JP4541430B2 - ネットワーク接続制御方法およびネットワーク接続制御装置 - Google Patents

ネットワーク接続制御方法およびネットワーク接続制御装置 Download PDF

Info

Publication number
JP4541430B2
JP4541430B2 JP2008157211A JP2008157211A JP4541430B2 JP 4541430 B2 JP4541430 B2 JP 4541430B2 JP 2008157211 A JP2008157211 A JP 2008157211A JP 2008157211 A JP2008157211 A JP 2008157211A JP 4541430 B2 JP4541430 B2 JP 4541430B2
Authority
JP
Japan
Prior art keywords
identifier
group
designated
user terminal
correspondence
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2008157211A
Other languages
English (en)
Other versions
JP2009303079A (ja
Inventor
高生 山下
英樹 山内
拓也 南
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2008157211A priority Critical patent/JP4541430B2/ja
Publication of JP2009303079A publication Critical patent/JP2009303079A/ja
Application granted granted Critical
Publication of JP4541430B2 publication Critical patent/JP4541430B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Description

この発明は、ネットワーク接続制御方法およびネットワーク接続制御装置に関する。
従来より、VPN(Virtual Private Network)環境を実現するための技術として、ユーザのアクセスに基づいて、レイヤー2トンネリングプロトコルアクセスコンセントレーター(LAC)とレイヤー2トンネリングプロトコルネットワークサーバ(LNS)とを、ネットワークを介してレイヤー2トンネリングプロトコル(L2TP)により接続する技術が知られている(例えば、非特許文献1参照)。
また、L2TPによる接続を制御するために、RADIUS(Remote Authentication Dial In User Service)サーバを用いる技術が知られている(例えば、非特許文献2〜4参照)。RADIUSサーバは、LACから送られる情報に基づいて、L2TPによる接続を制御する。以下、L2TPによる接続制御について、図17および図18を用いて説明する。図17および図18は、従来技術を説明するための図である。
例えば、図17に示すように、まず、ユーザ端末1がアクセスしたLACは、RADIUSサーバに、ユーザがユーザ端末1を介して指定したLNSグループの識別子である「LNSグループ1」を「User−Name属性」として送信する(図17の(1)参照)。ここで、ユーザが指定するLNSグループの識別子とは、例えば、ユーザが指定するインターネットサービスプロバイダ(ISP)のドメイン情報などのことである。
そして、「User−Name:LNSグループ1」を受信したRADIUSサーバは、ユーザ端末がアクセスしたLACがL2TPによって接続されるLNSの候補(接続先LNS候補)を示す「Tunnel−Server−Endpoint属性」として、「LNSグループ1」に所属する「LNS1およびLNS2」を、ユーザ端末1がアクセスしたLACに通知する(図17の(2)参照)。
RADIUSサーバから「Tunnel−Server−Endpoint属性」を通知されたLACは、「LNS1およびLNS2」から1つのLNSを選択し、選択したLNSとネットワークを介してL2TPにより接続を行なう。
しかし、ユーザ端末がLACを介して接続したいLNSグループを指定した際に、指定されたLNSグループに所属するLNSへの接続を無条件に許可してしまうと、ユーザ端末がLNSとの間で行なう認証処理のため、LNS、または「LNSと協調して動作するRADIUSサーバ」における負荷が増大することとなる。
また、LNSへの接続を無条件に許可してしまうと、悪意のあるユーザは、任意のLNSグループに対して接続要求を頻繁に行なうことにより、LNS、または「LNSと協調して動作するRADIUSサーバ」における負荷を容易に増大させることができる。
このため、LNSグループごとに接続を許可するLACを識別するための「接続許可テーブル」をRADIUSサーバに登録しておき、LACから接続を要求するLNSグループが送信された場合、RADIUSサーバが、接続要求されたLNSグループ用の「接続許可テーブル」を用いて、接続を許可するか否かを判定する技術が知られている。
具体的には、RADIUSサーバは、接続を許可するLACを識別するための「NAS−IP−Adress」や「Called−Station−Id」、および、接続を許可するユーザ(ユーザ端末)を識別するための「Calling−Station−Id」や「NAS−Port」などの属性情報の値の組み合わせを、LNSグループごとに登録した「接続許可テーブル」を記憶する。
ここで、「NAS−IP−Adress」は、LACに割り当てられたIP−Adressのことであり、「Called−Station−Id」は、ユーザ端末がLACを呼び出す際に用いた回線番号、すなわち、LACに割り当てられた回線番号のことである。したがって、「NAS−IP−Adress」や「Called−Station−Id」は、LACを識別するための属性情報となる。
また、「Calling−Station−Id」は、ユーザがユーザ端末を介してLACを呼び出す際に通知した回線番号、すなわち、ユーザ端末に割り当てられた回線番号のことであり、「NAS−Port」は、ユーザ端末を介してユーザが利用した回線につながるLACのポート番号のことである。したがって、「Calling−Station−Id」や「NAS−Port」は、ユーザが利用する回線を識別するための属性情報となる。
例えば、RADIUSサーバは、図18に示すように、LNSグループ1用接続許可テーブル、LNSグループ2用接続許可テーブル、LNSグループ3用接続許可テーブルといったように、接続を許可する「NAS−IP−Adress」と「Calling−Station−Id」との組み合わせをLNSグループごとに記憶する。
ここで、ユーザ端末1がアクセスしたLACが、RADIUSサーバに、ユーザがユーザ端末1を介して指定したLNSグループ識別子として「User−Name:LNSグループ1」を、「NAS−IP−Adress:192.168.1.1」および「Calling−Station−Id:1111111111」の属性情報とともに送信すると(図18の(1)参照)、RADIUSサーバは、受信したLNSグループ識別子に対応するLNSグループ1用接続許可テーブルを検索し、LNSグループ識別子とともに受信した属性情報の組み合わせがLNSグループ1用接続許可テーブルに登録されているか否かを判定する。
図18に示す例の場合、「NAS−IP−Adress:192.168.1.1」および「Calling−Station−Id:1111111111」の属性情報の組み合わせがLNSグループ1用接続許可テーブルに存在するので、RADIUSサーバは、接続先LNS候補を示す「Tunnel−Server−Endpoint属性」として、「LNSグループ1」に所属する「LNS1およびLNS2」を、ユーザ端末1がアクセスしたLACに通知する(図18の(2)参照)。
ここで、受信したLNSグループ識別子に対応する接続許可テーブルに、受信した属性情報の組み合わせが存在しない場合は、RADIUSサーバは、LACとLNSとの接続を不許可とする。
このように、RADIUSサーバに接続許可テーブルを登録し、RADIUSサーバがLACから受信した属性情報と接続許可テーブルとに基づいて接続許可を判定することにより、LNSおよびRADIUSサーバにおける負荷が増大することを回避することができる。
なお、図18に示す例では、接続許可テーブルに2種類の属性情報の組み合わせを登録する場合について説明したが、「Called−Station−Id」や「NAS−Port」などの属性情報を組み合わせることにより、さらに、厳密な接続許可の判定処理を行なうことができる。
W. Townsley, A. Valencia, A. Rubens, G. Pall, G. Zorn, B. Palter, "Request for Comments: 2661, Layer Two Tunneling Protocol "L2TP"", August 1999, [online], [平成20年6月3日], インターネット<URL: http://www.ietf.org/rfc/rfc2661.txt> C. Rigney, S. Willens, A. Rubens, W. Simpson, "Request for Comments: 2865, Remote Authentication Dial In User Service (RADIUS)", June 2000, [online], [平成20年6月3日], インターネット<URL: http://www.ietf.org/rfc/rfc2865.txt> C. Rigney, "Request for Comments: 2866, RADIUS Accounting", June 2000, [online], [平成20年6月3日], インターネット<URL: http://www.ietf.org/rfc/rfc2866.txt> G. Zorn, D. Leifer, A. Rubens, J. Shriver, M. Holdrege, I. Goyret, "Request for Comments: 2868, RADIUS Attributes for Tunnel Protocol Support", June 2000, [online], [平成20年6月3日], インターネット<URL: http://www.ietf.org/rfc/rfc2868.txt>
ところで、上記した従来の技術は、必ずしも認証処理の負荷を軽減するものではないという課題があった。
すなわち、上記した従来の技術においてRADIUSサーバは、複数種類の属性情報の組み合わせを登録した接続許可テーブルを記憶して管理する必要がある。このため、RADIUSサーバは、LACとLNSとの間の接続許可・不許可を管理するために用いられるディスクやメモリなどの領域を大量に確保しなければならず、必ずしも接続要求に対する認証処理の負荷を軽減するものではなかった。
また、RADIUSサーバは、大量のデータが登録された接続許可テーブルを参照して、受信した属性情報の組み合わせが存在するか否かを検索しなければならず、必ずしも接続要求に対する認証処理の負荷を軽減するものではなかった。
そこで、この発明は、上述した従来技術の課題を解決するためになされたものであり、認証処理の負荷を軽減することが可能になるネットワーク接続制御方法およびネットワーク接続制御装置を提供することを目的とする。
上述した課題を解決し、目的を達成するため、この方法は、ユーザの所有するユーザ端末が指定したネットワークである指定ネットワークへの接続を、前記ユーザ端末がアクセスするユーザアクセス装置と、前記指定ネットワークと接続されるネットワーク接続装置との接続を許可するか否かによって制御するネットワーク接続制御装置に適用されるネットワーク接続制御方法であって、前記ユーザアクセス装置を一意に特定するためのユーザアクセス装置識別子と、前記ユーザアクセス装置をグループ分けした各ユーザアクセス装置グループを一意に特定するためのユーザアクセス装置グループ識別子とを対応付けた第一の対応テーブルと、前記ユーザアクセス装置グループ識別子と、前記ネットワーク接続装置をグループ分けした各ネットワーク接続装置グループを一意に特定するためのネットワーク接続装置グループ識別子とを対応付けた装置間対応関係ごとに、接続を許可することを指示する接続許可指示情報、または、接続を許可するか否かをグループ単位より細分化した単位で行なうことを指示する細分化指示情報のいずれかからなる指示情報を対応付けた第二の対応テーブルと、前記ネットワーク接続装置グループ識別子と、前記ユーザ端末を一意に特定するためのユーザ端末識別子、および/または、前記ユーザ端末が利用する回線を一意に特定するためのユーザ利用回線識別子からなるユーザ端末情報とを対応付けた第三の対応テーブルとを所定の記憶部において保持する対応テーブル保持ステップと、前記ユーザ端末が現にアクセスしたユーザアクセス装置から、当該ユーザアクセス装置の前記ユーザアクセス装置識別子であるアクセス装置識別子と、前記指定ネットワークと接続されるネットワーク接続装置グループの前記ネットワーク接続装置グループ識別子である指定ネットワークグループ識別子と、当該ユーザアクセス装置にアクセスしたユーザ端末の前記ユーザ端末情報であるアクセスユーザ端末情報とを取得した場合に、前記第一の対応テーブルを参照して、前記アクセス装置識別子に対応するユーザアクセス装置グループ識別子を検索する第一の検索ステップと、前記第二の対応テーブルを参照して、前記指定ネットワークグループ識別子および前記第一の検索ステップによって検索された前記ユーザアクセス装置グループ識別子からなる指定装置間対応関係を含む装置間対応関係が存在するか否かを検索し、前記指定装置間対応関係を含む装置間対応関係が存在する場合は、当該装置間対応関係に対応づけられた前記指示情報を検索する第二の検索ステップと、前記第二の検索ステップによって検索された前記指示情報が前記細分化指示情報であった場合に、前記第三の対応テーブルを参照して、前記指定装置間対応関係の指定ネットワークグループ識別子および前記アクセスユーザ端末情報の組み合わせが存在するか否かを検索する第三の検索ステップと、前記第二の検索ステップによる検索結果において前記指定装置間対応関係を含む装置間対応関係が存在しない場合および前記第三の検索ステップによる検索結果において前記指定装置間対応関係の指定ネットワークグループ識別子および前記アクセスユーザ端末情報の組み合わせが存在しない場合は、前記ユーザ端末がアクセスしたユーザアクセス装置に対して接続を許可しないことを通知し、前記第二の検索ステップによる検索結果において前記指定装置間対応関係を含む装置間対応関係に対応付けられた指示情報が前記接続許可指示情報であった場合および前記第三の検索ステップによる検索結果において前記指定装置間対応関係の指定ネットワークグループ識別子および前記アクセスユーザ端末情報の組み合わせが存在する場合は、前記ユーザ端末がアクセスしたユーザアクセス装置に対して接続を許可することを通知する通知ステップと、を含んだことを要件とする。
また、この装置は、ユーザの所有するユーザ端末が指定したネットワークである指定ネットワークへの接続を、前記ユーザ端末がアクセスするユーザアクセス装置と、前記指定ネットワークと接続されるネットワーク接続装置との接続を認証するか否かによって制御するネットワーク接続制御装置であって、前記ユーザアクセス装置を一意に特定するためのユーザアクセス装置識別子と、前記ユーザアクセス装置をグループ分けした各ユーザアクセス装置グループを一意に特定するためのユーザアクセス装置グループ識別子とを対応付けた第一の対応テーブルと、前記ユーザアクセス装置グループ識別子と、前記ネットワーク接続装置をグループ分けした各ネットワーク接続装置グループを一意に特定するためのネットワーク接続装置グループ識別子とを対応付けた装置間対応関係ごとに、接続を許可することを指示する接続許可指示情報、または、接続を許可するか否かをグループ単位より細分化した単位で行なうことを指示する細分化指示情報のいずれかからなる指示情報を対応付けた第二の対応テーブルと、前記ネットワーク接続装置グループ識別子と、前記ユーザ端末を一意に特定するためのユーザ端末識別子、および/または、前記ユーザ端末が利用する回線を一意に特定するためのユーザ利用回線識別子からなるユーザ端末情報とを対応付けた第三の対応テーブルとを保持する対応テーブル保持手段と、前記ユーザ端末が現にアクセスしたユーザアクセス装置から、当該ユーザアクセス装置の前記ユーザアクセス装置識別子であるアクセス装置識別子と、前記指定ネットワークと接続されるネットワーク接続装置グループの前記ネットワーク接続装置グループ識別子である指定ネットワークグループ識別子と、当該ユーザアクセス装置にアクセスしたユーザ端末の前記ユーザ端末情報であるアクセスユーザ端末情報とを取得した場合に、前記第一の対応テーブルを参照して、前記アクセス装置識別子に対応するユーザアクセス装置グループ識別子を検索する第一の検索手段と、前記第二の対応テーブルを参照して、前記指定ネットワークグループ識別子および前記第一の検索手段によって検索された前記ユーザアクセス装置グループ識別子からなる指定装置間対応関係を含む装置間対応関係が存在するか否かを検索し、前記指定装置間対応関係を含む装置間対応関係が存在する場合は、当該装置間対応関係に対応づけられた前記指示情報を検索する第二の検索手段と、前記第二の検索手段によって検索された前記指示情報が前記細分化指示情報であった場合に、前記第三の対応テーブルを参照して、前記指定装置間対応関係の指定ネットワークグループ識別子および前記アクセスユーザ端末情報の組み合わせが存在するか否かを検索する第三の検索手段と、前記第二の検索手段による検索結果において前記指定装置間対応関係を含む装置間対応関係が存在しない場合および前記第三の検索手段による検索結果において前記指定装置間対応関係の指定ネットワークグループ識別子および前記アクセスユーザ端末情報の組み合わせが存在しない場合は、前記ユーザ端末がアクセスしたユーザアクセス装置に対して接続を許可しないことを通知し、前記第二の検索手段による検索結果において前記指定装置間対応関係を含む装置間対応関係に対応付けられた指示情報が前記接続許可指示情報であった場合および前記第三の検索手段による検索結果において前記指定装置間対応関係の指定ネットワークグループ識別子および前記アクセスユーザ端末情報の組み合わせが存在する場合は、前記ユーザ端末がアクセスしたユーザアクセス装置に対して接続を許可することを通知する通知手段と、を備えたことを要件とする。
開示の方法および装置によれば、接続を許可するユーザアクセス装置とネットワーク接続装置との組み合わせを装置単位ではなくグループ単位にし、グループ単位のみでは接続を許可するか否かを判定することができない組み合わせに関してのみ、ユーザがユーザ端末を介して利用した回線の情報を用いた粒度の細かい認証処理を行なうので、認証処理の負荷を軽減することが可能になる。
以下に添付図面を参照して、この発明に係るネットワーク接続制御方法およびネットワーク接続制御装置の実施例を詳細に説明する。なお、以下では、この発明に係るネットワーク接続制御方法を実行するネットワーク接続制御装置としてのLAC制御サーバを含んで構成されるネットワーク接続制御システムを実施例として説明する。
[用語の説明]
まず最初に、以下の実施例で用いる主要な用語を説明する。以下の実施例で用いる「ユーザ端末」とは、ネットワーク通信機能を備えたパーソナルコンピュータなどの情報機器のことであり、「ユーザ端末」は、ユーザの指定したネットワーク(以下、指定ネットワークと記す)とVPN(Virtual Private Network)環境にて接続することを要求するために「LAC」にアクセスする。
また、「LAC」とは、レイヤー2トンネリングプロトコル(L2TP)にて規定されるレイヤー2トンネリングプロトコルアクセスコンセントレーターであり、VPN環境にて指定ネットワークとの接続を要求するために「ユーザ端末」がアクセスする装置である。なお、「LAC」は、特許請求の範囲に記載の「ユーザアクセス装置」に対応する。
また、「LNS」とは、L2TPにて規定されるレイヤー2トンネリングプロトコルネットワークサーバであり、指定ネットワークに接続される装置である。なお、「LNS」は、特許請求の範囲に記載の「ネットワーク接続装置」に対応する。
また、「LAC制御サーバ」とは、「ユーザ端末」の指定ネットワークへのL2TPによるVPN接続を、「ユーザ端末」がアクセスした「LAC」と「ユーザ端末」が指定した指定ネットワークに接続される「LNS」との接続を許可するか否かによって制御するRADIUS(Remote Authentication Dial In User Service)サーバである。なお、「LAC制御サーバ」は、特許請求の範囲に記載の「ネットワーク接続制御装置」に対応する。
[実施例1におけるネットワーク接続制御システムの全体構成]
次に、図1を用いて、実施例1におけるネットワーク接続制御システムの全体構成について説明する。図1は、実施例1におけるネットワーク接続制御システムの全体構成について説明するための図である。
図1に示すように、実施例1におけるネットワーク接続制御システムは、ユーザ端末40とLAC20とLNS30とLAC制御サーバ10とから構成され、LAC制御サーバ10が、ユーザ端末40からアクセスされたLAC20と、ユーザ端末40が指定したネットワーク(指定ネットワーク)と接続されるLNS30との接続を許可するか否かによって、ユーザ端末40の指定ネットワークへの接続(VPN接続)を制御する。
ここで、図1に示すように、実施例1におけるネットワーク接続制御システムにおいて、LACは、例えば、設置される場所によってグループ化され(LACグループ1、LACグループ2、・・・・など)、さらに、LNSは、例えば、インターネットサービスプロバイダ(ISP)によってグループ化される(LNSグループ1、LNSグループ2、・・・・など)。
そして、本発明は、接続を許可するLACとLNSとの組み合わせを装置単位ではなくグループ単位にし、グループ単位のみでは接続を許可するか否かを判定することができない組み合わせに関してのみ、ユーザがユーザ端末を介して利用した回線の情報を用いた粒度の細かい認証処理を行なうことにより、LAC制御サーバ10における認証処理の負荷を軽減することが可能になることに主たる特徴がある。以下、LAC制御サーバ10およびLAC20の構成および処理手順を詳述することにより、この主たる特徴について説明する。
[実施例1におけるLAC制御サーバの構成]
続いて、図2〜5を用いて、実施例1におけるLAC制御サーバの構成を説明する。図2は、実施例1におけるLAC制御サーバの構成を示すブロック図であり、図3は、LACグループ対応テーブル記憶部を説明するための図であり、図4は、実施例1におけるLNS対応テーブル記憶部を説明するための図であり、図5は、実施例1における論理回線対応テーブル記憶部を説明するための図である。
図2に示すように、実施例1におけるLAC制御サーバ10は、通信制御I/F部11と、記憶部12と、処理部13とから構成され、さらに、LAC20およびLNS30とネットワークを介して接続される。なお、図2ではLAC20およびLNS30を一つのみ示しているが、実際には、図1に示すように、LAC制御サーバ10は、複数のLAC20およびLNS30とネットワークを介して接続されている。
通信制御I/F部11は、LAC20と、記憶部12および処理部13との間でやり取りする各種情報に関する通信を制御する。例えば、通信制御I/F部11は、LAC20が送信した情報(後述する「アクセスLAC識別子」、「指定LNSグループ識別子」および「アクセス論理回線識別子」)を受信して処理部13に転送したり、処理部13による処理結果をLAC20に転送したりする。
記憶部12は、後述する処理部13による各種処理に用いるデータを記憶し、特に本発明に密接に関連するものとしては、図2に示すように、LACグループ対応テーブル記憶部12aと、LNS対応テーブル記憶部12bと、論理回線対応テーブル記憶部12cと、検索結果記憶部12dとを備える。なお、LACグループ対応テーブル記憶部12aと、LNS対応テーブル記憶部12bと、論理回線対応テーブル記憶部12cとは、特許請求の範囲に記載の「対応テーブル保持ステップ」に対応する。
LACグループ対応テーブル記憶部12aは、LACを一意に特定するためのLAC識別子と、LACをグループ分けした各LACグループを一意に特定するためのLACグループ識別子とを対応付けた「LACグループ対応テーブル」を記憶する。なお、「LACグループ」は、特許請求の範囲に記載の「ユーザアクセス装置グループ」に対応し、「LACグループ識別子」は、同じく「ユーザアクセス装置グループ識別子」に対応し、「LACグループ対応テーブル」は、同じく「第一の対応テーブル」に対応する。
具体的には、LACグループ対応テーブル記憶部12aは、図3に示すように、LAC識別子としてLACのIPアドレス(LAC IPアドレス)と「LACグループ識別子」とを対応付けたLACグループ対応テーブルを記憶する。例えば、図3に示すように、「LAC IPアドレス:10.2.1.101」と「LACグループ識別子:LACグループ2」とを対応付けて記憶し、「LAC IPアドレス:10.2.1.104」と「LACグループ識別子:LACグループ1」とを対応付けて記憶する。なお、「LAC IPアドレス」は、後述するLACグループ検索部13aによる検索処理に用いられる検索キーとなる。
図2に戻って、LNS対応テーブル記憶部12bは、LACグループ識別子と、LNSをグループ分けした各LNSグループを一意に特定するためのLNSグループ識別子と、各LNSグループに所属する一つまたは複数のLNSとを対応付けた装置間対応関係ごとに、接続を許可することを指示する「FALSE」、または、接続の認証をグループ単位より細分化した単位で行なうことを指示する「TRUE」のいずれかからなる「指示情報」を対応付けたLNS対応テーブルを記憶する。なお、「LNSグループ」は、特許請求の範囲に記載の「ネットワーク接続装置グループ」に対応し、「LNSグループ識別子」は、同じく「ネットワーク接続装置グループ識別子」に対応し、「FALSE」は、同じく「接続許可指示情報」に対応し、「TRUE」は、同じく「細分化指示情報」に対応し、「LNS対応テーブル」は、同じく「第二の対応テーブル」に対応する。
具体的には、LNS対応テーブル記憶部12bは、図4に示すように、LACグループ識別子と、LNSグループ識別子と、「当該LNSグループ識別子が割り当てられたLNSであり、かつ、当該LACグループ識別子と当該LNSグループ識別子との組み合わせにおいて指定されたLNS」とを対応付けた装置間対応関係ごとに、「FALSE」、または「TRUE」を対応付けたLNS対応テーブルを記憶する。
例えば、LNS対応テーブル記憶部12bは、図4に示すように、「LACグループ識別子:LACグループ1」と「LNSグループ識別子:LNSグループ2」と「LNSグループ2に所属するLNSであり、かつ、LACグループ1とLNSグループ2との組み合わせにおいて指定されたLNS」として「LNS:LNS4、LNS5」とからなる装置間対応関係に「指示情報:FALSE」を対応付けて記憶する。
また、LNS対応テーブル記憶部12bは、図4に示すように、「LACグループ識別子:LACグループ2」と「LNSグループ識別子:LNSグループ2」と「LNSグループ2に所属するLNSであり、かつ、LACグループ2とLNSグループ2との組み合わせにおいて指定されたLNS」である「LNS:LNS10、LNS11」とからなる装置間対応関係に「指示情報:TRUE」を対応付けて記憶する。なお、「LACグループ識別子」と「LNSグループ識別子」とは、後述するLNS検索部13bによる検索処理に用いられる検索キーとなる。
図2に戻って、論理回線対応テーブル記憶部12cは、LACグループ識別子とLNSグループ識別子とユーザがユーザ端末40を介して利用する論理回線を一意に特定するためのユーザ利用回線識別子とを対応付けた論理回線対応テーブルを記憶する。ここで、論理回線識別子は、LAC20が管理するユーザ端末40と、LAC20との間で用いられる論理回線を識別するための情報であり、ユーザがユーザ端末40を介して利用する回線を一意に特定するための識別子(ユーザ利用回線識別子)の具体例となる。なお、「論理回線対応テーブル」は、特許請求の範囲に記載の「第三の対応テーブル」に対応する。
例えば、論理回線対応テーブル記憶部12cは、図5に示すように、「LACグループ識別子:LACグループ1」と、「LNSグループ識別子:LNSグループ1」と、「論理回線識別子:11111111」とを対応付けた論理回線対応テーブルを記憶する。なお、「LACグループ識別子」と「LNSグループ識別子」と「論理回線識別子」とは、後述する論理回線検索部13cによる検索処理に用いられる検索キーとなる。
図2に戻って、検索結果記憶部12dは、後述するLACグループ検索部13aと、LNS検索部13bと、論理回線検索部13cとによる検索結果を記憶する。なお、検索結果記憶部12dについては、後に詳述する。
図2に戻って、処理部13は、通信制御I/F部11から転送された情報と、記憶部12が記憶する情報を用いて各種処理を実行し、特に本発明に密接に関連するものとしては、図2に示すように、LACグループ検索部13aと、LNS検索部13bと、論理回線検索部13cと、認証結果通知部13dとを備える。なお、「LACグループ検索部13a」は、特許請求の範囲に記載の「第一の検索ステップ」に対応し、「LNS検索部13b」は、同じく「第二の検索ステップ」に対応し、「論理回線検索部13c」は、同じく「第三の検索ステップ」に対応し、「認証結果通知部13d」は、同じく「通知ステップ」に対応する。
ここで、処理部13は、ユーザ端末40が現にアクセスしたLAC20から、当該LAC20のLAC識別子(LAC IPアドレス)である「アクセスLAC識別子」と、ユーザ端末40が指定した指定ネットワークと接続されるLNSグループの識別子(LNSグループ識別子)である「指定LNSグループ識別子」と、ユーザがユーザ端末40を介してLAC20にアクセスした際に利用した論理回線の識別子である「アクセス論理回線識別子」とを、通信制御I/F部11を介して取得した場合に、以下の各種処理を実行する。なお、「アクセスLAC識別子」は、特許請求の範囲に記載の「アクセス装置識別子」に対応し、「指定LNSグループ識別子」は、同じく「指定ネットワークグループ識別子」に対応する。
また、以下では、ユーザ端末40がアクセスしたLAC20から、「アクセスLAC識別子:10.2.1.100、指定LNSグループ識別子:LNSグループ2、アクセス論理回線識別子:22222222」を取得した場合(以下、第一の場合と記す)と、「アクセスLAC識別子:10.2.1.101、指定LNSグループ識別子:LNSグループ2、アクセス論理回線識別子:55555555」を取得した場合(以下、第二の場合と記す)と、「アクセスLAC識別子:10.2.1.102、指定LNSグループ識別子:LNSグループ1、アクセス論理回線識別子:12345678」を取得した場合(以下、第三の場合と記す)と、「アクセスLAC識別子:10.2.1.101、指定LNSグループ識別子:LNSグループ2、アクセス論理回線識別子:87654321」を取得した場合(以下、第四の場合と記す)と、について説明する。
LACグループ検索部13aは、LACグループ対応テーブル記憶部12aが記憶するLACグループ対応テーブルを参照して、LAC20から取得した「アクセスLAC識別子」に対応する「LACグループ識別子」を検索し、検索した「LACグループ識別子」を、検索結果記憶部12dに格納する。
例えば、LACグループ検索部13aは、第一の場合、「アクセスLAC識別子:10.2.1.100」を検索キーとし、図3に示すLACグループ対応テーブルを参照して、「LACグループ識別子:LACグループ1」を検索する。
また、LACグループ検索部13aは、第二の場合および第四の場合、「アクセスLAC識別子:10.2.1.101」を検索キーとし、図3に示すLACグループ対応テーブルを参照して、「LACグループ識別子:LACグループ2」を検索する。
また、LACグループ検索部13aは、第三の場合、「アクセスLAC識別子:10.2.1.102」を検索キーとし、図3に示すLACグループ対応テーブルを参照して、「LACグループ識別子:LACグループ3」を検索する。
LNS検索部13bは、LNS対応テーブル記憶部12bが記憶するLNS対応テーブルを参照して、「LAC20から受信した指定LNSグループ識別子およびLACグループ検索部13aによって検索され検索結果記憶部12dに格納されたLACグループ識別子からなる指定装置間対応関係」を含む装置間対応関係が存在するか否かを検索し、指定装置間対応関係を含む装置間対応関係が存在する場合は、当該装置間対応関係に対応づけられた指示情報を検索し、その結果を検査結果記憶部12dに格納する。
例えば、LNS検索部13bは、第一の場合、「LACグループ識別子:LACグループ1」および「指定LNSグループ識別子:LNSグループ2」からなる指定装置間対応関係を検索キーとし、図4に示すLNS対応テーブルを参照して、「LACグループ1、LNSグループ2」を含む装置間対応関係(「LACグループ1」と「LNSグループ2」と「LNS4、LNS5」との対応関係)が登録されていることを検索し、検索された装置間対応関係に対応付けられた指示情報が「FALSE」であることを検索する。
また、LNS検索部13bは、第二の場合および第四の場合、「LACグループ識別子:LACグループ2」および「指定LNSグループ識別子:LNSグループ2」からなる指定装置間対応関係を検索キーとし、図4に示すLNS対応テーブルを参照して、「LACグループ2、LNSグループ2」を含む装置間対応関係(「LACグループ2」と「LNSグループ2」と「LNS10、LNS11」との対応関係)が登録されていることを検索し、検索された装置間対応関係に対応付けられた指示情報が「TRUE」であることを検索する。
また、LNS検索部13bは、第三の場合、「LACグループ識別子:LACグループ3」および「指定LNSグループ識別子:LNSグループ1」からなる指定装置間対応関係を検索キーとし、図4に示すLNS対応テーブルを参照して、「LACグループ3、LNSグループ1」を含む装置間対応関係が登録されていないとする検索結果を取得する。
論理回線検索部13cは、LNS検索部13bによって検索され検索結果記憶部12dに格納された指示情報が「TRUE」であった場合に、論理回線対応テーブル記憶部12cが記憶する論理回線対応テーブルを参照して、「LAC20から受信した指定ネットワークグループ識別子およびLACグループ検索部13aによって検索され検索結果記憶部12dに格納されたLACグループ識別子からなる指定装置間対応関係」と「アクセス論理回線識別子」の組み合わせが存在するか否かを検索し、その検索結果を、検索結果記憶部12dに格納する。
例えば、論理回線検索部13cは、第二の場合、「LACグループ識別子:LACグループ2」および「指定LNSグループ識別子:LNSグループ2」からなる指定装置間対応関係と「アクセス論理回線識別子:55555555」との組み合わせを検索キーとし、図5に示す論理回線対応テーブルを参照して、検索対象となる組み合わせが登録されているとする検索結果を取得する。
また、論理回線検索部13cは、第四の場合、「LACグループ識別子:LACグループ2」および「指定LNSグループ識別子:LNSグループ2」からなる指定装置間対応関係と「アクセス論理回線識別子:87654321」との組み合わせを検索キーとし、図5に示す論理回線対応テーブルを参照して、検索対象となる組み合わせが登録されていないとする検索結果を取得する。
認証結果通知部13dは、ユーザ端末40がアクセスしたLAC20に対して、検査結果記憶部12に格納された検査結果を通信制御I/F部11を介して通知する。すなわち、認証結果通知部13dは、LNS検索部13bによる検索結果において、指定装置間対応関係を含む装置間対応関係が存在しない場合(第三の場合)、および論理回線検索部13cによる検索結果において、指定装置間対応関係およびアクセス論理回線識別子の組み合わせが存在しない場合(第四の場合)は、ユーザ端末40がアクセスしたLAC20に対して、接続を許可しないことを通信制御I/F部11を介して通知する。
また、認証結果通知部13dは、LNS検索部13bによる検索結果において、指定装置間対応関係を含む装置間対応関係に対応付けられた指示情報が「FALSE」であった場合(第一の場合)、および論理回線検索部13cによる検索結果において、指定装置間対応関係およびアクセス論理回線識別子の組み合わせが存在する場合(第二の場合)は、ユーザ端末40がアクセスしたLAC20に対して、接続を許可することを通信制御I/F部11を介して通知する。
ここで、接続を許可する場合、認証結果通知部13dは、LNS対応テーブルにおいて、指定装置間対応関係を含む装置間対応関係の一つまたは複数のLNS30をユーザ端末40がアクセスしたLAC20に対して、通信制御I/F部11を介して通知する。
すなわち、認証結果通知部13dは、第一の場合、「LACグループ識別子:LACグループ1」および「指定LNSグループ識別子:LNSグループ2」からなる指定装置間対応関係を含む装置間対応関係に登録されている「LNS4、LNS5」をユーザ端末40がアクセスしたLAC20に対して通知する。
また、認証結果通知部13dは、第二の場合、「LACグループ識別子:LACグループ2」および「指定LNSグループ識別子:LNSグループ2」からなる指定装置間対応関係を含む装置間対応関係に登録されている「LNS10、LNS11」をユーザ端末40がアクセスしたLAC20に対して通知する。
[実施例1におけるLACの構成]
次に、図6を用いて、実施例1におけるLACの構成を説明する。図6は、実施例1におけるLACの構成を示すブロック図である。
図6に示すように、実施例1におけるLAC20は、通信制御I/F部21と、記憶部22と、処理部23とから構成され、さらに、LAC制御サーバ10と、ユーザ端末40と、LNS30とネットワークを介して接続される。なお、図6では、ユーザ端末40およびLNS30それぞれを一つのみ示しているが、実際には、LAC20は、複数のユーザ端末40およびLNS30とネットワークを介して接続されている。
通信制御I/F部21は、LAC制御サーバ10と、ユーザ端末40と、LNS30と記憶部22および処理部23との間でやり取りする各種情報に関する通信を制御する。
例えば、通信制御I/F部21は、LAC制御サーバ10へ、ユーザ端末40から受信した「指定LNSグループ識別子」や、自身の「アクセスLAC識別子」や、ユーザ端末40との間で用いられた論理回線の識別子である「アクセス論理回線識別子」を転送したり、LAC制御サーバ10から受信した「認証を不許可とする認証結果」を自身にアクセスしたユーザ端末40に転送したり、LAC制御サーバ10から「認証を許可とする認証結果」とともに受信した「LNS」を後述するLNS選択接続部23aに転送したり、後述するLNS選択接続部23aが選択したLNS30との通信を制御したりする。
記憶部22は、後述する処理部23による処理に用いるデータを記憶し、特に本発明に密接に関連するものとしては、図6に示すように、基準記憶部22aを備える。
基準記憶部22aは、後述するLNS選択接続部23aが一つのLNSを選択する際に用いられる選択基準を記憶する。例えば、「負荷が最小となっているLNS」、「ランダムに選択したLNS」、といった選択基準を記憶する。
処理部23は、各種処理を実行し、特に本発明に密接に関連するものとしては、図6に示すように、LNS選択接続部23aを備える。
LNS選択接続部23aは、LAC制御サーバ10から、通信制御I/F部21を介して「認証を許可とする認証結果」とともに通知された「LNS」から、基準記憶部22aが記憶する選択基準に基づいて、一つのLNS30を選択し、選択した一つのLNS30との間にL2TPによる接続を確立する。
例えば、第一の場合、LNS選択接続部23aは、「LNS4、LNS5」から、「ランダムに選択したLNS」とする選択基準によって、「LNS5」であるLNS30を選択し、選択したLNS30との間にL2TPによる接続を確立する。
また、第二の場合、LNS選択接続部23aは、「LNS10、LNS11」から、例えば、「負荷が最小となっているLNS」とする基準によって、「LNS11」であるLNS30を選択し、選択したLNS30との間にL2TPによる接続を確立する。
[実施例1におけるネットワーク接続制御システムの処理の手順]
次に、図7および図8を用いて、実施例1におけるネットワーク接続制御システムの処理を説明する。図7は、実施例1におけるLAC制御サーバの処理を説明するための図であり、図8は、実施例1におけるLACの処理を説明するための図である。
[実施例1におけるLAC制御サーバの処理の手順]
図7に示すように、まず、実施例1におけるLAC制御サーバ10は、ユーザがユーザ端末40を介してアクセスしたLAC20からアクセスLAC識別子と指定LNSグループ識別子とアクセス論理回線識別子とを受信すると(ステップS701肯定)、LACグループ検索部13aは、受信したアクセスLAC識別子からLACグループ識別子を、LACグループ対応テーブル記憶部12aが記憶するLACグループ対応テーブルを用いて検索する(ステップS702)。
そして、LNS検索部13bは、LACグループ検索部13aによって検索され検索結果記憶部12dに格納されたLACグループ識別子とLAC20から受信した指定LNSグループ識別子との組み合わせ(指定装置間対応関係)を、LNS対応テーブル記憶部12bが記憶するLNS対応テーブルを用いて検索する(ステップS703)。すなわち、LNS検索部13bは、LNS対応テーブルに指定装置間対応関係を含む装置間対応関係が存在するか否かを検索する。
ここで、LNS検索部13bによる検索結果において、LNS対応テーブルに検索対象となる組み合わせ(指定装置間対応関係)が登録されていない場合(ステップS704否定、第三の場合)、認証結果通知部13dは、ユーザ端末40がアクセスしたLAC20に対して、LNS30への接続を不許可とする認証結果を、通信制御I/F部11を介して通知し(ステップS708)、処理を終了する。
一方、LNS検索部13bによる検索結果において、LNS対応テーブルに検索対象となる組み合わせ(指定装置間対応関係)が登録されている場合(ステップS704肯定)、当該指定装置間対応関係を含む装置間対応関係に対応づけられた指示情報を検索し、指示情報が「TRUE」であるか否かを検索する(ステップS705)。
ここで、LNS検索部13bによる検索結果において、LNS対応テーブルに検索対象となる組み合わせ(指定装置間対応関係)を含む装置間対応関係に対応づけられた指示情報が「FALSE」である場合(ステップS705否定、第一の場合)、認証結果通知部13dは、ユーザ端末40がアクセスしたLAC20に対して、LNS30への接続を許可とする認証結果とともに、LNS対応テーブルにおいて、指定装置間対応関係を含む装置間対応関係の一つまたは複数のLNSをユーザ端末40がアクセスしたLAC20に対して、通信制御I/F部11を介して通知し(ステップS709)、処理を終了する。
一方、LNS検索部13bによる検索結果において、LNS対応テーブルに検索対象となる組み合わせ(指定装置間対応関係)を含む装置間対応関係に対応づけられた指示情報が「TRUE」である場合(ステップS705肯定、第二および第四の場合)、論理回線検索部13cは、LACグループ検索部13aによって検索されたLACグループ識別子と、LAC20から受信した指定ネットワークグループ識別子と、LAC20から受信したアクセス論理回線識別子との組み合わせを、論理回線対応テーブル記憶部12cが記憶する論理回線対応テーブルを用いて検索する(ステップS706)。
ここで、論理回線検索部13cによる検索結果において、論理回線対応テーブルに検索対象の組み合わせが登録されていない場合(ステップS707否定、第四の場合)、認証結果通知部13dは、ユーザ端末40がアクセスしたLAC20に対して、LNS30への接続を不許可とする認証結果を、通信制御I/F部11を介して通知し(ステップS708)、処理を終了する。
一方、論理回線検索部13cによる検索結果において、論理回線対応テーブルに検索対象の組み合わせが登録されている場合(ステップS707肯定、第二の場合)、認証結果通知部13dは、ユーザ端末40がアクセスしたLAC20に対して、LNS30への接続を許可とする認証結果とともに、LNS対応テーブルにおいて、指定装置間対応関係を含む装置間対応関係の一つまたは複数のLNSを、ユーザ端末40がアクセスしたLAC20に対して、通信制御I/F部11を介して通知し(ステップS709)、処理を終了する。
[実施例1におけるLACの処理の手順]
図8に示すように、まず、実施例1におけるLAC20は、ユーザ端末40からアクセスされて、指定LNSグループ識別子を受信すると(ステップS801肯定)、LAC制御サーバ10に自身のLAC識別子であるアクセスLAC識別子と指定LNSグループ識別子と、アクセス論理回線識別子とを、LAC制御サーバ10に送信する(ステップS802)。
そして、通信制御I/F部21は、LAC制御サーバ10から認証結果を受信すると(ステップS803肯定)、受信した認証結果が「許可とする認証結果」であるか否かを判定する(ステップS804)。
ここで、通信制御I/F部21は、受信した認証結果が「不許可とする認証結果」である場合(ステップS804否定、第三および第四の場合)、認証を不許可と、自身にアクセスしたユーザ端末40に通知し(ステップS805)、処理を終了する。
一方、通信制御I/F部21は、受信した認証結果が「許可とする認証結果」である場合(ステップS804肯定、第一および第二の場合)、認証結果とともに受信したLNSの情報をLNS選択接続部23aに転送し、LNS選択接続部23aは、認証結果とともに受信した接続候補としてのLNSから一つのLNS30を、基準記憶部22aが記憶する選択機銃を用いて選択し、選択した一つのLNS30との間にL2TPによる接続を確立し(ステップ806)、処理を終了する。
[実施例1の効果]
上記したように、実施例1によれば、接続を許可するLAC20とLNS30との組み合わせを装置単位ではなくグループ単位にし、グループ単位のみでは接続を許可するか否かを判定することができない組み合わせに関してのみ、ユーザがユーザ端末を介して利用した回線の情報を用いた粒度の細かい認証処理を行なうので、上記した主たる特徴の通り、認証処理の負荷を軽減することが可能になる。
また、接続許可用の対応テーブルを、グループ単位の対応テーブルと装置単位(ユーザ端末属性単位)の対応テーブルとに分割して管理するので、対応テーブルに登録するデータ量を軽減してLAC制御サーバ10において対応テーブルを記憶、管理するために確保すべき領域を削減することができ、認証処理の負荷を軽減することが可能になる。
なお、上記した実施例では、論理回線対応テーブル記憶部12cが論理回線対応テーブルとして、LACグループ識別子とLNSグループ識別子と論理回線識別子とを対応付けて記憶する場合について説明したが、本発明はこれに限定されるものではなく、論理回線対応テーブル記憶部12cが論理回線対応テーブルとして、LNSグループ識別子と論理回線識別子とを対応付けて記憶する場合であってもよい。
例えば、論理回線対応テーブル記憶部12cは、図5に示すLACグループ識別子の項目を削除し、図9に示すように、「LNSグループ識別子:LNSグループ1」および「論理回線識別子:11111111」のみを対応付けた論理回線対応テーブルを記憶してもよい。なお、図9は、実施例1における変形例を説明するための図である。
この場合、論理回線検索部13cは、論理回線対応テーブルの「LNSグループ識別子」および「論理回線識別子」を検索キーとし、LNS検索部13bによる検索結果において、LNS対応テーブルに検索対象となる組み合わせ(指定装置間対応関係)を含む装置間対応関係に対応づけられた指示情報が「TRUE」である場合(第二および第四の場合)、指定装置間対応関係の指定LNSグループ識別子と、アクセス論理回線識別子との組み合わせが、論理回線対応テーブル記憶部12cが記憶する論理回線対応テーブルに登録されているか否かを検索する。
なお、論理回線対応テーブルとして図5に示す対応テーブルを保持したまま、論理回線検索部13cの使用する検索キーが、指定装置間対応関係の指定LNSグループ識別子と、アクセス論理回線識別子との組み合わせである場合であってもよい。
このように検索キーの組み合わせを減少することで、装置単位での継続認証が必要となる際の、認証処理における負荷を軽減することが可能になる。
上述した実施例1では、ユーザ利用回線識別子として論理回線識別子を用い、LAC制御サーバ10が、現にユーザ端末40がアクセスしたLAC20からアクセス論理回線識別子を取得する場合について説明した。ここで、実施例2では、ユーザ利用回線識別子として論理回線識別子とともに、ユーザがユーザ端末40を介して利用する物理回線の識別子(物理回線識別子)を用い、LAC制御サーバ10が、LAC20からアクセス論理回線識別子とともに、現にユーザがユーザ端末40を介してLAC20にアクセスした際に利用した物理回線の識別子であるアクセス物理回線識別子を取得する場合について説明する。
なお、実施例2におけるネットワーク接続制御システムの全体構成は、図1を用いて説明した実施例1におけるネットワーク接続制御システムの全体構成と同様であるので説明を省略する。
[実施例2におけるLAC制御サーバの構成]
まず最初に、図10〜図13を用いて、実施例2におけるLAC制御サーバの構成について説明する。図10は、実施例2におけるLAC制御サーバの構成を示すブロック図であり、図11は、物理回線グループ対応テーブル記憶部を説明するための図であり、図12は、実施例2におけるLNS対応テーブル記憶部を説明するための図であり、図13は、実施例2における論理回線対応テーブル記憶部を説明するための図である。
図10に示すように、実施例2におけるLAC制御サーバ10は、図2に示す実施例1におけるLAC制御サーバ10と比較して、物理回線グループ対応テーブル記憶部12eおよび物理回線グループ検索部13eを新たに備える。以下、これらを中心に説明する。
物理回線グループ対応テーブル記憶部12eは、LAC識別子と物理回線識別子と、物理回線識別子をグループ分けした各物理回線グループを一意に特定するための物理回線グループ識別子とを対応付けた物理回線グループ対応テーブルを記憶する。ここで、物理回線グループ対応テーブルは、特許請求の範囲に記載の「第四の対応テーブル」に対応する。
具体的には、物理回線グループ対応テーブル記憶部12eは、図11に示すように、LAC識別子としてLACのIPアドレス(LAC IPアドレス)と「物理回線識別子範囲」と「物理回線グループ識別子」とを対応付けた物理回線グループ対応テーブルを記憶する。例えば、図11に示すように、「LAC IPアドレス:10.2.1.100」と「物理回線識別子範囲:0000〜1000」と「物理回線グループ識別子:物理回線グループ1」とを対応付けて記憶する。すなわち、図11に示す物理回線グループ対応テーブルは、「LAC IPアドレス」が「10.2.1.100」であり「物理回線識別子」が「0000〜1000」の範囲にある値ならば、「物理接続グループ1」に対応することを示している。なお、「LAC IPアドレス」および「物理回線識別子範囲」は、後述する物理回線グループ検索部13eによる検索処理に用いられる検索キーとなる。
図10に戻って、LACグループ対応テーブル記憶部12aは、実施例1と同様のLACグループ対応テーブル(図3参照)を記憶する。
実施例2におけるLNS対応テーブル記憶部12bは、LNS対応テーブルにおける装置間対応関係として、LACグループ識別子、LNSグループ識別子および「当該LNSグループ識別子が割り当てられたLNSであり、かつ、当該LACグループ識別子と当該LNSグループ識別子との組み合わせにおいて指定されたLNS」に加えて、物理回線グループ識別子をさらに対応付けて記憶し、装置間対応関係ごとに、「FALSE」、または「TRUE」を対応付けて記憶する。
例えば、LNS対応テーブル記憶部12bは、図12に示すように、「LACグループ識別子:LACグループ1」と「LNSグループ識別子:LNSグループ2」と「物理回線グループ識別子:物理接続グループ2」と「LNS:LNS4、LNS5」とからなる装置間対応関係に「指示情報:FALSE」を対応付けて記憶する。なお、「LACグループ識別子」と「LNSグループ識別子」と「物理回線グループ識別子」とは、実施例2におけるLNS検索部13bによる検索処理に用いられる検索キーとなる。
図10に戻って、実施例2における論理回線対応テーブル記憶部12cは、LACグループ識別子、LNSグループ識別子および論理回線識別子に物理回線グループ識別子をさらに対応付けた論理回線対応テーブルを記憶する。
例えば、論理回線対応テーブル記憶部12cは、図13に示すように、「LACグループ識別子:LACグループ1」と、「LNSグループ識別子:LNSグループ1」と、「物理回線グループ識別子:物理接続グループ1」と「論理回線識別子:11111111」とを対応付けた論理回線対応テーブルを記憶する。なお、「LACグループ識別子」と「LNSグループ識別子」と「物理回線グループ識別子」と「論理回線識別子」とは、実施例2における論理回線検索部13cによる検索処理に用いられる検索キーとなる。
図10に戻って、実施例2における処理部13は、ユーザ端末40が現にアクセスしたLAC20から、「アクセスLAC識別子」、「指定LNSグループ識別子」および「アクセス論理回線識別子」とともに「アクセス物理回線識別子」を通信制御I/F部11を介して取得した場合に、以下の各種処理を実行する。
また、以下では、ユーザ端末40がアクセスしたLAC20から、「アクセスLAC識別子:10.2.1.100、指定LNSグループ識別子:LNSグループ2、アクセス論理回線識別子:22222222、アクセス物理回線識別子:2000」を取得した場合(以下、第一の場合と記す)と、「アクセスLAC識別子:10.2.1.104、指定LNSグループ識別子:LNSグループ3、アクセス論理回線識別子:33333333、アクセス物理回線識別子:1000」を取得した場合(以下、第二の場合と記す)と、「アクセスLAC識別子:10.2.1.102、指定LNSグループ識別子:LNSグループ1、アクセス論理回線識別子:12345678、アクセス物理回線識別子:3000」を取得した場合(以下、第三の場合と記す)と、「アクセスLAC識別子:10.2.1.104、指定LNSグループ識別子:LNSグループ3、アクセス論理回線識別子:87654321、アクセス物理回線識別子:1000」を取得した場合(以下、第四の場合と記す)と、について説明する。
物理回線グループ検索部13eは、物理回線グループ対応テーブル記憶部12eが記憶する物理回線グループ対応テーブルを参照して、LAC20から取得した「アクセスLAC識別子」および「アクセス物理回線識別子」に対応する物理回線グループ識別子を検索し、検索した「物理回線グループ識別子」を、検索結果記憶部12dに格納する。
例えば、物理回線グループ検索部13eは、第一の場合、「アクセスLAC識別子:10.2.1.100、アクセス物理回線識別子:2000」を検索キーとし、図11に示す物理回線グループ対応テーブルを参照して、「物理回線グループ識別子:物理接続グループ2」を検索する。
また、物理回線グループ検索部13eは、第二の場合、「アクセスLAC識別子:10.2.1.104、アクセス物理回線識別子:1000」を検索キーとし、図11に示す物理回線グループ対応テーブルを参照して、「物理回線グループ識別子:物理接続グループ1」を検索する。
また、物理回線グループ検索部13eは、第三の場合、「アクセスLAC識別子:10.2.1.102、アクセス物理回線識別子:3000」を検索キーとし、図11に示す物理回線グループ対応テーブルを参照して、「物理回線グループ識別子:物理接続グループ3」を検索する。
また、物理回線グループ検索部13eは、第四の場合、「アクセスLAC識別子:10.2.1.104、アクセス物理回線識別子:1000」を検索キーとし、図11に示す物理回線グループ対応テーブルを参照して、「物理回線グループ識別子:物理接続グループ1」を検索する。
LACグループ検索部13aは、実施例1と同様に、LACグループ対応テーブル記憶部12aが記憶するLACグループ対応テーブルを参照して、LAC20から取得した「アクセスLAC識別子」に対応する「LACグループ識別子」を検索し、検索した「LACグループ識別子」を、検索結果記憶部12dに格納する。
例えば、LACグループ検索部13aは、第一の場合、「アクセスLAC識別子:10.2.1.100」を検索キーとし、図3に示すLACグループ対応テーブルを参照して、「LACグループ識別子:LACグループ1」を検索する。
また、LACグループ検索部13aは、第二の場合および第四の場合、「アクセスLAC識別子:10.2.1.104」を検索キーとし、図3に示すLACグループ対応テーブルを参照して、「LACグループ識別子:LACグループ1」を検索する。
また、LACグループ検索部13aは、第三の場合、「アクセスLAC識別子:10.2.1.102」を検索キーとし、図3に示すLACグループ対応テーブルを参照して、「LACグループ識別子:LACグループ3」を検索する。
実施例2におけるLNS検索部13bは、LNS対応テーブル記憶部12bが記憶するLNS対応テーブル(図12)を参照して、「LAC20から受信した指定LNSグループ識別子とLACグループ検索部13aによって検索され検索結果記憶部12dに格納されたLACグループ識別子と物理回線グループ検索部13eによって検索され検索結果記憶部12dに格納された物理回線グループ識別子からなる指定装置間対応関係」を含む装置間対応関係が存在するか否かを検索し、指定装置間対応関係を含む装置間対応関係が存在する場合は、当該装置間対応関係に対応づけられた指示情報を検索し、その結果を検査結果記憶部12dに格納する。
例えば、LNS検索部13bは、第一の場合、「LACグループ識別子:LACグループ1、指定LNSグループ識別子:LNSグループ2、物理回線グループ識別子:物理接続グループ2」からなる指定装置間対応関係を検索キーとし、図12に示すLNS対応テーブルを参照して、「LACグループ1、LNSグループ2、物理接続グループ2」を含む装置間対応関係(「LACグループ1」と「LNSグループ2」と「物理接続グループ2」と「LNS4、LNS5」との対応関係)が登録されていることを検索し、検索された装置間対応関係に対応付けられた指示情報が「FALSE」であることを検索する。
また、LNS検索部13bは、第二の場合、「LACグループ識別子:LACグループ1、指定LNSグループ識別子:LNSグループ3、物理回線グループ識別子:物理接続グループ1」からなる指定装置間対応関係を検索キーとし、図12に示すLNS対応テーブルを参照して、「LACグループ1、LNSグループ3、物理接続グループ1」を含む装置間対応関係(「LACグループ1」と「LNSグループ3」と「物理接続グループ1」と「LNS6、LNS7、LNS8」との対応関係)が登録されていることを検索し、検索された装置間対応関係に対応付けられた指示情報が「TRUE」であることを検索する。
また、LNS検索部13bは、第三の場合、「LACグループ識別子:LACグループ1、指定LNSグループ識別子:LNSグループ1、物理回線グループ識別子:物理接続グループ3」からなる指定装置間対応関係を検索キーとし、図12に示すLNS対応テーブルを参照して、「LACグループ1、LNSグループ1、物理接続グループ3」を含む装置間対応関係が登録されていないとする検索結果を取得する。
また、LNS検索部13bは、第四の場合、「LACグループ識別子:LACグループ1、指定LNSグループ識別子:LNSグループ3、物理回線グループ識別子:物理接続グループ1」からなる指定装置間対応関係を検索キーとし、図12に示すLNS対応テーブルを参照して、「LACグループ1、LNSグループ3、物理接続グループ1」を含む装置間対応関係(「LACグループ1」と「LNSグループ3」と「物理接続グループ1」と「LNS6、LNS7、LNS8」との対応関係)が登録されていることを検索し、検索された装置間対応関係に対応付けられた指示情報が「TRUE」であることを検索する。
実施例2における論理回線検索部13cは、LNS検索部13bによって検索され検索結果記憶部12dに格納された指示情報が「TRUE」であった場合に、論理回線対応テーブル記憶部12cが記憶する論理回線対応テーブル(図13)を参照して、「LAC20から受信した指定LNSグループ識別子とLACグループ検索部13aによって検索され検索結果記憶部12dに格納されたLACグループ識別子と物理回線グループ検索部13eによって検索され検索結果記憶部12dに格納された物理回線グループ識別子からなる指定装置間対応関係」と「アクセス論理回線識別子」の組み合わせが存在するか否かを検索し、その検索結果を、検索結果記憶部12dに格納する。
例えば、論理回線検索部13cは、第二の場合、「LACグループ識別子:LACグループ1、指定LNSグループ識別子:LNSグループ3、物理回線グループ識別子:物理接続グループ1」からなる指定装置間対応関係と「アクセス論理回線識別子:3333333」との組み合わせを検索キーとし、図13に示す論理回線対応テーブルを参照して、検索対象となる組み合わせが登録されているとする検索結果を取得する。
また、論理回線検索部13cは、第四の場合、「LACグループ識別子:LACグループ1、指定LNSグループ識別子:LNSグループ3、物理回線グループ識別子:物理接続グループ1」からなる指定装置間対応関係と「アクセス論理回線識別子:87654321」との組み合わせを検索キーとし、図13に示す論理回線対応テーブルを参照して、検索対象となる組み合わせが登録されていないとする検索結果を取得する。
認証結果通知部13dは、LNS検索部13bによる検索結果において、指定装置間対応関係を含む装置間対応関係が存在しない場合(第三の場合)、および論理回線検索部13cによる検索結果において、指定装置間対応関係およびアクセス論理回線識別子の組み合わせが存在しない場合(第四の場合)は、ユーザ端末40がアクセスしたLAC20に対して、接続を許可しないことを通信制御I/F部11を介して通知する。
また、認証結果通知部13dは、LNS検索部13bによる検索結果において、指定装置間対応関係を含む装置間対応関係に対応付けられた指示情報が「FALSE」であった場合(第一の場合)、および論理回線検索部13cによる検索結果において、指定装置間対応関係およびアクセス論理回線識別子の組み合わせが存在する場合(第二の場合)は、ユーザ端末40がアクセスしたLAC20に対して、接続を許可することを通信制御I/F部11を介して通知する。
ここで、接続を許可する場合、認証結果通知部13dは、LNS対応テーブルにおいて、指定装置間対応関係を含む装置間対応関係のLNSグループに所属する一つまたは複数のLNSをユーザ端末40がアクセスしたLAC20に対して、通信制御I/F部11を介して通知する。
すなわち、認証結果通知部13dは、第一の場合、「LACグループ識別子:LACグループ1、指定LNSグループ識別子:LNSグループ2、物理回線グループ識別子:物理接続グループ2」からなる指定装置間対応関係を含む装置間対応関係に登録されている「LNS4、LNS5」をユーザ端末40がアクセスしたLAC20に対して通知する。
また、認証結果通知部13dは、第二の場合、「LACグループ識別子:LACグループ1、指定LNSグループ識別子:LNSグループ3、物理回線グループ識別子:物理接続グループ1」からなる指定装置間対応関係を含む装置間対応関係に登録されている「LNS6、LNS7、LNS8」をユーザ端末40がアクセスしたLAC20に対して通知する。
なお、実施例2におけるLAC20は、LAC制御サーバ10に対して、「アクセスLAC識別子」、「指定LNSグループ識別子」および「アクセス論理回線識別子」とともに「アクセス物理回線識別子」を送信する以外は、図6を用いて説明した実施例1におけるLAC20と同様の処理を実行するので説明を省略する。
[実施例2におけるネットワーク接続制御システムの処理の手順]
次に、図14および図15を用いて、実施例2におけるネットワーク接続制御システムの処理を説明する。図14は、実施例2におけるLAC制御サーバの処理を説明するための図であり、図15は、実施例2におけるLACの処理を説明するための図である。
[実施例2におけるLAC制御サーバの処理の手順]
図14に示すように、まず、実施例2におけるLAC制御サーバ10は、ユーザがユーザ端末40を介してアクセスしたLAC20からアクセスLAC識別子、指定LNSグループ識別子、アクセス論理回線識別子およびアクセス物理回線識別子を受信すると(ステップS1401肯定)、物理回線グループ検索部13eは、受信したアクセスLAC識別子およびアクセス物理回線識別子から物理回線部ループ識別子を、物理回線グループ対応テーブル記憶部12eが記憶する物理回線グループ対応テーブルを用いて検索する(ステップS1402)。
そして、LACグループ検索部13aは、受信したアクセスLAC識別子からLACグループ識別子を、LACグループ対応テーブル記憶部12aが記憶するLACグループ対応テーブルを用いて検索する(ステップS1403)。
そののち、LNS検索部13bは、LACグループ検索部13aによって検索され検索結果記憶部12dに格納されたLACグループ識別子とLAC20から受信した指定LNSグループ識別子と物理回線グループ検索部13eによって検索され検索結果記憶部12dに格納された物理回線グループ識別子との組み合わせ(指定装置間対応関係)を、LNS対応テーブル記憶部12bが記憶するLNS対応テーブルを用いて検索する(ステップS1404)。
ここで、LNS検索部13bによる検索結果において、LNS対応テーブルに検索対象となる組み合わせ(指定装置間対応関係)が登録されていない場合(ステップS1405否定、第三の場合)、認証結果通知部13dは、ユーザ端末40がアクセスしたLAC20に対して、LNS30への接続を不許可とする認証結果を、通信制御I/F部11を介して通知し(ステップS1409)、処理を終了する。
一方、LNS検索部13bによる検索結果において、LNS対応テーブルに検索対象となる組み合わせ(指定装置間対応関係)が登録されている場合(ステップS1405肯定)、当該指定装置間対応関係を含む装置間対応関係に対応づけられた指示情報を検索し、指示情報が「TRUE」であるか否かを検索する(ステップS1406)。
ここで、LNS検索部13bによる検索結果において、LNS対応テーブルに検索対象となる組み合わせ(指定装置間対応関係)を含む装置間対応関係に対応づけられた指示情報が「FALSE」である場合(ステップS1406否定、第一の場合)、認証結果通知部13dは、ユーザ端末40がアクセスしたLAC20に対して、LNS30への接続を許可とする認証結果とともに、LNS対応テーブルにおいて、指定装置間対応関係を含む装置間対応関係の一つまたは複数のLNSをユーザ端末40がアクセスしたLAC20に対して、通信制御I/F部11を介して通知し(ステップS1410)、処理を終了する。
一方、LNS検索部13bによる検索結果において、LNS対応テーブルに検索対象となる組み合わせ(指定装置間対応関係)を含む装置間対応関係に対応づけられた指示情報が「TRUE」である場合(ステップS1406肯定、第二および第四の場合)、論理回線検索部13cは、LACグループ検索部13aによって検索されたLACグループ識別子と、LAC20から受信した指定ネットワークグループ識別子と、物理回線グループ検索部13eによって検索された物理回線グループ識別子と、LAC20から受信したアクセス論理回線識別子との組み合わせを、論理回線対応テーブル記憶部12cが記憶する論理回線対応テーブルを用いて検索する(ステップS1407)。
ここで、論理回線検索部13cによる検索結果において、論理回線対応テーブルに検索対象の組み合わせが登録されていない場合(ステップS1408否定、第四の場合)、認証結果通知部13dは、ユーザ端末40がアクセスしたLAC20に対して、LNS30への接続を不許可とする認証結果を、通信制御I/F部11を介して通知し(ステップS1409)、処理を終了する。
一方、論理回線検索部13cによる検索結果において、論理回線対応テーブルに検索対象の組み合わせが登録されている場合(ステップS1408肯定、第二の場合)、認証結果通知部13dは、ユーザ端末40がアクセスしたLAC20に対して、LNS30への接続を許可とする認証結果とともに、LNS対応テーブルにおいて、指定装置間対応関係を含む装置間対応関係の一つまたは複数のLNSを、ユーザ端末40がアクセスしたLAC20に対して、通信制御I/F部11を介して通知し(ステップS1410)、処理を終了する。
[実施例2におけるLACの処理の手順]
図15に示すように、まず、実施例2におけるLAC20は、ユーザ端末40からアクセスされて、指定LNSグループ識別子を受信すると(ステップS1501肯定)、LAC制御サーバ10に自身のLAC識別子であるアクセスLAC識別子と指定LNSグループ識別子と、アクセス論理回線識別子と、アクセス物理回線識別子とを、LAC制御サーバ10に送信する(ステップS1502)。
そして、通信制御I/F部21は、LAC制御サーバ10から認証結果を受信すると(ステップS1503肯定)、受信した認証結果が「許可とする認証結果」であるか否かを判定する(ステップS1504)。
ここで、通信制御I/F部21は、受信した認証結果が「不許可とする認証結果」である場合(ステップS1504否定、第三および第四の場合)、認証を不許可と、自身にアクセスしたユーザ端末40に通知し(ステップS1505)、処理を終了する。
一方、通信制御I/F部21は、受信した認証結果が「許可とする認証結果」である場合(ステップS1504肯定、第一および第二の場合)、認証結果とともに受信したLNSの情報をLNS選択接続部23aに転送し、LNS選択接続部23aは、認証結果とともに受信した接続候補としてのLNSから一つのLNS30を、基準記憶部22aが記憶する選択機銃を用いて選択し、選択した一つのLNS30との間にL2TPによる接続を確立し(ステップ1506)、処理を終了する。
[実施例2の効果]
上記したように、実施例2によれば、接続を許可するLAC20とLNS30との組み合わせを、LACグループおよびLNSグループとともに物理回線グループを加えたグループ単位にすることで接続を許可するための組み合わせをさらに減少させるので、認証処理の負荷をより軽減することが可能になる。
なお、上記した実施例では、論理回線対応テーブル記憶部12cが論理回線対応テーブルとして、LACグループ識別子とLNSグループ識別子と物理回線グループ識別子と論理回線識別子とを対応付けて記憶する場合について説明したが、本発明はこれに限定されるものではなく、論理回線対応テーブル記憶部12cが論理回線対応テーブルとして、以下に示すような組み合わせを対応付けて記憶する場合であってもよい。
例えば、論理回線対応テーブル記憶部12cは、図13に示すLACグループ識別子および物理回線グループ識別子の項目を削除し、実施例1における変形例として図9を用いて上述した場合と同様に、「LNSグループ識別子」および「論理回線識別子」のみを対応付けた論理回線対応テーブルを記憶してもよい。この場合、論理回線検索部13cは、論理回線対応テーブルの「LNSグループ識別子」および「論理回線識別子」を検索キーとし、LNS検索部13bによる検索結果において、LNS対応テーブルに検索対象となる組み合わせ(指定装置間対応関係)を含む装置間対応関係に対応づけられた指示情報が「TRUE」である場合(第二および第四の場合)、指定装置間対応関係の指定LNSグループ識別子と、アクセス論理回線識別子との組み合わせが、論理回線対応テーブル記憶部12cが記憶する論理回線対応テーブルに登録されているか否かを検索する。
また、論理回線対応テーブル記憶部12cは、図13に示すLACグループ識別子の項目を削除し、図16の(A)に示すように、「LNSグループ識別子」、「物理回線グループ識別子」および「論理回線識別子」のみを対応付けた論理回線対応テーブルを記憶してもよい。この場合、論理回線検索部13cは、論理回線対応テーブルの「LNSグループ識別子」、「論理回線識別子」および「物理回線グループ識別子」を検索キーとし、LNS検索部13bによる検索結果において、LNS対応テーブルに検索対象となる組み合わせ(指定装置間対応関係)を含む装置間対応関係に対応づけられた指示情報が「TRUE」である場合(第二および第四の場合)、指定装置間対応関係の指定LNSグループ識別子および物理回線グループ識別子と、アクセス論理回線識別子との組み合わせが、論理回線対応テーブル記憶部12cが記憶する論理回線対応テーブルに登録されているか否かを検索する。なお、図16は、実施例2における変形例を説明するための図である。
また、論理回線対応テーブル記憶部12cは、図13に示す物理回線グループ識別子の項目を削除し、図16の(B)に示すように、「LACグループ識別子」、「LNSグループ識別子」および「論理回線識別子」のみを対応付けた論理回線対応テーブルを記憶してもよい。この場合、論理回線検索部13cは、論理回線対応テーブルの「LACグループ識別子」、「LNSグループ識別子」および「論理回線識別子」を検索キーとし、LNS検索部13bによる検索結果において、LNS対応テーブルに検索対象となる組み合わせ(指定装置間対応関係)を含む装置間対応関係に対応づけられた指示情報が「TRUE」である場合(第二および第四の場合)、指定装置間対応関係のLACグループ識別子および指定LNSグループ識別子と、アクセス論理回線識別子との組み合わせが、論理回線対応テーブル記憶部12cが記憶する論理回線対応テーブルに登録されているか否かを検索する。
なお、論理回線対応テーブルとして図13に示す対応テーブルを保持したまま、論理回線検索部13cの使用する検索キーが、「指定装置間対応関係の指定LNSグループ識別子と、アクセス論理回線識別子との組み合わせ」や、「指定装置間対応関係の指定LNSグループ識別子および物理回線グループ識別子と、アクセス論理回線識別子との組み合わせ」や、「指定装置間対応関係のLACグループ識別子および指定LNSグループ識別子と、アクセス論理回線識別子との組み合わせ」である場合であってもよい。
このように検索キーの組み合わせを減少することで、装置単位での継続認証が必要となる際の、認証処理における負荷を軽減することが可能になる。
ところで、上記の実施例1および2では、LAC20およびLNS30それぞれが、すべて実際の機器である場合について説明したが、本発明はこれに限定されるものではなく、実際の機器の中に、仮想的なLACまたは仮想的なLNSが含まれる場合であってもよい。例えば、実際の機器である「LNS」の中に、仮想LNSを複数設定する場合であってもよい。
また、上記の実施例1および2では、ユーザ端末40に関する情報(ユーザ端末情報)として、ユーザ利用回線識別子のみを用い、また、LAC20にアクセスしたユーザ端末40の情報(アクセスユーザ端末情報)として、アクセスユーザ利用回線識別子のみを用いた場合について説明したが、本発明はこれに限定されるものではなく、ユーザ端末情報やアクセスユーザ端末情報として、ユーザ端末40のIPアドレスやMACアドレスなど、ユーザ端末40を一意に特定するため情報(ユーザ端末識別子およびアクセスユーザ端末識別子)のみを用る場合であってもよい。あるいは、ユーザ端末情報として、ユーザ端末識別子とユーザ利用回線識別子との組み合わせを用い、アクセスユーザ端末情報として、アクセスユーザ端末識別子とアクセスユーザ利用回線識別子との組み合わせを用いる場合であってもよい。
また、図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部または一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的または物理的に分散・統合して構成することができる。さらに、各装置にて行なわれる各処理機能は、その全部または任意の一部が、CPUおよび当該CPUにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。
なお、本実施例で説明したネットワーク接続制御方法は、あらかじめ用意されたプログラムをパーソナルコンピュータやワークステーションなどのコンピュータで実行することによって実現することができる。このプログラムは、インターネットなどのネットワークを介して配布することができる。また、このプログラムは、ハードディスク、フレキシブルディスク(FD)、CD−ROM、MO、DVDなどのコンピュータで読み取り可能な記録媒体に記録され、コンピュータによって記録媒体から読み出されることによって実行することもできる。
以上のように、本発明に係るネットワーク接続制御方法およびネットワーク接続制御装置は、ユーザの所有するユーザ端末が指定したネットワークである指定ネットワークへの接続を、ユーザ端末がアクセスするユーザアクセス装置と、指定ネットワークと接続されるネットワーク接続装置との接続を許可するか否かによって制御する場合に有用であり、特に、認証処理の負荷を軽減することに適する。
実施例1におけるネットワーク接続制御システムの全体構成について説明するための図である。 実施例1におけるLAC制御サーバの構成を示すブロック図である。 LACグループ対応テーブル記憶部を説明するための図である。 実施例1におけるLNS対応テーブル記憶部を説明するための図である。 実施例1における論理回線対応テーブル記憶部を説明するための図である。 実施例1におけるLACの構成を示すブロック図である。 実施例1におけるLAC制御サーバの処理を説明するための図である。 実施例1におけるLACの処理を説明するための図である。 実施例1における変形例を説明するための図である。 実施例2におけるLAC制御サーバの構成を示すブロック図である。 物理回線グループ対応テーブル記憶部を説明するための図である。 実施例2におけるLNS対応テーブル記憶部を説明するための図である。 実施例2における論理回線対応テーブル記憶部を説明するための図である。 実施例2におけるLAC制御サーバの処理を説明するための図である。 実施例2におけるLACの処理を説明するための図である。 実施例2における変形例を説明するための図である。 従来技術を説明するための図である。 従来技術を説明するための図である。
符号の説明
10 LAC制御サーバ
11 通信制御I/F部
12 記憶部
12a LACグループ対応テーブル記憶部
12b LNS対応テーブル記憶部
12c 論理回線対応テーブル記憶部
12d 検索結果記憶部
13 処理部
13a LACグループ検索部
13b LNS検索部
13c 論理回線検索部
13d 認証結果通知部
20 LAC
21 通信制御I/F部
22 記憶部
22a 基準記憶部
23 処理部
23a LNS選択接続部
30 LNS
40 ユーザ端末

Claims (10)

  1. ユーザの所有するユーザ端末が指定したネットワークである指定ネットワークへの接続を、前記ユーザ端末がアクセスするユーザアクセス装置と、前記指定ネットワークと接続されるネットワーク接続装置との接続を許可するか否かによって制御するネットワーク接続制御装置に適用されるネットワーク接続制御方法であって、
    前記ユーザアクセス装置を一意に特定するためのユーザアクセス装置識別子と、前記ユーザアクセス装置をグループ分けした各ユーザアクセス装置グループを一意に特定するためのユーザアクセス装置グループ識別子とを対応付けた第一の対応テーブルと、前記ユーザアクセス装置グループ識別子と、前記ネットワーク接続装置をグループ分けした各ネットワーク接続装置グループを一意に特定するためのネットワーク接続装置グループ識別子とを対応付けた装置間対応関係ごとに、接続を許可することを指示する接続許可指示情報、または、接続を許可するか否かをグループ単位より細分化した単位で行なうことを指示する細分化指示情報のいずれかからなる指示情報を対応付けた第二の対応テーブルと、前記ネットワーク接続装置グループ識別子と、前記ユーザ端末を一意に特定するためのユーザ端末識別子、および/または、前記ユーザ端末が利用する回線を一意に特定するためのユーザ利用回線識別子からなるユーザ端末情報とを対応付けた第三の対応テーブルとを所定の記憶部において保持する対応テーブル保持ステップと、
    前記ユーザ端末が現にアクセスしたユーザアクセス装置から、当該ユーザアクセス装置の前記ユーザアクセス装置識別子であるアクセス装置識別子と、前記指定ネットワークと接続されるネットワーク接続装置グループの前記ネットワーク接続装置グループ識別子である指定ネットワークグループ識別子と、当該ユーザアクセス装置にアクセスしたユーザ端末の前記ユーザ端末情報であるアクセスユーザ端末情報とを取得した場合に、
    前記第一の対応テーブルを参照して、前記アクセス装置識別子に対応するユーザアクセス装置グループ識別子を検索する第一の検索ステップと、
    前記第二の対応テーブルを参照して、前記指定ネットワークグループ識別子および前記第一の検索ステップによって検索された前記ユーザアクセス装置グループ識別子からなる指定装置間対応関係を含む装置間対応関係が存在するか否かを検索し、前記指定装置間対応関係を含む装置間対応関係が存在する場合は、当該装置間対応関係に対応づけられた前記指示情報を検索する第二の検索ステップと、
    前記第二の検索ステップによって検索された前記指示情報が前記細分化指示情報であった場合に、前記第三の対応テーブルを参照して、前記指定装置間対応関係の指定ネットワークグループ識別子および前記アクセスユーザ端末情報の組み合わせが存在するか否かを検索する第三の検索ステップと、
    前記第二の検索ステップによる検索結果において前記指定装置間対応関係を含む装置間対応関係が存在しない場合および前記第三の検索ステップによる検索結果において前記指定装置間対応関係の指定ネットワークグループ識別子および前記アクセスユーザ端末情報の組み合わせが存在しない場合は、前記ユーザ端末がアクセスしたユーザアクセス装置に対して接続を許可しないことを通知し、前記第二の検索ステップによる検索結果において前記指定装置間対応関係を含む装置間対応関係に対応付けられた指示情報が前記接続許可指示情報であった場合および前記第三の検索ステップによる検索結果において前記指定装置間対応関係の指定ネットワークグループ識別子および前記アクセスユーザ端末情報の組み合わせが存在する場合は、前記ユーザ端末がアクセスしたユーザアクセス装置に対して接続を許可することを通知する通知ステップと、
    を含んだことを特徴とするネットワーク接続制御方法。
  2. 前記対応テーブル保持ステップは、前記第二の対応テーブルにおける前記装置間対応関係として、前記ユーザアクセス装置グループ識別子と前記ネットワーク接続装置グループ識別子との組み合わせとともに当該ネットワーク接続装置グループ識別子を有する一つまたは複数のネットワーク接続装置をさらに対応付けて保持し、
    前記通知ステップは、前記ユーザ端末がアクセスしたユーザアクセス装置に対して接続を許可することを通知する場合に、前記第二の対応テーブルを参照して、前記指定装置間対応関係を含む装置間対応関係の一つまたは複数のネットワーク接続装置をさらに通知することを特徴とする請求項1に記載のネットワーク接続制御方法。
  3. 前記ユーザ端末情報は、前記ユーザ端末が利用する回線を一意に特定するためのユーザ利用回線識別子からなり、前記アクセスユーザ端末情報は、前記ユーザ端末が前記ユーザアクセス装置へアクセスした際に利用した回線を一意に特定するためのアクセスユーザ利用回線識別子からなることを特徴とする請求項2に記載のネットワーク接続制御方法。
  4. 前記ユーザ利用回線識別子は、前記ユーザ端末が利用する論理回線の識別子である論理回線識別子であり、前記アクセスユーザ利用回線識別子は、前記ユーザ端末が前記ユーザアクセス装置へアクセスした際に利用した論理回線の識別子であるアクセス論理回線識別子であることを特徴とする請求項3に記載のネットワーク接続制御方法。
  5. 前記対応テーブル保持ステップは、前記第三の対応テーブルとして、前記ユーザアクセス装置グループ識別子を、前記ネットワーク接続装置グループ識別子および前記論理回線識別子にさらに対応付けて保持し、
    前記第三の検索ステップは、前記第三の対応テーブルを参照して、前記指定装置間対応関係および前記アクセス論理回線識別子の組み合わせが存在するか否かを検索し、
    前記通知ステップは、前記第三の検索ステップによる検索結果において前記指定装置間対応関係および前記アクセス論理回線識別子の組み合わせが存在しない場合は、前記ユーザ端末がアクセスしたユーザアクセス装置に対して接続を許可しないことを通知し、前記第三の検索ステップによる検索結果において前記指定装置間対応関係および前記アクセス論理回線識別子の組み合わせが存在する場合は、当該指定装置間対応関係を含む装置間対応関係の一つまたは複数のネットワーク接続装置を、前記ユーザ端末がアクセスしたユーザアクセス装置に対して接続を許可するために通知することを特徴とする請求項4に記載のネットワーク接続制御方法。
  6. 前記論理回線識別子とともに、前記ユーザ端末が利用する物理回線を一意に特定するための物理回線識別子を前記ユーザ利用回線識別子とし、さらに前記ユーザ端末がアクセスしたユーザアクセス装置から、前記アクセス装置識別子、前記指定ネットワークグループ識別子および前記アクセス論理回線識別子とともに前記ユーザ端末が前記ユーザアクセス装置へアクセスした際に利用した物理回線の識別子であるアクセス物理回線識別子を取得する場合であって、
    前記対応テーブル保持ステップは、前記ユーザアクセス装置識別子と、前記物理回線識別子と、前記物理回線識別子をグループ分けした各物理回線グループを一意に特定するための物理回線グループ識別子とを対応付けた第四の対応テーブルをさらに保持し、かつ、前記第二の対応テーブルにおける前記装置間対応関係として、前記物理回線グループ識別子をさらに対応付けて保持し、
    前記第四の対応テーブルを参照して、前記アクセス装置識別子および前記アクセス物理回線識別子に対応する物理回線グループ識別子を検索する第四の検索ステップをさらに含み、
    前記第二の検索ステップは、前記第二の対応テーブルを参照して、前記指定ネットワークグループ識別子、前記第一の検索ステップによって検索された前記ユーザアクセス装置グループ識別子および前記第四の検索ステップによって検索された前記物理回線グループ識別子からなる指定装置間対応関係を含む装置間対応関係が存在するか否かを検索し、前記指定装置間対応関係を含む装置間対応関係が存在する場合は、当該装置間対応関係に対応づけられた前記指示情報を検索することを特徴とする請求項4に記載のネットワーク接続制御方法。
  7. 前記対応テーブル保持ステップは、前記第三の対応テーブルとして、前記物理回線グループ識別子を前記ネットワーク接続装置グループ識別子および前記論理回線識別子にさらに対応付けて保持し、
    前記第三の検索ステップは、前記第三の対応テーブルを参照して、前記指定装置間対応関係の指定ネットワークグループ識別子および物理回線グループ識別子と前記アクセス論理回線識別子との組み合わせが存在するか否かを検索し、
    前記通知ステップは、前記第三の検索ステップによる検索結果において前記指定装置間対応関係の指定ネットワークグループ識別子および物理回線グループ識別子と前記アクセス論理回線識別子との組み合わせが存在しない場合は、前記ユーザ端末がアクセスしたユーザアクセス装置に対して接続を許可しないことを通知し、前記第三の検索ステップによる検索結果において前記指定装置間対応関係の指定ネットワークグループ識別子および物理回線グループ識別子と前記アクセス論理回線識別子との組み合わせが存在する場合は、当該指定装置間対応関係を含む装置間対応関係の一つまたは複数のネットワーク接続装置を、前記ユーザ端末がアクセスしたユーザアクセス装置に対して接続を許可するために通知することを特徴とする請求項6に記載のネットワーク接続制御方法。
  8. 前記対応テーブル保持ステップは、前記第三の対応テーブルとして、前記ユーザアクセス装置グループ識別子を前記ネットワーク接続装置グループ識別子および前記論理回線識別子にさらに対応付けて保持し、
    前記第三の検索ステップは、前記第三の対応テーブルを参照して、前記指定装置間対応関係の指定ネットワークグループ識別子およびユーザアクセス装置グループ識別子と前記アクセス論理回線識別子との組み合わせが存在するか否かを検索し、
    前記通知ステップは、前記第三の検索ステップによる検索結果において前記指定装置間対応関係の指定ネットワークグループ識別子およびユーザアクセス装置グループ識別子と前記アクセス論理回線識別子との組み合わせが存在しない場合は、前記ユーザ端末がアクセスしたユーザアクセス装置に対して接続を許可しないことを通知し、前記第三の検索ステップによる検索結果において前記指定装置間対応関係の指定ネットワークグループ識別子およびユーザアクセス装置グループ識別子と前記アクセス論理回線識別子との組み合わせが存在する場合は、当該指定装置間対応関係を含む装置間対応関係におけるネットワーク接続装置グループに所属する一つまたは複数のネットワーク接続装置を、前記ユーザ端末がアクセスしたユーザアクセス装置に対して接続を許可するために通知することを特徴とする請求項6に記載のネットワーク接続制御方法。
  9. 前記対応テーブル保持ステップは、前記第三の対応テーブルとして、前記ユーザアクセス装置グループ識別子および前記物理回線グループ識別子を前記ネットワーク接続装置グループ識別子および前記論理回線識別子にさらに対応付けて保持し、
    前記第三の検索ステップは、前記第三の対応テーブルを参照して、前記指定装置間対応関係と前記アクセス論理回線識別子との組み合わせが存在するか否かを検索し、
    前記通知ステップは、前記第三の検索ステップによる検索結果において前記指定装置間対応関係と前記アクセス論理回線識別子との組み合わせが存在しない場合は、前記ユーザ端末がアクセスしたユーザアクセス装置に対して接続を許可しないことを通知し、前記第三の検索ステップによる検索結果において前記指定装置間対応関係と前記アクセス論理回線識別子との組み合わせが存在する場合は、当該指定装置間対応関係を含む装置間対応関係におけるネットワーク接続装置グループに所属する一つまたは複数のネットワーク接続装置を、前記ユーザ端末がアクセスしたユーザアクセス装置に対して接続を許可するために通知することを特徴とする請求項6に記載のネットワーク接続制御方法。
  10. ユーザの所有するユーザ端末が指定したネットワークである指定ネットワークへの接続を、前記ユーザ端末がアクセスするユーザアクセス装置と、前記指定ネットワークと接続されるネットワーク接続装置との接続を認証するか否かによって制御するネットワーク接続制御装置であって、
    前記ユーザアクセス装置を一意に特定するためのユーザアクセス装置識別子と、前記ユーザアクセス装置をグループ分けした各ユーザアクセス装置グループを一意に特定するためのユーザアクセス装置グループ識別子とを対応付けた第一の対応テーブルと、前記ユーザアクセス装置グループ識別子と、前記ネットワーク接続装置をグループ分けした各ネットワーク接続装置グループを一意に特定するためのネットワーク接続装置グループ識別子とを対応付けた装置間対応関係ごとに、接続を許可することを指示する接続許可指示情報、または、接続を許可するか否かをグループ単位より細分化した単位で行なうことを指示する細分化指示情報のいずれかからなる指示情報を対応付けた第二の対応テーブルと、前記ネットワーク接続装置グループ識別子と、前記ユーザ端末を一意に特定するためのユーザ端末識別子、および/または、前記ユーザ端末が利用する回線を一意に特定するためのユーザ利用回線識別子からなるユーザ端末情報とを対応付けた第三の対応テーブルとを保持する対応テーブル保持手段と、
    前記ユーザ端末が現にアクセスしたユーザアクセス装置から、当該ユーザアクセス装置の前記ユーザアクセス装置識別子であるアクセス装置識別子と、前記指定ネットワークと接続されるネットワーク接続装置グループの前記ネットワーク接続装置グループ識別子である指定ネットワークグループ識別子と、当該ユーザアクセス装置にアクセスしたユーザ端末の前記ユーザ端末情報であるアクセスユーザ端末情報とを取得した場合に、
    前記第一の対応テーブルを参照して、前記アクセス装置識別子に対応するユーザアクセス装置グループ識別子を検索する第一の検索手段と、
    前記第二の対応テーブルを参照して、前記指定ネットワークグループ識別子および前記第一の検索手段によって検索された前記ユーザアクセス装置グループ識別子からなる指定装置間対応関係を含む装置間対応関係が存在するか否かを検索し、前記指定装置間対応関係を含む装置間対応関係が存在する場合は、当該装置間対応関係に対応づけられた前記指示情報を検索する第二の検索手段と、
    前記第二の検索手段によって検索された前記指示情報が前記細分化指示情報であった場合に、前記第三の対応テーブルを参照して、前記指定装置間対応関係の指定ネットワークグループ識別子および前記アクセスユーザ端末情報の組み合わせが存在するか否かを検索する第三の検索手段と、
    前記第二の検索手段による検索結果において前記指定装置間対応関係を含む装置間対応関係が存在しない場合および前記第三の検索手段による検索結果において前記指定装置間対応関係の指定ネットワークグループ識別子および前記アクセスユーザ端末情報の組み合わせが存在しない場合は、前記ユーザ端末がアクセスしたユーザアクセス装置に対して接続を許可しないことを通知し、前記第二の検索手段による検索結果において前記指定装置間対応関係を含む装置間対応関係に対応付けられた指示情報が前記接続許可指示情報であった場合および前記第三の検索手段による検索結果において前記指定装置間対応関係の指定ネットワークグループ識別子および前記アクセスユーザ端末情報の組み合わせが存在する場合は、前記ユーザ端末がアクセスしたユーザアクセス装置に対して接続を許可することを通知する通知手段と、
    を備えたことを特徴とするネットワーク接続制御装置。
JP2008157211A 2008-06-16 2008-06-16 ネットワーク接続制御方法およびネットワーク接続制御装置 Active JP4541430B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2008157211A JP4541430B2 (ja) 2008-06-16 2008-06-16 ネットワーク接続制御方法およびネットワーク接続制御装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2008157211A JP4541430B2 (ja) 2008-06-16 2008-06-16 ネットワーク接続制御方法およびネットワーク接続制御装置

Publications (2)

Publication Number Publication Date
JP2009303079A JP2009303079A (ja) 2009-12-24
JP4541430B2 true JP4541430B2 (ja) 2010-09-08

Family

ID=41549480

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2008157211A Active JP4541430B2 (ja) 2008-06-16 2008-06-16 ネットワーク接続制御方法およびネットワーク接続制御装置

Country Status (1)

Country Link
JP (1) JP4541430B2 (ja)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006013827A (ja) * 2004-06-25 2006-01-12 Hitachi Communication Technologies Ltd パケット転送装置
JP2006086930A (ja) * 2004-09-17 2006-03-30 Hitachi Communication Technologies Ltd パケット転送装置およびアクセスネットワークシステム
JP2008271138A (ja) * 2007-04-19 2008-11-06 Nippon Telegr & Teleph Corp <Ntt> ネットワーク接続制御方法

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006013827A (ja) * 2004-06-25 2006-01-12 Hitachi Communication Technologies Ltd パケット転送装置
JP2006086930A (ja) * 2004-09-17 2006-03-30 Hitachi Communication Technologies Ltd パケット転送装置およびアクセスネットワークシステム
JP2008271138A (ja) * 2007-04-19 2008-11-06 Nippon Telegr & Teleph Corp <Ntt> ネットワーク接続制御方法

Also Published As

Publication number Publication date
JP2009303079A (ja) 2009-12-24

Similar Documents

Publication Publication Date Title
AU2016280163B2 (en) Managing dynamic IP address assignments
US10129152B2 (en) Setting method, server device and service chain system
JP2020515987A (ja) 分離されたネットワークスタックにわたるインテリジェントなスレッド管理
JP6888078B2 (ja) ネットワーク機能nf管理方法及びnf管理装置
JP2010533399A (ja) 最善のdhcpサーバを見出すためのルータの動的な構成
JP2011154622A (ja) アクセス制御システム及びアクセス制御方法
US9009782B2 (en) Steering traffic among multiple network services using a centralized dispatcher
CN111327668B (zh) 网络管理方法、装置、设备和存储介质
EP3306900A1 (en) Dns routing for improved network security
JP5508273B2 (ja) ネットワーク・ロケーション・サービス
US9537942B2 (en) Proxy assignment apparatus and method for assigning proxy
JP6181881B2 (ja) 制御装置、制御システム、制御方法、および、制御プログラム
CN110213365B (zh) 基于用户分区的用户访问请求处理方法及电子设备
JP4378182B2 (ja) 移動体通信システム、移動体通信制御方法及びプログラム
JP2007243356A (ja) Dnsサーバクライアントシステム、dnsサーバ装置、キャッシュサーバ装置、dnsクエリ要求制御方法およびdnsクエリ要求制御プログラム
JP6744030B2 (ja) ホームゲートウェイ装置、接続端末アクセス管理方法および接続端末アクセス管理プログラム
JP4541430B2 (ja) ネットワーク接続制御方法およびネットワーク接続制御装置
JP5296770B2 (ja) 認証装置、認証方法、認証プログラムおよび認証システム
JP4833249B2 (ja) 接続制御システム、接続制御方法および接続制御プログラム
US8730811B2 (en) Managing network traffic
US20210064411A1 (en) Management apparatus, management system, management method and management program
CN115412549A (zh) 信息配置方法、装置及请求处理方法、装置
US20150142960A1 (en) Information processing apparatus, information processing method and information processing system
JP2006040025A (ja) ストレージ接続変更方法、ストレージ管理システム及びプログラム
JP2016071531A (ja) 情報処理装置、その制御方法、及びプログラム

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20100528

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20100608

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20100623

R150 Certificate of patent or registration of utility model

Ref document number: 4541430

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130702

Year of fee payment: 3

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350