワーク接続サービスを提供するネットワーク接続装置に関し、特に、ネットワーク接続サービスに対する付加的サービスとして、個々のサービス加入者に対して固有のアクセス制御サービスを提供することのできるネットワーク接続装置に関する。
【0002】
【従来の技術】
近年、インターネット接続サービス以外の付加的サービスとして、アクセス制御サービスを行なうISP(Internet Servise Provider)が増えてきている。ここで、アクセス制御サービスとして代表的なものに、ストレージ提供サービスやパケットフィルタリングサービスなどがある。以下に、これらのサービスについて簡単に説明する。
【0003】
(1)ストレージ提供サービス
例えばホームページ用のストレージサーバを用意して、サービス加入者にその利用を許可するサービスである。通常、サービス加入者のうち、ストレージ提供サービスを享受できる付加サービス加入者に対してのみ、ストレージサーバの利用を許可するため、ファイルアクセスの際に、ログイン認証によりアクセス制御を行なっている。例えば、ストレージサーバとして、FTP(RFC959, File Transfer Protocol)サーバが用いられる場合は、FTPの認証機能を用いて、ファイルアクセスの際にログイン認証が行なわれることが多い。
【0004】
(2)パケットフィルタリングサービス
インターネット等の接続先ネットワークからサービス加入者に転送されるパケットを制限するサービスである。サービス加入者によって許可された属性のパケットのみをネットワークからサービス加入者に対して転送し、それら以外のパケットを廃棄する。これにより、接続先ネットワークからのアクセスを制御して、サービス加入者のネットワークセキュリティを保護する。
【0005】
【発明が解決しようとする課題】
さて、ネットワーク接続サービス以外の付加的サービスとして提供される上記従来のアクセス制御サービスには、以下のような問題がある。
【0006】
(1)ストレージ提供サービス
ストレージサーバは、サービス提供者側で管理される。そして、サービス提供者は、ストレージサーバに対する不正なアクセスを制限するため、通常、ファイルアクセスの際にログイン認証を行なうことにより、サーバ利用を許可するか否かを決定する。このことは、正当なサーバ利用権限を有する付加サービス加入者からすれば、サーバを利用する毎に認証のための手続が必要になることを意味する。ローカル接続されたストレージや、付加サービス加入者の属するLAN(Local Area Network)に位置するストレージサーバを利用する場合に比べると、使い勝手が悪い。
【0007】
(2)パケットフィルタリングサービス
パケットフィルタリングのための設定は、付加サービス加入者がサービス提供者に依頼する。例えば、付加サービス加入者が端末等を用いて、サービス提供者が提供するWebサイトにアクセスし、パケットフィルタリングのための設定を依頼する。これを受けて、サービス提供者は、付加サービス加入者より依頼された内容に従い、パケットフィルタリングのための設定をネットワーク接続装置に施す。このため、付加サービス加入者がサービス提供者にパケットフィルタリングのための設定を依頼してから、実際にパケットフィルタリングが適用されるまでにタイムラグが生じる。ローカルあるいはLAN接続されたファイアウォールに対してパケットフィルタリング設定する場合に比べると、使い勝手が悪い。また、付加サービス加入者の個々に対して、カスタマイズされたパケットフィルタリングの設定を行なう場合、付加サービス加入者が増加すると、サービス提供者の負担もそれだけ増加してしまう。
【0008】
本発明は、上記事情に鑑みてなされたものであり、本発明の目的は、ネットワーク接続サービス以外の付加的サービスとして提供されるアクセス制御サービスの使い勝手を向上させることにある。
【0009】
より具体的には、ローカル接続されたストレージやLANに位置するストレージサーバを利用する場合と同様の使い勝手で、ストレージ提供サービスを提供できるようにする。また、ローカルあるいはLAN接続されたファイアウォールに対してパケットフィルタリング設定する場合と同様の使い勝手で、パケットフィルタリングサービスを提供できるようにする。
【0010】
【課題を解決するための手段】
上記課題を解決するために、本発明のネットワーク接続装置は、加入者の端末をネットワークに接続するネットワーク接続サービスと、前記加入者の端末にネットワーク接続サービス以外の付加的サービスであるアクセス制御サービスと、を提供する。そして、加入者を認証するための加入者情報を、加入者が利用可能なアクセス制御サービスに関するアクセス制御情報と共に記憶する加入者情報記憶手段と、加入者の端末より第1のネットワークへの接続要求を受付けると、当該端末より入手した加入者情報と、前記加入者情報記憶手段に記憶されている加入者情報とを用いて、当該加入者を認証する加入者認証手段と、前記加入者認証手段により認証された加入者の端末を、前記第1のネットワークに接続すると共に、当該加入者の識別情報と共に前記加入者情報記憶手段に記憶されているアクセス制御情報に従って、当該加入者の端末を含む所定ノードへのアクセスを制御するサービス提供手段と、を有する。
【0011】
本発明のネットワーク接続装置では、上記の構成により、ネットワーク接続サービス以外の付加的サービスであるアクセス制御サービスを享受するために、ネットワーク接続サービスのために要求される認証手続以外の特別な手続が要求されることはない。したがって、アクセス制御サービスの使い勝手が向上する。
【0012】
なお、本発明において、前記サービス提供手段は、前記加入者情報記憶手段に記憶されれいるアクセス制御情報に従って、前記第1のネットワークとは別の第2のネットワークに属する所定のサーバが、前記加入者の端末からのみアクセスされるように制御することで、前記所定のサーバおよび前記加入者の端末を含む閉域ネットワークを構成するものでもよい。
【0013】
例えば、前記第2のネットワークおよび前記加入者の端末が属する第3のネットワークは、IEEE802.3で標準化されているイーサ網(Ethernet:登録商標)である場合、前記サービス提供手段は、前記加入者の端末と前記所定のサーバとの間をブリッジ接続することで、前記所定のサーバおよび前記加入者の端末を含む閉域ネットワークを構成すればよい。また、前記第2のネットワークおよび前記加入者の端末が属する第3のネットワークは、IP(Internet Protocol)網である場合、前記サービス提供手段は、前記加入者の端末と前記所定のサーバとの間をルータ接続することで、前記所定のサーバおよび前記加入者の端末を含む閉域ネットワークを構成すればよい。
【0014】
このようにすることで、前記所定のサーバを、ローカル接続されたストレージや自身のLANに位置するサーバを利用する場合と同様の使い勝手で利用することができる。
【0015】
また、本発明において、前記サービス提供手段は、前記加入者情報記憶手段に記憶されているアクセス制御情報に従って、前記第1のネットワークと前記加入者の端末との間を行き来するパケットを、フィルタリングするものでもよい。そして、この場合、前記加入者認証手段により認証された加入者の端末より前記アクセス制御情報を受付け、これを前記加入者の加入者情報と共に前記加入者情報記憶手段に記憶する設定受付手段をさらに設けるとよい。
【0016】
このようにするこで、ローカルあるいはLAN接続されたファイアウォールに対してパケットフィルタリング設定する場合と同様の使い勝手で、パケットフィルタリングの設定を行なうことができる。
【0017】
【発明の実施の形態】
以下に、本発明の実施の形態について説明する。
【0018】
図1は、本発明の一実施形態が提供されたネットワーク接続サービスシステムの概略図である。
【0019】
図1において、加入者収容装置1は、サービスネットワーク22への接続サービスを行なうネットワーク接続装置である。加入者収容装置1は、アクセスネットワーク21を介して、加入者の端末6a、6bやブリッジ/ルータ53を収容しており、これらをサービスネットワーク22に接続するサービス(ネットワーク接続サービス)を行なう。そして、接続時間、通信データ量による課金などにより、サービスを提供した加入者の管理を行う。
【0020】
本実施形態では、サービスネットワーク22としてインターネット等のIP網を想定している。また、アクセスネットワーク21として、IEEE802.3で標準化されているイーサ網(Ethernet)を想定している。加入者収容装置1は、イーサ網上に構築された論理回線3a〜3cにより、加入者の端末6a、6bやブリッジ/ルータ53を接続する。ここで、ブリッジ/ルータ53は、加入者の端末6cを含むLAN54に接続されている。
【0021】
なお、論理回線を確立すための技術としては、PPP(RFC1661 The Point-to-Point Protocol)やIEEE802.1Qで標準化されているVLAN(Virtual LAN)などがある。これらの技術により確立される論理回線を図2に示す。
【0022】
図2(a)は、PPPoE(PPP over Ethernet)による論理チャネルおよびVLANによる論理回線が、イーサ網上にそれぞれ2回線ずつ構築された場合を例示している。
【0023】
図2(b)は、PPPoEにより確立される論理回線上を伝送するPPPoEフレームのフレームフォーマットを示している。図示するように、PPPoEフレームは、Ethernetフレームヘッダとして、宛先アドレス311、送信者アドレス312、および、Ethernetフレームの内容がPPPoEであることを示すType(0x8864)313を持つ。また、PPPoEヘッダとして、PPPoEのバージョンなどを示すVer.(0x1)314およびType(0x1)315と、PPPoEパケットの中身が通常データであることを示すバージョンCode(0x00)316と、Session ID317と、Length318とを持つ。Session ID317に格納されている値により論理回線が識別される。Payload319にはPPPフレームが格納される。さらに、Ethernetフレームトレイラとして、FCS(Frame Check Sequence)320を持つ。
【0024】
図2(c)は、VLANにより確立される論理回線上を伝送されるVLANフレームのフレームフォーマットを示している。図示するように、VLANフレームは、拡張されたEthernetフレームヘッダとしてIEEE802.1Qで規定されており、宛先アドレス321、送信者アドレス322、TP ID(Tag Protocol ID)323、TCI(Tag Control Information)324およびEthernetフレームの内容がVLANであることを示すType(0x8864)325を持つ。TCIフィールド324内には、12ビットのVLAN IDが格納され、これにより論理回線が識別される。Payload326にはIPパケットが含まれる。さらに、EthernetフレームトレイラとしてFCS327を持つ。
【0025】
また、加入者収容装置1は、サーバネットワーク4と接続されており、ネットワーク接続サービスの加入者に、サーバネットワーク4内に位置するサーバ41、42のプライベートな利用を許可するサービス(プライベートサーバ提供サービス)を行なう。
【0026】
本実施形態では、サーバネットワーク4としてイーサ網を想定している。サーバネットワーク4は、加入者収容装置1と地理的に隣接している必要はない。専用回線などで接続された遠方のネットワークでもよい。加入者収容装置1は、論理回線3d、3e(これらの論理回線の確立すための技術は論理回線3a〜3cの場合と同様である)を介して、サーバネットワーク4上のサーバ41、42と接続しており、アクセスネットワーク21を介して加入者収容装置1に接続する加入者の端末6a、6bやブリッジ/ルータ53を、サーバ41、42に接続する。これにより、閉域(プライベート)ネットワークを構成して、ネットワーク接続サービス加入者に、サーバ41、42のプライベートな利用を許可する。
【0027】
ここで、閉域ネットワークとは、閉域ネットワークに属するノード(端末やサーバなど)間の自由な通信を許すが、閉域ネットワークに属さないノードからの通信を制限できるネットワークである。図1に示す例では、加入者収容装置1は、論理回線3a、3dにより、加入者の端末6aおよびサーバ41を含む閉域ネットワーク51を構成している。また、加入者収容装置1は、論理回線3c、3eにより、ブリッジ/ルータ53およびサーバ42を含む閉域ネットワーク52を構成している。本実施形態において、加入者収容装置1は、イーサ網およびIP網のいずれかにより閉域ネットワークを構成することが可能である。図1に示す例では、閉域ネットワーク51をイーサ網により構成し、閉域ネットワーク52をIP網により構築している。
【0028】
加入者収容装置1が閉域ネットワークを構成することによって、ネットワーク接続サービスの加入者は、他のノードからアクセスされることのない専用の、つまりプライベートのサーバ41、42を、サーバネットワーク4に所有することができる。サーバ41、42としては、データストレージサーバや、映像、音楽等のコンテンツ配信サーバなどが考えられる。
【0029】
また、加入者収容装置1は、ネットワーク接続サービスに際し、ネットワーク接続サービス加入者の端末6a〜6cより受付けた設定内容に従い、この設定内容によって許可されている属性のパケットのみをサービスネットワーク22からサービス加入者の端末6a〜6cに対して転送し、それら以外のパケットを廃棄するように、パケットフィルタリングするサービス(パケットフィルタリングサービス)を行なう。
【0030】
図3は、加入者収容装置1の概略図である。
【0031】
図示すように、加入者収容装置1は、アクセスネットワーク21を接続するためのアクセスネットワークIF部17と、サービスネットワーク22を接続するためのサービスネットワークIF部18と、サーバネットワーク4を接続するためのサーバネットワークIF部19と、各IF部17〜19間の中継(交換)を行なうスイッチ部16と、加入者収容装置1の各部を統括的に制御する主制御部14と、を有する。
【0032】
スイッチ部16は、ブリッジ接続(イーサフレームレベルでの接続)を行なうブリッジ接続部11と、ルータ接続(IPパケットレベルでの接続)を行なうルータ接続部12と、ブリッジ/ルータ識別情報テーブル161と、イーサフレーム処理部165と、を有する。
【0033】
ブリッジ/ルータ識別情報テーブル161には、アクセスネットワークIF17およびサーバネットワークIF部19に接続されている各論理回線が、ブリッジ接続であるか、それともルータ接続であるかを管理するための情報が登録される。図4は、ブリッジ/ルータ識別情報テーブル161の登録内容例を説明するための図である。この例では、論理回線の識別情報である論理回線IDを登録するためのフィールド161aと、この論理回線IDにより特定される論理回線がブリッジ接続されているか、それともルータ接続されているかを示す接続レイヤを登録するためのフィールド161bとを含んで1つのレコードが構成されている。なお、論理回線IDは、論理回線上を伝送するイーサフレームがPPPoEフレームの場合はSession ID317に格納されている値が該当し、論理回線上を伝送するイーサフレームがVLANフレームの場合はTCIフィールド324に格納されている値が該当する(図2参照)。また、接続レイヤがブリッジ接続の場合は、これにより構成される閉域ネットワークはイーサ網となり、一方、接続レイヤがルータ接続の場合は、これにより構成される閉域ネットワークはIP網となる。
【0034】
ブリッジ接続部11は、ブリッジグループ情報テーブル162を有する。図5は、ブリッジグループ情報テーブル162の登録内容例を説明するための図である。この例では、ブリッジ接続に対してユニークに割り当てられるグループ番号を登録するためのフィールド162aと、このブリッジ接続により互いに接続される論理回線の論理回線IDであるメンバー論理回線IDを登録するためのフィールド162bとを含んで1つのレコードが構成されている。
【0035】
ブリッジ接続部11は、フィールド162aに登録されているメンバー論理回線IDにより特定される論理回線をブリッジ接続することにより、ブリッジグループ情報テーブル162に登録されているレコード毎にイーサ網による閉域ネットワークを構成する。これにより、フィールド162aに登録されているメンバー論理回線IDにより特定される各論理回線に接続されたノードは、同じのブロードキャストドメイン(ブロードキャストパケットが伝達する範囲)に属する。
【0036】
但し、ブリッジ接続部11は、サービスネットワーク22へのネットワーク接続サービスを実現するために、アクセスネットワークIF部17に接続されている各論理回線をイーサフレーム処理部165に接続する。
【0037】
イーサフレーム処理部165は、ブリッジ接続部11よりイーサフレーム(PPPoEフレームもしくはVLANフレーム)を受け取り、このフレームのペイロードからIPパケットを抽出してルータ接続部12に渡す。このとき、このフレームの論理回線IDもルータ接続部12に通知する。また、イーサフレーム処理部165は、ルータ接続部12よりIPパケットを論理回線IDと共に受け取る。そして、IPパケットがペイロードに格納された、論理回線ID向けのイーサフレーム(PPPoEフレームもしくはVLANフレーム)を作成して、ブリッジ接続部11へ渡す。
【0038】
ルータ接続部12は、ルーティング情報テーブル163と、パケットフィルタリングを行なうフィルタリング部13とを有する。ルーティング情報テーブル163には、IPパケットのルーティング処理のための情報が登録される。図6は、ルーティング情報テーブル163の登録内容例を説明するための図である。この例では、宛先Prefix(宛先IPアドレス)を登録するためのフィールド163aと、Next HOP(転送先ノードのIPアドレス)を登録するためのフィールド163bと、Nex HOPヘ繋がる論理回線の論理回線IDである送信論理回線IDを登録するためのフィールド163cとを含んで1つのレコードが構成されている。
【0039】
ルータ接続部12は、イーサフレーム処理部165およびサービスネットワークIF部18より受け取ったIPパケットの宛先IPアドレスに対応する宛先Prefixがフィールド163aに登録されているレコードを、ルーティング情報テーブル163から検出する。そして、検出したレコードのフィールド163b、163cに登録されている内容に従って、このIPパケットの転送先ノードを決定する。そして、このIPパケットを転送先ノード情報と共に、転送先ノードが存在する側へ送出する。例えば、転送先ノードがアクセスネットワーク21もしくはサーバネットワーク4に属するノードならば、IPパケットをイーサフレーム処理部165へ送出する。一方、転送先ノードがサービスネットワーク22に属するノードならば、IPパケットをサービスネットワークIF部18へ送出する。これにより、IPパケットのルーティング処理を行なう。
【0040】
フィルタリング部13は、フィルタ情報テーブル164を有する。図7は、フィルタリング情報テーブル164の登録内容例を説明するための図である。この例では、受信側ノードへ繋がる論理回線の論理回線IDである受信論理回線IDを登録するためのフィールド164aと、送信側ノードへ繋がる論理回線の論理回線IDである送信論理回線IDを登録するためのフィールド164bと、宛先アドレスを登録するためのフィールド164cと、発信元アドレスを登録するためのフィールド164dと、IPパケットの上位レイヤの種類であるプロトコル種を登録するためのフィールド164eと、フィルード164a〜164eに登録される情報以外のIPパケットの属性情報であるその他属性を登録するためのフィールド164fと、フィールド164a〜164fに登録されている各種条件を満足するIPパケットの転送を許可(Accept)するか、それとも拒否(Deny)するかを示す制御ルールを登録するためのフィールド164gと、を含んで1つのレコードが構成されている。
【0041】
フィルタリング部13は、ルーティング処理により転送先が決定されたIPパケットが条件を満足するレコードをフィルタリング情報テーブル164から抽出する。そして、抽出したレコードのフィールド164gに登録されている制御ルールに従って、転送を許可するかそれとも拒否するかを決定する。許可する場合は、このIPパケットを、ルーティング処理により決定された転送先に応じて、イーサフレーム処理部165(転送先がアクセスネットワーク21あるいはサーバネットワーク4の場合)およびサービスネットワークIF部18(転送先がサービスネットワーク22の場合)のいずれかに送出する。一方、拒否する場合は、このIPパケットを廃棄する。
【0042】
主制御部14は、加入者識別/認証部141と、スイッチ設定部142と、設定受付部144と、を有する。
【0043】
加入者識別/認証部141は、加入者情報テーブル143を有する。図8は、加入者情報テーブル143の登録内容例を説明するための図である。この例では、ログイン名等の加入者IDを登録するためのフィールド143aと、加入者の端末との間に確立された論理回線の論理回線IDである加入者論理回線IDを登録するためのフィールド143bと、パスワードを登録するためのフィールド143cと、加入者がプライベートサーバ提供サービスに加入している場合に、この提供サービスのために形成される閉域ネットワークの形態(ブリッジ接続による閉域ネットワークか、それともルータ接続による閉域ネットワークか)を登録するためのフィールド143dと、加入者がプライベートサーバ提供サービスに加入している場合に利用可能なサーバの識別情報であるサーバIDを登録するためのフィールド143eと、サーバIDにより特定されるサーバとの間に確立された論理回線の論理回線IDであるメンバ論理回線IDを登録するためのフィールド143fと、パケットフィルタリングサービスに加入している場合にその設定内容を登録するためのフィールド143gと、を含んで1つのレコードが構成されている。ここで、フィールド143a、143c、143d、143eおよび143gには、予め情報が設定されているが、フィールド143b、143fには、加入者の端末との間およびサーバとの間に、それぞれ論理回線が確立される毎に情報が登録される。
【0044】
加入者識別/認証部141は、アクセスネットワークIF部17を介して加入者の端末6a〜6cからアクセスされると、アクセスした端末(以下、アクセス端末と呼ぶ)から加入者IDおよびパスワードを入手する。そして、入手した加入者IDおよびパスワードがフィールド143a、143cに登録されているレコードを、加入者情報テーブル143から検出する。これにより、加入者の認証を行なう。
【0045】
そして、加入者識別/認証部141は、加入者の認証が成立したならば、アクセスネットワークIF部17を制御して、アクセスネットワークIF部17およびアクセス端末間に論理回線を確立すると共に、確立した論理回線の論理回線IDを、加入者論理回線IDとして、検出したレコードのフィールド143bに登録する。また、検出したレコードのフィールド143eにサーバIDが登録されているならば、サーバネットワークIF部4を制御して、サーバネットワークIF部4およびサーバ間に論理回線を確立すると共に、確立した論理回線の論理回線IDを、メンバ論理回線IDとして、検出したレコードのフィールド143fに登録する。
【0046】
スイッチ設定部142は、加入者情報テーブル143のフィールド143b、143fに論理回線IDが登録されているレコード(注目レコードと呼ぶ)に基づいて、スイッチ部16の各種情報テーブルの登録内容を更新する。
【0047】
具体的には、注目レコードのフィールド143b、143fに登録されている論理回線ID毎に、ブリッジ/ルータ識別情報テーブル161にレコードを追加する。そして、追加したレコードのフィールド161aに、論理回線IDを登録し、また、フィールド161bに、注目レコードのフィールド143dの登録内容を登録する。
【0048】
また、ルーティング情報テーブル163において、加入者の端末のアドレスがフィールド163aに登録されているレコードのフィールド163cに、注目レコードのフィールド143bに登録されている論理回線IDを登録すると共に、サーバの端末のアドレスがフィールド163aに登録されているレコードのフィールド163cに、注目レコードのフィールド143fに格納されている論理回線IDを登録する。
【0049】
また、注目レコードのフィールド143dの登録内容がブリッジ接続による閉域ネットワークであるならば、ブリッジグループ情報テーブル162に、ユニークなグループ番号がフィールド162aに登録されたレコードを追加する。そして、追加したレコードのフィールド162bに、注目レコードのフィールド143b、143fに登録されている論理回線IDを登録する。
【0050】
また、注目レコードのフィールド143dの登録内容がルータ接続による閉域ネットワークであるならば、注目レコードのフィールド143eに登録されているサーバIDにより特定されるサーバが、注目レコードのフィールド143aに登録されている加入者IDにより特定される加入者の端末に対してのみ、IPパケットを送受できるようにするためのレコードを、フィルタ情報テーブル164に追加する。
【0051】
また、注目レコードのフィールド143aに登録されている加入者IDにより特定される加入者の端末がサービスネットワーク22とIPパケットを送受できるようにするためのレコードを、フィルタ情報テーブル164に追加する。この際、注目レコードのフィールド143gにフィルタリングの設定内容が登録されているならば、加入者の端末が、このフィルタリングの設定内容に従って、サービスネットワーク22とIPパケットを送受できるようにするためのレコードを作成する。
【0052】
設定受付部144は、例えばHTTPサーバとしての機能を備えており、加入者認証されたアクセス端末より、加入者収容装置1が提供するパケットフィルタリングサービスの変更内容を受付ける。
【0053】
次に、上記構成の加入者収容装置1の動作について説明する。
【0054】
先ず、加入者収容装置1が、アクセス端末に対して、必要に応じて付加的サービス(プライベートサーバ提供サービスやパケットフィルタリングサービス)を、ネットワーク接続サービスと共に提供する場合の動作について説明する。
【0055】
図9は、加入者収容装置1が、アクセス端末に対して、必要に応じて付加的サービスを、ネットワーク接続サービスと共に提供する場合の動作を説明するためのフロー図である。
【0056】
まず、主制御部14の加入者識別/認証部141は、アクセスネットワークIF部17を介してアクセス端末より加入者IDおよびパスワードを含む接続要求を受け取ると(S901)、前記加入者IDおよびパスワードがそれぞれフィールド143a、143cに登録されているレコードが加入者情報テーブル143に登録されていることを確認することにより、加入者の認証を行なう(S902)。ここで、アクセス端末との論理回線をVLANで確立する場合、加入者識別/認証部141は、IEEE802.1xに規定された認証プロトコルを用いて接続要求をアクセス端末から入手できる。また、アクセス端末との論理回線をPPPoEで確立する場合、加入者識別/認証部141は、PAP(Password Authentication Protocol)やCHAP(Challenge Handshake Authentication Protocol)などの認証プロトコルを用いて接続要求をアクセス端末から入手できる。
【0057】
さて、加入者の認証が成立しなかった場合、つまり、受け取った接続要求に含まれている加入者IDおよびパスワードがそれぞれフィールド143a、143cに登録されているレコード(加入者レコードと呼ぶ)が、加入者情報テーブル143に登録されていない場合、加入者識別/認証部141は、アクセス端末の接続を拒否して処理を終了する(S904)。
【0058】
一方、加入者の認証が成立した場合、つまり、加入者レコードが加入者情報テーブル143に登録されている場合、加入者識別/認証部141は、アクセスネットワークIF部17を制御し、アクセス端末との間に論理回線を確立して、その論理回線の論理回線IDを、加入者論理回線IDとして、加入者レコードのフィールド143bに登録する(S905)。このとき、ルーティング情報テーブル163から、アクセス端末のアドレスがフィールド163bに登録されているレコードを検出し、このレコードのフィールド163cに加入者論理回線IDとして登録した論理回線IDを登録する。
【0059】
次に、スイッチ設定部142は、加入者レコードのフィールド143gの登録内容を調べる(S906)。フィールド143gに、パケットフィルタリング設定内容が登録されていなければ、アクセス端末がサービスネットワーク22に対して全てのIPパケットを送受できるようにするためのフィルタ情報を規定したレコードを作成し、これをフィルタ情報テーブル164に登録する。一方、フィールド143gに、パケットフィルタリング設定内容が登録されているならば、この設定内容に従ってアクセス端末がサービスネットワーク22とIPパケットを送受できるようにするためのフィルタ情報を規定したレコードを作成し、これをフィルタ情報テーブル164に登録する(S907)。
【0060】
図7において、符号1642は、論理回線ID「1」の論理回線を介して接続されたIPアドレス「**.**.**」の端末アドレスが、サービスネットワーク22に対して全てのIPパケットを送受できるようにするためのフィルタ情報のレコードの例を示している。また、符号1643は、論理回線ID「3」の論理回線を介して接続されたIPアドレス「**.**.**」の端末アドレスが、サービスネットワーク22に対して、UDPパケットの受信を除いてIPパケットを送受できるようにするためのフィルタ情報のレコードの例を示している。ここで、論理回線ID「99」は、サービスネットワーク22への経路に対して予め固定的に割り当てられたIDである。
【0061】
ルータ接続部12は、ルーティング情報テーブル163に登録されたルーティング情報に従ってIPパケットの転送先ノードを決定すると共に、フィルタ情報テーブル164に登録されたフィルタ情報に従って、IPパケットの転送先ノードへの中継を制御する。これにより、加入者は、パケットフィルタリングサービスを享受することができる。
【0062】
次に、スイッチ設定部142は、加入者レコードのフィールド143dの登録内容を調べる(S908)。
【0063】
フィールド143dに、ブリッジ接続による閉域ネットワークを示す情報が登録されている場合(S909)、スイッチ設定部142は、フィールド143eに登録されているサーバIDにより特定されるサーバ41、42との間に論理回線を確立し、その論理回線の論理回線IDを、メンバ論理回線IDとして、加入者レコードのフィールド143fに登録する(S910)。このとき、ルーティング情報テーブル163から、前記サーバのアドレスがフィールド163bに登録されているレコードを検出し、このレコードのフィールド163cにメンバ論理回線IDとして登録した論理回線IDを登録する。それから、スイッチ設定部142は、加入者レコードのフィールド143bに登録した論理回線IDがフィールド161aに登録され、ブリッジ接続であることを示す情報がフィールド161bに登録されたレコードを、ブリッジ/ルータ識別情報テーブル161に登録する(S911)。さらに、加入者レコードのフィールド143b、143fに登録した論理回線IDがフィールド162bに登録され、ユニークなグループ番号がフィールド162aに登録されたレコードを、ブリッジグループ情報テーブル162に登録する(S912)。
【0064】
ブリッジ接続部11は、ブリッジグループ情報テーブルに登録された情報に従って、論理回線をブリッジ接続する。これにより、アクセス端末およびサーバを含む、ブリッジ接続によるイーサ網の閉域ネットワークが構成される。
【0065】
一方、フィールド143dに、ルータ接続による閉域ネットワークを示す情報が登録されている場合(S913)、スイッチ設定部142は、フィールド143eに登録されているサーバIDにより特定されるサーバ41、42との間に論理回線を確立し、その論理回線の論理回線IDを、メンバ論理回線IDとして、加入者レコードのフィールド143fに登録する(S914)。このとき、ルーティング情報テーブル163から、前記サーバのアドレスがフィールド163bに登録されているレコードを検出し、このレコードのフィールド163cにメンバ論理回線IDとして登録した論理回線IDを登録する。それから、スイッチ設定部142は、加入者レコードのフィールド143bに登録した論理回線IDがフィールド161aに登録され、ルータ接続であることを示す情報がフィールド161bに登録されたレコードを、ブリッジ/ルータ識別情報テーブル161に登録する(S915)。さらに、アクセス端末と、加入者レコードのフィールド143eに登録されているサーバIDにより特定されるサーバとの間で、IPパケットを送受できるようにするためのフィルタ情報を規定したレコードを作成し、これをフィルタ情報テーブル164に登録する(S916)。
【0066】
図7において、符号1641は、論理回線ID「1」の論理回線を介して接続されたIPアドレス「**.**.**」の端末アドレスが、論理回線ID「12」の論理回線を介して接続されたIPアドレス「**.**.**」のサーバに対して全てのIPパケットを送受できるようにするためのフィルタ情報のレコードの例を示している。
【0067】
ルータ接続部12は、ルーティング情報テーブル163に登録されたルーティング情報に従ってIPパケットの転送先ノードを決定すると共に、フィルタ情報テーブル164に登録されたフィルタ情報に従って、IPパケットの転送先ノードへの中継を制御する。これにより、アクセス端末およびサーバを含む、ルータ接続によるIP網の閉域ネットワークが構成される。
【0068】
次に、図9に示すフローにより構成される閉域ネットワークについて説明する。まず、ブリッジ接続によるイーサ網の閉域ネットワークについて説明する。
【0069】
図10は、ブリッジ接続によるイーサ網の閉域ネットワーク51の構成を示している。加入者の端末6aおよびサーバ41は、それぞれ論理回線3a、3dにより加入者収容装置1と接続されている。そして、加入者収容装置1のブリッジ接続部11は、論理回線3a、論理回線3dおよびイーサフレーム処理部165をブリッジ接続しており、これにより、イーサ網の閉域ネットワーク51を構成している。ブリッジ接続のため、加入者の端末6aとサーバ41は、同じLANに接続されている場合と同様の動作で、互いに通信することができる。つまり、上位プロトコルがインターネット通信に用いられるTCP/IPではなく、加入者の端末6aの使用するソフトウェアベンダの独自プロトコルであっても、加入者の端末6aとサーバ41との間の自由な通信が可能となる。また、ルータ接続部12のフィルタリング部13において、サービスネットワーク22およびサーバ41間のIPパケットの送受を制御することで、加入者の端末6aに対してのみ、サーバ41に対する自由なアクセスを許可することができる。
【0070】
図11は、図9に示すフローによりイーサ網による閉域ネットワーク51が構成されるまでの情報の流れを説明するための図である。上述したように、先ず、加入者識別/認証部141は、加入者の端末6aから接続要求を受け取ると(S901)、加入者情報テーブル143を用いて認証を行う。そして、認証が成立したならば、加入者の端末6aとの間に論理回線を確立して、その論理回線ID(ここでは「1」)を加入者情報テーブル143の加入者レコードに登録する(S903)。次に、スイッチ設定部142は、加入者レコードを参照してフィルタリングサービスの確認を行ない、その確認結果を考慮した上でフィルタ情報テーブル164にサービスネットワーク利用のためのフィルタ情報を設定する(S907)。それから、スイッチ設定部142は、加入者レコードのサーバIDにより特定されるサーバ41との間に論理回線を確立して、その論理回線ID(ここでは「12」)を加入者情報テーブル143の加入者レコードに登録する(S910)。また、スイッチ設定部142は、サーバ41が加入者の端末6aとのみ通信を行なえるようにするための情報を、ブリッジ/ルータ識別情報テーブル161やブリッジグループ情報テーブル162に登録する(S911〜S912)。これにより、ブリッジ接続部11は、論理回線ID「1」の論理回線と論理回線ID「12」の論理回線とをブリッジ接続する。
【0071】
次に、ルータ接続によるIP網の閉域ネットワークについて説明する。
【0072】
図12は、ルータ接続によるIP網の閉域ネットワーク52の構成を示している。加入者の端末6cがLAN接続されたブリッジ/ルータ53とサーバ42とは、それぞれ論理回線3c、3eにより加入者収容装置1と接続されている。そして、加入者収容装置1のルータ接続部11は、IPパケットが論理回線3c、論理回線3eおよびサービスネットワーク22間を行き来できるようにルータ接続しており、これにより、IP網の閉域ネットワーク52を構成している。ルータ接続のため、加入者の端末6cとサーバ42はIPパケットを使って互いに通信することができる。つまり、加入者の端末6aとサーバ42との間の自由なIP通信が可能となる。また、ルータ接続部12のフィルタリング部13において、サービスネットワーク22およびサーバ42間のIPパケットの送受を制御することで、加入者の端末6cに対してのみ、サーバ42に対する自由なアクセスを許可することができる。
【0073】
図13は、図9に示すフローによりIP網による閉域ネットワーク52が構成されるまでの情報の流れを説明するための図である。上述したように、先ず、加入者識別/認証部141は、加入者の端末6cが接続されたブリッジ/ルータ53から接続要求を受け取ると(S901)、加入者情報テーブル143を用いて認証を行う。そして、認証が成立したならば、ブリッジ/ルータ53との間に論理回線を確立して、その論理回線ID(ここでは「3」)を加入者情報テーブル143の加入者レコードに登録する(S903)。次に、スイッチ設定部142は、加入者レコードを参照してフィルタリングサービスの確認を行ない、その確認結果を考慮した上でフィルタ情報テーブル164にサービスネットワーク利用のためのフィルタ情報を設定する(S907)。それから、スイッチ設定部142は、加入者レコードのサーバIDにより特定されるサーバ42との間に論理回線を確立して、その論理回線ID(ここでは「15」)を加入者情報テーブル143の加入者レコードに登録する(S914)。また、スイッチ設定部142は、サーバ42がブリッジ/ルータ53とのみ通信を行なえるようにするための情報を、ブリッジ/ルータ識別情報テーブル161やフィルタ情報テーブル164に登録する(S915〜S916)。これにより、ルータ接続部12は、論理回線ID「3」の論理回線と論理回線ID「15」の論理回線とをルータ接続する。
【0074】
なお、以上の説明において、フィルタリング部13は、転送先ノードが決定されたIPパケットについて、対応するフィルタ情報のレコードがフィルタ情報テーブル164に登録されていれば、そのフィルタ情報に従ってIPパケットのフィルタリングを行なう。対応するフィルタ情報のレコードが登録されていない場合は、IPパケットを破棄する。しかし、対応するフィルタ情報のレコードが登録されていない場合は、IPパケットを破棄しないで、転送先ノードへ中継するようにしてもよい。この場合、ルータ接続による閉域ネットワーク内でのみIPパケットの自由な交換を保証するために、閉域ネットワーク内のノードが閉域ネットワーク外のノード(但し、サービスネットワーク22内のノードは除く)とIPパケットを交換できないようにするためのフィルタ情報を規定したレコードを、フィルタ情報テーブル164に登録する必要が生じる。
【0075】
以上、加入者収容装置1が、アクセス端末に対して、必要に応じて付加的サービスを、ネットワーク接続サービスと共に提供する場合の動作について説明した。次に、加入者収容装置1が、アクセス端末よりの依頼に応じて、パケットフィルタリングサービスの内容を変更する場合の動作について説明する。
【0076】
図14は、加入者収容装置1が、アクセス端末よりの依頼に応じて、パケットフィルタリングサービスの内容を変更する場合の動作について説明するためのフロー図である。このフローは、図9によるフローにより加入者認証が成立し、この加入者の端末との間に論理回線が確立されている状態にて実行される。
【0077】
まず、主制御部14の加入者識別/認証部141は、アクセスネットワークIF部17およびスイッチ部16を介してアクセス端末よりフィルタ情報の設定変更要求を受け取ると(S1401)、この設定変更要求を格納したIPパケットと共にスイッチ部16より通知された、このIPパケットの論理回線の論理回線IDが、フィールド143bに登録されているレコードを、加入者情報テーブル143から検出する。これにより、フィルタ情報の設定変更を要求する加入者を識別する。次に、加入者識別/認証部141は、抽出したレコードのフィルード143gの登録内容を調べることで、フィルタリングサービスに加入しているか否かを確認する(S1402)。
【0078】
その結果、フィルタリングサービスに加入していないことが確認されたならば(S1403)、アクセス端末よりの設定変更要求を拒否して処理を終了する(S1404)。
【0079】
一方、フィルタリングサービスに加入していることが確認されたならば(1403)、その旨を設定受付部144に知らせる。これを受けて、設定受付部144は、スイッチ部16およびアクセスネットワークIF部17を介して、アクセス端末に、例えば図15に示すような、アクセス端末の操作者であるサービス加入者より、パケットフィルタリングのための各種設定情報であるフィルタ情報を受け付けるための受付画面を表示させるためのデータを送信する。そして、アクセス端末よりフィルタ情報を入手する(S1405)。そして、入手したフィルタ情報をスイッチ設定部142に渡す。
【0080】
スイッチ設定部142は、設定受付部144より入手したフィルタ情報が、送信元および送信先のいずれか一方をアクセス端末のアドレスとするIPパケットに関するものであることを確認する(S1406)。そのようなIPパケットに関するものでない場合は、アクセス端末よりの設定変更要求を拒否して処理を終了する(S1404)。一方、そのようなIPパケットに関するものである場合は、加入者情報テーブル143内の、アクセス端末の加入者に対応するレコードのフィールド143gに、このフィルタ情報を登録もしくは更新する。また、登録もしくは更新前のフィールド143gに登録されていたフィルタ情報に対応するレコードが、登録もしくは更新後のフィールド143gに登録されたフィルタ情報に対応するレコードに変更されるように、フィルタ情報テーブル164を更新する(S1407)。
【0081】
次に、加入者収容装置1にて実施されるパケットフィルタリングについて説明する。図16は、加入者収容装置1にて実施されるパケットフィルタリングを説明するための図である。図示するように、フィルタリング部13は、ネットワーク接続サービスの提供を受けている加入者の端末と、サービスネットワーク22との間のIPパケットの中継を制限する。図に示す例では、サービスネットワーク22から加入者の端末6aに向けて伝送するIPパケットの一部を廃棄するようにしている。ここで、廃棄対象のIPパケットとして、たとえば、加入者からの要求により設定したTCPコネクションに関わるIPパケット以外のIPパケットが考えられる。セキュリティー確保の観点より、通常時は加入者からコネクション設定要求が行われたTCPコネクションによる通信のみを許可する。そして、その他の通信は、必要なときに、その通信を許可するようにフィルタ情報の変更要求を行なうことが考えられる。
【0082】
図17は、図14に示すフローによりパケットフィルタリングの設定内容が変更されるまでの情報の流れを説明するための図である。上述したように、先ず、加入者識別/認証部141は、加入者の端末6aからフィルタ情報の設定変更要求を受け取ると(S1401)、加入者情報テーブル143を用いて加入者を識別し、この加入者がパケットフィルタリングサービスに加入していることを確認する。そして、パケットフィルタリングサービスに加入していることを確認したならば、設定受付部144は、加入者の端末6aよりパケットフィルタリングの設定情報を受付け(S1405)、受付けた設定情報をフィルタリング部13のフィルタ情報テーブル164に反映させる(S1407)。これにより、フィルタリング部13は、加入者の端末6aおよびサービスネットワーク22間のパケットフィルタリングのルールを変更する。
【0083】
以上、本発明の一実施形態について説明した。
【0084】
本実施形態では、加入者よりのサービスネットワーク22への接続要求時に、加入者の端末6a〜6cとこの加入者が利用可能なサーバネットワーク4内のサーバ41、42との間を、ブリッジ接続あるいはルータ接続により接続して閉域ネットワークを構成するようにしている。したがって、加入者は、サーバネットワーク4内の自身が利用可能なサーバ41、42を、加入者の属するLANに位置しているサーバと同様に、アクセスすることができる。具体的には、サーバアクセス時にサーバによる認証が不要となる。これによって、加入者は、ファイルサーバ(ストレージ)などのサーバ管理を、ネットワーク接続サービスの提供者やサーバネットワークを運用する業者に委託しつつも、個々の加入者が各自で運用するのと同様の使い勝手を持つサーバを利用できる。
【0085】
また、本実施形態において、サービスネットワーク22の接続サービスを受けている加入者は、加入者の端末6a〜6cとサービスネットワーク22との間を行き来するIPパケットに適用すべきパケットフィルタリングの設定情報を、必要なときに即座に変更することができる。これにより、例えば、初期状態としては、加入者からコネクションを設定したTCPコネクションを介した通信のみを許可し、その他の通信が必要になったときに、フィルタ情報の設定変更要求を発行することによって、指定した通信を行なうことが可能になる。また、パケットフィルタリングの設定を、加入者収容装置1の管理者の介在なしに、つまり自動化しているため、管理者は、運用コストを増加させることなくネットワーク接続サービスに付加価値を付けることが可能となる。
【0086】
このように、本実施形態によれば、ネットワーク接続サービス以外の付加的サービスとして提供されるプライベートサーバ提供サービスやパケットフィルタリングサービスの使い勝手を向上させることができる。
【0087】
なお、本発明は上記の実施形態に限定されるものではなく、その要旨の範囲内で数々の変形が可能である。
【0088】
例えば、上記の実施形態では、加入者収容装置1に、加入者情報テーブル143を設けているが、これを外部のサーバに置くこともできる。外部サーバとしてRADIUSサーバが用いることができる。この場合、加入者識別/認証部141は、RADIUSクライアントとして機能する。このようにすることで、加入者の情報を集中管理できるという利点がある。
【0089】
また、上記の実施形態では、プライベートサーバ提供サービスとして、閉域ネットワークをイーサ網あるいはIP網で構成する場合を例にとり説明しているが、本発明はこれに限定されない。例えば、ルータ接続のみで閉域ネットワークを構成する場合、IPの下位レイヤであるデータリンクレイヤはイーサネットに限定されない。同様に、ブリッジ接続のみで閉域ネットワークを構成する場合、イーサネットの上位レイヤであるネットワークレイヤはIPに限定されない。
【0090】
さらに、上記の実施形態では、サービスネットワーク22へのネットワーク接続サービスに対する付加的サービスとして、プライベートサーバ提供サービスおよびパケットフィルタリングサービスを両方を適用可能としたシステムを例にとり説明しているが、プライベートサーバ提供サービスおよびパケットフィルタリングサービスのいずれか一方のみを適用可能としたシステムであっても構わない。また、付加的サービスも、プライベートサーバ提供サービスおよびパケットフィルタリングサービスに限定されるものではない。本発明は、サービスを受ける際に認証が必要となる様々なアクセス制御サービスに、適用可能である。
【0091】
【発明の効果】
以上説明したように、本発明によれば、ネットワーク接続サービス以外の付加的サービスとして提供されるアクセス制御サービスの使い勝手を向上させることができる。
【図面の簡単な説明】
【図1】本発明の一実施形態が提供されたネットワーク接続サービスシステムの概略図である。
【図2】PPPやVLANにより確立される論理回線を説明するための図である。
【図3】図1に示す加入者収容装置1の概略図である。
【図4】図3に示すブリッジ/ルータ識別情報テーブル161の登録内容例を説明するための図である。
【図5】図3に示すブリッジグループ情報テーブル162の登録内容例を説明するための図である。
【図6】図3に示すルーティング情報テーブル163の登録内容例を説明するための図である。
【図7】図3に示すフィルタリング情報テーブル164の登録内容例を説明するための図である。
【図8】図3に示す加入者情報テーブル143の登録内容例を説明するための図である。
【図9】加入者収容装置1が、アクセス端末に対して、必要に応じて付加的サービスを、ネットワーク接続サービスと共に提供する場合の動作を説明するためのフロー図である。
【図10】ブリッジ接続によるイーサ網の閉域ネットワーク51の構成を示す図である。
【図11】図9に示すフローによりイーサ網による閉域ネットワーク51が構成されるまでの情報の流れを説明するための図である。
【図12】ルータ接続によるIP網の閉域ネットワーク52の構成を示す図である。
【図13】図9に示すフローによりIP網による閉域ネットワーク52が構成されるまでの情報の流れを説明するための図である。
【図14】加入者収容装置1が、アクセス端末よりの依頼に応じて、パケットフィルタリングサービスの内容を変更する場合の動作について説明するためのフロー図である。
【図15】アクセス端末の操作者であるサービス加入者より、パケットフィルタリングのための各種設定情報であるフィルタ情報を受け付けるための受付画面例を示す図である。
【図16】加入者収容装置1にて実施されるパケットフィルタリングを説明するための図である。
【図17】図14に示すフローによりパケットフィルタリングの設定内容が変更されるまでの情報の流れを説明するための図である。
【符号の説明】
1…加入者収容装置、3a〜3e…論理回線、4…サーバネットワーク、6a〜6c…端末、11…ブリッジ接続部、12…ルータ接続部、13…フィルタリング部、14…主制御部、16…スイッチ部、17…アクセスネットワークIF部、18…サービスネットワークIF部、19…サーバネットワークIF部、21…アクセスネットワーク、22…サービスネットワーク、41〜42…サーバ、51〜52…閉域ネットワーク、53…ブリッジ/ルータ、141…加入者識別/認証部、142…スイッチ設定部、143…加入者情報、144…設定受付部、161…ブリッジ/ルータ識別情報テーブル、162…ブリッジグループ情報テーブル、163…ルーティング情報テーブル、164…フィルタ情報テーブル、165…イーサフレーム処理部

Claims (4)

  1. 加入者の端末をネットワークに接続するネットワーク接続サービスと、前記加入者の端末にネットワーク接続サービス以外の付加的サービスであるアクセス制御サービスを提供するネットワーク接続装置であって、
    加入者を認証するための加入者情報を、加入者が利用可能なアクセス制御サービスに関するアクセス制御情報と共に記憶する加入者情報記憶手段と、
    加入者の端末より第1のネットワークへの接続要求を受付けると、当該端末より入手した加入者情報と、前記加入者情報記憶手段に記憶されている加入者情報とを用いて、当該加入者を認証する加入者認証手段と、
    前記加入者認証手段により認証された加入者の端末を、前記第1のネットワークに接続すると共に、当該加入者の識別情報と共に前記加入者情報記憶手段に記憶されているアクセス制御情報に従って、当該加入者の端末を含む所定ノードへのアクセスを制御するサービス提供手段と、を有し、
    前記サービス提供手段は、
    前記加入者情報記憶手段に記憶されているアクセス制御情報に従って、前記第1のネットワークとは別の第2のネットワークに属する所定のサーバが、前記加入者の端末からのみアクセスされるように制御することで、前記所定のサーバおよび前記加入者の端末を含む閉域ネットワークを構成すること
    を特徴とするネットワーク接続装置。
  2. 請求項記載のネットワーク接続装置であって、
    前記第2のネットワークおよび前記加入者の端末が属する第3のネットワークは、IEEE802.3で標準化されているネットワークであり、
    前記サービス提供手段は、
    前記加入者の端末と前記所定のサーバとの間をブリッジ接続することで、前記所定のサーバおよび前記加入者の端末を含む閉域ネットワークを構成すること
    を特徴とするネットワーク接続装置。
  3. 請求項記載のネットワーク接続装置であって、
    前記第2のネットワークおよび前記加入者の端末が属する第3のネットワークは、IP(Internet Protocol)網であり、
    前記サービス提供手段は、
    前記加入者の端末と前記所定のサーバとの間をルータ接続することで、前記所定のサーバおよび前記加入者の端末を含む閉域ネットワークを構成すること
    を特徴とするネットワーク接続装置。
  4. 加入者の端末をネットワークに接続するネットワーク接続サービスと、前記加入者の端末にネットワーク接続サービス以外の付加的サービスであるアクセス制御サービスを提供するネットワーク接続方法であって、
    加入者の端末より第1のネットワークへの接続要求を受付けると、当該端末より入手した加入者情報と、加入者情報記憶手段に記憶されている加入者情報とを用いて、当該加入者を認証する第1のステップと、
    認証された加入者の端末を、前記第1のネットワークに接続すると共に、当該加入者の識別情報と共に前記加入者情報記憶手段に記憶されているアクセス制御情報に従って、当該加入者の端末を含む所定ノードへのアクセスを制御する第2のステップと、を有し、
    前記第2のステップは、
    前記加入者情報記憶手段に記憶されているアクセス制御情報に従って、前記第1のネットワークとは別の第2のネットワークに属する所定のサーバが、前記加入者の端末からのみアクセスされるように制御することで、前記所定のサーバおよび前記加入者の端末を含む閉域ネットワークを構成すること
    を特徴とするネットワーク接続方法。
JP2001371940A 2001-12-05 2001-12-05 ネットワーク接続装置およびネットワーク接続方法 Expired - Fee Related JP3831656B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2001371940A JP3831656B2 (ja) 2001-12-05 2001-12-05 ネットワーク接続装置およびネットワーク接続方法
US10/077,750 US20030115482A1 (en) 2001-12-05 2002-02-20 Method and apparatus for network service

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2001371940A JP3831656B2 (ja) 2001-12-05 2001-12-05 ネットワーク接続装置およびネットワーク接続方法

Publications (3)

Publication Number Publication Date
JP2003174482A JP2003174482A (ja) 2003-06-20
JP2003174482A5 JP2003174482A5 (ja) 2004-12-24
JP3831656B2 true JP3831656B2 (ja) 2006-10-11

Family

ID=19180916

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2001371940A Expired - Fee Related JP3831656B2 (ja) 2001-12-05 2001-12-05 ネットワーク接続装置およびネットワーク接続方法

Country Status (2)

Country Link
US (1) US20030115482A1 (ja)
JP (1) JP3831656B2 (ja)

Families Citing this family (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1404053A1 (en) * 2002-09-25 2004-03-31 Thomson Multimedia Broadband Belgium Method for routing data packets, and devices for implementing the method
CN100366026C (zh) * 2003-07-06 2008-01-30 华为技术有限公司 一种在路由设备中实现报文转发控制的方法
JP4503605B2 (ja) * 2004-07-06 2010-07-14 株式会社エヌ・ティ・ティ・ドコモ メッセージ転送システム及びメッセージ転送方法
US7571460B2 (en) * 2004-08-06 2009-08-04 Time Warner Cable, Inc. System and method for affecting the behavior of a network device in a cable network
US8085662B2 (en) 2008-05-14 2011-12-27 Hewlett-Packard Company Open network connections
EP1737161A1 (en) * 2005-06-20 2006-12-27 Thomson Telecom Belgium Device and method for managing two types of devices
JP4852502B2 (ja) 2007-09-12 2012-01-11 株式会社日立製作所 アクセスサーバ及び接続制限方法
CA2637179A1 (en) * 2008-07-30 2010-01-30 John H. Dunstan A device and system to enable and operate the selection, sales and distribution of lottery tickets and other tickets processes
JP5482453B2 (ja) * 2010-05-27 2014-05-07 富士通株式会社 ルータ、情報処理装置及びプログラム
CN105991307B (zh) * 2015-01-30 2020-05-08 新华三技术有限公司 一种远程控制路由器的方法和装置
KR20210137548A (ko) * 2019-03-29 2021-11-17 광동 오포 모바일 텔레커뮤니케이션즈 코포레이션 리미티드 무선 통신의 방법 및 장치
US10979144B1 (en) * 2019-10-15 2021-04-13 Level 3 Communications, Llc Optical domain controller of a telecommunications network

Family Cites Families (25)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH08235114A (ja) * 1995-02-28 1996-09-13 Hitachi Ltd サーバアクセス方法と課金情報管理方法
US5721780A (en) * 1995-05-31 1998-02-24 Lucent Technologies, Inc. User-transparent security method and apparatus for authenticating user terminal access to a network
JPH10177552A (ja) * 1996-12-17 1998-06-30 Fuji Xerox Co Ltd 認証応答方法およびその方法を用いた認証応答装置
US6097719A (en) * 1997-03-11 2000-08-01 Bell Atlantic Network Services, Inc. Public IP transport network
US5978373A (en) * 1997-07-11 1999-11-02 Ag Communication Systems Corporation Wide area network system providing secure transmission
US6377571B1 (en) * 1998-04-23 2002-04-23 3Com Corporation Virtual modem for dialout clients in virtual private network
FR2778293B1 (fr) * 1998-04-30 2000-06-09 Alsthom Cge Alcatel Utilisation du couple numero d'appel - adresse d'origine internet
US6311275B1 (en) * 1998-08-03 2001-10-30 Cisco Technology, Inc. Method for providing single step log-on access to a differentiated computer network
US6317837B1 (en) * 1998-09-01 2001-11-13 Applianceware, Llc Internal network node with dedicated firewall
JP2000092236A (ja) * 1998-09-11 2000-03-31 Ntt Mobil Communication Network Inc 情報提供システム
US6606663B1 (en) * 1998-09-29 2003-08-12 Openwave Systems Inc. Method and apparatus for caching credentials in proxy servers for wireless user agents
US6145084A (en) * 1998-10-08 2000-11-07 Net I Trust Adaptive communication system enabling dissimilar devices to exchange information over a network
US6609153B1 (en) * 1998-12-24 2003-08-19 Redback Networks Inc. Domain isolation through virtual network machines
US6654808B1 (en) * 1999-04-02 2003-11-25 Lucent Technologies Inc. Proving quality of service in layer two tunneling protocol networks
JP2001067312A (ja) * 1999-08-27 2001-03-16 Nec Corp インターネットによる情報サービス方式、情報サービス方法及び情報サービス用プログラムを記録した記録媒体
JP2001086156A (ja) * 1999-09-10 2001-03-30 Fujitsu Ltd 拡張pppフレームを用いた通信システム
JP2001101129A (ja) * 1999-09-28 2001-04-13 Casio Comput Co Ltd 料金算定システム、及び料金算定方法、並びに料金算定プログラムを記憶した記憶媒体
US6697864B1 (en) * 1999-10-18 2004-02-24 Microsoft Corporation Login architecture for network access through a cable system
JP2001217875A (ja) * 2000-01-31 2001-08-10 Hideji Ogawa 中継装置、中継方法、および、情報記録媒体
JP4162347B2 (ja) * 2000-01-31 2008-10-08 富士通株式会社 ネットワークシステム
JP2001265689A (ja) * 2000-03-23 2001-09-28 Nippon Telegr & Teleph Corp <Ntt> ネットワークサービス利用権管理方法およびシステム
JP4294829B2 (ja) * 2000-04-26 2009-07-15 ウォーターフロント・テクノロジーズ エルエルシー モバイルネットワークシステム
JP2001326693A (ja) * 2000-05-17 2001-11-22 Nec Corp 通信装置及び通信制御方法並びに制御プログラム記録媒体
JP3714850B2 (ja) * 2000-05-18 2005-11-09 松下電器産業株式会社 ゲートウェイ装置、接続サーバ装置、インターネット端末、ネットワークシステム
JP4663099B2 (ja) * 2000-11-08 2011-03-30 ヤフー株式会社 Webサイトの利用者の認証手続きと個人情報の管理をASP装置により代行するシステム及び方法、ASP装置

Also Published As

Publication number Publication date
US20030115482A1 (en) 2003-06-19
JP2003174482A (ja) 2003-06-20

Similar Documents

Publication Publication Date Title
JP4023240B2 (ja) ユーザ認証システム
US10999094B2 (en) Title-enabled networking
US8165156B1 (en) Ethernet DSL access multiplexer and method providing dynamic service selection and end-user configuration
US7934014B2 (en) System for the internet connections, and server for routing connections to a client machine
JP6073338B2 (ja) 仮想化されたホームipサービスデリバリのためのアーキテクチャ
US7502841B2 (en) Server, system and method for providing access to a public network through an internal network of a multi-system operator
EP1753180B1 (en) Server for routing a connection to a client device
US20070011301A1 (en) Provisioning relay and re-direction server for service implementation on generic customer premises equipment
JP3831656B2 (ja) ネットワーク接続装置およびネットワーク接続方法
JP3419391B2 (ja) 認証拒否端末に対し特定条件でアクセスを許容するlan
WO2008019624A1 (fr) Procédé et système destinés à mettre en oeuvre la gestion de configuration de dispositifs dans un réseau
US20110142048A1 (en) System and method for providing common carrier selection service in distribution network
JP5261432B2 (ja) 通信システム、パケット転送方法、ネットワーク交換装置、アクセス制御装置、及びプログラム
JP2012070225A (ja) ネットワーク中継装置及び転送制御システム
CN100477609C (zh) 实现网络专线接入的方法
WO2001086906A2 (en) Server and method for providing specific network services
Cisco B - Accessing the Dashboard
Cisco Cisco 6510 Vendor-Specific RADIUS Attributes
JP3543767B2 (ja) ファクシミリシステム
CN118118422A (zh) 流量转发的方法、装置及电子设备
Wadhwa et al. RFC 6320: Protocol for Access Node Control Mechanism in Broadband Networks

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20050617

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20050809

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20060214

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20060405

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20060711

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20060714

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20090721

Year of fee payment: 3

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313113

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20090721

Year of fee payment: 3

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20090721

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100721

Year of fee payment: 4

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313111

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100721

Year of fee payment: 4

R371 Transfer withdrawn

Free format text: JAPANESE INTERMEDIATE CODE: R371

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100721

Year of fee payment: 4

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313111

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100721

Year of fee payment: 4

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100721

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110721

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110721

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120721

Year of fee payment: 6

LAPS Cancellation because of no payment of annual fees