JP6535217B2 - Session management apparatus, session management method and program - Google Patents
Session management apparatus, session management method and program Download PDFInfo
- Publication number
- JP6535217B2 JP6535217B2 JP2015104369A JP2015104369A JP6535217B2 JP 6535217 B2 JP6535217 B2 JP 6535217B2 JP 2015104369 A JP2015104369 A JP 2015104369A JP 2015104369 A JP2015104369 A JP 2015104369A JP 6535217 B2 JP6535217 B2 JP 6535217B2
- Authority
- JP
- Japan
- Prior art keywords
- session
- authentication
- session management
- access
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Description
本発明は、セッション管理装置、セッション管理方法及びプログラムに関する。 The present invention relates to a session management device, a session management method, and a program.
所定のサービスにアクセスする端末が正規のユーザの端末であるかを確認するための認証処理に用いられるプロトコルとして、Radiusプロトコルが知られている。Radiusプロトコルは、ユーザの認証を行う機能に加え、認証されたユーザの端末にIPアドレスを払い出す機能、認証されたユーザの端末が行う一連の通信に関するセッション情報を管理する機能などを有している(例えば、非特許文献1及び非特許文献2参照)。
The Radius protocol is known as a protocol used in an authentication process to confirm whether a terminal accessing a predetermined service is a terminal of a legitimate user. In addition to the function of authenticating the user, the Radius protocol has a function of issuing an IP address to the terminal of the authenticated user, and a function of managing session information on a series of communications performed by the terminal of the authenticated user. (See, for example, Non-Patent
端末が行う通信のセッション情報を外部装置と連携させる(外部装置に流通させる)ことで、外部装置において、セッション情報を新たなサービス及び機能を提供する際の基礎データとして活用することが可能になると考えられる。 If the session information of the communication performed by the terminal is linked with the external device (distributed to the external device), the external device can use the session information as basic data when providing a new service and function. Conceivable.
例えば、端末が行う通信のセッション情報をネットワークの帯域制御装置と連携させることで、ユーザの契約等に基づいた帯域制御機能が実現できると考えられる。また、例えば、端末が行う通信のセッション情報をプリペイド課金装置と連携させることで、ユーザに対してプリペイド課金機能を提供することができると考えられる。また、IPSec(Security Architecture for Internet Protocol)などのVPN(Virtual Private Network)を利用した通信に対する課金や、ホットスポットなどのWiFi(登録商標)サービスを提供する際の基礎データとして活用することも考えられる。 For example, it is considered that the band control function based on the contract of the user can be realized by linking the session information of the communication performed by the terminal with the band control device of the network. Further, for example, it is considered that the prepaid charging function can be provided to the user by linking the session information of the communication performed by the terminal with the prepaid charging apparatus. In addition, it may be possible to use it as charging for communication using VPN (Virtual Private Network) such as IPSec (Security Architecture for Internet Protocol), or as basic data when providing WiFi (registered trademark) service such as hotspot. .
ここで、端末が行う通信のセッション情報(ユーザ名、端末のIPアドレス等)を収集する方法として、Radiusサーバ又はRadiusプロキシサーバそのものをカスタマイズすることで、これらのサーバからセッション情報を外部システムに出力可能にする方法が考えられる。しかしながら、Radiusサーバ又はRadiusプロキシサーバは、認証機能という極めて重要な役割を担っているため、搭載されているソフトウェア自体をカスタマイズすることはリスクが高いという問題がある。また、Radiusサーバ又はRadiusプロキシサーバは、そもそもカスタマイズが困難なアプライアンス製品であることも多い。 Here, as a method of collecting session information (user name, IP address of the terminal, etc.) of communication performed by the terminal, session information is output from these servers to the external system by customizing the Radius server or the Radius proxy server itself. Possible ways to make it possible. However, since the Radius server or the Radius proxy server plays an extremely important role of an authentication function, there is a problem that customizing the installed software itself has a high risk. Also, Radius server or Radius proxy server is often an appliance product that is difficult to customize in the first place.
別の方法として、端末が行う通信のセッション情報を収集するために、端末とRadiusサーバとの間におけるネットワーク経路上に、セッション情報を取得するための専用の装置を設置することが考えられる。しかしながら、ネットワーク経路上に新たな装置を導入する場合、導入の際にネットワークの切断を伴うことになるという問題、及びネットワーク経路上の故障個所が増えてしまうという問題がある。また、ネットワーク経路上にRadiusプロキシサーバが設置されている場合、RadiusプロキシサーバにてRadiusパケットに含まれるユーザ名が変更されることがある。そのため、ネットワーク上に新たな装置を導入したとしても、新たな装置の設置場所によっては収集できるセッション情報が限定されてしまうという問題がある。 As another method, in order to collect session information of communication performed by the terminal, it is conceivable to set up a dedicated device for acquiring session information on the network path between the terminal and the Radius server. However, when a new device is introduced onto the network path, there is a problem that the network will be disconnected at the time of introduction and a problem that the number of failure points on the network path will increase. Also, if the Radius proxy server is installed on the network route, the user name included in the Radius packet may be changed in the Radius proxy server. Therefore, even if a new device is introduced on the network, there is a problem that the session information that can be collected is limited depending on the installation location of the new device.
更に別の方法として、Radiusサーバ又はRadiusプロキシサーバのログからセッション情報を収集することが考えられる。しかしながら、ログからセッション情報をリアルタイムに収集することは困難であるため、リアルタイム性が高いサービス及び機能を提供する際の基礎データには適さないという問題がある。 Yet another alternative is to collect session information from the Radius server or Radius proxy server logs. However, since it is difficult to collect session information in real time from a log, there is a problem that it is not suitable as basic data when providing services and functions with high real-time capability.
開示の技術は上記に鑑みてなされたものであって、端末が行う通信のセッション情報を認証信号から収集し、迅速に外部装置に提供することが可能な技術を提供することを目的とする。 The disclosed technology has been made in view of the above, and its object is to provide a technology capable of collecting session information of communication performed by a terminal from an authentication signal and rapidly providing it to an external device.
開示の技術のセッション管理装置は、端末の認証及びセッション管理を行う認証サーバと、前記端末及び前記認証サーバの間に接続されるアクセスサーバとの間で送受信される複数種別の認証信号をキャプチャすることで、前記端末が行う通信のセッションを管理するセッション管理装置であって、前記複数種別の認証信号をキャプチャするキャプチャ手段と、キャプチャされた前記複数種別の認証信号を用いて、前記セッションを一意に特定するセッション情報を取得して管理するセッション管理手段と、前記セッション情報を所定の装置に送信する送信手段と、を有し、前記キャプチャ手段は、前記アクセスサーバと前記認証サーバの間に接続される認証プロキシサーバの前後で前記複数種別の認証信号のうち所定の認証信号をキャプチャし、前記セッション管理手段は、前記認証プロキシサーバの前でキャプチャされた所定の認証信号と、前記認証プロキシサーバの後でキャプチャされた所定の認証信号とを用いて、前記セッション情報を取得する。 A session management apparatus according to the disclosed technology captures multiple types of authentication signals transmitted and received between an authentication server that performs terminal authentication and session management, and an access server connected between the terminal and the authentication server. A session management apparatus for managing a session of communication performed by the terminal, wherein the session is uniquely identified using capture means for capturing the plurality of types of authentication signals and the plurality of types of captured authentication signals. a session management means for acquiring and managing session information for identifying a transmission unit for transmitting the session information to a predetermined device, the possess in the capturing means, connected between the authentication server and the access server A predetermined authentication signal is captured among the plurality of types of authentication signals before and after the authentication proxy server And, wherein the session management means, the authentication and predetermined authentication signal captured before the proxy server, using a predetermined authentication signal captured after the authentication proxy server, acquiring the session information.
開示の技術によれば、端末が行う通信のセッション情報を認証信号から収集し、迅速に外部装置に提供することが可能な技術が提供される。 According to the disclosed technology, there is provided a technology capable of collecting session information of communication performed by a terminal from an authentication signal and quickly providing it to an external device.
以下、図面を参照して実施の形態について説明する。各図面において、同一構成部分には同一符号を付し、重複した説明を省略する場合がある。なお、以下の説明において、セッション管理装置は、端末と認証サーバとの間で送受信されるRadiusパケットを収集して、端末が行う通信のセッション情報を管理する前提で説明するが、本実施の形態におけるセッション管理装置は、他の認証プロトコルに対しても適用することができる。 Hereinafter, embodiments will be described with reference to the drawings. In the drawings, the same components are denoted by the same reference numerals, and redundant description may be omitted. In the following description, the session management apparatus collects Radius packets transmitted / received between the terminal and the authentication server, and manages session information of communication performed by the terminal. The session management device in can also be applied to other authentication protocols.
<概要>
(ネットワーク構成)
図1は、実施の形態に係る通信ネットワークの全体構成の一例を示す図である。実施の形態に係る通信ネットワークは、端末1と、NAS(Network Access Server)2と、認証プロキシサーバ3と、認証サーバ4と、SW(Switch)5aと、SW5bと、セッション管理装置10と、外部装置11とを有する。
<Overview>
(Network configuration)
FIG. 1 is a diagram showing an example of the entire configuration of a communication network according to the embodiment. The communication network according to the embodiment includes a
端末1は、ユーザが所定のサービスの提供を受けるために用いる端末であり、例えば、PC(Personal Computer)、携帯端末、スマートフォン、タブレット、画像処理装置、プリンタ、スキャナ、プロジェクタ、デジタルサイネージ、又はゲーム機器などである。端末1は、通信を行う装置であればどのような装置であってもよい。所定のサービスとは、通信を用いたサービス全般を含み、例えば、PPPoE(Point to Point Protocol over Ethernet(登録商標))を用いたインターネット接続サービスなどである。端末1は、NAS2にアクセスすることで所定のサービスの提供を受けることができる。
The
NAS2は、端末1に所定のサービスを提供するシステムの入り口に設置されるサーバである。NAS2は、例えば、端末1からPPP(Point to Point Protocol)接続を受け付けるサーバである。NAS2は、端末1からのアクセスを受け付けると、認証サーバ4に対してRadiusパケットを送信することで認証処理を開始する。また、NAS2は、認証サーバ4から正しく認証されたことを示すRadiusパケットを受信すると、端末1に対して所定のサービスの提供を開始すると共に、端末1が行う通信のセッションが開始されたこと及びセッションが終了したことを示すRadiusパケットを認証サーバ4に送信する。
The NAS 2 is a server installed at the entrance of a system that provides a predetermined service to the
認証プロキシサーバ3は、例えば、Radius Proxyサーバであり、NAS2から認証サーバ4に送信されるRadiusパケットを中継するサーバである。また、認証プロキシサーバ3は、複数の認証サーバ4に接続され、Radiusパケットに含まれるユーザ名の一部であるドメイン名に基づいてRadiusパケットを適切な認証サーバ4に振り分ける役割を有する。なお、認証プロキシサーバ3は、Radiusパケットを認証サーバ4に送信する際、ユーザ名の一部であるドメイン名を削除して認証サーバ4に送信する場合がある。また、認証プロキシサーバ3は、NAS2から送信されるRadiusパケットが不正なパケットである場合に、当該Radiusパケットを破棄する。不正なパケットとは、例えば、攻撃パケット、適切な認証サーバが存在しないRadiusパケットである。
The
認証サーバ4は、例えば、Radiusサーバであり、Radiusパケットにより認証を行う機能を有する。また、認証サーバ4は、端末1が用いるIPアドレスを払い出す機能、及び、端末が行う通信のセッション情報を管理する機能などを有する。
The
SW5aは、NAS2と認証プロキシサーバ3との間のネットワーク経路上に設置されているスイッチである。SW5aは、例えば、レイヤ2スイッチ、レイヤ3スイッチ、又はルータ、仮想スイッチ等である。SW5aはミラーポートを有しており、NAS2と認証プロキシサーバ3との間のネットワーク経路上を流れるパケットをミラーポートからそのまま出力する機能を有する。
The SW 5 a is a switch installed on the network path between the
SW5bは、認証プロキシサーバ3と認証サーバ4との間のネットワーク経路上に設置されているスイッチである。SW5bは、例えば、レイヤ2スイッチ、レイヤ3スイッチ、又はルータ、仮想スイッチ等である。SW5bはミラーポートを有しており、認証プロキシサーバ3と認証サーバ4との間のネットワーク経路上を流れるパケットをミラーポートからそのまま出力する機能を有する。
The
セッション管理装置10は、SW5a及びSW5bのミラーポートに接続されており、NAS2と認証プロキシサーバ3との間のネットワーク経路上を流れるRadiusパケット、及び、認証プロキシサーバ3と認証サーバ4との間のネットワーク経路上を流れるRadiusパケットをキャプチャし、キャプチャしたRadiusパケットから端末1が行う通信のセッション情報を取得して管理する。また、セッション管理装置10は、取得したセッション情報を外部装置11に送信する機能を有する。
The
ここで、セッション管理装置10が管理するセッション情報とは、端末1が行う通信のセッションを一意に特定するための情報であり、例えば、端末1のユーザ名、端末1のIPアドレス、NAS2のIPアドレス等である。
Here, the session information managed by the
外部装置11は、セッション管理装置10と接続されており、セッション管理装置10から通知されたセッション情報を用いて任意のサービス及び機能を提供する装置である。本実施の形態において、外部装置11が提供する任意のサービス及び機能は特に限定されないが、例えば、帯域制御機能、プリペイド課金機能等があげられる。
The external device 11 is connected to the
(Radiusパケット)
図2は、実施の形態に係るセッション管理装置が収集するRadiusパケットを説明するための図である。
(Radius packet)
FIG. 2 is a diagram for explaining the Radius packet collected by the session management device according to the embodiment.
セッション管理装置10は、NAS2から認証サーバ4に送信されるAccess-Requestパケット、認証サーバ4からNAS2に送信されるAccess-Acceptパケット及びAccess-Rejectパケット、及びNAS2から認証サーバ4に送信されるAccounting-Requestパケットを収集する。
The
これらのRadiusパケットには、種別コードが割り振られている。種別コードは、Radiusパケットの種類を一意に識別するためのコードであり、RFC(Request For Comments)により規定されているコードである。Access-Requestパケット、Access-Acceptパケット、Access-Rejectパケット、及び、Accounting-Requestパケットの種別コードは、それぞれ、1、2、3及び4である。 A classification code is assigned to these Radius packets. The type code is a code for uniquely identifying the type of Radius packet, and is a code defined by RFC (Request For Comments). The type codes of the Access-Request packet, Access-Accept packet, Access-Reject packet, and Accounting-Request packet are 1, 2, 3 and 4, respectively.
Radiusパケットには、図2に示すように複数の属性(Attribute)が含まれている。図2において「○」が付与されている箇所は、各種Radiusパケットに含まれる(又は含まれる可能性のある)属性を示している。 The Radius packet includes a plurality of attributes as shown in FIG. The part to which "(circle)" is provided in FIG. 2 has shown the attribute contained (or possibility of being included) in various Radius packets.
「User-Name」には、端末1のユーザ名が設定される。端末1のユーザ名には、例えば、「User1@example.com」といったように、ユーザ名部分(User1)及びドメイン名(@example.com)が含まれている。「NAS-IP-Address」には、NAS2のIPアドレスが設定される。
The user name of the
「Framed-IP-Address」には、端末1に払い出されるIPアドレスが設定される。ここで、「Framed-IP-Address」に所定のIPアドレス(255.255.255.254)が設定されている場合、端末1に払い出されるIPアドレスを、認証サーバ4の代わりにNAS2が払い出すことを意味する。なお、以下の説明において、端末1に払い出されるIPアドレスを認証サーバ4の代わりにNAS2が払い出すことを、便宜上「動的IPアドレス払い出し」と呼ぶことがある。
In "Framed-IP-Address", an IP address to be paid out to the
「Framed-IP-Netmask」には、端末1に払い出されるIPアドレスのサブネットマスクが設定される。ここで、「Framed-IP-Netmask」に255.255.255.255(又は/32)以外のサブネットマスクが設定されている場合、端末1に対して、複数のIPアドレスが払い出される(使用が許可される)ことを意味する。例えば、「Framed-IP-Address」に192.168.2.0が設定され、かつ「Framed-IP-Netmask」に255.255.255.248(又は/29)が設定されている場合、端末1に対して、ネットワークアドレス(192.168.2.0)及びブロードキャストアドレス(192.168.2.7)を除いた192.168.2.1〜192.168.2.6までのIPアドレスが払い出されることを意味する。なお、以下の説明において、端末1に対して複数のIPアドレスが払い出されることを、便宜上「複数固定IPアドレス払い出し」と呼ぶことがある。
In "Framed-IP-Netmask", the subnet mask of the IP address delivered to the
「Framed-IP-Netmask」に255.255.255.255(又は/32)のサブネットマスクが設定されている場合、端末1には、「Framed-IP-Address」に設定される1つのIPアドレスが払い出されることを意味する。なお、以下の説明において、端末1に1つのIPアドレスが払い出されることを、便宜上「固定IPアドレス払い出し」と呼ぶことがある。
If the "Framed-IP-Netmask" subnet mask is set to 255.255.255.255 (or / 32), the
「Proxy-State」は、認証プロキシサーバ3を通過したAccess-Requestパケット及びその応答であるAccess-Acceptパケット又はAccess-Rejectパケットに設定される属性であり、認証プロキシサーバ3が付与する。Access-Requestパケット及びその応答であるAccess-Acceptパケット又はAccess-Rejectパケットに同一の値又は文字列が設定される。また、認証プロキシサーバ3は、Access-Acceptパケット又はAccess-RejectパケットをNAS2に転送する場合、自身が設定した「Proxy-State」属性を削除する。
“Proxy-State” is an attribute set in the Access-Request packet that has passed through the
「Acct-Status-Type」は、Accounting-Requestパケットが、セッションの開始(サービスの開始)を意味するのか、セッションの終了(サービスの終了)を意味するのかを示す属性である。「Acct-Status-Type」に1が設定されている場合、Accounting-Requestパケットはセッションの開始(サービスの開始)を意味し、「Acct-Status-Type」に2が設定されている場合、Accounting-Requestパケットはセッションの終了(サービスの終了)を意味する。なお、以下の説明において、「Acct-Status-Type」に1が設定されているAccounting-Requestパケットを「Accounting-Request(start)パケット」と呼び、「Acct-Status-Type」に2が設定されているAccounting-Requestパケットを「Accounting-Request(stop)パケット」と呼ぶことがある。 “Acct-Status-Type” is an attribute indicating whether the Accounting-Request packet means start of session (start of service) or end of session (end of service). If "Acct-Status-Type" is set to 1, then the Accounting-Request packet means start of session (start of service), and if "Acct-Status-Type" is set to 2, then Accounting -Request packet means end of session (end of service). In the following description, an Accounting-Request packet in which 1 is set in “Acct-Status-Type” is called “Accounting-Request (start) packet”, and 2 is set in “Acct-Status-Type”. The Accounting-Request packet being called may be called "Accounting-Request (stop) packet".
「Acct-Session-Id」は、Accounting-Request(start)パケットと、Accounting-Request(stop)パケットとを対応づけるために用いられるIDである。なお、「Acct-Session-Id」をAccess-Requestパケットに含めることもできる。 “Acct-Session-Id” is an ID used to associate an Accounting-Request (start) packet with an Accounting-Request (stop) packet. Note that "Acct-Session-Id" can be included in the Access-Request packet.
上記の各属性には、各属性を一意に識別するための属性番号が振られている。属性番号はRFCにより規定されている。「User-Name」、「NAS-IP-Address」、「Framed-IP-Address」、「Framed-IP-Netmask」、「Proxy-State」、「Acct-Status-Type」、及び「Acct-Session-Id」の属性番号は、それぞれ、1、4、8、9、33、40及び44である。 Each of the above attributes has an attribute number for uniquely identifying each attribute. Attribute numbers are defined by RFC. "User-Name", "NAS-IP-Address", "Framed-IP-Address", "Framed-IP-Netmask", "Proxy-State", "Acct-Status-Type", and "Acct-Session- The attribute numbers of “Id” are 1, 4, 8, 9, 33, 40 and 44, respectively.
(動作概要)
セッション管理装置10は、NAS2から認証サーバ4に送信されるAccess-Requestパケット、認証サーバ4からNAS2に送信されるAccess-Acceptパケット及びAccess-Rejectパケット、及びNAS2から認証サーバ4に送信されるAccounting-Requestパケットをキャプチャし、キャプチャしたパケットに含まれる各属性の設定値を順次キャッシュテーブルに格納する。
(Operation summary)
The
続いて、セッション管理装置10は、キャッシュテーブルを用いて端末1及び認証サーバ4の間におけるRadiusパケットの送受信状態を把握する。また、セッション管理装置10は、Radiusパケットの送受信状態及び属性の設定値が所定の条件を満たす場合に、端末1が行う通信のセッション情報を外部装置11に送信する。
Subsequently, the
<ハードウェア構成>
図3は、実施の形態に係るセッション管理装置のハードウェア構成の一例を示す図である。実施の形態に係るセッション管理装置10は、CPU101と、ROM102と、RAM103と、HDD104と、操作部105と、表示部106と、ドライブ装置107と、NIC(Network Interface card)108とを有する。
<Hardware configuration>
FIG. 3 is a diagram showing an example of the hardware configuration of the session management device according to the embodiment. The
CPU101は、セッション管理装置10の全体制御を行うプロセッサである。CPU101は、HDD104等に記憶されたオペレーティングシステム、アプリケーション、各種サービス等のプログラムを実行し、セッション管理装置10の各種機能を実現する。ROM102には、各種のプログラムやプログラムによって利用されるデータ等が記憶される。RAM103は、プログラムをロードするための記憶領域や、ロードされたプログラムのワーク領域等として用いられる。また、RAM103は、匿名化処理を行う際に用いるインメモリデータベースを保持する。HDD104には、各種情報及びプログラム等が記憶される。
The
操作部105は、ユーザからの入力操作を受け付けるためのハードウェアであり、例えばキーボード又はマウスである。表示部106は、利用者に向けた表示を行うハードウェアである。
The
ドライブ装置107は、プログラムを記録した記憶媒体109からプログラムを読み取る。ドライブ装置107によって読み取られたプログラムは、例えば、HDD104にインストールされる。NIC108は、セッション管理装置10をネットワークに接続し、データの送受信を行うための通信インタフェースである。
The
なお、記憶媒体109とは、非一時的(non-transitory)な記憶媒体を言う。記憶媒体109の例としては、磁気記憶媒体、光ディスク、光磁気記憶媒体、不揮発性メモリなどがある。
The
<ソフトウェア構成>
図4は、実施の形態に係るセッション管理装置のソフトウェア構成の一例を示す図である。セッション管理装置10は、キャプチャ部201と、セッション管理部202と、一時記憶部203と、記憶部204と、セッション情報通知部205と、信号送信部206とを有する。また、セッション管理部202は、アクセスリクエスト処理部211と、アクセス信号処理部212と、アカウンティング信号処理部213とを有する。
<Software configuration>
FIG. 4 is a diagram showing an example of the software configuration of the session management device according to the embodiment. The
これら各手段は、セッション管理装置10にインストールされた1以上のプログラムが、CPU101に実行させる処理により実現され得る。また、セッション管理装置10は、一時記憶部203を利用する。一時記憶部203は、例えばインメモリデータベースであり、RAM103を用いて実現可能である。また、セッション管理装置10は、記憶部204を利用する。記憶部204は、ROM102、RAM103、HDD104又はセッション管理装置10にネットワークを介して接続される記憶装置等を用いて実現可能である。
Each of these means may be realized by processing that one or more programs installed in the
キャプチャ部201は、SW5a及びSW5bから送信されるIPパケットのうち、UDPパケット、IPヘッダの送信元アドレス又は宛先アドレスが認証プロキシサーバのIPアドレスであるパケット、UDPヘッダの宛先ポート番号が1645、1646、1812及び1813のうちいずれかであるパケット、Radiusヘッダの種別コードが1、2、3及び4のいずれかであるパケットを収集する機能を有する。また、キャプチャ部201は、これらの条件のうち一部の条件を満たさないパケット(TCPパケットなど)は収集せずに破棄する。また、キャプチャ部201は、キャプチャしたIPパケットが、SW5aから送信されたIPパケットなのか、又は、SW5bから送信されたIPパケットなのかを認識する機能を有する。
Among the IP packets transmitted from the SW 5 a and the
セッション管理部202は、キャプチャ部で収集されたRadiusパケットに含まれる属性の設定値を、各Radiusパケットに対応するキャッシュテーブルに格納すると共に、キャッシュテーブルを用いて、端末1及び認証サーバ4の間におけるRadiusパケットの送受信状態を把握する。また、セッション管理部202は、記憶部204に記憶されているタイムアウト設定情報に基づいて、キャッシュテーブルに格納されている各レコードの有効期間を確認し、各レコードの有効期間が、タイムアウト設定情報に設定されている有効期間を超えている場合は、当該レコードをキャッシュテーブルから削除する。
The
一時記憶部203には、アクセスリクエストキャッシュテーブル、アクセス信号キャッシュテーブル、及びアカウンティング信号キャッシュテーブルが格納される。ここで、図5〜図7を用いて、アクセスリクエストキャッシュテーブル、アクセス信号キャッシュテーブル、アカウンティング信号キャッシュテーブルの具体例について説明する。
The
図5は、キャッシュテーブルの一例を示す図である。まず、アクセスリクエストキャッシュテーブルの具体例について説明する。図5(a)は、アクセスリクエストキャッシュテーブルの一例を示している。図5(a)に示すように、アクセスリクエストキャッシュテーブルは、「管理ID」カラムと、「状態」カラムと、「User-Name」カラムと、「NAS-IP-Address」カラムと、「Proxy-State」カラムと、「Acct-Session-Id」カラムと、「生成日時」カラムとを有する。 FIG. 5 is a diagram showing an example of the cache table. First, a specific example of the access request cache table will be described. FIG. 5A shows an example of the access request cache table. As shown in FIG. 5A, the access request cache table includes the “management ID” column, the “state” column, the “user-name” column, the “NAS-IP-Address” column, and the “Proxy- It has a "State" column, an "Acct-Session-Id" column, and a "generation date" column.
「管理ID」カラムには、アクセスリクエストキャッシュテーブルの各レコードを一意に識別するためのIDが格納される。「状態」カラムには、キャプチャされたAccess-Requestパケットの状態遷移を管理する情報が格納される。「User-Name」カラム、「NAS-IP-Address」カラム、「Proxy-State」カラム、及び「Acct-Session-Id」カラムには、キャプチャされたAccess-Requestパケットに含まれる各属性の設定値が格納される。「生成日時」カラムには、レコードが生成された日時が格納される。 The “management ID” column stores an ID for uniquely identifying each record of the access request cache table. The “state” column stores information for managing the state transition of the captured Access-Request packet. In the "User-Name" column, "NAS-IP-Address" column, "Proxy-State" column, and "Acct-Session-Id" column, the setting value of each attribute included in the captured Access-Request packet Is stored. The "generation date" column stores the date when the record was created.
アクセスリクエストキャッシュテーブルは、認証プロキシサーバ3を通過したAccess-Requestパケットのうち、認証プロキシサーバ3を通過する前のAccess-Requestパケットに含まれる「User-Name」属性を取得するために用いられる。また、アクセスリクエストキャッシュテーブルは、何らかの理由でAccess-Requestパケットが再送された場合に、再送されたAccess-Requestパケットが重複して処理されないようにするためにも用いられる。
The access request cache table is used to obtain the “User-Name” attribute included in the Access-Request packet before passing through the
前述の通り、認証プロキシサーバ3は、Access-Requestパケットの「User-Name」属性に設定されているユーザ名のうち、ドメイン名の部分を削除してしまうことがある。具体的には、例えば、「User-Name」属性に設定されているユーザ名が「User1@example.com」である場合、認証プロキシサーバ3は、「User-Name」属性に設定されているユーザ名を、「User1」に書き換えてしまうことがある。従って、セッション管理装置10は、認証プロキシサーバ3の前後でAccess-RequestパケットをキャプチャすることでAccess-Requestパケットが認証プロキシサーバ3を通過したことを確認すると共に、認証プロキシサーバ3を通過する前のAccess-Requestパケットに含まれる「User-Name」属性からドメイン名を含むユーザ名を取得するようにしている。
As described above, the
図6は、アクセスリクエストキャッシュテーブルの状態遷移を説明するための図である。図6を用いて、アクセスリクエストキャッシュテーブルの「状態」カラムに格納される状態遷移を管理する情報について具体的に説明する。 FIG. 6 is a diagram for explaining state transition of the access request cache table. Information for managing state transitions stored in the “state” column of the access request cache table will be specifically described with reference to FIG.
「A−S0」は、Access-Requestパケットを受信する前の初期状態を示している。なお、「A−S0」は初期状態であるため、アクセスリクエストキャッシュテーブルの「状態」カラムに「A−S0」が設定されることはない。 “A-S0” indicates an initial state before receiving an Access-Request packet. Since "A-S0" is in the initial state, "A-S0" is never set in the "state" column of the access request cache table.
続いて、認証プロキシサーバ3の前に設置されているSW5aから送信されたAccess-Requestパケットがキャプチャされた場合、「A−S0」の状態は「A−S1」に遷移する。この状態で、認証プロキシサーバ3の後に設置されているSW5bで、認証プロキシサーバ3を通過したAccess-Requestパケットがキャプチャされた場合、「A−S1」の状態は「A−S3」に遷移する。
Then, when the Access-Request packet transmitted from SW5a installed in front of the
一方、何らかの理由で受信パケットの逆転が発生し、認証プロキシサーバ3の後に設置されているSW5bから送信されたAccess-Requestパケットが最初にキャプチャされた場合、「A−S0」の状態は「A−S2」に遷移する。この状態で、認証プロキシサーバ3の前に設置されているSW5aから送信されたAccess-Requestパケットを受信した場合、「A−S2」の状態は「A−S3」に遷移する。
On the other hand, if the reverse of the received packet occurs for some reason, and the Access-Request packet transmitted from the
続いて、「A−S1」、「A−S2」及び「A−S3」の状態が継続し、有効期間が経過した場合(タイムアウトした場合)、これらの状態は「A−S0」に戻る。「A−S1」の状態が継続して有効期間が経過する場合とは、例えば、Access-Requestパケットが不正なパケット等であり、当該Access-Requestパケットが認証プロキシサーバ3で破棄された等の場合が想定される。「A−S2」の状態が継続して有効期間が経過する場合とは、例えば、何かしらの理由により、SW5aでミラーリングされたAccess-Requestパケットが欠損してセッション管理装置10でキャプチャされなかった場合等が想定される。
Subsequently, when the states of "A-S1", "A-S2" and "A-S3" continue and the valid period has elapsed (when time-out occurs), these states return to "A-S0". When the state of "A-S1" continues and the valid period elapses, for example, the Access-Request packet is an invalid packet etc., and the Access-Request packet is discarded by the
次に、アクセス信号キャッシュテーブルの具体例について説明する。図5(b)は、アクセス信号キャッシュテーブルの一例を示している。図5(b)に示すように、アクセス信号キャッシュテーブルは、「管理ID」カラムと、「状態」カラムと、「User-Name」カラムと、「NAS-IP-Address」カラムと、「Framed-IP-Address」カラムと、「Framed-IP-Netmask」カラムと、「Proxy-State」カラムと、「Acct-Session-Id」カラムと、「生成日時」カラムとを有する。 Next, a specific example of the access signal cache table will be described. FIG. 5B shows an example of the access signal cache table. As shown in FIG. 5 (b), the access signal cache table includes a "management ID" column, a "state" column, a "user-name" column, a "NAS-IP-Address" column, and a "framed-" column. It has an IP-Address "column, a" Framed-IP-Netmask "column, a" Proxy-State "column, an" Acct-Session-Id "column, and a" Generation Date "column.
「管理ID」カラムには、アクセス信号キャッシュテーブルの各レコードを一意に識別するためのIDが格納される。「状態」カラムには、キャプチャされたAccess-Requestパケット、Access-Acceptパケット又はAccess-Rejectパケットの全体の状態遷移を管理する情報が格納される。「User-Name」カラム、「NAS-IP-Address」カラム、「Framed-IP-Address」カラム、「Framed-IP-Netmask」カラム、「Proxy-State」カラム、及び「Acct-Session-Id」カラムには、Access-Requestパケット及びAccess-Acceptパケットに含まれる各属性の設定値が格納される。「生成日時」カラムには、レコードが生成された日時が格納される。 In the "management ID" column, an ID for uniquely identifying each record of the access signal cache table is stored. The “state” column stores information for managing the entire state transition of the captured Access-Request packet, Access-Accept packet, or Access-Reject packet. "User-Name" column, "NAS-IP-Address" column, "Framed-IP-Address" column, "Framed-IP-Netmask" column, "Proxy-State" column, and "Acct-Session-Id" column Stores a setting value of each attribute included in the Access-Request packet and the Access-Accept packet. The "generation date" column stores the date when the record was created.
アクセス信号キャッシュテーブルは、複数固定IPアドレス払い出しにより払い出された端末1のIPアドレスを取得するために用いられる。また、アクセス信号キャッシュテーブルは、何らかの理由でAccess-Requestパケット、Access-Acceptパケット、又はAccess-Rejectパケットが再送された場合に、再送されたパケットが重複して処理されないようにするためにも用いられる。
The access signal cache table is used to obtain the IP address of the
セッション管理装置10は、アクセス信号キャッシュテーブルを用いて、Access-Requestパケットに対応するAccess-Acceptパケットが認証サーバ4から送信されたことを認識する。また、セッション管理装置10は、「Framed-IP-Netmask」属性に255.255.255.255(又は/32)以外が設定されている場合、端末1に対して複数固定IPアドレス払い出しが行われていると認識する。
The
図7は、アクセス信号キャッシュテーブルの状態遷移を説明するための図である。図7を用いて、アクセス信号キャッシュテーブルの「状態」カラムに格納される状態遷移を管理する情報について具体的に説明する。 FIG. 7 is a diagram for explaining the state transition of the access signal cache table. The information for managing state transitions stored in the “state” column of the access signal cache table will be specifically described using FIG.
「B−S0」はアクセス信号キャッシュテーブルの状態遷移の初期状態を示している。なお、「B−S0」は初期状態であるため、アクセス信号キャッシュテーブルの「状態」カラムに「B−S0」が設定されることはない。 "B-S0" indicates the initial state of state transition of the access signal cache table. Since "B-S0" is in the initial state, "B-S0" is never set in the "state" column of the access signal cache table.
続いて、Access-Requestパケットが認証プロキシサーバ3を通過したことが検出された場合、「B−S0」の状態は「B−S1」に遷移する。この状態で、当該Access-Requestパケットに対応するAccess-Acceptパケットがキャプチャされた場合、「B−S1」の状態は「B−S3」に遷移し、当該Access-Acceptパケットに対応するAccess-Rejectパケットがキャプチャされた場合、「B−S1」の状態は「B−S4」に遷移する。
Subsequently, when it is detected that the Access-Request packet has passed through the
一方、何らかの理由で受信パケットの逆転が発生し、Access-Requestパケットが認証プロキシサーバ3を通過したことが検出される前に、Access-Acceptパケットがキャプチャされた場合、「B−S0」の状態は「B−S2」に遷移する。この状態で、Access-Requestパケットが認証プロキシサーバ3を通過したことが検出された場合、「B−S2」の状態は「B−S3」に遷移する。また、何らかの理由で受信パケットの逆転が発生し、Access-Requestパケットが認証プロキシサーバ3を通過したことが検出される前に、Access-Rejectパケットを受信した場合、「B−S0」の状態は「B−S4」に遷移する。
On the other hand, if an Access-Accept packet is captured before it is detected that the received packet is reversed for some reason and the Access-Request packet passes through the
続いて、「B−S1」、「B−S2」、「B−S3」及び「B−S4」の状態が継続し、有効期間が経過した場合(タイムアウトした場合)、これらの状態は「B−S0」に戻る。「B−S1」の状態が継続して有効期間が経過する場合とは、例えば、何かしらの理由により、Access-Acceptパケット又はAccess-Rejectパケットが認証サーバ4から送信されていない場合等が想定される。「A−S2」の状態が継続して有効期間が経過する場合とは、何かしらの理由によりAccess-Requestパケットが認証プロキシサーバ3を通過したことが検出されなかった場合等が想定される。
Subsequently, when the states of "B-S1", "B-S2", "B-S3" and "B-S4" continue and the valid period has elapsed (when time-out occurs), these states are "B Return to "-S0". When the state of “B-S1” continues and the valid period elapses, it is assumed that, for example, an Access-Accept packet or an Access-Reject packet is not transmitted from the
次に、アカウンティング信号キャッシュテーブルの具体例について説明する。図5(c)は、アカウンティング信号キャッシュテーブルの一例を示している。図5(c)に示すように、アカウンティング信号キャッシュテーブルは、「管理ID」カラムと、「User-Name」カラムと、「NAS-IP-Address」カラムと、「Framed-IP-Address」カラムと、「Acct-Status-Type」カラムと、「Acct-Session-Id」カラムと、「生成日時」カラムとを有する。 Next, a specific example of the accounting signal cache table will be described. FIG. 5C shows an example of the accounting signal cache table. As shown in FIG. 5 (c), the accounting signal cache table includes a "management ID" column, a "User-Name" column, a "NAS-IP-Address" column, and a "Framed-IP-Address" column. , “Acct-Status-Type” column, “Acct-Session-Id” column, and “generation date and time” column.
「User-Name」カラム、「NAS-IP-Address」カラム、「Framed-IP-Address」カラム、「Acct-Status-Type」カラム、及び「Acct-Session-Id」カラムには、Accounting-Requestパケットに含まれる各属性の設定値が格納される。「生成日時」カラムには、レコードが生成された日時が格納される。 "User-Name" column, "NAS-IP-Address" column, "Framed-IP-Address" column, "Acct-Status-Type" column, and "Acct-Session-Id" column, Accounting-Request packet Stores the setting value of each attribute included in. The "generation date" column stores the date when the record was created.
アカウンティング信号キャッシュテーブルは、何らかの理由でAccounting-Requestパケットが再送された場合に、再送されたパケットが重複して処理されないようにするために用いられる。 The accounting signal cache table is used to prevent repeated processing of retransmitted packets when Accounting-Request packets are retransmitted for some reason.
図4に戻り説明を続ける。記憶部204にはタイムアウト設定情報が格納される。タイムアウト設定情報は、アクセスリクエストキャッシュテーブル、アクセス信号キャッシュテーブル及びアカウンティング信号キャッシュテーブルに格納される各レコードの有効期間を設定するための情報である。
Returning to FIG. 4, the explanation will be continued. The
図8は、タイムアウト設定情報の一例を示す図である。タイムアウト設定情報は、「キャッシュテーブル名」カラムと、「状態」カラムと、「有効期間」カラムとを有する。「キャッシュテーブル名」カラムには、該当するキャッシュテーブルの名称が格納される。「状態」カラムには、アクセスリクエストキャッシュテーブル及びアクセス信号キャッシュテーブルにおける各状態が格納される。「有効期間」カラムには、各状態の各々に対応づけられた有効期間、及びアカウンティング信号キャッシュテーブルに対応づけられた有効期間が格納される。例えば、図8に示すように、状態が「A−S1」に対応する有効期間には「3sec」が設定されている。これは、アクセスリクエストキャッシュテーブルのレコードのうち、「状態」カラムに「A−S1」が設定されているレコードの有効期間は3秒であることを示している。すなわち、「状態」カラムに「A−S1」が設定されているレコードは、3秒経過すると削除されることになる。なお、図8に示す有効期間はあくまで一例であり、他の値が設定されていてもよい。 FIG. 8 is a diagram showing an example of timeout setting information. The timeout setting information has a “cache table name” column, a “state” column, and a “valid period” column. The "cache table name" column stores the name of the corresponding cache table. The “state” column stores each state in the access request cache table and the access signal cache table. The “valid period” column stores the valid period associated with each of the states and the valid period associated with the accounting signal cache table. For example, as shown in FIG. 8, “3 sec” is set in the valid period corresponding to the state “A-S1”. This indicates that among the records in the access request cache table, the valid period of the record for which “A-S1” is set in the “state” column is 3 seconds. That is, a record for which "A-S1" is set in the "state" column will be deleted after 3 seconds. In addition, the effective period shown in FIG. 8 is an example to the last, and another value may be set.
セッション情報通知部205は、セッション管理部202の指示により、端末1が行う通信のセッション情報を、信号送信部206を介して外部装置11に通知する。
The session
信号送信部206は、外部装置11との間で規定されたプロトコルに従って各種信号を送信する。
The
<処理手順>
図9は、セッション管理装置が行うセッション管理処理の処理手順の一例を説明するためのシーケンス図である。図9を用いて、ネットワーク上を流れるRadiusパケットの具体例を説明すると共に、セッション管理装置10がネットワーク上で送受信されるRadiusパケットをキャプチャし、キャプチャしたRadiusパケットに従ってセッション情報を外部装置11に通知するまでの一連の処理手順を具体的に説明する。
<Processing procedure>
FIG. 9 is a sequence diagram for explaining an example of a processing procedure of session management processing performed by the session management apparatus. While a specific example of the Radius packet flowing on the network will be described using FIG. 9, the
ステップS301で、端末1からのアクセスを受け付けたNAS2は、Access-RequestパケットをSW5aに送信する。
In step S301, the
ステップS302で、SW5aのミラーポートから、Access-Requestパケットがセッション管理装置10に送信される。
In step S302, an Access-Request packet is transmitted to the
ステップS303で、セッション管理装置10のキャプチャ部201は、認証プロキシサーバ3の前でAccess-Requestパケットをキャプチャしたことをセッション管理部202に通知する。続いて、セッション管理部202は、キャプチャされたAccess-Requestパケットに含まれる各属性の設定値をキャッシュテーブルに格納する処理を行う。ここで、ステップS303でセッション管理部202が行う処理手順の詳細を説明する。
In step S303, the
図10は、認証プロキシサーバの前でAccess-Requestパケットを受信した場合に行われるキャッシュテーブル操作の一例を示すフローチャートである。 FIG. 10 is a flowchart showing an example of cache table operation performed when an Access-Request packet is received in front of the authentication proxy server.
ステップS401で、セッション管理部202は、キャプチャされたAccess-Requestパケットに含まれる各属性のうち、「NAS-IP-Address」及び「Acct-Session-Id」の設定値と同一の値を有するレコードがアクセスリクエストキャッシュテーブルに格納されているか否かを確認する。同一の値を有するレコードが格納されていない場合、ステップS402の処理手順に進み、同一の値を有するレコードが既に格納されている場合、ステップS403の処理手順に進む。
In step S401, the
なお、セッション管理部202は、ステップS401の処理手順を行う前に、キャプチャされたAccess-Requestパケットに含まれる全ての属性の設定値と同一の値を有するレコードがアクセスリクエストキャッシュテーブルに既に格納されているか否かを確認し、全ての属性の設定値と同一の値を有するレコード格納されている場合、Access-Requestパケットが再送されたと判断して処理を終了するようにしてもよい。
Note that before performing the processing procedure of step S401, the
ステップS402で、セッション管理部202は、アクセスリクエストキャッシュテーブルに新たなレコードを追加し、キャプチャされたAccess-Requestパケットに含まれる各属性(「User-Name」、「NAS-IP-Address」、「Proxy-State」、「Acct-Session-Id」)の設定値を新たなレコードに格納する。また、セッション管理部202は、新たなレコードの「生成日時」カラムに生成日時を設定すると共に、「状態」カラムに「A−S1」を設定して処理を終了する。
In step S402, the
ステップS403の処理手順は、何らかの理由で受信パケットの逆転が発生し、既に認証プロキシサーバ3の後に設置されているSW5bを通過したAccess-Requestパケットがキャプチャされていた場合に行われることになる処理手順である。ステップS403で、セッション管理部202は、「NAS-IP-Address」及び「Acct-Session-Id」の設定値と同一の値を有するレコードの「User-Name」カラムを、キャプチャされたAccess-Requestパケットに含まれる「User-Name」属性の設定値に更新する。この更新処理により、認証プロキシサーバ3によりドメイン名が削除されている場合であっても、当該レコードの「User-Name」カラムに設定されているユーザ名を、ドメイン名を含むユーザ名に更新することができる。
The processing procedure of step S403 is processing to be performed when, for some reason, a reverse of a received packet occurs and an Access-Request packet that has already passed through the
ステップS404乃至ステップS407の処理手順は、何らかの理由で受信パケットの逆転が発生し、既にAccess-Acceptパケットがキャプチャされていた場合に行われる処理手順である。ステップS404及びステップS405の処理手順は、後述する図11のステップS504及びステップS505の処理手順と同一であるため、説明は省略する。また、ステップS406及びステップS407の処理手順は、後述する図12のステップS605及びステップS606の処理手順と同一であるため説明は省略する。図9に戻り説明を続ける。 The processing procedure of step S404 to step S407 is a processing procedure performed when an inversion of a received packet occurs for some reason and an Access-Accept packet has already been captured. The processing procedures of step S404 and step S405 are the same as the processing procedures of step S504 and step S505 of FIG. Further, the processing procedure of step S406 and step S407 is the same as the processing procedure of step S605 and step S606 in FIG. Returning to FIG. 9, the description will be continued.
ステップS304で、SW5aはAccess-Requestパケットを認証プロキシサーバ3に送信する。
In step S304, the SW 5a transmits an Access-Request packet to the
ステップS305で、認証プロキシサーバ3は、Access-RequestパケットをSW5bに送信する。
In step S305, the
ステップS306で、SW5bのミラーポートから、Access-Requestパケットがセッション管理装置10に送信される。
In step S306, an Access-Request packet is transmitted to the
ステップS307で、セッション管理装置10のキャプチャ部201は、認証プロキシサーバ3の後でAccess-Requestパケットをキャプチャしたことをセッション管理部202に通知する。セッション管理部202は、アクセスリクエストキャッシュテーブルに格納されているレコードの「状態」カラムを更新する処理を行う。ここで、ステップS307でセッション管理部202が行う処理手順の詳細を説明する。
In step S307, the
図11は、認証プロキシサーバの後でAccess-Requestパケットを受信した場合に行われるキャッシュテーブル操作の一例を示すフローチャートである。 FIG. 11 is a flowchart showing an example of cache table operation performed when an Access-Request packet is received after the authentication proxy server.
ステップS501で、セッション管理部202は、キャプチャされたAccess-Requestパケットに含まれる各属性のうち、「NAS-IP-Address」及び「Acct-Session-Id」の設定値と同一の値を有するレコードがアクセスリクエストキャッシュテーブルに格納されているか否かを確認する。同一の値を有するレコードが既に格納されている場合、ステップS503の処理手順に進み、同一の値を有するレコードが格納されていない場合、ステップS502の処理手順に進む。
In step S501, the
なお、セッション管理部202は、ステップS501の処理手順を行う前に、キャプチャされたAccess-Requestパケットに含まれる全ての属性の設定値と同一の値を有するレコードがアクセスリクエストキャッシュテーブルに既に格納されているか否かを確認し、全ての属性の設定値と同一の値を有するレコード格納されている場合、Access-Requestパケットが再送されたと判断して処理を終了するようにしてもよい。
Note that, before performing the processing procedure of step S501, the
ステップS502の処理手順は、何らかの理由で受信パケットの逆転が発生し、認証プロキシサーバ3の前に設置されているSW5aを通過したAccess-Requestパケットがキャプチャされていない場合に行われることになる。ステップS502で、セッション管理部202は、アクセスリクエストキャッシュテーブルに新たなレコードを追加し、キャプチャされたAccess-Requestパケットに含まれる各属性(「User-Name」、「NAS-IP-Address」、「Proxy-State」、「Acct-Session-Id」)の設定値を新たなレコードに格納する。また、セッション管理部202は、新たなレコードの「生成日時」カラムに生成日時を設定すると共に、「状態」カラムに「A−S2」を設定して処理を終了する。
The processing procedure of step S502 is performed when, for some reason, a reverse of a received packet occurs and an Access-Request packet that has passed through the SW 5a installed in front of the
ステップS503で、セッション管理部202は、「NAS-IP-Address」及び「Acct-Session-Id」の設定値と同一の値を有するレコードの「状態」カラムを「A−S3」に更新する。なお、ステップS503の処理手順では、ステップS403の処理手順ように、当該レコードの「User-Name」カラムの更新処理は行われない。認証プロキシサーバ3によりドメイン名が削除されている場合、ドメイン名が削除されたユーザ名に更新されてしまうことを防止するためである。
In step S503, the
ステップS504で、セッション管理部202は、認証プロキシサーバの後でキャプチャされたAccess-Requestパケットに含まれる「Proxy-State」の設定値と同一の値を有するレコードがアクセス信号キャッシュテーブルに格納されているか否かを確認する。同一の値を有するレコードが既に格納されている場合、ステップS506の処理手順に進み、同一の値を有するレコードが格納されていない場合、ステップS505の処理手順に進む。
In
ステップS505で、セッション管理部202は、アクセス信号キャッシュテーブルに新たなレコードを追加する。また、セッション管理部202は、ステップS503の処理手順で「状態」カラムを「A−S3」に更新したアクセスリクエストキャッシュテーブルのレコードの各カラムのうち、「状態」カラム以外の各カラム(すなわち、「User-Name」、「NAS-IP-Address」、「Proxy-State」、「Acct-Session-Id」、「受信日時」)の設定値を当該新たなレコードにコピーする。また、セッション管理部202は、新たなレコードの「生成日時」カラムに生成日時を設定すると共に、「状態」カラムに「B−S1」を設定して処理を終了する。
In step S505, the
ステップS506乃至ステップS508の処理手順は、何らかの理由で受信パケットの逆転が発生し、既にAccess-Acceptパケットがキャプチャされていた場合に行われる処理手順である。ステップS506乃至ステップS508の処理手順は、後述する図12のステップS604乃至ステップS606の処理手順と同一であるため、説明は省略する。図9に戻り説明を続ける。 The processing procedure of steps S506 to S508 is a processing procedure performed when an inversion of a received packet occurs for some reason and an Access-Accept packet has already been captured. Since the processing procedure of step S506 to step S508 is the same as the processing procedure of step S604 to step S606 of FIG. 12 described later, the description will be omitted. Returning to FIG. 9, the description will be continued.
ステップS308で、SW5bはAccess-Requestパケットを認証サーバ4に送信する。
In step S308, the
ステップS309で、認証サーバ4は、端末1の認証を行う。認証に成功した場合、認証サーバ4はAccess-AcceptパケットをSW5bに送信する。認証に失敗した場合、認証サーバ4はAccess-RejectパケットをSW5bに送信する。
In step S309, the
ステップS310で、SW5bのミラーポートから、Access-Acceptパケット又はAccess-Rejectパケットがセッション管理装置10に送信される。
In step S310, an Access-Accept packet or an Access-Reject packet is transmitted to the
ステップS311で、セッション管理装置10のキャプチャ部201は、Access-Acceptパケット又はAccess-Rejectパケットをキャプチャしたことをセッション管理部202に通知する。セッション管理部202は、キャプチャされたAccess-Acceptパケットに含まれる各属性の設定値をアクセス信号キャッシュテーブルに格納されているレコードに追加する処理等を行う。ここで、ステップS311でセッション管理部202が行う処理手順の詳細を説明する。
In step S311, the
図12は、Access-Acceptパケット又はAccess-Rejectパケットを受信した場合に行われるキャッシュテーブル操作の一例を示すフローチャートである。 FIG. 12 is a flowchart showing an example of cache table operation performed when an Access-Accept packet or an Access-Reject packet is received.
ステップS601で、セッション管理部202は、キャプチャされたAccess-Acceptパケット又はAccess-Rejectパケットに含まれる「Proxy-State」の設定値と同一の値を有するレコードがアクセス信号キャッシュテーブルに格納されているか否かを確認する。同一の値を有するレコードが既に格納されている場合、ステップS603の処理手順に進み、同一の値を有するレコードが格納されていない場合、ステップS602の処理手順に進む。なお、ステップS602の処理手順は、何らかの理由で受信パケットの逆転が発生し、Access-Requestパケットがキャプチャされる前にAccess-Acceptパケットがキャプチャされた場合に行われる処理手順である。
In step S601, the
なお、セッション管理部202は、ステップS601の処理手順を行う前に、キャプチャされたAccess-Acceptパケット又はAccess-Rejectパケットに含まれる全ての属性の設定値と同一の値を有するレコードがアクセス信号キャッシュテーブルに既に格納されているか否かを確認し、全ての属性の設定値と同一の値を有するレコード格納されている場合、Access-Acceptパケット又はAccess-Rejectパケットが再送されたと判断して処理を終了するようにしてもよい。
Note that, before performing the processing procedure of step S601, the
ステップS602で、セッション管理部202は、アクセス信号キャッシュテーブルに新たなレコードを追加し、「生成日時」カラムに生成日時を設定する。また、セッション管理部202は、キャプチャされたパケットがAccess-Acceptパケットである場合、Access-Acceptパケットに含まれる各属性(「Framed-IP-Address」、「Framed-IP-Netmask」、「Proxy-State」)の設定値を当該新たなレコードに格納すると共に、当該新たなレコードの「状態」カラムを「B−S2」に設定して処理を終了する。セッション管理部202は、キャプチャされたパケットがAccess-Rejectパケットである場合、当該新たなレコードの「状態」カラムを「B−S4」に設定して処理を終了する。
In step S602, the
ステップS603で、セッション管理部202は、キャプチャされたパケットがAccess-Acceptパケットなのか、又は、Access-Rejectパケットなのかを判断する。Access-Acceptパケットである場合、ステップS604の処理手順に進み、Access-Rejectパケットである場合、ステップS607の処理手順に進む。
In step S603, the
ステップS604で、セッション管理部202は、キャプチャされたAccess-Acceptパケットに含まれる「Proxy-State」の設定値と同一の値を有するアクセス信号キャッシュテーブルのレコードに、キャプチャされたAccess-Acceptパケットに含まれる各属性(「Framed-IP-Address」、「Framed-IP-Netmask」)の設定値を追加する。また、当該レコードの「状態」カラムを「B−S3」に更新する。
In
ステップS605で、セッション管理部202は、ステップS604の処理手順で「状態」カラムを更新したレコードの「Framed-IP-Address」に、255.255.255.254が設定されているか否かを確認する。255.255.255.254以外の値が設定されている場合、複数固定IPアドレス払い出し、又は固定IPアドレス払い出しが行われていると判断してステップS606の処理手順に進み、255.255.255.254が設定されている場合、動的IP払い出しが行われていると判断して処理を終了する。
In step S605, the
ステップS606で、セッション情報通知部205は、外部装置11にセッション情報を含むセッション開始通知を送信する。より具体的には、セッション情報通知部205は、アクセス信号キャッシュテーブルの「状態」カラムが「B−S3」であり、かつ、「Framed-IP-Address」に、255.255.255.254以外の値が設定されているレコードの「User-Name」カラム、「NAS-IP-Address」カラム、「Framed-IP-Address」カラム、「Framed-IP-Netmask」カラム及び「Acct-Session-Id」カラムの各設定値を、セッション開始通知に含めて外部装置11に送信する。
In step S606, the session
ステップS607で、セッション管理部202は、キャプチャされたAccess-Rejectパケットに含まれる「Proxy-State」の設定値と同一の値を有する、アクセス信号キャッシュテーブルのレコードの「状態」カラムを「B−S4」に更新して処理を終了する。図9に戻り説明を続ける。
In
ステップS312の処理手順は、図12のステップS606で行われる処理手順を、説明の便宜上再掲したものであるため説明は省略する。 The processing procedure of step S312 is the processing procedure performed in step S606 of FIG.
ステップS313で、SW5bは、Access-Acceptパケット又はAccess-Rejectパケットを認証プロキシサーバ3に送信する。認証プロキシサーバ3から送信されたAccess-Acceptパケット又はAccess-Rejectパケットは、SW5aを経由してNAS2に送信される(S314、S315)。
In step S313, the
ステップS316で、NAS2は、Access-Acceptパケットを受信した場合、認証に成功したと判断し、端末1が行う通信のセッションが開始されたことを認証サーバ4に通知するために、Accounting-Request(start)パケットをSW5aに送信する。続いて、SW5aは、当該パケットを認証プロキシサーバ3に送信し、認証プロキシサーバ3は、当該パケットをSW5bに送信する(S317、S318)。
In step S316, when the
ステップS319で、SW5bのミラーポートから、Accounting-Request(start)パケットがセッション管理装置10に送信される。
In step S319, an Accounting-Request (start) packet is transmitted to the
ステップS320で、セッション管理装置10のキャプチャ部201は、Accounting-Request(start)パケットをキャプチャしたことをセッション管理部202に通知する。セッション管理部202は、キャプチャされたAccounting-Request(start)パケットに含まれる各属性の設定値をアカウンティング信号テーブルに格納する処理を行う。ここで、ステップS320でセッション管理部202が行う処理手順の詳細を説明する。
In step S320, the
図13(a)は、Accounting-Request(start)パケットを受信した場合に行われるキャッシュテーブル操作の一例を示すフローチャートである。 FIG. 13A is a flowchart showing an example of cache table operation performed when an Accounting-Request (start) packet is received.
ステップS701で、セッション管理部202は、キャプチャされたAccounting-Request(start)パケットに含まれる各属性の設定値と同一の値を有するレコードがアカウンティング信号キャッシュテーブルに格納されているか否かを確認する。同一の値を有するレコードが既に格納されている場合、Accounting-Request(start)パケットが再送されたと判断して処理を終了する。同一の値を有するレコードが格納されていない場合、ステップS702の処理手順に進む。
In step S701, the
ステップS702で、セッション管理部202は、アカウンティング信号キャッシュテーブルに新たなレコードを追加し、キャプチャされたAccounting-Request(start)パケットに含まれる各属性(「User-Name」、「NAS-IP-Address」、「Framed-IP-Address」、「Acct-Status-Type」、「Acct-Session-Id」)の設定値を当該新たなレコードに格納する。
In step S702, the
ステップS703で、セッション情報通知部205は、外部装置11にセッション情報を含むセッション開始通知を送信する。より具体的には、セッション情報通知部205は、ステップS702で追加した新たなレコードの「User-Name」カラム、「NAS-IP-Address」カラム、「Framed-IP-Address」カラム及び「Acct-Session-Id」カラムの各設定値をセッション開始通知に含めて外部装置11に送信する。なお、セッション情報通知部205は、更に「Acct-Status-Type」カラムの設定値をセッション開始通知に含めて外部装置11に送信するようにしてもよい。図9に戻り説明を続ける。
In step S703, the session
ステップS321の処理手順は、図13のステップS703で行われる処理手順を説明の便宜上再掲したものであるため説明は省略する。 The processing procedure of step S321 is the same as the processing procedure performed in step S703 of FIG.
ステップS322で、SW5bは、Accounting-Request(start)パケットを認証サーバ4に送信する。
In step S322, the
ステップS323で、NAS2は、端末1が行う通信のセッションが終了したことを検出した場合、端末1が行う通信のセッションが終了したことを認証サーバ4に通知するために、Accounting-Request(stop)パケットをSW5aに送信する。続いて、SW5aは、当該パケットを認証プロキシサーバ3に送信し、認証プロキシサーバ3は、当該パケットをSW5bに送信する(S324、S325)。
In step S323, when the
ステップS326で、SW5bのミラーポートから、Accounting-Request(stop)パケットがセッション管理装置10に送信される。
In step S326, an Accounting-Request (stop) packet is transmitted to the
ステップS327で、セッション管理装置10のキャプチャ部201は、Accounting-Request(stop)パケットをキャプチャしたことをセッション管理部202に通知する。セッション管理部202は、キャプチャされたAccounting-Request(stop)パケットに含まれる各属性の設定値をアカウンティング信号テーブルに格納する処理を行う。ここで、ステップS326でセッション管理部202が行う処理手順の詳細を説明する。
In step S327, the
図13(b)は、Accounting-Request(stop)パケットを受信した場合に行われるキャッシュテーブル操作の一例を示すフローチャートである。 FIG. 13B is a flowchart showing an example of cache table operation performed when an Accounting-Request (stop) packet is received.
ステップS801で、セッション管理部202は、キャプチャされたAccounting-Request(stop)パケットに含まれる各属性の設定値と同一の値を有するレコードがアカウンティング信号キャッシュテーブルに格納されているか否かを確認する。同一の値を有するレコードが既に格納されている場合、Accounting-Request(stop)パケットが再送されたと判断して処理を終了する。同一の値を有するレコードが格納されていない場合、ステップS802の処理手順に進む。
In step S801, the
ステップS802で、セッション管理部202は、アカウンティング信号キャッシュテーブルに新たなレコードを追加し、キャプチャされたAccounting-Request(stop)パケットに含まれる各属性(「User-Name」、「NAS-IP-Address」、「Framed-IP-Address」、「Acct-Status-Type」、「Acct-Session-Id」)の設定値を当該新たなレコードに格納する。
In step S802, the
ステップS803で、セッション情報通知部205は、外部装置11にセッション情報を含むセッション終了通知を送信する。より具体的には、セッション情報通知部205は、ステップS702で追加した新たなレコードの「User-Name」カラム、「NAS-IP-Address」カラム、「Framed-IP-Address」カラム、「Acct-Status-Type」カラム及び「Acct-Session-Id」カラムの各設定値を、セッション終了通知に含めて外部装置11に送信する。図9に戻り説明を続ける。
In step S 803, the session
ステップS328の処理手順は、図13のステップS803で行われる処理手順を説明の便宜上再掲したものであるため説明は省略する。 The processing procedure of step S328 is the processing procedure performed in step S803 of FIG.
ステップS329で、SW5bは、Accounting-Request(stop)パケットを認証サーバ4に送信する。
In step S329, the
なお、図9の処理手順において、ステップS319乃至ステップS321の処理手順は、ステップS316とステップS317との間で行われるようにしてもよい。つまり、SW5aのミラーポートからセッション管理装置10に送信されるAccounting-Request(start)パケットを用いて、ステップS319乃至ステップS321の処理手順が行われるようにしてもよい。また、キャプチャ部201は、SW5aのミラーポート及びSW5bミラーポートの両方から送信されるAccounting-Request(start)パケットをキャプチャすると共に、セッション管理部202は、両方のAccounting-Request(start)パケットを比較することで、Accounting-Request(start)パケットが認証プロキシサーバ3を通過したことを確認するようにしてもよい。
In the processing procedure of FIG. 9, the processing procedure of step S319 to step S321 may be performed between step S316 and step S317. That is, the processing procedure of steps S319 to S321 may be performed using an Accounting-Request (start) packet transmitted to the
また、ステップS326乃至ステップS328の処理手順は、ステップS323とステップS324との間で行われるようにしてもよい。つまり、SW5aのミラーポートからセッション管理装置10に送信されるAccounting-Request(stop)パケットを用いて、ステップS326乃至ステップS328の処理手順が行われるようにしてもよい。また、キャプチャ部201は、SW5aのミラーポート及びSW5bミラーポートの両方から送信されるAccounting-Request(stop)パケットをキャプチャすると共に、セッション管理部202は、両方のAccounting-Request(stop)パケットを比較することで、Accounting-Request(stop)パケットが認証プロキシサーバ3を通過したことを確認するようにしてもよい。
Further, the processing procedure of step S326 to step S328 may be performed between step S323 and step S324. That is, the processing procedure of step S326 to step S328 may be performed using an Accounting-Request (stop) packet transmitted to the
また、ステップS312、ステップS321、ステップS328の処理手順で送信されるセッション開始通知及びセッション終了通知の信号フォーマットは共通であってもよい。すなわち、セッション開始通知及びセッション終了通知の信号フォーマットには、予め「User-Name」、「NAS-IP-Address」、「Framed-IP-Address」、「Framed-IP-Netmask」、「Acct-Status-Type」及び「Acct-Session-Id」を格納可能な領域を設けるようにしてもよい。セッション管理装置10と外部装置11との間のインタフェースを簡易にすることができる。
Further, the signal formats of the session start notification and the session end notification transmitted in the processing procedure of step S312, step S321, and step S328 may be common. That is, the signal format of the session start notification and the session end notification includes "User-Name", "NAS-IP-Address", "Framed-IP-Address", "Framed-IP-Netmask", and "Acct-Status" in advance. An area capable of storing -Type "and" Acct-Session-Id "may be provided. The interface between the
<まとめ、効果>
以上、セッション管理装置10が行うセッション管理処理の処理手順について説明した。NAS2及び認証サーバ4との間で行われる認証処理において動的IP払い出しが行われる場合、セッション管理装置10は、Access-Acceptパケットをキャプチャしたタイミング(図9のステップS310)ではセッション開始通知を外部装置11に送信せずに、Accounting-Requestパケットをキャプチャしたタイミング(図9のステップS319)でセッション開始通知を外部装置11に送信するようにした。
<Summary, effect>
The process procedure of the session management process performed by the
また、NAS2及び認証サーバ4との間で行われる認証処理において複数固定IP払い出し及び固定IP払い出しが行われる場合、セッション管理装置10は、Access-Acceptパケットをキャプチャしたタイミング(図9のステップS310)、及び、Accounting-Requestパケットをキャプチャしたタイミング(図9のステップS319)でセッション開始通知を外部装置11に送信するようにした。
In addition, when multiple fixed IP payouts and fixed IP payouts are performed in the authentication process performed between the
動的IPアドレス払い出しが行われる場合、Access-Acceptパケットに含まれる「Framed-IP-Netmask」属性には、実際に端末1に払い出されるIPアドレスではなく、動的IPアドレス払い出しが行われることを示す所定のIPアドレス(255.255.255.254)が格納されている。言い換えると、Access-Acceptパケットをキャプチャしたタイミングでセッション開始通知が外部装置11に送信された場合、外部装置11は不完全なセッション情報を受け取ることになってしまう。従って、セッション管理装置10は、動的IPアドレス払い出しが行われる場合、Access-Acceptパケットをキャプチャした時点ではセッション開始通知を外部装置11に送信しないようにしている。これにより、セッション管理装置10は、外部装置11に不完全なセッション情報を通知してしまうのを防止することができる。
When dynamic IP address delivery is performed, the "Framed-IP-Netmask" attribute included in the Access-Accept packet indicates that dynamic IP address delivery is performed instead of the IP address actually delivered to the
一方、複数固定IPアドレス払い出しが行われる場合、端末1に払い出される複数のIPアドレスを示す「Framed-IP-Netmask」属性はAccess-Acceptパケットのみに含まれており、Accounting-Requestパケットには含まれていない。言い換えると、動的IPアドレス払い出しが行われる場合のように、Accounting-Requestパケットをキャプチャしたタイミングのみでセッション開始通知が外部装置11に送信されるようにした場合、外部装置11は、端末1に払い出された全てのIPアドレスを把握することができなくなってしまう。従って、セッション管理装置10は、複数固定IPアドレス払い出しが行われる場合、Access-Acceptパケットをキャプチャした時点で一旦セッション開始通知を外部装置11に送信するようにしている。これにより、セッション管理装置10は、外部装置11に適切なセッション情報を通知することができる。
On the other hand, when multiple fixed IP address delivery is performed, the “Framed-IP-Netmask” attribute indicating multiple IP addresses to be delivered to the
また、セッション管理装置10は、認証プロキシサーバ3の前後でAccess-Requestパケットをキャプチャすることで、Access-Requestパケットが認証プロキシサーバ3を通過したことを確認すると共に、認証プロキシサーバ3を通過する前のAccess-Requestパケットに含まれる「User-Name」属性からドメイン名を含むユーザ名を取得するようにした。これにより、認証プロキシサーバ3によりAccess-Requestパケットに含まれる「User-Name」属性のドメイン名が削除された場合であっても、セッション管理装置10はドメイン名を含むユーザ名を外部装置11に通知することができる。
Further, the
また、セッション管理装置10は、キャプチャした各種Radiusパケットを一旦キャッシュに格納し、処理に必要なRadiusパケットを全て受信してからセッション情報を外部装置11に通知するようにした。これにより、セッション管理装置10は、万が一Radiusパケットのキャプチャ順序が入れ替わった場合であっても、不完全なセッション情報を外部装置11に通知することなく、より正確なセッション情報を外部装置11に通知することができる。
In addition, the
また、セッション管理装置10は、キャプチャした各種Radiusパケットを一旦キャッシュに格納し、一定時間経過後にキャッシュ内のレコードを削除するようにした。これにより、Radiusパケットの喪失が発生した場合、又は不正なRadiusパケットをキャプチャした場合等において、キャッシュ内に不要なレコードが蓄積してセッション管理装置10のリソースを消費してしまうことを防止することができる。また、これにより、セッション管理装置10は、Radiusパケットが再送された場合において、一定時間経過前であれば再度セッション情報を外部装置11に通知しないようにすることができる。
Also, the
<実施形態の補足>
セッション管理装置10は、NAS2が存在しないようなネットワーク環境にも適用できる。例えば、端末1が認証サーバ4との間でRadiusプロトコルを送受信するようなネットワーク環境にも適用することができる。
<Supplement of embodiment>
The
また、セッション管理装置10は、認証プロキシサーバ3が存在せず、NAS2(又は端末1)と認証サーバ4との間で直接Radiusプロトコルが送受信されるようなネットワーク環境にも適用することができる。この場合、アクセスリクエストキャッシュテーブルに係る一連の処理手順を省略することができる。
The
セッション管理装置10の構成は、CPUとメモリを備える当該装置において、プログラムがCPU(プロセッサ)により実行されることで実現される構成であってもよいし、本実施の形態で説明する処理のロジックを備えたハードウェア回路等のハードウェアで実現される構成であってもよいし、プログラムとハードウェアが混在していてもよい。
The configuration of the
セッション管理装置10は、仮想OS上に実装されるようにしてもよい。仮想OSに実装されることで、セッション管理機能に対してスケーラビリティ及び可用性を確保することができる。また、認証プロキシサーバ3、SW5a、SW5b、及びセッション管理装置10は、まとめて仮想OSに実装されるようにしてもよい。キャプチャ機能及びセッション管理機能全体に対してスケーラビリティ及び可用性を確保することができる。
The
以上、本発明の実施の形態を説明してきたが、開示される発明はそのような実施形態に限定されず、当業者は様々な変形例、修正例、代替例、置換例等を理解するであろう。発明の理解を促すため具体的な数値例を用いて説明がなされたが、特に断りのない限り、それらの数値は単なる一例に過ぎず適切な如何なる値が使用されてもよい。上記の説明における項目の区分けは本発明に本質的ではなく、2以上の項目に記載された事項が必要に応じて組み合わせて使用されてよいし、ある項目に記載された事項が、別の項目に記載された事項に(矛盾しない限り)適用されてよい。 Although the embodiments of the present invention have been described above, the disclosed invention is not limited to such embodiments, and those skilled in the art should understand various modifications, modifications, alternatives, replacements, and the like. I will. Although specific numerical examples are used to facilitate understanding of the invention, unless otherwise noted, those numerical values are merely examples and any appropriate values may be used. The division of items in the above description is not essential to the present invention, and the items described in two or more items may be used in combination as necessary, and the items described in one item may be used in another item. It may be applied to the matters described in (unless contradictory).
実施の形態で述べたシーケンス及びフローチャートは、矛盾の無い限り順序を入れ替えてもよい。処理説明の便宜上、セッション管理装置10はソフトウェア構成図を用いて説明されたが、そのような装置はハードウェアで、ソフトウェアで又はそれらの組み合わせで実現されてもよい。本発明の実施の形態に従ってセッション管理装置10が有するプロセッサにより動作するソフトウェアは、ランダムアクセスメモリ(RAM)、フラッシュメモリ、読み取り専用メモリ(ROM)、EPROM、EEPROM、レジスタ、ハードディスク(HDD)、リムーバブルディスク、CD−ROM、データベース、サーバその他の適切な如何なる記憶媒体に保存されてもよい。
The sequences and flowcharts described in the embodiments may be rearranged as long as there is no contradiction. Although the
本発明は上記実施形態に限定されず、本発明の精神から逸脱することなく、様々な変形例、修正例、代替例、置換例等が本発明に包含される。 The present invention is not limited to the embodiments described above, and various modifications, alterations, alternatives, and replacements are included in the present invention without departing from the spirit of the present invention.
なお、以上実施の形態において、Radiusパケットは認証信号の一例である。キャプチャ部201は、キャプチャ手段の一例である。セッション管理部202は、セッション管理手段の一例である。セッション情報通知部205及び信号送信部206は、送信手段の一例である。外部装置11は、所定の装置の一例である。Access-Requestパケットは、所定の認証信号の一例である。Radiusパケットに含まれる属性の設定値は、複数種別の認証信号に含まれる情報の一例である。一時記憶部203は、第一の記憶手段の一例である。記憶部204は、第二の記憶手段の一例である。タイムアウト設定情報は、設定情報の一例である。
(第1項)
端末の認証及びセッション管理を行う認証サーバと、前記端末及び前記認証サーバの間に接続されるアクセスサーバとの間で送受信される複数種別の認証信号をキャプチャすることで、前記端末が行う通信のセッションを管理するセッション管理装置であって、
前記複数種別の認証信号をキャプチャするキャプチャ手段と、
キャプチャされた前記複数種別の認証信号を用いて、前記セッションを一意に特定するセッション情報を取得して管理するセッション管理手段と、
前記セッション情報を所定の装置に送信する送信手段と、
を有するセッション管理装置。
(第2項)
前記セッション管理手段は、キャプチャされた前記複数種別の認証信号を用いて、前記端末が行う通信のセッションが開始されたこと、又は、前記端末が行う通信のセッションが終了したことを検出し、
前記送信手段は、前記端末が行う通信のセッションが開始されたことが検出された場合、前記セッション情報を含むセッション開始通知信号を所定の装置に送信し、前記端末が行う通信のセッションが終了したことが検出された場合、前記セッション情報を含むセッション終了通知信号を前記所定の装置に送信する、第1項に記載のセッション管理装置。
(第3項)
前記キャプチャ手段は、前記アクセスサーバと前記認証サーバの間に接続される認証プロキシサーバの前後で前記複数種別の認証信号のうち所定の認証信号をキャプチャし、
前記セッション管理手段は、前記認証プロキシサーバの前でキャプチャされた所定の認証信号と、前記認証プロキシサーバの後でキャプチャされた所定の認証信号とを用いて、前記セッション情報を取得する、第1項又は第2項に記載のセッション管理装置。
(第4項)
前記複数種別の認証信号に含まれる情報を記憶する第一の記憶手段、を有し、
前記セッション管理手段は、キャプチャされた前記複数種別の認証信号に含まれる情報を前記第一の記憶手段に格納し、前記第一の記憶手段に格納された情報を用いて前記セッション情報を取得する、第1項乃至第3項のいずれか一項に記載のセッション管理装置。
(第5項)
前記第一の記憶手段に格納された情報の有効期間を示す設定情報を記憶する第二の記憶手段、を有し、
前記セッション管理手段は、前記第一の記憶手段に格納された情報が前記有効期間を経過した場合に、当該情報を前記第一の記憶手段から削除する、第4項に記載のセッション管理装置。
(第6項)
前記送信手段は、前記複数種別の認証信号のうちアカウンティング要求信号を受信した場合、前記アカウンティング要求信号に含まれている属性情報から前記セッション情報を取得し、取得した前記セッション情報を前記所定の装置に送信する、第1項乃至第5項のいずれか一項に記載のセッション管理装置。
(第7項)
前記送信手段は、前記複数種別の認証信号のうちアクセス許可信号を受信した場合であって、かつ、当該アクセス許可信号に含まれている属性情報に、予め定められた所定のIPアドレスが設定されていない場合、当該アクセス許可信号に含まれている属性情報から前記セッション情報を取得し、取得した前記セッション情報を前記所定の装置に送信する、第1項乃至第6項のいずれか一項に記載のセッション管理装置。
(第8項)
端末の認証及びセッション管理を行う認証サーバと、前記端末及び前記認証サーバの間に接続されるアクセスサーバとの間で送受信される複数種別の認証信号をキャプチャすることで、前記端末が行う通信のセッションを管理するセッション管理装置が行うセッション管理方法であって、
前記複数種別の認証信号をキャプチャするキャプチャステップと、
キャプチャされた前記複数種別の認証信号を用いて、前記セッションを一意に特定するセッション情報を取得して管理するセッション管理ステップと、
前記セッション情報を所定の装置に送信する送信ステップと、
を有するセッション管理方法。
(第9項)
端末の認証及びセッション管理を行う認証サーバと、前記端末及び前記認証サーバの間に接続されるアクセスサーバとの間で送受信される複数種別の認証信号をキャプチャすることで、前記端末が行う通信のセッションを管理するセッション管理装置におけるプログラムであって、
前記セッション管理装置に、
前記複数種別の認証信号をキャプチャするキャプチャステップと、
キャプチャされた前記複数種別の認証信号を用いて、前記セッションを一意に特定するセッション情報を取得して管理するセッション管理ステップと、
前記セッション情報を所定の装置に送信する送信ステップと、
を実行させるプログラム。
In the above embodiment, the Radius packet is an example of an authentication signal. The
(Section 1)
Communication performed by the terminal by capturing a plurality of types of authentication signals transmitted and received between an authentication server that performs terminal authentication and session management, and an access server connected between the terminal and the authentication server A session management device that manages a session,
Capture means for capturing the plurality of types of authentication signals;
A session management unit that acquires and manages session information that uniquely identifies the session using the captured plurality of types of authentication signals;
Transmitting means for transmitting the session information to a predetermined device;
Session management apparatus having:
(Section 2)
The session management means detects that a session of communication performed by the terminal has been started or that a session of communication performed by the terminal has ended using the captured plurality of types of authentication signals.
The transmission means transmits a session start notification signal including the session information to a predetermined device when it is detected that the communication session performed by the terminal has been started, and the communication session performed by the terminal is ended. The session management device according to
(Section 3)
The capture means captures a predetermined authentication signal among the plurality of types of authentication signals before and after an authentication proxy server connected between the access server and the authentication server.
The session management means acquires the session information using a predetermined authentication signal captured before the authentication proxy server and a predetermined authentication signal captured after the authentication proxy server. The session management device according to
(Section 4)
First storage means for storing information contained in the plurality of types of authentication signals;
The session management means stores information contained in the captured plurality of types of authentication signals in the first storage means, and acquires the session information using the information stored in the first storage means. The session management device according to any one of the
(Section 5)
And second storage means for storing setting information indicating a valid period of the information stored in the first storage means,
5. The session management device according to
(Section 6)
When the transmission means receives an accounting request signal among the plurality of types of authentication signals, the transmission means acquires the session information from attribute information included in the accounting request signal, and acquires the acquired session information as the predetermined device. The session management device according to any one of
(Section 7)
The transmission unit is configured to receive an access permission signal among the plurality of types of authentication signals, and a predetermined IP address set in advance is set in attribute information included in the access permission signal. If the session information is not acquired, the session information is acquired from the attribute information included in the access permission signal, and the acquired session information is transmitted to the predetermined device. The session management device as described.
(Section 8)
Communication performed by the terminal by capturing a plurality of types of authentication signals transmitted and received between an authentication server that performs terminal authentication and session management, and an access server connected between the terminal and the authentication server A session management method performed by a session management apparatus that manages a session, the method comprising:
A capture step of capturing the plurality of types of authentication signals;
A session management step of acquiring and managing session information for uniquely identifying the session using the plurality of types of authentication signals captured;
Transmitting the session information to a predetermined device;
A session management method having:
(Section 9)
Communication performed by the terminal by capturing a plurality of types of authentication signals transmitted and received between an authentication server that performs terminal authentication and session management, and an access server connected between the terminal and the authentication server A program in a session management device that manages a session,
In the session management device,
A capture step of capturing the plurality of types of authentication signals;
A session management step of acquiring and managing session information for uniquely identifying the session using the plurality of types of authentication signals captured;
Transmitting the session information to a predetermined device;
A program that runs
1 端末
2 NAS
3 認証プロキシサーバ
4 認証サーバ
5a SW
5b SW
10 セッション管理装置
11 外部装置
201 キャプチャ部
202 セッション管理部
203 一時記憶部
204 記憶部
205 セッション情報通知部
206 信号送信部
1 terminal 2 NAS
3
5b SW
10 session management apparatus 11
Claims (10)
前記複数種別の認証信号をキャプチャするキャプチャ手段と、
キャプチャされた前記複数種別の認証信号を用いて、前記セッションを一意に特定するセッション情報を取得して管理するセッション管理手段と、
前記セッション情報を所定の装置に送信する送信手段と、を有し、
前記キャプチャ手段は、前記アクセスサーバと前記認証サーバの間に接続される認証プロキシサーバの前後で前記複数種別の認証信号のうち所定の認証信号をキャプチャし、
前記セッション管理手段は、前記認証プロキシサーバの前でキャプチャされた所定の認証信号と、前記認証プロキシサーバの後でキャプチャされた所定の認証信号とを用いて、前記セッション情報を取得する、
セッション管理装置。 Communication performed by the terminal by capturing a plurality of types of authentication signals transmitted and received between an authentication server that performs terminal authentication and session management, and an access server connected between the terminal and the authentication server A session management device that manages a session,
Capture means for capturing the plurality of types of authentication signals;
A session management unit that acquires and manages session information that uniquely identifies the session using the captured plurality of types of authentication signals;
It possesses a transmitting means for transmitting the session information to a predetermined device,
The capture means captures a predetermined authentication signal among the plurality of types of authentication signals before and after an authentication proxy server connected between the access server and the authentication server.
The session management means acquires the session information using a predetermined authentication signal captured before the authentication proxy server and a predetermined authentication signal captured after the authentication proxy server.
Session management device.
前記複数種別の認証信号をキャプチャするキャプチャ手段と、
キャプチャされた前記複数種別の認証信号を用いて、前記セッションを一意に特定するセッション情報を取得して管理するセッション管理手段と、
前記セッション情報を所定の装置に送信する送信手段と、を有し、
前記送信手段は、前記複数種別の認証信号のうちアクセス許可信号を受信した場合であって、かつ、当該アクセス許可信号に含まれている属性情報に、予め定められた所定のIPアドレスが設定されていない場合、当該アクセス許可信号に含まれている属性情報から前記セッション情報を取得し、取得した前記セッション情報を前記所定の装置に送信する、
セッション管理装置。 Communication performed by the terminal by capturing a plurality of types of authentication signals transmitted and received between an authentication server that performs terminal authentication and session management, and an access server connected between the terminal and the authentication server A session management device that manages a session,
Capture means for capturing the plurality of types of authentication signals;
A session management unit that acquires and manages session information that uniquely identifies the session using the captured plurality of types of authentication signals;
Transmitting means for transmitting the session information to a predetermined device;
The transmission unit is configured to receive an access permission signal among the plurality of types of authentication signals, and a predetermined IP address set in advance is set in attribute information included in the access permission signal. If not, the session information is acquired from the attribute information included in the access permission signal, and the acquired session information is transmitted to the predetermined device.
Session management device.
前記送信手段は、前記端末が行う通信のセッションが開始されたことが検出された場合、前記セッション情報を含むセッション開始通知信号を所定の装置に送信し、前記端末が行う通信のセッションが終了したことが検出された場合、前記セッション情報を含むセッション終了通知信号を前記所定の装置に送信する、請求項1又は2に記載のセッション管理装置。 The session management means detects that a session of communication performed by the terminal has been started or that a session of communication performed by the terminal has ended using the captured plurality of types of authentication signals.
The transmission means transmits a session start notification signal including the session information to a predetermined device when it is detected that the communication session performed by the terminal has been started, and the communication session performed by the terminal is ended. The session management device according to claim 1 or 2 , wherein a session end notification signal including the session information is transmitted to the predetermined device when the above is detected.
前記セッション管理手段は、キャプチャされた前記複数種別の認証信号に含まれる情報を前記第一の記憶手段に格納し、前記第一の記憶手段に格納された情報を用いて前記セッション情報を取得する、請求項1乃至3のいずれか一項に記載のセッション管理装置。 First storage means for storing information contained in the plurality of types of authentication signals;
The session management means stores information contained in the captured plurality of types of authentication signals in the first storage means, and acquires the session information using the information stored in the first storage means. The session management device according to any one of claims 1 to 3.
前記セッション管理手段は、前記第一の記憶手段に格納された情報が前記有効期間を経過した場合に、当該情報を前記第一の記憶手段から削除する、請求項4に記載のセッション管理装置。 And second storage means for storing setting information indicating a valid period of the information stored in the first storage means,
5. The session management device according to claim 4, wherein the session management means deletes the information from the first storage means when the information stored in the first storage means has passed the effective period.
前記複数種別の認証信号をキャプチャするキャプチャステップと、
キャプチャされた前記複数種別の認証信号を用いて、前記セッションを一意に特定するセッション情報を取得して管理するセッション管理ステップと、
前記セッション情報を所定の装置に送信する送信ステップと、を有し、
前記キャプチャステップにおいて、前記セッション管理装置は、前記アクセスサーバと前記認証サーバの間に接続される認証プロキシサーバの前後で前記複数種別の認証信号のうち所定の認証信号をキャプチャし、
前記セッション管理ステップにおいて、前記セッション管理装置は、前記認証プロキシサーバの前でキャプチャされた所定の認証信号と、前記認証プロキシサーバの後でキャプチャされた所定の認証信号とを用いて、前記セッション情報を取得する、
セッション管理方法。 Communication performed by the terminal by capturing a plurality of types of authentication signals transmitted and received between an authentication server that performs terminal authentication and session management, and an access server connected between the terminal and the authentication server A session management method performed by a session management apparatus that manages a session, the method comprising:
A capture step of capturing the plurality of types of authentication signals;
A session management step of acquiring and managing session information for uniquely identifying the session using the plurality of types of authentication signals captured;
Possess a transmitting step of transmitting the session information to a predetermined device,
In the capture step, the session management device captures a predetermined authentication signal among the plurality of types of authentication signals before and after an authentication proxy server connected between the access server and the authentication server.
In the session management step, the session management device uses the predetermined authentication signal captured in front of the authentication proxy server and the predetermined authentication signal captured after the authentication proxy server, and uses the session information. To get
Session management method.
前記複数種別の認証信号をキャプチャするキャプチャステップと、
キャプチャされた前記複数種別の認証信号を用いて、前記セッションを一意に特定するセッション情報を取得して管理するセッション管理ステップと、
前記セッション情報を所定の装置に送信する送信ステップと、有し、
前記送信ステップにおいて、前記セッション管理装置は、前記複数種別の認証信号のうちアクセス許可信号を受信した場合であって、かつ、当該アクセス許可信号に含まれている属性情報に、予め定められた所定のIPアドレスが設定されていない場合、当該アクセス許可信号に含まれている属性情報から前記セッション情報を取得し、取得した前記セッション情報を前記所定の装置に送信する、
セッション管理方法。 Communication performed by the terminal by capturing a plurality of types of authentication signals transmitted and received between an authentication server that performs terminal authentication and session management, and an access server connected between the terminal and the authentication server A session management method performed by a session management apparatus that manages a session, the method comprising:
A capture step of capturing the plurality of types of authentication signals;
A session management step of acquiring and managing session information for uniquely identifying the session using the plurality of types of authentication signals captured;
A transmitting step for transmitting the session information to a predetermined device, possess,
In the transmission step, the session management apparatus is a case where an access permission signal is received among the plurality of types of authentication signals, and a predetermined one of the attribute information included in the access permission signal is predetermined. When the IP address of is not set, the session information is acquired from the attribute information included in the access permission signal, and the acquired session information is transmitted to the predetermined device.
Session management method.
前記セッション管理装置に、
前記複数種別の認証信号をキャプチャするキャプチャステップと、
キャプチャされた前記複数種別の認証信号を用いて、前記セッションを一意に特定するセッション情報を取得して管理するセッション管理ステップと、
前記セッション情報を所定の装置に送信する送信ステップと、を実行させるプログラムであり、
前記キャプチャステップにおいて、前記セッション管理装置に、前記アクセスサーバと前記認証サーバの間に接続される認証プロキシサーバの前後で前記複数種別の認証信号のうち所定の認証信号をキャプチャさせ、
前記セッション管理ステップにおいて、前記セッション管理装置に、前記認証プロキシサーバの前でキャプチャされた所定の認証信号と、前記認証プロキシサーバの後でキャプチャされた所定の認証信号とを用いて、前記セッション情報を取得させる、
プログラム。 Communication performed by the terminal by capturing a plurality of types of authentication signals transmitted and received between an authentication server that performs terminal authentication and session management, and an access server connected between the terminal and the authentication server A program in a session management device that manages a session,
In the session management device,
A capture step of capturing the plurality of types of authentication signals;
A session management step of acquiring and managing session information for uniquely identifying the session using the plurality of types of authentication signals captured;
A transmission step of transmitting the session information to a predetermined device ;
In the capture step, the session management apparatus is made to capture a predetermined authentication signal among the plurality of types of authentication signals before and after the authentication proxy server connected between the access server and the authentication server,
In the session management step, the session information using the predetermined authentication signal captured in front of the authentication proxy server and the predetermined authentication signal captured after the authentication proxy server in the session management device. To get
Program .
前記セッション管理装置に、
前記複数種別の認証信号をキャプチャするキャプチャステップと、
キャプチャされた前記複数種別の認証信号を用いて、前記セッションを一意に特定するセッション情報を取得して管理するセッション管理ステップと、
前記セッション情報を所定の装置に送信する送信ステップと、を実行させるプログラムであり、
前記送信ステップにおいて、前記セッション管理装置に、前記複数種別の認証信号のうちアクセス許可信号を受信した場合であって、かつ、当該アクセス許可信号に含まれている属性情報に、予め定められた所定のIPアドレスが設定されていない場合、当該アクセス許可信号に含まれている属性情報から前記セッション情報を取得させ、取得した前記セッション情報を前記所定の装置に送信させる、
プログラム。 Communication performed by the terminal by capturing a plurality of types of authentication signals transmitted and received between an authentication server that performs terminal authentication and session management, and an access server connected between the terminal and the authentication server A program in a session management device that manages a session,
In the session management device,
A capture step of capturing the plurality of types of authentication signals;
A session management step of acquiring and managing session information for uniquely identifying the session using the plurality of types of authentication signals captured;
A transmission step of transmitting the session information to a predetermined device ;
In the transmission step, the session management apparatus receives an access permission signal among the plurality of types of authentication signals, and is predetermined in attribute information included in the access permission signal. When the IP address of is not set, the session information is acquired from the attribute information included in the access permission signal, and the acquired session information is transmitted to the predetermined device.
Program .
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2015104369A JP6535217B2 (en) | 2015-05-22 | 2015-05-22 | Session management apparatus, session management method and program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2015104369A JP6535217B2 (en) | 2015-05-22 | 2015-05-22 | Session management apparatus, session management method and program |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2016218827A JP2016218827A (en) | 2016-12-22 |
JP6535217B2 true JP6535217B2 (en) | 2019-06-26 |
Family
ID=57581200
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2015104369A Active JP6535217B2 (en) | 2015-05-22 | 2015-05-22 | Session management apparatus, session management method and program |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6535217B2 (en) |
Family Cites Families (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2004153343A (en) * | 2002-10-28 | 2004-05-27 | Ipsquare Inc | Transfer apparatus and transfer method |
JP4261382B2 (en) * | 2004-02-17 | 2009-04-30 | 株式会社日立コミュニケーションテクノロジー | Access server with communication statistics collection function |
JP4028853B2 (en) * | 2004-03-30 | 2007-12-26 | 株式会社日立製作所 | Information service communication network system and session management server |
JP5051055B2 (en) * | 2008-08-12 | 2012-10-17 | 富士通株式会社 | Method, probe apparatus, and aggregation server apparatus for identifying influence range when network failure occurs in internet service with signaling |
JP5725615B2 (en) * | 2011-08-11 | 2015-05-27 | Kddi株式会社 | Communication quality measuring method and apparatus |
-
2015
- 2015-05-22 JP JP2015104369A patent/JP6535217B2/en active Active
Also Published As
Publication number | Publication date |
---|---|
JP2016218827A (en) | 2016-12-22 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP1998506B1 (en) | Method for controlling the connection of a virtual network | |
JP5624973B2 (en) | Filtering device | |
JP5865277B2 (en) | Authentication switch or network system | |
CA2820378A1 (en) | Secure tunneling platform system and method | |
US20100287270A1 (en) | Control proxy apparatus and control proxy method | |
JP3966711B2 (en) | Proxy response method | |
KR20200102328A (en) | Method and device for processing data | |
JP2009163546A (en) | Gateway, repeating method and program | |
US20090025079A1 (en) | Communication system for authenticating or relaying network access, relaying apparatus, authentication apparatus, and communication method | |
WO2017080231A1 (en) | Method of accessing wireless network and device utilizing same | |
WO2016057930A1 (en) | Method and system for discovering user equipment in a network | |
CN113746788A (en) | Data processing method and device | |
JP6197286B2 (en) | Communication device, information processing system, and information processing system control method | |
JP2008146363A (en) | Authentication method in computer network | |
CN109327455A (en) | A kind of access method of NAS device, device, equipment and readable storage medium storing program for executing | |
JP6535217B2 (en) | Session management apparatus, session management method and program | |
EP3691201B1 (en) | Remote access control system | |
JP2017207909A (en) | Authentication system, communication system, authentication method, and program | |
KR101491322B1 (en) | Self-configuring local area network security | |
KR101236500B1 (en) | Apparatus for social network service relay service for small embedded apparatus and method thereof | |
CN105704105B (en) | Authentication method and access device | |
JP6609660B2 (en) | COMMUNICATION SYSTEM, COMMUNICATION DEVICE, COMMUNICATION METHOD, AND COMMUNICATION PROGRAM | |
WO2020083384A1 (en) | Responsible person positioning method and apparatus, data sending method and apparatus, device, and storage medium | |
JP5292335B2 (en) | Connection destination node selection method, apparatus and program | |
WO2019220480A1 (en) | Monitoring device, monitoring method, and program |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20180409 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20181228 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20190129 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20190327 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20190521 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20190531 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6535217 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |