JP4541848B2 - ユーザ端末接続制御方法および装置 - Google Patents

ユーザ端末接続制御方法および装置 Download PDF

Info

Publication number
JP4541848B2
JP4541848B2 JP2004337273A JP2004337273A JP4541848B2 JP 4541848 B2 JP4541848 B2 JP 4541848B2 JP 2004337273 A JP2004337273 A JP 2004337273A JP 2004337273 A JP2004337273 A JP 2004337273A JP 4541848 B2 JP4541848 B2 JP 4541848B2
Authority
JP
Japan
Prior art keywords
user
user terminal
connections
identification information
authentication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2004337273A
Other languages
English (en)
Other versions
JP2006148648A (ja
JP2006148648A5 (ja
Inventor
雅透 日野
裕章 宮田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2004337273A priority Critical patent/JP4541848B2/ja
Priority to US11/282,712 priority patent/US8125980B2/en
Publication of JP2006148648A publication Critical patent/JP2006148648A/ja
Publication of JP2006148648A5 publication Critical patent/JP2006148648A5/ja
Application granted granted Critical
Publication of JP4541848B2 publication Critical patent/JP4541848B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Description

本発明は、ユーザ端末のインターネットへの接続を制御するユーザ端末接続制御方法および装置に関し、更に詳しくは、ユーザ端末との間にPPP(Point to Point Protocol)に従ってセッションを確立した後、該ユーザ端末のIP網への接続を制御するパケット転送装置、およびユーザ端末のインターネットへのアクセスを制限する認証サーバに関する。
ユーザ端末をインターネット接続事業者が管理するISP(Internet Service Provider)網を介してインターネットに接続する場合、インターネット通信で必要となるIP(Internet Protocol)アドレスは、ISPから配布される。ISPが介在するネットワーク構成では、ユーザ端末とISP網との間にアクセスネットワークが存在する。
アクセスネットワークには、各ユーザ端末とインターネットとの接続/切断を制御するためのアクセスサーバ、またはBAS(Broadband Access Server)と呼ばれるパケット転送装置(以下、BASと言う)が設定されている。ユーザ端末は、多くの場合、Ethernet(登録商標名)上でのPPP(Point to Point Protocol)接続技術であるPPPoE(PPP over Ethernet)によって、BASに接続される。
標準的なインターネット接続サービスでは、ユーザ毎に1つのIPアドレスが配布される。この場合、各ユーザがインターネットに同時接続可能な端末台数は1台だけである。
配布された1つのIPアドレスで複数台のユーザ端末をインターネットに接続するためには、例えば、ブロードバンドルータ等の装置を使用し、NAT(Network Address Translation)やIPマスカレード等のアドレス変換技術により、1つのIPアドレスを複数のユーザ端末で共有する必要がある。但し、NATやIPマスカレードを用いると、通信に特別な手順を必要としたり、使用可能なアプリケーション種類が制約される場合がある。ISPによっては、複数の端末を同時にインターネット接続できるように、同一ユーザに複数のIPアドレスを配布する付加的なサービスを提供している。
アクセスネットワークは、一般に、ブロードキャスト型ネットワークであるEthernetで構築されているため、ネットワークへのユーザ端末の追加は比較的容易に行われる。そのため、ISPは、ユーザによる不正アクセスを防止し、IPアドレスや通信帯域等のネットワークリソースを有効利用するために、ユーザ毎にインターネットへの接続数を制限している。
PPPoEを用いたインターネット接続環境における接続数制限は、従来は、アクセスネットワーク内、具体的には、ユーザ端末とBASとの間に設置されているL2スイッチによって行われている。L2スイッチは、例えば、特開2000−112852号公報(特許文献1)に記載されているように、通信パケットのMAC(Media Access Control)アドレスを参照して、ユーザ端末毎の接続数の制限できる。
特許文献1に記載されたL2スイッチは、受信した全てのパケットについて、送信元MACアドレスと受信ポートとの対応関係を示すエントリ情報をMACアドレステーブルに登録しておき、このテーブルを参照することによって、その後に受信されるパケットの転送先ポートを決定している。特許文献1では、予め指定されたエージングタイム以内に新たなパケットが受信されないエントリ情報をMACアドレステーブルから削除すると共に、ポート毎にテーブル登録可能なエントリ数(MACアドレス数)を制限しておくことによって、同時に接続可能なユーザ端末の数を制限している。
すなわち、上記L2スイッチは、特定の受信ポートに関して、MACアドレステーブルの登録エントリ数が予め指定された上限値に達すると、上記特定ポートからその後に受信される新たな送信元MACアドレスをもつ受信パケットについては、MACアドレステーブルへのエントリ登録(学習機能)を停止し、MACアドレステーブルに該当エントリを持たない未学習のMACアドレスを持つ受信パケットは全て破棄することによって、ポート毎に、同時通信可能な接続数(MACアドレス数)を制限している。
尚、接続端末台数を制限する従来技術として、例えば、特開2003−16031号公報(特許文献2)には、TCP/IPプロトコルを利用したクライアント・サーバシステムにおいて、サーバに同時接続されるクライアント数を制限する接続制御方式が提案されている。特許文献2では、クライアントとの通信相手となるサーバ側に、各クライアントのIPアドレスと接続優先度との関係を示す優先度テーブルを設けておき、接続クライアント数が上限値に達した状態で、新たなクライアントから接続要求が発生した時、要求元クライアントの接続優先度を上記優先度テーブルが示す既に接続中のクライアントの中で最低の優先度と比較し、要求元クライアントの接続優先度の方が高ければ、最低優先度をもつクライアントのセッションを切断した上で、新たな接続要求を受付け、そうでない場合は接続要求を拒否するようにしている。
特開2000−112852号公報 特開2003−16031号公報
然るに、L2スイッチによるMACアドレスに基づく接続数制限では、同一ユーザ端末から複数のPPPセッションを接続した場合でも、1つの接続と見做されるため、PPPセッション数を制限できない。また、ユーザが場所を移動して、端末を別のL2スイッチ経由でインターネットに接続するような利用形態を制限することができない。特に、特許文献1のように、エージングタイムによって登録エントリを削除する方式では、MACアドレステーブルに空きエントリがない時、緊急を要するユーザ端末が、直ちにインターネットをアクセスできないという問題もある。
一方、特許文献2のように、全てのIPアドレスに接続優先度を与えておき、接続数が上限値の達した状態で新たな接続要求が発生した時、通信中の低優先度のセッションを切断する方式では、優先度判定に時間を要し、且つ、低優先度セッションに強制的な切断が多発するため、ユーザに安定した通信サービスを提供できないという問題がある。
本発明の目的は、同時接続可能なセッション数を制限し、且つ、強制的なセッションの切断頻度を低減できるユーザ端末接続制御方法および装置を提供することにある。
上記目的を達成するため、本発明では、複数のユーザ識別子からなるグループ毎に、最大接続数と優先的にインターネット接続を許容するユーザ端末識別子とを示すユーザ管理テーブルを使用し、ユーザ認証のための通信手順の実行過程で、ユーザが所属するグループの現在の接続数が最大接続数に達しているか否かを判定し、既に最大接続数に達していた場合は、ユーザ端末が優先接続すべきユーザ端末か否かによって、インターネットへの接続可否を決定するようにしたことを特徴とする。
ユーザ認証に成功したユーザであっても、ユーザ端末が、優先接続すべきユーザ端末として登録されていなければ、インターネットへのアクセスは拒否される。ユーザ端末が、グループ内で優先接続すべきユーザ端末として登録されていた場合は、同一グループで既にアクセス許可済みのユーザ端末のうちの1つについてセッション切断処理を実行した後、インターネットへのアクセスが許可される。上記ユーザ管理テーブルは、アクセスサーバとして動作するパケット転送装置、またはISP網に接続された認証サーバの何れに設けてもよい。
ユーザ管理テーブルを認証サーバに設けた場合、認証サーバからアクセスサーバに送信される応答メッセージには、パスワードに基づく通常のユーザ認証結果以外に、ユーザ所属グループにおける現在の接続数と最大接続数との比較結果と、ユーザ端末が優先接続すべきユーザ端末か否かの判定結果が反映される。また、認証サーバが、ユーザ端末のインターネットアクセスを許可した場合、上記応答メッセージによって、ユーザ端末が使用すべきIPアドレスが指定される。
ユーザ管理テーブルをアクセスサーバ(パケット転送装置)に設けた場合、パケット転送装置は、認証サーバから認証成功を示す応答メッセージを受信した時点で、ユーザ所属グループにおける現在の接続数と最大接続数との比較と、ユーザ端末が優先接続すべきユーザ端末か否かの判定を行って、ユーザ端末への応答内容を決定する。
本発明によれば、アクセスサーバまたは認証サーバにおいて、複数のユーザ識別子からなるグループ別にインターネットへの接続数を制限するようにしているため、ユーザが移動先で別のL2スイッチ経由でインターネットをアクセスする場合でも、平常時と一貫した接続数制限を実現することが可能となる。また、グループ毎に、優先的にインターネット接続を許容するユーザ端末識別子を予め登録することによって、グループ内での現在の接続数が最大接続数に達していた場合でも、登録ユーザ端末には、即座にインターネット接続を許可できる。この場合、接続中の何れかのセッションが切断されるが、セッションの切断は、優先権をもつユーザ端末と同一グループに所属する端末で発生するため、他のグループに所属するユーザ端末への影響は回避できる。
以下、図面を参照して、本発明の実施例について説明する。
図1は、本発明が適用される通信ネットワークシステムの構成例を示す。
ここに示した通信ネットワークシステムは、パケット転送装置(以下、ブロードバンドアクセスサーバ:BASと言う)10と複数のL2スイッチ60(60−1、60−2)とを含むアクセスネットワークNW1と、ISPが管理するISPネットワークNW2と、インターネットNW3とから構成される。
各L2スイッチは、それぞれ少なくとも1台のユーザ端末H(H1−1〜H1−L、H2−1、…、H3−1〜H3−M、H4−1〜H4−N)が接続された複数のLAN(LAN−1〜LAN−4)を収容している。これらのユーザ端末Hは、L2スイッチ60を介して、PPPoE(PPP over Ethernet)によってブロードバンドアクセスサーバ(BAS)10に接続され、BAS10とISPネットワーク2を介して、インターネットNW3上の何れかのサーバ90(90−1〜90−m)をアクセスする。
ISPネットワークNW2には、予め登録されたユーザについて、ユーザID、パスワード、住所、氏名、口座番号などのユーザ情報を管理する加入者認証サーバ(以下、単に認証サーバと言う)40が接続されている。本実施例では、ユーザ端末HをLAN毎にグループ化し、各グループに所属する複数のユーザ端末が、共通のパスワードを使用してユーザ認証を受けるものとする。
ユーザ端末Hが、L2スイッチ60を介して、BAS10との間にPPPセッションを確立すると、BAS10は、ユーザ端末に認証データの送信を要求する。BAS10は、ユーザ端末からユーザIDとパスワードとを含む認証データを受信すると、認証サーバ40に対して、ユーザIDとパスワードとを含む認証要求メッセージを送信する。
認証サーバ40は、BAS10から認証要求を受信すると、受信したユーザIDに該当するユーザ情報を参照し、ユーザが提示したパスワードの正当性をチェックし(ユーザ認証)、認証結果をBAS10に返送する。BAS10は、認証サーバ40からの応答結果によって、ユーザ端末のインターネットへの接続可否を決定する。
BAS10と認証サーバ40との通信には、例えば、Radius(Remote Authentication Dial In User Service)プロトコルが適用される。Radiusプロトコルで動作する認証サーバは、一般にRadiusサーバと呼ばれている。以下に説明する実施例では、認証サーバ40は、インターネットユーザ毎の課金情報の管理機能も備えている。
図2は、ブロードバンドアクセスサーバ(BAS)10の1実施例を示すブロック構成図である。
BAS10は、L2スイッチ60またはISPネットワークNW2と通信するための入出力回線LI−i、LO−i(i=1〜n、nは自然数)に接続された複数の回線インタフェース11(11−1〜11−n)と、これらの入出力インタフェースに接続されたプロトコル処理部12および制御部15からなる。
プロトコル処理部12は、各回線インタフェース11−iが入力回線LI−iから受信したパケット(またはフレーム)を受け取り、受信パケットのヘッダに含まれる宛先アドレスに基づいてルーティングテーブル13を参照し、宛先アドレス該当する回線インタフェースまたは制御部15に受信パケットを転送する。また、プロトコル処理部12は、インターネットをアクセスするPPPコネクション毎に、課金に必要な統計情報を収集し、統計テーブル14に蓄積する。統計テーブル14に蓄積された課金情報は、定期的およびPPPコネクションの切断時に認証サーバ40に通知される。
制御部15は、プロセッサ20と、該プロセッサ20が利用する各種のプログラムを記憶するためのメモリ21と、データおよび各種のテーブルを記憶するためのメモリ22と、制御端末100と接続するための端末インタフェース23とから構成されている。
メモリ21には、プロセッサ20が実行する本発明に関係するプログラムとして、接続制御ルーチン30と、PPP LCP/NCP通信制御ルーチン31と、認証サーバ40と通信するためRadius通信制御ルーチン32とが格納されている。接続制御ルーチン30は、図6で後述するユーザ端末および認証サーバとの通信シーケンスの全体的な制御、プロトコル処理部12への統計情報収集の開始/停止の指示、認証サーバへの統計情報の定期的な通知、その他の制御動作を行う。尚、メモリ22に破線のブロックで示したユーザ管理テーブル33と、メモリ21に破線のブロックで示した接続数管理ルーチン34は、後述する本発明の第2実施例にのみに関係するため、ここでの説明は省略する。
図3は、制御部15によって更新され、プロトコル処理部12が参照するルーティングテーブル13の1実施例を示す。
ルーティングテーブル13は、宛先IPアドレス141と出力ポート番号142との関係を示す複数のエントリが登録されている。認証に成功したユーザ端末に対して認証サーバ40が割り当てたIPアドレスを宛先IPアドレス141とするエントリには、更に、出力リンク情報143と宛先MACアドレス144とが含まれる。これらのエントリは、BAS10が、認証に成功したユーザ端末にIPアドレスを配布する時点で、ルーティングテーブル13に登録され、PPPセッションの解放時点で、ルーティングテーブル13から削除される。
図4は、認証サーバ40の1実施例を示すブロック構成図である。
認証サーバ40は、プロセッサ41と、ISPネットワークNW2に接続するための回線インタフェース42と、プロセッサ41が利用する各種のプログラムを格納するためのメモリ43と、プロセッサ41が利用する各種のテーブルおよびデータを記憶するためのメモリ44と、認証サーバ40と管理者とのインタフェースとなる入力装置45および表示装置46とから構成されている。
メモリ43には、プロセッサ41が実行する本発明に関係するプログラムとして、Radiusプロトコルに従ってBAS10と通信するためのRadius通信制御ルーチン50と、ユーザを認証するための認証処理ルーチン52と、アドレスプールからユーザ端末に割り当てるべきIPアドレスを検索すると共に、解放されたIPアドレスを空きアドレスとしてアドレスプールに戻すためのIPアドレス管理ルーチン52と、課金処理ルーチン53と、接続数管理ルーチン54とを備える。また、メモリ44には、IPアドレスプール55と、ユーザ管理テーブル56と、課金情報ファイル57とが形成されている。
図5は、認証サーバ40が備えるユーザ管理テーブル56の1実施例を示す。
ユーザ管理テーブル56は、グループ番号561をもつ複数のサブテーブル560(560−1、560−2、…)からなる。各サブテーブル560は、ユーザ情報として、ユーザID562と、パスワード563と、IPアドレス564と、その他の個人情報(図示せず)を含み、この他に、優先MACアドレス565と、最大接続数567と、現在の接続数568を含む。
ここで、ユーザID562は、各グループに所属するメンバーのユーザ識別子を示し、パスワード563は、ユーザ認証に際してグループ内の複数のユーザが共通に使用するパスワードを示している。IPアドレス564は、認証サーバ40が各ユーザに割当てたIPアドレスを示し、PPPセッションを接続中のユーザエントリに登録される。優先MACアドレス565は、インターネットNW3に優先的に接続すべきユーザ端末のMACアドレス、最大接続数567は、グループ毎に予め契約されたインターネットNW3に同時接続可能なセッション数の値を示し、現在の接続数568は、各グループでインターネットNW3に接続中のセッション数を示している。
優先MACアドレス565として登録可能なアドレス数の上限値は、最大接続数567となるが、実際の応用においては、少数に限定される。その他の個人情報としては、例えば、PPPセッション接続中のユーザ端末とサーバ90との最後の交信時刻情報、サーバ90との送受信パケットの総数などの情報が含まれる。これらの情報は、認証サーバ40がBAS10から定期的に受信する統計情報から判明する。
次に、図1に示したユーザ端末H、例えば、ユーザID「user1-2@isp1」、MACアドレス「00:11:22:33:44: 55」をもつユーザ端末H1−2が、PPP(Point to Point Protocol)を使用して、BAS10にインターネットへの接続を要求した場合の通信シーケンスについて、図6を参照して説明する。
ユーザ端末H1−2は、PPPの通常の接続シーケンスに従って、BAS10との間にPPP LCPセッションを確立する(SQ1)。PPP LCPセッションは、ユーザ端末H1−2からBAS10に、PPP LCP Configure-Requestを送信し、これに応答して、BAS10からユーザ端末H1−2に、PPP LCP Configure-Responseを返送することによって確立される。
PPP LCPセッションを確立したBAS10は、ユーザ端末H1−2がインターネットへの接続資格をもっているか否かを判断するために、ユーザ端末H1に、認証データとなるユーザIDとパスワードの送信を要求する(SQ2)。上記要求に応答して、ユーザ端末H1−2が、ユーザIDとパスワードを含む認証応答メッセージを送信すると(SQ3)、BAS10は、ISPが管理する認証サーバ40に対して、ユーザ端末H1−2から受信したユーザID(「user1-2@isp1」)とパスワードPW(user1)を含むアクセス要求メッセージ(Access-Request)を送信する(SQ4)。本実施例では、上記アクセス要求メッセージに、ユーザ端末H1−2のMACアドレス「00:11:22:33:44:55」が付加的な情報として含まれている。
認証サーバ40は、アクセス要求メッセージ(Access-Request)を受信すると、ユーザ管理テーブル56から、受信メッセージが示すユーザID(「user1-2@isp1」)と対応するテーブルエントリを検索し、受信メッセージが示すパスワードと予め該テーブルエントリ登録されたパスワード563とを照合する(ユーザ認証JB1)。本実施例の特徴は、ユーザ端末H1−2の正当性が確認された場合、認証サーバ40が、上記ユーザIDが所属するグループの最大接続数と現在の接続数とを比較し、接続数に余裕があるか否かを判定する接続数確認処理(JB2)を実行するようにしたことにある。
接続数確認処理(JB2)では、プロセッサ41は、図7に示すように、アクセス要求メッセージ(Access-Request)が示すユーザIDをキーとしてユーザ管理テーブル56を検索し、ユーザIDが所属するサブテーブル(この例では、サブテーブル560−1)を特定する(ステップ541)。プロセッサ41は、上記サブテーブルが示す現在の接続数568の値と最大接続数567の値「Max(1)」とを比較する(ステップ542)。
現在の接続数の値が最大接続数Max(1)よりも少なければ、プロセッサ41は、現在の接続数568に1を加算(インクリメント)し(ステップ543)、IPアドレスプール55からユーザ端末H1−2に割り当てるべき空きIPアドレスを検索し(ステップ544)、該IPアドレスを含むアクセス要求応答メッセージ(Access-Response)をBAS10に送信する(ステップ545、図6のSQ5)。
もし、現在の接続数が最大接続数に達していた場合、プロセッサ41は、アクセス要求メッセージ(Access-Request)が示すユーザ端末のMACアドレスが、上記サブテーブルに登録された優先MACアドレス565に一致するか否かをチェックする(ステップ546)。ユーザ端末のMACアドレスが優先MACアドレスとして登録されていなければ、プロセッサ41は、認証失敗を示す応答メッセージ(Access-Reject)を生成し、これをBAS10に送信する(ステップ549、図6のSQ5)。
ユーザ端末のMACアドレスが優先MACアドレスとして登録されていた場合、プロセッサ41は、同一グループに所属するPPPセッション接続中のユーザIDの中から、セッションを強制的に切断すべきユーザIDを選択し(ステップ547)、BAS10に対して、上記選択されたユーザIDのセッション(選択セッション)の切断を要求(ステップ548)した後、ステップ544、545を実行する。切断対象となるPPPセッションは、例えば、その時点でサーバ90との交信中断時間が最も長いセッション、送受信パケットの総数の最も少ないセッション等、その選択方法は特に限定されない。
認証サーバ40が、ユーザ認証成功時にBAS10に送信する応答メッセージ(Access-Accept)は、例えば、図8に示すように、IPヘッダ101とUDPヘッダ102とを付加したIPパケット形式で送信される。上記応答メッセージは、メッセージ種類「Access-Accept」を示すRadius Code103に続くRadius アトリビュートとして、Framed-IP-Addressアトリビュート104と、Vendor-Specificアトリビュート105と、その他のアトリビュート106とを含む。Framed-IP-Addressアトリビュート104によって、認証サーバ40がユーザ端末H1−2に割り当てたIPアドレスの値(この例では、「192.168.1.2」)が指定される。
図6に戻って、BAS10は、認証サーバ40から応答メッセージ(Access-Accept)を受信すると、ユーザ端末H1−2に、認証完了を示す通知メッセージを送信する(SQ6)。BAS10が、認証サーバ40から認証失敗を示す応答メッセージ(Access-Reject)を受信した場合、ユーザ端末H1−2には、認証失敗を示す通知メッセージが送信され、PPPセッションが切断される。
ユーザ端末H1−2は、BAS10からアクセス要求許可を示す認証完了通知メッセージを受信すると、IPCP(Internet Protocol Control Protocol)に従って、BAS10にIPアドレスの割り当て要求(IPCP Configure-Request)を送信する(SQ7)。BAS10は、上記IPアドレスの割り当て要求に応答して、既に認証サーバ40から受信済みとなっているIPアドレスを含むIPアドレス配布メッセージ(IPCP Configure-Acknowledgment)を生成し、これをユーザ端末H1−2に返送する(SQ8)。
BAS10は、この後、認証サーバ40に課金開始要求メッセージ(Accounting-Request (start))を送信し(SQ9)、認証サーバ40から課金開始応答メッセージ(Accounting-Response (Start))を受信すると(SQ10)、ルーティングテーブル13に宛先IPアドレス「192.168.1.2」用のテーブルエントリを追加し(JB11)、送信元IPアドレスが「192.168.1.2」のパケットについて、プロトコル処理部12による課金用統計データの収集動作を開始する。これによって、ユーザ端末HによるインターネットNW3のアクセスパケット(IP over PPP)の転送動作が開始される(SQ11)。
図9は、PPPセッションの切断シーケンスを示す。
ユーザがインターネット接続の切断操作を行うと、ユーザ端末H1−2は、BAS10に対してPPP LCPセッションの切断要求メッセージ(PPP LCP Terminate-Request)を送信する(SQ21)。BAS10は、上記切断要求メッセージを受信すると、ユーザ端末H1−2に応答メッセージ(PPP LCP Terminate-Response)を返信し(SQ22)、認証サーバ40に対して、ユーザID(「user1-2@isp1」)に関する課金処理の停止要求メッセージ(Accounting-Request(stop))を送信する(SQ23)。上記課金停止要求メッセージには、プロトコル処理部12で収集したユーザ端末H1−2の統計データが含まれている。
上記課金停止要求メッセージを受信した認証サーバ40は、ユーザ管理テーブル56を参照し、指定ユーザID(「user1-2@isp1」)が所属するサブテーブル560−1における現在の接続数568の値を1だけ減算し(JB3)、無用となったIPアドレスをアドレスプール44に解放する(JB4)。この後、認証サーバ40は、BAS10に、課金停止応答メッセージ(Accounting-Response(stop))を送信する(SQ24)。BAS10は、認証サーバ40からの課金停止応答メッセージを受信すると、ルーティングテーブルから該当するPPPセッション情報を削除する(JB12)。
実施例1では、グループ別の接続数制限を認証サーバで行ったが、グループ別の接続数制限は、ブロードバンドアクセスサーバサーバ(BAS)10側で行うこともできる。実施例2は、図2に破線で示したように、BAS10のメモリ22にユーザ管理テーブル33を設け、プロセッサ20が、メモリ21に用意された接続数管理ルーチン34を実行するようにしたことを特徴としている。
BAS10が備えるユーザ管理テーブル33は、図5に示したユーザ管理テーブル56から、パスワード563とIPアドレス564を除外した内容となっている。また、実施例2の場合、認証サーバ40が備えるユーザ管理テーブル56では、IPアドレス564、優先MACアドレス565、最大接続数567、現在の接続数568は不要となる。
図10は、実施例2の接続シーケンスを示す。
ユーザ端末H1−2とBAS10、BAS10と認証サーバ40の間で実行される通信手順SQ1〜SQ10は、図6に示した実施例1と同一のため、説明は省略する。
認証サーバ40は、BAS10から、例えば、ユーザID(「user1-2@isp1」)とパスワードPW(user1)を含むアクセス要求メッセージ(Access-Request)を受信すると、ユーザ管理テーブル56から、受信メッセージが示すユーザID(「user1-2@isp1」)と対応するテーブルエントリを検索し、受信メッセージが示すパスワードと予め該テーブルエントリ登録されたパスワード563とを照合する(ユーザ認証JB1)。パスワードが一致すると、認証サーバ40は、IPアドレスプール55からユーザ端末H1−2に割り当てるべき空きIPアドレスを検索し、該IPアドレスを含むアクセス要求応答メッセージ(Access-Response)をBAS10に送信する(SQ5)。
実施例2では、認証サーバ40からアクセス要求応答メッセージ(Access-Response)を受信したBAS10が、ユーザ情報管理テーブル33を参照して、接続数確認処理(JB10)を実行する。BAS10は、ユーザIDの所属グループで現在の接続数が最大接続数に達していない場合、またはユーザ端末が優先端末として登録されていた場合は、要求元のユーザ端末H1−2に対して、認証完了メッセージを送信し、そうでなければ、認証失敗メッセージを送信する(SQ6)。
図11は、BAS10のプロセッサ20が実行する接続数確認処理(JB10)のフローチャートを示す。
プロセッサ20は、実施例1と同様、アクセス要求元のユーザIDをキーとしてユーザ管理テーブル33を検索し、ユーザIDが所属するサブテーブル(この例では、サブテーブル560−1)を特定する(ステップ341)。プロセッサ20は、上記サブテーブルが示す現在の接続数568の値と最大接続数567の値「Max(1)」とを比較する(ステップ342)。
現在の接続数の値が最大接続数Max(1)よりも少なければ、プロセッサ20は、現在の接続数568に1を加算(インクリメント)し(ステップ343)、認証完了メッセージをユーザ端末H1−2に送信する(ステップ345、図11のSQ6)。
もし、現在の接続数が最大接続数に達していた場合、プロセッサ20は、ユーザ端末のMACアドレスが、上記サブテーブルに登録された優先MACアドレス565に一致するか否かをチェックする(ステップ346)。ユーザ端末のMACアドレスが優先MACアドレスとして登録されていなければ、プロセッサ20は、認証失敗を示す応答メッセージ(Access-Reject)を生成し、これをユーザ端末H1−2に送信する(ステップ349、図11のSQ6)。
ユーザ端末のMACアドレスが優先MACアドレスとして登録されていた場合、プロセッサ20は、同一グループに所属するPPPセッション接続中のユーザIDの中から、セッションを強制的に切断すべきユーザIDを選択し(ステップ347)、選択されたユーザIDのセッション(選択セッション)を切断(ステップ348)した後、ステップ345を実行する。切断対象となるPPPセッションは、実施例1と同様、例えば、その時点でサーバ90との交信中断時間が最も長いセッション、送受信パケットの総数の最も少ないセッション等、その選択方法は特に限定されない。
図12は、実施例2におけるPPPセッションの切断処理を示す。
ユーザ端末H1−2とBAS10、BAS10と認証サーバ40の間で実行される通信手順SQ21〜SQ24は、図9に示した実施例1と同一のため、説明は省略する。
認証サーバ40は、BAS10から課金処理の停止要求メッセージ(Accounting-Request(stop))を受信すると(SQ23)、ユーザ管理テーブル56に指定ユーザIDと対応して登録されているIPアドレスをアドレスプール44に解放(JB4)した後、BAS10に、課金停止応答メッセージ(Accounting-Response(stop))を送信する(SQ24)。
BAS10は、認証サーバ40からの課金停止応答メッセージを受信すると、ルーティングテーブルから該当するPPPセッション情報を削除する(JB12)。また、ユーザ管理テーブル33を参照して、上記指定ユーザIDが所属するサブテーブルにおける現在の接続数568の値を1だけ減算する(JB13)。
本発明が適用される通信ネットワークシステムの構成例を示す図。 本発明のパケット転送装置(図1のBAS10)の構成例を示す図。 本発明のパケット転送装置が備えるルーティングテーブルの1例を示す図。 認証サーバ40の1実施例を示す構成図。 認証サーバが備えるユーザ管理テーブルの1例を示す図。 ユーザ端末からBASにインターネットへの接続を要求した場合の通信シーケンスの第1実施例を示す図。 認証サーバが実行する接続数確認処理54の1実施例を示すフローチャート。 認証サーバからBASに送信されるAccess-Acceptメッセージのフォーマット図。 ユーザ端末からBASに切断を要求した場合の通信シーケンスの第1実施例を示す図。 ユーザ端末からBASにインターネットへの接続を要求した場合の通信シーケンスの第2実施例を示す図。 BASが実行する接続数確認処理34の1実施例を示すフローチャート。 ユーザ端末からBASに切断を要求した場合の通信シーケンスの第2実施例を示す図。
符号の説明
H1−1〜H4−N:ユーザ端末、10:パケット転送装置(BAS)、
NW1:アクセス網、NW2:ISP網、NW3:インターネット、40:認証サーバ、60:L2スィッチ、90:Webサーバ、
11、42:回線インタフェース、12:プロトコル処理部、
13:ルーティングテーブル、14:統計テーブル、15:制御部、
20、41:プロセッサ、30:接続制御ルーチン、
31:PPP LCP/NCP通信制御ルーチン、
32、50:Radius通信制御ルーチン、33、56:ユーザ管理テーブル、
34、54:接続数管理ルーチン、51:認証処理ルーチン、
52:IPアドレス管理ルーチン、53:課金処理ルーチン。

Claims (6)

  1. 複数グループのユーザ端末を収容し、各ユーザ端末との間にPPP(Point to Point Protocol)に従ってセッションを確立し、複数のユーザ端末をIP網に接続するパケット転送装置と、上記パケット転送装置が発行する認証要求に応じて、ユーザ端末の認証を行う認証サーバとを有するネットワークにおけるユーザ端末接続制御方法であって、
    上記認証サーバが、ユーザグループ毎に用意された複数のサブテーブルからなり、各サブテーブルが、ユーザグループ所属メンバーのユーザ識別子と、IP網に同時接続可能な最大接続数と、現在の接続数と、IP網に優先接続すべきユーザ端末を示す優先端末識別情報とを記憶したユーザ管理テーブルを備えており、
    上記パケット転送装置が、各ユーザ端末とIP網との接続に先立って、接続要求元のユーザ端末から通知されたユーザ識別子とパスワードとユーザ端末識別情報とを含む認証要求メッセージを上記認証サーバに送信し、
    上記認証サーバが、上記認証要求メッセージが示すユーザ識別子とパスワードとに基づいてユーザ認証を行い、ユーザ認証に成功した時、上記ユーザ管理テーブルを参照して、上記ユーザ識別子が所属するユーザグループの現在の接続数が最大接続数よりも少ないことを確認し、上記接続要求元のユーザ端末への割り当てIPアドレスを指定したアクセス許可メッセージを上記パケット転送装置に送信し、
    上記パケット転送装置が、上記接続要求元のユーザ端末からのIPアドレス要求に応答して、上記アクセス許可メッセージで指定されたIPアドレスを上記ユーザ端末に通知することを特徴とするユーザ端末接続制御方法。
  2. 前記認証サーバが、前記ユーザグループの現在の接続数が最大接続数に達していた時、前記ユーザ管理テーブル内の上記ユーザグループと対応するサブテーブルにおいて、前記認証要求メッセージが示すユーザ端末識別情報が優先端末識別情報として登録されているか否かをチェックし、上記ユーザ端末識別情報が優先端末識別情報となっていた場合、前記パケット転送装置に、上記ユーザグループで既にアクセス許可済みのユーザ端末のうちの1つについてセッションの切断を要求した後、前記アクセス許可メッセージを送信し、上記ユーザ端末識別情報が優先端末識別情報として登録されていなければ、前記パケット転送装置にアクセス拒否メッセージを送信することを特徴とする請求項1に記載のユーザ端末接続制御方法。
  3. 複数グループのユーザ端末を収容し、各ユーザ端末との間にPPP(Point to Point Protocol)に従ってセッションを確立し、複数のユーザ端末をIP網に接続するパケット転送装置と、上記パケット転送装置が発行する認証要求に応じて、ユーザ端末の認証を行う認証サーバとを有するネットワークにおけるユーザ端末接続制御方法であって、
    上記パケット転送装置が、ユーザグループ毎に用意された複数のサブテーブルからなり、各サブテーブルが、ユーザグループ所属メンバーのユーザ識別子と、IP網に同時接続可能な最大接続数と、現在の接続数と、IP網に優先接続すべきユーザ端末を示す優先端末識別情報とを記憶したユーザ管理テーブルを備えており、
    上記パケット転送装置が、各ユーザ端末とIP網との接続に先立って、接続要求元のユーザ端末から通知されたユーザ識別子とパスワードとを含む認証要求メッセージを上記認証サーバに送信し、
    上記認証サーバが、上記認証要求メッセージが示すユーザ識別子とパスワードとに基づいてユーザ認証を行い、認証に成功した場合は、上記接続要求元のユーザ端末への割り当てIPアドレスを指定したアクセス許可メッセージを上記パケット転送装置に送信し、
    上記アクセス許可メッセージを受信したパケット転送装置が、上記ユーザ管理テーブルを参照して、上記認証されたユーザ識別子が所属するユーザグループの現在の接続数が最大接続数よりも少ないことを確認して、上記接続要求元のユーザ端末に認証完了メッセージを送信し、該ユーザ端末からのIPアドレス要求に応答して、上記アクセス許可メッセージで指定されたIPアドレスを上記ユーザ端末に通知することを特徴とするユーザ端末接続制御方法。
  4. 前記パケット転送装置が、前記認証されたユーザ識別子が所属するユーザグループの現在の接続数が最大接続数に達していた時、前記ユーザ管理テーブル内の上記ユーザグループと対応するサブテーブルにおいて、上記ユーザ識別子と対応するユーザ端末識別情報が優先端末識別情報として登録されているか否かをチェックし、上記ユーザ端末識別情報が優先端末識別情報となっていた場合、上記ユーザグループで既にアクセス許可済みのユーザ端末のうちの1つについてセッションを切断した後、前記ユーザ端末に認証完了メッセージを送信し、上記ユーザ端末識別情報が優先端末識別情報として登録されていなければ、前記ユーザ端末にアクセス拒否メッセージを送信することを特徴とする請求項3に記載のユーザ端末接続制御方法。
  5. IP網への接続を要求するユーザ端末について認証処理を行う認証サーバであって、
    ネットワークを介して、パケット転送装置から、ユーザ識別子とパスワードとユーザ端末識別情報とを含む認証要求メッセージを受信し、認証結果に応じて生成されたアクセス許可メッセージまたはアクセス拒否メッセージを上記パケット転送装置に送信するための回線インタフェースと、
    ユーザグループ毎に用意された複数のサブテーブルからなり、各サブテーブルが、ユーザグループ所属メンバーのユーザ識別子と、IP網に同時接続可能な最大接続数と、現在の接続数と、IP網に優先接続すべきユーザ端末を示す優先端末識別情報とを記憶したユーザ管理テーブルと、
    上記認証要求メッセージが示すユーザ識別子とパスワードとに基づいてユーザ認証を行うプロセッサとを有し、
    上記プロセッサが、ユーザ認証に成功した時、上記ユーザ管理テーブルを参照して、上記ユーザ識別子が所属するユーザグループの現在の接続数と最大接続数とを比較し、現在の接続数が最大接続数に達していなければ、上記パケット転送装置にアクセス許可メッセージを送信し、現在の接続数が最大接続数に達していた場合は、上記ユーザ管理テーブル内の上記ユーザグループと対応するサブテーブルにおいて、上記認証要求メッセージが示すユーザ端末識別情報が優先接続すべきユーザ端末識別情報として登録されているか否かをチェックし、上記ユーザ端末識別情報が優先端末識別情報でなければ、上記パケット転送装置にアクセス拒否メッセージを送信し、上記ユーザ端末識別情報が優先端末識別情報として登録されていた場合は、上記パケット転送装置に、上記ユーザグループで既にアクセス許可済みのユーザ端末のうちの1つについてセッションの切断を要求した後、アクセス許可メッセージを送信することを特徴とする認証サーバ。
  6. 複数グループのユーザ端末を収容し、各ユーザ端末との間にPPP(Point to Point Protocol)に従ってセッションを確立し、複数のユーザ端末をIP網に接続するためのパケット転送装置であって、
    それぞれ通信回線に接続された複数の回線インタフェース部と、制御部と、上記回線インタフェースおよび制御部の間で受信パケットをルーティングするためのプロトコル処理部とからなり、上記制御部が、
    ユーザグループ毎に用意された複数のサブテーブルからなり、各サブテーブルが、ユーザグループ所属メンバーのユーザ識別子と、IP網に同時接続可能な最大接続数と、現在の接続数と、IP網に優先接続すべきユーザ端末を示す優先端末識別情報とを記憶したユーザ管理テーブルと、
    各ユーザ端末とIP網との接続に先立って、接続要求元のユーザ端末から通知されたユーザ識別子とパスワードとを含む認証要求メッセージを認証サーバに送信し、認証サーバからアクセス許可を示す応答メッセージを受信した時、上記ユーザ管理テーブルを参照して、認証されたユーザ識別子が所属するユーザグループの現在の接続数と最大接続数とを比較し、現在の接続数が最大接続数よりも少ない場合は、上記接続要求元のユーザ端末に認証完了メッセージを送信し、現在の接続数が最大接続数に達していた場合は、上記ユーザ管理テーブル内の上記ユーザグループと対応するサブテーブルにおいて、上記ユーザ識別子と対応するユーザ端末識別情報が優先端末識別情報として登録されているか否かをチェックし、上記ユーザ端末識別情報が優先端末識別情報となっていた場合は、上記ユーザグループで既にアクセス許可済みのユーザ端末のうちの1つについてセッションを切断した後、前記ユーザ端末に認証完了メッセージを送信し、上記ユーザ端末識別情報が優先端末識別情報として登録されていなければ、前記ユーザ端末にアクセス拒否メッセージを送信するIP網接続制御手段と、
    ユーザ端末からのIPアドレス要求に応答して、上記アクセス許可メッセージで指定されたIPアドレスを上記ユーザ端末に通知する手段を備えたことを特徴とするパケット転送装置。
JP2004337273A 2004-11-22 2004-11-22 ユーザ端末接続制御方法および装置 Expired - Fee Related JP4541848B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2004337273A JP4541848B2 (ja) 2004-11-22 2004-11-22 ユーザ端末接続制御方法および装置
US11/282,712 US8125980B2 (en) 2004-11-22 2005-11-21 User terminal connection control method and apparatus

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2004337273A JP4541848B2 (ja) 2004-11-22 2004-11-22 ユーザ端末接続制御方法および装置

Publications (3)

Publication Number Publication Date
JP2006148648A JP2006148648A (ja) 2006-06-08
JP2006148648A5 JP2006148648A5 (ja) 2007-12-13
JP4541848B2 true JP4541848B2 (ja) 2010-09-08

Family

ID=36460863

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004337273A Expired - Fee Related JP4541848B2 (ja) 2004-11-22 2004-11-22 ユーザ端末接続制御方法および装置

Country Status (2)

Country Link
US (1) US8125980B2 (ja)
JP (1) JP4541848B2 (ja)

Families Citing this family (82)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1203686C (zh) * 2000-08-29 2005-05-25 西门子公司 用于建立通信关系的方法
US20070208857A1 (en) * 2006-02-21 2007-09-06 Netiq Corporation System, method, and computer-readable medium for granting time-based permissions
US8488447B2 (en) 2006-06-30 2013-07-16 Centurylink Intellectual Property Llc System and method for adjusting code speed in a transmission path during call set-up due to reduced transmission performance
US8717911B2 (en) 2006-06-30 2014-05-06 Centurylink Intellectual Property Llc System and method for collecting network performance information
US8000318B2 (en) * 2006-06-30 2011-08-16 Embarq Holdings Company, Llc System and method for call routing based on transmission performance of a packet network
US8194643B2 (en) 2006-10-19 2012-06-05 Embarq Holdings Company, Llc System and method for monitoring the connection of an end-user to a remote network
US7948909B2 (en) 2006-06-30 2011-05-24 Embarq Holdings Company, Llc System and method for resetting counters counting network performance information at network communications devices on a packet network
US8289965B2 (en) 2006-10-19 2012-10-16 Embarq Holdings Company, Llc System and method for establishing a communications session with an end-user based on the state of a network connection
US9094257B2 (en) 2006-06-30 2015-07-28 Centurylink Intellectual Property Llc System and method for selecting a content delivery network
US8184549B2 (en) 2006-06-30 2012-05-22 Embarq Holdings Company, LLP System and method for selecting network egress
US7889660B2 (en) * 2006-08-22 2011-02-15 Embarq Holdings Company, Llc System and method for synchronizing counters on an asynchronous packet communications network
US8407765B2 (en) 2006-08-22 2013-03-26 Centurylink Intellectual Property Llc System and method for restricting access to network performance information tables
US8125897B2 (en) 2006-08-22 2012-02-28 Embarq Holdings Company Lp System and method for monitoring and optimizing network performance with user datagram protocol network performance information packets
US8223654B2 (en) 2006-08-22 2012-07-17 Embarq Holdings Company, Llc Application-specific integrated circuit for monitoring and optimizing interlayer network performance
US8531954B2 (en) 2006-08-22 2013-09-10 Centurylink Intellectual Property Llc System and method for handling reservation requests with a connection admission control engine
US8130793B2 (en) 2006-08-22 2012-03-06 Embarq Holdings Company, Llc System and method for enabling reciprocal billing for different types of communications over a packet network
US8238253B2 (en) 2006-08-22 2012-08-07 Embarq Holdings Company, Llc System and method for monitoring interlayer devices and optimizing network performance
US8015294B2 (en) 2006-08-22 2011-09-06 Embarq Holdings Company, LP Pin-hole firewall for communicating data packets on a packet network
US7684332B2 (en) 2006-08-22 2010-03-23 Embarq Holdings Company, Llc System and method for adjusting the window size of a TCP packet through network elements
US8619600B2 (en) 2006-08-22 2013-12-31 Centurylink Intellectual Property Llc System and method for establishing calls over a call path having best path metrics
US7808918B2 (en) * 2006-08-22 2010-10-05 Embarq Holdings Company, Llc System and method for dynamically shaping network traffic
US9479341B2 (en) 2006-08-22 2016-10-25 Centurylink Intellectual Property Llc System and method for initiating diagnostics on a packet network node
US8576722B2 (en) 2006-08-22 2013-11-05 Centurylink Intellectual Property Llc System and method for modifying connectivity fault management packets
US8743703B2 (en) 2006-08-22 2014-06-03 Centurylink Intellectual Property Llc System and method for tracking application resource usage
US8199653B2 (en) 2006-08-22 2012-06-12 Embarq Holdings Company, Llc System and method for communicating network performance information over a packet network
US8194555B2 (en) 2006-08-22 2012-06-05 Embarq Holdings Company, Llc System and method for using distributed network performance information tables to manage network communications
US8144586B2 (en) 2006-08-22 2012-03-27 Embarq Holdings Company, Llc System and method for controlling network bandwidth with a connection admission control engine
US8228791B2 (en) 2006-08-22 2012-07-24 Embarq Holdings Company, Llc System and method for routing communications between packet networks based on intercarrier agreements
US8537695B2 (en) 2006-08-22 2013-09-17 Centurylink Intellectual Property Llc System and method for establishing a call being received by a trunk on a packet network
US8549405B2 (en) 2006-08-22 2013-10-01 Centurylink Intellectual Property Llc System and method for displaying a graphical representation of a network to identify nodes and node segments on the network that are not operating normally
US8098579B2 (en) 2006-08-22 2012-01-17 Embarq Holdings Company, LP System and method for adjusting the window size of a TCP packet through remote network elements
US7940735B2 (en) 2006-08-22 2011-05-10 Embarq Holdings Company, Llc System and method for selecting an access point
US8144587B2 (en) 2006-08-22 2012-03-27 Embarq Holdings Company, Llc System and method for load balancing network resources using a connection admission control engine
US8040811B2 (en) 2006-08-22 2011-10-18 Embarq Holdings Company, Llc System and method for collecting and managing network performance information
US8274905B2 (en) 2006-08-22 2012-09-25 Embarq Holdings Company, Llc System and method for displaying a graph representative of network performance over a time period
US20080049629A1 (en) * 2006-08-22 2008-02-28 Morrill Robert J System and method for monitoring data link layer devices and optimizing interlayer network performance
US8750158B2 (en) 2006-08-22 2014-06-10 Centurylink Intellectual Property Llc System and method for differentiated billing
US8064391B2 (en) 2006-08-22 2011-11-22 Embarq Holdings Company, Llc System and method for monitoring and optimizing network performance to a wireless device
US8224255B2 (en) 2006-08-22 2012-07-17 Embarq Holdings Company, Llc System and method for managing radio frequency windows
US8223655B2 (en) 2006-08-22 2012-07-17 Embarq Holdings Company, Llc System and method for provisioning resources of a packet network based on collected network performance information
US8307065B2 (en) 2006-08-22 2012-11-06 Centurylink Intellectual Property Llc System and method for remotely controlling network operators
US8107366B2 (en) * 2006-08-22 2012-01-31 Embarq Holdings Company, LP System and method for using centralized network performance tables to manage network communications
US7843831B2 (en) 2006-08-22 2010-11-30 Embarq Holdings Company Llc System and method for routing data on a packet network
US8189468B2 (en) 2006-10-25 2012-05-29 Embarq Holdings, Company, LLC System and method for regulating messages between networks
US8315162B2 (en) * 2006-08-24 2012-11-20 Research In Motion Limited System and method for determining that a maximum number of IP sessions have been established
CN1929482B (zh) * 2006-09-20 2010-08-04 华为技术有限公司 一种网络业务认证方法及装置
CN101212483B (zh) * 2006-12-31 2012-04-25 华为技术有限公司 一种控制用户会话个数的方法以及系统
US8111692B2 (en) 2007-05-31 2012-02-07 Embarq Holdings Company Llc System and method for modifying network traffic
CN101083665B (zh) * 2007-07-30 2010-12-15 杭州华三通信技术有限公司 限制会话数的方法及装置
EP2218283B1 (en) 2007-11-02 2015-10-07 BlackBerry Limited Long term evolution user equipment multi-packet data network parameter based connectivity control
US8949434B2 (en) * 2007-12-17 2015-02-03 Microsoft Corporation Automatically provisioning a WWAN device
CN101488953B (zh) * 2008-01-14 2012-03-14 鸿富锦精密工业(深圳)有限公司 网络通信设备及其网络通信协议会话的分配方法
US8068425B2 (en) 2008-04-09 2011-11-29 Embarq Holdings Company, Llc System and method for using network performance information to determine improved measures of path states
US8737220B2 (en) * 2008-09-23 2014-05-27 The Trustees Of Columbia University In The City Of New York Systems for providing feedback to sending entities
KR101013996B1 (ko) * 2008-10-10 2011-02-14 플러스기술주식회사 클라이언트의 nat 사용 여부 판단 및 공유대수 검출방법
JP5214402B2 (ja) * 2008-10-22 2013-06-19 沖電気工業株式会社 パケット転送装置、パケット転送方法、パケット転送プログラム及び通信装置
JP5212721B2 (ja) * 2008-12-12 2013-06-19 大日本印刷株式会社 リモートアクセス管理システム及び方法
CN106028271A (zh) * 2009-11-25 2016-10-12 交互数字专利控股公司 使用机器对机器应用的方法及装置
JP5397217B2 (ja) * 2009-12-25 2014-01-22 富士通株式会社 通信制御装置、情報処理装置、通信制御システム、通信制御方法、情報処理方法、及びサービスの提供方法
US20110246631A1 (en) * 2010-03-31 2011-10-06 Baker Mary G Assigning and removing connections utilizing online event tracking
JP5742424B2 (ja) * 2011-04-22 2015-07-01 富士通株式会社 通信装置及び方法、並びに制御装置
US9092491B2 (en) * 2011-07-11 2015-07-28 International Business Machines Corporation Searching documentation across interconnected nodes in a distributed network
JP2013123211A (ja) * 2011-11-10 2013-06-20 Canon Inc 通信装置および通信装置の制御方法
JP2013143622A (ja) * 2012-01-10 2013-07-22 E System:Kk 通信システム
US8955086B2 (en) * 2012-03-16 2015-02-10 Red Hat, Inc. Offline authentication
WO2013179402A1 (ja) * 2012-05-29 2013-12-05 富士通株式会社 制御システム、制御方法、及びプログラム
JP5988699B2 (ja) * 2012-05-30 2016-09-07 キヤノン株式会社 連携システム、その連携方法、情報処理システム、およびそのプログラム。
GB2504124A (en) * 2012-07-20 2014-01-22 Ibm Managing concurrent conversations over a communications link between a client computer and a server computer
WO2014094468A1 (zh) * 2012-12-17 2014-06-26 北京奇虎科技有限公司 实现浏览器数据同步的系统、方法及浏览器客户端
GB2520532A (en) * 2013-11-22 2015-05-27 Zzish Ltd System for authenticating multiple users
WO2015190194A1 (ja) * 2014-06-09 2015-12-17 株式会社Nttドコモ 通信装置及び通信制御方法
CN108780474B (zh) 2016-03-14 2022-07-19 株式会社理光 服务提供系统、服务递送系统、服务提供方法和记录介质
EP3438837A4 (en) 2016-03-29 2019-03-20 Ricoh Company Ltd. SERVICE PROVIDING SYSTEM, SERVICE DISTRIBUTION SYSTEM, SERVICE PROVIDING METHOD, AND PROGRAM
CN108885653B (zh) * 2016-03-29 2022-12-09 株式会社理光 服务提供系统、服务递送系统、服务提供方法和程序
JP6620884B2 (ja) * 2016-03-29 2019-12-18 株式会社リコー サービス提供システム、サービス授受システム、サービス提供方法、及びプログラム
CN105939231B (zh) * 2016-05-16 2020-04-03 杭州迪普科技股份有限公司 共享接入检测方法和共享接入检测装置
JP2018142891A (ja) * 2017-02-28 2018-09-13 沖電気工業株式会社 インターネット接続処理方法
US11277407B2 (en) 2017-09-15 2022-03-15 Hewlett Packard Enterprise Development Lp Disabling MAC address aging time for an internet of things (IoT) device on a network switch
JP7186043B2 (ja) * 2018-09-21 2022-12-08 株式会社日本総合研究所 管理装置、システム及びプログラム
IL267493B (en) * 2019-06-19 2022-03-01 Elta Systems Ltd Methods and systems for trusted web authentification
US11811765B1 (en) * 2020-03-31 2023-11-07 Juniper Networks, Inc. Maximum device access restriction at authenticator level
CN114039881B (zh) * 2021-10-19 2023-08-08 创盛视联数码科技(北京)有限公司 一种通信连接监控方法

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH11205388A (ja) * 1998-01-19 1999-07-30 Hitachi Ltd パケットフィルタ装置、認証サーバ、パケットフィルタリング方法及び記憶媒体
JP2003016031A (ja) * 2001-07-02 2003-01-17 Toshiba Corp クライアント/サーバー・システムの優先接続制御方式
JP2003348282A (ja) * 2002-05-28 2003-12-05 Murata Mach Ltd Httpサーバ
JP2004289723A (ja) * 2003-03-25 2004-10-14 Fujitsu Ltd 無線lan対応ルータ装置
JP2004304824A (ja) * 1999-10-05 2004-10-28 Nec Corp 無線lanシステムにおける認証方法と認証装置

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6563821B1 (en) * 1997-11-14 2003-05-13 Multi-Tech Systems, Inc. Channel bonding in a remote communications server system
JP2000112852A (ja) 1998-10-06 2000-04-21 Toshiba Corp 通信システムにおける同時使用端末数の制限機構
US20020129271A1 (en) * 2001-03-12 2002-09-12 Lucent Technologies Inc. Method and apparatus for order independent processing of virtual private network protocols
US7873695B2 (en) * 2004-05-29 2011-01-18 Ironport Systems, Inc. Managing connections and messages at a server by associating different actions for both different senders and different recipients

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH11205388A (ja) * 1998-01-19 1999-07-30 Hitachi Ltd パケットフィルタ装置、認証サーバ、パケットフィルタリング方法及び記憶媒体
JP2004304824A (ja) * 1999-10-05 2004-10-28 Nec Corp 無線lanシステムにおける認証方法と認証装置
JP2003016031A (ja) * 2001-07-02 2003-01-17 Toshiba Corp クライアント/サーバー・システムの優先接続制御方式
JP2003348282A (ja) * 2002-05-28 2003-12-05 Murata Mach Ltd Httpサーバ
JP2004289723A (ja) * 2003-03-25 2004-10-14 Fujitsu Ltd 無線lan対応ルータ装置

Also Published As

Publication number Publication date
JP2006148648A (ja) 2006-06-08
US8125980B2 (en) 2012-02-28
US20060109839A1 (en) 2006-05-25

Similar Documents

Publication Publication Date Title
JP4541848B2 (ja) ユーザ端末接続制御方法および装置
US7693507B2 (en) Wireless network control device and wireless network control system
US7477648B2 (en) Packet forwarding apparatus and access network system
EP1876754B1 (en) Method system and server for implementing dhcp address security allocation
JP3920305B1 (ja) パケット転送装置
US8484695B2 (en) System and method for providing access control
US7624429B2 (en) Method, a network access server, an authentication-authorization-and-accounting server, and a computer software product for proxying user authentication-authorization-and-accounting messages via a network access server
US6253327B1 (en) Single step network logon based on point to point protocol
JP4023240B2 (ja) ユーザ認証システム
US6801528B2 (en) System and method for dynamic simultaneous connection to multiple service providers
EP1987629B1 (en) Techniques for authenticating a subscriber for an access network using dhcp
CN101110847B (zh) 一种获取介质访问控制地址的方法、系统及装置
US20050039050A1 (en) Method and a system for authenticating a user at a network access while the user is making a connection to the Internet
US20080046974A1 (en) Method and System Enabling a Client to Access Services Provided by a Service Provider
US20070195804A1 (en) Ppp gateway apparatus for connecting ppp clients to l2sw
WO2001031855A9 (en) Establishing dynamic tunnel access sessions in a communication network
EP1777872B1 (en) A METHOD REALIZING AUTHORIZATION ACCOUNTING OF MULTIPLE ADDRESSES USER IN THE IPv6 NETWORK
WO2012034413A1 (zh) 一种双栈用户管理方法及宽带接入服务器
US20030115482A1 (en) Method and apparatus for network service
JP4621259B2 (ja) パケット転送制御方法
JP4143663B2 (ja) ネットワークシステム
JP3925303B2 (ja) レイヤ2認証システム及び方法
JP2001069175A (ja) セッション情報管理方法およびセッション情報管理装置
KR100697950B1 (ko) 서비스 수락제어를 위한 라우팅 경로 산출 시스템 및 그방법
JP2972637B2 (ja) バーチャルlanにおけるクライアントの接続方式

Legal Events

Date Code Title Description
A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20071029

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20071029

RD02 Notification of acceptance of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7422

Effective date: 20071029

A711 Notification of change in applicant

Free format text: JAPANESE INTERMEDIATE CODE: A712

Effective date: 20100115

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20100118

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20100202

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20100405

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20100608

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20100624

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130702

Year of fee payment: 3

LAPS Cancellation because of no payment of annual fees