JP6061304B2 - Line authentication method and system - Google Patents
Line authentication method and system Download PDFInfo
- Publication number
- JP6061304B2 JP6061304B2 JP2013230233A JP2013230233A JP6061304B2 JP 6061304 B2 JP6061304 B2 JP 6061304B2 JP 2013230233 A JP2013230233 A JP 2013230233A JP 2013230233 A JP2013230233 A JP 2013230233A JP 6061304 B2 JP6061304 B2 JP 6061304B2
- Authority
- JP
- Japan
- Prior art keywords
- line
- control function
- service control
- user terminal
- packet
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Description
本発明は、固定網における回線認証方式に関する。より詳しくは、従来の固定網においてユーザ収容回線を終端するサービスエッジに配備されていたサービス制御機能を、ユーザ収容回線とは分離されたネットワーク上部へ集約した際に、従来と同等のユーザ収容回線情報に基づく認証を実現する技術に関する。 The present invention relates to a line authentication method in a fixed network. More specifically, when the service control function that is deployed at the service edge that terminates the user accommodation line in the conventional fixed network is aggregated on the upper part of the network separated from the user accommodation line, the user accommodation line equivalent to the conventional one is used. The present invention relates to a technology for realizing information-based authentication.
NGN(Next Generation Network)に代表される固定網において、IP(Internet Protocol)電話やISP(Internet Service Provider)接続等のサービス提供に際し、未契約ユーザの不正なサービス利用等を防止するために、正当な回線に対してのみサービスを提供するための回線認証を実施している。従来の回線認証は、サービス利用開始時にユーザ端末より発せられるDHCP(Dynamic Host Configuration Protocol)要求やPPPoE(Point-to-Point Protocol over Ethernet)接続要求等の認証が必要なパケットをサービスエッジの各サービス制御機能が受信した際に、ユーザ宅とサービスエッジとの間のユーザ収容回線のID(回線認証ID)をサービスエッジから網内制御サーバ(DHCPサーバや認証サーバ等)へ通知することで実施されている。 In a fixed network represented by NGN (Next Generation Network), when providing services such as IP (Internet Protocol) telephone and ISP (Internet Service Provider) connection, it is legal to prevent unauthorized use of services by unsigned users. Line authentication is performed to provide services only to secure lines. In conventional line authentication, packets that require authentication such as DHCP (Dynamic Host Configuration Protocol) requests and PPPoE (Point-to-Point Protocol over Ethernet) connection requests issued from user terminals at the start of service use This is implemented by notifying the ID (line authentication ID) of the user accommodation line between the user's home and the service edge from the service edge to the network control server (DHCP server, authentication server, etc.) when the control function is received. ing.
ここで、通常、サービスエッジの1つの物理ポートに複数のユーザ収容回線が収容されているため、ユーザ収容回線毎にユニークである必要のある回線認証IDには、物理的なポート番号だけでなく、パケットヘッダに付与されたユーザ収容回線毎のID(VLAN−ID等)が用いられている。以上の従来の回線認証を行うネットワークの概要を非特許文献1及び図5に示す。 Here, since a plurality of user accommodation lines are usually accommodated in one physical port of the service edge, the line authentication ID that needs to be unique for each user accommodation line is not limited to a physical port number. The ID (VLAN-ID or the like) for each user accommodation line assigned to the packet header is used. An outline of a network that performs the above-described conventional line authentication is shown in Non-Patent Document 1 and FIG.
図5に示すように、従来の回線認証システムでは、サービスエッジ900には、ユーザ端末101からのDHCP要求を制御サーバへ転送する機能(DHCPリレーエージェント機能)や、PPPoE接続要求に対して認証サーバへ要求元ユーザのISP接続サービス契約有無の問い合わせを行い、契約有の場合にユーザ端末とのPPPoEセッションを確立するBAS機能等の、サービス制御機能500が配備されている。
As shown in FIG. 5, in the conventional line authentication system, the service edge 900 includes a function for transferring a DHCP request from the
ところで非特許文献2に示すように、将来のキャリア網において、サービス制御機能をサービスエッジから分離し、ネットワーク上部のクラウドへ集約するアーキテクチャ案が挙げられている。このアーキテクチャ案を図6に示す。ここで、本ネットワークアーキテクチャにおいては、ユーザ端末101からのブロードキャストパケット(DHCP要求パケット等)をサービス制御機能500が受信可能である必要があるため、ユーザ端末101と各サービス制御機能500は同一のブロードキャストドメインにある。このため、ルータ等を経由することによる送信元MAC(Media Access Control)アドレスの書き換えがコア網400内で発生しない点に留意されたい。
By the way, as shown in Non-Patent Document 2, there is an architecture proposal in which a service control function is separated from a service edge in a future carrier network and concentrated in a cloud above the network. This architecture proposal is shown in FIG. Here, in the present network architecture, since the
ネットワーク上部に集約されたサービス制御機能500には、図5に示すサービスエッジ900に配備されていた場合と比べ多くのユーザが接続されることとなる。これにより、サービス制御機能500において従来と同等の回線認証を実施するためには、ユーザが収容されている回線を一意に特定するために、回線認証IDとしてより多くの情報量をパケットに追加することが必要となる。すなわち、将来のキャリア網アーキテクチャ案においては、回線認証のために、パケットのヘッダに対し従来に比べ多くのパスIDを付与することとなる。例えば、図6に示す通り、従来のユーザ収容回線200を、コア網内のパス410(MPLS(Multi Protocol Label Switching)パス等)にカプセリングし、VLAN(Virtual Local Area Network)−IDで示される従来のユーザ収容回線200のパスと前記コア網内のパス410という2つのパスのIDを元に回線認証を行うこととなる。
More service users are connected to the
上述のように、将来のキャリア網アーキテクチャ案において、前述の通りパケットのヘッダに対し、回線認証IDとして従来のキャリア網と比べ多くのパスIDを付与する必要がある。しかしパケットの他のヘッダ内容を維持したまま単に回線認証IDをヘッダに「追加」する処理を行うと、当該パケットのペイロードが減少し、スループット低下に伴うユーザのサービスの体感品質(QoE(Quality of Experience))が劣化する要因となることが考えられる。また、サービス制御機能500にて多くのパスを終端する必要があるため、複数のパス終端のための処理によりサービス制御機能500の性能劣化要因となることが考えられる。
As described above, in the future carrier network architecture plan, as described above, it is necessary to give more path IDs as line authentication IDs to the packet header than in the conventional carrier network. However, if the process of simply “adding” the line authentication ID to the header while maintaining the other header contents of the packet is performed, the payload of the packet decreases, and the quality of service (QoE (Quality of Quality of Service) of the user accompanying the decrease in throughput is reduced. Experience)) may be a factor of deterioration. In addition, since it is necessary to terminate many paths in the
本発明は、上記事情に鑑みてなされたものであり、その目的とするところは、サービス制御機能を集約した際にユーザ収容回線を特定するために多くのパスIDをパケットに付与することによる、パケットのペイロード減少に伴うQoEの低下、及び、サービス制御機能にて多くのパスを終端することに伴うサービス制御機能の性能劣化を抑止することができる回線認証方法及びシステムを提供することにある。 The present invention has been made in view of the above circumstances, and the object of the present invention is to assign a lot of path IDs to a packet in order to identify a user accommodation line when collecting service control functions. It is an object of the present invention to provide a line authentication method and system capable of suppressing a decrease in QoE due to a decrease in packet payload and a performance deterioration in the service control function due to termination of many paths by the service control function.
上記目的を達成するために、本願発明は、コア網と、ユーザ端末をコア網に収容するためのユーザ収容回線と、コア網のエッジに配置され前記ユーザ収容回線を終端するエッジ装置と、ユーザ端末へのサービス提供を制御するサービス制御機能部とを有するとともに、ユーザ端末とサービス制御機能部は同一のブロードキャストドメインに属するよう構成されたネットワークシステムにおいてユーザ収容回線を認証する回線認証方法であって、前記エッジ装置が、ユーザ端末からサービス制御機能部に送信されるパケットをエッジ装置とサービス制御機能部との間に形成されたコア網内のパスに転送する際に、該パケットのヘッダフィールドであって、サービス制御機能部におけるサービス制御機能への影響が無く且つ少なくともユーザ端末が収容されたユーザ収容回線毎にユニークな回線認証IDを付与するのに十分な量のビット数を持つヘッダフィールドに、該回線認証IDを埋め込むステップと、前記サービス制御機能部が、エッジ装置により転送されたユーザ端末からのパケットのヘッダに含まれる回線認証IDを用いて回線認証処理を行うステップとを含むことを特徴とする。 In order to achieve the above object, the present invention provides a core network, a user accommodation line for accommodating a user terminal in the core network, an edge device arranged at an edge of the core network and terminating the user accommodation line, and a user A line authentication method for authenticating a user accommodation line in a network system configured to have a service control function unit for controlling service provision to a terminal, and wherein the user terminal and the service control function unit are configured to belong to the same broadcast domain. When the edge device transfers the packet transmitted from the user terminal to the service control function unit to the path in the core network formed between the edge device and the service control function unit, the edge field of the packet There is no influence on the service control function in the service control function unit and at least the user terminal A step of embedding the line authentication ID in a header field having a sufficient number of bits to give a unique line authentication ID to each accommodated user accommodated line; And performing a line authentication process using a line authentication ID included in a header of a packet from the user terminal.
本発明によれば、パケットヘッダであって元々他の用途のために用意されていたヘッダフィールドに回線認証IDを埋め込むので、回線認証IDの情報量が多くなった場合であってもパケットのペイロード領域を減少させることがない。したがってペイロード減少に伴うQoEの低下を抑止できる。また本発明では、ユーザ収容回線はエッジ端末で終端されているので、サービス制御機能にて多くのパスを終端することに伴うサービス制御機能の性能劣化を抑止することができる。 According to the present invention, since the line authentication ID is embedded in the header field that is a packet header and originally prepared for other uses, the payload of the packet is obtained even when the amount of information of the line authentication ID increases. Does not reduce the area. Therefore, it is possible to suppress a decrease in QoE accompanying a decrease in payload. In the present invention, since the user accommodation line is terminated at the edge terminal, it is possible to suppress performance degradation of the service control function that accompanies termination of many paths by the service control function.
本発明の好適な態様の一例としては、前記回線認証IDの埋込ステップでは、埋込先のヘッダフィールドの値をエッジ装置の記憶手段に記憶し、更に、前記エッジ装置が、ユーザ端末からサービス制御機能部に送信したパケットに対するサービス制御機能部からの応答パケットをユーザ端末に転送する際に、前記記憶手段に記憶した値を用いて該応答パケットのヘッダを書き換えるステップを含むことを特徴とするものが挙げられる。 As an example of a preferred aspect of the present invention, in the step of embedding the line authentication ID, the value of the header field of the embedding destination is stored in the storage device of the edge device, and the edge device further receives a service from the user terminal. A step of rewriting a header of the response packet using a value stored in the storage means when a response packet from the service control function unit to the packet transmitted to the control function unit is transferred to the user terminal. Things.
また本発明の好適な態様の一例としては、前記回線認証IDの埋込ステップでは、送信元アドレス情報を格納するヘッダフィールドに回線認証IDを埋め込むことを特徴とするものが挙げられる。 As an example of a preferred aspect of the present invention, the line authentication ID is embedded in the header field storing the source address information in the step of embedding the line authentication ID.
本発明によれば、サービス制御機能を集約した際にユーザ収容回線を特定するために多くのパスIDをパケットに付与することによる、パケットのペイロード減少に伴うQoEの低下、及び、サービス制御機能にて多くのパスを終端することに伴うサービス制御機能の性能劣化を抑止することができる。 According to the present invention, when a service control function is aggregated, a large number of path IDs are assigned to a packet in order to identify a user accommodation line, thereby reducing QoE associated with a decrease in packet payload and a service control function. Therefore, it is possible to suppress the performance deterioration of the service control function due to terminating many paths.
本発明の一実施の形態に係る回線認証方法及びシステムについて図1を参照して説明する。図1は本発明の回線認証を実現するネットワーク構成図である。本実施の形態にかかるネットワークシステムが、図6を参照して説明した将来のキャリア網アーキテクチャ案と大きく異なる点の1つは、ユーザ収容回線がエッジ装置にて終端されていること、及び、エッジ装置に回線認証ID付与機能を配備している点にある。 A line authentication method and system according to an embodiment of the present invention will be described with reference to FIG. FIG. 1 is a network configuration diagram for realizing line authentication according to the present invention. One of the major differences between the network system according to the present embodiment and the future carrier network architecture proposal described with reference to FIG. 6 is that the user accommodation line is terminated by an edge device, and the edge The device is provided with a line authentication ID assigning function.
図1に示すように、ユーザ宅100にはユーザ収容回線200を終端するユーザ端末101が配備されている。ユーザ端末101としては、ユーザ収容回線200の終端機能を有して単体で利用されるコンピュータやネットワーク機器であってもいいし、ホームゲートウェイ(HGW:Home Gateway)と呼ばれる加入者宅内装置のように配下にLAN(Local Area Network)を形成し、該LANにユーザ利用端末や各種ネットワーク機器を接続するようなものであってもよい。
As shown in FIG. 1, a
ユーザ収容回線200は、物理的にはFTTH(Fiber To The Home)の光ファイバ、CATV(Cable Television)のケーブルなどの固定回線に収容されており、1つの物理回線には複数のユーザ収容回線200が物理的及び論理的(仮想的)に多重化して収容されてアクセス網250を形成している。ここで、ユーザ収容回線200は、ユーザ端末101とエッジ装置300との間に形成された論理パスを意味する。なお、論理パスの形成手法としては、例えばVLAN技術を利用したものなどが挙げられる。
The
エッジ装置300は、コア網400内においてユーザ端末101側のエッジに配備されておりユーザ収容回線200を終端し、ユーザ端末101をコア網400に収容する。エッジ装置300は、ユーザ端末101から送信される上りパケットを、パケットヘッダ情報等に応じてサービス制御機能500宛のコア網400内の論理パス410に転送する機能を持つ。また、サービス制御機能500から送信される下りパケットを、上り同様にパケットヘッダの送信先情報を元にユーザ収容回線200に転送する機能を持つ。すなわちエッジ装置300は、パケットの振り分け機能を有する。また、エッジ装置300は、前記パケット転送の際に当該パケットのヘッダに回線認証IDを埋め込む回線認証ID付与機能350を有する。回線認証ID付与機能350については後述する。
The
コア網400は、エッジ装置300やコアルータ(図示省略)或いはスイッチなどのネットワーク機器により構成されている。本実施の形態では、コア網400内の機器間の通信に係るパケットは、MPLS(Multi Protocol Label Switching)等によりカプセリングされて転送される。すなわち、コア網400内には通信送信元・送信先に応じた論理パス410が形成されている。
The core network 400 includes network devices such as an
コア網400には、ユーザ端末101に対して回線認証処理を含むサービスの提供を制御するサービス制御機能500が配備されている。サービス制御機能500の一例としては、ユーザ端末101から発せられるDHCP要求を制御するDHCPリレーエージェントや、ユーザ端末101のPPPoE接続要求を制御するBAS(Broadband Access Server)が挙げられる。サービス制御機能500については後述する。なお、図1においては、ユーザ端末101とサービス制御機能500との間のDHCPに係る通信を実線矢印にて示し、同PPPoEに係る通信を点線矢印にて示している。
The core network 400 is provided with a
ここで、本発明におけるネットワークシステムは、ユーザ端末101とサービス制御機能500は同一ブロードキャストドメインにあることに留意されたい。換言すれば、本発明におけるネットワークシステムは、コア網400内でルータ等を経由することによる送信元MACアドレスの書き換えがコア網400内で発生せず、上りパケットの送信元MACアドレスに回線認証IDを付与した場合においても、サービス制御機能500がその回線認証IDを取得することが可能であることを前提としている点に留意されたい。
Here, it should be noted that in the network system according to the present invention, the
次にエッジ装置300の回線認証ID付与機能350について詳述する。回線認証ID付与機能350では、上りパケットにおけるパケットに通常付与されているヘッダのうち、ヘッダ書き換えによるサービス制御機能500への影響が無く、かつネットワーク上部で集約した際にユーザ収容回線200毎にユニークなIDを付与するのに十分な量のビット数を持つヘッダフィールドに、回線認証IDを埋め込む。ここで、回線認証IDに変換されるヘッダフィールドとしては前述の条件を満たすものとして、ユーザ端末101が自由に付与することが可能であることからキャリア網内のサービス制御機能500においては通常利用されることが無く、48bitと比較的大きなビット幅を持つ送信元MACアドレスや、MACアドレス等からユーザ端末にて自動生成される送信元IPv6アドレスの下位64bit部分(インタフェースID部分)等が適当である。一方、サービス制御機能500においてアドレス変換や特定のアドレスのみ通信を許可する制御を行う場合に影響のあるIPv4アドレスは、回線認証IDを付与するヘッダフィールドとしては適当ではない。
Next, the line authentication
また、回線認証ID付与機能350では、下りパケットに対し、回線認証IDが付与されたフィールドをユーザ端末101が付与した元のビット列に戻す。例えば、上りパケットの送信元MACアドレスに回線認証IDのビット列を埋め込んだ場合、下りパケットの送信先MACアドレスが回線認証IDの埋め込まれたビット列となる。このとき、パケットの送信先MACアドレスが自端末宛でない場合にユーザ端末が正しくパケットを受信しない可能性を避けるため、下りパケットの送信先MACアドレスを、上りパケットにおける回線認証IDへ変換前の送信元MACアドレスに戻す。これを行うため、回線認証ID付与機能350では、上りパケットの変換対象ヘッダの変換前後のヘッダ情報の対応表を所定の記憶手段に記憶しておく。
Further, the line authentication
ここで、回線認証ID付与機能350にて付与する回線認証IDは、1つのユーザ収容回線200内に複数の端末101が接続される可能性があり、前述の通り下りパケットに付与された回線認証IDを変換前の端末101毎に異なるビット列に戻す必要があることから、ユーザ収容回線200内の端末101毎にユニークとなるビット列とする。例えば、図2(a)に示す通り、ユーザ収容回線200のパスIDやエッジ装置300のインタフェイス番号等の従来の回線認証方式で利用されていた情報を、回線認証IDを付与するヘッダフィールドのビット幅に縮退させたビット列に、端末101毎に異なるビット列を加えたものとする方法がある。あるいは、図2(b)に示す通り、従来の回線認証方式とは全く異なるユーザ収容回線200毎に予め定められた従来の回線認証方式の情報とは全く異なるビット列に、端末101毎に異なるビット列を加えたものとする方法も挙げられる。
Here, the line authentication ID assigned by the line authentication
次に、サービス制御機能500について詳述する。各サービス制御機能500は、制御対象とするサービスに応じて必要となるDHCPリレーエージェント機能やBAS機能、マルチキャスト配信機能等を持つ。
Next, the
また、サービス制御機能500は、ユーザ端末101から送信された上りパケットにおいて、連携するサーバ501(DHCPサーバや認証サーバ)における回線認証が必要な場合に、上りパケットから取り出した回線認証IDを当該サーバ501へ送信する機能を持つ。ここで、連携するサーバに対して回線認証IDを送信する方法としては、各サービスにて利用するプロトコルに応じた方法を取るものとする。例えば、DHCPリレーエージェント機能を持つサービス制御機能500においては、ユーザ端末101からのDHCPパケットに対し、DHCPメッセージ内のオプションのAgent Circuit ID等に回線認証IDを付与したうえで、DHCPサーバへパケットを転送する。
Further, the
以上詳述したように本発明によれば、従来の固定網においてサービスエッジに配備されていたサービス制御機能500をネットワーク上部へ集約した場合に、回線認証のために必要なユーザ収容回線200毎のIDの情報を、パケットに通常付与されているヘッダのうち、ヘッダ情報の書き換えによりサービス制御機能500に影響が無く、かつ集約されたユーザ収容回線200毎にユニークなIDを付与するのに十分な量のビット数を持つ部分に埋め込む。これにより、従来の回線認証方式では、サービス制御機能500を集約した際にユーザ収容回線200を特定するために多くのパスIDをパケットに付与することによる、パケットのペイロード減少に伴うQoEの低下および、サービス制御機能500にて多くのパスを終端することに伴うサービス制御機能500の性能劣化を抑止することが可能となる。
As described above in detail, according to the present invention, when the
図1に示すネットワークにおいて、ユーザ端末101がDHCPによりIPアドレスを取得す場合と、ユーザ端末101とBAS機能間のPPPoEセッションを開始する場合を例とした、実施例の動作を示す。
In the network shown in FIG. 1, the operation of the embodiment will be described by taking as an example the case where the
[DHCPによりIPアドレスを取得する場合]
本実施例のシーケンスを図3に示す。まず、IPアドレスが未割当のユーザ端末101からDHCP要求パケットが配信される(ステップS101)。
[When obtaining an IP address by DHCP]
The sequence of this embodiment is shown in FIG. First, a DHCP request packet is distributed from the
エッジ装置300ではユーザ端末101から配信されたDHCP要求パケットを受信し、送信先IPアドレスがブロードキャストアドレスかつ送信先ポート番号がDHCPサーバ501のポート番号であること等に基づき、受信したパケットを、DHCPリレーエージェント機能を持つサービス制御機能500へ転送する(ステップS103)。このとき、エッジ装置300内の回線認証ID付与機能350は、当該パケットの送信元MACアドレスに回線認証IDを埋め込む(ステップS102)。
The
次に、DHCPリレーエージェント機能500は、受信したDHCPパケットに対し、DHCPメッセージ内のオプションのAgent Circuit ID等に、送信元MACアドレスに付与された回線認証IDを記載し(ステップS104)、当該パケットをDHCPサーバ501へ転送する(ステップS105)。
Next, the DHCP
DHCPサーバ501は、従来の回線認証方式と同様に、DHCPメッセージのオプション内に記載された回線認証IDと、自身が保持する回線認証IDとユーザ収容回線200の対応表を元に、ユーザ収容回線200を特定し、当該回線のサービス契約に応じたIPアドレスをDHCP応答パケットのメッセージ内に記載し(ステップS106)、該パケットをDHCPリレーエージェント機能500に対し送信する(ステップS107)。
Similar to the conventional line authentication method, the
DHCPリレーエージェント機能500は、一般的なDHCPリレーエージェント機能と同様に、受信したパケットの送信先MACアドレスを、前述の上りパケットにおける送信元MACアドレス(すなわち回線認証IDが付与されたビット列)に書き換え、上りパケットの送信元であるエッジ装置300にDHCP応答パケットを送信する(ステップS108)。
The DHCP
エッジ装置300は、受信したDHCP応答パケットの送信先MACアドレスを、上りパケットの書き換えの際に記録したユーザ端末101のMACアドレスに戻し(ステップS109)、送信元ユーザ端末101が収容されているユーザ収容回線200に当該パケットを送信する(ステップS110)。
The
ユーザ端末101は受信したDHCP応答パケットを元に、自端末101のIPアドレスを設定する(ステップS111)。
The
[ユーザ端末とBAS機能間のPPPoEセッションを開始する場合]
本実施例のシーケンスを図4に示す。まず、ユーザ端末101からPPPoEセッション確立要求パケットが配信されたとする(ステップS201)。
[When starting a PPPoE session between the user terminal and the BAS function]
The sequence of the present embodiment is shown in FIG. First, it is assumed that a PPPoE session establishment request packet is distributed from the user terminal 101 (step S201).
エッジ装置300ではユーザ端末101から配信されたPPPoEセッション確立要求パケットを受信し、イーサネットタイプ番号がPPPoEの番号であること等に基づき、受信したパケットを、BAS機能を持つサービス制御機能500へ転送する(ステップS203)。このとき、エッジ装置300内の回線認証ID付与機能350は、当該パケットの送信元MACアドレスに回線認証IDを付与する(ステップS202)。
The
BAS機能500は、PPPoEセッション確立要求パケットの受信を契機に、認証サーバ501(RADIUSサーバ等)に認証要求メッセージ(RADIUS Access−Request等)を送信する(ステップS205)。このとき、認証要求メッセージ中に送信元MACアドレスに付与された回線認証IDを記載する(ステップS204)。 The BAS function 500 transmits an authentication request message (such as RADIUS Access-Request) to the authentication server 501 (such as a RADIUS server) upon reception of the PPPoE session establishment request packet (step S205). At this time, the line authentication ID assigned to the source MAC address is described in the authentication request message (step S204).
認証サーバ501は、従来の回線認証時と同様に、認証要求メッセージ内に記載された回線認証IDと、自身が保持する回線認証IDとユーザ収容回線200の対応表を元に、ユーザ収容回線200を特定し(ステップS205)、当該回線に対しPPPoEセッション確立が許可されている場合、認証許可メッセージ(RADIUS Access−Accept等)をBAS機能500に送信する(ステップS206)。
As in the conventional line authentication, the
BAS機能500は、一般的なBAS機能と同様に、PPPoEセッション確立応答パケットについて、送信先MACアドレスを、前述の上りパケットにおける送信元MACアドレス(すなわち回線認証IDが付与されたビット列)に書き換え(ステップS207)、上りパケットの送信元であるエッジ装置300に送信する(ステップS208)。
Similar to the general BAS function, the
エッジ装置300は、受信したPPPoEセッション確立応答パケットの送信先MACアドレスを、ユーザ端末101のMACアドレスに戻し(ステップS209)、送信元ユーザ端末101が収容されているユーザ収容回線200に当該パケットを送信する(ステップS210)。
The
ユーザ端末101は受信したPPPoEセッション確立応答パケットの受信を契機に、PPPoEセッションを開始する(ステップS211)。
The
以上本発明の実施の形態について詳述したが、本発明はこれに限定されるものではない。例えば、上記実施の形態では、回線認証IDをパケットの送信元MACアドレスや、MACアドレス等からユーザ端末101にて自動生成される送信元IPv6アドレスの下位64bit部分(インタフェースID部分)に付与していたが、サービス制御機能500への影響がなく且つ必要十分なビット量を持つのであれば他のヘッダフィールドであってもよい。
Although the embodiment of the present invention has been described in detail above, the present invention is not limited to this. For example, in the above embodiment, the line authentication ID is assigned to the lower 64 bit part (interface ID part) of the source IPv6 address automatically generated by the
また、上記実施の形態ではサービス制御機能の一例としてDHCP及びPPPoEについて例示したが、他のプロトコルであっても本発明を適用することができる。また、上記実施の形態では、VLAN及びMPLSを採用したネットワークについて説明したが、他の技術を適用したネットワークであっても本発明を適用できる。 In the above embodiment, DHCP and PPPoE are exemplified as an example of the service control function. However, the present invention can be applied to other protocols. In the above embodiment, a network employing VLAN and MPLS has been described. However, the present invention can also be applied to a network to which another technology is applied.
101…ユーザ端末、200…ユーザ収容回線、300…エッジ装置、350…回線認証ID付与機能、400…コア網、410…論理パス、500…サービス制御機能。
DESCRIPTION OF
Claims (4)
前記エッジ装置が、ユーザ端末からサービス制御機能部に送信されるパケットをエッジ装置とサービス制御機能部との間に形成されたコア網内のパスに転送する際に、該パケットのヘッダフィールドであって、サービス制御機能部におけるサービス制御機能への影響が無く且つ少なくともユーザ端末が収容されたユーザ収容回線毎にユニークな回線認証IDを付与するのに十分な量のビット数を持つヘッダフィールドに、該回線認証IDを埋め込むステップと、
前記サービス制御機能部が、エッジ装置により転送されたユーザ端末からのパケットのヘッダに含まれる回線認証IDを用いて回線認証処理を行うステップとを含む
ことを特徴とする回線認証方法。 A core network, a user accommodating line for accommodating a user terminal in the core network, an edge device disposed at an edge of the core network and terminating the user accommodating line, and a service control function unit for controlling service provision to the user terminal And the user terminal and the service control function unit authenticate the user accommodation line in a network system configured to belong to the same broadcast domain,
When the edge device transfers a packet transmitted from the user terminal to the service control function unit to a path in the core network formed between the edge device and the service control function unit, the edge device is a header field of the packet. In the header field having a sufficient number of bits to give a unique line authentication ID for each user accommodation line that has no influence on the service control function in the service control function unit and at least the user terminal is accommodated, Embedding the line authentication ID;
The service control function unit includes a step of performing line authentication processing using a line authentication ID included in a header of a packet from a user terminal transferred by an edge device.
前記エッジ装置が、ユーザ端末からサービス制御機能部に送信したパケットに対するサービス制御機能部からの応答パケットをユーザ端末に転送する際に、前記記憶手段に記憶した値を用いて該応答パケットのヘッダを書き換えるステップを含む
ことを特徴とする請求項1記載の回線認証方法。 In the step of embedding the line authentication ID, the value of the header field of the embedding destination is stored in the storage means of the edge device, and
When the edge device transfers a response packet from the service control function unit to the user terminal in response to a packet transmitted from the user terminal to the service control function unit, the header of the response packet is used using the value stored in the storage means. The line authentication method according to claim 1, further comprising a step of rewriting.
ことを特徴とする請求項1又は2記載の回線認証方法。 The line authentication method according to claim 1 or 2, wherein in the step of embedding the line authentication ID, a line authentication ID is embedded in a header field for storing source address information.
前記エッジ装置は、ユーザ端末からサービス制御機能部に送信されるパケットをエッジ装置とサービス制御機能部との間に形成されたコア網内のパスに転送する際に、該パケットのヘッダフィールドであって、サービス制御機能部におけるサービス制御機能への影響が無く且つ少なくともユーザ端末が収容されたユーザ収容回線毎にユニークな回線認証IDを付与するのに十分な量のビット数を持つヘッダフィールドに、該回線認証IDを埋め込む手段を備え、
前記サービス制御機能部は、エッジ装置により転送されたユーザ端末からのパケットのヘッダに含まれる回線認証IDを用いて回線認証処理を行う手段を備えた
ことを特徴とする回線認証システム。 A core network, a user accommodating line for accommodating a user terminal in the core network, an edge device disposed at an edge of the core network and terminating the user accommodating line, and a service control function unit for controlling service provision to the user terminal And the user terminal and the service control function unit authenticate the user accommodation line in a network system configured to belong to the same broadcast domain,
The edge device is a header field of the packet when the packet transmitted from the user terminal to the service control function unit is transferred to the path in the core network formed between the edge device and the service control function unit. In the header field having a sufficient number of bits to give a unique line authentication ID for each user accommodation line that has no influence on the service control function in the service control function unit and at least the user terminal is accommodated, Means for embedding the line authentication ID;
The service control function unit includes means for performing line authentication processing using a line authentication ID included in a header of a packet from a user terminal transferred by an edge device.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2013230233A JP6061304B2 (en) | 2013-11-06 | 2013-11-06 | Line authentication method and system |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2013230233A JP6061304B2 (en) | 2013-11-06 | 2013-11-06 | Line authentication method and system |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2015091028A JP2015091028A (en) | 2015-05-11 |
JP6061304B2 true JP6061304B2 (en) | 2017-01-18 |
Family
ID=53194377
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2013230233A Active JP6061304B2 (en) | 2013-11-06 | 2013-11-06 | Line authentication method and system |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6061304B2 (en) |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP3791217B2 (en) * | 1998-12-01 | 2006-06-28 | 日本電信電話株式会社 | PPP communication system |
JP4298930B2 (en) * | 2001-02-19 | 2009-07-22 | 株式会社日立コミュニケーションテクノロジー | PPP frame multiplexer |
AU2003294304B2 (en) * | 2002-11-18 | 2010-04-15 | Liquidware Labs, Inc. | Systems and apparatuses using identification data in network communication |
JP5535254B2 (en) * | 2012-02-20 | 2014-07-02 | 株式会社日立システムズ | Network system, terminal identification method, and program |
-
2013
- 2013-11-06 JP JP2013230233A patent/JP6061304B2/en active Active
Also Published As
Publication number | Publication date |
---|---|
JP2015091028A (en) | 2015-05-11 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US8953601B2 (en) | Internet protocol version six (IPv6) addressing and packet filtering in broadband networks | |
US9407495B2 (en) | Combining locally addressed devices and wide area network (WAN) addressed devices on a single network | |
JP4575439B2 (en) | Method and apparatus for L3-aware switching in an Ethernet passive optical network | |
US9705706B2 (en) | Multiple prefix connections with translated virtual local area network | |
JP5368459B2 (en) | Support for triple operation services in user equipment | |
US8032639B2 (en) | Apparatus and method for providing data session source device information | |
EP2347554B1 (en) | A method and a gateway for providing multiple internet access | |
WO2012109917A1 (en) | Message forwarding method, apparatus and system in network | |
US20170180439A1 (en) | Methods and devices for responding to a streaming request, access node and method for operating the same | |
WO2015018069A1 (en) | Method, device and system for acquiring service by network terminal | |
WO2018171396A1 (en) | Data transmission method, device and system | |
WO2011107052A2 (en) | Method and access node for preventing address conflict | |
US20110142048A1 (en) | System and method for providing common carrier selection service in distribution network | |
CN102098278A (en) | Subscriber access method and system as well as access server and device | |
WO2010111922A1 (en) | Method and apparatus for obtaining address of video transmission management server | |
JP2009267987A (en) | Station-side apparatus, pon system and home gateway device | |
JP6061304B2 (en) | Line authentication method and system | |
CN113746736B (en) | Method, device and communication system for sending and receiving message | |
WO2014107905A1 (en) | Cluster and forwarding method | |
EP2804346B1 (en) | Method and system for discovering dlna device automatically | |
WO2020078428A1 (en) | Method and device enabling a user to access the internet, broadband remote access server, and storage medium | |
WO2012075768A1 (en) | Method and system for monitoring locator/identifier separation network | |
US20230275867A1 (en) | Differentiated network services using map-t translation technology | |
JP2006005443A (en) | Communication control apparatus, frame transfer method thereof and program | |
Ahmed et al. | Deploying IPv6 in broadband access networks |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20160129 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20161124 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20161207 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20161207 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6061304 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |