JP6061304B2 - Line authentication method and system - Google Patents

Line authentication method and system Download PDF

Info

Publication number
JP6061304B2
JP6061304B2 JP2013230233A JP2013230233A JP6061304B2 JP 6061304 B2 JP6061304 B2 JP 6061304B2 JP 2013230233 A JP2013230233 A JP 2013230233A JP 2013230233 A JP2013230233 A JP 2013230233A JP 6061304 B2 JP6061304 B2 JP 6061304B2
Authority
JP
Japan
Prior art keywords
line
control function
service control
user terminal
packet
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2013230233A
Other languages
Japanese (ja)
Other versions
JP2015091028A (en
Inventor
孝幸 中村
孝幸 中村
健一 越塚
健一 越塚
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2013230233A priority Critical patent/JP6061304B2/en
Publication of JP2015091028A publication Critical patent/JP2015091028A/en
Application granted granted Critical
Publication of JP6061304B2 publication Critical patent/JP6061304B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Description

本発明は、固定網における回線認証方式に関する。より詳しくは、従来の固定網においてユーザ収容回線を終端するサービスエッジに配備されていたサービス制御機能を、ユーザ収容回線とは分離されたネットワーク上部へ集約した際に、従来と同等のユーザ収容回線情報に基づく認証を実現する技術に関する。   The present invention relates to a line authentication method in a fixed network. More specifically, when the service control function that is deployed at the service edge that terminates the user accommodation line in the conventional fixed network is aggregated on the upper part of the network separated from the user accommodation line, the user accommodation line equivalent to the conventional one is used. The present invention relates to a technology for realizing information-based authentication.

NGN(Next Generation Network)に代表される固定網において、IP(Internet Protocol)電話やISP(Internet Service Provider)接続等のサービス提供に際し、未契約ユーザの不正なサービス利用等を防止するために、正当な回線に対してのみサービスを提供するための回線認証を実施している。従来の回線認証は、サービス利用開始時にユーザ端末より発せられるDHCP(Dynamic Host Configuration Protocol)要求やPPPoE(Point-to-Point Protocol over Ethernet)接続要求等の認証が必要なパケットをサービスエッジの各サービス制御機能が受信した際に、ユーザ宅とサービスエッジとの間のユーザ収容回線のID(回線認証ID)をサービスエッジから網内制御サーバ(DHCPサーバや認証サーバ等)へ通知することで実施されている。   In a fixed network represented by NGN (Next Generation Network), when providing services such as IP (Internet Protocol) telephone and ISP (Internet Service Provider) connection, it is legal to prevent unauthorized use of services by unsigned users. Line authentication is performed to provide services only to secure lines. In conventional line authentication, packets that require authentication such as DHCP (Dynamic Host Configuration Protocol) requests and PPPoE (Point-to-Point Protocol over Ethernet) connection requests issued from user terminals at the start of service use This is implemented by notifying the ID (line authentication ID) of the user accommodation line between the user's home and the service edge from the service edge to the network control server (DHCP server, authentication server, etc.) when the control function is received. ing.

ここで、通常、サービスエッジの1つの物理ポートに複数のユーザ収容回線が収容されているため、ユーザ収容回線毎にユニークである必要のある回線認証IDには、物理的なポート番号だけでなく、パケットヘッダに付与されたユーザ収容回線毎のID(VLAN−ID等)が用いられている。以上の従来の回線認証を行うネットワークの概要を非特許文献1及び図5に示す。   Here, since a plurality of user accommodation lines are usually accommodated in one physical port of the service edge, the line authentication ID that needs to be unique for each user accommodation line is not limited to a physical port number. The ID (VLAN-ID or the like) for each user accommodation line assigned to the packet header is used. An outline of a network that performs the above-described conventional line authentication is shown in Non-Patent Document 1 and FIG.

図5に示すように、従来の回線認証システムでは、サービスエッジ900には、ユーザ端末101からのDHCP要求を制御サーバへ転送する機能(DHCPリレーエージェント機能)や、PPPoE接続要求に対して認証サーバへ要求元ユーザのISP接続サービス契約有無の問い合わせを行い、契約有の場合にユーザ端末とのPPPoEセッションを確立するBAS機能等の、サービス制御機能500が配備されている。   As shown in FIG. 5, in the conventional line authentication system, the service edge 900 includes a function for transferring a DHCP request from the user terminal 101 to the control server (DHCP relay agent function) and an authentication server for a PPPoE connection request. A service control function 500 such as a BAS function for inquiring the requesting user whether there is an ISP connection service contract and establishing a PPPoE session with the user terminal when the contract is present is provided.

ところで非特許文献2に示すように、将来のキャリア網において、サービス制御機能をサービスエッジから分離し、ネットワーク上部のクラウドへ集約するアーキテクチャ案が挙げられている。このアーキテクチャ案を図6に示す。ここで、本ネットワークアーキテクチャにおいては、ユーザ端末101からのブロードキャストパケット(DHCP要求パケット等)をサービス制御機能500が受信可能である必要があるため、ユーザ端末101と各サービス制御機能500は同一のブロードキャストドメインにある。このため、ルータ等を経由することによる送信元MAC(Media Access Control)アドレスの書き換えがコア網400内で発生しない点に留意されたい。   By the way, as shown in Non-Patent Document 2, there is an architecture proposal in which a service control function is separated from a service edge in a future carrier network and concentrated in a cloud above the network. This architecture proposal is shown in FIG. Here, in the present network architecture, since the service control function 500 needs to be able to receive broadcast packets (such as DHCP request packets) from the user terminal 101, the user terminal 101 and each service control function 500 have the same broadcast. In the domain. For this reason, it should be noted that rewriting of a source MAC (Media Access Control) address via a router or the like does not occur in the core network 400.

ネットワーク上部に集約されたサービス制御機能500には、図5に示すサービスエッジ900に配備されていた場合と比べ多くのユーザが接続されることとなる。これにより、サービス制御機能500において従来と同等の回線認証を実施するためには、ユーザが収容されている回線を一意に特定するために、回線認証IDとしてより多くの情報量をパケットに追加することが必要となる。すなわち、将来のキャリア網アーキテクチャ案においては、回線認証のために、パケットのヘッダに対し従来に比べ多くのパスIDを付与することとなる。例えば、図6に示す通り、従来のユーザ収容回線200を、コア網内のパス410(MPLS(Multi Protocol Label Switching)パス等)にカプセリングし、VLAN(Virtual Local Area Network)−IDで示される従来のユーザ収容回線200のパスと前記コア網内のパス410という2つのパスのIDを元に回線認証を行うこととなる。   More service users are connected to the service control function 500 aggregated in the upper part of the network than when the service control function 500 is deployed at the service edge 900 shown in FIG. Thus, in order to perform line authentication equivalent to the conventional one in the service control function 500, a larger amount of information is added to the packet as a line authentication ID in order to uniquely identify the line in which the user is accommodated. It will be necessary. That is, in a future carrier network architecture plan, more path IDs are given to the packet header than in the past for line authentication. For example, as shown in FIG. 6, a conventional user accommodation line 200 is encapsulated in a path 410 (MPLS (Multi Protocol Label Switching) path or the like) in the core network, and is represented by a VLAN (Virtual Local Area Network) -ID. The line authentication is performed based on the IDs of two paths, that is, the path of the user accommodation line 200 and the path 410 in the core network.

“回線認証とは”、 [online]、2009年10月28日、Itpro、 [平成25年10月15日検索]、インターネット<URL:http://itpro.nikkeibp.co.jp/article/Keyword/20091027/339483>“What is line authentication”, [online], October 28, 2009, Itpro, [Search October 15, 2013], Internet <URL: http://itpro.nikkeibp.co.jp/article/Keyword / 20091027/339483> 中村孝幸、辻河亨、越塚健一、“外部環境の変化に対するキャリア網アーキテクチャの適用性評価”、2013年9月、2013年電子情報通信学会通信ソサイティ大会、B−6−96Takayuki Nakamura, Kaoru Suruga, Kenichi Koshizuka, “Evaluation of Applicability of Carrier Network Architecture to Changes in External Environment”, September 2013, 2013 IEICE Communication Society Conference, B-6-96

上述のように、将来のキャリア網アーキテクチャ案において、前述の通りパケットのヘッダに対し、回線認証IDとして従来のキャリア網と比べ多くのパスIDを付与する必要がある。しかしパケットの他のヘッダ内容を維持したまま単に回線認証IDをヘッダに「追加」する処理を行うと、当該パケットのペイロードが減少し、スループット低下に伴うユーザのサービスの体感品質(QoE(Quality of Experience))が劣化する要因となることが考えられる。また、サービス制御機能500にて多くのパスを終端する必要があるため、複数のパス終端のための処理によりサービス制御機能500の性能劣化要因となることが考えられる。   As described above, in the future carrier network architecture plan, as described above, it is necessary to give more path IDs as line authentication IDs to the packet header than in the conventional carrier network. However, if the process of simply “adding” the line authentication ID to the header while maintaining the other header contents of the packet is performed, the payload of the packet decreases, and the quality of service (QoE (Quality of Quality of Service) of the user accompanying the decrease in throughput is reduced. Experience)) may be a factor of deterioration. In addition, since it is necessary to terminate many paths in the service control function 500, it is conceivable that processing for a plurality of path terminations may cause performance degradation of the service control function 500.

本発明は、上記事情に鑑みてなされたものであり、その目的とするところは、サービス制御機能を集約した際にユーザ収容回線を特定するために多くのパスIDをパケットに付与することによる、パケットのペイロード減少に伴うQoEの低下、及び、サービス制御機能にて多くのパスを終端することに伴うサービス制御機能の性能劣化を抑止することができる回線認証方法及びシステムを提供することにある。   The present invention has been made in view of the above circumstances, and the object of the present invention is to assign a lot of path IDs to a packet in order to identify a user accommodation line when collecting service control functions. It is an object of the present invention to provide a line authentication method and system capable of suppressing a decrease in QoE due to a decrease in packet payload and a performance deterioration in the service control function due to termination of many paths by the service control function.

上記目的を達成するために、本願発明は、コア網と、ユーザ端末をコア網に収容するためのユーザ収容回線と、コア網のエッジに配置され前記ユーザ収容回線を終端するエッジ装置と、ユーザ端末へのサービス提供を制御するサービス制御機能部とを有するとともに、ユーザ端末とサービス制御機能部は同一のブロードキャストドメインに属するよう構成されたネットワークシステムにおいてユーザ収容回線を認証する回線認証方法であって、前記エッジ装置が、ユーザ端末からサービス制御機能部に送信されるパケットをエッジ装置とサービス制御機能部との間に形成されたコア網内のパスに転送する際に、該パケットのヘッダフィールドであって、サービス制御機能部におけるサービス制御機能への影響が無く且つ少なくともユーザ端末が収容されたユーザ収容回線毎にユニークな回線認証IDを付与するのに十分な量のビット数を持つヘッダフィールドに、該回線認証IDを埋め込むステップと、前記サービス制御機能部が、エッジ装置により転送されたユーザ端末からのパケットのヘッダに含まれる回線認証IDを用いて回線認証処理を行うステップとを含むことを特徴とする。   In order to achieve the above object, the present invention provides a core network, a user accommodation line for accommodating a user terminal in the core network, an edge device arranged at an edge of the core network and terminating the user accommodation line, and a user A line authentication method for authenticating a user accommodation line in a network system configured to have a service control function unit for controlling service provision to a terminal, and wherein the user terminal and the service control function unit are configured to belong to the same broadcast domain. When the edge device transfers the packet transmitted from the user terminal to the service control function unit to the path in the core network formed between the edge device and the service control function unit, the edge field of the packet There is no influence on the service control function in the service control function unit and at least the user terminal A step of embedding the line authentication ID in a header field having a sufficient number of bits to give a unique line authentication ID to each accommodated user accommodated line; And performing a line authentication process using a line authentication ID included in a header of a packet from the user terminal.

本発明によれば、パケットヘッダであって元々他の用途のために用意されていたヘッダフィールドに回線認証IDを埋め込むので、回線認証IDの情報量が多くなった場合であってもパケットのペイロード領域を減少させることがない。したがってペイロード減少に伴うQoEの低下を抑止できる。また本発明では、ユーザ収容回線はエッジ端末で終端されているので、サービス制御機能にて多くのパスを終端することに伴うサービス制御機能の性能劣化を抑止することができる。   According to the present invention, since the line authentication ID is embedded in the header field that is a packet header and originally prepared for other uses, the payload of the packet is obtained even when the amount of information of the line authentication ID increases. Does not reduce the area. Therefore, it is possible to suppress a decrease in QoE accompanying a decrease in payload. In the present invention, since the user accommodation line is terminated at the edge terminal, it is possible to suppress performance degradation of the service control function that accompanies termination of many paths by the service control function.

本発明の好適な態様の一例としては、前記回線認証IDの埋込ステップでは、埋込先のヘッダフィールドの値をエッジ装置の記憶手段に記憶し、更に、前記エッジ装置が、ユーザ端末からサービス制御機能部に送信したパケットに対するサービス制御機能部からの応答パケットをユーザ端末に転送する際に、前記記憶手段に記憶した値を用いて該応答パケットのヘッダを書き換えるステップを含むことを特徴とするものが挙げられる。   As an example of a preferred aspect of the present invention, in the step of embedding the line authentication ID, the value of the header field of the embedding destination is stored in the storage device of the edge device, and the edge device further receives a service from the user terminal. A step of rewriting a header of the response packet using a value stored in the storage means when a response packet from the service control function unit to the packet transmitted to the control function unit is transferred to the user terminal. Things.

また本発明の好適な態様の一例としては、前記回線認証IDの埋込ステップでは、送信元アドレス情報を格納するヘッダフィールドに回線認証IDを埋め込むことを特徴とするものが挙げられる。   As an example of a preferred aspect of the present invention, the line authentication ID is embedded in the header field storing the source address information in the step of embedding the line authentication ID.

本発明によれば、サービス制御機能を集約した際にユーザ収容回線を特定するために多くのパスIDをパケットに付与することによる、パケットのペイロード減少に伴うQoEの低下、及び、サービス制御機能にて多くのパスを終端することに伴うサービス制御機能の性能劣化を抑止することができる。   According to the present invention, when a service control function is aggregated, a large number of path IDs are assigned to a packet in order to identify a user accommodation line, thereby reducing QoE associated with a decrease in packet payload and a service control function. Therefore, it is possible to suppress the performance deterioration of the service control function due to terminating many paths.

本発明において想定するネットワーク構成図Network configuration diagram assumed in the present invention 回線認証IDの付与方法を説明する図A diagram for explaining a method of assigning a line authentication ID DHCPによりIPアドレスを取得する場合のシーケンスSequence when acquiring an IP address by DHCP ユーザ端末とBAS機能間のPPPoEセッションを開始する場合のシーケンスSequence when starting PPPoE session between user terminal and BAS function 従来のキャリア網アーキテクチャTraditional carrier network architecture 将来のキャリア網アーキテクチャ案Future career network architecture proposal

本発明の一実施の形態に係る回線認証方法及びシステムについて図1を参照して説明する。図1は本発明の回線認証を実現するネットワーク構成図である。本実施の形態にかかるネットワークシステムが、図6を参照して説明した将来のキャリア網アーキテクチャ案と大きく異なる点の1つは、ユーザ収容回線がエッジ装置にて終端されていること、及び、エッジ装置に回線認証ID付与機能を配備している点にある。   A line authentication method and system according to an embodiment of the present invention will be described with reference to FIG. FIG. 1 is a network configuration diagram for realizing line authentication according to the present invention. One of the major differences between the network system according to the present embodiment and the future carrier network architecture proposal described with reference to FIG. 6 is that the user accommodation line is terminated by an edge device, and the edge The device is provided with a line authentication ID assigning function.

図1に示すように、ユーザ宅100にはユーザ収容回線200を終端するユーザ端末101が配備されている。ユーザ端末101としては、ユーザ収容回線200の終端機能を有して単体で利用されるコンピュータやネットワーク機器であってもいいし、ホームゲートウェイ(HGW:Home Gateway)と呼ばれる加入者宅内装置のように配下にLAN(Local Area Network)を形成し、該LANにユーザ利用端末や各種ネットワーク機器を接続するようなものであってもよい。   As shown in FIG. 1, a user terminal 101 that terminates a user accommodation line 200 is provided in a user home 100. The user terminal 101 may be a computer or a network device that has a termination function for the user accommodating line 200 and is used alone, or a subscriber premises device called a home gateway (HGW). A local area network (LAN) may be formed underneath and a user terminal or various network devices may be connected to the LAN.

ユーザ収容回線200は、物理的にはFTTH(Fiber To The Home)の光ファイバ、CATV(Cable Television)のケーブルなどの固定回線に収容されており、1つの物理回線には複数のユーザ収容回線200が物理的及び論理的(仮想的)に多重化して収容されてアクセス網250を形成している。ここで、ユーザ収容回線200は、ユーザ端末101とエッジ装置300との間に形成された論理パスを意味する。なお、論理パスの形成手法としては、例えばVLAN技術を利用したものなどが挙げられる。   The user accommodation line 200 is physically accommodated in a fixed line such as an optical fiber of FTTH (Fiber To The Home) or a cable of CATV (Cable Television), and a plurality of user accommodation lines 200 are included in one physical line. Are accommodated by being physically and logically (virtually) multiplexed to form an access network 250. Here, the user accommodation line 200 means a logical path formed between the user terminal 101 and the edge device 300. As a logical path formation method, for example, a method using VLAN technology may be used.

エッジ装置300は、コア網400内においてユーザ端末101側のエッジに配備されておりユーザ収容回線200を終端し、ユーザ端末101をコア網400に収容する。エッジ装置300は、ユーザ端末101から送信される上りパケットを、パケットヘッダ情報等に応じてサービス制御機能500宛のコア網400内の論理パス410に転送する機能を持つ。また、サービス制御機能500から送信される下りパケットを、上り同様にパケットヘッダの送信先情報を元にユーザ収容回線200に転送する機能を持つ。すなわちエッジ装置300は、パケットの振り分け機能を有する。また、エッジ装置300は、前記パケット転送の際に当該パケットのヘッダに回線認証IDを埋め込む回線認証ID付与機能350を有する。回線認証ID付与機能350については後述する。   The edge device 300 is arranged at the edge on the user terminal 101 side in the core network 400, terminates the user accommodation line 200, and accommodates the user terminal 101 in the core network 400. The edge device 300 has a function of transferring an uplink packet transmitted from the user terminal 101 to the logical path 410 in the core network 400 addressed to the service control function 500 according to packet header information or the like. In addition, a downlink packet transmitted from the service control function 500 is transferred to the user accommodation line 200 based on the transmission destination information in the packet header in the same manner as the uplink. That is, the edge device 300 has a packet distribution function. In addition, the edge device 300 has a line authentication ID giving function 350 that embeds a line authentication ID in the header of the packet when the packet is transferred. The line authentication ID giving function 350 will be described later.

コア網400は、エッジ装置300やコアルータ(図示省略)或いはスイッチなどのネットワーク機器により構成されている。本実施の形態では、コア網400内の機器間の通信に係るパケットは、MPLS(Multi Protocol Label Switching)等によりカプセリングされて転送される。すなわち、コア網400内には通信送信元・送信先に応じた論理パス410が形成されている。   The core network 400 includes network devices such as an edge device 300, a core router (not shown), or a switch. In the present embodiment, packets related to communication between devices in the core network 400 are encapsulated and transferred by MPLS (Multi Protocol Label Switching) or the like. That is, a logical path 410 corresponding to the communication transmission source / transmission destination is formed in the core network 400.

コア網400には、ユーザ端末101に対して回線認証処理を含むサービスの提供を制御するサービス制御機能500が配備されている。サービス制御機能500の一例としては、ユーザ端末101から発せられるDHCP要求を制御するDHCPリレーエージェントや、ユーザ端末101のPPPoE接続要求を制御するBAS(Broadband Access Server)が挙げられる。サービス制御機能500については後述する。なお、図1においては、ユーザ端末101とサービス制御機能500との間のDHCPに係る通信を実線矢印にて示し、同PPPoEに係る通信を点線矢印にて示している。   The core network 400 is provided with a service control function 500 that controls provision of services including line authentication processing to the user terminal 101. Examples of the service control function 500 include a DHCP relay agent that controls a DHCP request issued from the user terminal 101 and a BAS (Broadband Access Server) that controls a PPPoE connection request of the user terminal 101. The service control function 500 will be described later. In FIG. 1, communication related to DHCP between the user terminal 101 and the service control function 500 is indicated by a solid arrow, and communication related to the PPPoE is indicated by a dotted arrow.

ここで、本発明におけるネットワークシステムは、ユーザ端末101とサービス制御機能500は同一ブロードキャストドメインにあることに留意されたい。換言すれば、本発明におけるネットワークシステムは、コア網400内でルータ等を経由することによる送信元MACアドレスの書き換えがコア網400内で発生せず、上りパケットの送信元MACアドレスに回線認証IDを付与した場合においても、サービス制御機能500がその回線認証IDを取得することが可能であることを前提としている点に留意されたい。   Here, it should be noted that in the network system according to the present invention, the user terminal 101 and the service control function 500 are in the same broadcast domain. In other words, the network system according to the present invention does not rewrite the source MAC address in the core network 400 via a router or the like in the core network 400, and the line authentication ID is added to the source MAC address of the upstream packet. It should be noted that it is assumed that the service control function 500 can acquire the line authentication ID even in the case of assigning.

次にエッジ装置300の回線認証ID付与機能350について詳述する。回線認証ID付与機能350では、上りパケットにおけるパケットに通常付与されているヘッダのうち、ヘッダ書き換えによるサービス制御機能500への影響が無く、かつネットワーク上部で集約した際にユーザ収容回線200毎にユニークなIDを付与するのに十分な量のビット数を持つヘッダフィールドに、回線認証IDを埋め込む。ここで、回線認証IDに変換されるヘッダフィールドとしては前述の条件を満たすものとして、ユーザ端末101が自由に付与することが可能であることからキャリア網内のサービス制御機能500においては通常利用されることが無く、48bitと比較的大きなビット幅を持つ送信元MACアドレスや、MACアドレス等からユーザ端末にて自動生成される送信元IPv6アドレスの下位64bit部分(インタフェースID部分)等が適当である。一方、サービス制御機能500においてアドレス変換や特定のアドレスのみ通信を許可する制御を行う場合に影響のあるIPv4アドレスは、回線認証IDを付与するヘッダフィールドとしては適当ではない。   Next, the line authentication ID assigning function 350 of the edge device 300 will be described in detail. The line authentication ID assigning function 350 has no influence on the service control function 500 due to header rewriting out of the headers normally given to the packets in the upstream packet, and is unique for each user accommodation line 200 when aggregated in the upper part of the network. A line authentication ID is embedded in a header field having a sufficient number of bits to give a unique ID. Here, as the header field converted to the line authentication ID, the user terminal 101 can freely assign the header field that satisfies the above-described conditions. Therefore, the header field is normally used in the service control function 500 in the carrier network. The source MAC address having a relatively large bit width of 48 bits, or the lower 64 bits part (interface ID part) of the source IPv6 address automatically generated by the user terminal from the MAC address or the like is appropriate. . On the other hand, an IPv4 address that has an effect when the service control function 500 performs address translation or control for permitting communication only for a specific address is not appropriate as a header field for assigning a line authentication ID.

また、回線認証ID付与機能350では、下りパケットに対し、回線認証IDが付与されたフィールドをユーザ端末101が付与した元のビット列に戻す。例えば、上りパケットの送信元MACアドレスに回線認証IDのビット列を埋め込んだ場合、下りパケットの送信先MACアドレスが回線認証IDの埋め込まれたビット列となる。このとき、パケットの送信先MACアドレスが自端末宛でない場合にユーザ端末が正しくパケットを受信しない可能性を避けるため、下りパケットの送信先MACアドレスを、上りパケットにおける回線認証IDへ変換前の送信元MACアドレスに戻す。これを行うため、回線認証ID付与機能350では、上りパケットの変換対象ヘッダの変換前後のヘッダ情報の対応表を所定の記憶手段に記憶しておく。   Further, the line authentication ID assigning function 350 returns the field assigned the line authentication ID to the original bit string assigned by the user terminal 101 for the downstream packet. For example, when a bit string of the line authentication ID is embedded in the source MAC address of the upstream packet, the transmission destination MAC address of the downstream packet becomes a bit string embedded with the circuit authentication ID. At this time, in order to avoid the possibility that the user terminal does not receive the packet correctly when the packet destination MAC address is not addressed to the own terminal, transmission of the downstream packet transmission destination MAC address to the line authentication ID in the upstream packet is performed. Return to the original MAC address. In order to do this, the line authentication ID assigning function 350 stores a correspondence table of header information before and after conversion of the header to be converted of the upstream packet in a predetermined storage unit.

ここで、回線認証ID付与機能350にて付与する回線認証IDは、1つのユーザ収容回線200内に複数の端末101が接続される可能性があり、前述の通り下りパケットに付与された回線認証IDを変換前の端末101毎に異なるビット列に戻す必要があることから、ユーザ収容回線200内の端末101毎にユニークとなるビット列とする。例えば、図2(a)に示す通り、ユーザ収容回線200のパスIDやエッジ装置300のインタフェイス番号等の従来の回線認証方式で利用されていた情報を、回線認証IDを付与するヘッダフィールドのビット幅に縮退させたビット列に、端末101毎に異なるビット列を加えたものとする方法がある。あるいは、図2(b)に示す通り、従来の回線認証方式とは全く異なるユーザ収容回線200毎に予め定められた従来の回線認証方式の情報とは全く異なるビット列に、端末101毎に異なるビット列を加えたものとする方法も挙げられる。   Here, the line authentication ID assigned by the line authentication ID assigning function 350 may be connected to a plurality of terminals 101 within one user accommodating line 200, and the line authentication assigned to the downlink packet as described above. Since it is necessary to return the ID to a different bit string for each terminal 101 before conversion, the bit string is unique for each terminal 101 in the user accommodating line 200. For example, as shown in FIG. 2A, the information used in the conventional line authentication method such as the path ID of the user accommodation line 200 and the interface number of the edge device 300 is used in the header field that gives the line authentication ID. There is a method in which a different bit string is added to each terminal 101 to the bit string degenerated to a bit width. Alternatively, as shown in FIG. 2 (b), a bit string that is completely different from the information of the conventional line authentication method that is predetermined for each user-accepted line 200 that is completely different from the conventional line authentication method, A method in which is added.

次に、サービス制御機能500について詳述する。各サービス制御機能500は、制御対象とするサービスに応じて必要となるDHCPリレーエージェント機能やBAS機能、マルチキャスト配信機能等を持つ。   Next, the service control function 500 will be described in detail. Each service control function 500 has a DHCP relay agent function, a BAS function, a multicast distribution function, and the like which are necessary according to the service to be controlled.

また、サービス制御機能500は、ユーザ端末101から送信された上りパケットにおいて、連携するサーバ501(DHCPサーバや認証サーバ)における回線認証が必要な場合に、上りパケットから取り出した回線認証IDを当該サーバ501へ送信する機能を持つ。ここで、連携するサーバに対して回線認証IDを送信する方法としては、各サービスにて利用するプロトコルに応じた方法を取るものとする。例えば、DHCPリレーエージェント機能を持つサービス制御機能500においては、ユーザ端末101からのDHCPパケットに対し、DHCPメッセージ内のオプションのAgent Circuit ID等に回線認証IDを付与したうえで、DHCPサーバへパケットを転送する。   Further, the service control function 500 uses the line authentication ID extracted from the uplink packet when the line authentication in the linked server 501 (DHCP server or authentication server) is necessary in the uplink packet transmitted from the user terminal 101. It has a function to transmit to 501. Here, as a method for transmitting the line authentication ID to the cooperating server, a method corresponding to the protocol used in each service is taken. For example, in the service control function 500 having the DHCP relay agent function, a circuit authentication ID is assigned to an optional Agent Circuit ID in the DHCP message for the DHCP packet from the user terminal 101, and then the packet is sent to the DHCP server. Forward.

以上詳述したように本発明によれば、従来の固定網においてサービスエッジに配備されていたサービス制御機能500をネットワーク上部へ集約した場合に、回線認証のために必要なユーザ収容回線200毎のIDの情報を、パケットに通常付与されているヘッダのうち、ヘッダ情報の書き換えによりサービス制御機能500に影響が無く、かつ集約されたユーザ収容回線200毎にユニークなIDを付与するのに十分な量のビット数を持つ部分に埋め込む。これにより、従来の回線認証方式では、サービス制御機能500を集約した際にユーザ収容回線200を特定するために多くのパスIDをパケットに付与することによる、パケットのペイロード減少に伴うQoEの低下および、サービス制御機能500にて多くのパスを終端することに伴うサービス制御機能500の性能劣化を抑止することが可能となる。   As described above in detail, according to the present invention, when the service control function 500 deployed at the service edge in the conventional fixed network is concentrated on the upper part of the network, each user accommodation line 200 required for line authentication is provided. Of the headers normally assigned to the packet, the ID information is not affected by the service control function 500 by rewriting the header information, and is sufficient to give a unique ID to each aggregated user accommodating line 200. Embed in the part with the number of bits. As a result, in the conventional line authentication method, when the service control function 500 is aggregated, a QoE is reduced due to a decrease in the payload of the packet by assigning many path IDs to the packet in order to identify the user accommodation line 200. Therefore, it is possible to suppress the performance deterioration of the service control function 500 that accompanies termination of many paths in the service control function 500.

図1に示すネットワークにおいて、ユーザ端末101がDHCPによりIPアドレスを取得す場合と、ユーザ端末101とBAS機能間のPPPoEセッションを開始する場合を例とした、実施例の動作を示す。   In the network shown in FIG. 1, the operation of the embodiment will be described by taking as an example the case where the user terminal 101 acquires an IP address by DHCP and the case where a PPPoE session between the user terminal 101 and the BAS function is started.

[DHCPによりIPアドレスを取得する場合]
本実施例のシーケンスを図3に示す。まず、IPアドレスが未割当のユーザ端末101からDHCP要求パケットが配信される(ステップS101)。 [When obtaining an IP address by DHCP]
The sequence of this embodiment is shown in FIG. First, a DHCP request packet is distributed from the user terminal 101 to which an IP address is not assigned (step S101).

エッジ装置300ではユーザ端末101から配信されたDHCP要求パケットを受信し、送信先IPアドレスがブロードキャストアドレスかつ送信先ポート番号がDHCPサーバ501のポート番号であること等に基づき、受信したパケットを、DHCPリレーエージェント機能を持つサービス制御機能500へ転送する(ステップS103)。このとき、エッジ装置300内の回線認証ID付与機能350は、当該パケットの送信元MACアドレスに回線認証IDを埋め込む(ステップS102)。   The edge device 300 receives the DHCP request packet distributed from the user terminal 101, and based on the fact that the destination IP address is the broadcast address and the destination port number is the port number of the DHCP server 501, etc. Transfer to the service control function 500 having the relay agent function (step S103). At this time, the line authentication ID assigning function 350 in the edge device 300 embeds a line authentication ID in the source MAC address of the packet (step S102).

次に、DHCPリレーエージェント機能500は、受信したDHCPパケットに対し、DHCPメッセージ内のオプションのAgent Circuit ID等に、送信元MACアドレスに付与された回線認証IDを記載し(ステップS104)、当該パケットをDHCPサーバ501へ転送する(ステップS105)。   Next, the DHCP relay agent function 500 describes the line authentication ID given to the source MAC address in the optional Agent Circuit ID in the DHCP message for the received DHCP packet (step S104). Is transferred to the DHCP server 501 (step S105).

DHCPサーバ501は、従来の回線認証方式と同様に、DHCPメッセージのオプション内に記載された回線認証IDと、自身が保持する回線認証IDとユーザ収容回線200の対応表を元に、ユーザ収容回線200を特定し、当該回線のサービス契約に応じたIPアドレスをDHCP応答パケットのメッセージ内に記載し(ステップS106)、該パケットをDHCPリレーエージェント機能500に対し送信する(ステップS107)。   Similar to the conventional line authentication method, the DHCP server 501 uses the line authentication ID described in the option of the DHCP message and the correspondence table between the line authentication ID and the user accommodation line 200 held by the user, and the user accommodation line. 200 is specified, an IP address corresponding to the service contract of the line is described in the message of the DHCP response packet (step S106), and the packet is transmitted to the DHCP relay agent function 500 (step S107).

DHCPリレーエージェント機能500は、一般的なDHCPリレーエージェント機能と同様に、受信したパケットの送信先MACアドレスを、前述の上りパケットにおける送信元MACアドレス(すなわち回線認証IDが付与されたビット列)に書き換え、上りパケットの送信元であるエッジ装置300にDHCP応答パケットを送信する(ステップS108)。   The DHCP relay agent function 500 rewrites the transmission destination MAC address of the received packet to the transmission source MAC address (that is, the bit string to which the circuit authentication ID is assigned) in the above-described upstream packet, as in the general DHCP relay agent function. The DHCP response packet is transmitted to the edge device 300 that is the transmission source of the upstream packet (step S108).

エッジ装置300は、受信したDHCP応答パケットの送信先MACアドレスを、上りパケットの書き換えの際に記録したユーザ端末101のMACアドレスに戻し(ステップS109)、送信元ユーザ端末101が収容されているユーザ収容回線200に当該パケットを送信する(ステップS110)。   The edge device 300 returns the transmission destination MAC address of the received DHCP response packet to the MAC address of the user terminal 101 recorded at the time of rewriting the uplink packet (step S109), and the user in which the transmission source user terminal 101 is accommodated The packet is transmitted to the accommodation line 200 (step S110).

ユーザ端末101は受信したDHCP応答パケットを元に、自端末101のIPアドレスを設定する(ステップS111)。   The user terminal 101 sets the IP address of the own terminal 101 based on the received DHCP response packet (step S111).

[ユーザ端末とBAS機能間のPPPoEセッションを開始する場合]
本実施例のシーケンスを図4に示す。まず、ユーザ端末101からPPPoEセッション確立要求パケットが配信されたとする(ステップS201)。 [When starting a PPPoE session between the user terminal and the BAS function]
The sequence of the present embodiment is shown in FIG. First, it is assumed that a PPPoE session establishment request packet is distributed from the user terminal 101 (step S201).

エッジ装置300ではユーザ端末101から配信されたPPPoEセッション確立要求パケットを受信し、イーサネットタイプ番号がPPPoEの番号であること等に基づき、受信したパケットを、BAS機能を持つサービス制御機能500へ転送する(ステップS203)。このとき、エッジ装置300内の回線認証ID付与機能350は、当該パケットの送信元MACアドレスに回線認証IDを付与する(ステップS202)。   The edge device 300 receives the PPPoE session establishment request packet distributed from the user terminal 101, and transfers the received packet to the service control function 500 having the BAS function based on the fact that the Ethernet type number is a PPPoE number. (Step S203). At this time, the line authentication ID assigning function 350 in the edge device 300 assigns a line authentication ID to the transmission source MAC address of the packet (step S202).

BAS機能500は、PPPoEセッション確立要求パケットの受信を契機に、認証サーバ501(RADIUSサーバ等)に認証要求メッセージ(RADIUS Access−Request等)を送信する(ステップS205)。このとき、認証要求メッセージ中に送信元MACアドレスに付与された回線認証IDを記載する(ステップS204)。   The BAS function 500 transmits an authentication request message (such as RADIUS Access-Request) to the authentication server 501 (such as a RADIUS server) upon reception of the PPPoE session establishment request packet (step S205). At this time, the line authentication ID assigned to the source MAC address is described in the authentication request message (step S204).

認証サーバ501は、従来の回線認証時と同様に、認証要求メッセージ内に記載された回線認証IDと、自身が保持する回線認証IDとユーザ収容回線200の対応表を元に、ユーザ収容回線200を特定し(ステップS205)、当該回線に対しPPPoEセッション確立が許可されている場合、認証許可メッセージ(RADIUS Access−Accept等)をBAS機能500に送信する(ステップS206)。   As in the conventional line authentication, the authentication server 501 uses the line authentication ID described in the authentication request message and the correspondence table between the line authentication ID and the user accommodated line 200 held by the authentication server 501 based on the user accommodated line 200. If a PPPoE session establishment is permitted for the line, an authentication permission message (such as RADIUS Access-Accept) is transmitted to the BAS function 500 (step S206).

BAS機能500は、一般的なBAS機能と同様に、PPPoEセッション確立応答パケットについて、送信先MACアドレスを、前述の上りパケットにおける送信元MACアドレス(すなわち回線認証IDが付与されたビット列)に書き換え(ステップS207)、上りパケットの送信元であるエッジ装置300に送信する(ステップS208)。   Similar to the general BAS function, the BAS function 500 rewrites the transmission destination MAC address of the PPPoE session establishment response packet to the transmission source MAC address (that is, the bit string to which the circuit authentication ID is assigned) in the upstream packet ( In step S207, the packet is transmitted to the edge device 300 that is the transmission source of the uplink packet (step S208).

エッジ装置300は、受信したPPPoEセッション確立応答パケットの送信先MACアドレスを、ユーザ端末101のMACアドレスに戻し(ステップS209)、送信元ユーザ端末101が収容されているユーザ収容回線200に当該パケットを送信する(ステップS210)。   The edge device 300 returns the destination MAC address of the received PPPoE session establishment response packet to the MAC address of the user terminal 101 (step S209), and sends the packet to the user accommodation line 200 in which the transmission source user terminal 101 is accommodated. Transmit (step S210).

ユーザ端末101は受信したPPPoEセッション確立応答パケットの受信を契機に、PPPoEセッションを開始する(ステップS211)。   The user terminal 101 starts a PPPoE session when receiving the received PPPoE session establishment response packet (step S211).

以上本発明の実施の形態について詳述したが、本発明はこれに限定されるものではない。例えば、上記実施の形態では、回線認証IDをパケットの送信元MACアドレスや、MACアドレス等からユーザ端末101にて自動生成される送信元IPv6アドレスの下位64bit部分(インタフェースID部分)に付与していたが、サービス制御機能500への影響がなく且つ必要十分なビット量を持つのであれば他のヘッダフィールドであってもよい。   Although the embodiment of the present invention has been described in detail above, the present invention is not limited to this. For example, in the above embodiment, the line authentication ID is assigned to the lower 64 bit part (interface ID part) of the source IPv6 address automatically generated by the user terminal 101 from the source MAC address of the packet or the MAC address. However, other header fields may be used as long as they do not affect the service control function 500 and have a necessary and sufficient bit amount.

また、上記実施の形態ではサービス制御機能の一例としてDHCP及びPPPoEについて例示したが、他のプロトコルであっても本発明を適用することができる。また、上記実施の形態では、VLAN及びMPLSを採用したネットワークについて説明したが、他の技術を適用したネットワークであっても本発明を適用できる。   In the above embodiment, DHCP and PPPoE are exemplified as an example of the service control function. However, the present invention can be applied to other protocols. In the above embodiment, a network employing VLAN and MPLS has been described. However, the present invention can also be applied to a network to which another technology is applied.

101…ユーザ端末、200…ユーザ収容回線、300…エッジ装置、350…回線認証ID付与機能、400…コア網、410…論理パス、500…サービス制御機能。   DESCRIPTION OF SYMBOLS 101 ... User terminal, 200 ... User accommodation line, 300 ... Edge device, 350 ... Line authentication ID assignment function, 400 ... Core network, 410 ... Logical path, 500 ... Service control function

Claims (4)

コア網と、ユーザ端末をコア網に収容するためのユーザ収容回線と、コア網のエッジに配置され前記ユーザ収容回線を終端するエッジ装置と、ユーザ端末へのサービス提供を制御するサービス制御機能部とを有するとともに、ユーザ端末とサービス制御機能部は同一のブロードキャストドメインに属するよう構成されたネットワークシステムにおいてユーザ収容回線を認証する回線認証方法であって、
前記エッジ装置が、ユーザ端末からサービス制御機能部に送信されるパケットをエッジ装置とサービス制御機能部との間に形成されたコア網内のパスに転送する際に、該パケットのヘッダフィールドであって、サービス制御機能部におけるサービス制御機能への影響が無く且つ少なくともユーザ端末が収容されたユーザ収容回線毎にユニークな回線認証IDを付与するのに十分な量のビット数を持つヘッダフィールドに、該回線認証IDを埋め込むステップと、
前記サービス制御機能部が、エッジ装置により転送されたユーザ端末からのパケットのヘッダに含まれる回線認証IDを用いて回線認証処理を行うステップとを含む
ことを特徴とする回線認証方法。 A core network, a user accommodating line for accommodating a user terminal in the core network, an edge device disposed at an edge of the core network and terminating the user accommodating line, and a service control function unit for controlling service provision to the user terminal And the user terminal and the service control function unit authenticate the user accommodation line in a network system configured to belong to the same broadcast domain,
When the edge device transfers a packet transmitted from the user terminal to the service control function unit to a path in the core network formed between the edge device and the service control function unit, the edge device is a header field of the packet. In the header field having a sufficient number of bits to give a unique line authentication ID for each user accommodation line that has no influence on the service control function in the service control function unit and at least the user terminal is accommodated, Embedding the line authentication ID;
The service control function unit includes a step of performing line authentication processing using a line authentication ID included in a header of a packet from a user terminal transferred by an edge device. 前記回線認証IDの埋込ステップでは、埋込先のヘッダフィールドの値をエッジ装置の記憶手段に記憶し、更に、
前記エッジ装置が、ユーザ端末からサービス制御機能部に送信したパケットに対するサービス制御機能部からの応答パケットをユーザ端末に転送する際に、前記記憶手段に記憶した値を用いて該応答パケットのヘッダを書き換えるステップを含む
ことを特徴とする請求項1記載の回線認証方法。 In the step of embedding the line authentication ID, the value of the header field of the embedding destination is stored in the storage means of the edge device, and
When the edge device transfers a response packet from the service control function unit to the user terminal in response to a packet transmitted from the user terminal to the service control function unit, the header of the response packet is used using the value stored in the storage means. The line authentication method according to claim 1, further comprising a step of rewriting. 前記回線認証IDの埋込ステップでは、送信元アドレス情報を格納するヘッダフィールドに回線認証IDを埋め込む
ことを特徴とする請求項1又は2記載の回線認証方法。 The line authentication method according to claim 1 or 2, wherein in the step of embedding the line authentication ID, a line authentication ID is embedded in a header field for storing source address information. コア網と、ユーザ端末をコア網に収容するためのユーザ収容回線と、コア網のエッジに配置され前記ユーザ収容回線を終端するエッジ装置と、ユーザ端末へのサービス提供を制御するサービス制御機能部とを有するとともに、ユーザ端末とサービス制御機能部は同一のブロードキャストドメインに属するよう構成されたネットワークシステムにおいてユーザ収容回線を認証する回線認証システムであって、
前記エッジ装置は、ユーザ端末からサービス制御機能部に送信されるパケットをエッジ装置とサービス制御機能部との間に形成されたコア網内のパスに転送する際に、該パケットのヘッダフィールドであって、サービス制御機能部におけるサービス制御機能への影響が無く且つ少なくともユーザ端末が収容されたユーザ収容回線毎にユニークな回線認証IDを付与するのに十分な量のビット数を持つヘッダフィールドに、該回線認証IDを埋め込む手段を備え、
前記サービス制御機能部は、エッジ装置により転送されたユーザ端末からのパケットのヘッダに含まれる回線認証IDを用いて回線認証処理を行う手段を備えた
ことを特徴とする回線認証システム。 A core network, a user accommodating line for accommodating a user terminal in the core network, an edge device disposed at an edge of the core network and terminating the user accommodating line, and a service control function unit for controlling service provision to the user terminal And the user terminal and the service control function unit authenticate the user accommodation line in a network system configured to belong to the same broadcast domain,
The edge device is a header field of the packet when the packet transmitted from the user terminal to the service control function unit is transferred to the path in the core network formed between the edge device and the service control function unit. In the header field having a sufficient number of bits to give a unique line authentication ID for each user accommodation line that has no influence on the service control function in the service control function unit and at least the user terminal is accommodated, Means for embedding the line authentication ID;
The service control function unit includes means for performing line authentication processing using a line authentication ID included in a header of a packet from a user terminal transferred by an edge device.
JP2013230233A 2013-11-06 2013-11-06 Line authentication method and system Active JP6061304B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2013230233A JP6061304B2 (en) 2013-11-06 2013-11-06 Line authentication method and system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2013230233A JP6061304B2 (en) 2013-11-06 2013-11-06 Line authentication method and system

Publications (2)

Publication Number Publication Date
JP2015091028A JP2015091028A (en) 2015-05-11
JP6061304B2 true JP6061304B2 (en) 2017-01-18

Family

ID=53194377

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2013230233A Active JP6061304B2 (en) 2013-11-06 2013-11-06 Line authentication method and system

Country Status (1)

Country Link
JP (1) JP6061304B2 (en)

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3791217B2 (en) * 1998-12-01 2006-06-28 日本電信電話株式会社 PPP communication system
JP4298930B2 (en) * 2001-02-19 2009-07-22 株式会社日立コミュニケーションテクノロジー PPP frame multiplexer
AU2003294304B2 (en) * 2002-11-18 2010-04-15 Liquidware Labs, Inc. Systems and apparatuses using identification data in network communication
JP5535254B2 (en) * 2012-02-20 2014-07-02 株式会社日立システムズ Network system, terminal identification method, and program

Also Published As

Publication number Publication date
JP2015091028A (en) 2015-05-11

Similar Documents

Publication Publication Date Title
US8953601B2 (en) Internet protocol version six (IPv6) addressing and packet filtering in broadband networks
US9407495B2 (en) Combining locally addressed devices and wide area network (WAN) addressed devices on a single network
JP4575439B2 (en) Method and apparatus for L3-aware switching in an Ethernet passive optical network
US9705706B2 (en) Multiple prefix connections with translated virtual local area network
JP5368459B2 (en) Support for triple operation services in user equipment
US8032639B2 (en) Apparatus and method for providing data session source device information
EP2347554B1 (en) A method and a gateway for providing multiple internet access
WO2012109917A1 (en) Message forwarding method, apparatus and system in network
US20170180439A1 (en) Methods and devices for responding to a streaming request, access node and method for operating the same
WO2015018069A1 (en) Method, device and system for acquiring service by network terminal
WO2018171396A1 (en) Data transmission method, device and system
WO2011107052A2 (en) Method and access node for preventing address conflict
US20110142048A1 (en) System and method for providing common carrier selection service in distribution network
CN102098278A (en) Subscriber access method and system as well as access server and device
WO2010111922A1 (en) Method and apparatus for obtaining address of video transmission management server
JP2009267987A (en) Station-side apparatus, pon system and home gateway device
JP6061304B2 (en) Line authentication method and system
CN113746736B (en) Method, device and communication system for sending and receiving message
WO2014107905A1 (en) Cluster and forwarding method
EP2804346B1 (en) Method and system for discovering dlna device automatically
WO2020078428A1 (en) Method and device enabling a user to access the internet, broadband remote access server, and storage medium
WO2012075768A1 (en) Method and system for monitoring locator/identifier separation network
US20230275867A1 (en) Differentiated network services using map-t translation technology
JP2006005443A (en) Communication control apparatus, frame transfer method thereof and program
Ahmed et al. Deploying IPv6 in broadband access networks

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20160129

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20161124

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20161207

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20161207

R150 Certificate of patent or registration of utility model

Ref document number: 6061304

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150