JP2004241979A - Authentication server, frame transfer network, program for realizing authentication server, and recording medium for recording program - Google Patents

Authentication server, frame transfer network, program for realizing authentication server, and recording medium for recording program Download PDF

Info

Publication number
JP2004241979A
JP2004241979A JP2003028224A JP2003028224A JP2004241979A JP 2004241979 A JP2004241979 A JP 2004241979A JP 2003028224 A JP2003028224 A JP 2003028224A JP 2003028224 A JP2003028224 A JP 2003028224A JP 2004241979 A JP2004241979 A JP 2004241979A
Authority
JP
Japan
Prior art keywords
virtual network
user
identifier
vlan
group
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2003028224A
Other languages
Japanese (ja)
Inventor
Masahiro Maruyoshi
政博 丸吉
Yoshitake Tajima
佳武 田島
Junichi Murayama
純一 村山
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2003028224A priority Critical patent/JP2004241979A/en
Publication of JP2004241979A publication Critical patent/JP2004241979A/en
Pending legal-status Critical Current

Links

Images

Abstract

<P>PROBLEM TO BE SOLVED: To eliminate the restriction in the number of contract user terminal groups in a frame transfer network for providing a virtual network connection to user terminals through the cooperation between a frame transfer apparatus and an authentication server. <P>SOLUTION: The authentication server 5 dynamically sets a virtual network identifier assigned to groups so that a plurality of user terminal groups can share the identifier. The authentication server 5 is provided with: a VLAN number table 15 for managing the cross-reference between the virtual network identifier (VLAN-ID) and the number of connected user terminals by each group identifier (VLAN number); and a VLAN-ID stack 16 for pooling unused virtual network identifiers. The authentication server 5 assigns the unused virtual network identifier to a group identifier to which no virtual network identifier is assigned and releases the virtual network identifier corresponding to a group from which all user terminals are retired as the unused virtual network identifier. <P>COPYRIGHT: (C)2004,JPO&NCIPI

Description

【0001】
【発明の属する技術分野】
本発明は、VLAN(仮想ローカルエリアネットワーク;virtual local areanetwork)などのフレーム転送網で代表される仮想網と、仮想網においてユーザ認証に用いられる認証サーバとに関する。
【0002】
【従来の技術】
仮想網は、実在の物理網を複数のユーザグループで物理的には共用するとともに、各ユーザグループに対しては他のユーザグループの存在を隠蔽してあたかも1つの網をそのユーザグループが独占して使用しているかのようにするものである。このような仮想網では、物理網にフレーム転送装置が接続しており、フレーム転送装置には、複数台のユーザ端末が接続される。そして、ユーザ端末を介してユーザがフレーム転送装置に接続要求を行った場合には、ユーザ認証を行ったのち、フレーム転送装置は、そのユーザ端末に仮想網識別子を割り当て、さらに、ユーザ端末からユーザフレームが送られてきたときにそのユーザフレームに、該当する仮想網識別子を付加し、フレーム転送装置間でフレーム転送を行う。このようにして、異なる仮想網識別子が割り当てられたユーザ端末間相互では通信できないようにし、1つの物理網を互いに通信不可能な複数のユーザグループに論理的に分割することができる。
【0003】
さらに、上述したような仮想網には、ユーザ端末から接続要求を行ったユーザに対するユーザ認証を行うために、認証サーバが設けられる。ユーザ認証は、フレーム転送装置と認証サーバとの間で行なわれる。認証サーバは、認証したユーザの情報に基いた仮想網識別子をフレーム転送装置に通知し、フレーム転送装置は、認証サーバから通知されたユーザの仮想網識別子と、ユーザが使用しているユーザ端末の識別子とをマッピングする。このように仮想網を構成することにより、フレーム転送装置に接続されているユーザ端末を異なったグループに所属する複数のユーザで共有することや、フレーム転送装置に対し、さまざまなユーザグループのユーザがアドホックにユーザ端末を接続することが可能になる。
【0004】
ところで、仮想網に用いられる従来の認証サーバでは、その認証サーバが保持するユーザ情報テーブルにユーザが所属するユーザグループの仮想網識別子をあらかじめ静的に設定しておき、接続要求があったユーザへの認証成功応答をフレーム転送装置に送信する際に、その認証成功応答内に仮想網識別子を埋め込むことによって、仮想網識別子をフレーム転送装置へ通知するようになっていた。そのため、あるユーザグループに所属している全てのユーザがフレーム転送網から離脱した場合であっても、そのユーザグループの仮想網識別子は占有されたままとなる。
【0005】
一般的な仮想網、特にフレーム転送網では、ユーザフレーム内に格納できる仮想網識別子の長さは12ビットであるから、仮想網識別子は最大で4094個となる(いわゆる4094VLAN制限問題)。このように仮想網内で使用できる仮想網識別子数には一般に上限があるため、仮想網識別子を静的に設定している場合には、たとえユーザグループに所属しているユーザがフレーム転送網に接続していなくてもその仮想網識別子を占有してしまうことになるので、設定することができる仮想網識別子数に上限があることになる。したがって、従来の仮想網では、契約ユーザグループ数のスケーラビリティの向上が困難である。
【0006】
【特許文献1】
特開平11−215152
【特許文献2】
特開2002−223228
【特許文献3】
特開2002−314573
【0007】
【発明が解決しようとする課題】
上述したように従来の仮想網には、4094VLAN制限問題のようにフレーム転送装置が設定することのできる仮想網識別子数に上限があるにも関わらず、ユーザが所属するユーザグループの仮想網識別子を認証サーバがそのユーザ情報テーブルに静的に設定しているため、契約することができるユーザグループ数に上限が存在し、仮想網のスケーラビリティを向上させることが困難である、という問題点がある。
【0008】
そこで本発明の目的は、仮想網における契約ユーザグループ数などのスケーラビリティ向上を向上させることにある、具体的には本発明の目的は、契約ユーザグループが仮想網識別子を占有することを回避し、契約ユーザグループ数の無制限化を実現することができる認証サーバと、そのような認証サーバを用いることによってスケーラビリティが向上したフレーム転送網とを提供することを目的とする。
【0009】
【課題を解決するための手段】
本発明では、上記の課題を解決するために、各ユーザに割り当てられたユーザ識別子とユーザ端末グループごとに設定されるグループ識別子との対応関係を管理するユーザ情報テーブルを備える認証サーバに、グループ識別子に対して対応する仮想網識別子と接続ユーザ端末数とを管理するグループ識別子テーブルと、未使用である仮想網識別子を蓄積する蓄積部と、を設けるとともに、認証サーバに、接続要求を受けたときに認証処理を行う機能と、認証が許可された場合に、ユーザ情報テーブルを用いて当該ユーザ端末のグループ識別子を抽出し、抽出したグループ識別子に仮想網識別子が割り当てられているかをグループ識別子テーブルを用いて判断し、割り当てられている場合には、該当する仮想網識別子を通知するとともに該当する接続ユーザ端末数を更新し、割り当てられていない場合には、蓄積部に蓄積された未使用の仮想網識別子を抽出したグループ識別子に対応付けてグループ識別子テーブルに設定して当該仮想網識別子を通知するとともに対応する接続ユーザ端末数を更新する機能と、全てのユーザ端末が離脱したユーザ端末グループに該当する仮想網識別子を未使用として解放し蓄積部に蓄積する機能と、を持たせるようにしている。
【0010】
すなわち本発明では、ユーザ端末グループごとに固定的に割り当てられるグループ識別子について、そのグループ識別子に対する仮想網識別子と接続ユーザ端末数との対応関係をグループ識別子テーブルにおいて管理している。これにより、既に仮想網識別子が割り当てられているグループ識別子の情報を保持しておくことができるとともに、フレーム転送網に接続しているユーザ端末数をグループ識別子ごとに管理することが可能となる。さらに、典型的にはスタックとして実現される蓄積部によって、未使用である仮想網識別子をプールすることにより、特定のグループ識別子に占有されていない仮想網識別子情報を管理することが可能となる。すなわち、認証時に抽出したユーザ端末のグループ識別子と、グループ識別子テーブルを用いると、当該ユーザ端末のグループ識別子に該当する仮想網識別子を特定することが可能となる。
【0011】
ここで、グループ識別子に該当する仮想網識別子が存在しない場合には、プールしてある未使用の仮想網識別子をグループ識別子テーブルに割り当てることによって、仮想網識別子が割り当てられていなかったグループ識別子に対し、どのグループ識別子にも占有されていない仮想網識別子を割り当てることが可能となる。また、全てのユーザ端末が離脱したユーザ端末グループに該当する仮想網識別子を未使用として解放し、プールに蓄えることで、仮想網識別子の再利用が可能となる。
【0012】
結局、数的に限られた仮想網識別子を契約ユーザグループ間で共有することが可能となるとともに、契約グループによるVLAN−IDの占有を回避することができ、仮想網識別子の上限個数に制限されることなく、契約グループ数を増やすことができるようになる。
【0013】
【発明の実施の形態】
次に、本発明の好ましい実施形態について、図面を参照して説明する。
【0014】
図1は、本発明の実施の一形態の認証サーバを有する仮想網の構成の一例を示している。仮想網は、フレーム転送網として構成されており、タグ付きフレームを伝送するフレーム伝送路6と、フレーム伝送路6に接続する複数のフレーム転送装置4と、各フレーム転送装置4に接続してユーザ認証を行う認証サーバ5とを備えている。各フレーム転送装置4には、それぞれ、複数のユーザ端末1〜3が接続している。以下の説明では、フレーム転送装置4はVLANスイッチとして構成されており、また、認証サーバ5はRadius(remote authenticationdial−in user service)サーバであるとする。各ユーザ端末1〜3は、対応するフレーム転送装置4のユーザ端末用のインタフェースに接続している。認証サーバ5は、フレーム転送装置4の認証サーバ用のインタフェースに接続している。
【0015】
ここでフレーム転送装置4は、ユーザ端末用のインタフェースに接続されたユーザ端末から接続要求を受信し、認証サーバ5に対してユーザ認証要求を行う機能と、認証サーバ5からのユーザ認証応答に含まれる仮想網識別子(以下、VLAN−IDとする)を、接続要求を行ったユーザ端末に対応するユーザ端末識別子にマッピングする機能と、ユーザ端末からユーザフレームが転送されてきたときに、ユーザ端末に対して割り当てられたユーザ端末グループ(以下、VLANともいう)へのVLAN−IDを転送フレームにタグ付けし、タグ付けされたフレームをフレーム転送路6を介して相手側のフレーム転送装置に転送する機能と、を有する。ここで述べた機能は、仮想網を構成するフレーム転送装置4として一般的に備わっているものであり、本実施形態で用いるフレーム転送装置4の構成は、当業者には自明のものである。フレーム転送装置4は、上記のようにして、相互にフレーム転送を行う。
【0016】
認証サーバ5は、フレーム転送装置4からのユーザ認証要求に応じてユーザ認証を行い、ユーザ認証が成功した場合に、そのユーザの所属するグループのVLAN−IDを動的に設定し、フレーム転送装置4に対して認証応答を返信する機能を有する。図2は、このような認証サーバ5の内部構成を示している。認証サーバ5は、大別すると、フレーム転送装置4に対するインタフェースとなるVLANスイッチ接続部10と、実際にユーザ認証を行うユーザ認証応答部11と、VLAN−IDの動的な設定を行うVLAN−ID設定部12と、を備えている。ここでVLANスイッチ接続部10は、具体的には、フレーム転送装置4からのユーザ認証要求をユーザ認証応答部11に転送し、ユーザ認証応答部11からのユーザ認証応答もしくはユーザ認証拒否応答をフレーム転送装置4に送信する機能を有するとともに、フレーム転送装置4からのユーザ切断要求をユーザ認証応答部11に転送し、ユーザ認証応答部11からのユーザ切断応答をフレーム転送装置4に送信する機能を有する。
【0017】
ユーザ認証応答部11には、仮想網における従来の認証サーバと同様に、dictionaryDB(ディクショナリデータベース)13とusersDB(ユーザズデータベース)14の2つのデータベースを保持する。これらのデータベースについての詳細は、例えば、インターネット技術におけるデファクト標準を記述するRFC(Request for comments)文書のうち、RFC2138に記載されているが、dictionaryDB13は、属性として、「VLAN番号」を保持する。ここで属性「VLAN番号」の属性値形式は整数型である。また、usersDB14は、ユーザ情報テーブルに該当するものであって、VLANへのアクセス権限を持つユーザ識別子(以下、ユーザIDとする)のユーザ情報を保持し、各ユーザ情報は当該ユーザが所属するグループのグループ識別子(以下、VLAN番号と呼ぶ)を属性「VLAN番号」の属性値として保持する。
【0018】
ユーザ認証応答部11は、VLANスイッチ接続部10から受け取ったユーザ認証要求に含まれるユーザIDやパスワードに基づいてusersDB14を参照し、認証可否を決定する機能と、認証結果が許可であった場合、当該ユーザIDのVLAN番号を後述のVLAN−ID動的設定要求23としてVLAN−ID設定部12に送信する機能と、認証結果が拒否であった場合、ユーザ認証拒否応答をVLANスイッチ接続部10へと送信する機能と、VLAN−ID設定部12から受信した後述のVLAN−ID動的設定応答26のVLAN−IDと、dictionaryDB13、usersDB14とからユーザ認証応答を生成する機能と、生成したユーザ認証応答をVLANスイッチ接続部10へと送信する機能と、ユーザIDごとのセッション情報を保持する機能と、を有する。なお、usersDB14の検索方法やユーザ認証応答を生成する機能に関する詳細は、上述したRFC2138に記載されている。また、セッション情報の保持に関しては、RFC2139に記載されている。さらに、ユーザ認証応答部11は、VLANスイッチ接続部10から受け取ったユーザ切断要求のセッション情報から、当該ユーザIDを得る機能と、そのユーザIDとusersDB14とから該当するVLAN番号を抽出し、VLAN−ID削除要求としてVLAN−ID設定部12に送信する機能も備えている。こうしたユーザ認証応答部11の各機能は、例えば、ここには図示していないが、ユーザ認証応答部11内に設けられる認証応答制御部が実行する。
【0019】
VLAN−ID設定部12は、グループ識別子(VLAN番号)を保持するテーブルであるVLAN番号テーブル15と、未使用であるVLAN−IDをプールしておく未使用VLAN−ID(仮想網識別子)蓄積部として機能するVLAN−IDスタック16を有する。未使用であるVLAN−IDをプールするための機構としては、各種の記憶機構を用いることができるが、本実施形態では、スタック構成(後入れ先出し構成)の記憶機構を用い、演算処理量の削減などを図っている。
【0020】
VLAN番号テーブル15は、図3に示すように、VLAN番号を格納するVLAN番号フィールド20と、VLAN−IDを格納するVLAN−IDフィールド21と、カウンタフィールド22とから構成されている。このVLAN番号テーブル15では、既にVLAN−IDが割り当てられているVLAN番号ごとにエントリが設けられ、そのVLAN番号と、そのVLAN番号に対応してVLANのVLAN−IDと、そのVLANに接続している接続ユーザ端末数とが組となって、それぞれ、VLAN番号フィールド20、VLAN−IDフィールド21およびカウンタフィールド22に保持されるようになっている。
【0021】
VLAN−IDスタック16は、図4に示すように、データ長が12ビットであるデータブロックを4094個保持するものである。この4094という数字は、一般的な仮想網における仮想網識別子数の上限の数である。初期状態においてVLAN−IDスタック16は、1から4094までの各整数値をスタック内で昇順に保持している。
【0022】
VLAN−ID設定部12は、ユーザ認証応答部11から受信したVLAN−ID動的設定要求23の要求種別が「1」である場合、その設定要求中のVLAN番号をキーとしてVLAN番号テーブル15内を検索し、設定要求中のVLAN番号と同じVLAN番号が格納されているVLAN番号フィールド20を有するエントリがあるかどうかを調べる。そして、ヒットするエントリが存在した場合には、そのユーザがアクセス権を持つVLANに対して既にVLAN−IDが割り当てられているとして、VLAN−ID設定部12は、そのエントリのVLAN−IDフィールド21に格納されているVLAN−IDの値をVLAN−ID動的設定応答26としてユーザ認証応答部11に返答し、さらに、そのエントリのカウンタフィールド22の値に1を加算する。
【0023】
これに対してヒットするエントリが存在しない場合には、そのユーザがアクセス権を持つVLANに対しては未だVLAN−IDは割り当てられていないとして、VLAN−ID設定部12は、そのVLAN番号のエントリをVLAN番号テーブル15に作成するとともに、VLAN−IDスタック16からデータ(VLAN−ID)を1つポップアップし、VLAN−IDテーブル15のその作成したエントリにおいて、そのVLAN番号をVLAN番号フィールド20に格納し、VLAN−IDスタック16から取り出した値をVLAN−IDフィールド21に格納し、カウンタフィールド22に「1」をセットする。さらに、VLAN−ID設定部12は、その作成したエントリのVLAN−IDフィールド21に格納した値を新たに割り当てるVLAN−IDとして後述のVLAN−ID動的設定応答26を作成し、ユーザ認証応答部11に送信する機能を有する。
【0024】
さらに、VLAN−ID設定部12は、ユーザ認証応答部11から受信したVLAN−ID動的設定要求の要求種別が「0」である場合、その要求はユーザ切断要求によるVLAN−ID解放要求であると判断し、その設定要求中のVLAN番号をキーとしてVLAN番号テーブル15内を検索してそのVLAN番号と同じVLAN番号が格納されているVLAN番号フィールド20を有するエントリを探し出す。この場合、ユーザ切断要求は既にVLAN−IDを割り当てたVLAN番号に関してしか起こらないので、ヒットするエントリは必ず存在する。そして、VLAN−ID設定部12は、ヒットしたエントリのカウンタフィールド22の値から1を減算するとともに、その減算後のカウンタフィールド22の値が「0」になったかどうかを判断する。カウンタフィールド22の値が「0」になった場合は、そのVLAN番号のVLANからは全てのユーザ端末が離脱したとして、そのヒットしたエントリのVLAN−IDフィールド21の値をVLAN−IDスタック16へとプッシュダウンし、そのエントリを削除する。これによって、該当するVLAN−IDは未使用のものとされて、別のVLANに使用することが可能になる。なお、カウンタフィールド22の値が1以上の場合は、まだそのVLANに接続しているユーザ端末が存在する場合なので、VLAN−IDスタック16でのプッシュ処理は行われない。
【0025】
以上説明したようなVLAN−ID設定部12の各機能は、例えば、ここには図示していないが、VLAN−ID設定部12内に設けられる設定制御部が実行する。
【0026】
図5は、ユーザ認証応答部11がVLAN−ID設定部12に対して送信するVLAN−ID動的設定要求23の構成の一例を示している。VLAN−ID動的設定要求23は、要求種別を格納する要求種別フィールド24と、VLAN番号を格納するVLAN番号フィールド25とから構成されている。要求種別フィールド24は、ユーザ認証応答部11がユーザ認証要求を受けた際にVLAN−IDの割り当てを要求する場合には、値として「1」を保持し、ユーザ認証応答部11がユーザ切断要求を受けた際にVLAN−IDの割り当て解除を要求する場合には、値として「0」を保持する。VLAN番号フィールド25に格納されるVRAN番号は、VLAN−IDの動的設定を要求するVLANのVLAN番号である。
【0027】
図6は、VLAN−ID設定部12がユーザ認証応答部11に対して送信するVLAN−ID動的設定応答26の構成の一例を示している。VLAN−ID動的設定応答26にはVLAN−IDを格納するVLAN−IDフィールド27が設けられる。
【0028】
図5および図6にそれぞれ示したVLAN−ID動的設定要求23およびVLAN−ID動的設定応答26により、上述したようにVLAN−ID設定部12は、ユーザ認証応答部11から受信したVLAN−ID動的設定要求23の要求種別フィールド24の値が「1」であった場合に、その設定要求23のVLAN番号フィールド25に格納されているVLAN番号と同じものをVLAN番号テーブル15において検索し、ヒットしたエントリのVLAN−IDフィールド21に格納されている値をVLAN−ID動的設定応答26のVLAN−IDフィールド27に格納してユーザ認証応答部11に送信する。なお、ユーザ認証応答部11から受信したVLAN−ID動的設定要求23の要求種別フィールド24が「0」であった場合には、VLAN−ID設定部12は、VLAN−ID動的設定応答26をユーザ認証応答部11に送信しない。
【0029】
次に、本実施形態の認証サーバの動作について説明する。ここでは、図1に示した仮想網において、2台あるフレーム転送装置4のうちの図示右側のフレーム転送装置のユーザ端末1〜3をそれぞれユーザ#1〜ユーザ#3が使用するものとする。ユーザ端末1を使用するユーザ#1のユーザIDが「user1」、そのユーザ#1のパスワードが「pass1」、ユーザ1#がアクセス権限を持っているVLANのVLAN番号が「5000」であるとし、ユーザ端末2を使用するユーザ#2のユーザIDが「user2」、そのユーザ#2のパスワードが「pass2」、ユーザ#2がアクセス権限を持っているVLANのVLAN番号が「5000」であり、ユーザ端末3を使用するユーザ#3のユーザIDが「user3」、ユーザ#3のパスワードが「pass3」、ユーザ3#がアクセス権限を持っているVLANのVLAN番号が「10」であるとする。
【0030】
ここで、VLAN番号は、この仮想網に対するユーザグループの契約ごとに昇順に割り振るものとする。したがって、図においては明示的には示されていないが、この仮想網に対しては、潜在的にVLANグループの数が5000以上存在することになる。このVLANグループの数は、VLAN−IDの個数である4094よりも大きい。また、ユーザ端末3を使用するユーザ#3は既に認証サーバ5により認証され、仮想網(フレーム転送網)へと接続しているものとする。
【0031】
ユーザ#1、ユーザ#2およびユーザ#3は、それぞれがアクセス権限を持っているVLANへアクセスするとき、それぞれのユーザIDとパスワードをユーザ情報としてフレーム転送装置4(この場合、対応するユーザ端末1〜3が直接収容されている図示右側のフレーム転送装置)に通知する。通知を受けたフレーム転送装置4は、ユーザ端末1〜3から通知されたユーザ情報に基づいて、ユーザ端末1〜3のユーザ認証要求を認証サーバ5に対し行う。
【0032】
図8は、ユーザ端末1を使用するユーザ#1からのユーザ認証要求を認証サーバ5が処理する動作を示している。
【0033】
この仮想網はフレーム転送網であるので、ユーザ認証要求、ユーザ認証応答なども全てフレームとして転送されるようになっている。ユーザ端末1からのユーザ認証要求フレーム30は、ユーザIDとして「user1」を、パスワードとして「pass1」を格納している。VLANスイッチ接続部10は、フレーム転送装置4から受信したこのユーザ認証要求フレーム30をユーザ認証応答部11に転送する。
【0034】
ユーザ認証要求フレーム30を受信したユーザ認証応答部11では、ユーザID「user1」とパスワード「pass1」とをキーとしてusersDB14が検索される。usersDB14においてユーザ#1に対応付けられているVLAN番号は、ユーザ#1がアクセス権限を持っているVLANのVLAN番号の「5000」である。そして、パスワードなどによるユーザ認証が成功すると、ユーザ認証応答部11は、VLAN番号フィールド25をそのユーザ#1のVLAN番号である「5000」とし、要求種別フィールド24を「1」としたVLAN−ID動的設定要求23をVLAN−ID設定部12へと送信する。
【0035】
VLAN−ID設定部12は、ユーザ認証応答部11から受信したVLAN−ID動的設定要求23の要求種別フィールド24の値が「1」であるため、VLAN−IDの割り当てを要求するものだと判断し、VLAN−ID動的設定要求23のVLAN番号フィールド25に格納された「5000」をキーにして、VLAN番号テーブル15においてVLAN番号フィールド20に「5000」が格納されたエントリがあるかどうかを検索する。この時点では、ユーザ端末3のみが認証されて仮想網に接続しているから、VLAN番号テーブル15では、図9の(a)に示すように、VLAN番号が「10」であるエントリのみが存在する。したがって、VLAN番号を「5000」とした検索ではエントリがヒットしないこととなり、VLAN−ID設定部12は、VLAN−ID動的設定要求23によって通知されたVLAN番号が「5000」であるVLANに対しては未だにVLAN−IDが割り当てられていないと判断する。そしてVLAN−ID設定部12は、VLAN番号テーブル15に新たにエントリを生成してそのエントリのVLAN番号フィールド20に「5000」を格納し、VLAN−IDスタック16から値を1個ポップアップする。ポップアップする直前の時点においては、VLAN番号が「10」であるVLANのみにVLAN−IDが割り当てられおり、その割り当てられたVLAN−IDは「1」であるから、VLAN−IDスタック16には、図10の(a)に示すように、2から4094までの4093個の値が格納されている。これにより、ポップアップによって、VLAN−IDスタック16からその先頭の値「2」が取り出される。VLAN−ID設定部12は、その生成したエントリのVLAN−IDフィールド21に、ポップアップした値「2」を格納し、さらに、カウンタフィールド22の値を「1」にする。
【0036】
以上の処理により、VLAN番号テーブル15の内容は図9の(b)に示すようになり、VLAN−IDスタック16の内容は図10の(b)に示すようになる。さらにVLAN−ID設定部12は、VLAN番号テーブル15のVLAN番号が「5000」であるエントリのVLAN−IDフィールド21の値「2」をVLAN−ID動的設定応答26のVLAN−IDフィールド27に格納し、そのVLAN−ID動的設定応答26をユーザ認証応答部11へと送信する。
【0037】
このVLAN−ID動的設定応答26を受信したユーザ認証応答部11は、VLAN−ID動的設定応答26のVLAN−IDフィールド27の値「2」を、ユーザ#1のユーザ端末1に割り当てられるVLAN−IDとしてユーザ認証応答パケット31を作成し、VLANスイッチ接続部10へと送信し、またユーザ#1に関するセッション情報を更新する。ユーザ認証応答パケット31を受信したVLANスイッチ接続部10は、フレーム転送装置4にユーザ認証応答パケット31を転送する。これによって、ユーザ#1はユーザ端末1を使用して、VLAN−IDを「2」として仮想網を用いた通信を行えるようになる。
【0038】
次に、上述したユーザ#1のユーザ認証に引き続いてユーザ端末2を使用するユーザ#2からのユーザ認証要求を受け付けた場合の処理を説明する。
【0039】
ユーザ#2に関するユーザ認証要求フレーム30は、ユーザIDとして「user2」を、パスワードとして「pass2」を格納しており、フレーム転送装置4から認証サーバ5に送られる。認証サーバ5のVLANスイッチ接続部10は、フレーム転送装置4から受信したユーザ認証要求フレーム30をユーザ認証応答部11に転送する。ユーザ認証要求フレーム30を受信したユーザ認証応答部11では、ユーザID「user2」とパスワード「pass2」とをキーとしてusersDB14を検索する。usersDB14においては、ユーザ#2に対して、ユーザ#2がアクセス権限を持っているVLANのVLAN番号である「5000」が対応付けられており、ユーザ認証応答部11は、ユーザ認証の成功後、VLAN番号フィールド25をそのユーザ#2のVLAN番号である「5000」とし、要求種別フィールド24を「1」として、VLAN−ID動的設定要求23をVLAN−ID設定部12へと送信する。
【0040】
VLAN−ID設定部12は、ユーザ認証応答部11から受信したVLAN−ID動的設定要求23の要求種別フィールド24が「1」であるため、VLAN−IDの割り当てを要求するものだと判断し、VLAN−ID動的設定要求23のVLAN番号フィールド25の値に基づいてVLAN番号テーブル15を検索する。この時点では、VLAN番号「5000」がVLAN番号テーブル15のVLAN番号フィールド20に格納されているのでそのエントリがヒットする。VLAN−ID設定部12は、VLAN番号「5000」に対しては既にVLAN−IDが割り当てられていると判断して、そのヒットしたエントリのカウンタフィールド22の値に1を加算する。その結果、カウンタフィールド22の値は「2」となる。この時点でのVLAN番号テーブル41の内容が図9の(c)に示されている。さらにVLAN−ID設定部12は、そのエントリのVLAN−IDフィールド21の値「2」をVLAN−ID動的設定応答26のVLAN−IDフィールド27に格納し、そのVLANーID動的設定応答26をユーザ認証応答部11へと送信する。
【0041】
VLAN−ID動的設定応答26を受信したユーザ認証応答部11は、ユーザ#2のセッション情報を更新するとともに、VLAN−ID動的設定応答26のVLAN−IDフィールド27の値「2」をユーザ#2のユーザ端末2のVLAN−IDとするユーザ認証応答フレーム31を作成し、そのユーザ認証応答フレーム31をVLANスイッチ接続部10へと送信する。ユーザ認証応答フレーム31を受信したVLANスイッチ接続部10は、フレーム転送装置4にユーザ認証応答フレーム31を転送する。
【0042】
次に、ユーザ#1、ユーザ#2が仮想網に接続した後、ユーザ#3が仮想網から離脱する際の処理を説明する。図11は、ユーザ端末3を使用するユーザ#3からのユーザ切断要求を認証サーバ5が処理する動作を示している。
【0043】
仮想網からの切断を要求する場合には、ユーザ認証要求に用いられるフレームの1つであるユーザ切断要求フレーム32において、切断要求を示す「stop」フラグが格納される。VLANスイッチ接続部10は、フレーム転送装置4から受信したユーザ切断要求フレーム32をユーザ認証応答部11に転送する。
【0044】
ユーザ切断要求フレーム32を受信したユーザ認証応答部11は、切断要求を示す「stop」フラグの存在により切断要求であると判断し、ユーザごとに保持するセッション情報からのユーザIDを参照し「user3」を得る。さらにユーザID「user3」とパスワード「pass3」とをキーとしてusersDB14を検索する。usersDB14においてはユーザ#3に対し、ユーザ#3がアクセス権限を持っているVLANのVLAN番号「10」が対応付けられており、ユーザ認証応答部11は、VLAN番号フィールド25をユーザ#3のVLAN番号である「10」とし、要求種別フィールド14を「0」としてVLAN−ID動的設定要求23を生成してVLAN−ID設定部12へと送信する。また、ユーザ認証応答部11は、ユーザ切断応答フレーム33を生成しVLANスイッチ接続部10へと送信する。ユーザ切断応答フレーム33を受信したVLANスイッチ接続部10は、フレーム転送装置4にユーザ切断応答フレーム33を転送する。
【0045】
VLAN−ID設定部12は、ユーザ認証応答部11から受信したVLAN−ID動的設定要求23の要求種別フィールド24が「0」であるため、VLAN−IDの解放を要求するものだと判断する。そしてVLAN−ID動的設定要求23のVLAN番号フィールド25に格納された「10」をキーにして、VLAN番号テーブル15におけるVLAN番号フィールド20に「10」が格納されたエントリを検索する。そして、検索されたエントリにおけるカウンタフィールドの値から1を減算する。この場合、VLAN番号「10」に対応するエントリにおけるカウンタフィールド22の値は「1」であったから、このカウンタフィールド22の値は「0」に変化する。カウンタフィールド22の値が「0」となったことにより、VLAN−ID設定部12は、そのエントリのVLAN−IDフィールド21の値(この場合「1」)をVLAN−IDスタック16へとプッシュし、そのエントリを削除する。
【0046】
その結果、VLAN番号テーブル15の内容は図9の(d)に示すようになり、VLAN−IDスタック16の内容は図10の(c)に示すようになる。
【0047】
以上説明したように、この実施の形態では、各ユーザ端末グループに対してはVLAN番号(グループ識別子)を予め割り当てておき、実際に仮想網を使用する際に必要となるVLAN−ID(仮想網識別子)については、接続要求があった時点で動的に割り当てるので、同時接続可能なユーザ端末グループ数が制約されるだけであって、仮想網として利用可能な仮想網識別子の数の上限を超えたユーザ端末グループと契約してVLAN接続を提供することができる。上述した例では、VLAN番号が「5000」であって4094を超える場合であっても、VLAN接続が提供されている。また、全てのユーザ端末が離脱したユーザ端末グループのVLAN番号に割り当てられていたVLAN−IDは解放され、未使用のVLAN−IDとしてプールされるので、複数のグループでのVLAN−IDの共有が可能である。
【0048】
さらに、上記の説明においては、VLAN−IDが割り当てられていないVLANのVLAN番号のエントリはVLAN番号テーブル15には存在しないようになっているが、すなわち、VLAN番号テーブル15のエントリ自体も動的に生成するようになっているが、本発明はこれに限られるものではない。全ての契約ユーザ端末グループのVLAN番号をVLAN番号テーブル15に静的に登録しておき、そのVLAN番号のエントリのVLAN−IDフィールドにVLAN−IDの値が格納されているか否かでVLAN−IDが割り当てられているか否かを判別するようにしてもよい。
【0049】
上述した認証サーバは、それを実現するための計算機プログラムをサーバ用コンピュータに読み込ませ、そのプログラムを実行させることによっても実現できる。そのプログラムは、磁気テープやCD−ROMなどの記録媒体によって、コンピュータに読み込まれる。サーバ用コンピュータは、一般に、中央処理装置(CPU)と、プログラムやデータを格納するためのハードディスク装置と、主メモリと、キーボードやマウスなどの入力装置と、CRTなどの表示装置と、磁気テープやCD−ROM等の記録媒体を読み取る読み取り装置と、フレーム転送装置との接続に用いる通信インタフェースとから構成されている。ハードディスク装置、主メモリ、入力装置、表示装置、読み取り装置及び通信インタフェースは、いずれも中央処理装置に接続している。このコンピュータは、上述した認証サーバの各機能を実現するためのプログラムを格納した記録媒体を読み取り装置に装着し、記録媒体からプログラムを読み出してハードディスク装置に格納し、ハードディスク装置に格納されたプログラムを中央処理装置が実行することにより、認証サーバとして機能する。さらに、プログラムは、記録媒体からではなくネットワークを介してサーバ用コンピュータに読込まれるようにしてもよい。
【0050】
以上説明した実施の形態では、各フレーム転送装置に接続するユーザ端末の数はそれぞれ3であり、またユーザ数も3であったが、当業者には容易に理解できるように、本発明ではそれらの数には制限はない。認証サーバがRadiusサーバであるとしたが、本発明はそれに限るものではない。フレーム転送装置をVLANスイッチとしたが、本発明はそれに限るものではなく、またフレーム転送装置の個数にも制限されるものではない。
【0051】
【発明の効果】
以上説明したように本発明は、仮想網識別子(VLAN−ID)を動的に割り当てることにより、契約グループによる仮想網識別子の占有を回避でき、契約グループ数における制約をなくすことができるとともに、数的に限られた仮想網識別子を契約グループ間で共有することができるようになる、という効果がある。
【図面の簡単な説明】
【図1】仮想網の構成の一例を示す説明図である。
【図2】本発明の実施の一形態の認証サーバの内部構成を示すブロック図である。
【図3】VLAN番号テーブルの構成を示す図である。
【図4】VLAN−IDスタックの構成を示す図である。
【図5】VLAN−ID動的設定要求の構成の一例を示す図である。
【図6】VLAN−ID動的設定応答の構成の一例を示す図である。
【図7】仮想網でのユーザ認証の適用場面を示した説明図である。
【図8】ユーザ認証要求を認証サーバが処理する際の動作を説明する図である。
【図9】VLAN番号テーブルの内容の変化の一例を示す図である。
【図10】VLAN−IDスタックの内容の変化の一例を示す図である。
【図11】ユーザ切断要求を認証サーバが処理する際の動作を説明する図である。
【符号の説明】
1〜3 ユーザ端末
4 フレーム転送装置
5 認証サーバ
6 フレーム伝送路
10 VLANスイッチ接続部
11 ユーザ認証応答部
12 VLAN−ID設定部
13 ディクショナリデータベース(dictionaryDB)
14 ユーザズデータベース(usersDB)
15 VLAN番号テーブル
16 VLAN−IDスタック
20,25 VLAN番号フィールド
21,27 VLAN−IDフィールド
22 カウンタフィールド
23 VLAN−ID動的設定要求
24 要求種別フィールド
26 VLAN−ID動的設定応答
30 ユーザ認証要求フレーム
31 ユーザ認証応答フレーム
32 ユーザ切断要求フレーム
33 ユーザ切断応答フレーム[0001]
TECHNICAL FIELD OF THE INVENTION
The present invention relates to a virtual network represented by a frame transfer network such as a VLAN (virtual local area network) and an authentication server used for user authentication in the virtual network.
[0002]
[Prior art]
A virtual network physically shares an actual physical network with a plurality of user groups, and conceals the existence of other user groups for each user group, as if one user group monopolizes one network. As if you were using it. In such a virtual network, a frame transfer device is connected to a physical network, and a plurality of user terminals are connected to the frame transfer device. Then, when the user makes a connection request to the frame transfer device via the user terminal, after performing user authentication, the frame transfer device assigns a virtual network identifier to the user terminal, and further, the user terminal When a frame is sent, a corresponding virtual network identifier is added to the user frame, and frame transfer is performed between frame transfer devices. In this way, communication cannot be performed between user terminals to which different virtual network identifiers are assigned, and one physical network can be logically divided into a plurality of user groups that cannot communicate with each other.
[0003]
Further, in the above-described virtual network, an authentication server is provided for performing user authentication for a user who has made a connection request from a user terminal. User authentication is performed between the frame transfer device and the authentication server. The authentication server notifies the frame transfer device of the virtual network identifier based on the information of the authenticated user, and the frame transfer device notifies the virtual network identifier of the user notified from the authentication server and the user terminal of the user used by the user. Map with an identifier. By configuring the virtual network in this way, the user terminals connected to the frame transfer device can be shared by a plurality of users belonging to different groups, and users of various user groups can be connected to the frame transfer device. It becomes possible to connect a user terminal to ad hoc.
[0004]
By the way, in the conventional authentication server used for the virtual network, the virtual network identifier of the user group to which the user belongs is statically set in advance in the user information table held by the authentication server, and the user who has made the connection request is When the authentication success response is transmitted to the frame transfer device, the virtual network identifier is notified to the frame transfer device by embedding the virtual network identifier in the authentication success response. Therefore, even when all users belonging to a certain user group have left the frame transfer network, the virtual network identifier of the user group remains occupied.
[0005]
In a general virtual network, particularly a frame transfer network, since the length of a virtual network identifier that can be stored in a user frame is 12 bits, the maximum number of virtual network identifiers is 4094 (so-called 4094 VLAN restriction problem). As described above, there is generally an upper limit to the number of virtual network identifiers that can be used in a virtual network. Therefore, when virtual network identifiers are statically set, even if a user belonging to a user group is assigned to the frame transfer network, Even if the virtual network identifier is not connected, the virtual network identifier is occupied, so that there is an upper limit to the number of virtual network identifiers that can be set. Therefore, in the conventional virtual network, it is difficult to improve the scalability of the number of contract user groups.
[0006]
[Patent Document 1]
JP-A-11-215152
[Patent Document 2]
JP-A-2002-223228
[Patent Document 3]
JP-A-2002-314573
[0007]
[Problems to be solved by the invention]
As described above, although the conventional virtual network has an upper limit on the number of virtual network identifiers that can be set by the frame transfer device as in the case of the 4094 VLAN restriction problem, the virtual network identifier of the user group to which the user belongs is Since the authentication server statically sets in the user information table, there is an upper limit on the number of user groups that can subscribe, and there is a problem that it is difficult to improve the scalability of the virtual network.
[0008]
Therefore, an object of the present invention is to improve scalability improvement such as the number of contract user groups in a virtual network. Specifically, an object of the present invention is to prevent a contract user group from occupying a virtual network identifier, An object of the present invention is to provide an authentication server capable of realizing an unlimited number of contracted user groups, and a frame transfer network with improved scalability by using such an authentication server.
[0009]
[Means for Solving the Problems]
In the present invention, in order to solve the above-described problem, an authentication server including a user information table for managing a correspondence between a user identifier assigned to each user and a group identifier set for each user terminal group is provided with a group identifier. A group identifier table for managing the corresponding virtual network identifier and the number of connected user terminals, and a storage unit for storing unused virtual network identifiers, and when the authentication server receives a connection request. A function for performing an authentication process, and when authentication is permitted, extracts a group identifier of the user terminal using the user information table, and determines whether a virtual network identifier is assigned to the extracted group identifier in the group identifier table. If it is assigned, the corresponding virtual network identifier is notified and the corresponding The number of connected user terminals is updated, and if not assigned, unused virtual network identifiers stored in the storage unit are set in the group identifier table in association with the extracted group identifiers and the virtual network identifiers are notified. And a function to release the virtual network identifier corresponding to the user terminal group from which all the user terminals have left as unused and to store the virtual network identifier in the storage unit. I have.
[0010]
That is, in the present invention, for a group identifier fixedly assigned to each user terminal group, the correspondence between the virtual network identifier and the number of connected user terminals for the group identifier is managed in the group identifier table. As a result, it is possible to hold information on the group identifier to which the virtual network identifier is already assigned, and to manage the number of user terminals connected to the frame transfer network for each group identifier. Furthermore, by pooling unused virtual network identifiers by a storage unit, typically implemented as a stack, it becomes possible to manage virtual network identifier information that is not occupied by a specific group identifier. That is, by using the group identifier of the user terminal extracted at the time of authentication and the group identifier table, it is possible to specify the virtual network identifier corresponding to the group identifier of the user terminal.
[0011]
Here, when there is no virtual network identifier corresponding to the group identifier, the unused virtual network identifiers pooled are assigned to the group identifier table, so that the group identifiers to which no virtual network identifiers have been assigned are assigned. , It is possible to assign a virtual network identifier that is not occupied by any group identifier. Further, the virtual network identifier corresponding to the user terminal group from which all the user terminals have left is released as unused and stored in the pool, so that the virtual network identifier can be reused.
[0012]
As a result, a limited number of virtual network identifiers can be shared between the contracted user groups, and the occupation of the VLAN-ID by the contracted group can be avoided. Without increasing the number of contract groups.
[0013]
BEST MODE FOR CARRYING OUT THE INVENTION
Next, a preferred embodiment of the present invention will be described with reference to the drawings.
[0014]
FIG. 1 shows an example of a configuration of a virtual network having an authentication server according to an embodiment of the present invention. The virtual network is configured as a frame transfer network, and includes a frame transmission line 6 for transmitting tagged frames, a plurality of frame transfer devices 4 connected to the frame transmission line 6, and a user connected to each frame transfer device 4 An authentication server 5 for performing authentication is provided. A plurality of user terminals 1 to 3 are connected to each frame transfer device 4, respectively. In the following description, it is assumed that the frame transfer device 4 is configured as a VLAN switch, and that the authentication server 5 is a Radius (remote authentication dial-in user service) server. Each of the user terminals 1 to 3 is connected to a user terminal interface of the corresponding frame transfer device 4. The authentication server 5 is connected to an interface for the authentication server of the frame transfer device 4.
[0015]
Here, the frame transfer device 4 receives the connection request from the user terminal connected to the user terminal interface, makes a user authentication request to the authentication server 5, and includes the function in the user authentication response from the authentication server 5. A function of mapping a virtual network identifier (hereinafter, referred to as VLAN-ID) to a user terminal identifier corresponding to the user terminal that has made the connection request, and a function of mapping the user frame when the user frame is transferred from the user terminal. The transfer frame is tagged with a VLAN-ID for a user terminal group (hereinafter, also referred to as a VLAN) assigned to the transfer terminal, and the tagged frame is transferred to the partner frame transfer device via the frame transfer path 6. And a function. The functions described here are generally provided as the frame transfer device 4 configuring the virtual network, and the configuration of the frame transfer device 4 used in the present embodiment is obvious to those skilled in the art. The frame transfer devices 4 mutually transfer frames as described above.
[0016]
The authentication server 5 performs user authentication in response to a user authentication request from the frame transfer device 4, and when the user authentication is successful, dynamically sets the VLAN-ID of the group to which the user belongs, 4 has a function of returning an authentication response to the server 4. FIG. 2 shows the internal configuration of such an authentication server 5. The authentication server 5 can be roughly classified into a VLAN switch connection unit 10 serving as an interface to the frame transfer device 4, a user authentication response unit 11 for actually performing user authentication, and a VLAN-ID for dynamically setting a VLAN-ID. A setting unit 12. Here, the VLAN switch connection unit 10 specifically transfers the user authentication request from the frame transfer device 4 to the user authentication response unit 11 and sends the user authentication response or the user authentication rejection response from the user authentication response unit 11 to the frame. A function of transmitting a user disconnection request from the frame transfer device 4 to the user authentication response unit 11 and a function of transmitting a user disconnection response from the user authentication response unit 11 to the frame transfer device 4. Have.
[0017]
The user authentication response unit 11 holds two databases, a dictionaryDB (dictionary database) 13 and a usersDB (users database) 14, similarly to the conventional authentication server in the virtual network. The details of these databases are described in, for example, RFC2138 among RFC (Request for Comments) documents that describe de facto standards in the Internet technology. The dictionary DB 13 holds “VLAN number” as an attribute. Here, the attribute value format of the attribute “VLAN number” is an integer type. Further, the usersDB 14 corresponds to a user information table, and holds user information of a user identifier (hereinafter, referred to as a user ID) having a VLAN access right, and each user information is a group to which the user belongs. Is stored as an attribute value of the attribute “VLAN number”.
[0018]
The user authentication response unit 11 refers to the usersDB 14 based on the user ID and the password included in the user authentication request received from the VLAN switch connection unit 10 and determines whether or not authentication is possible. A function of transmitting the VLAN number of the user ID to the VLAN-ID setting unit 12 as a later-described VLAN-ID dynamic setting request 23, and, if the authentication result is rejected, a user authentication rejection response to the VLAN switch connection unit 10; , A function to generate a user authentication response from the VLAN-ID of a later-described VLAN-ID dynamic setting response 26 received from the VLAN-ID setting unit 12, the dictionaryDB 13, and the usersDB 14, and a generated user authentication response To the VLAN switch connection unit 10 and the user I Having a function of holding the session information each time. The details of the search method of the usersDB 14 and the function of generating a user authentication response are described in the above-mentioned RFC2138. The retention of session information is described in RFC2139. Further, the user authentication response unit 11 extracts a function of obtaining the user ID from the session information of the user disconnection request received from the VLAN switch connection unit 10 and a corresponding VLAN number from the user ID and the usersDB 14, and It also has a function of transmitting to the VLAN-ID setting unit 12 as an ID deletion request. Each function of the user authentication response unit 11 is executed by, for example, an authentication response control unit (not shown) provided in the user authentication response unit 11.
[0019]
The VLAN-ID setting unit 12 includes a VLAN number table 15 that holds a group identifier (VLAN number), and an unused VLAN-ID (virtual network identifier) storage unit that pools unused VLAN-IDs. And a VLAN-ID stack 16 functioning as a VLAN-ID stack. As a mechanism for pooling unused VLAN-IDs, various storage mechanisms can be used. In the present embodiment, a stack configuration (last-in first-out configuration) storage mechanism is used to reduce the amount of arithmetic processing. Reductions are being made.
[0020]
As shown in FIG. 3, the VLAN number table 15 includes a VLAN number field 20 for storing a VLAN number, a VLAN-ID field 21 for storing a VLAN-ID, and a counter field 22. In the VLAN number table 15, an entry is provided for each VLAN number to which a VLAN-ID has already been assigned, and the VLAN number, the VLAN-ID of the VLAN corresponding to the VLAN number, and the connection to the VLAN. The number of connected user terminals is set as a set and stored in the VLAN number field 20, VLAN-ID field 21, and counter field 22, respectively.
[0021]
As shown in FIG. 4, the VLAN-ID stack 16 holds 4094 data blocks having a data length of 12 bits. The numeral 4094 is the upper limit of the number of virtual network identifiers in a general virtual network. In the initial state, the VLAN-ID stack 16 holds integer values from 1 to 4094 in ascending order in the stack.
[0022]
When the request type of the VLAN-ID dynamic setting request 23 received from the user authentication response unit 11 is “1”, the VLAN-ID setting unit 12 uses the VLAN number in the setting request as a key in the VLAN number table 15. To check if there is an entry having a VLAN number field 20 in which the same VLAN number as the VLAN number in the setting request is stored. If there is a hit entry, the VLAN-ID setting unit 12 determines that a VLAN-ID has already been assigned to a VLAN to which the user has access right, and the VLAN-ID field 21 of the entry. Is returned to the user authentication response unit 11 as a VLAN-ID dynamic setting response 26, and 1 is added to the value of the counter field 22 of the entry.
[0023]
On the other hand, if there is no hit entry, the VLAN-ID setting unit 12 determines that the VLAN-ID has not been assigned to the VLAN to which the user has access right, and the VLAN-ID setting unit 12 Is created in the VLAN number table 15, one data (VLAN-ID) is popped up from the VLAN-ID stack 16, and the VLAN number is stored in the VLAN number field 20 in the created entry of the VLAN-ID table 15. Then, the value extracted from the VLAN-ID stack 16 is stored in the VLAN-ID field 21 and "1" is set in the counter field 22. Further, the VLAN-ID setting unit 12 creates a later-described VLAN-ID dynamic setting response 26 as a VLAN-ID to newly assign a value stored in the VLAN-ID field 21 of the created entry, and a user authentication response unit. 11 is provided.
[0024]
Further, when the request type of the VLAN-ID dynamic setting request received from the user authentication response unit 11 is “0”, the VLAN-ID setting unit 12 requests that the VLAN-ID be released by a user disconnection request. Then, the VLAN number table 15 is searched using the VLAN number in the setting request as a key, and an entry having the VLAN number field 20 in which the same VLAN number as the VLAN number is stored is found. In this case, since the user disconnection request occurs only for the VLAN number to which the VLAN-ID has already been assigned, there is always a hit entry. Then, the VLAN-ID setting unit 12 subtracts 1 from the value of the counter field 22 of the hit entry, and determines whether the value of the counter field 22 after the subtraction has become “0”. If the value of the counter field 22 becomes “0”, it is determined that all user terminals have left the VLAN of the VLAN number, and the value of the VLAN-ID field 21 of the hit entry is transferred to the VLAN-ID stack 16. And push down and delete that entry. As a result, the corresponding VLAN-ID is made unused and can be used for another VLAN. If the value of the counter field 22 is 1 or more, there is still a user terminal connected to the VLAN, and the push processing in the VLAN-ID stack 16 is not performed.
[0025]
Each of the functions of the VLAN-ID setting unit 12 described above is executed by, for example, a setting control unit provided in the VLAN-ID setting unit 12, although not shown here.
[0026]
FIG. 5 shows an example of the configuration of the VLAN-ID dynamic setting request 23 transmitted from the user authentication response unit 11 to the VLAN-ID setting unit 12. The VLAN-ID dynamic setting request 23 includes a request type field 24 storing a request type and a VLAN number field 25 storing a VLAN number. The request type field 24 holds “1” as a value when the user authentication response unit 11 requests VLAN-ID assignment when the user authentication response unit 11 receives the user authentication request. When requesting the release of the VLAN-ID assignment upon receipt of this, “0” is held as the value. The VRAN number stored in the VLAN number field 25 is the VLAN number of the VLAN requesting the VLAN-ID dynamic setting.
[0027]
FIG. 6 shows an example of a configuration of the VLAN-ID dynamic setting response 26 transmitted from the VLAN-ID setting unit 12 to the user authentication response unit 11. The VLAN-ID dynamic setting response 26 is provided with a VLAN-ID field 27 for storing the VLAN-ID.
[0028]
According to the VLAN-ID dynamic setting request 23 and the VLAN-ID dynamic setting response 26 shown in FIGS. 5 and 6, respectively, the VLAN-ID setting unit 12 as described above receives the VLAN-ID received from the user authentication response unit 11. When the value of the request type field 24 of the ID dynamic setting request 23 is “1”, the same VLAN number stored in the VLAN number field 25 of the setting request 23 is searched in the VLAN number table 15. Then, the value stored in the VLAN-ID field 21 of the hit entry is stored in the VLAN-ID field 27 of the VLAN-ID dynamic setting response 26 and transmitted to the user authentication response unit 11. If the request type field 24 of the VLAN-ID dynamic setting request 23 received from the user authentication response unit 11 is “0”, the VLAN-ID setting unit 12 sets the VLAN-ID dynamic setting response 26 Is not transmitted to the user authentication response unit 11.
[0029]
Next, the operation of the authentication server of the present embodiment will be described. Here, in the virtual network shown in FIG. 1, it is assumed that the user terminals # 1 to # 3 use the user terminals 1 to 3 of the frame transfer device on the right side of the two frame transfer devices 4 in the figure. Assume that the user ID of the user # 1 using the user terminal 1 is “user1”, the password of the user # 1 is “pass1”, and the VLAN number of the VLAN to which the user 1 # has access authority is “5000”. The user ID of the user # 2 using the user terminal 2 is “user2”, the password of the user # 2 is “pass2”, the VLAN number of the VLAN to which the user # 2 has the access right is “5000”, and the user It is assumed that the user ID of the user # 3 using the terminal 3 is “user3”, the password of the user # 3 is “pass3”, and the VLAN number of the VLAN to which the user 3 # has access authority is “10”.
[0030]
Here, the VLAN numbers are assigned in ascending order for each contract of the user group with this virtual network. Therefore, although not explicitly shown in the figure, there are potentially 5000 or more VLAN groups for this virtual network. The number of VLAN groups is larger than 4094, which is the number of VLAN-IDs. It is also assumed that the user # 3 using the user terminal 3 has already been authenticated by the authentication server 5 and has connected to a virtual network (frame transfer network).
[0031]
When the user # 1, the user # 2, and the user # 3 access the VLAN to which each of them has the access authority, the user # 1, the user ID and the password are used as the user information as the frame transfer device 4 (in this case, the corresponding user terminal 1). To the right-hand frame transfer device shown in FIG. The frame transfer device 4 having received the notification makes a user authentication request of the user terminals 1 to 3 to the authentication server 5 based on the user information notified from the user terminals 1 to 3.
[0032]
FIG. 8 shows an operation in which the authentication server 5 processes a user authentication request from the user # 1 using the user terminal 1.
[0033]
Since this virtual network is a frame transfer network, user authentication requests and user authentication responses are all transferred as frames. The user authentication request frame 30 from the user terminal 1 stores “user1” as the user ID and “pass1” as the password. The VLAN switch connection unit 10 transfers the user authentication request frame 30 received from the frame transfer device 4 to the user authentication response unit 11.
[0034]
In the user authentication response unit 11 that has received the user authentication request frame 30, the user DB 14 is searched using the user ID “user1” and the password “pass1” as keys. The VLAN number associated with the user # 1 in the users DB 14 is “5000” of the VLAN number of the VLAN to which the user # 1 has access authority. Then, when the user authentication using the password or the like succeeds, the user authentication response unit 11 sets the VLAN number field 25 to “5000”, which is the VLAN number of the user # 1, and sets the request type field 24 to “1”. The dynamic setting request 23 is transmitted to the VLAN-ID setting unit 12.
[0035]
The VLAN-ID setting unit 12 requests the VLAN-ID assignment because the value of the request type field 24 of the VLAN-ID dynamic setting request 23 received from the user authentication response unit 11 is “1”. It is determined whether there is an entry in which “5000” is stored in the VLAN number field 20 in the VLAN number table 15 by using “5000” stored in the VLAN number field 25 of the VLAN-ID dynamic setting request 23 as a key. Search for. At this point, only the user terminal 3 has been authenticated and connected to the virtual network. Therefore, in the VLAN number table 15, only the entry with the VLAN number “10” exists as shown in FIG. I do. Therefore, no entry is found in the search with the VLAN number “5000”, and the VLAN-ID setting unit 12 determines whether the VLAN number notified by the VLAN-ID dynamic setting request 23 is “5000”. It is determined that the VLAN-ID has not been assigned yet. Then, the VLAN-ID setting unit 12 generates a new entry in the VLAN number table 15, stores “5000” in the VLAN number field 20 of the entry, and pops up one value from the VLAN-ID stack 16. At the time immediately before the pop-up, the VLAN-ID is assigned only to the VLAN whose VLAN number is “10”, and the assigned VLAN-ID is “1”. As shown in FIG. 10A, 4093 values from 2 to 4094 are stored. As a result, the leading value “2” is extracted from the VLAN-ID stack 16 by a pop-up. The VLAN-ID setting unit 12 stores the pop-up value “2” in the VLAN-ID field 21 of the generated entry, and sets the value of the counter field 22 to “1”.
[0036]
With the above processing, the contents of the VLAN number table 15 become as shown in FIG. 9B, and the contents of the VLAN-ID stack 16 become as shown in FIG. 10B. Further, the VLAN-ID setting unit 12 sets the value “2” of the VLAN-ID field 21 of the entry having the VLAN number “5000” in the VLAN number table 15 in the VLAN-ID field 27 of the VLAN-ID dynamic setting response 26. It stores the VLAN-ID dynamic setting response 26 to the user authentication response unit 11.
[0037]
Upon receiving the VLAN-ID dynamic setting response 26, the user authentication response unit 11 allocates the value “2” of the VLAN-ID field 27 of the VLAN-ID dynamic setting response 26 to the user terminal 1 of the user # 1. A user authentication response packet 31 is created as a VLAN-ID, transmitted to the VLAN switch connection unit 10, and the session information relating to the user # 1 is updated. The VLAN switch connection unit 10 that has received the user authentication response packet 31 transfers the user authentication response packet 31 to the frame transfer device 4. As a result, the user # 1 can perform communication using the virtual network with the VLAN-ID set to “2” using the user terminal 1.
[0038]
Next, a process when a user authentication request from the user # 2 using the user terminal 2 is received following the above-described user authentication of the user # 1 will be described.
[0039]
The user authentication request frame 30 for the user # 2 stores “user2” as the user ID and “pass2” as the password, and is sent from the frame transfer device 4 to the authentication server 5. The VLAN switch connection unit 10 of the authentication server 5 transfers the user authentication request frame 30 received from the frame transfer device 4 to the user authentication response unit 11. The user authentication response unit 11 that has received the user authentication request frame 30 searches the usersDB 14 using the user ID “user2” and the password “pass2” as keys. In the usersDB 14, the user # 2 is associated with the VLAN number "5000" of the VLAN to which the user # 2 has the access right, and the user authentication response unit 11 The VLAN number field 25 is set to “5000” which is the VLAN number of the user # 2, the request type field 24 is set to “1”, and the VLAN-ID dynamic setting request 23 is transmitted to the VLAN-ID setting unit 12.
[0040]
Since the request type field 24 of the VLAN-ID dynamic setting request 23 received from the user authentication response unit 11 is “1”, the VLAN-ID setting unit 12 determines that the request is for a VLAN-ID assignment. , The VLAN number table 15 is searched based on the value of the VLAN number field 25 of the VLAN-ID dynamic setting request 23. At this point, since the VLAN number “5000” is stored in the VLAN number field 20 of the VLAN number table 15, the entry hits. The VLAN-ID setting unit 12 determines that the VLAN-ID has already been assigned to the VLAN number “5000”, and adds 1 to the value of the counter field 22 of the hit entry. As a result, the value of the counter field 22 becomes “2”. The contents of the VLAN number table 41 at this point are shown in FIG. Further, the VLAN-ID setting unit 12 stores the value “2” of the VLAN-ID field 21 of the entry in the VLAN-ID field 27 of the VLAN-ID dynamic setting response 26, and the VLAN-ID dynamic setting response 26 Is transmitted to the user authentication response unit 11.
[0041]
Upon receiving the VLAN-ID dynamic setting response 26, the user authentication responding unit 11 updates the session information of the user # 2 and sets the value of the VLAN-ID field 27 of the VLAN-ID dynamic setting response 26 to "2". A user authentication response frame 31 is created as the VLAN-ID of the user terminal 2 of # 2, and the user authentication response frame 31 is transmitted to the VLAN switch connection unit 10. The VLAN switch connection unit 10 that has received the user authentication response frame 31 transfers the user authentication response frame 31 to the frame transfer device 4.
[0042]
Next, processing when user # 3 leaves the virtual network after user # 1 and user # 2 connect to the virtual network will be described. FIG. 11 shows an operation in which the authentication server 5 processes a user disconnection request from the user # 3 using the user terminal 3.
[0043]
When requesting disconnection from the virtual network, a “stop” flag indicating a disconnection request is stored in a user disconnection request frame 32 which is one of frames used for a user authentication request. The VLAN switch connection unit 10 transfers the user disconnection request frame 32 received from the frame transfer device 4 to the user authentication response unit 11.
[0044]
Upon receiving the user disconnection request frame 32, the user authentication response unit 11 determines that the request is a disconnection request due to the presence of the “stop” flag indicating the disconnection request, and refers to the user ID from the session information held for each user, and refers to “user3 To get. Further, the user DB 14 is searched using the user ID “user3” and the password “pass3” as keys. In the usersDB 14, the user # 3 is associated with the VLAN number "10" of the VLAN to which the user # 3 has the access right, and the user authentication response unit 11 sets the VLAN number field 25 to the VLAN of the user # 3. The VLAN-ID dynamic setting request 23 is generated with the number “10” and the request type field 14 set to “0” and transmitted to the VLAN-ID setting unit 12. Further, the user authentication response unit 11 generates a user disconnection response frame 33 and transmits it to the VLAN switch connection unit 10. The VLAN switch connection unit 10 that has received the user disconnection response frame 33 transfers the user disconnection response frame 33 to the frame transfer device 4.
[0045]
Since the request type field 24 of the VLAN-ID dynamic setting request 23 received from the user authentication response unit 11 is “0”, the VLAN-ID setting unit 12 determines that the request is to release the VLAN-ID. . Then, by using “10” stored in the VLAN number field 25 of the VLAN-ID dynamic setting request 23 as a key, an entry in which “10” is stored in the VLAN number field 20 in the VLAN number table 15 is searched. Then, 1 is subtracted from the value of the counter field in the searched entry. In this case, since the value of the counter field 22 in the entry corresponding to the VLAN number “10” is “1”, the value of the counter field 22 changes to “0”. When the value of the counter field 22 becomes “0”, the VLAN-ID setting unit 12 pushes the value of the VLAN-ID field 21 of the entry (in this case, “1”) to the VLAN-ID stack 16. , Delete that entry.
[0046]
As a result, the contents of the VLAN number table 15 are as shown in FIG. 9D, and the contents of the VLAN-ID stack 16 are as shown in FIG. 10C.
[0047]
As described above, in this embodiment, a VLAN number (group identifier) is assigned to each user terminal group in advance, and a VLAN-ID (virtual network) required when actually using the virtual network is used. Identifier) is dynamically allocated at the time of the connection request, so that only the number of user terminal groups that can be simultaneously connected is limited, and the number exceeds the upper limit of the number of virtual network identifiers that can be used as a virtual network. And provide a VLAN connection by contracting with a user terminal group. In the example described above, the VLAN connection is provided even when the VLAN number is “5000” and exceeds 4094. Also, the VLAN-ID assigned to the VLAN number of the user terminal group from which all user terminals have left is released and pooled as unused VLAN-IDs, so that sharing of VLAN-IDs among a plurality of groups is not possible. It is possible.
[0048]
Further, in the above description, the entry of the VLAN number of the VLAN to which the VLAN-ID is not assigned does not exist in the VLAN number table 15, that is, the entry itself of the VLAN number table 15 is also dynamic. , But the present invention is not limited to this. The VLAN numbers of all the contract user terminal groups are statically registered in the VLAN number table 15, and the VLAN-ID is determined based on whether the VLAN-ID value is stored in the VLAN-ID field of the entry of the VLAN number. It may be determined whether or not is assigned.
[0049]
The above-described authentication server can also be realized by causing a computer for a server to read a computer program for realizing the authentication server and executing the program. The program is read into a computer by a recording medium such as a magnetic tape or a CD-ROM. The server computer generally includes a central processing unit (CPU), a hard disk device for storing programs and data, a main memory, an input device such as a keyboard and a mouse, a display device such as a CRT, a magnetic tape, It comprises a reading device for reading a recording medium such as a CD-ROM, and a communication interface used for connection with a frame transfer device. The hard disk device, main memory, input device, display device, reading device, and communication interface are all connected to the central processing unit. This computer attaches a recording medium storing a program for realizing the functions of the above-described authentication server to a reading device, reads the program from the recording medium, stores the program in a hard disk device, and executes the program stored in the hard disk device. When executed by the central processing unit, it functions as an authentication server. Further, the program may be read into the server computer via a network instead of from a recording medium.
[0050]
In the above-described embodiment, the number of user terminals connected to each frame transfer device is 3 and the number of users is 3. However, as will be easily understood by those skilled in the art, the present invention employs these. There is no limit on the number of. Although the authentication server is a Radius server, the present invention is not limited to this. Although the frame transfer device is a VLAN switch, the present invention is not limited thereto, and is not limited to the number of frame transfer devices.
[0051]
【The invention's effect】
As described above, according to the present invention, by allocating a virtual network identifier (VLAN-ID) dynamically, the occupation of the virtual network identifier by the contract group can be avoided, and the restriction on the number of contract groups can be eliminated. There is an effect that a limited virtual network identifier can be shared between contract groups.
[Brief description of the drawings]
FIG. 1 is an explanatory diagram illustrating an example of a configuration of a virtual network.
FIG. 2 is a block diagram showing an internal configuration of the authentication server according to the embodiment of the present invention.
FIG. 3 is a diagram showing a configuration of a VLAN number table.
FIG. 4 is a diagram showing a configuration of a VLAN-ID stack.
FIG. 5 is a diagram illustrating an example of a configuration of a VLAN-ID dynamic setting request.
FIG. 6 is a diagram illustrating an example of a configuration of a VLAN-ID dynamic setting response.
FIG. 7 is an explanatory diagram showing an application scene of user authentication in a virtual network.
FIG. 8 is a diagram illustrating an operation when an authentication server processes a user authentication request.
FIG. 9 is a diagram illustrating an example of a change in the contents of a VLAN number table.
FIG. 10 is a diagram illustrating an example of a change in the content of a VLAN-ID stack.
FIG. 11 is a diagram illustrating an operation when an authentication server processes a user disconnection request.
[Explanation of symbols]
1-3 user terminal
4 Frame transfer device
5 Authentication server
6 Frame transmission path
10 VLAN switch connection
11 User authentication response section
12 VLAN-ID setting unit
13 dictionary database (dictionaryDB)
14 Users database (usersDB)
15 VLAN number table
16 VLAN-ID stack
20, 25 VLAN number field
21,27 VLAN-ID field
22 Counter field
23 VLAN-ID dynamic setting request
24 Request type field
26 VLAN-ID dynamic setting response
30 User authentication request frame
31 User authentication response frame
32 User disconnection request frame
33 User disconnection response frame

Claims (12)

ユーザ端末に仮想網識別子を割り当て該ユーザ端末からのユーザフレームにその割り当てられた仮想網識別子を付加することによって各ユーザ端末グループごとに論理的に分割した網接続を提供する仮想網において用いられ、各ユーザに割り当てられたユーザ識別子とユーザ端末グループごとに設定されるグループ識別子との対応関係を管理するユーザ情報テーブルを有してユーザ認証を行う認証サーバであって、
前記グループ識別子に対して対応する仮想網識別子と接続ユーザ端末数とを管理するグループ識別子テーブルと、
未使用である仮想網識別子を蓄積する蓄積部と、
を有し、
前記ユーザ端末から接続要求を受けると認証処理を行い、認証が許可された場合に、前記ユーザ情報テーブルを用いて当該ユーザ端末のグループ識別子を抽出し、前記抽出したグループ識別子に仮想網識別子が割り当てられているかを前記グループ識別子テーブルを用いて判断し、割り当てられている場合には、該当する仮想網識別子を接続応答によって通知するとともに該当する接続ユーザ端末数を更新し、割り当てられていない場合には、前記蓄積部に蓄積された未使用の仮想網識別子を前記抽出したグループ識別子に対応付けて前記グループ識別子テーブルに設定し当該仮想網識別子を接続応答によって通知するとともに対応する接続ユーザ端末数を更新し、
全てのユーザ端末が離脱したユーザ端末グループに該当する仮想網識別子を未使用として解放し前記蓄積部に蓄積する、認証サーバ。Used in a virtual network which provides a logically divided network connection for each user terminal group by assigning a virtual network identifier to a user terminal and adding the allocated virtual network identifier to a user frame from the user terminal; An authentication server that performs user authentication by having a user information table that manages a correspondence relationship between a user identifier assigned to each user and a group identifier set for each user terminal group,
A group identifier table for managing a virtual network identifier and the number of connected user terminals corresponding to the group identifier,
A storage unit for storing unused virtual network identifiers;
Has,
When a connection request is received from the user terminal, an authentication process is performed. When the authentication is permitted, a group identifier of the user terminal is extracted using the user information table, and a virtual network identifier is assigned to the extracted group identifier. Is determined using the group identifier table, if assigned, the corresponding virtual network identifier is notified by a connection response and the number of connected user terminals is updated, and if not assigned, Sets the unused virtual network identifier stored in the storage unit to the group identifier table in association with the extracted group identifier, notifies the virtual network identifier by a connection response, and sets the corresponding number of connected user terminals. Updated,
An authentication server that releases a virtual network identifier corresponding to a user terminal group from which all user terminals have left as unused and stores the virtual network identifier in the storage unit. 前記蓄積部はスタックである請求項1に記載の認証サーバ。The authentication server according to claim 1, wherein the storage unit is a stack. 前記認証サーバは、前記ユーザ端末から切断要求を受けると、前記ユーザ情報テーブルを用いて当該ユーザ端末のグループ識別子を抽出し、前記抽出したグループ識別子に該当する仮想網識別子を前記グループ識別子テーブルを用いて特定するとともに前記抽出したグループ識別子に対応する接続ユーザ端末数を更新し、当該接続ユーザ端末数が0になった場合には、前記該当する仮想網識別子は未使用になったものとして割り当てを解除し前記蓄積部に蓄積する、請求項1または2に記載の認証サーバ。Upon receiving the disconnection request from the user terminal, the authentication server extracts a group identifier of the user terminal using the user information table, and uses the group identifier table to assign a virtual network identifier corresponding to the extracted group identifier. And updates the number of connected user terminals corresponding to the extracted group identifier, and when the number of connected user terminals becomes 0, assigns the corresponding virtual network identifier to the unused virtual network identifier as unused. The authentication server according to claim 1, wherein the authentication server is released and stored in the storage unit. 前記グループ識別子テーブルにおいて、仮想網識別子が割り当てられるグループ識別子のエントリが動的に生成され、仮想網識別子の割り当てが解除されたグループ識別子のエントリが消去される、請求項3に記載の認証サーバ。4. The authentication server according to claim 3, wherein in the group identifier table, an entry of a group identifier to which a virtual network identifier is assigned is dynamically generated, and an entry of a group identifier to which the virtual network identifier is released is deleted. 5. 前記仮想網がフレーム転送網である請求項1乃至4のいずれか1項に記載の認証サーバ。The authentication server according to claim 1, wherein the virtual network is a frame transfer network. 各ユーザに割り当てられたユーザ識別子とユーザ端末グループごとに設定されるグループ識別子との対応関係を管理するユーザ情報テーブルを有してユーザ認証を行う認証サーバと、ユーザ端末が接続されるフレーム転送装置とを有し、前記ユーザ端末に仮想網識別子を割り当て前記ユーザ端末からのユーザフレームに前記フレーム転送装置が当該割り当てられた仮想網識別子を付加することによって各ユーザ端末グループごとに論理的に分割した網接続を提供するフレーム転送網であって、
前記認証サーバは、
前記グループ識別子に対して対応する仮想網識別子と接続ユーザ端末数とを管理するグループ識別子テーブルと、
未使用である仮想網識別子を蓄積する蓄積部と、
を有し、
前記認証サーバは、前記フレーム転送装置を介して前記ユーザ端末からの接続要求を受けると認証処理を行い、認証が許可された場合に、前記ユーザ情報テーブルを用いて当該ユーザ端末のグループ識別子を抽出し、前記抽出したグループ識別子に該当する仮想網識別子が割り当てられているかを前記グループ識別子テーブルを用いて判断し、割り当てられている場合には、該当する仮想網識別子を前記フレーム転送装置に通知するとともに対応する接続ユーザ端末数を更新し、割り当てられていない場合には、前記蓄積部に蓄積された未使用の仮想網識別子を前記抽出したグループ識別子に対応付けて前記グループ識別子テーブルに設定して当該仮想網識別子を前記フレーム転送装置に通知するとともに対応する接続ユーザ端末数を更新し、
さらに前記認証サーバは、全てのユーザ端末が離脱したユーザ端末グループに該当する仮想網識別子を未使用として解放し前記蓄積部に蓄積する、フレーム転送網。An authentication server having a user information table for managing a correspondence between a user identifier assigned to each user and a group identifier set for each user terminal group and performing user authentication, and a frame transfer device to which the user terminal is connected Having a virtual network identifier assigned to the user terminal, and the frame transfer device logically dividing each user terminal group by adding the assigned virtual network identifier to a user frame from the user terminal. A frame transfer network for providing a network connection,
The authentication server,
A group identifier table for managing a virtual network identifier and the number of connected user terminals corresponding to the group identifier,
A storage unit for storing unused virtual network identifiers;
Has,
The authentication server performs an authentication process upon receiving a connection request from the user terminal via the frame transfer device, and extracts a group identifier of the user terminal using the user information table when authentication is permitted. Then, it is determined whether or not a virtual network identifier corresponding to the extracted group identifier is allocated by using the group identifier table. If the virtual network identifier is allocated, the corresponding virtual network identifier is notified to the frame transfer device. And update the number of connected user terminals corresponding thereto, and when not assigned, set the unused virtual network identifier stored in the storage unit in the group identifier table in association with the extracted group identifier. Notify the virtual network identifier to the frame transfer device and update the corresponding number of connected user terminals.
Further, the authentication server releases the virtual network identifier corresponding to the user terminal group from which all user terminals have left as unused and stores the virtual network identifier in the storage unit. 前記蓄積部はスタックである請求項6に記載のフレーム転送網。7. The frame transfer network according to claim 6, wherein said storage unit is a stack. 前記認証サーバは、前記ユーザ端末から切断要求を受けると、前記ユーザ情報テーブルを用いて当該ユーザ端末のグループ識別子を抽出し、前記抽出したグループ識別子に該当する仮想網識別子を前記グループ識別子テーブルを用いて特定するとともに前記抽出したグループ識別子に対応する接続ユーザ端末数を更新し、当該接続ユーザ端末数が0になった場合には、前記該当する仮想網識別子は未使用になったものとして割り当てを解除し前記蓄積部に蓄積する、請求項6または7に記載のフレーム転送網。When receiving the disconnection request from the user terminal, the authentication server extracts a group identifier of the user terminal using the user information table, and uses the group identifier table to assign a virtual network identifier corresponding to the extracted group identifier. And updates the number of connected user terminals corresponding to the extracted group identifier. When the number of connected user terminals becomes 0, the corresponding virtual network identifier is assigned as unused. The frame transfer network according to claim 6, wherein the frame transfer network is released and stored in the storage unit. 前記グループ識別子テーブルにおいて、仮想網識別子が割り当てられるグループ識別子のエントリが動的に生成され、仮想網識別子の割り当てが解除されたグループ識別子のエントリが消去される、請求項8に記載のフレーム転送網。9. The frame transfer network according to claim 8, wherein, in the group identifier table, an entry of a group identifier to which a virtual network identifier is assigned is dynamically generated, and an entry of the group identifier to which the virtual network identifier is unassigned is deleted. . コンピュータに、
ユーザ端末からの接続要求に応じて認証処理を行う機能と、
認証が許可された場合に、各ユーザに割り当てられたユーザ識別子とユーザ端末グループごとに設定されるグループ識別子との対応関係を管理するユーザ情報テーブルを用いて、当該ユーザ端末のグループ識別子を抽出する機能と、
前記抽出したグループ識別子に該当する仮想網識別子が割り当てられているかを、前記グループ識別子に対して対応する仮想網識別子と接続ユーザ端末数とを管理するグループ識別子テーブルを用いて判断し、割り当てられている場合には、該当する仮想網識別子を接続応答によって通知するとともに対応する接続ユーザ端末数を更新し、割り当てられていない場合には、未使用である仮想網識別子を蓄積する蓄積部に蓄積された未使用の仮想網識別子を前記抽出したグループ識別子に対応付けて前記グループ識別子テーブルに設定して当該仮想網識別子を前記接続応答によって通知するとともに対応する接続ユーザ端末数を更新する機能と、
全てのユーザ端末が離脱したユーザ端末グループに該当する仮想網識別子を未使用として解放し前記蓄積部に蓄積する機能と、
を実現させるためのプログラム。On the computer,
A function of performing an authentication process in response to a connection request from a user terminal;
When the authentication is permitted, a group identifier of the user terminal is extracted by using a user information table that manages a correspondence relationship between a user identifier assigned to each user and a group identifier set for each user terminal group. Features and
Whether a virtual network identifier corresponding to the extracted group identifier is assigned is determined using a group identifier table that manages a virtual network identifier corresponding to the group identifier and the number of connected user terminals, and is assigned. If not, the corresponding virtual network identifier is notified by a connection response and the number of corresponding connected user terminals is updated. If not assigned, the virtual network identifier is stored in a storage unit that stores unused virtual network identifiers. A function of setting the unused virtual network identifier in the group identifier table in association with the extracted group identifier, notifying the virtual network identifier by the connection response, and updating the corresponding number of connected user terminals,
A function of releasing the virtual network identifier corresponding to the user terminal group from which all user terminals have left as unused and storing the virtual network identifier in the storage unit;
The program to realize. 前記コンピュータに、さらに、
前記ユーザ端末から切断要求を受けると、前記ユーザ情報テーブルを用いて当該ユーザ端末のグループ識別子を抽出し、前記抽出したグループ識別子に該当する仮想網識別子を前記グループ識別子テーブルを用いて特定するとともに前記抽出したグループ識別子に対応する接続ユーザ端末数を更新し、当該接続ユーザ端末数が0になった場合には、前記該当する仮想網識別子は未使用になったものとして割り当てを解除し前記蓄積部に蓄積する機能を実現させる、
請求項10に記載のプログラム。The computer further comprises:
When a disconnection request is received from the user terminal, a group identifier of the user terminal is extracted using the user information table, and a virtual network identifier corresponding to the extracted group identifier is specified using the group identifier table, and The number of connected user terminals corresponding to the extracted group identifier is updated, and when the number of connected user terminals becomes 0, the corresponding virtual network identifier is deemed to be unused, the allocation is released, and the storage unit is deleted. Realizing the function to accumulate in
The program according to claim 10. コンピュータが読み取り可能な記録媒体であって、請求項10または11に記載のプログラムを記録した記録媒体。A recording medium readable by a computer, wherein the program according to claim 10 or 11 is recorded.
JP2003028224A 2003-02-05 2003-02-05 Authentication server, frame transfer network, program for realizing authentication server, and recording medium for recording program Pending JP2004241979A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2003028224A JP2004241979A (en) 2003-02-05 2003-02-05 Authentication server, frame transfer network, program for realizing authentication server, and recording medium for recording program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2003028224A JP2004241979A (en) 2003-02-05 2003-02-05 Authentication server, frame transfer network, program for realizing authentication server, and recording medium for recording program

Publications (1)

Publication Number Publication Date
JP2004241979A true JP2004241979A (en) 2004-08-26

Family

ID=32955741

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2003028224A Pending JP2004241979A (en) 2003-02-05 2003-02-05 Authentication server, frame transfer network, program for realizing authentication server, and recording medium for recording program

Country Status (1)

Country Link
JP (1) JP2004241979A (en)

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006115072A (en) * 2004-10-13 2006-04-27 Chuden Cti Co Ltd Vlan authentication device
JP2006345088A (en) * 2005-06-07 2006-12-21 Hitachi Communication Technologies Ltd Vlan id dynamic allocation method and packet transfer apparatus
WO2007065358A1 (en) * 2005-12-06 2007-06-14 Huawei Technologies Co., Ltd. Method and system for service processing based on vlan stack
JP2007150969A (en) * 2005-11-30 2007-06-14 Hitachi Communication Technologies Ltd Terminal and communication method
JP2007208323A (en) * 2006-01-30 2007-08-16 Fujitsu Ltd Authentication vlan switch
WO2010060373A1 (en) * 2008-11-26 2010-06-03 华为技术有限公司 Method, apparatus and system for establishing virtual local area network connection
JP2012004915A (en) * 2010-06-17 2012-01-05 Nippon Telegr & Teleph Corp <Ntt> Station-side apparatus and multicast control method
WO2018096594A1 (en) * 2016-11-22 2018-05-31 株式会社日立製作所 Network system, network management apparatus and network management method

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006115072A (en) * 2004-10-13 2006-04-27 Chuden Cti Co Ltd Vlan authentication device
JP2006345088A (en) * 2005-06-07 2006-12-21 Hitachi Communication Technologies Ltd Vlan id dynamic allocation method and packet transfer apparatus
JP4738901B2 (en) * 2005-06-07 2011-08-03 株式会社日立製作所 VLANID dynamic allocation method and packet transfer apparatus
JP2007150969A (en) * 2005-11-30 2007-06-14 Hitachi Communication Technologies Ltd Terminal and communication method
WO2007065358A1 (en) * 2005-12-06 2007-06-14 Huawei Technologies Co., Ltd. Method and system for service processing based on vlan stack
JP2007208323A (en) * 2006-01-30 2007-08-16 Fujitsu Ltd Authentication vlan switch
WO2010060373A1 (en) * 2008-11-26 2010-06-03 华为技术有限公司 Method, apparatus and system for establishing virtual local area network connection
US9160567B2 (en) 2008-11-26 2015-10-13 Huawei Technologies Co., Ltd. Method, apparatus, and system for establishing a virtual local area network connection
JP2012004915A (en) * 2010-06-17 2012-01-05 Nippon Telegr & Teleph Corp <Ntt> Station-side apparatus and multicast control method
WO2018096594A1 (en) * 2016-11-22 2018-05-31 株式会社日立製作所 Network system, network management apparatus and network management method

Similar Documents

Publication Publication Date Title
US7730033B2 (en) Mechanism for exposing shadow copies in a networked environment
TW545012B (en) Method and apparatus for identifying clients using incoming option data
US20050273465A1 (en) Method and apparatus for community management in virtual community
JPH05102972A (en) Method and apparatus for selective message insertion
US20080177885A1 (en) Multi-device communication method and system
JP5544005B2 (en) Token management method for digital rights management
CN107391758A (en) Database switching method, device and equipment
US9584481B2 (en) Host providing system and communication control method
JP2004187296A (en) Method of grouping technical devices as nodes of network and apparatus for implementing the method
CN111585887A (en) Communication method and device based on multiple networks, electronic equipment and storage medium
US20020103904A1 (en) Method and apparatus for controlling access to files associated with a virtual server
CN107241312B (en) A kind of right management method and device
TWI245185B (en) Clustered computer system, method of accessing a group in a clustered computer system, apparatus thereof, and recording medium thereof
JP2004241979A (en) Authentication server, frame transfer network, program for realizing authentication server, and recording medium for recording program
JP2005208999A (en) Virtual machine management program
US7308481B2 (en) Network storage system
JP6683386B2 (en) Data transfer system and data transfer method
CN101789963A (en) Data synchronization system
CN105991789A (en) Method for realizing virtual machine port mapping, servers and system
US20080155263A1 (en) Systems and Methods for Tracking Electronic Files in Computer Networks Using Electronic Signatures
CN114978897B (en) Network control method and system based on eBPF and application identification technology
US9122688B1 (en) Naming scheme for different computer systems
JP5949552B2 (en) Access control information generation system
JP2018082310A (en) Paas connection program, paas connection method, and paas connection device
WO2013151371A1 (en) System and method for determining service registration ip of pc room

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20050125

A977 Report on retrieval

Effective date: 20070216

Free format text: JAPANESE INTERMEDIATE CODE: A971007

A131 Notification of reasons for refusal

Effective date: 20070307

Free format text: JAPANESE INTERMEDIATE CODE: A131

A02 Decision of refusal

Effective date: 20070627

Free format text: JAPANESE INTERMEDIATE CODE: A02