JP5657509B2 - Network connection control method and network connection control device - Google Patents
Network connection control method and network connection control device Download PDFInfo
- Publication number
- JP5657509B2 JP5657509B2 JP2011272681A JP2011272681A JP5657509B2 JP 5657509 B2 JP5657509 B2 JP 5657509B2 JP 2011272681 A JP2011272681 A JP 2011272681A JP 2011272681 A JP2011272681 A JP 2011272681A JP 5657509 B2 JP5657509 B2 JP 5657509B2
- Authority
- JP
- Japan
- Prior art keywords
- connection
- lns
- request
- invalid
- user terminal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Description
この発明は、ネットワーク接続制御方法及びネットワーク接続制御装置に関する。 The present invention relates to a network connection control method and a network connection control apparatus.
従来、ユーザが指定するインターネットサービスプロバイダ(ISP)にユーザ端末を接続させるためのネットワーク接続制御方法として、ユーザの通信回線を収容するレイヤー2トンネリングプロトコルアクセスコントローラ(LAC)と、ISP事業者網が接続されたレイヤー2トンネリングプロトコルネットワークサーバ(LNS)とを、LAC制御サーバの制御のもと、レイヤー2トンネリングプロトコル(L2TP)によって接続する技術が知られている。
Conventionally, as a network connection control method for connecting a user terminal to an Internet service provider (ISP) designated by a user, a
LAC制御サーバは、ユーザ端末が送信する接続要求に含まれるISPドメイン情報などの識別子に応じて、ISP事業者ごとに設置されたLNSのなかからLACと接続する最適なLNSを選択する。これにより、上述した技術では、ユーザ端末を任意のISP事業者網に接続することができる。 The LAC control server selects an optimum LNS to be connected to the LAC from among the LNSs installed for each ISP provider in accordance with identifiers such as ISP domain information included in the connection request transmitted by the user terminal. Thereby, in the technique mentioned above, a user terminal can be connected to arbitrary ISP provider networks.
ここで、上述したネットワーク接続制御方法においては、通常、LAC制御サーバによって選択されたLNSとLACとが接続された後、LNSに接続されたISP事業者の認証サーバによって、ユーザ端末が当該ISP事業者の契約ユーザであるか否かが認証される。このとき、認証がOKであった場合にのみ、ユーザ端末はISP事業者網への接続が許可される。一方、認証がNGであった場合には、ユーザ端末はISP事業者網への接続が許可されない。 Here, in the above-described network connection control method, the LNS selected by the LAC control server and the LAC are usually connected, and then the user terminal is connected to the ISP business by the ISP business server connected to the LNS. It is authenticated whether or not it is a contract user. At this time, only when the authentication is OK, the user terminal is permitted to connect to the ISP carrier network. On the other hand, if the authentication is NG, the user terminal is not permitted to connect to the ISP carrier network.
しかしながら、上述した従来技術では、ネットワークの接続制御に係るサーバの処理負荷が増大する場合があった。例えば、ユーザがユーザ端末あるいはユーザ端末を配下にしたブロードバンドルータに誤った認証情報を設定していた場合、上述した従来技術においては、ユーザ端末あるいはブロードバンドルータは、認証サーバによって認証がNGとされ、ISP事業者網への接続が拒否された後も再度接続要求を行い、以後、接続拒否と接続要求とを無限に繰り返す場合がある。その結果、通信回線事業者のLAC制御サーバや、ISP事業者の認証サーバの処理負荷が増大する問題が生じる。 However, in the above-described conventional technology, the server processing load related to network connection control may increase. For example, when the user has set wrong authentication information in the user terminal or the broadband router under the user terminal, in the above-described conventional technology, the user terminal or the broadband router is authenticated as NG by the authentication server, Even after the connection to the ISP network is rejected, the connection request is made again, and thereafter, the connection rejection and the connection request may be repeated infinitely. As a result, there arises a problem that the processing load of the LAC control server of the communication line operator and the authentication server of the ISP operator increases.
ここで、ユーザ端末や、ブロードバンドルータの動作を、例えば、一定回数以上接続を拒否された場合に、以後、接続要求を送信しないように変更することで、上述した無効な接続要求の送信を抑止することができる。しかしながら、すでに市中に普及した端末や、ブロードバンドルータの動作を変更することは極めて困難である。 Here, the operation of the user terminal or the broadband router is changed so that, for example, the connection request is not transmitted after the connection is refused more than a certain number of times, thereby suppressing the above-mentioned invalid connection request transmission. can do. However, it is extremely difficult to change the operation of terminals that have already spread throughout the city and the operation of broadband routers.
そこで、本願に係る技術は、上述した従来技術の問題に鑑みてなされたものであって、ネットワークの接続制御に係るサーバの処理負荷を軽減することを可能とするネットワーク接続制御方法及びネットワーク接続制御装置を提供することを目的とする。 Therefore, the technology according to the present application has been made in view of the above-described problems of the prior art, and a network connection control method and a network connection control that can reduce the processing load of a server related to network connection control. An object is to provide an apparatus.
上述した課題を解決し、目的を達成するため、本願の方法は、レイヤー2トンネリングプロトコルによるアクセスコントローラとネットワークサーバとの接続を、前記アクセスコントローラを介したユーザ端末からの接続要求に基づいて制御するネットワーク接続制御装置で実行されるネットワーク接続制御方法であって、前記ユーザ端末から接続要求を受付けた場合に、当該ユーザ端末からの接続要求が無効とされた回数が所定の閾値を超えているか否かを判定する判定工程と、前記判定工程によって、前記無効とされた回数が前記閾値を超えていると判定された場合に、外部ネットワークと接続されていない無効ネットワークサーバと前記アクセスコントローラとを前記レイヤー2トンネリングプロトコルによって接続するように制御する接続制御工程とを含んだことを特徴とする。
In order to solve the above-described problems and achieve the object, the method of the present application controls connection between an access controller and a network server based on a
本願の方法は、ネットワークの接続制御に係るサーバの処理負荷を軽減することを可能にする。 The method of the present application makes it possible to reduce the processing load of a server related to network connection control.
以下に添付図面を参照して、本願に係るネットワーク接続制御方法及びネットワーク接続制御装置の実施例を詳細に説明する。なお、以下では、本願に係るネットワーク接続制御方法を実行するLAC制御サーバを含んで構成されるネットワーク接続制御システムを実施例として説明する。また、本願に係るネットワーク接続制御方法及びネットワーク接続制御装置は、以下の実施例により限定されるものではない。 Exemplary embodiments of a network connection control method and a network connection control device according to the present application will be described below in detail with reference to the accompanying drawings. In the following, a network connection control system including a LAC control server that executes the network connection control method according to the present application will be described as an example. Further, the network connection control method and the network connection control device according to the present application are not limited to the following embodiments.
[実施例1に係るネットワーク接続制御システムの構成]
以下では、まず、実施例1に係るネットワーク接続制御システムの全体の構成について説明した後、本願に係るネットワーク接続制御方法を実行するLAC制御サーバの詳細な構成について説明する。図1は、実施例1に係るネットワーク接続制御システム1の構成の一例を示す図である。
[Configuration of Network Connection Control System According to Embodiment 1]
In the following, first, the overall configuration of the network connection control system according to the first embodiment will be described, and then the detailed configuration of the LAC control server that executes the network connection control method according to the present application will be described. FIG. 1 is a diagram illustrating an example of a configuration of a network
図1に示すように、実施例1に係るネットワーク接続制御システム1は、ユーザ網100に収容されるユーザ端末10及びブロードバンドルータ20と、通信回線事業者網200に収容されるLAC制御サーバ40及び無効接続収容LNS60と、ISP事業者網300に収容されるISP認証サーバ70と、ISP事業者網301に収容されるISP認証サーバ71と、ユーザ網100及び通信回線事業者網200それぞれに接続されたLAC30〜32と、通信回線事業者網200及びISP事業者網300それぞれに接続されたLNS50と、通信回線事業者網200及びISP事業者網301それぞれに接続されたLNS51とを備える。なお、LAC31及びLAC32に接続されたユーザ網については不図示である。
As shown in FIG. 1, the network
ユーザ網100は、例えば、LAN(Local Area Network)などの比較的狭域なネットワークである。通信回線事業者網200は、通信回線事業者が所有するネットワークである。ISP事業者網300及び301は、インターネットサービスを提供するプロバイダ(Provider)によってそれぞれ構成されたIP(Internet Protocol)網である。
The
ユーザ端末10は、例えば、LAN接続インタフェースとWebブラウザとを備え、ISP事業者網を介して提供されるインターネットサービスを受付ける汎用的なコンピュータである。ブロードバンドルータ20は、ユーザ端末10を配下としたPPP(Point to Point Protocol)接続が可能な汎用なブロードバンドルータであり、LAC31に対してPPP接続要求(以下、接続要求と記す場合がある)を行う。具体的には、ブロードバンドルータ20は、PPPoE(PPP over Ethernet(登録商標))セッションを確立するディスカバリステージとLCP(Link Control Protocol)によるネゴシエーションとをLAC30との間で実行する。
The
そして、ブロードバンドルータ20は、例えば、PAP(Password Authentication Protocol)あるいはCHAP(Challenge Handshake Authentication Protocol)などの認証プロトコルにより、接続先ISPのドメイン情報、ユーザ情報及びISP接続認証のための認証情報をLAC30に送信する。なお、図1においては、1つのユーザ端末10と1つのブロードバンドルータのみが示されているが、実際には、さらに多数のユーザ端末及びブロードバンドルータがLAC30と接続されている。
Then, the
LAC30は、ブロードバンドルータ20からPPP接続要求を受信すると、ブロードバンドルータ20との間で、ディスカバリステージとLCPによるネゴシエーションを実行する。そして、LAC30は、通信回線事業者網200を介したLNSとのL2TPセッションを確立するための接続先LNS解決要求をLAC制御サーバ40に送信する。また、LAC30は、L2TPセッションを確立するためのL2TP接続要求をLNSに送信する。なお、LAC30による処理の詳細は後述する。LAC31及びLAC32は、自装置と接続されたブロードバンドルータ及びLAC制御サーバ40それぞれとの間でLAC30と同様の通信を行う。また、図1においては、3つのLACのみを示しているが、実際には、さらに多数のLACが通信回線事業者網200に接続されている。
When the LAC 30 receives a PPP connection request from the
LAC制御サーバ40は、LACとLNSとの間のL2TPセッションの確立に係る各種制御を実行する。具体的には、LAC制御サーバ40は、LNS情報管理テーブルを参照して、LACから受信した接続先LNS解決要求の認証を行う。ここで、認証がOKであった場合には、LAC制御サーバ40は、認証がOKである旨の接続先LNS解決応答をLACに送信する。一方、認証がNGであった場合には、LAC制御サーバ40は、認証がNGである旨の接続先LNS解決応答をLACに送信する。
The
ここで、実施例1に係るLAC制御サーバ40は、上述した処理に加えて、ネットワークの接続制御に係るサーバの処理負荷を軽減するための処理を実行する。なお、この処理の詳細は後述する。
Here, in addition to the above-described processing, the
LNS50及びLNS51は、L2TPによりLACと接続可能な汎用なLNS装置である。LAC30、LAC31又はLAC32からL2TP接続要求を受信すると、ISP認証サーバ70又は71に対してユーザ認証要求を送信する。具体的には、LNS50及びLNS51は、L2TP接続要求に含まれるユーザ認証情報をISP認証サーバ70又は71に対して送信する。なお、図1においては、2つのLNSのみを示しているが、実際には、さらに多数のLNSが通信回線事業者網200に接続されている。例えば、ISP事業者網の数と同数のLNSが通信回線事業者網200に接続されている。
The
無効接続収容LNS60は、L2TPによりLACと接続可能な汎用なLNS装置である。ここで、無効接続収容LNS60は、LAC30、LAC31又はLAC32からL2TP接続要求を受信すると、認証を行うことなく認証OKの応答(認証プロトコルがCHAPの場合、CHAP−Success)をブロードバンドルータ20に送信する。これにより、ブロードバンドルータ20と無効接続収容LNS60との間にPPPセッションが張られる。しかしながら、無効接続収容LNS60は、ISP事業者網が接続されていないため、ブロードバンドルータや、その配下のユーザ端末に対して、通信サービスを提供することはない。
The invalid
ISP認証サーバ70及びISP認証サーバ71は、それぞれLNS50及びLNS51からのユーザ認証要求を受信して、ユーザ認証を実行する。そして、ISP認証サーバ70及びISP認証サーバ71は、認証結果をそれぞれLNS50及びLNS51に送信する。
The
続いて、図1に示すネットワーク接続制御システム1に含まれるLAC制御サーバの詳細な構成について説明する。図2は、実施例1に係るLAC制御サーバの構成の一例を示す図である。なお、図2においては、LAC30とLNS50との間でL2TPセッションを確立する場合を一例に挙げて説明する。ここで、まず、通信回線事業者網200を介してLAC制御サーバ40に接続されるLAC30の構成の一例について説明する。
Next, a detailed configuration of the LAC control server included in the network
LAC30は、例えば、図2に示すように、通信制御I/F(Interface)部31と、制御部32とを有する。通信制御I/F部31は、LAC制御サーバ40及びLNS50と、制御部32との間でやり取りする各種情報に関する通信を制御する。例えば、通信制御I/F部31は、制御部32とLAC制御サーバ40との接続先LNS解決要求の通信を制御する。
For example, the
制御部32は、図2に示すように、接続先LNS要求部32aと、セッション切断通知部32bとを備える。接続先LNS要求部32aは、ブロードバンドルータ20から受信した接続先ISPのドメイン情報及びユーザ情報と、さらにユーザの契約回線を一意に特定するための回線情報とを含む接続先LNS解決要求をLAC制御サーバ40に送信する。
As shown in FIG. 2, the
また、接続先LNS要求部32aは、接続先LNS解決要求に対するLAC制御サーバ40の接続先LNS解決応答において、認証がOKである旨の応答を受信した場合に、L2TP接続要求をLNSに送信する。例えば、接続先LNS要求部32aは、LAC制御サーバ40からLNS50のIPアドレスを含む接続先LNS解決応答を受信した場合に、LNS50に対して接続先ISPのユーザ情報及びISP接続認証のための認証情報を含むL2TP接続要求を送信する。
Further, the connection destination
ここで、LNS50は、L2TP接続要求を受信すると、RADIUS(Remote Authentification Dial In User Service)を用いて、ISPユーザ情報及び認証情報を含む認証要求(例えば、Access-Requestなど)をISP認証サーバ70に送信する。認証要求を受信したISP認証サーバ70は、認証要求に含まれるISPユーザ情報と認証情報のペアを認証し、認証がOKである場合には、認証結果としてAccess-AcceptをLNS50に送信する。一方、認証がNGである場合には、ISP認証サーバ70は、認証結果としてAccess-RejectをLNS50に送信する。なお、LNS50は、Access-Acceptを受信した場合、PPP認証OK応答(認証プロトコルがCHAPの場合、CHAP−Success)をブロードバンドルータ20に送信し、PPPセッションを介したISP事業者網への接続を許可する。
When the
セッション切断通知部32bは、確立されたL2TPセッションが切断された場合に、LAC制御サーバ40に対してL2TPセッションが切断された通知であるL2TPセッション切断通知を送信する。具体的には、セッション切断通知部32bは、LNSによってL2TP接続が切断された場合に、LAC制御サーバ40に対して切断理由を含むL2TPセッション切断通知を送信する。
When the established L2TP session is disconnected, the session
実施例1に係るLAC制御サーバ40は、LACとLNSとの間にL2TPセッションを確立するためにブロードバンドルータ20から送信されたPPP接続要求が無効要求であるか否かを判定し、無効要求であると判定した場合に、LAC30と無効接続収容LNSにとの間にL2TPセッションを確立することで、ネットワークの接続制御に係るサーバの処理負荷を軽減する。
The
図2に示すように、LAC制御サーバ40は、通信制御I/F部41と、入力部42と、表示部43と、記憶部44と、制御部45とを備える。通信制御I/F部41は、LACと制御部45との間でやり取りする各種情報に関する通信を制御する。例えば、通信制御I/F部41は、接続先LNS解決応答に係る通信を制御する。また、通信制御I/F部41は、入力部42及び表示部43と、制御部45との間での各種情報のやり取りを制御する。
As shown in FIG. 2, the
入力部42は、例えば、キーボードやマウスなどであり、ユーザによる種々の情報の入力処理を受付ける。一例を挙げると、入力部42は、PPP接続要求が無効要求であるか否かの判定に用いられる閾値の入力処理などを受付ける。なお、閾値については後述する。表示部43は、例えば、ディスプレイなどであり、ユーザに対して処理結果を表示出力する。
The
記憶部44は、図2に示すように、無効要求情報記憶部44aと、LNS情報記憶部44bとを備える。記憶部44は、例えば、ハードディスク、光ディスクなどの記憶装置、または、RAM(Random Access Memory)、フラッシュメモリ(Flash Memory)などの半導体メモリ素子であり、LAC制御サーバ40によって実行される各種プログラムなどを記憶する。
As shown in FIG. 2, the
無効要求情報記憶部44aは、後述する制御部45によって実行される無効要求の判定に用いられる無効要求情報を記憶する。具体的には、無効要求情報記憶部44aは、ユーザ端末ごとに無効要求の回数を対応付けた無効要求情報を記憶する。図3は、実施例1に係る無効要求情報記憶部44aによって記憶される無効要求情報管理テーブルの一例を示す図である。
The invalid request
例えば、無効要求情報記憶部44aは、図3に示すように、回線情報と、ISPドメイン情報と、ISPユーザ情報と、無効要求送信回数とを対応付けた無効要求情報管理テーブルを記憶する。一例を挙げると、無効要求情報記憶部44aは、図3に示すように、「回線情報:L13572468、ISPドメイン情報:isp‐b.co.jp、ISPユーザ情報:user2、無効要求送信回数:2」を記憶する。ここで、上述した情報は、「回線情報:L13572468、ISPドメイン情報:isp‐b.co.jp、ISPユーザ情報:user2」に対応するユーザ端末或いはブロードバンドルータから送信されたPPP接続要求が無効要求であった回数が「2回」であることを意味する。
For example, as shown in FIG. 3, the invalid request
図2に戻って、LNS情報記憶部44bは、ISPのドメインと当該ISPに対応するLNSのIPアドレスとを対応付けたLNS情報を記憶する。図4は、実施例1に係るLNS情報記憶部44bによって記憶されるLNS情報の一例を示す図である。例えば、LNS情報記憶部44bは、図4に示すように、「ISPドメイン情報:isp‐a.com」と「LNS IPアドレス:10.1.1.1」とを対応付けたLNS情報を記憶する。
Returning to FIG. 2, the LNS
また、LNS情報記憶部44bは、無効接続収容LNS60のIPアドレスをLNS情報として記憶する。例えば、LNS情報記憶部44bは、無効接続収容LNS60のLNS情報として、図4に示すように、「ISPドメイン情報:INVALID」と「LNS IPアドレス:10.1.99.99」を記憶する。
The LNS
図2に戻って、制御部45は、無効要求判定部45aと、LNS情報解決部45bと、接続先LNS応答部45cと、無効要求情報更新部45dとを備える。制御部45は、例えば、CPU(Central Processing Unit)やMPU(Micro Processing Unit)などの電子回路やASIC(Application Specific Integrated Circuit)やFPGA(Field Programmable Gate Array)などの集積回路であり、LAC制御サーバ40の全体制御を実行する。
Returning to FIG. 2, the
無効要求判定部45aは、ユーザ端末から接続要求を受付けた場合に、当該ユーザ端末からの接続要求が無効とされた回数が所定の閾値を超えているか否かを判定する。具体的には、無効要求判定部45aは、ユーザ端末10又はブロードバンドルータ20からPPP接続要求を受信したLAC30から、接続先LNS解決要求を受信した場合に、無効要求情報記憶部44aを参照して、当該接続先LNS解決要求の送信回数が所定の閾値を超えているか否かを判定する。
When receiving a connection request from a user terminal, the invalidation
例えば、LAC30から受信した接続先LNS解決要求に含まれる「ISPのドメイン情報」、「ユーザ情報」及び「回線情報」がそれぞれ「isp‐b.co.jp」、「user2」及び「L13572468」であった場合には、LAC無効要求判定部45aは、図3に示す無効要求情報を参照して、「無効要求送信回数」が「2回」であることを抽出する。そして、LAC無効要求判定部45aは、抽出した「無効要求送信回数:2回」が所定の閾値を超えているか否かを判定する。
For example, the “ISP domain information”, “user information”, and “line information” included in the connection destination LNS resolution request received from the
ここで、例えば、閾値が「3回」であった場合には、LAC無効要求判定部45aは、LAC30から受信した接続先LNS解決要求が無効接続要求ではないと判定する。一方、閾値が「1回」であった場合には、LAC無効要求判定部45aは、LAC30から受信した接続先LNS解決要求が無効接続要求であると判定する。
Here, for example, when the threshold value is “3 times”, the LAC invalid
LNS情報解決部45bは、無効要求判定部45aの判定結果に基づいて、接続先LNS解決要求を送信したLACとL2TPセッションを確立するLNSを決定する。具体的には、LNS情報解決部45bは、無効要求判定部45aによって無効接続要求ではないと判定された場合には、接続先LNS解決要求に含まれるISPドメイン情報に対応するIPアドレスのLNSを接続先LNSとして決定する。
Based on the determination result of the invalid
例えば、LAC30から受信した接続先LNS解決要求が無効接続要求ではないと判定された場合には、LNS情報解決部45bは、図4に示すLNS情報を参照して、LAC30から受信した接続先LNS解決要求に含まれる「ISPのドメイン情報:isp‐b.co.jp」に対応する「LNS IPアドレス:10.1.2.2」のLNSを接続先LNSとして決定する。
For example, when it is determined that the connection destination LNS resolution request received from the
一方、無効要求判定部45aによって無効接続要求であると判定された場合には、LNS情報解決部45bは、無効接続収容LNS60を接続先LNSとして決定する。例えば、LAC30から受信した接続先LNS解決要求が無効接続要求であると判定された場合には、LNS情報解決部45bは、無効接続収容LNS60をLAC30の接続先LNSとして決定する。
On the other hand, when the invalid
接続先LNS応答部45cは、LNS情報解決部45bによって決定された接続先LNSのIPアドレスを含む接続先LNS解決応答をLACに送信する。例えば、接続先LNS応答部45cは、LNS情報解決部45bによってLAC30の接続先LNSとして決定されたLNSの「IPアドレス:10.1.2.2」を含む接続先LNS解決応答をLAC30に送信する。これにより、LAC30とLNS50との間にL2TPセッションが確立されることとなる。
The connection destination LNS response unit 45c transmits a connection destination LNS resolution response including the IP address of the connection destination LNS determined by the LNS
また、接続先LNS応答部45cは、LNS情報解決部45bによってLAC30の接続先LNSとして決定された無効接続収容LNS60のIPアドレス「10.1.99.99」を図4に示すLNS情報から読み出し、読み出した「IPアドレス:10.1.99.99」を含む接続先LNS解決応答をLAC30に送信する。これにより、LAC30と無効接続収容LNS60との間にL2TPセッションが確立されることとなる。なお、LNS情報記憶部44bによってLNS情報が記憶されていない場合には、接続先LNS応答部45cは、IPアドレスを含まない接続先LNS解決応答をLAC30に送信する。
Further, the connection destination LNS response unit 45c reads the IP address “10.1.99.99” of the invalid
図2に戻って、無効要求情報更新部45dは、無効要求情報を作成して無効要求情報記憶部44aに格納する。具体的には、無効要求情報更新部45dは、ユーザ端末又はブロードバンドルータからの接続要求が無効とされた回数として、LACとLNSとの接続における認証及びLNSに接続されたISP認証サーバにおける認証において無効とされた回数を計数し、計数した回数をユーザ端末ごとに対応付けて無効要求情報記憶部44aに格納する。
Returning to FIG. 2, the invalid request information update unit 45d creates invalid request information and stores it in the invalid request
具体的には、無効要求情報更新部45dは、LACから受信した接続先LNS解決要求に含まれるISPドメイン情報に関するLNS情報がLNS情報記憶部44bに記憶されていなかった場合に当該接続先LNS解決要求を無効接続要求として決定して、無効要求情報管理テーブルに無効要求情報を作成する。そして、無効要求情報更新部45dは、同一の接続先LNS解決要求を受信するごとに、無効要求情報の回数を更新する。
Specifically, the invalid request information update unit 45d resolves the connection destination LNS resolution when the LNS information related to the ISP domain information included in the connection destination LNS resolution request received from the LAC is not stored in the LNS
また、無効要求情報更新部45dは、ISP認証サーバによって認証がNGであるとされた接続要求を無効接続要求として決定して、無効要求情報管理テーブルに無効要求情報を作成する。具体的には、まず、ISP認証サーバ70によって認証がNGであると判定され、それに応じた認証応答(例えば、Access-Reject)がLNS50に対して送信される。LNS50は、認証がNGである認証応答(Access-Reject)を受信すると、LAC30とのL2TPセッションを切断する。LNSとのL2TPセッションが切断されると、LAC30は、切断理由を含むL2TPセッション切断通知をLAC制御サーバ40に送信する。ここで、無効要求情報更新部45dは、ISP認証サーバ70による認証がNGであったことを検出し、LAC30から受信したL2TPセッション切断通知に含まれる情報を元に無効要求情報管理テーブルに無効要求情報を作成する。そして、無効要求情報更新部45dは、同一の接続要求に紐づくL2TPセッション切断通知をLAC30から受信するごとに、無効要求情報の回数を更新する。
Further, the invalid request information updating unit 45d determines a connection request that has been authenticated as NG by the ISP authentication server as an invalid connection request, and creates invalid request information in the invalid request information management table. Specifically, first, the
さらに、無効要求情報更新部45dは、ユーザ端末又はブロードバンドルータの接続要求に基づいてLAC30と無効接続収容LNS60とがL2TPにより接続された場合に、無効要求情報記憶部44aによって記憶された当該ユーザ端末に関する情報を削除する。これにより、実施例1に係るLAC制御サーバ40は、不要なデータの増大を抑止することを可能にする。
Further, the invalid request information updating unit 45d is configured to store the user terminal stored in the invalid request
また、無効要求情報更新部45dは、無効要求情報記憶部44aによって記憶された無効要求情報管理テーブルに更新日時をさらに対応付けて格納し、一定時間以上更新のないレコードを削除する。例えば、無効要求情報更新部45dは、無効な接続要求の送信回数が閾値に達していないレコードにおいて、一定時間以上更新のないレコードを削除する。これにより、実施例1に係るLAC制御サーバ40は、不要なレコードの増大をさらに抑止することを可能にする。
The invalid request information update unit 45d further stores the update date and time in association with the invalid request information management table stored by the invalid request
上述したように、実施例1に係るLAC制御サーバ40は、無効接続要求の回数が所定の閾値を超えた場合に、ユーザ端末又はブロードバンドルータとLACとの間のPPPセッションを無効接続収容LNSに接続させる。これにより、L2TPによる接続が確立されたため、以後、ユーザが無効接続収容LNSとの間のPPPセッションを明示的に切断するまで、接続先ISP認証のNGや、ドメイン情報が誤っていた場合に生じるPPP接続要求の繰り返し送信が行われなくなるため、LAC制御サーバ40、LNS及びISP認証サーバの処理負荷が軽減されることとなる。
As described above, the
一方、一度無効接続収容LNS60に収容された要求は、無効要求情報管理テーブルからレコードが削除されるため、ユーザがブロードバンドルータの設定誤りに気付き、正しい設定でPPP接続要求をやり直した場合は、無効接続収容LNS60に収容されることなく、正しいLNSに収容される。そのため、無効接続収容LNSに収容されたユーザからの申告を受けた通信回線事業者やISP事業者の保守者は、ユーザに設定誤りさえ修正してもらえばよく、LAC制御サーバに対するデータ変更などの保守作業は不要となる。
On the other hand, the request once accommodated in the invalid
ここで、ユーザは、以下のことを契機に設定誤りに気づくことが可能である。例えば、ブラウザを立ち上げてもインターネット上のWebサイトに接続できないなど、正常な通信ができないことを契機に、ユーザが、カスタマーサポートへ問い合わせを行うことで、設定誤りに気付くことができる。或いは、ユーザ側に積極的に設定がNGである旨を表示させる仕組みを取り入れることも可能である。例えば、無効接続収容LNSに収容されたユーザのWebアクセスを、接続がNGである旨を通知するWebサイトに転送することにより、ユーザに対して設定がNGである旨を表示する。しかしながら、正常な設定と無効な設定が併存しているブロードバンドルータの場合には、無効な設定が無効接続収容LNSに収容されたとしても、実質的なユーザへの影響は無い。 Here, the user can notice a setting error when triggered by the following. For example, a user can notice a setting error when a user makes an inquiry to customer support when normal communication cannot be performed, for example, the user cannot connect to a Web site on the Internet even when the browser is started. Alternatively, it is possible to incorporate a mechanism that positively displays on the user side that the setting is NG. For example, by transferring the web access of the user accommodated in the invalid connection accommodation LNS to the website notifying that the connection is NG, the fact that the setting is NG is displayed to the user. However, in the case of a broadband router in which normal settings and invalid settings coexist, even if invalid settings are accommodated in the invalid connection accommodation LNS, there is no substantial influence on the user.
[実施例1に係るネットワーク接続制御システムによる接続処理の手順]
次に、実施例1に係るネットワーク接続制御システム1による接続処理の手順について、図5〜7を用いて説明する。図5は、実施例1に係るネットワーク接続制御システム1による処理の手順を示す第1のシーケンス図である。図5においては、ブロードバンドルータ20によって送信された接続要求がLAC制御サーバ40によって無効とは判定されず、ISP認証サーバ70による認証がNGであった場合のシーケンスを示す。
[Procedure for Connection Processing by Network Connection Control System According to Embodiment 1]
Next, a procedure of connection processing by the network
図5に示すように、第1の実施例に係るLAC制御サーバにおいては、ブロードバンドルータ20がPPP接続要求を送信すると(ステップS101)、LAC30は、PPP接続要求に含まれる接続先ISPのドメイン情報及びユーザ情報と、回線情報を含む接続先LNS解決要求をLAC制御サーバ40に送信する(ステップS102)。
As shown in FIG. 5, in the LAC control server according to the first embodiment, when the
LAC制御サーバ40においては、接続先LNS解決要求を受信すると、無効要求判定部45aは、受信した接続先LNS解決要求が無効な接続要求であるか否かの無効要求判定を行う(ステップS103)。ここで、本シーケンスにおいては、無効要求判定部45aによって、受信した接続先LNS解決要求が無効な接続要求ではないと判定される。その後、LNS情報解決部45bは、接続先のLNSを決定するLNS情報解決を実行する(ステップS104)。
In the
その後、LAC制御サーバ40において、接続先LNS応答部45cは、LAC30に対して、接続先のLNSのIPアドレスを含む接続先LNS解決応答を送信する(ステップS105)。LAC30は、接続先LNS解決応答を受信すると、接続先のLNS50に対して、接続先ISPのユーザ情報と、ISP接続認証のための認証情報を含むL2TP接続要求を送信して(ステップS106)、L2TPセッションを確立する。
Thereafter, in the
その後、LNS50は、ISP認証サーバ70に対して、ISPのユーザ情報と認証情報を含む認証要求(Access-Request)を送信する(ステップS107)。ここで、認証サーバ70による認証がNGであった場合には、認証サーバ70は、LNS50に対して認証応答(Access-Reject)を送信する(ステップS108)。LNS50は、認証応答(Access-Reject)を受信すると、ブロードバンドルータ20に対して、PPP認証NG応答を送信して(ステップS109)、L2TPセッションを切断する(ステップS110)。このとき、LNS50は、LAC30に対して、切断理由がISP認証NGであることを通知する。
Thereafter, the
LNS50によってL2TPセッションが切断されると、LAC30は、LAC制御サーバ40に対して、LNS50から通知された切断理由を含むL2TPセッション切断通知(RADIUSプロトコルのAccounting-Request(stop))を送信する(ステップS111)。なお、Accounting-Request(stop)には、回線情報と、接続先ISPのドメイン情報と、ユーザ情報とが含まれる。
When the L2TP session is disconnected by the
LAC制御サーバ40においては、L2TPセッション切断通知(Accounting-Request(stop))を受信すると、無効要求情報更新部45dは、当該通知に含まれる切断理由がISP認証NGである場合に、無効要求情報を更新する(ステップS112)。
When the
図6は、実施例1に係るネットワーク接続制御システム1による処理の手順を示す第2のシーケンス図である。図6においては、ブロードバンドルータによって送信された接続要求がLAC制御サーバ40によって無効とは判定されず、接続先ISPのドメイン情報に誤りがあった場合のシーケンスを示す。
FIG. 6 is a second sequence diagram illustrating a processing procedure performed by the network
図6に示すように、第1の実施例に係るLAC制御サーバにおいては、ブロードバンドルータ20がPPP接続要求を送信すると(ステップS201)、LAC30は、PPP接続要求に含まれる接続先ISPのドメイン情報及びユーザ情報と、回線情報を含む接続先LNS解決要求をLAC制御サーバ40に送信する(ステップS202)。
As shown in FIG. 6, in the LAC control server according to the first embodiment, when the
LAC制御サーバ40においては、接続先LNS解決要求を受信すると、無効要求判定部45aは、受信した接続先LNS解決要求が無効な接続要求であるか否かの無効要求判定を行う(ステップS203)。ここで、本シーケンスにおいては、無効要求判定部45aによって、受信した接続先LNS解決要求が無効な接続要求ではないと判定される。その後、LNS情報解決部45bは、接続先のLNSを決定するLNS情報解決を実行する(ステップS204)。
In the
ここで、接続先LNS解決要求に含まれる接続先ISPのドメイン情報が誤っており、LNS情報テーブルに該当するレコードがないため、LNS情報解決部45bは、LAC30に対して、LNSのIPアドレスを含まない接続先LNS解決応答を送信する(ステップS205)。そして、無効要求情報更新部45dは、無効要求情報を更新する(ステップS206)。
Here, since the domain information of the connection destination ISP included in the connection destination LNS resolution request is incorrect and there is no corresponding record in the LNS information table, the LNS
LAC30は、LNS50のIPアドレスを含まない接続先LNS解決応答を受信すると、ブロードバンドルータ20に対して、PPPセッションを確立するための認証がNGである旨のPPP認証NG応答を送信する(ステップS207)。
When the
図7は、実施例1に係るネットワーク接続制御システム1による処理の手順を示す第3のシーケンス図である。図7においては、ブロードバンドルータによって送信された接続要求がLAC制御サーバ40によって無効と判定された場合のシーケンスを示す。
FIG. 7 is a third sequence diagram illustrating a processing procedure performed by the network
図7に示すように、第1の実施例に係るLAC制御サーバにおいては、ブロードバンドルータ20がPPP接続要求を送信すると(ステップS301)、LAC30は、PPP接続要求に含まれる接続先ISPのドメイン情報及びユーザ情報と、回線情報を含む接続先LNS解決要求をLAC制御サーバ40に送信する(ステップS302)。
As shown in FIG. 7, in the LAC control server according to the first embodiment, when the
LAC制御サーバ40においては、接続先LNS解決要求を受信すると、無効要求判定部45aは、受信した接続先LNS解決要求が無効な接続要求であるか否かの無効要求判定を行う(ステップS303)。ここで、本シーケンスにおいては、無効要求判定部45aによって、受信した接続先LNS解決要求が無効な接続要求であると判定される。その後、LNS情報解決部45bは、LAC30を無効接続収容LNS60に接続するLNS情報解決を実行する(ステップS304)。
In the
そして、接続先LNS応答部45cは、LAC30に対して、無効接続収容LNS60のIPアドレスを含む接続先LNS解決応答を送信する(ステップS305)。さらに、無効要求情報更新部45dは、接続先LNS解決応答に対応する無効要求情報のレコードを削除して、無効要求情報を更新する(ステップS306)。LAC30は、無効接続収容LNS60のIPアドレスを含む接続先LNS解決応答を受信すると、無効接続収容LNS60に対して、L2TP接続要求を送信して(ステップS307)、L2TPセッションを確立する。
Then, the connection destination LNS response unit 45c transmits a connection destination LNS resolution response including the IP address of the invalid
L2TPセッションが確立されると、無効接続収容LNS60は、ブロードバンドルータ20に対して、PPPセッションを確立するための認証がOKである旨のPPP認証OK応答を送信する(ステップS308)。
When the L2TP session is established, the invalid
[実施例1の効果]
上述したように、実施例1によれば、無効要求判定部45aが、ブロードバンドルータ20から接続要求を受付けた場合に、当該ブロードバンドルータ20からの接続要求が無効とされた回数が所定の閾値を超えているか否かを判定する。接続先LNS応答部45cが、無効要求判定部45aによって、無効とされた回数が前記閾値を超えていると判定された場合に、ISP事業者網と接続されていない無効接続収容LNSとLACとをレイヤー2トンネリングプロトコルによって接続するように制御する。従って、実施例1に係るLAC制御サーバ40は、PPPセッションを確立する際の認証においてNGであった場合に、ユーザ端末あるいはブロードバンドルータから繰り返し送信される無効接続要求を抑止することができ、通信回線事業者が所有するLAC制御サーバや、ISP事業者が所有する認証サーバなど、ネットワークの接続制御に係るサーバの処理負荷を軽減することを可能にする。
[Effect of Example 1]
As described above, according to the first embodiment, when the invalidation
一般に、ブロードバンドルータは、複数のISPに同時に接続することが可能であり、それぞれの認証情報を設定できるようになっている。そのため、既に解約した事業者の設定がブロードバンドルータに残存している場合などに、認証NGによる接続拒否と接続要求を無限に繰り返す状況が発生しうる。とりわけ新たに契約した事業者の設定も同時にされている場合、ユーザは所望の通信が可能であるため、解約した事業者の設定による接続要求と接続拒否が繰り返されていることに気付かず、長期間にわたって放置される場合がある。 In general, a broadband router can be connected to a plurality of ISPs at the same time, and each authentication information can be set. For this reason, in the case where the setting of the canceled service provider remains in the broadband router, a situation may occur in which connection refusal and connection request by authentication NG are repeated infinitely. In particular, when a newly contracted operator is set at the same time, the user can communicate as desired, so he / she does not realize that the connection request and the connection refusal by the canceled operator's setting are repeated. May be left over for a period of time.
実施例1に係るLAC制御サーバ40は、上述したような状況に対して、接続要求の送信を抑止することができ、ネットワークの接続制御に係るサーバの処理負荷を軽減することを可能にする。
The
また、実施例1によれば、無効要求情報更新部45dが、ユーザ端末あるいはブロードバンドルータからの接続要求が無効とされた回数として、LACとLNSとの接続における認証及びLNSに接続された認証サーバにおける認証において無効とされた回数を計数し、計数した回数をユーザごとに対応付けて無効要求情報記憶部44aに格納する。そして、無効要求判定部45aが、無効要求情報記憶部44aを参照して、ユーザ端末あるいはブロードバンドルータからの接続要求が無効とされた回数が閾値を超えているか否かを判定する。従って、実施例1に係るLAC制御サーバ40は、L2TPによる接続に係る認証について、無効か否かを判定することができ、無効接続要求のみを無効接続収容LNSに収容することを可能にする。ここで、実施例1に係るLAC制御サーバ40は、例えば、無効接続要求を、回線情報、ISPドメイン情報、ISPユーザ情報の組み合わせで識別及び計数していることから、単に契約ユーザ単位で識別する場合(回線情報のみを使って識別する場合)に比べて、より正確に、同一の無効接続要求が送信され続けていることを識別することができる。
Further, according to the first embodiment, the invalid request information updating unit 45d determines the number of times that the connection request from the user terminal or the broadband router is invalid, and the authentication in the connection between the LAC and the LNS and the authentication server connected to the LNS. The number of invalidation in the authentication is counted, and the counted number is stored in the invalidation request
すなわち、実施例1に係るLAC制御サーバ40は、同一の無効接続要求が送信され続けていることをより正確に識別することで、例えば、ネットワーク機器に不慣れなユーザが新規にブロードバンドルータを設定し、ISPユーザ情報やパスワードの入力を試行錯誤している最中に発生しうる無効接続要求を抑止の対象外とすることが可能である。言い換えると、実施例1に係るLAC制御サーバ40は、上述したような無効接続要求を抑止することによって発生する不必要なユーザサポート対応に係る手間を軽減させることを可能にする。
That is, the
また、実施例1によれば、無効要求情報更新部45dが、ユーザ端末あるいはブロードバンドルータの接続要求に基づいてLACと無効接続収容LNSとが接続された場合に、無効要求情報記憶部44aに記憶された該当するレコードを削除する。従って、実施例1に係るLAC制御サーバ40は、不要なレコードの増大を抑止することを可能にする。
Further, according to the first embodiment, the invalid request information update unit 45d stores the invalid request
上述した実施例1では、無効接続要求を受信した場合に、LACを無効接続収容LNSに接続する場合について説明した。実施例2においては、無効接続要求を受信した場合に、PPP認証NG応答を送信する場合について説明する。なお、実施例2においては、実施例1と同様の機能を有するものに同一符号を付し、詳細な説明を省略する。 In the first embodiment described above, the case where the LAC is connected to the invalid connection accommodating LNS when the invalid connection request is received has been described. In the second embodiment, a case where a PPP authentication NG response is transmitted when an invalid connection request is received will be described. In the second embodiment, components having the same functions as those in the first embodiment are denoted by the same reference numerals, and detailed description thereof is omitted.
図8は、実施例2に係るネットワーク接続制御システム1aの全体の構成の一例を示す図である。図8に示すように、実施例2に係るネットワーク接続制御システム1aにおいては、通信回線事業者網200に無効接続収容LNSが接続されていない点とLAC制御サーバによる処理とが実施例1とは異なる。
FIG. 8 is a diagram illustrating an example of the overall configuration of the network connection control system 1a according to the second embodiment. As shown in FIG. 8, in the network connection control system 1a according to the second embodiment, the point that the invalid connection accommodation LNS is not connected to the communication
図9は、実施例2に係るLAC制御サーバ40aの構成の一例を示す図である。図9に示すように、実施例2に係るLAC制御サーバ40aは、接続先LNS応答部46a及び無効要求情報更新部46bによる処理が実施例1とは異なる。以下、これらを中心に説明する。
FIG. 9 is a diagram illustrating an example of the configuration of the
接続先LNS応答部46aは、無効要求判定部45aによって、無効とされた回数が閾値を超えていると判定された場合に、LAC30に対して、接続要求に対応する接続先LNSのIPアドレスを含まない情報を応答する。具体的には、接続先LNS応答部46aは、無効要求判定部45aによって無効接続要求と判定された場合には、LAC30に対して、接続先LNSのIPアドレスを含まない接続先LNS解決応答を送信する。
When the invalid
LAC30は、接続先LNSのIPアドレスを含まない接続先LNS解決応答を受信すると、ブロードバンドルータ20に対して、PPPセッションを確立するための認証がNGである旨のPPP認証NG応答を送信する。PPP認証NG応答を受信したブロードバンドルータ20は、PPP接続要求の送信を再度実行することとなる。すなわち、実施例2に係るネットワーク制御システム1aにおいては、上述した処理が繰り返し実行される。その結果、LNSや、認証サーバは処理を実行することがなくなるため、それらサーバの処理負荷を軽減することが可能となる。
When the
無効要求情報更新部46bは、無効要求情報記憶部44aによって記憶された無効要求情報管理テーブルに更新日時をさらに対応付けて格納し、一定時間以上更新のないレコードを削除する。例えば、無効要求情報更新部46bは、無効な接続要求の送信回数に関係なく一定時間以上更新のないレコードを削除する。これにより、実施例2に係るLAC制御サーバ40は、不要なレコードの増大を抑止することを可能にする。
The invalid request information update unit 46b stores the update date and time in association with the invalid request information management table stored by the invalid request
なお、実施例2に係るLAC制御サーバ40aにおいては、上述した処理以外の処理は、実施例2に係るLAC制御サーバ40と同様である。
In the
[実施例2に係るネットワーク接続制御システムによる接続処理の手順]
次に、実施例2に係るネットワーク接続制御システム1aによる接続処理の手順について、図10を用いて説明する。図10は、実施例2に係るネットワーク接続制御システム1aによる処理の手順を示すシーケンス図である。図10においては、ブロードバンドルータによって送信された接続要求がLAC制御サーバ40によって無効と判定された場合のシーケンスを示す。
[Procedure for Connection Processing by Network Connection Control System According to Second Embodiment]
Next, a connection processing procedure performed by the network connection control system 1a according to the second embodiment will be described with reference to FIG. FIG. 10 is a sequence diagram illustrating a processing procedure performed by the network connection control system 1a according to the second embodiment. FIG. 10 shows a sequence when the connection request transmitted by the broadband router is determined to be invalid by the
図10に示すように、第2の実施例に係るLAC制御サーバ40においては、ブロードバンドルータ20がPPP接続要求を送信すると(ステップS401)、LAC30は、PPP接続要求に含まれる接続先ISPのドメイン情報及びユーザ情報と、回線情報を含む接続先LNS解決要求をLAC制御サーバ40に送信する(ステップS402)。
As shown in FIG. 10, in the
LAC制御サーバ40においては、接続先LNS解決要求を受信すると、無効要求判定部45aは、受信した接続先LNS解決要求が無効な接続要求であるか否かの無効要求判定を行う(ステップS403)。ここで、本シーケンスにおいては、無効要求判定部45aによって、受信した接続先LNS解決要求が無効な接続要求であると判定される。その後、LNS情報解決部45bは、接続先のLNSを決定するLNS情報解決を実行する(ステップS404)。
In the
ここで、実施例2に係るLAC制御サーバ40においては、接続先LNS応答部46aは、LAC30に対して、接続先のLNSのIPアドレスを含まない接続先LNS解決応答を送信する(ステップS405)。LAC30は、接続先LNSのIPアドレスを含まない接続先LNS解決応答を受信すると、ブロードバンドルータ20に対して、PPP認証NG応答を送信する(ステップS406)。実施例2に係るネットワーク接続制御システム1aは、以後、PPP接続要求の送信(ステップS407)と、PPP認証NG応答とを繰り返し実行されることとなる。
Here, in the
なお、実施例2に係るネットワーク接続制御システム1aにおける、ブロードバンドルータによって送信された接続要求がLAC制御サーバ40によって無効とは判定されず、認証サーバ70による認証がNGであった場合のシーケンス、及び、ブロードバンドルータによって送信された接続要求がLAC制御サーバ40によって無効とは判定されず、接続先ISPのドメイン情報に誤りがあった場合のシーケンスは、実施例1に係るネットワーク接続制御システム1と同様である。
In addition, in the network connection control system 1a according to the second embodiment, a sequence when the connection request transmitted by the broadband router is not determined to be invalid by the
[実施例2の効果]
上述したように、実施例2によれば、無効要求判定部45aが、ブロードバンドルータ20から接続要求を受付けた場合に、当該ブロードバンドルータ20からの接続要求が無効とされた回数が所定の閾値を超えているか否かを判定する。接続先LNS応答部46aが、無効要求判定部45aによって、無効とされた回数が前記閾値を超えていると判定された場合に、LACに対して、接続要求に対応するLNSのIPアドレスを含まない情報を応答する。従って、実施例2に係るLAC制御サーバ40aは、LNS及び認証サーバによる処理が実行されることがないように制御することができ、ネットワークの接続制御に係るサーバの処理負荷を軽減することを可能にする。
[Effect of Example 2]
As described above, according to the second embodiment, when the invalid
また、実施例2によれば、実施例2に係るLAC制御サーバ40aは、無効接続収容LNS60のような、PPPセッションを介したISP事業者網への接続サービスを提供する上で必要な装置以外の装置を設置することなく、ネットワークの接続制御に係るサーバの処理負荷を軽減することを可能にする。
Further, according to the second embodiment, the
これまで実施例1及び2を説明したが、本願に係る実施例は、これら実施例1及び2に限定されるものではない。すなわち、これらの実施例は、その他の様々な形態で実施されることが可能であり、種々の省略、置き換え、変更を行うことができる。 Although the first and second embodiments have been described so far, the embodiment according to the present application is not limited to the first and second embodiments. That is, these embodiments can be implemented in various other forms, and various omissions, replacements, and changes can be made.
上述した実施例1及び2においては、ISPのドメイン情報に対応するLNSのIPアドレスが単一である場合について説明した。しかしながら、実施例はこれに限定されるものではなく、例えば、複数であってもよい。かかる場合には、すべてのLNS IPアドレスを接続先LNS解決応答に含めてもよく、或いは、単一のIPアドレスをLAC制御サーバ40が選択して接続先LNS解決応答に含めてもよい。また、接続先ISPのドメイン情報に加えて、例えば、送信元LACの識別情報(IPアドレス)などを元に接続先LNSを解決できるようにLNS情報管理テーブルを構成してもよい。
In the first and second embodiments described above, the case where there is a single LNS IP address corresponding to ISP domain information has been described. However, the embodiment is not limited to this, and may be, for example, a plurality. In such a case, all the LNS IP addresses may be included in the connection destination LNS resolution response, or a single IP address may be selected by the
上述した実施例1においては、単一の無効接続収容LNSを用いる場合について説明した。しかしながら、実施例はこれに限定されるものではなく、例えば、複数の無効接続収容LNSを用いる場合であってもよい。 In the first embodiment described above, the case where a single invalid connection accommodation LNS is used has been described. However, the embodiment is not limited to this. For example, a plurality of invalid connection accommodation LNS may be used.
上述した実施例1及び2においては、回線情報、ドメイン情報、ユーザ情報の3つの属性で無効要求を判定する場合について説明した。しかしながら、実施例はこれに限定されるものではなく、例えば、回線情報だけを使って判定する場合であってもよい。かかる場合には、無効要求情報管理テーブルは、回線情報と無効要求送信回数の2つのカラムから構成される。この構成では、例えば、ブロードバンドルータがドメイン情報やユーザ情報を変更しながら無効要求を送信している場合にも、無効要求を送信元回線の回線情報で特定し、無効接続収容LNSに収容させることができる。 In the above-described first and second embodiments, the case where the invalid request is determined based on the three attributes of the line information, the domain information, and the user information has been described. However, the embodiment is not limited to this. For example, the determination may be made using only line information. In such a case, the invalid request information management table is composed of two columns of line information and invalid request transmission count. In this configuration, for example, even when the broadband router transmits an invalid request while changing domain information or user information, the invalid request is specified by the line information of the transmission source line and accommodated in the invalid connection accommodation LNS. Can do.
上述した実施例2においては、無効要求と判定された接続先LNS解決要求に対して、LNS IPアドレスを含まない接続先LNS解決応答を応答する場合について説明した。しかしながら、実施例はこれに限定されるものではなく、例えば、接続先LNS解決応答を応答せず、接続先LNS解決要求を破棄する場合であってもよい。かかる場合には、ブロードバンドルータが無応答タイムアウトし、再度PPP接続要求を送信するまでの時間が長くなるため、結果として、PPP接続要求の送信頻度が下がり、LACやLAC制御サーバの処理負荷を下げることができる。 In the second embodiment described above, a case has been described in which a connection destination LNS resolution response that does not include an LNS IP address is responded to a connection destination LNS resolution request that is determined to be an invalid request. However, the embodiment is not limited to this. For example, the connection destination LNS resolution response may not be returned and the connection destination LNS resolution request may be discarded. In such a case, the time until the broadband router times out with no response and transmits the PPP connection request again becomes longer. As a result, the transmission frequency of the PPP connection request decreases, and the processing load on the LAC and LAC control server decreases. be able to.
また、例えば、各装置の分散・統合の具体的形態(例えば、図2の形態)は図示のものに限られず、その全部又は一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的又は物理的に分散・統合することができる。一例を挙げると、LNS情報解決部45bと接続先LNS応答部45cとを一つの処理部として統合してもよく、一方、無効要求情報更新部45dを、無効要求情報を新規に作成する作成部と、更新する更新部とに分散してもよい。
In addition, for example, the specific form of distribution / integration of each device (for example, the form of FIG. 2) is not limited to that shown in the figure, and all or a part thereof can be arbitrarily set according to various loads or usage conditions. It can be distributed or integrated functionally or physically in units. For example, the LNS
また、制御部45をLAC制御サーバ40の外部装置としてネットワーク経由で接続するようにしてもよく、或いは、無効要求情報記憶部44a、LNS情報記憶部44bを別の装置がそれぞれ有し、ネットワークに接続されて協働することで、上述したLAC制御サーバ40の機能を実現するようにしてもよい。
Further, the
これらの実施例やその変形は、本願が開示する技術に含まれると同様に、特許請求の範囲に記載された発明とその均等の範囲に含まれるものである。 These embodiments and modifications thereof are included in the invention disclosed in the claims and equivalents thereof as well as included in the technology disclosed in the present application.
30 LAC
40 LAC制御サーバ
45a 無効要求判定部
45b LNS情報解決部
45c 接続先LNS応答部
45d 無効要求情報更新部
50 LNS
30 LAC
40
Claims (5)
前記ユーザ端末からの接続要求が無効とされた回数として、前記アクセスコントローラと前記ネットワークサーバとの接続における認証及び前記ネットワークサーバに接続された認証サーバにおける認証において無効とされた回数を計数し、計数した回数を前記ユーザ端末ごとに対応付けて所定の記憶部に格納する計数工程と、
前記ユーザ端末から接続要求を受付けた場合に、前記記憶部を参照して、当該ユーザ端末からの接続要求が無効とされた回数が所定の閾値を超えているか否かを判定する判定工程と、
前記判定工程によって、前記無効とされた回数が前記閾値を超えていると判定された場合に、外部ネットワークと接続されていない無効ネットワークサーバと前記アクセスコントローラとを前記レイヤー2トンネリングプロトコルによって接続するように制御する接続制御工程と、
を含んだことを特徴とするネットワーク接続制御方法。 A network connection control method executed by a network connection control device that controls connection between an access controller and a network server using a layer 2 tunneling protocol based on a connection request from a user terminal via the access controller,
Counting the number of times the connection request from the user terminal is invalidated as the number of times invalidated in the authentication in the connection between the access controller and the network server and the authentication in the authentication server connected to the network server, A counting step in which the number of times of the association is stored in a predetermined storage unit in association with each user terminal;
A determination step of determining whether or not the number of times that the connection request from the user terminal has been invalidated exceeds a predetermined threshold with reference to the storage unit when a connection request is received from the user terminal;
When the determination step determines that the number of invalidations exceeds the threshold, the invalid network server not connected to an external network and the access controller are connected by the layer 2 tunneling protocol. A connection control process for controlling
A network connection control method comprising:
前記ユーザ端末からの接続要求が無効とされた回数として、前記アクセスコントローラと前記ネットワークサーバとの接続における認証及び前記ネットワークサーバに接続された認証サーバにおける認証において無効とされた回数を計数し、計数した回数を前記ユーザ端末ごとに対応付けて所定の記憶部に格納する計数手段と、
前記ユーザ端末から接続要求を受付けた場合に、前記記憶部を参照して、当該ユーザ端末からの接続要求が無効とされた回数が所定の閾値を超えているか否かを判定する判定手段と、
前記判定手段によって、前記無効とされた回数が前記閾値を超えていると判定された場合に、外部ネットワークと接続されていない無効ネットワークサーバと前記アクセスコントローラとを前記レイヤー2トンネリングプロトコルによって接続するように制御する接続制御手段と、
を備えたことを特徴とするネットワーク接続制御装置。 A network connection control device that controls connection between an access controller and a network server according to a layer 2 tunneling protocol based on a connection request from a user terminal via the access controller,
Counting the number of times the connection request from the user terminal is invalidated as the number of times invalidated in the authentication in the connection between the access controller and the network server and the authentication in the authentication server connected to the network server, Counting means for associating the number of times for each user terminal and storing it in a predetermined storage unit;
A determination unit that determines whether or not the number of times the connection request from the user terminal is invalid exceeds a predetermined threshold with reference to the storage unit when a connection request is received from the user terminal;
When the determination means determines that the number of invalidations exceeds the threshold, the invalid network server not connected to an external network and the access controller are connected by the layer 2 tunneling protocol. Connection control means for controlling
A network connection control device comprising:
前記ユーザ端末からの接続要求が無効とされた回数として、前記アクセスコントローラと前記ネットワークサーバとの接続における認証及び前記ネットワークサーバに接続された認証サーバにおける認証において無効とされた回数を計数し、計数した回数を前記ユーザ端末ごとに対応付けて所定の記憶部に格納する計数工程と、
前記ユーザ端末から接続要求を受付けた場合に、前記記憶部を参照して、当該ユーザ端末からの接続要求が無効とされた回数が所定の閾値を超えているか否かを判定する判定工程と、
前記判定工程によって、前記無効とされた回数が前記閾値を超えていると判定された場合に、前記アクセスコントローラに対して、前記接続要求に対応する接続先ネットワークサーバのIPアドレスを含まない情報を応答する応答工程と、
を含んだことを特徴とするネットワーク接続制御方法。 A network connection control method executed by a network connection control device that controls connection between an access controller and a network server using a layer 2 tunneling protocol based on a connection request from a user terminal via the access controller,
Counting the number of times the connection request from the user terminal is invalidated as the number of times invalidated in the authentication in the connection between the access controller and the network server and the authentication in the authentication server connected to the network server, A counting step in which the number of times of the association is stored in a predetermined storage unit in association with each user terminal;
A determination step of determining whether or not the number of times that the connection request from the user terminal has been invalidated exceeds a predetermined threshold with reference to the storage unit when a connection request is received from the user terminal;
When it is determined by the determination step that the number of invalidations exceeds the threshold value, the access controller is provided with information that does not include the IP address of the connection destination network server corresponding to the connection request. A response process to respond;
A network connection control method comprising:
前記ユーザ端末からの接続要求が無効とされた回数として、前記アクセスコントローラと前記ネットワークサーバとの接続における認証及び前記ネットワークサーバに接続された認証サーバにおける認証において無効とされた回数を計数し、計数した回数を前記ユーザ端末ごとに対応付けて所定の記憶部に格納する計数手段と、
前記ユーザ端末から接続要求を受付けた場合に、前記記憶部を参照して、当該ユーザ端末からの接続要求が無効とされた回数が所定の閾値を超えているか否かを判定する判定手段と、
前記判定手段によって、前記無効とされた回数が前記閾値を超えていると判定された場合に、前記アクセスコントローラに対して、前記接続要求に対応する接続先ネットワークのIPアドレスを含まない情報を応答する応答手段と、
を備えたことを特徴とするネットワーク接続制御装置。 A network connection control device that controls connection between an access controller and a network server according to a layer 2 tunneling protocol based on a connection request from a user terminal via the access controller,
Counting the number of times the connection request from the user terminal is invalidated as the number of times invalidated in the authentication in the connection between the access controller and the network server and the authentication in the authentication server connected to the network server, Counting means for associating the number of times for each user terminal and storing it in a predetermined storage unit;
A determination unit that determines whether or not the number of times the connection request from the user terminal is invalid exceeds a predetermined threshold with reference to the storage unit when a connection request is received from the user terminal;
When the determination unit determines that the number of invalidations exceeds the threshold, the access controller responds with information that does not include the IP address of the connection destination network corresponding to the connection request. A response means to
A network connection control device comprising:
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2011272681A JP5657509B2 (en) | 2011-12-13 | 2011-12-13 | Network connection control method and network connection control device |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2011272681A JP5657509B2 (en) | 2011-12-13 | 2011-12-13 | Network connection control method and network connection control device |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2013126036A JP2013126036A (en) | 2013-06-24 |
JP5657509B2 true JP5657509B2 (en) | 2015-01-21 |
Family
ID=48777067
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2011272681A Expired - Fee Related JP5657509B2 (en) | 2011-12-13 | 2011-12-13 | Network connection control method and network connection control device |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP5657509B2 (en) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106911582B (en) * | 2017-03-07 | 2020-01-31 | 北京搜狐新媒体信息技术有限公司 | real-time flow control method and system based on Nginx server |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP4965499B2 (en) * | 2008-04-16 | 2012-07-04 | 日本電信電話株式会社 | Authentication system, authentication device, communication setting device, and authentication method |
JP2011004024A (en) * | 2009-06-17 | 2011-01-06 | Hitachi Ltd | Communication apparatus |
-
2011
- 2011-12-13 JP JP2011272681A patent/JP5657509B2/en not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
JP2013126036A (en) | 2013-06-24 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN105637805B (en) | Enhance mobile alternate channel to solve the node failure in wired networks | |
US9154378B2 (en) | Architecture for virtualized home IP service delivery | |
US9537862B2 (en) | Relayed network access control systems and methods | |
US20120096529A1 (en) | Method and Device for Managing Authentication of a User | |
US10171504B2 (en) | Network access with dynamic authorization | |
JP3987539B2 (en) | Session information management method and session information management apparatus | |
EP2901664A1 (en) | Reducing core network traffic caused by migrant | |
JP2006217196A (en) | Method and system for authenticating radio lan | |
JP5486523B2 (en) | Network connection control system and connection control method | |
JP2011182070A (en) | System and method for virtual communication route connection | |
JP5657509B2 (en) | Network connection control method and network connection control device | |
Nguyen et al. | An SDN‐based connectivity control system for Wi‐Fi devices | |
TW201721498A (en) | Wired area network user management system and method with security and function scalability wherein a network controller is used to control a programmable network switch, and divert a non-authenticated terminal device to an authentication server | |
JP2019153913A (en) | Home gateway device, connection terminal access management method, and connection terminal access management program | |
JP3668648B2 (en) | Session information management method and session information management apparatus | |
JP2013214825A (en) | Relay device, communication control method, and communication control program | |
JP6075885B2 (en) | Authentication system and online sign-up control method | |
JP3887325B2 (en) | Data communication network system and data communication network connection control method | |
US12015923B2 (en) | Methods, systems, and computer readable media for mitigating effects of access token misuse | |
JP2018029233A (en) | Client terminal authentication system and client terminal authentication method | |
US20240163271A1 (en) | Methods, systems, and computer readable media for detecting stolen access tokens | |
US11974134B2 (en) | Methods, systems, and computer readable media for validating subscriber entities against spoofing attacks in a communications network | |
JP6571615B2 (en) | Authentication server, distribution device, client terminal authentication system, and client terminal authentication method | |
JP3816933B2 (en) | Session information management method and session information management apparatus | |
EP3882779A1 (en) | Internet connection management system for information communication device, method therefor, and internet connection management program installed in information communication device |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20140207 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20140827 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20140924 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20141106 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20141125 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20141126 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5657509 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
LAPS | Cancellation because of no payment of annual fees |