Nothing Special   »   [go: up one dir, main page]

JP3895146B2 - サービス制御ネットワーク、サーバ装置、ネットワーク装置、サービス情報配布方法、及びサービス情報配布プログラム - Google Patents

サービス制御ネットワーク、サーバ装置、ネットワーク装置、サービス情報配布方法、及びサービス情報配布プログラム Download PDF

Info

Publication number
JP3895146B2
JP3895146B2 JP2001322934A JP2001322934A JP3895146B2 JP 3895146 B2 JP3895146 B2 JP 3895146B2 JP 2001322934 A JP2001322934 A JP 2001322934A JP 2001322934 A JP2001322934 A JP 2001322934A JP 3895146 B2 JP3895146 B2 JP 3895146B2
Authority
JP
Japan
Prior art keywords
address
service
network
terminal device
service control
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2001322934A
Other languages
English (en)
Other versions
JP2003134145A (ja
Inventor
光明 掛水
新也 山村
浩之 谷口
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Priority to JP2001322934A priority Critical patent/JP3895146B2/ja
Priority to EP20020007344 priority patent/EP1304847A3/en
Priority to US10/119,657 priority patent/US20030079144A1/en
Priority to CNB021465827A priority patent/CN100380892C/zh
Publication of JP2003134145A publication Critical patent/JP2003134145A/ja
Application granted granted Critical
Publication of JP3895146B2 publication Critical patent/JP3895146B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/2866Architectures; Arrangements
    • H04L67/30Profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

【0001】
【発明の属する技術分野】
本発明は、加入者ごとに或いは端末ごとに個別のサービスを提供するサービス制御ネットワーク、サーバ装置、ネットワーク装置、サービス情報配布方法、及びサービス情報配布プログラムに係わる。
【0002】
【従来の技術】
近年、インターネットの普及に伴い、膨大な数の端末装置がネットワークに接続できるようになっている。特に、ネットワークに接続可能な移動端末の数は急激に増加してきている。そして、このことに伴い、ネットワーク上に設けられるネットワーク装置(主に、ルータ装置)の数も増加してきている。
【0003】
一方、加入者に通信サービスを提供するサービス提供業者は、各加入者との契約により、加入者ごとに異なったサービスを提供するようになってきている。例えば、端末ごとにQoS(Quality of Service:サービス品質制御)などを配布できるようになっている。
【0004】
ところで、各加入者または端末に対して個別のサービスを提供するためには、モバイル環境を考慮すると、ネットワーク上のすべての通信ノードに加入者ごとのサービス制御情報を配布しておくことが望ましい。しかし、ネットワーク上に設けられている通信ノードの数は膨大であり、その全てに各加入者のサービス制御情報を配布しておくことは実質的に不可能である。
【0005】
このため、ネットワーク上の全ての通信ノードに各加入者のサービス制御情報を配布することなく、必要最小限の通信ノード(例えば、実際に配布される通信経路上の通信ノード)のみに対応する加入者のサービス制御情報を動的に配布する方式が提案されている。この方式は、例えば、移動端末がある通信ノードの通信エリアから他の通信ノードに通信エリアに移動した際に、その移動端末を新たに収容することとなった通信ノードにその移動端末のサービス制御情報を配布することにより実現される。
【0006】
【発明が解決しようとする課題】
ところで、IPv4(Internet Protocol Version4)を基盤技術とするインターネットの世界では、IPv4アドレスの枯渇から、DHCP(Dynamic Host Configuration Protocol:動的ホスト構成プロトコル)などにより動的にIPアドレスを取得し、IP(Internet Protocol)アドレスの有効利用を図るような仕組みが広く採用されている。インターネットの次世代基盤プロトコルであるIPv6(Internet Protocol Version 6)は、広大なアドレス空間を提供する一方で、動的アドレス生成の仕組みを標準機能として組み込んでおり、インターネット上の通信は今後、動的アドレスに対応することが課題となる。
【0007】
また、近年のインターネットでは、サーバ装置がネットワークを集中管理し、ネットワークにIPアドレス指定でセキュリティ、QoS、経路配布等を行なうことが実現可能となったが、制御対象のネットワーク機器は固定アドレスを持っている必要があり、動的なアドレスを持つネットワーク機器の制御ができなかった。
【0008】
本願の発明者らが日本国特許庁に出願し、出願公開された特開2001−169341号は、Mobile IP技術を応用したものである。上記出願特許において、ネットワーク管理システムNMS(NETWORK MANAEMENT SYSTEM)(以下、サーバ装置と呼ぶ)は、移動端末を考慮したネットワークの制御が困難であり、位置登録手順と連携したサービス制御情報の配布手段が必要であることを述べ、サービスプロファイルをエッジルータに転送する技術が開示されている。
【0009】
本発明は、動的アドレス構成の仕組みと連携したサービス制御情報の配布手段を用意することで、アドレスが不定なネットワーク機器にもネットワークの制御情報の配布を可能にするサービス制御ネットワーク、サーバ装置、ネットワーク装置、サービス情報配布方法、及びサービス情報配布プログラムを提供することを目的とする。
【0010】
また、一般にアドレス自動構成手段と共に採用される非認証ユーザの規制サービスに関して、サービス制御情報の配布手段を利用した効率的なフィルタリングサービス及びネットワークサービスを提供することを目的とする。
【0011】
【課題を解決するための手段】
本発明は、上記課題を解決するため、下記のような構成を採用した。
すなわち、本発明の一態様によれば、本発明のサービス制御ネットワークは、端末装置(ホスト、クライアント、ユーザ端末、アプリケーションサーバ)の識別情報として、ネットワークアクセス識別子(RFC2486)を用いて記載されたサービス制御情報データベースと、クライアントがオンラインになったのを契機にネットワークアクセス識別子とクライアントのネットワーク装置により上記端末装置に付与されたIPアドレスを対応付け、ネットワークアクセス識別子をIPアドレスに変換したサービス制御情報を必要な経路上に配布するサーバ装置と、IPアドレスをクライアントの識別としてサーバ装置から配布されたサービス制御情報(ポリシー)に基づいてパケットの転送制御を行うネットワーク装置から構成される。
【0012】
また、本発明のサーバ装置は、上記サービス制御ネットワークにおいて、端末装置(クライアント)のネットワーク装置により上記端末装置に付与されたIPアドレスとネットワークアクセス識別子とを対応付けるアドレスキャッシュを持ち、サーバ装置自身、又は他のエンティティ(ネットワーク装置、サーバ、アプリケーション)からのネットワークアクセス識別子を指定したネットワーク制御要求に対して、管理下のネットワーク装置が理解できる形式にサービス制御情報を変換するサービスプロファイル制御部と、そのサービスプロファイルの配布先を特定し配布するサービスプロファイル配布部とを持つ。
【0013】
さらに、上記サーバ装置は、ユーザの認証手順実行により、クライアントのネットワークアクセスを検出し、認証要求を行ったユーザのネットワーク識別子とネットワーク装置から通知されたIPアドレスを、アドレスキャッシュに登録する認証制御部と、要求ユーザのネットワーク識別子からIPアドレスを求めるためのインタフェースを認証制御部に提供するサービスプロファイル生成部と、ネットワークプレフィックスとネットワーク装置の対応表を持ち、サービスプロファイル生成部によりIPアドレス変換されたサービスプロファイルの始点アドレスよりサービスプロファイルの配布先を決定するサービスプロファイル配布部を持つ。
【0014】
さらに、上記サーバ装置は、サービスプロファイル配布部が、ネットワーク装置に理解できる形式に変換されたサービスプロファイルを始点アドレスから求められたネットワーク装置毎のキューに蓄積し、認証制御部が、各ネットワーク装置からの認証要求メッセージに対する認証応答メッセージを生成時に、送出先ネットワーク装置に対応するキューから、そのネットワーク装置へ配布するサービスプロファイルを抽出し、メッセージ上に複数のサービスプロファイルを多重化することを特徴とする。
【0015】
また、上記ネットワーク装置は、サーバ装置の認証制御部と認証要求及び認証応答のメッセージを交換することで、認証要求ユーザへのネットワークアクセスの認可とIPアドレスの割り当てを許容するアテンダント部と、サーバ装置により通知された多重化されたサービス制御情報をユーザ単位に分割し管理するサービス制御部とを備える。
【0016】
また、上記サーバ装置は、サービスプロファイル配布部は他ドメイン宛のキューを持ち、他ドメインからの認証要求時には、ドメイン毎のキューに蓄積する。
認証制御部は、認証要求メッセージに対する認証応答メッセージを生成時に、認証要求ドメインに対応するキューから、そのネットワーク装置へ配布するサービス制御情報を抽出して認証応答メッセージとして送出する。
【0017】
認証要求元のサーバ装置は、認証応答メッセージで通知されたサービスプロファイルを抽出し、自管理ドメイン配下のネットワーク装置配下のキューに蓄積する。
【0018】
また、上記ネットワーク装置は、クライアントからの認証要求が一定期間無い場合に、自律的にサーバ装置へサービス要求メッセージを送出し、サービス応答メッセージで自サーバ装置に関係あるサービス制御情報をダウンロードするアテンダントを持つ。
【0019】
さらに、サービス制御ネットワークにおいては、サービスプロファイルを静的な制御情報と動的な制御情報とにわけ、静的なものは、認証終了直後、動的なものはパケットの送出を契機に適用する。
【0020】
また、上記ネットワーク装置は、上記静的なサービス制御方式を効率的に行うために、割り当て可能なIPアドレスをIPアドレスの始点アドレスを参照してフィルタリングする静的パケットフィルタに登録し、パケットフィルタの帰結部としてパケット棄却を登録する。
【0021】
さらに、上記ネットワーク装置は、ホストの認証手順実行時に、帰結部をサーバ装置から認証応答メッセージで返されるクライアントに割り当てたアドレスに対応するサービスプロファイル、具体的にはクライアント毎にカスタマイズされたQoS情報で置換することにより、ハードウェア資源を有効利用する。
【0022】
また、上記ネットワーク装置は、上記動的なサービス制御方式を効率的に行うために、IPアドレスの始点アドレスを参照してフィルタリングするパケットフィルタに不一致時は、パケットのIPアドレスの始点アドレスが割り当て中であるかチェックし、割り当て中であれば、サーバ装置により配布されたサービス制御情報をパケットフィルタとポリシーテーブルに登録する。
【0023】
さらに、割り当て中でなければ、パケット棄却を指定したサービス制御情報をパケットフィルタとポリシーテーブルに登録する。
また、上記ネットワーク装置は、パケット棄却のサービスプロファイルを配布した、パケットフィルタを通過したパケットをロギングし、規定回数以上のアクセスがあった場合、管理者に警告を発するアクセス監視部を持つ。
【0024】
さらに、サービス制御ネットワークにおいては、サービスプロフィアルを更に、ユーザの上り方向と下り方向のQoSを一律に配布する基本サービス情報と、上り方向の終点アドレス、下り方向の始点アドレスを個別に配布可能な拡張サービス情報とに分け、ハードウェア資源をより消費する拡張サービス情報について、課金等へ反映することを可能とする。
【0025】
さらに、サービス制御ネットワークにおいては、特定のアドレスを指定しないようなサービス制御情報をサーバ装置配下の全ネットワーク装置に配布することを避けるために、下り方向のサービス制御情報をIPv6の中継点オプションに載せて、目的とするネットワーク装置に通知する。
【0026】
また、上記ネットワーク装置は、静的パケットフィルタ又は動的パケットフィルタの帰結部に、パケット転送時トラフィッククラスフィールドの編集と共に、下り方向のサービスプロファイルをIPv6の中継点オプションに設定し挿入する制御コードを設定し、このオプションを持つパケットを受信した場合は、動的パケットフィルタに設定する。
【0027】
【発明の実施の形態】
以下、本発明の実施の形態について図面を参照しながら説明する。なお、図中の丸付数字の代わりに{}付数字を用いることもある。
【0028】
なお、実施の形態のサービス制御ネットワークは、IPv6ネットワークを含むことを前提とする。また、実施の形態のサービス制御ネットワークは、端末装置を認証するAAA(Authentication, Authorization, and Accounting)サーバ、IPv6ネットワークを構成する通信ノードとしてのネットワーク装置(例えば、IPv6ルータ装置により実現、エッジノード(EN)ともいう)、IPv6ネットワークと端末装置とを接続するアクセス網、および端末装置としてのIPv6ホストを含む。
【0029】
また、本発明のうち、位置登録手順(Mobilt IP)に依存しない手法を本発明の手法Aとして説明しているが、これについては、本出願人が出願した特願2001−189497号に詳述している。
【0030】
図1は、本発明の原理を説明するためのサービス制御ネットワークの構成図である。
図1において、サービス制御ネットワークは、QoS保証された通信を行なうIPネットワークに接続されたネットワーク装置2と、IPネットワークを介してネットワーク装置2を管理するサーバ装置3と、ローカル網を介してネットワーク装置2と通信するホスト1とを備えている。
【0031】
このような構成を採用することにより、ネットワーク上を自由に移動するユーザがネットワークのどこからアクセスしても常に同じネットワークサービスを享受することが可能となる。
【0032】
図2は、本発明にかかるサービス制御ネットワークを実現するために解決しようとする問題点を示す図である。
図1で示したようなネットワークを実現するためには、図2で示すような3つの課題を解決する必要がある。
【0033】
すなわち、▲1▼ネットワーク機器へのサービス制御情報(ポリシー、サービスプロファイル)配布の契機、▲2▼動的なアドレスを持つホストへのポリシー設定方法、▲3▼通信に関与するエッジノード(EN)へのポリシー配布方法、の3つである。
【0034】
以下、それぞれの解決方法の概要を述べる。
図3は、本発明の手法Bによる課題の解決方法を示したものである。
▲1▼については上記特開2001−169341号では、Mobile IPの位置登録手順を契機としている。本発明の手法Aではアドレス自動構成手順を契機としており、本発明の手法Bでもアドレス自動構成手順を契機とする。
【0035】
▲2▼については本発明の手法Aでは、RFC(Request For Comments)2486で規定されているNAI(Network AccessIdentifier:ネットワークアクセス識別子)をIPアドレスの代りにホストの識別子として用いる方法を提案している。本発明の手法Bも同様にNAIを用いる。
【0036】
▲3▼については、特開2001−169341号はMibile IPの位置登録手順に関与した移動性エージェントとデータパケット送受信時の経路最適化手順を利用することで、通信に関与するENを特定しポリシーを配布している。本発明の手法AではENがデータパケットを受信時に通信先ホストを収容しているENへNAI解決及びサービスプロファイル配布を要求することで、通信に関与するENへポリシーを配布している。本発明の手法Bは、アドレス自動構成手順に連携した認証手順にてサーバ装置(NMS)がアドレス要求ユーザのNAIで記述されたサービスプロファイルをIPアドレスで記述されたポリシーへと変換し、IPアドレスから参照されるネットワーク装置へ直接ポリシーを配布する。この部分が本発明の手法B独自の処理方式であり、本発明の手法Aと異なる部分である。本発明の手法Aと本発明の手法Bとの相違の詳細は後述する。
【0037】
本発明の手法Bの基本動作として、静的なサービス制御情報設定(図4)と動的なサービス制御情報設定(図5)がある。以下ポリシーとサービスプロファイルは同義語として用いる。
【0038】
まず図4を参照しながら静的なサービス制御情報設定の原理を説明する。(1)ユーザは通信に用いる端末(ホスト:host1)からサーバ装置(NMS)で管理されているデータベースにNAI指定でサービス登録を行なう。(2)上記ホスト(host1)はネットワークとのリンク確立を契機にアドレス自動構成手順を行なう。(3)アドレス割当要求を受信したネットワーク装置(EN1)は、要求されたアドレスを割り付け、ホスト(host1)のネットワーク接続を許容するか判断するためにサーバ装置(NMS)へ認証要求を行なう。(4)認証要求を受信したサーバ装置(NMS)は、ホストの認証を行なうとともに、認証要求メッセージに設定されたNAIからサービスプロファイルデータベースを検索する。抽出されたサービスプロファイルのNAIで記述されている部分を、サーバ装置(NMS)が管理しているアドレスキャッシュを参照してIPアドレスに置換した配布用のサービスプロファイルを生成し、認証応答メッセージを返す。(5)認証応答メッセージを受信したネットワーク装置(EN1)は、認証が成功であれば、割り付けたアドレスが利用可能なようにパケットフィルタを設定し、アドレス割付要求メッセージに対する応答メッセージを返す。(6)サーバ装置(NMS)は、サービスプロファイル条件部分の始点アドレスを参照して、サービスプロファイルを配布するネットワーク装置(EN1、EN2)を特定し、サービスプロファイルを配布する。これらの配布は、ネットワーク装置(EN1、EN2)への認証応答メッセージ又はサービス応答メッセージで行なわれる。(7)この段階で、ネットワーク上で通信可能なホスト(host2)についてのサービスプロファイルは既にネットワーク上に設定済みであるので、ホスト(host1)はユーザが登録したホスト(host2)との間で、ユーザが所望する品質で通信を行なうことができる。
【0039】
静的にサービスを設定する方法は、本発明の手法Bの根幹となる部分であり、特定のアプリケーションサーバにのみに特別なサービス品質を指定するような通信においてサービスプロファイルの配布の最適化に効果が期待できる。
【0040】
一方、特定の通信相手を指定しない、全ての通信について同一のサービス品質を求めるような場合は、静的に設定する方式では、結局、全てのENへサービスプロファイルを配布せねばならず、通信に関与するネットワーク機器にのみポリシーに配布するといった特開2001−169341号の長所が失われてしまう。
【0041】
図5は、このような通信に対するサービス制御を、本発明の手法Aとは別の手段で実現する方式であり、本発明の手法Bの2つ目の要点である。
図5を参照しながら動的なサービス制御情報設定の原理を説明する。(1)〜(5)については、図4で説明したのと同一である。(6)サーバ装置(NMS)は、サービスプロファイル条件部分の始点アドレスを参照して、サービスプロファイルを配布するネットワーク装置(NE1)を特定し、サービスプロファイルを配布する。この例の場合は、通信相手が特定されないため、始点アドレスからエッジノードが特定できるネットワーク装置(EN1)へのみサービスプロファイルが配布される。(7)ホスト(host1)からホスト(host2)へデータパケットを送信するとネットワーク装置(EN1)は、(6)で配布されたサービスプロファイルに従って、マーキングやキュー制御を行なった後、ネットワーク装置(EN2)へ送出するデータパケットに下り方向に適用するサービスプロファイル情報を設定した中継点オプションを付加する。ネットワーク装置(EN2)は中継点オプションを付加されたデータパケットを受信すると、中継点オプションに設定されている情報をフィルタに設定し、ホスト(host2)からの後続の通信に備える。(8)ホスト(host2)からホスト(host1)へデータパケットが送出されると、ネットワーク装置(EN2)では(7)で設定されたフィルタに従ってマーキングやキュー制御を行なった後、ネットワーク装置(EN1)へデータパケットを転送する。
【0042】
以下、図6〜図9を参照しながら本発明の手法Aと本発明の手法Bとの相違点を説明する。
図6は、ホスト(host1)がホスト(host2)との双方向の通信に対してDiffserveのAF1クラスを適用するようなサービス設定を行なった場合の、ホスト(host1)がネットワークに接続されてから、ホスト(host2)へデータパケットを送出するまでのサービスプロファイルの適用処理を示したもので、(a)が手法Aの処理、(b)が手法Bの処理である。
【0043】
なお、ホスト(host1)がネットワークに接続される前に、ホスト(host2)は既にネットワークに接続されサーバ装置(NMS)により認証済みであるとする。
【0044】
まず本発明の手法Aの処理を説明する。▲1▼ホスト(host1)はサーバ装置(NMS)に認証要求を行なう。▲2▼サーバ装置(NMS)はホスト(host1)に関する双方向のサービスプロファイルをNAI形式のままネットワーク装置(EN1)へ通知する(図6(a)でNMS(サーバ装置)に示されたSP(サービスプロファイル)をEN1(ネットワーク装置)のSPとして送付する。)。▲3▼ネットワーク装置(EN1)はホスト(host1)からデータパケットを受信すると、サービスプロファイルが有効になっているか調べる。この段階ではホスト2のNAIに対応するIPアドレスがわかっていないとサービスプロファイルは有効でないので、そのままデータパケットをIPネットワークに転送する。▲4▼サービスプロファイルが有効でない場合は、データパケット送出先ホスト収容のネットワーク装置(EN2)へNAIの解決とサービスプロファイルの配布を要求する。これは、NAIとIPアドレスを対応付ける情報であるアドレスキャッシュを、アドレスを割り付けたノードすなわちここではEN2のみが管理しているためである。この例では、ホスト(host2)はネットワーク装置(EN1)が以下のホストに対して何もサービスは登録していないのでサービスプロファイルは無しであり、ネットワーク装置(EN2)の下に図示したアドレスキャッシュよりホスト(host2)のIPアドレスに対応するNAIがネットワーク装置(EN1)へ返される。これにより、ホスト(host2)のNAIに対するIPアドレスが解決されるので、ホスト(host1)からホスト(host2)への上り方向のサービスプロファイルを有効化できるため、サービスプロファイルを有効にする。▲5▼ホスト(host1)からホスト(host2)への後続のデータパケットに対してサービスプロファイルが適用される。すなわち、ホスト(host1)からホスト(host2)へQoSがAF1にて後続のデータパケットの送信が行われる。
【0045】
次に本発明の手法Bの処理を説明する。▲1▼ホスト(host1)はサーバ装置(NMS)に認証要求を行なう。▲2▼サーバ装置(NMS)はホスト(host1)に関するサービスプロファイルをNAI形式からIPアドレス形式に変換し、それぞれの始点アドレスのネットワークプレフィックスから求められるネットワーク装置へサービスプロファイルを配布する。具体的にはホスト(host1)からホスト(host2)への上り方向のサービスプロファイルはネットワーク装置(EN1)へ、ホスト(host2)からホスト(host1)への下り方向のサービスプロファイルはネットワーク装置(EN2)へ配布される。本発明の手法Aと異なり、本発明の手法Bではアドレスキャッシュをサーバ装置(NMS)も保持しているので、アドレス解決手順を行うことなくIPアドレスへの変換が可能である。これらの配布されたサービスプロファイルは有効化の必要条件を満たしているため、受信後直ぐに有効化される。▲3▼ホスト(host1)からホスト(host2)へのデータパケットに対してサービスプロファイルが適用される。
【0046】
図7は、図6と同じ条件で、ホスト(host2)がホスト(host1)へデータパケットを送出した時のサービスプロファイルの適用処理を示したものである。(a)が手法Aの処理、(b)が手法Bの処理である。
【0047】
本発明の手法Aの処理を説明する。▲1▼ネットワーク装置(EN2)はホスト(host2)からデータパケットを受信すると、サービスプロファイルが有効になっているか調べる。この段階では有効でないので、そのままデータパケットを転送する。▲2▼サービスプロファイルが有効でない場合は、データパケット送出先ホスト収容のネットワーク装置へNAIの解決とサービスプロファイルの配布を要求する。この例では、ホスト(host1)がホスト(host2)に対してサービスを登録しているので、ホスト(host2)からホスト(host1)への下り方向のサービスプロファイルと、ホスト(host1)のIPアドレスに対応するNAIがネットワーク装置(EN2)へ返される。通知されたサービスプロファイルのNAIに対するIPアドレスが解決されると、ホスト(host2)からホスト(host1)方向のサービスプロファイルを有効化できるため、サービスプロファイルを有効にする。▲3▼ホスト(host2)からホスト(host1)への後続のデータパケットに対してサービスプロファイルが適用される。
【0048】
本発明の手法Bの処理を説明する。▲1▼ホスト(host2)からホスト(host1)へのサービスプロファイルは、既に有効なので、データパケットに対してサービスプロファイルが適用される。
【0049】
以上本発明の手法Aと本発明の手法Bの相違を示した。図6、図7からわかる通り、本発明の手法Bはサービス配布方式としては本発明の手法Aより単純化されており、ネットワーク装置(EN)の処理負荷の軽減効果が期待できる。又、本発明の手法Aが初回送出パケットにサービス適用ができないのに対して、本発明の手法Bでは初回送出パケットに対してもサービス適用が可能である。
【0050】
一方、本発明の手法Aは、通信時のみにしかサービスプロファイルが有効にならないので、ネットワーク資源の有効利用という点では優れている。本発明の手法Bでは、ユーザ端末のアドレス期限が有効な間は、通信を行なっているか否かに関係無く、常にサービスプロファイルが有効となり、ネットワーク資源の有効利用という点では劣る。しかし非認証ユーザの規制サービスを考慮した場合、アクセス規制フィルタを作成する必要があり、これらのフィルタとサービスプロファイルを適用するためのフィルタを連携することにより、本発明の手法Bによってもネットワーク資源の有効利用が可能となる。フィルタの連携方式については後述する。
【0051】
図8は、ホスト(host1)が関与する全ての通信に対してサービス品質(QoS)たとえばDiffserveのAF1クラスを適用するようなサービス設定を行なった場合の、ホスト(host1)がネットワークに接続されてから、ホスト(host2)へデータパケットを送出するまでのサービスプロファイルの適用処理を示したものである。(a)が手法Aの処理、(b)が手法Bの処理である。
【0052】
なお、ホスト(host1)がネットワークに接続される前に、ホスト(host2)は既にネットワークに接続されサーバ装置(NMS)により認証済みであるとする。
【0053】
本発明の手法Aについては図6と同一である。通信相手の指定がないためサービスプロファイルの有効化に特別な工夫があるが、サービスプロファイルの配布処理については同一である。本発明の手法Bについても、図6の処理で行なうことは可能であるが、既に述べたように、このような設定のもとでは全てのネットワーク装置へのサービスプロファイルをサーバ装置(NMS)から配布することが必要になり、通信に関与するネットワーク機器へのみ設定するという、発明の利点が失われてしまう。
【0054】
ここでは、サーバ装置(NMS)でアドレス解決を行うことで可能になる動的なサービスプロファイル配布方式について説明する。
▲1▼ホスト(host1)はサーバ装置(NMS)に認証要求を行なう。▲2▼サーバ装置(NMS)はホスト(host1)に関するサービスプロファイルをサーバ装置(NMS)に存在するアドレスキャッシュを使ってNAI形式からIPアドレス形式に変換する。通信相手が不定である場合は、双方向のサービスプロファイルを、認証要求を送出したネットワーク装置(EN1)へ配布する。通信相手が不定のサービスプロファイルは始点アドレスのみが条件となるサービスフィルタであるので、有効化が可能である。▲3▼ネットワーク装置(EN1)がホスト(host1)からホスト(host2)へのルーティングされるべきデータパケットを受信すると、ネットワーク装置(EN1)は有効化されたサービスプロファイルに従い、パケットの制御を行い、ホスト(host2)を収容するネットワーク装置(EN2)に、ホスト(host1)への下り方向に適用されるサービスプロファイル(図8(b)でEN2の下部に示したSP)を前記データパケットのIPヘッダの中継オプションにネットワーク装置(EN1)が設定して付加する。▲4▼ネットワーク装置(EN2)は中継オプションを受信すると、受信したサービスプロファイルを有効化する。▲5▼中継オプションを取り除き前記データパケットをホスト(host2)へ転送する。
【0055】
図9は、図8と同じ条件で、ホスト(host2)がホスト(host1)へデータパケットを送出した場合の処理を示す。(a)が手法Aの処理、(b)が手法Bの処理である。この図についての説明は図7と同じである。
【0056】
本発明の手法Bでは、静的なサービス制御情報の設定方法と動的なサービス制御情報の設定方法の2つを考案し、それぞれが特開2001−169341号と実現手段において異なることを示している。本発明の手法Bの2つの方式を組み合わせることでネットワーク資源の有効利用も考慮したサービス制御が可能となる。提供サービスの一例としては、ユーザの基本サービス制御情報は動的なサービス制御情報として配布し、ユーザの認証フィルタでの棄却ポリシーと置換することでネットワーク装置のハードウェア資源を節約し、かつ不要なノードへのサービスプロファイル配布を避ける。また静的情報は、特定の通信先に対する規制サービスやユーザの拡張用サービスとして提供し、消費するネットワーク資源に応じてユーザに課金するようなことが可能となる。
【0057】
ここで、システム機能の概要を説明する。
図10は、本発明の手法Bの機能ブロック図である。以下に機能概要を述べる。
「ICMP(Internet Control Message Protocol:インターネット制御メッセージプロトコル)」
ICMPは、アドレス自動構成に用いるプロトコルであり、将来規定される全てのアドレス自動構成に用いるメッセージを利用可能である。現状IPv6でのアドレス自動構成のプロトコルとしてはIETF(Internet Engineering Task Force:インターネット技術特別調査委員会)ドラフトとしてdraft−perkins−aaav6-03.txtが規定されている。
【0058】
ICMPプロトコルの詳細を図11〜図15に示す。
「AAAプロトコル」
AAAプロトコルは、サーバ装置が使用するプロトコルであり、本発明の手法Bでは、使用するプロトコルを特定しないが、実施の形態では現在IETFで検討中のDIAMETERプロトコル(旧仕様のDIAMETERプロトコルに関しては、特開2001−169341号に記載)の使用を想定する。AAAプロトコルは認証、認可、課金、ポリシーに関する情報を伝達可能なあらゆるプロトコルで実装可能である。
【0059】
DIAMETERプロトコルの詳細を図16〜図22に示す。図中のAMR(AAA Mobile Node Request)、AMA(AAA Mobile Node Answer)は実施例のAHR(AAA Client Request)、AHA(AAA Client Answer)メッセージに相当する。draft−perkins−aaav6-03.txtではAHR、AHAメッセージの詳細を規定しておらず、本発明の手法Bでは説明のため便宜的に既存メッセージであるAMR、AMAをメッセージ構成の例として示す。
「ホスト」
ホスト1は、PC、PDA、携帯電話等のIPプロトコルを用いて通信する端末である。
「ネットワーク装置(Edge Node:EN)」
ネットワーク装置2は、ホストを収容するルータであり、一般にエッジノードと呼ばれる。本発明の手法Bのネットワーク装置2は、ホスト1からのアドレス自動構成手順と認証手順を連携するアテンダント22、受信したIPパケットの転送制御を行なうパケット制御部20、認証成功時にサーバ装置3から通知されたサービスプロファイルをパケット制御部20に静的に設定するサービス制御部23、パケット制御部20からのパケット受信を契機にサービスプロファイルを動的に設定するアクセス監視部21から構成される。
【0060】
「サーバ装置」
サーバ装置3は、ネットワークを監視し、管理下のネットワーク装置2にオペレータの操作により、または、予め設定された条件に従い自動的にネットワーク装置2にIPパケット制御情報を設定する装置である。一般にはポリシーサーバやAuthentication(認証)、Authorization(認可)、Accounting(課金)を行うAAAサーバが相当する。本発明の手法Bのサーバ装置3はホスト1の認証を行なう認証制御部30、認証のための情報を格納する認証データベース31、ホスト1に適用するサービスプロファイル情報を格納したサービスプロファイル(SP)原本32、NAIで記述されたサービスプロファイルをIPアドレスで記述されたサービスプロファイルに変換するサービスプロファイル制御部33、サービスプロファイル設定先のネットワーク装置2を特定するサービスプロファイル配布部34から構成される。
【0061】
次に、機能エンティティについて詳細に説明する。
「ネットワーク装置」
パケット制御部20は、認証関連プロトコルを識別する認証フィルタと、データパケットの受信により動的に設定される動的フィルタと、ホストの認証時に静的に設定される静的フィルタとを備える。
【0062】
フィルタの構成を図23に示す。フィルタは、フィルタの登録・削除時にフィルタを一意に特定するためのフィルタ番号、制御するパケットを特定するための条件である、始点アドレス、始点プレフィックス長、始点ポート番号、終点アドレス、終点プレフィックス長、終点ポート番号、トラフィッククラスとパケットの制御情報であるTOS(Type Of Service)値、このフィルタの有効期間であるライフタイム、パケットの制御方法を指定する制御コードから構成される。
【0063】
アクセス監視部21は、パケット制御部より通知されたパケットに対してパケット制御部の動的フィルタを設定する。
アテンダント22は、割り当てたIPアドレスの有効期間を管理するアドレスキャッシュ(図24)とICMPメッセージ及びAAAプロトコルメッセージを処理する認証要求監視部から構成される。
【0064】
サービス制御部23はサーバ装置から通知されたサービスプロファイルをサービスプロファイルキャッシュ(図25)に登録し、静的フィルタを生成する。サービスプロファイルキャッシュは、静的な設定か、動的な設定かを示すプロファイルタイプ、このサービスプロファイルの一意な識別子であるプロファイル番号、制御するパケットを特定するための条件である、始点アドレス、始点プレフィックス長、始点ポート番号、終点アドレス、終点プレフィックス長、終点ポート番号、トラフィッククラスとパケットの制御情報であるTOS値、生成したフィルタを索引するためのフィルタ番号で構成される。
【0065】
ここで、本発明の機能概要を纏めると、以下のようになる。
すなわち、本発明のサービス制御ネットワークは、ホスト(端末装置)1を収容するネットワーク装置2および上記ホスト1を認証するサーバ装置3を備え、上記ホスト1に対してサービスを提供する。
【0066】
上記サーバ装置3は、ネットワークアクセス識別子を用いて、上記ホスト1の識別情報を格納したサービス制御情報データベース(SP原本32)を備える。そして、上記ホスト1との接続を契機に、上記ネットワークアクセス識別子と上記ホスト1を収容するネットワーク装置2により上記ホスト1に付与されたIPアドレスとを対応付け、上記ネットワークアクセス識別子をIPアドレスに変換したサービス制御情報を必要な経路上に配布する。
【0067】
上記ネットワーク装置2は、上記IPアドレスを上記ホスト1の識別として上記サーバ装置3に配布された上記サービス制御情報に基づいて、パケットの転送制御を行なう。
【0068】
上記サービス制御ネットワークは、上記サービス制御情報を静的サービス制御情報と動的サービス制御情報とに分け、静的サービス制御情報が、上記ホスト1を認証する認証手順実行直後に必要な経路上に配布され、動的サービス制御情報が、パケットの送出を契機に必要な経路上に配布される。
【0069】
また、上記サービス制御ネットワークは、上記サービスプロフィアルを、上記ホスト1に対する上り方向及び下り方向のQoSを一律に設定する基本サービス情報と、上り方向の終点アドレス、下り方向の始点アドレスを個別に設定可能な拡張サービス情報とに分ける。
【0070】
さらに、上記サービス制御ネットワークは、特定のアドレスを指定しないようなサービス制御情報をサーバ装置3配下の全ネットワーク装置2に配布することを避けるために、上記下り方向のサービス制御情報をIPv6の中継点オプションに載せて、目的とするネットワーク装置2に通知する。
【0071】
サーバ装置3は、ネットワークアクセス識別子を用いて、上記ホスト1の識別情報を格納したSP原本32と、上記ホスト1を収容する上記ネットワーク装置2により上記ホスト1に付与されたIPアドレスと上記ネットワークアクセス識別子とを対応付けるアドレスキャッシュを有し、上記ネットワークアクセス識別子を指定したネットワーク制御要求に対して、管理下のネットワーク装置2が理解できる形式にサービス制御情報を変換するサービスプロファイル制御部33と、上記サービス制御情報の配布先を特定し配布するサービスプロファイル配布部34とを備える。
【0072】
そして、上記ホスト1との接続を契機に、上記ネットワークアクセス識別子と上記ホスト1を収容するネットワーク装置2により上記ホスト1に付与されたIPアドレスとを対応付け、上記ネットワークアクセス識別子をIPアドレスに変換したサービス制御情報を必要な経路上に配布する。
【0073】
また、上記サーバ装置3は、ホスト1を認証する認証手順実行により、上記ホスト1からのネットワークアクセスを検出し、上記認証要求を行ったホスト1のネットワークアクセス識別子と上記ネットワーク装置2から通知されたIPアドレスを、アドレスキャッシュに登録する認証制御部30と、上記認証要求を行ったホスト1のネットワークアクセス識別子からIPアドレスを求めるためのインタフェースを上記認証制御部30に提供するサービスプロファイル生成部とを備える。
【0074】
上記サービスプロファイル配布部34は、ネットワークプレフィックスとネットワーク装置2との対応表(ネットワークプレフィックス−EN対応表)を有し、上記サービスプロファイル生成部によりIPアドレス変換されたサービスプロファイルの始点アドレスよりサービスプロファイルの配布先を決定する。
【0075】
さらに、上記サーバ装置3は、上記サービスプロファイル配布部34が、上記ネットワーク装置2に理解できる形式に変換されたサービスプロファイルを始点アドレスから求められたネットワーク装置2毎のキューに蓄積し、上記認証制御部30が、上記ネットワーク装置2からの認証要求メッセージに対する認証応答メッセージの生成時に、送出先ネットワーク装置2に対応するキューから、上記送出先ネットワーク装置2へ配布するサービスプロファイルを抽出し、上記メッセージ上に複数のサービスプロファイルを多重化する。
【0076】
さらに、上記サーバ装置3は、上記サービスプロファイル配布部34が、他のネットワーク装置2宛のキューを有し、上記他のネットワーク装置2からの認証要求時には、ネットワーク装置2毎のキューに蓄積し、上記認証制御部30が、認証要求メッセージに対する認証応答メッセージの生成時に、認証要求ドメインに対応するキューから、上記ネットワーク装置2へ配布するサービス制御情報を抽出して認証応答メッセージとして送出し、認証要求元のサーバ装置3が、認証応答メッセージで通知されたサービスプロファイルを抽出し、管理下のネットワーク装置2配下のキューに蓄積する。
【0077】
上記ネットワーク装置2は、上記ホスト1を認証するサーバ装置3が、ネットワークアクセス識別子を用いて、上記ホスト1の識別情報を格納したサービス制御情報データベースを備え、上記ホスト1との接続を契機に、上記ネットワークアクセス識別子と上記ホスト1を収容するネットワーク装置2により上記ホスト1に付与されたIPアドレスとを対応付け、上記ネットワークアクセス識別子をIPアドレスに変換したサービス制御情報を必要な経路上に配布し、上記IPアドレスを上記ホスト1の識別として上記サーバ装置3に配布された上記サービス制御情報に基づいて、パケットの転送制御を行なう。
さらに、上記ホスト1を認証する認証手順実行により、上記ホスト1からのネットワークアクセスを検出し、上記認証要求を行ったホスト1のネットワークアクセス識別子と上記ネットワーク装置2から通知されたIPアドレスを、アドレスキャッシュに登録する認証制御部30と認証要求及び認証応答のメッセージを交換することで、認証要求ユーザへのネットワークアクセスの認可とIPアドレスの割り当てを許容するアテンダント部22と、上記サーバ装置3により通知された多重化されたサービス制御情報を上記ホスト1単位に分割し管理するサービス制御部23とを備える。
【0078】
また、上記ネットワーク装置2は、上記サービス制御情報を静的サービス制御情報と動的サービス制御情報とに分けられ、静的サービス制御情報が、上記ホスト1を認証する認証手順実行直後に必要な経路上に配布され、動的サービス制御情報が、パケットの送出を契機に必要な経路上に配布される。
【0079】
そして、上記ネットワーク装置2は、割り当て可能なIPアドレスをIPアドレスの始点アドレスを参照してフィルタリングする静的パケットフィルタに登録し、上記静的パケットフィルタの帰結部としてパケット棄却を登録し、上記ホスト1の認証手順実行時に上記帰結部を上記サーバ装置3から認証応答メッセージで返されるホスト1に割り当てたアドレスに対応するサービスプロファイルで置換する。
【0080】
また、上記ネットワーク装置2は、IPアドレスの始点アドレスを参照してフィルタリングする上記静的パケットフィルタに不一致時は、上記パケットのIPアドレスの始点アドレスが割り当て中であるか否かを判断し、割り当て中であると判断された場合は、上記サーバ装置3により設定されたサービス制御情報を上記静的パケットフィルタと上記アドレスキャッシュに登録し、割り当て中でないと判断された場合は、パケット棄却を指定したサービス制御情報を上記静的パケットフィルタと上記アドレスキャッシュに登録する。
【0081】
さらに、上記ネットワーク装置2は、パケット棄却のサービスプロファイルを設定した、上記静的パケットフィルタを通過したパケットをロギングし、規定回数以上のアクセスがあった場合、警告を発するアクセス監視部21を備える。
【0082】
また、上記ネットワーク装置2は、上記ホスト1からの認証要求が一定期間無い場合に、上記サーバ装置3へサービス要求メッセージを送出し、サービス応答メッセージで上記サーバ装置3に関係あるサービス制御情報をダウンロードするアテンダント22を備える。
【0083】
さらに、上記ネットワーク装置2は、上記パケットの受信により動的に設定される動的パケットフィルタ又は上記ホスト1の認証時に静的に設定される上記静的パケットフィルタの帰結部に、パケット転送時トラフィッククラスフィールドの編集と共に、上記下り方向のサービスプロファイルをIPv6の中継点オプションに設定し挿入する制御コードを設定し、上記中継点オプションを有するパケットを受信した場合は、上記動的パケットフィルタに設定する。
【0084】
図26から図31はネットワーク装置2の処理フローである。以下、これらのフローを用いてネットワーク装置2の処理を説明する。
図26はパケット制御部20の処理フローである。
【0085】
ステップS201〜ステップS208(図26(a))は、パケットの受信処理である。
ステップS201において、パケット制御部20は、IPパケットを受信するとIPヘッダの中継オプションにQoSオブジェクトが設定されているかを調べる。この通知用のIPヘッダオプションは、例えばIETFドラフトdraft−chaskar−mobileip−qos−01.txtで規定されているようなQoSオブジェクト(図27)を適用できる。QoS通知がある場合は、ステップS208へQoS通知が無い場合はステップS202へ処理を分岐する。
【0086】
ステップS202において、受信パケットを認証フィルタで検索し、ICMP又はAAAプロトコルの場合はステップS207へ処理を分岐する。それ以外のパケットであれば、ステップS203へ処理を分岐する。認証フィルタはフィルタの終点アドレスにネットワーク装置自身のアドレス、終点プレフィックス長に128、次ヘッダにICMPのプロトコル番号、又は終点ポート番号にDIAMETERのポート番号を設定し、帰結部にアプリケーション通知を設定することで実現される。
【0087】
ステップS203において、受信パケットを動的フィルタで検索し、フィルタの条件部に一致した場合は、ステップS206に不一致時はステップS204へ処理を分岐する。
【0088】
ステップS204において、受信パケットを静的フィルタで検索し、フィルタの条件部に一致した場合は、ステップS206に不一致時はステップS205へ処理を分岐する。
【0089】
ステップS205において、いずれのフィルタにも一致しなかった場合は、このパケットをアクセス監視部21に通知する。
ステップS206において、動的フィルタ又は静的フィルタのいずれかに一致、又はアクセス監視部21で動的フィルタが作成された場合は、プロファイルの帰結部の制御コードに従いパケットの制御を行なう。制御コードの例は、パケット棄却、Diffserve適用、中継オプション付加等である。
【0090】
ステップS207において、ICMP又はDIAMETERメッセージの場合は、認証要求監視部に認証要求イベントを通知しパケットを通知する。
ステップS208において、中継オプションでQoS通知があった場合は、通知された情報をもとに動的フィルタを生成する。
【0091】
ステップS209〜ステップS211(図26(b))は、周期処理でありパケットの受信処理とは独立に動作している。
ステップS209において、動的フィルタのエントリを周期的に監視しフィルタのライフタイムを減算する。
【0092】
ステップS210において、ライフタイムが満了(ライフタイム値が0)であればステップS211に、満了でなければステップS209に処理を分岐する。
ステップS211において、動的フィルタの該当エントリを解放し、ステップS209以降の処理を繰り返す。
【0093】
図28、図29はアテンダント22の処理フローである。
図28のステップS221〜ステップS2213、ステップS2218は、ICMP、DIAMETERメッセージの受信処理である。
【0094】
ステップS221において、イベント受信タイマを設定して、パケット制御部20からの認証要求イベントを監視する。
ステップS222において、認証要求受信ならステップS223へ、イベント受信タイマ満了ならステップS2213へ処理を分岐する。
【0095】
ステップS223において、イベントで通知されたパケットのメッセージ種別により処理を分岐する。AHA(図18)ならステップS224へ、STA(Session Termination Answer)(図22)ならステップS225へ、ICMP AAA Request(図11、図12)ならステップS228へ、ASA(AAA Service Answer)(図20)ならステップS2212へ処理を分岐する。
【0096】
ステップS224において、AHAメッセージからサービスプロファイルを抽出してサービス制御部へ設定イベントを通知する。
ステップS2218において、ICMP AAA Replyメッセージ(図13、図14)を編集しホスト1へ送出し、認証要求監視処理(ステップS221)に戻る。
【0097】
ステップS225において、サービス制御部23へ設定イベントを通知する。
ステップS226において、ICMP AAA Replyメッセージ(図13、図14)を編集しホスト1へ送出する。
【0098】
ステップS227において、該当ホスト1のアドレスキャッシュを解放する。
ステップS228において、ICMP AAA Requestメッセージ(図11、図12)のライフタイムオプションを判定し、ライフタイムが0ならステップS2211へ、0でなければステップS229に処理を分岐する。
【0099】
ステップS229において、ICMP AAA Requestメッセージの送出元ホスト1についてアドレスを有効にするために、アドレスキャッシュにICMP AAA Requestメッセージで通知されたアドレスとアテンダント22が決定したライフタイムを設定する。
【0100】
ステップS2210において、サーバ装置3へAHRメッセージ(図17)を送出し、認証要求監視処理(ステップS221)に戻る。
ステップS2211において、サーバ装置3へSTR(Session Termination Request)メッセージ(図21)を送出し、認証要求監視処理(ステップS221)に戻る。
【0101】
ステップS2212において、ASAメッセージからサービスプロファイルを抽出してサービス制御部23へ設定イベントを通知し、認証要求監視処理(ステップS221)に戻る。
【0102】
ステップS2213において、サーバ装置3へASR(AAA Service Request)メッセージ(図19)を送出し、認証要求監視処理(ステップS221)に戻る。
【0103】
図29のステップS2214〜ステップS2217は、アテンダント22の周期処理でありパケットの受信処理とは独立に動作している。
ステップS2214において、アドレスキャッシュのエントリを周期的に監視しキャッシュのアドレスライフタイムを減算する。
【0104】
ステップS2215において、アドレスライフタイムが満了(ライフタイム値が0)であればステップS2216に、満了でなければステップS2214に処理を分岐する。
【0105】
ステップS2216において、サービス制御部23へ解放イベントを通知する。
ステップS2217において、アドレスキャッシュの該当エントリを解放し、ステップS2214以降の処理を繰り返す。
【0106】
図30はサービス制御部23の処理フローである。
ステップS231〜ステップS235(図30(a))は、フィルタの設定・解除処理である。
【0107】
ステップS231において、サービス制御部23への要求イベントを調べ、設定であればステップS232へ、解除であればステップS234へ処理を分岐する。
【0108】
ステップS232において、イベントで通知されたサービスプロファイルの制御コードが、設定であればサービスプロファイルキャッシュに登録し、解除であればサービスプロファイルキャッシュから削除する。
【0109】
ステップS233において、イベントで通知されたサービスプロファイルに基づいてパケット制御部20の静的フィルタを設定・解除し処理を終了する。
ステップS234において、イベントで通知されたIPアドレスでサービスプロファイルキャッシュを検索し、該当するサービスプロファイルを削除する。
【0110】
ステップS235において、削除したサービスプロファイルにリンクされたパケット制御部20の静的フィルタを削除し処理を終了する。
ステップS236〜ステップS239(図30(b))は、サービス制御部23の周期処理でありサービスプロファイルの設定・解除処理とは独立に動作している。
【0111】
ステップS236において、サービスプロファイルキャッシュのエントリを周期的に監視しキャッシュのアドレスライフタイムを減算する。
ステップS237において、サービスプロファイルキャッシュのキャッシュライフタイムが満了(ライフタイム値が0)であればステップS238に分岐し、満了でなければステップS236に処理を分岐する。
【0112】
ステップS238において、サービスプロファイルキャッシュの該当エントリを削除する。
ステップS239において、削除したサービスプロファイルにリンクされたパケット制御部の静的フィルタを削除し、ステップS236以降の処理を繰り返す。
【0113】
図31はアクセス監視部21の処理フローである。
ステップS211において、パケット制御部20より通知されたパケットの始点アドレスで、アテンダント部が管理しているアドレスキャッシュを検索する。
【0114】
ステップS212において、該当エントリが有る場合はステップS213へ、無い場合はステップS215へ処理を分岐する。
ステップS213において、始点アドレスで、サービス制御部23が管理しているサービスプロファイルキャッシュを検索する。
【0115】
ステップS214において、該当サービスプロファイルが有りでかつ、サービスプロファイルの設定タイプが動的であれば、パケット制御部20の動的フィルタに設定を行ない処理を終了する。サービスプロファイルが無い場合は、Best Effortを設定した動的フィルタを作成する。
【0116】
ステップS215において、このパケットの情報をログとして記録する。
ステップS216において、このパケットについてパケットを棄却するポリシーを生成する。ポリシーの有効期限は管理者により決定される。
【0117】
ステップS217において、パケット制御部20の動的フィルタに設定を行ない処理を終了する。
「サーバ装置」
認証制御部30は、AAAプロトコルの処理を行い、ホスト1の認証と認証されたホストのためにネットワーク装置へ配布するサービスプロファイルを生成する。
【0118】
認証データベース31及びポリシーサーバ(SP)原本32は、NAIで検索されるユーザ情報である。図32に認証DB31及びSP原本32の構成例を示す。データベースはNAIをキーとして検索され、ユーザ名や端末種別などの一般的なユーザ情報、ネットワークの状態やサービス条件によりサービスプロファイルの適用可否を決定するためのポリシー情報、認証鍵や認証情報の復号方法を識別するためのSPI(Security Parameter Index)等の認証情報、通信相手のNAIやポート番号等のユーザが所望するパケットにサービスを適用するためのサービスプロファイルから構成される。
【0119】
サービスプロファイル制御33はアドレスキャッシュとサービスプロファイルキャッシュから構成される。アドレスキャッシュ(図33)は、認証済みホストのNAI、認証時にNAIに割り付けられたIPアドレスと、ライフタイムから構成される。サービスプロファイルキャッシュ(図34)は、静的な設定か、動的な設定かを示すプロファイルタイプ、このサービスプロファイルの一意な識別子であるプロファイル番号、制御するパケットを特定するための条件である、始点アドレス、始点プレフィックス長、始点ポート番号、終点アドレス、終点プレフィックス長、終点ポート番号、トラフィッククラスとパケットの制御情報であるTOS値、ネットワーク装置2に配布済みであるかどうか示す状態で構成される。
【0120】
サービスプロファイル配布部34はネットワークプレフィックス−EN対応表と配布キューから構成される。ネットワークプレフィックス−EN対応表(図35)は、ネットワークプレフィックスと、それに対応するネットワーク装置2のIPアドレスで構成される。配布キューは、サーバ装置3の管理下にあるネットワーク装置2毎に用意され、ネットワーク装置2に配布するサービスプロファイルキャッシュをキューイングするためのキューテーブルである。
【0121】
図36から図39はサーバ装置3の処理フローである。以下、これらのフローを用いてサーバ装置3の処理を説明する。
図36は認証制御部30の処理フローである。
【0122】
ステップS301において、受信したメッセージにより処理を分岐する。AHR(図17)ならステップS302へ、ASR(図19)ならステップS309へ、AHA(図18)、STA(図22)ならステップS3010へ、STR(図21)ならステップS3016へ処理を分岐する。
【0123】
ステップS302において、AHRメッセージのUser−Name AVP(Attribute Value Pair)に設定されているホストのNAIのrealm部分を判断して認証ユーザが自ドメインのユーザか判定する(NAIはユーザ名@realmの形式で記述される。realmはドメインを示す部分であり、例えばabcsya.comのように記述される。)。NAIが自ドメインであればステップS203へ、自ドメインでなければステップS308へ処理を分岐する。
【0124】
ステップS303において、NAIで認証DB31を検索し、認証DB31より抽出した認証情報から認証要求をしてきたホストを認証する。
ステップS304において、認証が成功であればステップS306へ、失敗であればステップS305へ処理を分岐する。
【0125】
ステップS305において、AHAメッセージ(図20)を編集し、AHR送出元のネットワーク装置2へ送信し処理を終了する。
ステップS306において、サービスプロファイル制御部33に生成イベントを通知する。
【0126】
ステップS307において、サービスプロファイル配布部34のAHR送出元のネットワーク装置2に対応する配布キューを参照して、AHAメッセージ(図18)を編集しProfile−Cache AVPにキューからデタッチしたサービスプロファイルを設定する。AHR送出元のネットワーク装置2へメッセージを送信し処理を終了する。
【0127】
ステップS308において、AHRメッセージをNAIのrealmが示すドメインのサーバ装置3へ転送する。
ステップS309において、サービスプロファイル配布部34のASR送出元のネットワーク装置2に対応する配布キューを参照して、ASAメッセージ(図20)を編集し、Profile−Cache AVPにキューからデタッチしたサービスプロファイルを設定する。ASR送出元のネットワーク装置2へメッセージを送信し処理を終了する。
【0128】
ステップS3010において、サービスプロファイル制御部33に登録イベントを通知する。
ステップS3011において、プロファイル配布部34のAHR又はSTR送出元のネットワーク装置2に対応する配布キューを参照して、AHAメッセージ(図20)、又はSTAメッセージ(図22)を編集し、Profile−Cache AVPにキューからデタッチしたサービスプロファイルを設定する。AHR又はSTR送出元のネットワーク装置2へメッセージを送信し処理を終了する。
【0129】
ステップS3012において、STRメッセージのUser−Name AVPに設定されているホストのNAIのrealm部分を判断して認証ユーザが自ドメインのユーザか判定する。NAIが自ドメインであればステップS3013へ、自ドメインでなければステップS3015へ処理を分岐する。
【0130】
ステップS3013において、サービスプロファイル制御部33に削除イベントを通知する。
ステップS3014において、プロファイル配布部34のSTR送出元のネットワーク装置2に対応する配布キューを参照して、STAメッセージ(図22)を編集し、Profile−Cache AVPにキューからデタッチしたサービスプロファイルを設定する。STR送出元のネットワーク装置2へメッセージを送信し処理を終了する。
【0131】
ステップS3015において、STRメッセージをNAIのrealmが示すドメインのサーバ装置3へ転送し、処理を終了する。
図37はサービスプロファイル制御部33の処理フローである。
【0132】
ステップS331〜ステップS3310(図37(a))は、アドレスキャッシュとサービスプロファイルに関する制御処理である。
ステップS331において、受信したイベントにより処理を分岐する。生成イベントならステップS332へ、削除イベントならステップS336へ、登録イベントならステップS339へ処理を分岐する。
【0133】
ステップS332において、イベントで通知されたNAI、IPアドレス、ライフタイムよりアドレスキャシュを生成する。
ステップS333において、イベントで通知されたNAIよりSP原本32を読み出し、サービス情報を抽出する。
【0134】
ステップS334において、抽出したサービス情報よりサービスプロファイルキャッシュを生成する。生成処理の詳細については後述する。
ステップS335において、該当のサービスプロファイルをサービスプロファイル配布部34に通知し処理を終了する。
【0135】
ステップS336において、イベントで通知されたNAIのアドレスキャッシュを削除する。
ステップS337において、該当アドレスキャッシュのIPアドレスで、サービスプロファイルキャッシュの始点アドレスと終点アドレスを検索し、該当するエントリをサービスプロファイルキャッシュから削除する。但し、実際の削除は該当サービスプロファイルが配布キューからデタッチされた後に実行される。
【0136】
ステップS338において、該当のサービスプロファイルをサービスプロファイル配布部34に通知し処理を終了する。
ステップS339において、メッセージで通知されたサービスプロファイルをサービスプロファイルキャッシュに登録する。通知されたサービスプロファイルのIPアドレスが、まだ未解決であれば、アドレス解決を行い、アドレス解決が済みであれば、配布対象サービスプロファイルとする。
【0137】
ステップS3310において、該当のサービスプロファイルをサービスプロファイル配布部34に通知し処理を終了する。
ステップS3311〜ステップS3313(図37(b))は、サービスプロファイル制御部33の周期処理でありサービスプロファイルキャッシュの設定・解除処理とは独立に動作している。
【0138】
ステップS3311において、アドレスキャッシュのエントリを周期的に監視しキャッシュのアドレスライフタイムを減算する。
ステップS3312において、アドレスキャッシュのキャッシュライフタイムが満了(ライフタイム値が0)であればステップS3313に、満了でなければステップS3311に処理を分岐する。
【0139】
ステップS3313において、該当アドレスキャッシュのIPアドレスでサービスプロファイルキャッシュの該当エントリを特定し削除する。
図38は図37のステップS334(サービスプロファイル生成処理)の処理フローである。
【0140】
ステップS33401において、SP原本32より抽出したサービス制御情報よりサービスプロファイルを生成し、ホストの識別として設定されたNAIに対応するIPアドレスを設定する。
【0141】
ステップS33402において、生成したサービスプロファイルをサービスプロファイルキャッシュに登録する。
ステップS33403において、サービスプロファイルキャッシュを検索して、まだIPアドレスが設定されていない(IPアドレスが0である)サービスプロファイルについてアドレスキャッシュを参照しながらアドレス解決を行う。
【0142】
ステップS33404において、サービスプロファイルの始点アドレスと終点アドレスが共にアドレス解決済みかチェックする。アドレス解決済みであればステップS33405へ、未解決であればステップS33407へ処理を分岐する。
【0143】
ステップS33405において、サービスプロファイルの状態を調べ、配布済みであればステップS33407へ、未配布であればステップS33406へ処理を分岐する。
【0144】
ステップS33406において、該当サービスプロファイルへのポインタをサービスプロファイル配布部への入力情報として設定し、サービスプロファイルの状態に配布済みを設定する。
【0145】
ステップS33407において、サービスプロファイルキャッシュの全エントリの検索が完了したか調べ、検索完了であれば処理を終了する。検索完了でなければステップS33403に戻って処理を続行する。
【0146】
図39はサービスプロファイル配布部34の処理フローである。
ステップS341において、サービスプロファイル制御部33より通知されたサービスプロファイルの始点アドレスよりネットワークプレフィックスを抽出し、ネットワークプレフィックス−EN対応表を索引して、サービスプロファイル配布先のネットワーク装置を2特定する。
【0147】
ステップS342において、ネットワーク装置2に対応する配布キューにサービスプロファイルをアタッチし、処理を終了する。
以下、本発明の手法Bの具体的な実施例としてIPv6のステートレスアドレス構成の例を示す。IPv6を用いたアドレス自動構成とAAAサーバの連携方法はIETFドラフトdraft−perkins−aaav6−03.txtにて、連携方法が提案されている。以下、このドラフトの方式に本発明の手法Bを適用した場合の動作を詳細に説明していく。
【0148】
図40は、本発明の実施の形態(AAAを用いたIPv6ネットワークアクセスによる例)におけるシステム構成図である。
ネットワーク装置(Edge Node1、Edge Node2)はルータシステムに相当し、アテンダントは機能的にはdraft−perkins−aaav6−03.txtで規定しているものと同じである。パケットフィルタは、図10に示したパケット制御部20に相当する、但しフィルタの種類や制御方法は本発明の手法B固有である。draft−perkins−aaav6−03.txtで規定されていない本発明の手法B固有のアクセス監視部21(図10参照)やサービス制御部23(図10参照)は、拡張制御部として記している。サーバ装置(NMS)はAAAサーバに相当する。ホスト(ホスト1、ホスト2)とエッジルータ(Edge Node1、Edge Node2)間のプロトコルは、draft−perkins−aaav6−03.txt規定のICMP AAAプロトコルを用いる。エッジルータとAAAサーバ間はIPv6用AAAプロトコルを用いることが、draft−perkins−aaav6−03.txtでは規定されているが、本プロトコルは、現時点では標準化されたものが無いので、IPv6でも利用可能であり、想定プロトコルと同機能を持つDIAMETERプロトコルを用いる。従って、draft−perkins−aaav6−03.txtのAHR、AHAメッセージはDIAMETERのAMR、AMAと同一のものとして説明を行なう。
1.サービスプロファイル原本設定
本発明の手法Bによるサービスを実行するためには、ユーザは自分が所属しているドメインやISPの管理サーバにサービスを登録する必要がある。
【0149】
図41は、サービス登録のシーケンス(サービスプロファイル原本設定の例)を示す図である。
▲1▼ユーザは、ホストからhttpプロトコルを介してWEBサーバにアクセスし、サービスを登録する。WEBサーバのアプリケーションはユーザにサービス種別や対象とするホスト名、規制条件や上り、下り方向に適用するサービス品質等の項目を示し、ユーザに必要な情報の設定を促す。
▲2▼WEBサーバのアプリケーションは、入力された情報を図32に示すような形式に情報を正規化しサービスプロファイル原本に登録する。この実施の形態ではホスト1のユーザが通信相手を特定しない基本サービスとして上り、下りのサービス品質にDiffserveのAF31を、通信相手を特定する拡張サービスとして、ホスト2に対する上り、下りのサービス品質にDiffserveのAF21を設定したと想定する。
2.ホスト1のアドレス取得時のサービスプロファイル配布
図42は、ホスト1がアドレス取得をする時の全体シーケンス(サービスプロファイル配布の例)を示す図であり、図43は、ネットワーク装置動作の詳細処理シーケンスを示す図であり、図44は、サーバ装置の詳細処理シーケンスを示す図である。
【0150】
図42を参照しながら、適宜、図43、図44を参照して全体の流れを説明する。
▲1▼ホスト1はネットワークに接続されるとICMP AAA Requetメッセージをエッジノードへ送出してアドレス取得要求を行なう。
▲2▼エッジノードはICMP AAA Requetメッセージの受信を契機にAHRメッセージをAAAサーバに送信する。このメッセージでエッジノードはホスト1のNAI(ホスト1@en11.net1)とIPアドレス(2001:400:1:1:aa:aa:aa:aa)を通知する(図43▲1▼〜▲4▼、▲1▼−図26パケット制御部ステップS201→ステップS202→ステップS207、▲2▼▲3▼▲4▼−図28アテンダントステップS221→ステップS222→ステップS223→ステップS228→ステップS229→ステップS2210)。
▲3▼AAAサーバは、AHRメッセージを受信するとNAI(host1@en11.net1)で認証DBを検索し、このホストを認証する(図44▲1▼〜▲2▼、▲1▼▲2▼−図36認証制御部ステップS301→ステップS302→ステップS303→ステップS304→ステップS306)。
▲4▼認証成功であればNAI(host1@en11.net1)でSP原本を検索する(図44▲3▼〜▲5▼、▲3▼▲4▼▲5▼−図37サービスプロファイル制御部ステップS331→ステップS332→ステップS333→ステップS334)。
▲5▼抽出したサービスプロファイルよりサービスプロファイルキャッシュを設定する。この実施例の場合、SP原本よりNAI(host1@en11.net1)で抽出されるサービスプロファイルはSrcNAI=host1@en11.net1が設定された基本SPと拡張SPであり、それぞれ上り、下り方向の通信用に計4つのサービスプロファイルSP1からSP4が生成されサービスプロファイルキャッシュに設定される。又、この時NAI(host1@en11.net1)のIPアドレスが通知されているので、該当するアドレスフィールドにアドレス2001:400:1:1:aa:aa:aa:aaを設定する(図44▲6▼、▲6▼−図38サービスプロファイル制御部ステップS33401→ステップS33402→ステップS33403)。
▲6▼AAAサーバはSPC(Service Profile Cache)を参照して始点アドレスと終点アドレスが共に解決済みのSPが存在するか調べる。この段階では、SP1とSP2がアドレス解決済みである。SP3とSP4はNAI=host2@en21.net2のアドレスが未解決である(図44▲6▼、▲6▼−図38サービスプロファイル制御部ステップS33404→ステップS33405→ステップS33406→ステップS33407)。
▲7▼アドレスが解決済みのSP1とSP2の配布先を、ネットワークプレフィックス−EN対応表を参照して決定する。SP1の始点アドレスのネットワークプレフィックは2001:400:1:1であるので、EN1が配布先として決定される。SP1の始点アドレスのネットワークプレフィックは0であるので、全てのENが対象となるが、終点アドレスのネットワークプレフィックが配布先ENと同一の場合は、そのENへの配布は対象外とする。理由はエッジノードのローカルネットワークのサービス制御は、本発明の手法Bの対象外であるからである。従ってSP2に対してはEN2のみが配布先となる。配布先が決定されたサービスプロファイルを配布キューにアタッチする(図44▲7▼〜▲9▼、▲7▼▲8▼▲9▼−図39サービスプロファイル配布部ステップS341→ステップS342)。
▲8▼AHRメッセージへの応答としてAHAメッセージを編集する。この時、送出先の配布キューにアタッチされているサービスプロファイルをデタッチしてAHAメッセージに付加する。この例では、AHA送出先はEN1であるのでSP1がキューからデタッチされAHAメッセージに付加される(図44{10}、{10}−図36認証制御部ステップS307)。
▲9▼AHAメッセージでサービスプロファイル(SP1)を配布する。
{10}AHAメッセージで通知されたサービスプロファイルをサービスプロファイルキャッシュに登録する(図43▲5▼〜▲7▼、▲5▼−図26パケット制御部ステップS201→ステップS202→ステップS207、▲6▼▲7▼−図28アテンダントステップS221→ステップS222→ステップS223→ステップS224)。
{11}サービスプロファイルを参照して静的フィルタに設定を行なう。ネットワークへの不正アクセスを規制する方法として、エッジノードでパケットの始点アドレスをフィルタ条件としてパケットを棄却する方法がある(一般にソースフィルタリングとして知られている)。ソースフィルタリングはパケットの始点アドレスの完全一致検索が必要であるので、通常そのエッジノードが割り当てる可能性のあるアドレス全てについてフィルタリングを用意する必要がある。またサービスを実行するための検索テーブルは、このフィルタリング処理とは別に存在するため、エッジノードは大量の記録領域を必要とする。本発明の手法Bでは、図23に示すフィルタを用いることで、ソースフィルタリングとサービスプロファイルの適用処理を統合し、記録領域の削減を行えるようにしている。ソースフィルタリングの方法としては、(1)最初にエッジノード配下の全てのアドレスを始点とするパケットを棄却する設定にしておき、認証されたユーザのアドレスを始点とするパケットのみを透過とする方法と、(2)最初は全てのパケットを透過にしておき、ソースフィルタに一致しない始点アドレスを持つパケットを受信した場合に、そのアドレスが認証済みかどうかを調べ、認証済みでなければそのアドレスを始点とするパケットを棄却するフィルタを動的に作成する方法である。(1)の方法の場合、本発明の手法Bでは、エッジノードは予め図23に示すフィルタの始点アドレスに2001:400:1:1:aa:aa:aa:aa、始点プレフィックス長に128、帰結部にパケット棄却が設定されている。他のパラメータは特に指定されない。認証後サービスプロファイルが通知されると、該サービスプロファイルに従い、上記フィルタの帰結部をTOSマーキングかつ相手ノードに通知を設定する。(2)の方法の場合は、(1)の方法で説明した始点アドレス2001:400:1:1:aa:aa:aa:aaを条件とする初期設定フィルタが存在しないので、新たに帰結部をTOSマーキングかつ相手ノードに通知を設定したフィルタを生成する(図43▲8▼、▲8▼−図30サービス制御部ステップS231→ステップS232→ステップS233)。
{12}ICMP AAA Requestに対してICMP AAA Replyメッセージを送出する(図43▲9▼、▲9▼−図28アテンダントステップS2218)。
3.ホスト2のアドレス取得時のサービスプロファイル配布
図45は、ホスト1のアドレス取得後、ホスト2がアドレス取得をする時の全体シーケンス(サービスプロファイル配布の例)を示す図である。
【0151】
図45を参照しながら、適宜、図43、図44を参照して全体の流れを説明する。
▲1▼ホスト2はネットワークに接続されるとICMP AAA Requetメッセージをエッジノードへ送出してアドレス取得要求を行なう。
▲2▼エッジノードはICMP AAA Requetメッセージの受信を契機にAHRメッセージをAAAサーバに送信する。このメッセージでエッジノードはホスト2のNAI(host2@en21.net2)とIPアドレス(2001:400:2:1:bb:bb:bb:bb)を通知する(図43▲1▼〜▲4▼、▲1▼−図26パケット制御部ステップS201→ステップS202→ステップS207、▲2▼▲3▼▲4▼−図28アテンダントステップS221→ステップS222→ステップS223→ステップS228→ステップS229→ステップS2210)。
▲3▼AAAサーバは、AHRメッセージを受信するとNAI(host2@en21.net2)で認証DBを検索し、このホストを認証する(図44▲1▼〜▲2▼、▲1▼▲2▼−図36認証制御部ステップS301→ステップS302→ステップS303→ステップS304→ステップS306)。
▲4▼認証成功であればNAI(host2@en21.net2)でSP原本を検索する(図44▲3▼〜▲5▼、▲3▼▲4▼▲5▼−図37サービスプロファイル制御部ステップS331→ステップS332→ステップS333→ステップS334)。
▲5▼抽出したサービスプロファイルよりサービスプロファイルキャッシュを設定する。この実施例の場合、ホスト2についてはサービス登録をしていないと想定する。従って新たなサービスプロアイルは生成されない。又、この時NAI(host2@en21.net2)のIPアドレスが通知されているので、サービスプロファイルキャッシュに登録済みのサービスプロファイルの該当するアドレスフィールドにアドレス2001:400:2:1:bb:bb:bb:bbを設定する(図44▲6▼、▲6▼−図38サービスプロファイル制御部ステップS33401→ステップS33402→ステップS33403)。
▲6▼AAAサーバはSPCを参照して始点アドレスと終点アドレスが共に解決済みのSPが存在するか調べる。この段階では、全てのサービスプロファイルがアドレス解決済みである(図44▲6▼、▲6▼−図38サービスプロファイル制御部ステップS33404→ステップS33405→ステップS33406→ステップS33407)。
▲7▼新たにアドレスが解決されたSP3とSP4の配布先をネットワークプレフィックス−EN対応表を参照して決定する。SP3の始点アドレスのネットワークプレフィックは2001:400:1:1であるので、EN1が配布先として決定される。SP4の始点アドレスのネットワークプレフィックは2001:400:2:1であるので、EN2が配布先として決定される。SP1とSP2は既に配布済みなので配布対象外となる。配布先が決定されたサービスプロファイルを配布キューにアタッチする(図44▲7▼〜▲9▼、▲7▼▲8▼▲9▼−図39サービスプロファイル配布部ステップS341→ステップS342)。
▲8▼AHRメッセージへの応答としてAHAメッセージを編集する。この時、送出先の配布キューにアタッチされているサービスプロファイルをデタッチしてAHAメッセージに付加する。この例では、AHA送出先はEN2であるのでホスト1認証時にアタッチされたSP2と今回アタッチされたSP4がキューからデタッチされAHAメッセージに付加される(図44{10}、{10}−図36認証制御部ステップS307)。
▲9▼AHAメッセージでサービスプロファイル(SP2,SP4)を配布する。{10}AHAメッセージで通知されたサービスプロファイルをサービスプロファイルキャッシュに登録する(図43▲5▼〜▲7▼、▲5▼−図26パケット制御部ステップS201→ステップS202→ステップS207、▲6▼▲7▼−図28アテンダントステップS221→ステップS222→ステップS223→ステップS224)。
{11}サービスプロファイルを参照して静的フィルタに設定を行なう。パケットの規制フィルタとして始点アドレス2001:400:2:1:bb:bb:bb:bbの帰結部にパケット棄却が設定されたフィルタがあれば、帰結部にBest Effortで転送を設定する。動的に規制を行なう方式の場合は、始点アドレス2001:400:2:1:bb:bb:bb:bbを条件とする初期設定フィルタが存在しないので、新たに帰結部をBest Effortで転送に設定したフィルタを生成する。又、メッセージで通知された2つのサービスプロファイルに対応するフィルタを設定する。1つはフィルタの条件として終点アドレスが2001:400:1:1:aa:aa:aa:aaで帰結部がTOSにAF31マーキングであり、もう一つは条件が始点アドレス2001:400:2:1:bb:bb:bb:bb、終点アドレス2001:400:1:1:aa:aa:aa:aaで帰結部がTOSにAF21マーキングである(図43▲8▼、▲8▼−図30サービス制御部ステップS231→ステップS232→ステップS233)。
{12}ICMP AAA Requestに対してICMP AAA Replyメッセージを送出する(図43▲9▼、▲9▼−図28アテンダントステップS2218)。
4.サービスプロファイルの自律取得
図42、図45で説明したようにサービスプロファイルは、認証応答メッセージ(AHA)に付加されてエッジノードへと配布されるが、図45の説明が終わった段階では、SP3がまだエッジノード1に配布されておらず、エッジノード1から認証要求があるまでは、配布されない。ここでは、エッジノードが一定時間、認証要求を出さない場合にサービスプロファイルを自律的に取得する方法について述べる。
【0152】
図46は、エッジノード1がサービスプロファイルを自律的に取得する場合の全体シーケンスを示す図であり、図47は、ネットワーク装置動作の詳細処理シーケンスを示す図であり、図48は、サーバ装置の詳細処理シーケンスを示す図である。
【0153】
図46を参照しながら、適宜、図47、図48を参照して全体の流れを説明する。
▲1▼エッジノードのアテンダントは、パケットフィルタからの認証要求イベントを監視し、一定時間、認証要求イベントがなければASRメッセージを編集してAAAサーバへ送信する(図47▲1▼▲2▼、▲1▼▲2▼−図28アテンダントステップS221→ステップS222→ステップS2213)。
▲2▼AAAサーバはASRメッセージを受信する(図48▲1▼、▲1▼−図29認証制御部 ステップS301)。
▲3▼AAAサーバはASAメッセージを編集し、配布キューを参照して該当のキューからサービスプロファイルをデタッチし、ASAメッセージに付加してASR送出元エッジノードへ送出する。この実施例ではSP3がデタッチされエッジノード1へ配布される(図48▲2▼▲3▼、▲2▼▲3▼−図36認証制御部ステップS309)。
▲4▼ASAメッセージでサービスプロファイル(SP3)を配布する。
▲5▼ASAメッセージで通知されたサービスプロファイルをサービスプロファイルキャッシュに登録する(図47▲3▼〜▲5▼、▲3▼−図26パケット制御部ステップS201→ステップS202→ステップS207、▲4▼▲5▼−図28アテンダントステップS221→ステップS222→ステップS223→ステップS2212)。
▲6▼サービスプロファイルを参照して静的フィルタに設定を行なう。メッセージで通知されたSP3に対応するフィルタを設定する。フィルタの条件が始点アドレス2001:400:1:1:aa:aa:aa:aa、終点アドレス2001:400:2:1:bb:bb:bb:bbで帰結部がTOSにAF21マーキングである(図47▲6▼、▲6▼−図30サービス制御部ステップS231→ステップS232→ステップS233)。
5.アドレスライフタイムの終了
ここまでは、サービスプロファイルの設定例について説明してきたが、ここではサービスプロファイルの削除方法について説明する。
【0154】
図49は、ホスト1のアドレスライフタイムが満了した時の全体の処理シーケンスを示す図であり、図50は、ネットワーク装置動作の詳細処理シーケンスを示す図であり、図51は、サーバ装置の詳細処理シーケンスを示す図である。
【0155】
図49を参照しながら、適宜、図50、図51を参照して全体の流れを説明する。
サービスプロファイルの解放は、基本的にはサービスプロファイル配布時に設定された同期タイマで、各装置で自律的に削除される。従って、ここでは各装置ごとにサービスプロファイルの解除処理を示す。
「エッジノード1」
ホスト1収容のエッジノードはホスト1のアドレスキャッシュをもっており、アドレスキャッシュに登録されているアドレスキャッシュライフタイムの満了を契機にホスト1に関するサービスプロファイルを削除する。
【0156】
アドレスキャッシュを監視し、アドレスキャッシュのライフタイムが満了であれば、サービスプロファイル制御部へサービスプロファイル解除イベントを通知する(図50▲1▼、▲1▼−図29アテンダントステップS2214→ステップS2215→ステップS2216→ステップS2217)。
【0157】
イベントで通知されたIPアドレス(この例では2001:400:1:1:aa:aa:aa:aa)、のサービスプロファイルを検索する。この実施例ではSP1、SP2が検索される(図50▲2▼、▲2▼−図30サービス制御部ステップS231→ステップS234)。
【0158】
該当サービスプロファイルに対応する静的フィルタを削除する(図50▲3▼、▲3▼−図30サービス制御部ステップS235)。
「エッジノード2」
エッジノード2はホスト1のサービスプロファイルを配布されているが、ホスト1に関するアドレスキャッシュをもたないため、サービスプロファイル時に設定されたサービスプロファイルのライフタイムの満了を契機にホスト1に関するサービスプロファイルを削除する。サービスプロファイルのライフタイムはAAAサーバにより、始点アドレスと終点アドレスのいずれかのライフタイムの残タイムが少ないものが設定される。
▲1▼サービスプロファイルキャッシュを監視し、エントリのライフタイムが満了か調べる(図50▲1▼、▲1▼−図30サービスプロファイル制御部ステップS236→ステップS237→ステップS238)。
▲2▼該当サービスプロファイルに対応する静的フィルタを削除する(図50▲2▼、▲2▼−図30サービス制御部ステップS239)。
「AAAサーバ」
▲1▼アドレスキャッシュを監視し、キャッシュのライフタイムが満了か調べる(図51▲1▼、▲1▼−図37サービスプロファイル制御部ステップS3311→ステップS3312)。
▲2▼該当アドレスキャッシュのIPアドレスに対応するサービスプロファイルキャッシュを削除する(図51▲2▼、▲2▼−図37サービスプロファイル制御部ステップS3313)。
6.ホスト1による明示的なアドレス解放
図52は、ホスト1がアドレス解放する時の全体シーケンスを示す図であり、図53は、ネットワーク装置動作の詳細処理シーケンスを示す図であり、図54は、サーバ装置の詳細処理シーケンスを示す図である。
【0159】
図52を参照しながら、適宜、図53、図54を参照して全体の流れを説明する。
▲1▼ホスト1は、通信を終了する時に、ICMP AAA Requetメッセージのライフタイムに0を設定してエッジノードへ送出することで、アドレス解放要求を行なう。
▲2▼エッジノードはICMP AAA Requetメッセージの受信を契機にSTRメッセージをAAAサーバに通知する。このメッセージでエッジノードはホスト1のNAI(host1@en11.ネット1)を通知する(図53▲1▼〜▲3▼、▲1▼−図26パケット制御部ステップS201→ステップS202→ステップS207、▲2▼▲3▼−図28アテンダントステップS221→ステップS222→ステップS223→ステップS228→ステップS2211)。
▲3▼AAAサーバは、STRメッセージを受信すると通知されたNAI(host1@en11.net1)でアドレスキャッシュを特定し、関連するサービスプロファイルキャッシュの削除を行なう。また、エッジノードの配布用に制御コードに解除を設定したサービスプロファイルを設定する。この実施例では、SP1,SP2,SP3,SP4が対象であり、それぞれの制御コードに削除が設定されたサービスプロファイルが新たに生成される(図54▲1▼〜▲5▼、▲1▼▲2▼−図36認証制御部ステップS301→ステップS3012→ステップS3013、▲3▼▲4▼−図37サービスプロファイル制御部ステップS331→ステップS336→ステップS337)。
▲4▼AAAサーバはSPCを参照して始点アドレスと終点アドレスが共に解決済みのSPが存在するか調べる。この段階では、SP1,SP2,SP3,SP4がアドレス解決済みである(図54▲5▼、▲5▼−図37サービスプロファイル制御部ステップS338)。
▲5▼アドレスが解決済みのSP1,SP2,SP3,SP4の配布先をネットワークプレフィックス−EN対応表を参照して決定する。SP1,SP3の始点アドレスのネットワークプレフィックは2001:400:1:1であるので、EN1が配布先として決定される。SP2の始点アドレスのネットワークプレフィックは0であるが、既に述べた理由によりEN2が配布先として決定される。SP4の始点アドレスのネットワークプレフィックは2001:400:2:1であるので、EN2が配布先として決定される。配布先が決定されたサービスプロファイルを配布キューにアタッチする(図54▲6▼▲7▼、▲6▼▲7▼−図39サービスプロファイル配布部ステップS341→ステップS342)。
▲6▼STRメッセージへの応答としてSTAメッセージを編集する。この時、送出先の配布キューにアタッチされているサービスプロファイルをデタッチしてSTAメッセージに付加する。この例では、STA送出先はEN1であるのでSP1、SP3がキューからデタッチされSTAメッセージに付加される(図54▲8▼▲9▼、▲8▼▲9▼−図36認証制御部ステップS3014)。
▲7▼STAメッセージでサービスプロファイル(SP1,SP3)を配布する。
▲8▼STAメッセージで通知されたサービスプロファイルをサービスプロファイルキャッシュに登録する(図53▲4▼〜▲7▼、▲4▼▲5▼−図26パケット制御部ステップS201→ステップS202→ステップS207、▲6▼▲7▼−図28アテンダントステップS221→ステップS222→ステップS223→ステップS225)。
▲9▼通知されたサービスプロファイルの制御コードに従って、サービスプロファイルの登録・解除を行なう。この実施例では、通知されたサービスプロファイルSP1,SP3には制御コードに解放が設定されているので、同じプロファイル番号を持つサービスプロファイルをサービスプロファイルキャッシュから索引し削除する(図30サービス制御部ステップS231→ステップS232)。
{10}サービスプロファイルを参照して静的フィルタに設定を行なう。SP1はサービスタイプが基本サービスであるので、規制フィルタとして静的フィルタを用いている場合はSP1に該当する静的フィルタの帰結部をパケット棄却に書き換える。SP3はサービスタイプが拡張サービスであるので、静的フィルタを解除する(図52{10}、{10}−図30サービス制御部ステップS233)。
{11}ICMP AAA Requestに対してICMP AAA Replyメッセージを送出し、アドレスキャッシュを削除する(図53▲9▼、▲9▼−図28アテンダントステップS226→ステップS227)。
【0160】
図55は、ドメイン間で通信を行なう場合の実施例におけるシステム構成図である。
AAAサーバは、管理ドメイン毎に存在し、AAAサーバ間は単一ドメインと同じAAAプロトコルを用いて通信される。
7.ドメイン間でのサービスプロファイル配布
図56は、ホスト1が自分の管理ドメインネットワークnet1(net1ドメイン:サーバ装置)では無く、net1とローミング契約をしているnet2(net2ドメイン:サーバ装置)でネットワークに接続しアドレス取得をする時の全体シーケンスを示す図であり、図57は、net2ドメインのサーバ装置の詳細を示す図である。
【0161】
図56を参照しながら、適宜、図57を参照して全体の流れを説明する。ドメイン間通信で処理が異なる部分以外は、既に説明済みであるので、細部の説明は省略する。又、この例ではSP原本にはホスト1は基本サービスのみを登録しているものと想定する。
▲1▼ホスト1はネットワークに接続されるとICMP AAA Requetメッセージをエッジノードへ送出してアドレス取得要求を行なう。
▲2▼エッジノードはICMP AAA Requetメッセージの受信を契機にAHRメッセージを通知する。このメッセージでエッジノードはホスト1のNAI(host1@en11.net1)とIPアドレス(2001:400:2:1:aa:aa:aa:aa)を通知する。
▲3▼AAAサーバは、AHRメッセージを受信するとNAI(host1@en11.net1)を調べ、自ドメインのホストでは無いので、AHRをホスト1のホームドメインnet1のAAAサーバへ転送する(図57▲1▼、▲1▼−図36認証制御部 ステップS301→ステップS302→ステップS308)。
▲4▼ホームのAAAサーバは、AHRメッセージを受信するとNAI(host1@en11.net1)で認証DBを検索し、このホストを認証する。
▲5▼認証成功であればNAI(host1@en11.net1)でSP原本を検索する。
▲6▼抽出したサービスプロファイルよりサービスプロファイルキャッシュを設定する。この実施例の場合、SP原本よりNAI(host1@en11.net1)で抽出されるサービスプロファイルはSrcNAI=host1@en11.net1が設定された基本SPであり、それぞれ上り、下り方向の通信用に計2つのサービスプロファイルSP1,SP2が生成されサービスプロファイルキャッシュに設定される。又、この時NAI(host1@en11.net1)のIPアドレスが通知されているので、該当するアドレスフィールドにアドレス2001:400:2:1:aa:aa:aa:aaを設定する。
▲7▼AAAサーバはSPCを参照して始点アドレスと終点アドレスが共に解決済みのSPが存在するか調べる。この段階では、SP1とSP2がアドレス解決済みである。
▲8▼アドレスが解決済みのSP1とSP2の配布先をネットワークプレフィックス-EN対応表を参照して決定する。SP1の始点アドレスのネットワークプレフィックは2001:400:2:1であり、このネットワークプレフィックスは、この例ではこの管理ドメインが管理しているエッジノードでは無いので、外部キューが配布先として決定される。SP2の始点アドレスのネットワークプレフィックは0であるので、終点アドレスのネットワークプレフィックが配布先ENと同一の場合を除く全てのENと外部キューが配布先となる。配布先が決定されたサービスプロファイルを配布キューにアタッチする。
▲9▼AHRメッセージへの応答としてAHAメッセージを編集する。この時、送出先の配布キューにアタッチされているサービスプロファイルをデタッチしてAHAメッセージに付加する。この例では、AHA送出先は外部ドメインのAAAサーバであるのでSP1,SP2が外部キューからデタッチされAHAメッセージに付加される。
{10}AHAメッセージでサービスプロファイル(SP1)を配布する。
{11}AHAメッセージで通知されたサービスプロファイルをサービスプロファイルキャッシュに登録する(図57▲2▼〜▲5▼、▲2▼〜▲5▼−図36認証制御部ステップS301→ステップS3010、図37サービスプロファイル制御部ステップS331→ステップS339→ステップS3310)。
{12}アドレスが解決済みのSP1とSP2の配布先をネットワークプレフィックス−EN対応表を参照して決定する。SP1の始点アドレスのネットワークプレフィックは2001:400:2:1であり、EN2が配布先として決定される。SP2の始点アドレスのネットワークプレフィックは0であるので、終点アドレスのネットワークプレフィックが配布先ENと同一の場合、即ちEN2を除くENが配布先となる。配布先が決定されたサービスプロファイルを配布キューにアタッチする(図57▲6▼▲7▼、▲6▼▲7▼−図39サービスプロファイル配布部ステップS341→ステップS342)。
{13}AHRメッセージへの応答としてAHAメッセージを編集する。この時、送出先の配布キューにアタッチされているサービスプロファイルをデタッチしてAHAメッセージに付加する。この例では、AHA送出先はEN2であるのでSP1がEN2キューからデタッチされAHAメッセージに付加される。
{14}AHAメッセージでサービスプロファイル(SP1)を配布する。
{15}AHAメッセージで通知されたサービスプロファイルをサービスプロファイルキャッシュに登録する。
{16}サービスプロファイルを参照して静的フィルタに設定を行なう。パケットの規制フィルタとして始点アドレス2001:400:2:1:aa:aa:aa:aaの帰結部にパケット棄却が設定されたフィルタがあれば、通知されたサービスプロファイルに従い、帰結部をTOSマーキングかつ相手ノードに通知を設定する。動的に規制を行なう方式の場合は、始点アドレス2001:400:2:1:aa:aa:aa:aaを条件とする初期設定フィルタが存在しないので、新たに帰結部をTOSマーキングかつ相手ノードに通知を設定したフィルタを生成する。
{17}ICMP AAA Requestに対してICMP AAA Replyメッセージを送出する。
8.データパケットへのサービス適用
図58は、エッジノード1に静的フィルタが設定済みの場合にホスト1がホスト2へパケットを送出する場合のシーケンス(データパケットへのサービス適用を示す例)を示す図である。
▲1▼ホスト1がホスト2へデータパケットを送出する。これは始点アドレスが2001:400:1:1:aa:aa:aa:aa、終点アドレスが2001:400:2:1:bb:bb:bb:bbとなるパケットである。
▲2▼パケットフィルタは、それぞれのフィルタを順番に調べていく、このパケットはICMP、DIAMETERパケットではないので認証フィルタには一致しない、動的フィルタは設定されていないのでこれにも一致しない、静的フィルタは認証前、認証後いずれの場合においても始点アドレス2001:400:1:1:aa:aa:aa:aaに一致するパケットが存在する。認証前であれば帰結部にパケット棄却が設定されたフィルタが存在するため、認証前のホストからのパケットはここで棄却される。認証後であれば帰結部にTOSマーキングかつ相手ノードに通知が設定されたフィルタが存在するため、この帰結部に設定された指示に従いパケットの制御を行なう(図26パケット制御部ステップS201→ステップS202→ステップS203→ステップS204→ステップS206)。
8.データパケットへの動的サービス適用
図59は、エッジノード1からのデータパケットに基本サービスを適用して通信先ホスト収容エッジノードにサービスプロファイルを配布する場合のシーケンス(データパケットへの動的サービス適用を実施例)を示す図である。
▲1▼ホスト1がホスト2へデータパケットを送出する。これは始点アドレスが2001:400:1:1:aa:aa:aa:aa、終点アドレスが2001:400:2:1:bb:bb:bb:bbとなるパケットである。
▲2▼パケットフィルタは、それぞれのフィルタを順番に調べていく、このパケットはICMP、DIAMETERパケットではないので認証フィルタには一致しない、動的フィルタは設定されていないのでこれにも一致しない、静的フィルタは認証前、認証後いずれの場合においても始点アドレス2001:400:1:1:aa:aa:aa:aaに一致するパケットが存在する。認証前であれば帰結部にパケット棄却が設定されたフィルタが存在するため、認証前のホストからのパケットはここで棄却される。認証後であれば帰結部にTOSマーキングかつ相手ノードに通知が設定されたフィルタが存在するため、この帰結部に設定された指示に従いパケットの制御を行なう(図26パケット制御部ステップS201→ステップS202→ステップS203→ステップS204→ステップS206)。
▲3▼ここでは認証後のアクセスであるのでパケットはTOSマーキングされた後、データパケットに中継点オプションが付加される。この実施例では中継点オプションのQoS RequirmentにAF31を設定する。
▲4▼中継点オプションが設定されたデータパケットを受信したエッジノード2は中継点オプションの内容を参照して動的フィルタを設定する。具体的には始点アドレスにデータパケットの終点アドレスを、終点アドレスにデータパケットの始点アドレスを、帰結部にTOS値にAF31マーキングを設定する。
9.動的パケットフィルタリング
図60は、動的にパケットフィルタリングを行なう場合のシーケンスを示す図である。
▲1▼ホスト1がホスト2へデータパケットを送出する。これは始点アドレスが2001:400:1:1:aa:aa:aa:aa、終点アドレスが2001:400:2:1:bb:bb:bb:bbとなるパケットである。
▲2▼パケットフィルタは、それぞれのフィルタを順番に調べていく、このパケットはICMP、DIAMETERパケットではないので認証フィルタには一致しない、動的フィルタは設定されていないのでこれにも一致しない、この実施例では動的に規制フィルタを作成するので、静的フィルタは予め設定されていないとする。従って静的フィルタにも一致しないので、アクセス監視部へパケット不一致のイベントを通知する(図26パケット制御部ステップS201→ステップS202→ステップS203→ステップS204→ステップS205)。
▲3▼アクセス監視部は通知されたパケットの始点アドレスでアドレスキャッシュを検索し、該当エントリがあれば、サービスプロファイルを参照して動的フィルタを生成する。(図31アクセス監視部ステップS211→ステップS212→ステップS213→ステップS214)該当エントリが無ければこのパケットのログ情報をとり、このパケットを規制するための規制ポリシーを生成し、動的フィルタに設定する(図31アクセス監視部ステップS211→ステップS212→ステップS215→ステップS216→ステップS217)。
▲4▼設定されたフィルタの帰結部に従いパケットを制御する。
▲5▼動的フィルタは生成時に、図23に示すライフタイムに動的フィルタの有効時間が設定され、有効時間が満了するとパケット制御部により動的フィルタは削除される(図26パケット制御部 ステップS209→ステップS210→ステップS211)。
【0162】
上述のように、本発明の実施の形態を、図面を参照しながら説明してきたが、本発明が適用されるネットワーク装置またはサーバ装置は、その機能が実行されるのであれば、上述の実施の形態に限定されることなく、単体の装置であっても、複数の装置からなるシステムあるいは統合装置であっても、LAN、WAN等のネットワークを介して処理が行なわれるシステムであってもよいことは言うまでもない。
【0163】
また、図61に示しように、バス6109に接続されたCPU6101、ROMやRAMのメモリ6102、入力装置6103、出力装置6104、外部記録装置6105、媒体駆動装置6106、可搬記録媒体6110、ネットワーク接続装置6107で構成されるシステムでも実現できる。すなわち、前述してきた実施の形態のシステムを実現するソフトェアのプログラムコードを記録したROMやRAMのメモリ6102、外部記録装置6105、可搬記録媒体6110を、ネットワーク装置またはサーバ装置に供給し、そのネットワーク装置またはサーバ装置のコンピュータがプログラムコードを読み出し実行することによっても、達成されることは言うまでもない。
【0164】
この場合、可搬記録媒体146等から読み出されたプログラムコード自体が本発明の新規な機能を実現することになり、そのプログラムコードを記録した可搬記録媒体6110等は本発明を構成することになる。
【0165】
プログラムコードを供給するための可搬記録媒体6110としては、例えば、フレキシブルディスク、ハードディスク、光ディスク、光磁気ディスク、CD−ROM、CD−R、DVD−ROM、DVD−RAM、磁気テープ、不揮発性のメモリーカード、ROMカード、電子メールやパソコン通信等のネットワーク接続装置6107(言い換えれば、通信回線)を介して記録した種々の記録媒体などを用いることができる。
【0166】
また、図62に示すように、コンピュータ6200がメモリ6201上に読み出したプログラムコードを実行することによって、前述した実施の形態の機能が実現される他、そのプログラムコードの指示に基づき、コンピュータ6200上で稼動しているOSなどが実際の処理の一部または全部を行ない、その処理によっても前述した実施の形態の機能が実現される。
【0167】
さらに、可搬型記録媒体6210から読み出されたプログラムコードやプログラム(データ)提供者から提供されたプログラム(データ)が、コンピュータ6200に挿入された機能拡張ボードやコンピュータ6200に接続された機能拡張ユニットに備わるメモリ6201に書き込まれた後、そのプログラムコードの指示に基づき、その機能拡張ボードや機能拡張ユニットに備わるCPUなどが実際の処理の一部または全部を行ない、その処理によっても前述した実施の形態の機能が実現され得る。
【0168】
すなわち、本発明は、以上に述べた実施の形態に限定されるものではなく、本発明の要旨を逸脱しない範囲内で種々の構成または形状を取ることができる。
ここで、上述した実施の形態の特徴を列挙すると、以下の通りである。
(付記1) 端末装置を収容するネットワーク装置および上記端末装置を認証するサーバ装置を備え、上記端末装置に対してサービスを提供するサービス制御ネットワークであって、
上記サーバ装置は、
ネットワークアクセス識別子を用いて、上記端末装置の識別情報を格納したサービス制御情報データベースを備え、
上記端末装置との接続を契機に、上記ネットワークアクセス識別子と上記端末装置を収容するネットワーク装置により上記端末装置に付与されたIPアドレスとを対応付け、上記ネットワークアクセス識別子をIPアドレスに変換したサービス制御情報を必要な経路上に配布し、
上記ネットワーク装置は、
上記IPアドレスを上記端末装置の識別として上記サーバ装置から配布された上記サービス制御情報に基づいて、パケットの転送制御を行なうことを特徴とするサービス制御ネットワーク。
(付記2) 付記1に記載のサービス制御ネットワークにおいて、
上記サービス制御情報を静的サービス制御情報と動的サービス制御情報とに分け、
静的サービス制御情報は、上記端末装置を認証する認証手順実行直後に必要な経路上に配布され、
動的サービス制御情報は、パケットの送出を契機に必要な経路上に配布されることを特徴とする付記1に記載のサービス制御ネットワーク。
(付記3) 付記2に記載のサービス制御ネットワークにおいて、
上記サービスプロフィアルを、上記端末装置に対する上り方向及び下り方向のQoS(Quality of Service)を一律に配布する基本サービス情報と、上り方向の終点アドレス、下り方向の始点アドレスを個別に配布可能な拡張サービス情報とに分けることを特徴とする付記2に記載のサービス制御ネットワーク。
(付記4) 付記3に記載のサービス制御ネットワークにおいて、
特定のアドレスを指定しないようなサービス制御情報をサーバ装置配下の全ネットワーク装置に配布することを避けるために、上記下り方向のサービス制御情報をIPv6(Internet Protocol Version 6)の中継点オプションに載せて、目的とするネットワーク装置に通知することを特徴とする付記3に記載のサービス制御ネットワーク。
(付記5) ネットワーク装置が収容する端末装置を認証するサーバ装置において、
ネットワークアクセス識別子を用いて、上記端末装置の識別情報を格納したサービス制御情報データベースと、
上記端末装置を収容する上記ネットワーク装置により上記端末装置に付与されたIPアドレスと上記ネットワークアクセス識別子とを対応付けるアドレスキャッシュを有し、上記ネットワークアクセス識別子を指定したネットワーク制御要求に対して、管理下のネットワーク装置が理解できる形式にサービス制御情報を変換するサービスプロファイル制御部と、
上記サービス制御情報の配布先を特定し配布するサービスプロファイル配布部とを備え、
上記端末装置との接続を契機に、上記ネットワークアクセス識別子と上記端末装置を収容するネットワーク装置により上記端末装置に付与されたIPアドレスとを対応付け、上記ネットワークアクセス識別子をIPアドレスに変換したサービス制御情報を必要な経路上に配布することを特徴とするサーバ装置。
(付記6) 付記5に記載のサーバ装置において、
端末装置を認証する認証手順実行により、上記端末装置からのネットワークアクセスを検出し、上記認証要求を行った端末装置のネットワークアクセス識別子と上記ネットワーク装置から通知されたIPアドレスを、アドレスキャッシュに登録する認証制御部と、
上記認証要求を行った端末装置のネットワークアクセス識別子からIPアドレスを求めるためのインタフェースを上記認証制御部に提供するサービスプロファイル生成部とを備え、
上記サービスプロファイル配布部は、ネットワークプレフィックスとネットワーク装置との対応表を有し、上記サービスプロファイル生成部によりIPアドレス変換されたサービスプロファイルの始点アドレスよりサービスプロファイルの配布先を決定することを特徴とする付記5に記載のサーバ装置。
(付記7) 付記6に記載のサーバ装置において、
上記サービスプロファイル配布部は、上記ネットワーク装置に理解できる形式に変換されたサービスプロファイルを始点アドレスから求められたネットワーク装置毎のキューに蓄積し、
上記認証制御部は、上記ネットワーク装置からの認証要求メッセージに対する認証応答メッセージの生成時に、送出先ネットワーク装置に対応するキューから、上記送出先ネットワーク装置へ配布するサービスプロファイルを抽出し、上記メッセージ上に複数のサービスプロファイルを多重化することを特徴とする付記6に記載のサーバ装置。
(付記8) 付記6に記載のサーバ装置において、
上記サービスプロファイル配布部は、他のネットワーク装置宛のキューを有し、上記他のネットワーク装置からの認証要求時には、ネットワーク装置毎のキューに蓄積し、
上記認証制御部は、認証要求メッセージに対する認証応答メッセージの生成時に、認証要求ドメインに対応するキューから、上記ネットワーク装置へ配布するサービス制御情報を抽出して認証応答メッセージとして送出し、
認証要求元のサーバ装置が、認証応答メッセージで通知されたサービスプロファイルを抽出し、管理下のネットワーク装置配下のキューに蓄積することを特徴とする付記6に記載のサーバ装置。
(付記9) 端末装置を収容するネットワーク装置において、
上記端末装置を認証するサーバ装置が、ネットワークアクセス識別子を用いて、上記端末装置の識別情報を格納したサービス制御情報データベースを備え、上記端末装置との接続を契機に、上記ネットワークアクセス識別子と上記端末装置を収容するネットワーク装置により上記端末装置に付与されたIPアドレスとを対応付け、上記ネットワークアクセス識別子をIPアドレスに変換したサービス制御情報を必要な経路上に配布し、
上記IPアドレスを上記端末装置の識別として上記サーバ装置から配布された上記サービス制御情報に基づいて、パケットの転送制御を行ない、
上記サーバ装置が備え、上記端末装置を認証する認証手順実行により、上記端末装置からのネットワークアクセスを検出し、上記認証要求を行った端末装置のネットワークアクセス識別子と上記ネットワーク装置から通知されたIPアドレスを、アドレスキャッシュに登録する認証制御部と認証要求及び認証応答のメッセージを交換することで、認証要求ユーザへのネットワークアクセスの認可とIPアドレスの割り当てを許容するアテンダント手段と、
上記サーバ装置により通知された多重化されたサービス制御情報を上記端末装置単位に分割し管理するサービス制御部とを備えることを特徴とするネットワーク装置。
(付記10) 付記9に記載のネットワーク装置において、
上記サービス制御情報を静的サービス制御情報と動的サービス制御情報とに分け、静的サービス制御情報は、上記端末装置を認証する認証手順実行直後に必要な経路上に配布され、動的サービス制御情報は、パケットの送出を契機に必要な経路上に配布され、
割り当て可能なIPアドレスをIPアドレスの始点アドレスを参照してフィルタリングする静的パケットフィルタに登録し、
上記静的パケットフィルタの帰結部としてパケット棄却を登録し、
上記端末装置の認証手順実行時に上記帰結部を上記サーバ装置から認証応答メッセージで返される端末装置に割り当てたIPアドレスに対応するサービスプロファイルで置換することを特徴とする付記9に記載のネットワーク装置。
(付記11) 付記10に記載のネットワーク装置において、
IPアドレスの始点アドレスを参照してフィルタリングする上記静的パケットフィルタに不一致時は、上記パケットのIPアドレスの始点アドレスが割り当て中であるか否かを判断し、
割り当て中であると判断された場合は、上記サーバ装置により配布されたサービス制御情報を上記静的パケットフィルタと上記アドレスキャッシュに登録し、割り当て中でないと判断された場合は、パケット棄却を指定したサービス制御情報を上記静的パケットフィルタと上記アドレスキャッシュに登録することを特徴とする付記10に記載のネットワーク装置。
(付記12) 付記10または11に記載のネットワーク装置において、
パケット棄却のサービスプロファイルを配布した、上記静的パケットフィルタを通過したパケットをロギングし、規定回数以上のアクセスがあった場合、警告を発するアクセス監視部を備えることを特徴とする付記10または11に記載のネットワーク装置。
(付記13) 端末装置を収容するネットワーク装置において、
上記端末装置からの認証要求が一定期間無い場合に、付記6に記載のサーバ装置へサービス要求メッセージを送出し、サービス応答メッセージで上記サーバ装置に関係あるサービス制御情報をダウンロードするアテンダントを備えることを特徴とするネットワーク装置。
(付記14) 付記9乃至13の何れか1項に記載のネットワーク装置において、
上記パケットの受信により動的に配布される動的パケットフィルタ又は上記端末装置の認証時に静的に配布される上記静的パケットフィルタの帰結部に、パケット転送時トラフィッククラスフィールドの編集と共に、上記下り方向のサービスプロファイルをIPv6の中継点オプションに設定し挿入する制御コードを設定し、
上記中継点オプションを有するパケットを受信した場合は、上記動的パケットフィルタに設定することを特徴とする付記9乃至13の何れか1項に記載のネットワーク装置。
(付記15) 端末装置を収容するネットワーク装置において実行させるためのサービス情報配布プログラムを格納したコンピュータ読み取り可能な記録媒体であって、
上記端末装置を認証するサーバ装置が、ネットワークアクセス識別子を用いて、上記端末装置の識別情報を格納したサービス制御情報データベースを備え、上記端末装置との接続を契機に、上記ネットワークアクセス識別子と上記端末装置を収容するネットワーク装置により上記端末装置に付与されたIPアドレスとを対応付け、上記ネットワークアクセス識別子をIPアドレスに変換したサービス制御情報を必要な経路上に配布する機能と、
上記IPアドレスを上記端末装置の識別として上記サーバ装置から配布された上記サービス制御情報に基づいて、パケットの転送制御を行なう機能と、
上記サーバ装置が備え、上記端末装置を認証する認証手順実行により、上記端末装置からのネットワークアクセスを検出し、上記認証要求を行った端末装置のネットワークアクセス識別子と上記ネットワーク装置から通知されたIPアドレスを、アドレスキャッシュに登録する認証制御部と認証要求及び認証応答のメッセージを交換することで、認証要求ユーザへのネットワークアクセスの認可とIPアドレスの割り当てを許容する機能と、
上記サーバ装置により通知された多重化されたサービス制御情報を上記端末装置単位に分割し管理する機能と、
を実現させるためのサービス情報配布プログラムを格納したコンピュータ読み取り可能な記録媒体。
(付記16) 付記15に記載のコンピュータ読み取り可能な記録媒体において、
上記サービス制御情報を静的サービス制御情報と動的サービス制御情報とに分け、静的サービス制御情報は、上記端末装置を認証する認証手順実行直後に必要な経路上に配布され、動的サービス制御情報は、パケットの送出を契機に必要な経路上に配布される機能と、
割り当て可能なIPアドレスをIPアドレスの始点アドレスを参照してフィルタリングする静的パケットフィルタに登録する機能と、
上記静的パケットフィルタの帰結部としてパケット棄却を登録する機能と、
上記端末装置の認証手順実行時に上記帰結部を上記サーバ装置から認証応答メッセージで返される端末装置に割り当てたIPアドレスに対応するサービスプロファイルで置換する機能と、
を実現させるためのサービス情報配布プログラムを格納した付記15に記載のコンピュータ読み取り可能な記録媒体。
(付記17) 端末装置を収容するネットワーク装置において実行させるためのサービス情報配布プログラムであって、
上記端末装置を認証するサーバ装置が、ネットワークアクセス識別子を用いて、上記端末装置の識別情報を格納したサービス制御情報データベースを備え、上記端末装置との接続を契機に、上記ネットワークアクセス識別子と上記端末装置を収容するネットワーク装置により上記端末装置に付与されたIPアドレスとを対応付け、上記ネットワークアクセス識別子をIPアドレスに変換したサービス制御情報を必要な経路上に配布する機能と、
上記IPアドレスを上記端末装置の識別として上記サーバ装置から配布された上記サービス制御情報に基づいて、パケットの転送制御を行なう機能と、
上記サーバ装置が備え、上記端末装置を認証する認証手順実行により、上記端末装置からのネットワークアクセスを検出し、上記認証要求を行った端末装置のネットワークアクセス識別子と上記ネットワーク装置から通知されたIPアドレスを、アドレスキャッシュに登録する認証制御部と認証要求及び認証応答のメッセージを交換することで、認証要求ユーザへのネットワークアクセスの認可とIPアドレスの割り当てを許容する機能と、
上記サーバ装置により通知された多重化されたサービス制御情報を上記端末装置単位に分割し管理する機能と、
を実現させるためのサービス情報配布プログラム。
(付記18) 付記17に記載のサービス情報配布プログラムにおいて、
上記サービス制御情報を静的サービス制御情報と動的サービス制御情報とに分け、静的サービス制御情報は、上記端末装置を認証する認証手順実行直後に必要な経路上に配布され、動的サービス制御情報は、パケットの送出を契機に必要な経路上に配布される機能と、
割り当て可能なIPアドレスをIPアドレスの始点アドレスを参照してフィルタリングする静的パケットフィルタに登録する機能と、
上記静的パケットフィルタの帰結部としてパケット棄却を登録する機能と、
上記端末装置の認証手順実行時に上記帰結部を上記サーバ装置から認証応答メッセージで返される端末装置に割り当てたIPアドレスに対応するサービスプロファイルで置換する機能と、
を実現させるための付記17に記載のサービス情報配布プログラム。
(付記19) 端末装置を収容するネットワーク装置において実行されるサービス情報配布方法であって、
上記端末装置を認証するサーバ装置が、ネットワークアクセス識別子を用いて、上記端末装置の識別情報を格納したサービス制御情報データベースを備え、上記端末装置との接続を契機に、上記ネットワークアクセス識別子と上記端末装置を収容するネットワーク装置により上記端末装置に付与されたIPアドレスとを対応付け、上記ネットワークアクセス識別子をIPアドレスに変換したサービス制御情報を必要な経路上に配布し、
上記IPアドレスを上記端末装置の識別として上記サーバ装置から配布された上記サービス制御情報に基づいて、パケットの転送制御を行ない、
上記サーバ装置が備え、上記端末装置を認証する認証手順実行により、上記端末装置からのネットワークアクセスを検出し、上記認証要求を行った端末装置のネットワークアクセス識別子と上記ネットワーク装置から通知されたIPアドレスを、アドレスキャッシュに登録する認証制御部と認証要求及び認証応答のメッセージを交換することで、認証要求ユーザへのネットワークアクセスの認可とIPアドレスの割り当てを許容し、
上記サーバ装置により通知された多重化されたサービス制御情報を上記端末装置単位に分割し管理することを特徴とするサービス情報配布方法。
(付記20) 付記19に記載のサービス情報配布方法において、
上記サービス制御情報を静的サービス制御情報と動的サービス制御情報とに分け、静的サービス制御情報は、上記端末装置を認証する認証手順実行直後に必要な経路上に配布され、動的サービス制御情報は、パケットの送出を契機に必要な経路上に配布し、
割り当て可能なIPアドレスをIPアドレスの始点アドレスを参照してフィルタリングする静的パケットフィルタに登録し、
上記静的パケットフィルタの帰結部としてパケット棄却を登録し、
上記端末装置の認証手順実行時に上記帰結部を上記サーバ装置から認証応答メッセージで返される端末装置に割り当てたIPアドレスに対応するサービスプロファイルで置換することを特徴とする付記19に記載のサービス情報配布方法。
【0169】
【発明の効果】
以上、説明したように本発明によれば、
(1)IPアドレスに依存しないホストの識別を用いることで、可変アドレスを持つホストに対してサービス制御情報の設定・配布が可能になる。
(2)ホストはネットワークの任意の接続点に接続し、常に同じ条件のサービス品質が保証されたサービスをネットワークから受けることが可能になる。
(3)既存の同等の効果を持つ発明と比較して、サービス適用の即時性が高い。
(4)規制フィルタとの連携を行なうことで、効率的なネットワーク資源の利用が可能になる。
等の効果を有する。
【図面の簡単な説明】
【図1】本発明の原理を説明するためのサービス制御ネットワークの構成図である。
【図2】本発明にかかるサービス制御ネットワークを実現するために解決しようとする問題点を示す図である。
【図3】本発明の手法Bによる解決方法を示す図である。
【図4】静的なサービス制御情報設定の基本動作を示す図である。
【図5】動的なサービス制御情報設定の基本動作を示す図である。
【図6】本発明の手法Aと本発明の手法Bとの相違点を説明するための図(その1)である。
【図7】本発明の手法Aと本発明の手法Bとの相違点を説明するための図(その2)である。
【図8】本発明の手法Aと本発明の手法Bとの相違点を説明するための図(その3)である。
【図9】本発明の手法Aと本発明の手法Bとの相違点を説明するための図(その4)である。
【図10】本発明の手法Bの機能ブロック図である。
【図11】AAA Requestメッセージのフォーマットを示す図(その1)である。
【図12】AAA Requestメッセージのフォーマットを示す図(その2)である。
【図13】AAA Replyメッセージのフォーマットを示す図(その1)である。
【図14】AAA Replyメッセージのフォーマットを示す図(その2)である。
【図15】AAA Teadownメッセージのフォーマットを示す図である。
【図16】DIAMETERメッセージのフォーマットを示す図である。
【図17】AMRメッセージのフォーマットを示す図である。
【図18】AMAメッセージのフォーマットを示す図である。
【図19】ASRメッセージのフォーマットを示す図である。
【図20】ASAメッセージのフォーマットを示す図である。
【図21】STRメッセージのフォーマットを示す図である。
【図22】STAメッセージのフォーマットを示す図である。
【図23】フィルタの例を示す図である。
【図24】ネットワーク装置のアドレスキャッシュの例を示す図である。
【図25】ネットワーク装置のサービスプロファイルキャッシュの例を示す図である。
【図26】ネットワーク装置のパケット制御部の処理フローを示すフローチャートである。
【図27】中継点オプションのフォーマットを示す図である。
【図28】ネットワーク装置のアテンダントの処理フローを示すフローチャート(その1)である。
【図29】ネットワーク装置のアテンダントの処理フローを示すフローチャート(その2)である。
【図30】ネットワーク装置のサービス制御部の処理フローを示すフローチャートである。
【図31】ネットワーク装置のアクセス監視部の処理フローを示すフローチャートである。
【図32】認証データベース/サービスプロファイル原本の例を示す図である。
【図33】サーバ装置のアドレスキャッシュの例を示す図である。
【図34】サーバ装置のサービスプロファイルキャッシュの例を示す図である。
【図35】ネットワークプレフィックス−EN対応表の例を示す図である。
【図36】サーバ装置の認証制御部の処理フローを示すフローチャートである。
【図37】サーバ装置のサービスプロファイル制御部の処理フローを示すフローチャート(その1)である。
【図38】サーバ装置のサービスプロファイル制御部の処理フローを示すフローチャート(その2)である。
【図39】サーバ装置のサービスプロファイル配布部の処理フローを示すフローチャートである。
【図40】本発明の実施の形態(AAAを用いたIPv6ネットワークアクセスによる例)におけるシステム構成図である。
【図41】サービス登録のシーケンス(サービスプロファイル原本設定の例)を示す図である。
【図42】ホスト1がアドレス取得をする時の全体シーケンス(サービスプロファイル配布の例)を示す図である。
【図43】ネットワーク装置の詳細処理シーケンスを示す図である。
【図44】サーバ装置の詳細処理シーケンスを示す図である。
【図45】ホスト1のアドレス取得後、ホスト2がアドレス取得をする時の全体シーケンス(サービスプロファイル配布の例)を示す図である。
【図46】エッジノード1がサービスプロファイルを自律的に取得する場合の全体シーケンスを示す図である。
【図47】ネットワーク装置動作の詳細処理シーケンスを示す図である。
【図48】サーバ装置の詳細処理シーケンスを示す図である。
【図49】ホスト1のアドレスライフタイムが満了した時の全体の処理シーケンスを示す図である。
【図50】ネットワーク装置動作の詳細処理シーケンスを示す図である。
【図51】サーバ装置の詳細処理シーケンスを示す図である。
【図52】ホスト1がアドレス解放する時の全体シーケンスを示す図である。
【図53】ネットワーク装置動作の詳細処理シーケンスを示す図である。
【図54】サーバ装置の詳細処理シーケンスを示す図である。
【図55】ドメイン間で通信を行なう場合の実施例におけるシステム構成図である。
【図56】net1とローミング契約をしているnet2でネットワークに接続しアドレス取得をする時の全体シーケンスを示す図である。
【図57】net2ドメインのサーバ装置の詳細を示す図である。
【図58】エッジノード1に静的フィルタが設定済みの場合にホスト1がホスト2へパケットを送出する場合のシーケンス(データパケットへのサービス適用を示す例)を示す図である。
【図59】エッジノード1からのデータパケットに基本サービスを適用して通信先ホスト収容エッジノードにサービスプロファイルを配布する場合のシーケンス(データパケットへの動的サービス適用を実施例)を示す図である。
【図60】動的にパケットフィルタリングを行なう場合のシーケンスを示す図である。
【図61】ネットワーク装置またはサーバ装置の構成図である。
【図62】本発明におけるプログラムのコンピュータへのローディングを説明する図である。
【符号の説明】
1 ホスト
2 ネットワーク装置
3 サーバ装置
20 パケット制御部
21 アクセス監視部
22 アテンダント
23 サービス制御部
30 認証制御部
31 認証データベース(DB)
32 ポリシーサーバ(SP)原本
33 サービスプロファイル制御部
34 サービスプロファイル配布部
6101 CPU
6102 メモリ
6103 入力装置
6104 出力装置
6105 外部記録装置
6106 媒体駆動装置
6107 ネットワーク接続装置
6109 バス
6110 可搬記録媒体
6200 コンピュータ
6201 メモリ
6210 可搬型記録媒体

Claims (10)

  1. 端末装置を収容するネットワーク装置および前記端末装置を認証するサーバ装置を備え、上記端末装置に対してサービスを提供するサービス制御ネットワークであって、
    前記サーバ装置は、
    ネットワークアクセス識別子を用いて、前記端末装置の識別情報を格納したサービス制御情報データベースを備え、
    前記端末装置との接続を契機に、前記ネットワークアクセス識別子と前記端末装置を収容するネットワーク装置により前記端末装置に付与されたIPアドレスとを対応付け、前記ネットワークアクセス識別子をIPアドレスに変換したサービス制御情報を必要な経路上に配布し、
    前記ネットワーク装置は、
    前記IPアドレスを前記端末装置の識別として前記サーバ装置から配布された前記サービス制御情報に基づいて、パケットの転送制御を行なうことを特徴とするサービス制御ネットワーク。
  2. 請求項1に記載のサービス制御ネットワークにおいて、
    前記サービス制御情報を静的サービス制御情報と動的サービス制御情報とに分け、
    静的サービス制御情報は、前記端末装置を認証する認証手順実行直後に必要な経路上に配布され、
    動的サービス制御情報は、パケットの送出を契機に必要な経路上に配布されることを特徴とする請求項1に記載のサービス制御ネットワーク。
  3. ネットワーク装置が収容する端末装置を認証するサーバ装置において、
    ネットワークアクセス識別子を用いて、前記端末装置の識別情報を格納したサービス制御情報データベースと、
    前記端末装置を収容する前記ネットワーク装置により前記端末装置に付与されたIPアドレスと前記ネットワークアクセス識別子とを対応付けるアドレスキャッシュを有し、前記ネットワークアクセス識別子を指定したネットワーク制御要求に対して、サービス制御情報をIPアドレスに変換するサービスプロファイル制御部と、
    前記サービス制御情報の配布先を特定し配布するサービスプロファイル配布部とを備え、前記端末装置との接続を契機に、前記ネットワークアクセス識別子と前記端末装置を収容するネットワーク装置により前記端末装置に付与されたIPアドレスとを対応付け、前記ネットワークアクセス識別子をIPアドレスに変換したサービス制御情報を必要な経路上に配布することを特徴とするサーバ装置。
  4. 請求項3に記載のサーバ装置において、端末装置を認証する認証手順実行により、前記端末装置からのネットワークアクセスを検出し、前記認証要求を行った端末装置のネットワークアクセス識別子と前記ネットワーク装置から通知されたIPアドレスを、アドレスキャッシュに登録する認証制御部と、
    前記認証要求を行った端末装置のネットワークアクセス識別子からIPアドレスを求めるためのインタフェースを前記認証制御部に提供するサービスプロファイル生成部とを備え、
    前記サービスプロファイル配布部は、ネットワークプレフィックスとネットワーク装置との対応表を有し、前記サービスプロファイル生成部によりIPアドレス変換されたサービスプロファイルの始点アドレスよりサービスプロファイルの配布先を決定することを特徴とする請求項3に記載のサーバ装置。
  5. 端末装置を収容するネットワーク装置において、
    前記端末装置を認証するサーバ装置が、ネットワークアクセス識別子を用いて、前記端末装置の識別情報を格納したサービス制御情報データベースを備え、前記端末装置との接続を契機に、前記ネットワークアクセス識別子と前記端末装置を収容するネットワーク装置により前記端末装置に付与されたIPアドレスとを対応付け、前記ネットワークアクセス識別子をIPアドレスに変換したサービス制御情報を必要な経路上に配布し、
    前記IPアドレスを前記端末装置の識別として前記サーバ装置から配布された前記サービス制御情報に基づいて、パケットの転送制御を行ない、
    前記サーバ装置が備え、前記端末装置を認証する認証手順実行により、前記端末装置からのネットワークアクセスを検出し、前記認証要求を行った端末装置のネットワークアクセス識別子と前記ネットワーク装置から通知されたIPアドレスを、アドレスキャッシュに登録する認証制御部と認証要求及び認証応答のメッセージを交換することで、認証要求ユーザへのネットワークアクセスの認可とIPアドレスの割り当てを許容するアテンダント手段と、
    前記サーバ装置により通知された多重化されたサービス制御情報を前記端末装置単位に分割し管理するサービス制御部とを備えることを特徴とするネットワーク装置。
  6. 請求項5に記載のネットワーク装置において、
    前記サービス制御情報を静的サービス制御情報と動的サービス制御情報とに分け、静的サービス制御情報は、前記端末装置を認証する認証手順実行直後に必要な経路上に配布され、
    動的サービス制御情報は、パケットの送出を契機に必要な経路上に配布され、割り当て可能なIPアドレスをIPアドレスの始点アドレスを参照してフィルタリングする静的パケットフィルタに登録し、
    前記静的パケットフィルタの帰結部としてパケット棄却を登録し、
    前記端末装置の認証手順実行時に前記帰結部を前記サーバ装置から認証応答メッセージで返される端末装置に割り当てたIPアドレスに対応するサービスプロファイルで置換することを特徴とする請求項5に記載のネットワーク装置。
  7. 請求項6に記載のネットワーク装置において、
    IPアドレスの始点アドレスを参照してフィルタリングする前記静的パケットフィルタに不一致時は、前記パケットのIPアドレスの始点アドレスが割り当て中であるか否かを判断し、
    割り当て中であると判断された場合は、前記サーバ装置により配布されたサービス制御情報を前記静的パケットフィルタと前記アドレスキャッシュに登録し、
    割り当て中でないと判断された場合は、パケット棄却を指定したサービス制御情報を前記静的パケットフィルタと前記アドレスキャッシュに登録することを特徴とする請求項6に記載のネットワーク装置。
  8. 請求項6または7に記載のネットワーク装置において、
    パケット棄却のサービスプロファイルを配布した、前記静的パケットフィルタを通過したパケットをロギングし、規定回数以上のアクセスがあった場合、警告を発するアクセス監視部を備えることを特徴とする請求項6または7に記載のネットワーク装置。
  9. 端末装置を収容するネットワーク装置および前記端末装置を認証するサーバ装置を備え、前記端末装置に対してサービスを提供するサービス制御ネットワークにおいて実行させるためのサービス情報配布プログラムであって、
    前記端末装置を認証するサーバ装置が、ネットワークアクセス識別子を用いて、前記端末装置の識別情報を格納したサービス制御情報データベースを備え、前記端末装置との接続を契機に、前記ネットワークアクセス識別子と前記端末装置を収容するネットワーク装置により前記端末装置に付与されたIPアドレスとを対応付け、前記ネットワークアクセス識別子をIPアドレスに変換したサービス制御情報を必要な経路上に配布する機能と、
    前記IPアドレスを前記端末装置の識別として前記サーバ装置から配布された前記サービス制御情報に基づいて、パケットの転送制御を行なう機能と、
    前記サーバ装置が備え、前記端末装置を認証する認証手順実行により、前記端末装置からのネットワークアクセスを検出し、前記認証要求を行った端末装置のネットワークアクセス識別子と前記ネットワーク装置から通知されたIPアドレスを、アドレスキャッシュに登録する認証制御部と認証要求及び認証応答のメッセージを交換することで、認証要求ユーザへのネットワークアクセスの認可とIPアドレスの割り当てを許容する機能と、
    前記サーバ装置により通知された多重化されたサービス制御情報を前記端末装置単位に分割し管理する機能と、
    を実現させるためのサービス情報配布プログラム。
  10. 請求項9に記載のサービス情報配布プログラムにおいて、
    前記サービス制御情報を静的サービス制御情報と動的サービス制御情報とに分け、静的サービス制御情報は、前記端末装置を認証する認証手順実行直後に必要な経路上に配布され、動的サービス制御情報は、パケットの送出を契機に必要な経路上に配布される機能と、
    割り当て可能なIPアドレスをIPアドレスの始点アドレスを参照してフィルタリングする静的パケットフィルタに登録する機能と、
    前記静的パケットフィルタの帰結部としてパケット棄却を登録する機能と、
    前記端末装置の認証手順実行時に前記帰結部を前記サーバ装置から認証応答メッセージで返される端末装置に割り当てたIPアドレスに対応するサービスプロファイルで置換する機能と、
    を実現させるための請求項9に記載のサービス情報配布プログラム。
JP2001322934A 2001-10-22 2001-10-22 サービス制御ネットワーク、サーバ装置、ネットワーク装置、サービス情報配布方法、及びサービス情報配布プログラム Expired - Fee Related JP3895146B2 (ja)

Priority Applications (4)

Application Number Priority Date Filing Date Title
JP2001322934A JP3895146B2 (ja) 2001-10-22 2001-10-22 サービス制御ネットワーク、サーバ装置、ネットワーク装置、サービス情報配布方法、及びサービス情報配布プログラム
EP20020007344 EP1304847A3 (en) 2001-10-22 2002-04-05 System and method for providing specific services to each of a plurality of terminals connected to a network
US10/119,657 US20030079144A1 (en) 2001-10-22 2002-04-10 Service control network, server, network device, service information distribution method, and service information distribution program
CNB021465827A CN100380892C (zh) 2001-10-22 2002-10-22 服务控制网络,服务器,网络装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2001322934A JP3895146B2 (ja) 2001-10-22 2001-10-22 サービス制御ネットワーク、サーバ装置、ネットワーク装置、サービス情報配布方法、及びサービス情報配布プログラム

Publications (2)

Publication Number Publication Date
JP2003134145A JP2003134145A (ja) 2003-05-09
JP3895146B2 true JP3895146B2 (ja) 2007-03-22

Family

ID=19139898

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2001322934A Expired - Fee Related JP3895146B2 (ja) 2001-10-22 2001-10-22 サービス制御ネットワーク、サーバ装置、ネットワーク装置、サービス情報配布方法、及びサービス情報配布プログラム

Country Status (4)

Country Link
US (1) US20030079144A1 (ja)
EP (1) EP1304847A3 (ja)
JP (1) JP3895146B2 (ja)
CN (1) CN100380892C (ja)

Families Citing this family (38)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FI113515B (fi) * 2002-01-18 2004-04-30 Nokia Corp Osoitteistus langattomissa lähiverkoissa
US7529263B1 (en) * 2002-01-19 2009-05-05 Ucentric Systems, Inc. Local area-networked system having intelligent traffic control and efficient bandwidth management
US8649352B2 (en) 2002-02-04 2014-02-11 Qualcomm Incorporated Packet forwarding methods for use in handoffs
AU2003217301A1 (en) * 2002-02-04 2003-09-02 Flarion Technologies, Inc. A method for extending mobile ip and aaa to enable integrated support for local access and roaming access connectivity
US20040193906A1 (en) * 2003-03-24 2004-09-30 Shual Dar Network service security
US7421732B2 (en) * 2003-05-05 2008-09-02 Nokia Corporation System, apparatus, and method for providing generic internet protocol authentication
JP2004355562A (ja) * 2003-05-30 2004-12-16 Kddi Corp 機器認証システム
US7269727B1 (en) * 2003-08-11 2007-09-11 Cisco Technology, Inc. System and method for optimizing authentication in a network environment
JP4046698B2 (ja) * 2004-02-04 2008-02-13 シャープ株式会社 データ提供システム及びデータ提供装置
WO2005116851A2 (en) * 2004-05-25 2005-12-08 Postini, Inc. Electronic message source information reputation system
US7974217B2 (en) 2004-07-19 2011-07-05 Samsung Electronics Co., Ltd. Method and apparatus for identifying network device corresponding to internet protocol address, and method and apparatus for allocating internet protocol address
US20070226344A1 (en) * 2004-07-23 2007-09-27 General Instrument Corporation Centralized Resource Manager With Power Switching System
WO2006021870A2 (en) * 2004-08-27 2006-03-02 Nortel Network Limited Service edge platform architecture for a multi-service access network
JP2006086907A (ja) * 2004-09-17 2006-03-30 Fujitsu Ltd 設定情報配布装置、方法、プログラム、媒体、及び設定情報受信プログラム
JP4282635B2 (ja) * 2005-05-31 2009-06-24 株式会社東芝 制御ネットワークシステム及び制御ネットワークの作動方法
JP2007097057A (ja) * 2005-09-30 2007-04-12 Brother Ind Ltd サーバ装置、機器情報提供方法、プログラム、ネットワークシステム、及び、機器共用化方法
US7877790B2 (en) * 2005-10-31 2011-01-25 At&T Intellectual Property I, L.P. System and method of using personal data
US7761503B2 (en) * 2006-01-06 2010-07-20 Microsoft Corporation Peer distribution point feature for system management server
CN1809076B (zh) * 2006-01-26 2010-05-26 中国移动通信集团公司 通信网络中终端IPv6地址的生成及解析方法
JP4630225B2 (ja) 2006-05-15 2011-02-09 富士通株式会社 通信制御システム
CN101132307B (zh) * 2006-08-22 2010-12-01 华为技术有限公司 控制系统、控制方法、以及控制装置
KR101298150B1 (ko) 2006-12-22 2013-08-20 삼성전자주식회사 블루투스 통신 시스템에서 활성 프로파일 교환을 위한 장치및 방법
JP5002259B2 (ja) * 2006-12-25 2012-08-15 パナソニック株式会社 認証システム
ATE518344T1 (de) * 2006-12-28 2011-08-15 Ericsson Telefon Ab L M Home-gateway-einrichtung zur bereitstellung von mehreren diensten für kundengeräte
KR101361513B1 (ko) * 2007-02-21 2014-02-10 삼성전자 주식회사 컴퓨터 및 그 제어방법
EP2007111A1 (fr) * 2007-06-22 2008-12-24 France Telecom Procédé de filtrage de paquets en provenance d'un réseau de communication
US8693372B2 (en) * 2009-01-29 2014-04-08 Qualcomm Incorporated Methods and apparatus for forming, maintaining and/or using overlapping networks
JP5627860B2 (ja) * 2009-04-27 2014-11-19 三菱電機株式会社 立体映像配信システム、立体映像配信方法、立体映像配信装置、立体映像視聴システム、立体映像視聴方法、立体映像視聴装置
CN101997875B (zh) * 2010-10-29 2013-05-29 北京大学 一种安全的多方网络通信平台及其构建方法、通信方法
US8549579B2 (en) * 2011-07-06 2013-10-01 International Business Machines Corporation Dynamic data-protection policies within a request-reply message queuing environment
CN104935505B (zh) * 2014-03-21 2018-11-27 杭州迪普科技股份有限公司 一种报文转发、协助转发的方法以及装置、中继设备
KR102336293B1 (ko) * 2014-12-19 2021-12-07 삼성전자 주식회사 전자기기의 제어 방법 및 장치
CN104486043B (zh) * 2014-12-29 2017-10-27 中山大学 一种区分业务的自适应协作网络编码方法
CN104717216B (zh) * 2015-03-12 2018-09-07 福建星网锐捷网络有限公司 一种网络接入控制方法、装置及核心设备
US10666624B2 (en) * 2017-08-23 2020-05-26 Qualcomm Incorporated Systems and methods for optimized network layer message processing
CN108063735B (zh) * 2017-12-22 2021-10-19 新华三技术有限公司 Vnf集群的分配方法及装置
JP7166217B2 (ja) * 2019-04-25 2022-11-07 Thk株式会社 処理装置、処理済みデータの収集方法、及びデータ収集システム
CN116208680B (zh) * 2023-05-04 2023-07-14 成都三合力通科技有限公司 一种服务器访问管理系统及方法

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6360262B1 (en) * 1997-11-24 2002-03-19 International Business Machines Corporation Mapping web server objects to TCP/IP ports
US6681327B1 (en) * 1998-04-02 2004-01-20 Intel Corporation Method and system for managing secure client-server transactions
FI109254B (fi) * 1998-04-29 2002-06-14 Ericsson Telefon Ab L M Menetelmä, järjestelmä ja laite todentamiseen
US6654891B1 (en) * 1998-10-29 2003-11-25 Nortel Networks Limited Trusted network binding using LDAP (lightweight directory access protocol)
US7194554B1 (en) * 1998-12-08 2007-03-20 Nomadix, Inc. Systems and methods for providing dynamic network authorization authentication and accounting
JP3486125B2 (ja) * 1999-01-14 2004-01-13 富士通株式会社 ネットワーク機器制御システム及び装置
JP2001169341A (ja) * 1999-09-29 2001-06-22 Fujitsu Ltd 移動通信サービス提供システム、移動通信サービス提供方法、認証装置、およびホームエージェント装置
JP3478218B2 (ja) * 1999-12-27 2003-12-15 日本電気株式会社 エッジノード交換機と交換機
US6910074B1 (en) * 2000-07-24 2005-06-21 Nortel Networks Limited System and method for service session management in an IP centric distributed network
US6957276B1 (en) * 2000-10-23 2005-10-18 Microsoft Corporation System and method of assigning and reclaiming static addresses through the dynamic host configuration protocol

Also Published As

Publication number Publication date
EP1304847A3 (en) 2004-04-21
JP2003134145A (ja) 2003-05-09
CN1414751A (zh) 2003-04-30
EP1304847A2 (en) 2003-04-23
CN100380892C (zh) 2008-04-09
US20030079144A1 (en) 2003-04-24

Similar Documents

Publication Publication Date Title
JP3895146B2 (ja) サービス制御ネットワーク、サーバ装置、ネットワーク装置、サービス情報配布方法、及びサービス情報配布プログラム
JP4195450B2 (ja) 複数国運用事業者ネットワークをローミングするパケット無線ネットワークユーザのためのシングルサインオン方法
US6661780B2 (en) Mechanisms for policy based UMTS QoS and IP QoS management in mobile IP networks
US7391748B2 (en) Configuration of enterprise gateways
EP1535449B1 (en) System and method for dynamic simultaneous connection to multiple service providers
CA2321396C (en) Mobile communications service system, mobile communications service method, authentication apparatus, and home agent apparatus
US7502929B1 (en) Method and apparatus for assigning network addresses based on connection authentication
US8605582B2 (en) IP network system and its access control method, IP address distributing device, and IP address distributing method
US20050078681A1 (en) Identifier assignment system, method, and program
Aboba et al. Criteria for evaluating AAA protocols for network access
JP2001217866A (ja) ネットワークシステム
Ponnappan et al. A policy based QoS management system for the IntServ/DiffServ based Internet
US20080155678A1 (en) Computer system for controlling communication to/from terminal
WO2009000214A1 (fr) Procédé et dispositif pour configurer des données de configuration du réseau d'accès utilisateur
WO2007053996A1 (fr) Méthode et système de redirection de client
JP2004180211A (ja) 代理ネットワーク制御装置
WO2006116908A1 (fr) Procede et appareil d’interface pour l’authentification et la facturation
Hasan et al. Authentication, authorization, accounting, and charging for the mobile internet
KR100454687B1 (ko) 다이어미터 기반 aaa 인증서버와 분리된 과금서버의연동처리 방법
JP4080402B2 (ja) 名前解決・認証方法及び装置
EP3900420B1 (en) Method and system for retrieving user information in evolved packet system
WO2012075768A1 (zh) 身份位置分离网络的监听方法和系统
WO2011026355A1 (zh) 节点接入家乡代理的方法、家乡代理集群系统及业务路由器
KR100739489B1 (ko) 서버와 클라이언트의 사이의 네트워크 경로에 속하는라우터에 접속하는 대역폭 브로커 및 차등화 서비스 제공방법
US20240114323A1 (en) Apparatus and method for providing service function chaining service exposure in wireless communication system

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20041007

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20060727

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20060815

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20060927

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20061212

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20061213

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

A761 Written withdrawal of application

Free format text: JAPANESE INTERMEDIATE CODE: A761

Effective date: 20080702

LAPS Cancellation because of no payment of annual fees