【課題】システムの運用に係わる手間を軽減し、セキュリティを確保しつつ被監視装置の配置の自由度をさらに向上させることの可能な通信システムを提供すること。
【解決手段】通信システムは、セキュリティを保証されたセキュアネットワークと、無線通信機能を備えるネットワークデバイスと無線通信する、セキュアネットワークに接続される基地局とを含む。セキュアネットワークは、認証処理部と、無線通知部とを備える。認証処理部は、セキュアネットワークと相互接続され当該セキュアネットワークとは異なる外部ネットワークに接続されたネットワークデバイスからの認証要求メッセージを基地局経由で受信すると当該認証要求メッセージの送信元ネットワークデバイスの認証処理手順を実施し、当該認証処理手順の結果を送信元ネットワークデバイスに応答する。無線通知部は、認証処理手順の結果を示す応答メッセージを基地局経由で送信元ネットワークデバイスに通知する。

【発明の詳細な説明】
【技術分野】
【０００１】
本発明の実施形態は、複数の基地局を備える通信システムと、この通信システムに用いられる接続装置、および運用支援方法に関する。
【背景技術】
【０００２】
既設の回線交換網はInternet Protocol（ＩＰ）ネットワークに置き換えられつつある。そのような背景にあって通信事業者は通信のＩＰ化／光化を推し進めており、ＩＰ電話の加入者数も年々増加している。また、ＮＧＮ（Next Generation Network）と呼ばれる次世代ＩＰ（Internet Protocol）ネットワーク技術にも注目が集まっている。そこで、クラウド技術に代表されるように、ネットワークデバイスをＩＰネットワーク上に自由に分散配置したいという要望が高まってきている。この種のデバイスはＩＰインタフェースを備える。
【０００３】
ところで、通信ネットワークを円滑に運用するには、ネットワークに接続された機器（ネットワークデバイス）を監視し、各デバイスの状態を管理する必要がある。監視制御を担う装置（監視装置あるいは制御装置）と、監視制御の対象となる装置（被監視装置）との対応付けはその主な手順である。
【０００４】
旧来はこの手順がネットワークオペレータのマニュアル操作で実施されていたのでこれを自動化できるようにすることが提案され、特許出願された（例えば特願２０１１−０５７２４３号）。この出願された発明によれば、オペレータの負荷が軽減されるとともに分散配置通信システムの拡張が容易になるというメリットがある。
【先行技術文献】
【特許文献】
【０００５】
【特許文献１】特開２００５−９４６００号公報
【発明の概要】
【発明が解決しようとする課題】
【０００６】
実際のシステムの運用にあたっては監視装置と被監視装置との対応付けだけではなく、ネットワークに接続されたデバイスへのＩＰアドレスの割り当てなどを含む初期設定手順が必要である。初期設定手順が厳格に実施されないまま不特定多数のデバイスがネットワークに接続されると、特にセキュリティの確保の面からも難点がある。しかしながら現時点では、初期設定手順をも自動化し、オペレータの負荷のさらなる軽減とともにセキュリティの向上をも促進する技術は知られていない。
目的は、システムの運用に係わる手間を軽減し、セキュリティを確保しつつ被監視装置の配置の自由度をさらに向上させることの可能な通信システム、接続装置および運用支援方法を提供することにある。
【課題を解決するための手段】
【０００７】
実施形態によれば通信システムは、セキュリティを保証されたセキュアネットワークと、無線通信機能を備えるネットワークデバイスと無線通信する、セキュアネットワークに接続される基地局とを含む。セキュアネットワークは、認証処理部と、無線通知部とを備える。認証処理部は、セキュアネットワークと相互接続され当該セキュアネットワークとは異なる外部ネットワークに接続されたネットワークデバイスからの認証要求メッセージを基地局経由で受信すると当該認証要求メッセージの送信元ネットワークデバイスの認証処理手順を実施し、当該認証処理手順の結果を送信元ネットワークデバイスに応答する。無線通知部は、認証処理手順の結果を示す応答メッセージを基地局経由で送信元ネットワークデバイスに通知する。
【図面の簡単な説明】
【０００８】
【図１】実施形態に係わる通信システムの一例を示すシステム図。
【図２】通信システムの第１の実施形態の一例を示すシステム図。
【図３】図２に示されるシステムに備わる機能を示す機能ブロック図。
【図４】図２、図３に示されるシステムで実施される処理手順を示すシーケンス図。
【図５】図４に示されるシーケンスにおいてエンティティ間で授受される情報の一例を示す図。
【図６】実施形態に係わる通信システムにおける情報の伝達経路を示す概念図。
【図７】通信システムの第２の実施形態の一例を示すシステム図。
【図８】図７に示されるシステムに備わる機能を示す機能ブロック図。
【図９】図７、図８に示されるシステムで実施される処理手順を示すシーケンス図。
【図１０】通信システムの第３の実施形態の一例を示すシステム図。
【図１１】図１０に示されるシステムに備わる機能を示す機能ブロック図。
【図１２】図１０、図１１に示されるシステムで実施される処理手順を示すシーケンス図。
【発明を実施するための形態】
【０００９】
以下、図面を参照してこの発明の実施の形態につき説明する。この実施形態ではＰＨＳ（Personal Handy phone System）を想定して説明する。このほかいわゆる携帯電話システムとして知られるセルラフォンシステム、あるいは次世代ＰＨＳと称されるＸＧＰ（eXtended Global Platform）に対しても実施形態は適用可能である。
【００１０】
図１は、実施形態に係わる通信システムを示すシステム図である。このシステムは通信ネットワーク１００と、通信ネットワーク１００に接続される制御装置Ｇ１１，Ｇ１２とを中核として形成される。通信ネットワーク１００は例えばＩＰ（Internet Protocol）ネットワーク、ＩＰ−ＶＰＮ（IP-Virtual Private Network）を利用するパケット通信網、あるいはＩＳＤＮ（Integrated Service Digital Network）などを含む。
【００１１】
この実施形態では、通信ネットワーク１００のプロトコルとしてＴＣＰ／ＩＰ（Transmission Control Protocol / Internet Protocol）を想定する。また実施形態では、通信ネットワーク１００にセキュリティレベルの異なる２つのＩＰ網が含まれることを想定する。
【００１２】
通信ネットワーク１００には、制御装置Ｇ１１，Ｇ１２を遠隔からリモート制御したり、各種通信サービスを提供したりするための管理システム４００が設けられる。管理システム４００は例えば汎用のサーバ装置に専用のアプリケーションソフトをインストールして実現される。
【００１３】
管理システム４００はデータベース４４を備え、システム内に存在する被監視装置を管理するための上位装置としての機能も担う。つまり管理システム４００は制御装置Ｇ１１，Ｇ１２の上位階層に位置づけられ、制御装置Ｇ１１，Ｇ１２からの通知に基づいて通信システムを管理ないし監視制御する。その機能の一つには、例えば通信システム内の各機器における障害の発生状況を管理する、障害管理機能がある。ネットワーク管理のためのプロトコルとしてはＣＭＩＰ（Common Management Information Protocol）あるいはＳＮＭＰ（Simple Network Management Protocol）などがあるが、実施形態に適用可能なプロトコルはこれらに限定されるものではない。
【００１４】
制御装置Ｇ１１は個別回線を介して基地局ＣＳ１１に接続される。制御装置Ｇ１２は別の個別回線を介して基地局ＣＳ２１，ＣＳ２２に接続される。すなわち基地局ＣＳ１１は制御装置Ｇ１１の配下にあり、基地局ＣＳ２１，ＣＳ２２は制御装置Ｇ１２の配下にある。いずれの制御装置Ｇ１１，Ｇ１２も、接続された基地局を通信ネットワーク１００に接続する、接続装置としての機能を担う。なお制御装置Ｇ１１，Ｇ１２に接続される基地局（符合をＣＳで統一する）の数は図１に示すものに限るものではない。
【００１５】
基地局ＣＳ１１，ＣＳ２１，ＣＳ２２はそれぞれ無線ゾーン（以下セルと称する）を形成し、このセルに在圏する移動端末ＰＳ（ＰＳ１１，ＰＳ１２）と無線チャネルを介して通信する。移動端末ＰＳ１１，ＰＳ１２はその移動に伴って各セル間をハンドオーバし、接続先の基地局ＣＳを切り替える。制御装置Ｇ１１，Ｇ１２は通信ネットワーク１００を介して相互間に通信リンクを形成することもでき、移動端末ＰＳ１１，ＰＳ１２はこのリンクを介して互いと通信することができる。
【００１６】
制御装置Ｇ１１，Ｇ１２は、通信端末間のエンド・ツウ・エンドの通信を実現するため、対向装置（通信ネットワーク１００内のゲートウェイ、通信相手方の制御装置など）間でのプロトコル変換、交換処理などの種々の制御を担う。また制御装置Ｇ１１，Ｇ１２は基地局ＣＳを経由して通信される信号（音声データや映像、画像データなどのデジタル信号、各種サービスを行なうためのデータなど）を、通信ネットワーク１００を経由して指定の通信種別に従って処理する。
【００１７】
ところで、図１に示されるシステムは、通信ネットワーク１００に有線または無線を介して接続されるネットワークデバイス５０１，５０２，５０３を備える。ネットワークデバイス５０１〜５０３は通信ネットワーク１００に分散配置され、システム管理の上では下層レイヤに位置づけられて被監視装置として機能する。
【００１８】
ネットワークデバイス５０１〜５０３は例えばユーザ宅６００に設けられる。要するにネットワークデバイスは通信ネットワーク１００に直接的あるいは間接的に接続可能な機器である。ネットワークデバイス５０１〜５０３は無線チャネルを介して基地局ＣＳに接続する機能を備え、接続先の基地局を介して通信ネットワーク１００や管理システム４００と通信することができる。
【００１９】
このほか図１のシステムは、パーソナルコンピュータ（ＰＣ）や固定電話機（ＴＥＬ）を制御装置Ｇ１１，Ｇ１２に接続するための中継ユニット７００を備える。中継ユニット７００もネットワークデバイスである。この種の装置はターミナルアダプタ（Terminal Adapter：ＴＡ）と称されることもある。ＰＣに音声通話ソフトウェアをインストールすれば電話機として利用することも可能である。さらに、無線ＬＡＮ（Local Area Network）規格に準拠するアクセスポイント（図示せず）が制御装置Ｇ１１，Ｇ１２に接続されることもある。次に、複数の実施形態につき説明する。
【００２０】
［第１の実施形態］
図２は、通信システムの第１の実施形態の一例を示すシステム図である。図２に示されるシステムは図１に示されるシステムを基礎とする。図２に示される内部ＩＰ網１０１、外部ＩＰ網１０２、およびこれらの網を相互接続するゲートウェイ２００が、図１の通信ネットワーク１００に対応する。つまり通信ネットワークは内部ＩＰ網１０１、外部ＩＰ網１０２およびゲートウェイ２００を含む。
【００２１】
実施形態において、管理システム４００は認証サービスを提供する。この認証サービスにより内部ＩＰ網１０１のセキュリティは保証される。すなわち内部ＩＰ網１０１はセキュアネットワークとして位置づけられる。
内部ＩＰ網１０１のセキュリティレベルと外部ＩＰ網１０２のセキュリティレベルとは、互いに異なる。すなわち内部ＩＰ網１０１のセキュリティは保証されているが外部ＩＰ網１０２はその限りではない。内部ＩＰ網１０１としては例えば通信キャリアによる私設網を挙げることができ、外部ＩＰ網１０２の例としてはいわゆるインターネットが挙げられる。
【００２２】
図１の制御装置Ｇ１１，Ｇ１２、管理システム４００は内部ＩＰ網１０１に属する。よって基地局ＣＳ１１，ＣＳ２２も内部ＩＰ網１０１に属する。ネットワークデバイス５０１，５０２は外部ＩＰ網１０２に接続される。ネットワークデバイス５０３は内部ＩＰ網１０１に接続される。よってネットワークデバイス５０１，５０２がネットワークデバイス５０３と通信するためにはゲートウェイ２００を経由する必要があり、そのためには種々の初期設定を要する。第１の実施形態ではその処理手順につき説明する。
【００２３】
図３は、図２に示されるシステムに備わる機能を示す機能ブロック図である。図３において、基地局ＣＳ１１は無線部ＣＳａを備え、ネットワークデバイス５０２は無線部５０２ａを備える。無線部ＣＳａおよび無線部５０２ａの機能により基地局ＣＳ１１およびネットワークデバイス５０２は相互に無線通信が可能である。
制御装置Ｇ１１は登録処理部Ｇａを備える。登録処理部Ｇａは、個々のネットワークデバイスがどの制御装置の監視下に入るのかを決定する。なお、管理システム４００が登録処理部Ｇａを備えるようにしても良い。
【００２４】
ゲートウェイ２００は接続処理部２００ａを備える。接続処理部２００ａは、発呼元ネットワークデバイスと発呼先ネットワークデバイスとの間に通信リンクを形成するための処理機能を提供する。呼接続処理手順として一般的なSession Initiation Protocol（ＳＩＰ）が採用されるシステムにおいては、接続処理部２００ａを備えることで、ゲートウェイ２００はＳＩＰサーバとしての機能を担う。
【００２５】
なお内部ＩＰ網１０１と管理システム４００、制御装置Ｇ１１、ゲートウェイ２００との間は有線で接続される。制御装置Ｇ１１と基地局ＣＳ１１との間も有線で接続される。基地局ＣＳ１１とネットワークデバイス５０２との間は無線接続である。ネットワークデバイス５０２と外部ＩＰ網１０２との間は有線または無線で接続することが可能である。ネットワークデバイス５０２と内部ＩＰ網１０１との間も同様である。
【００２６】
ところで管理システム４００は、実施形態に係わる処理機能として認証処理部４００ａを備える。基地局ＣＳ１１は認証処理部ＣＳｂ、無線通知部ＣＳｃを備える。ゲートウェイ２００は認証処理部２００ｂを備える。
【００２７】
認証処理部４００ａ、ＣＳｂ、２００ｂは、外部ＩＰ網１０２に接続されたネットワークデバイス５０２から送出された認証を要求するメッセージを基地局ＣＳ１１経由で受信すると、このメッセージの送信元であるネットワークデバイス５０２に対する認証処理手順を実施する。そしてネットワークデバイス５０２に応答メッセージを返送することで、認証処理部４００ａ、ＣＳｂ、２００ｂは認証処理手順の結果を応答する。
無線通知部ＣＳｃは、認証処理手順の結果を示す上記応答メッセージを、基地局ＣＳ１１経由でネットワークデバイス５０２に通知する。次に、上記構成における作用を説明する。
【００２８】
図４は、図２、図３に示されるシステムで実施される処理手順を示すシーケンス図である。実施形態では認証処理手順として次の３段階を考える。
（１）送信元ネットワークデバイスの管理システム４００へのアクセスの可否を認証するための第１処理手順。
【００２９】
（２）送信元ネットワークデバイスのゲートウェイ２００へのアクセスの可否を認証するための第２処理手順。
【００３０】
（３）送信元ネットワークデバイスの内部ＩＰ網１０１へのアクセスの可否を認証するための第３処理手順。
（１）〜（３）の処理は、ネットワークデバイスの運用を開始する際に必要となる初期設定手順の一例である。このほか初期設定手順には、ネットワークデバイスへのＩＰアドレスの割り当てなどがある。
【００３１】
図２および図３に示されるようにネットワークデバイス５０２は外部ＩＰ網１０２に接続され、ネットワークデバイス５０３は内部ＩＰ網１０１に接続される。図４においてはネットワークデバイス５０２を接続元とし、ネットワークデバイス５０３をその接続先とする。
【００３２】
図４において、外部ＩＰ網１０２に接続されると、ネットワークデバイス５０２は基地局ＣＳ１１に通信要求を送出する（ステップＳ１）。これを受けて基地局ＣＳ１１はセキュリティ認証を実施し、ネットワークデバイス５０２の基地局ＣＳ１１へのアクセスの可否を判定する（ステップＳ２）。この認証に成功すると、基地局ＣＳ１１は通信確立応答をネットワークデバイス５０２に返送する（ステップＳ３）。これにより（１）の手順が完了し、ネットワークデバイス５０２は管理システム４００へのアクセスを許可される。ここまでの手順はネットワークデバイス５０２および基地局ＣＳ１１に備わる無線通信機能を主体とする手順である。
【００３３】
次に、通信確立応答を受けたネットワークデバイス５０２は、管理システム４００に対し、制御装置Ｇ１１を経由して運用開始要求を送信する（ステップＳ４）。この運用開始要求はネットワークデバイス５０２の端末識別情報（加入者番号、電話番号といった登録情報など）とMedia access control（ＭＡＣ）アドレスとを含む。管理システム４００はデータベース４４を参照し、受信した識別情報とＭＡＣアドレスとの対応関係を検証することにより認証の可否を判定する（ステップＳ５）。認証が不成功であればＮＧとなる。
【００３４】
認証が成功すれば（ステップＳ５でＹｅｓ）、運用開始応答がネットワークデバイス５０２に返送される（ステップＳ６）。この運用開始応答はゲートウェイ２００のＩＰアドレスなど、ネットワークデバイス５０２がゲートウェイ２００にアクセスするために要する初期設定情報を含む。これにより（２）の手順が完了し、ネットワークデバイス５０２はゲートウェイ２００へのアクセスを許可される。
【００３５】
次にネットワークデバイス５０２は、ゲートウェイ２００のＩＰアドレスを用いて認証要求メッセージをゲートウェイ２００に送信する（ステップＳ７）。この認証要求はネットワークデバイス５０２に対応付けられたユーザ名、パスワードなどを含む。ゲートウェイ２００はこれらの情報に基づいてネットワークデバイス５０２の認証処理を実施する（ステップＳ８）。認証が不成功であればＮＧとなる。
【００３６】
認証が成功すれば（ステップＳ８でＹｅｓ）、認証応答がネットワークデバイス５０２に返送される（ステップＳ９）。この認証応答はネットワークデバイス５０２に割り当てられるＩＰアドレスなど、ネットワークデバイス５０２が内部ＩＰ網１０１にアクセスするために必要な情報を含む。これにより（３）の手順が完了し、ネットワークデバイス５０２は内部ＩＰ網１０１へのアクセスを許可される。
【００３７】
ここまでの手順は初期設定手順が主体となる。この手順はＩＰアドレス割り当てを含む、ネットワークデバイスの初期設定に係わる手順である。また初期設定手順には、ネットワークデバイスが異なるＩＰ網にＶＰＮ接続するに際してセキュリティ認証に必要な情報（ユーザ名、パスワードなど）、および接続先デバイス情報（ＩＰアドレスなど）を基地局経由で取得する手順が含まれる。実施形態ではこのような手順を自動化することで、従来のマニュアルでの設定処理からオペレータを開放する。
【００３８】
さて、ステップＳ９までの手順が完了すると、ネットワークデバイス５０２は外部ＩＰ網１０２から、内部ＩＰ網１０１に属するネットワークデバイス５０３に接続することが可能になる。ネットワークデバイス５０２はネットワークデバイス５０３を接続先とする発呼要求をゲートウェイ２００に送信する（ステップＳ１０）。ゲートウェイ２００はネットワークデバイス５０３のＩＰアドレスを含む呼接続応答をネットワークデバイス５０２に返送する（ステップＳ１１）。そうすると呼接続処理手順が実施されたのち（ステップＳ１２）、ネットワークデバイス５０２，５０３との間に例えばVirtual Private Network（ＶＰＮ）接続による通信リンクが形成されて、両デバイスは通信状態となる（ステップＳ１３）。
【００３９】
図５は、図４に示されるシーケンスにおいてエンティティ間で授受される情報の一例を示す図である。括弧書きは認証処理手順におけるそれぞれの段階に対応する。
図６は、実施形態に係わる通信システムにおける情報の伝達経路を示す概念図である、実施形態では、ネットワークデバイス５０２が、初期設定に要する情報を基地局ＣＳ１１の無線チャネルを経由して管理システム４００から取得する。そして、取得した情報に含まれる自己のＩＰアドレス、およびゲートウェイ２００のＩＰアドレスを用いてゲートウェイ２００にアクセスして、外部ＩＰ網１０２から内部ＩＰ網１０１への発呼を可能としている。その際、認証処理手順を実施し、いずれかの手順がＮＧであれば、ＩＰアドレスを含む初期設定情報がネットワークデバイス５０２に通知されることはない。
【００４０】
既存の通信システムにおいては、膨大な数のネットワークデバイスをＩＰ網上に分散配置するにあたり、個々のネットワークデバイスをオペレータによるマニュアル操作で初期設定する必要があった。例えばＩＰ網上での通信に先立ち、ＩＰアドレス割り当てやＶＰＮなどの設定をマニュアルで行う必要があった。Dynamic Host Configuration Protocol（ＤＨＣＰ）を用いてＩＰアドレス割り当てを自動化するとしても、ブロードキャストを利用することから、ネットワークのそれぞれにＤＨＣＰサーバあるいはＤＨＣＰリレーエージェントを設置する必要がある。一方、ＶＰＮで接続する環境では接続先のＩＰアドレスおよび認証情報などをマニュアルでネットワークデバイスに入力する必要がある。
【００４１】
さらに、ネットワークデバイスを外部ＩＰ網に接続するにあたって本来接続が許可されていないデバイスからのアクセスが想定されるので、不正なアクセスを防止するためのセキュリティ認証を考慮する必要がある。つまり多数のネットワークデバイスが初期設定無しにネットワークに繋がると、セキュリティ上の問題がある。
【００４２】
以上の理由などから、ネットワークデバイスのＩＰ網への配置の自由度をさらに高めるためには、ネットワーク環境に影響されず、人手による初期設定を伴わずに自動で通信を開始可能なシステムアーキテクチャが求められる。
【００４３】
そこで第１の実施形態では、セキュアネットワークである内部ＩＰ網１０１に、認証処理部と無線通知部とを設ける。認証処理部は外部ＩＰ網１０２に接続されたネットワークデバイスを、初期設定手順において３段階で認証する。認証に必要な情報および必要なＩＰアドレスは、基地局により形成される無線ゾーンの無線チャネルを介して、無線通知部により内部ＩＰ網１０１とネットワークデバイスとの間で授受される。この認証処理手順はＩＰアドレスの割り当ても含み、この手順が成功すれば、ネットワークデバイスは内部ＩＰ網１０１、外部ＩＰ網１０２を接続するゲートウェイを経由して、内部ＩＰ網１０１のネットワークデバイスとの間に通信リンクを形成することが可能になる。
【００４４】
このようにしたので、ネットワークデバイスは初期設定に要する情報を無線経由で取得でき、ネットワークデバイスがＩＰ網で機能するための初期設定は自動化される。つまりネットワークデバイスをＩＰ網（詳しくは無線ゾーンの圏内）に設置すれば無線通信により基地局と繋がり、初期設定シーケンスが自動的に実施されるので、人手による設定作業なしにＩＰ網に接続することができる。
【００４５】
また、内部ＩＰ網１０１のセキュリティは確保されており、この内部ＩＰ網１０１において認証を行うことでセキュアネットワークの信頼性を利用できる。つまり初期設定の対象は内部ＩＰ網１０１側の無線アクセス網に登録されるネットワークデバイスに限定される。よってネットワークデバイスが外部ＩＰ網１０２に接続されているとしても、不正な端末からの許可されないアクセスを防ぐことができる。
【００４６】
これらのことから、システムの運用に係わる手間を軽減し、セキュリティを確保しつつ被監視装置の配置の自由度をさらに向上させることの可能な通信システム、接続装置および運用支援方法を提供することが可能となる。
【００４７】
［第２の実施形態］
図７は、通信システムの第２の実施形態の一例を示すシステム図である。図７において図２と共通する部分には同じ符号を付して示し、ここでは異なる部分についてのみ説明する。図７に示されるシステムは外部ＩＰ網１０２を備えておらず、したがってゲートウェイ２００も無い。ネットワークデバイス間の通信は内部ＩＰ網１０１に閉じた形態で実施されるケースを想定するものである。第２の実施形態では、ネットワーク５０１，５０２が内部ＩＰ網１０１に接続されるとする。
【００４８】
図８は、図７に示されるシステムに備わる機能を示す機能ブロック図である。第２の実施形態では管理システムがゲートウェイ２００（図３）の機能を肩代わりし、接続処理部４００ｂを備える。接続処理部４００ｂによりＳＩＰサーバの機能が提供され、ネットワークデバイスはゲートウェイを介することなく内部ＩＰ網１０１内での通信が可能である。
【００４９】
図９は、図７、図８に示されるシステムで実施される処理手順を示すシーケンス図である。図９に示されるシーケンスでは、管理システム４００が、ネットワークデバイス５０２の運用開始要求および認証要求を受け付け（ステップＳ４０）、運用開始応答および認証応答を返送する（ステップＳ６０）点が特徴的である。ステップＳ４０においてネットワークデバイス５０２は、ＭＡＣアドレスに加えてユーザ名、パスワードなどの情報も管理システム４００に通知する。ネットワークデバイス５０２の認証が成功すれば、ステップＳ６０で管理システム４００はネットワークデバイス５０２にＩＰアドレスを供与する。ここまでの手順が完了したのち、ネットワークデバイス５０２からの発呼要求に応じてネットワークデバイス５０１との通信リンクが形成され、ＶＰＮ接続による通信が可能となる。
【００５０】
以上のように管理システム４００がＳＩＰサーバの機能を代替することによっても、システムの運用に係わる手間を軽減し、被監視装置の配置の自由度をさらに向上させることが可能になる。
【００５１】
［第３の実施形態］
図１０は、通信システムの第３の実施形態の一例を示すシステム図である。図１０において図２と共通する部分には同じ符号を付して示し、ここでは異なる部分についてのみ説明する。図１０に示されるシステムは図７からさらに制御装置Ｇ１１，Ｇ１２を省略したものに相当する。すなわち基地局ＣＳ１１は内部ＩＰ網１０１に直結される。
【００５２】
図１１は、図１０に示されるシステムに備わる機能を示す機能ブロック図である。基地局ＣＳ１１は例えば有線回線で内部ＩＰ網１０１に接続される。
図１２は、図１０、図１１に示されるシステムで実施される処理手順を示すシーケンス図である。図９のシーケンスに比べ制御装置を経由しないことから、メッセージの授受はさらにシンプルなものになる。必要な初期設定手順は基地局ＣＳ１１および管理システム４００により十分な形で実施される。以上の構成によってもシステムの運用に係わる手間を軽減でき、被監視装置の配置の自由度をさらに向上させることが可能になる。
【００５３】
なお、本発明は上記実施の形態に限定されるものではない。例えば制御装置Ｇ１１，Ｇ１２が認証処理部を備えるようにしても良い。このケースでは、例えば図３のステップＳ５の手順は制御装置Ｇ１１により実施されることとなろう。あるいは、図３のステップＳ５の手順をゲートウェイ２００が実施したり、ステップＳ８の手順を管理システム４００が実行したりしても良い。
【００５４】
本発明のいくつかの実施形態を説明したが、これらの実施形態は例として提示されるものであり、発明の範囲を限定することは意図していない。これらの新規な実施形態は、その他の様々な形態で実施されることが可能であり、発明の要旨を逸脱しない範囲で、種々の省略、置き換え、変更を行うことができる。これらの実施形態やその変形は発明の範囲や要旨に含まれるとともに、特許請求の範囲に記載された発明とその均等の範囲に含まれる。
【符号の説明】
【００５５】
１００…通信ネットワーク、Ｇ１１，Ｇ１２…制御装置、４００…管理システム、４４…データベース、ＣＳ１１，ＣＳ２１，ＣＳ２２（ＣＳ）…基地局、ＰＳ１１，ＰＳ１２…移動端末、５０１，５０２，５０３…ネットワークデバイス、６００…ユーザ宅、７００…中継ユニット、１０１…内部ＩＰ網、１０２…外部ＩＰ網、２００…ゲートウェイ、ＣＳａ，５０２ａ，５０１ａ…無線部、Ｇａ…登録処理部、２００ａ，４００ｂ…接続処理部、ＣＳｃ…無線通知部、４００ａ，ＣＳｂ、２００ｂ…認証処理部

【特許請求の範囲】
【請求項１】
セキュリティを保証されたセキュアネットワークと、
無線通信機能を備えるネットワークデバイスと無線通信する、前記セキュアネットワークに接続される基地局とを具備し、
前記セキュアネットワークは、
前記セキュアネットワークと相互接続され当該セキュアネットワークとは異なる外部ネットワークに接続されたネットワークデバイスからの認証要求メッセージを前記基地局経由で受信すると当該認証要求メッセージの送信元ネットワークデバイスの認証処理手順を実施し、当該認証処理手順の結果を前記送信元ネットワークデバイスに応答する認証処理部と、
前記認証処理手順の結果を示す応答メッセージを前記基地局経由で前記送信元ネットワークデバイスに通知する無線通知部とを備える、通信システム。
【請求項２】
さらに、前記セキュアネットワークと前記外部ネットワークとを相互接続するゲートウェイを具備し、
前記応答メッセージは前記ゲートウェイのアドレス情報を含む、請求項１に記載の通信システム。
【請求項３】
さらに、前記セキュアネットワークのセキュリティを保証するサーバを具備し、
前記認証処理手順は、
前記送信元ネットワークデバイスの前記サーバへのアクセスの可否を認証するための第１処理手順と、
前記送信元ネットワークデバイスの前記ゲートウェイへのアクセスの可否を認証するための第２処理手順と、
前記送信元ネットワークデバイスの前記セキュアネットワークへのアクセスの可否を認証するための第３処理手順との、少なくともいずれか１つの処理手順を含む、請求項２に記載の通信システム。
【請求項４】
前記セキュアネットワークおよび外部ネットワークの少なくともいずれか一方はInternet Protocol（ＩＰ）ネットワークである、請求項１乃至３のいずれか１項に記載の通信システム。
【請求項５】
前記認証処理部は、認証の成功した前記送信元ネットワークデバイスにＩＰアドレスを割り当てる、請求項４項に記載の通信システム。
【請求項６】
さらに、前記送信元ネットワークデバイスを接続元ネットワークデバイスとする接続要求に応じて、当該接続要求に示される接続先ネットワークデバイスと前記接続元ネットワークデバイスとの間に通信リンクを形成する接続処理部を具備し、
前記認証処理部は、認証の成功した前記接続元ネットワークデバイスに前記接続先ネットワークデバイスのＩＰアドレスを通知する、請求項４に記載の通信システム。
【請求項７】
前記ゲートウェイは、前記認証処理部を備える、請求項２に記載の通信システム。
【請求項８】
前記サーバは、前記認証処理部を備える、請求項３に記載の通信システム。
【請求項９】
さらに、前記基地局を前記セキュアネットワークに接続する接続装置を具備し、
前記接続装置は、前記認証処理部を備える、請求項１に記載の通信システム。
【請求項１０】
前記基地局は、前記無線通知部を備える、請求項１に記載の通信システム。
【請求項１１】
前記基地局は、前記認証処理部を備える、請求項１に記載の通信システム。
【請求項１２】
セキュリティを保証されたセキュアネットワークと、
無線通信機能を備えるネットワークデバイスと無線通信する、前記セキュアネットワークに接続される基地局と、
前記セキュアネットワークに接続されたネットワークデバイスからの認証要求メッセージを前記基地局経由で受信すると当該認証要求メッセージの送信元ネットワークデバイスの認証処理手順を実施し、当該認証処理手順の結果を前記送信元ネットワークデバイスに応答する認証処理部と、
前記認証処理手順の結果を示す応答メッセージを前記基地局経由で前記送信元ネットワークデバイスに通知する無線通知部とを備える、通信システム。
【請求項１３】
さらに、前記基地局を前記セキュアネットワークに接続する接続装置を具備し、
前記接続装置は、前記認証処理部を備える、請求項１２に記載の通信システム。
【請求項１４】
さらに、前記セキュアネットワークのセキュリティを保証するサーバを具備し、
前記認証処理手順は、
前記送信元ネットワークデバイスの前記サーバへのアクセスの可否を認証するための処理手順を含む、請求項１２に記載の通信システム。
【請求項１５】
セキュリティを保証されたセキュアネットワークおよび前記セキュアネットワークと相互接続され当該セキュアネットワークとは異なる外部ネットワークを具備する通信システムに用いられ、無線通信機能を備えるネットワークデバイスと無線通信する基地局を前記セキュアネットワークに接続する接続装置であって、
前記外部ネットワークに接続されたネットワークデバイスからの認証要求メッセージを前記基地局経由で受信すると当該認証要求メッセージの送信元ネットワークデバイスの認証処理手順を実施し、当該認証処理手順の結果を前記送信元ネットワークデバイスに応答する認証処理部を備える、接続装置。
【請求項１６】
セキュリティを保証されたセキュアネットワークと、無線通信機能を備えるネットワークデバイスと無線通信する、前記セキュアネットワークに接続される基地局と、前記セキュアネットワークと相互接続され当該セキュアネットワークとは異なる外部ネットワークとを具備する通信システムの運用支援方法であって、
前記セキュアネットワークに備わる認証処理部が、前記外部ネットワークに接続されたネットワークデバイスからの認証要求メッセージを前記基地局経由で受信し、
前記認証処理部が、前記認証要求メッセージの送信元ネットワークデバイスの認証処理手順を実施し、
前記認証処理部が、前記認証処理手順の結果を前記送信元ネットワークデバイスに応答し、
前記セキュアネットワークに備わる無線通知部が、前記認証処理手順の結果を示す応答メッセージを前記基地局経由で前記送信元ネットワークデバイスに通知する、運用支援方法。
【請求項１７】
前記応答メッセージは、前記セキュアネットワークと前記外部ネットワークとを相互接続するゲートウェイのアドレス情報を含む、請求項１６に記載の運用支援方法。
【請求項１８】
前記認証処理手順は、
前記セキュアネットワークのセキュリティを保証するサーバへの前記送信元ネットワークデバイスのアクセスの可否を認証するための第１処理手順と、
前記送信元ネットワークデバイスの前記ゲートウェイへのアクセスの可否を認証するための第２処理手順と、
前記送信元ネットワークデバイスの前記セキュアネットワークへのアクセスの可否を認証するための第３処理手順との、少なくともいずれか１つの処理手順を含む、請求項１７に記載の運用支援方法。
【請求項１９】
前記セキュアネットワークおよび外部ネットワークの少なくともいずれか一方はInternet Protocol（ＩＰ）ネットワークである、請求項１６乃至１８のいずれか１項に記載の運用支援方法。
【請求項２０】
前記認証処理部は、認証の成功した前記送信元ネットワークデバイスにＩＰアドレスを割り当てる、請求項１９項に記載の運用支援方法。
【請求項２１】
さらに、前記送信元ネットワークデバイスが、当該送信元ネットワークデバイスを接続元ネットワークデバイスとする接続要求を送出し、
前記認証処理部が、認証の成功した前記接続元ネットワークデバイスに、前記接続要求に含まれる接続先ネットワークデバイスのＩＰアドレスを通知し、
接続処理部が、前記接続先ネットワークデバイスと前記接続元ネットワークデバイスとの間に通信リンクを形成する、請求項１９に記載の運用支援方法。

【図１】

【図２】

【図３】

【図４】

【図５】

【図６】

【図７】

【図８】

【図９】

【図１０】

【図１１】

【図１２】

【公開番号】特開２０１３−３４１５３（Ｐ２０１３−３４１５３Ａ）
【公開日】平成２５年２月１４日（２０１３．２．１４）
【国際特許分類】
【出願番号】特願２０１１−１７００５５（Ｐ２０１１−１７００５５）
【出願日】平成２３年８月３日（２０１１．８．３）
【出願人】（０００００３０７８）株式会社東芝 (54,554)
【Ｆターム（参考）】