通信システム、接続装置および運用支援方法
【課題】システムの運用に係わる手間を軽減し、セキュリティを確保しつつ被監視装置の配置の自由度をさらに向上させることの可能な通信システムを提供すること。
【解決手段】通信システムは、セキュリティを保証されたセキュアネットワークと、無線通信機能を備えるネットワークデバイスと無線通信する、セキュアネットワークに接続される基地局とを含む。セキュアネットワークは、認証処理部と、無線通知部とを備える。認証処理部は、セキュアネットワークと相互接続され当該セキュアネットワークとは異なる外部ネットワークに接続されたネットワークデバイスからの認証要求メッセージを基地局経由で受信すると当該認証要求メッセージの送信元ネットワークデバイスの認証処理手順を実施し、当該認証処理手順の結果を送信元ネットワークデバイスに応答する。無線通知部は、認証処理手順の結果を示す応答メッセージを基地局経由で送信元ネットワークデバイスに通知する。
【解決手段】通信システムは、セキュリティを保証されたセキュアネットワークと、無線通信機能を備えるネットワークデバイスと無線通信する、セキュアネットワークに接続される基地局とを含む。セキュアネットワークは、認証処理部と、無線通知部とを備える。認証処理部は、セキュアネットワークと相互接続され当該セキュアネットワークとは異なる外部ネットワークに接続されたネットワークデバイスからの認証要求メッセージを基地局経由で受信すると当該認証要求メッセージの送信元ネットワークデバイスの認証処理手順を実施し、当該認証処理手順の結果を送信元ネットワークデバイスに応答する。無線通知部は、認証処理手順の結果を示す応答メッセージを基地局経由で送信元ネットワークデバイスに通知する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明の実施形態は、複数の基地局を備える通信システムと、この通信システムに用いられる接続装置、および運用支援方法に関する。
【背景技術】
【0002】
既設の回線交換網はInternet Protocol(IP)ネットワークに置き換えられつつある。そのような背景にあって通信事業者は通信のIP化/光化を推し進めており、IP電話の加入者数も年々増加している。また、NGN(Next Generation Network)と呼ばれる次世代IP(Internet Protocol)ネットワーク技術にも注目が集まっている。そこで、クラウド技術に代表されるように、ネットワークデバイスをIPネットワーク上に自由に分散配置したいという要望が高まってきている。この種のデバイスはIPインタフェースを備える。
【0003】
ところで、通信ネットワークを円滑に運用するには、ネットワークに接続された機器(ネットワークデバイス)を監視し、各デバイスの状態を管理する必要がある。監視制御を担う装置(監視装置あるいは制御装置)と、監視制御の対象となる装置(被監視装置)との対応付けはその主な手順である。
【0004】
旧来はこの手順がネットワークオペレータのマニュアル操作で実施されていたのでこれを自動化できるようにすることが提案され、特許出願された(例えば特願2011−057243号)。この出願された発明によれば、オペレータの負荷が軽減されるとともに分散配置通信システムの拡張が容易になるというメリットがある。
【先行技術文献】
【特許文献】
【0005】
【特許文献1】特開2005−94600号公報
【発明の概要】
【発明が解決しようとする課題】
【0006】
実際のシステムの運用にあたっては監視装置と被監視装置との対応付けだけではなく、ネットワークに接続されたデバイスへのIPアドレスの割り当てなどを含む初期設定手順が必要である。初期設定手順が厳格に実施されないまま不特定多数のデバイスがネットワークに接続されると、特にセキュリティの確保の面からも難点がある。しかしながら現時点では、初期設定手順をも自動化し、オペレータの負荷のさらなる軽減とともにセキュリティの向上をも促進する技術は知られていない。
目的は、システムの運用に係わる手間を軽減し、セキュリティを確保しつつ被監視装置の配置の自由度をさらに向上させることの可能な通信システム、接続装置および運用支援方法を提供することにある。
【課題を解決するための手段】
【0007】
実施形態によれば通信システムは、セキュリティを保証されたセキュアネットワークと、無線通信機能を備えるネットワークデバイスと無線通信する、セキュアネットワークに接続される基地局とを含む。セキュアネットワークは、認証処理部と、無線通知部とを備える。認証処理部は、セキュアネットワークと相互接続され当該セキュアネットワークとは異なる外部ネットワークに接続されたネットワークデバイスからの認証要求メッセージを基地局経由で受信すると当該認証要求メッセージの送信元ネットワークデバイスの認証処理手順を実施し、当該認証処理手順の結果を送信元ネットワークデバイスに応答する。無線通知部は、認証処理手順の結果を示す応答メッセージを基地局経由で送信元ネットワークデバイスに通知する。
【図面の簡単な説明】
【0008】
【図1】実施形態に係わる通信システムの一例を示すシステム図。
【図2】通信システムの第1の実施形態の一例を示すシステム図。
【図3】図2に示されるシステムに備わる機能を示す機能ブロック図。
【図4】図2、図3に示されるシステムで実施される処理手順を示すシーケンス図。
【図5】図4に示されるシーケンスにおいてエンティティ間で授受される情報の一例を示す図。
【図6】実施形態に係わる通信システムにおける情報の伝達経路を示す概念図。
【図7】通信システムの第2の実施形態の一例を示すシステム図。
【図8】図7に示されるシステムに備わる機能を示す機能ブロック図。
【図9】図7、図8に示されるシステムで実施される処理手順を示すシーケンス図。
【図10】通信システムの第3の実施形態の一例を示すシステム図。
【図11】図10に示されるシステムに備わる機能を示す機能ブロック図。
【図12】図10、図11に示されるシステムで実施される処理手順を示すシーケンス図。
【発明を実施するための形態】
【0009】
以下、図面を参照してこの発明の実施の形態につき説明する。この実施形態ではPHS(Personal Handy phone System)を想定して説明する。このほかいわゆる携帯電話システムとして知られるセルラフォンシステム、あるいは次世代PHSと称されるXGP(eXtended Global Platform)に対しても実施形態は適用可能である。
【0010】
図1は、実施形態に係わる通信システムを示すシステム図である。このシステムは通信ネットワーク100と、通信ネットワーク100に接続される制御装置G11,G12とを中核として形成される。通信ネットワーク100は例えばIP(Internet Protocol)ネットワーク、IP−VPN(IP-Virtual Private Network)を利用するパケット通信網、あるいはISDN(Integrated Service Digital Network)などを含む。
【0011】
この実施形態では、通信ネットワーク100のプロトコルとしてTCP/IP(Transmission Control Protocol / Internet Protocol)を想定する。また実施形態では、通信ネットワーク100にセキュリティレベルの異なる2つのIP網が含まれることを想定する。
【0012】
通信ネットワーク100には、制御装置G11,G12を遠隔からリモート制御したり、各種通信サービスを提供したりするための管理システム400が設けられる。管理システム400は例えば汎用のサーバ装置に専用のアプリケーションソフトをインストールして実現される。
【0013】
管理システム400はデータベース44を備え、システム内に存在する被監視装置を管理するための上位装置としての機能も担う。つまり管理システム400は制御装置G11,G12の上位階層に位置づけられ、制御装置G11,G12からの通知に基づいて通信システムを管理ないし監視制御する。その機能の一つには、例えば通信システム内の各機器における障害の発生状況を管理する、障害管理機能がある。ネットワーク管理のためのプロトコルとしてはCMIP(Common Management Information Protocol)あるいはSNMP(Simple Network Management Protocol)などがあるが、実施形態に適用可能なプロトコルはこれらに限定されるものではない。
【0014】
制御装置G11は個別回線を介して基地局CS11に接続される。制御装置G12は別の個別回線を介して基地局CS21,CS22に接続される。すなわち基地局CS11は制御装置G11の配下にあり、基地局CS21,CS22は制御装置G12の配下にある。いずれの制御装置G11,G12も、接続された基地局を通信ネットワーク100に接続する、接続装置としての機能を担う。なお制御装置G11,G12に接続される基地局(符合をCSで統一する)の数は図1に示すものに限るものではない。
【0015】
基地局CS11,CS21,CS22はそれぞれ無線ゾーン(以下セルと称する)を形成し、このセルに在圏する移動端末PS(PS11,PS12)と無線チャネルを介して通信する。移動端末PS11,PS12はその移動に伴って各セル間をハンドオーバし、接続先の基地局CSを切り替える。制御装置G11,G12は通信ネットワーク100を介して相互間に通信リンクを形成することもでき、移動端末PS11,PS12はこのリンクを介して互いと通信することができる。
【0016】
制御装置G11,G12は、通信端末間のエンド・ツウ・エンドの通信を実現するため、対向装置(通信ネットワーク100内のゲートウェイ、通信相手方の制御装置など)間でのプロトコル変換、交換処理などの種々の制御を担う。また制御装置G11,G12は基地局CSを経由して通信される信号(音声データや映像、画像データなどのデジタル信号、各種サービスを行なうためのデータなど)を、通信ネットワーク100を経由して指定の通信種別に従って処理する。
【0017】
ところで、図1に示されるシステムは、通信ネットワーク100に有線または無線を介して接続されるネットワークデバイス501,502,503を備える。ネットワークデバイス501〜503は通信ネットワーク100に分散配置され、システム管理の上では下層レイヤに位置づけられて被監視装置として機能する。
【0018】
ネットワークデバイス501〜503は例えばユーザ宅600に設けられる。要するにネットワークデバイスは通信ネットワーク100に直接的あるいは間接的に接続可能な機器である。ネットワークデバイス501〜503は無線チャネルを介して基地局CSに接続する機能を備え、接続先の基地局を介して通信ネットワーク100や管理システム400と通信することができる。
【0019】
このほか図1のシステムは、パーソナルコンピュータ(PC)や固定電話機(TEL)を制御装置G11,G12に接続するための中継ユニット700を備える。中継ユニット700もネットワークデバイスである。この種の装置はターミナルアダプタ(Terminal Adapter:TA)と称されることもある。PCに音声通話ソフトウェアをインストールすれば電話機として利用することも可能である。さらに、無線LAN(Local Area Network)規格に準拠するアクセスポイント(図示せず)が制御装置G11,G12に接続されることもある。次に、複数の実施形態につき説明する。
【0020】
[第1の実施形態]
図2は、通信システムの第1の実施形態の一例を示すシステム図である。図2に示されるシステムは図1に示されるシステムを基礎とする。図2に示される内部IP網101、外部IP網102、およびこれらの網を相互接続するゲートウェイ200が、図1の通信ネットワーク100に対応する。つまり通信ネットワークは内部IP網101、外部IP網102およびゲートウェイ200を含む。
【0021】
実施形態において、管理システム400は認証サービスを提供する。この認証サービスにより内部IP網101のセキュリティは保証される。すなわち内部IP網101はセキュアネットワークとして位置づけられる。
内部IP網101のセキュリティレベルと外部IP網102のセキュリティレベルとは、互いに異なる。すなわち内部IP網101のセキュリティは保証されているが外部IP網102はその限りではない。内部IP網101としては例えば通信キャリアによる私設網を挙げることができ、外部IP網102の例としてはいわゆるインターネットが挙げられる。
【0022】
図1の制御装置G11,G12、管理システム400は内部IP網101に属する。よって基地局CS11,CS22も内部IP網101に属する。ネットワークデバイス501,502は外部IP網102に接続される。ネットワークデバイス503は内部IP網101に接続される。よってネットワークデバイス501,502がネットワークデバイス503と通信するためにはゲートウェイ200を経由する必要があり、そのためには種々の初期設定を要する。第1の実施形態ではその処理手順につき説明する。
【0023】
図3は、図2に示されるシステムに備わる機能を示す機能ブロック図である。図3において、基地局CS11は無線部CSaを備え、ネットワークデバイス502は無線部502aを備える。無線部CSaおよび無線部502aの機能により基地局CS11およびネットワークデバイス502は相互に無線通信が可能である。
制御装置G11は登録処理部Gaを備える。登録処理部Gaは、個々のネットワークデバイスがどの制御装置の監視下に入るのかを決定する。なお、管理システム400が登録処理部Gaを備えるようにしても良い。
【0024】
ゲートウェイ200は接続処理部200aを備える。接続処理部200aは、発呼元ネットワークデバイスと発呼先ネットワークデバイスとの間に通信リンクを形成するための処理機能を提供する。呼接続処理手順として一般的なSession Initiation Protocol(SIP)が採用されるシステムにおいては、接続処理部200aを備えることで、ゲートウェイ200はSIPサーバとしての機能を担う。
【0025】
なお内部IP網101と管理システム400、制御装置G11、ゲートウェイ200との間は有線で接続される。制御装置G11と基地局CS11との間も有線で接続される。基地局CS11とネットワークデバイス502との間は無線接続である。ネットワークデバイス502と外部IP網102との間は有線または無線で接続することが可能である。ネットワークデバイス502と内部IP網101との間も同様である。
【0026】
ところで管理システム400は、実施形態に係わる処理機能として認証処理部400aを備える。基地局CS11は認証処理部CSb、無線通知部CScを備える。ゲートウェイ200は認証処理部200bを備える。
【0027】
認証処理部400a、CSb、200bは、外部IP網102に接続されたネットワークデバイス502から送出された認証を要求するメッセージを基地局CS11経由で受信すると、このメッセージの送信元であるネットワークデバイス502に対する認証処理手順を実施する。そしてネットワークデバイス502に応答メッセージを返送することで、認証処理部400a、CSb、200bは認証処理手順の結果を応答する。
無線通知部CScは、認証処理手順の結果を示す上記応答メッセージを、基地局CS11経由でネットワークデバイス502に通知する。次に、上記構成における作用を説明する。
【0028】
図4は、図2、図3に示されるシステムで実施される処理手順を示すシーケンス図である。実施形態では認証処理手順として次の3段階を考える。
(1)送信元ネットワークデバイスの管理システム400へのアクセスの可否を認証するための第1処理手順。
【0029】
(2)送信元ネットワークデバイスのゲートウェイ200へのアクセスの可否を認証するための第2処理手順。
【0030】
(3)送信元ネットワークデバイスの内部IP網101へのアクセスの可否を認証するための第3処理手順。
(1)〜(3)の処理は、ネットワークデバイスの運用を開始する際に必要となる初期設定手順の一例である。このほか初期設定手順には、ネットワークデバイスへのIPアドレスの割り当てなどがある。
【0031】
図2および図3に示されるようにネットワークデバイス502は外部IP網102に接続され、ネットワークデバイス503は内部IP網101に接続される。図4においてはネットワークデバイス502を接続元とし、ネットワークデバイス503をその接続先とする。
【0032】
図4において、外部IP網102に接続されると、ネットワークデバイス502は基地局CS11に通信要求を送出する(ステップS1)。これを受けて基地局CS11はセキュリティ認証を実施し、ネットワークデバイス502の基地局CS11へのアクセスの可否を判定する(ステップS2)。この認証に成功すると、基地局CS11は通信確立応答をネットワークデバイス502に返送する(ステップS3)。これにより(1)の手順が完了し、ネットワークデバイス502は管理システム400へのアクセスを許可される。ここまでの手順はネットワークデバイス502および基地局CS11に備わる無線通信機能を主体とする手順である。
【0033】
次に、通信確立応答を受けたネットワークデバイス502は、管理システム400に対し、制御装置G11を経由して運用開始要求を送信する(ステップS4)。この運用開始要求はネットワークデバイス502の端末識別情報(加入者番号、電話番号といった登録情報など)とMedia access control(MAC)アドレスとを含む。管理システム400はデータベース44を参照し、受信した識別情報とMACアドレスとの対応関係を検証することにより認証の可否を判定する(ステップS5)。認証が不成功であればNGとなる。
【0034】
認証が成功すれば(ステップS5でYes)、運用開始応答がネットワークデバイス502に返送される(ステップS6)。この運用開始応答はゲートウェイ200のIPアドレスなど、ネットワークデバイス502がゲートウェイ200にアクセスするために要する初期設定情報を含む。これにより(2)の手順が完了し、ネットワークデバイス502はゲートウェイ200へのアクセスを許可される。
【0035】
次にネットワークデバイス502は、ゲートウェイ200のIPアドレスを用いて認証要求メッセージをゲートウェイ200に送信する(ステップS7)。この認証要求はネットワークデバイス502に対応付けられたユーザ名、パスワードなどを含む。ゲートウェイ200はこれらの情報に基づいてネットワークデバイス502の認証処理を実施する(ステップS8)。認証が不成功であればNGとなる。
【0036】
認証が成功すれば(ステップS8でYes)、認証応答がネットワークデバイス502に返送される(ステップS9)。この認証応答はネットワークデバイス502に割り当てられるIPアドレスなど、ネットワークデバイス502が内部IP網101にアクセスするために必要な情報を含む。これにより(3)の手順が完了し、ネットワークデバイス502は内部IP網101へのアクセスを許可される。
【0037】
ここまでの手順は初期設定手順が主体となる。この手順はIPアドレス割り当てを含む、ネットワークデバイスの初期設定に係わる手順である。また初期設定手順には、ネットワークデバイスが異なるIP網にVPN接続するに際してセキュリティ認証に必要な情報(ユーザ名、パスワードなど)、および接続先デバイス情報(IPアドレスなど)を基地局経由で取得する手順が含まれる。実施形態ではこのような手順を自動化することで、従来のマニュアルでの設定処理からオペレータを開放する。
【0038】
さて、ステップS9までの手順が完了すると、ネットワークデバイス502は外部IP網102から、内部IP網101に属するネットワークデバイス503に接続することが可能になる。ネットワークデバイス502はネットワークデバイス503を接続先とする発呼要求をゲートウェイ200に送信する(ステップS10)。ゲートウェイ200はネットワークデバイス503のIPアドレスを含む呼接続応答をネットワークデバイス502に返送する(ステップS11)。そうすると呼接続処理手順が実施されたのち(ステップS12)、ネットワークデバイス502,503との間に例えばVirtual Private Network(VPN)接続による通信リンクが形成されて、両デバイスは通信状態となる(ステップS13)。
【0039】
図5は、図4に示されるシーケンスにおいてエンティティ間で授受される情報の一例を示す図である。括弧書きは認証処理手順におけるそれぞれの段階に対応する。
図6は、実施形態に係わる通信システムにおける情報の伝達経路を示す概念図である、実施形態では、ネットワークデバイス502が、初期設定に要する情報を基地局CS11の無線チャネルを経由して管理システム400から取得する。そして、取得した情報に含まれる自己のIPアドレス、およびゲートウェイ200のIPアドレスを用いてゲートウェイ200にアクセスして、外部IP網102から内部IP網101への発呼を可能としている。その際、認証処理手順を実施し、いずれかの手順がNGであれば、IPアドレスを含む初期設定情報がネットワークデバイス502に通知されることはない。
【0040】
既存の通信システムにおいては、膨大な数のネットワークデバイスをIP網上に分散配置するにあたり、個々のネットワークデバイスをオペレータによるマニュアル操作で初期設定する必要があった。例えばIP網上での通信に先立ち、IPアドレス割り当てやVPNなどの設定をマニュアルで行う必要があった。Dynamic Host Configuration Protocol(DHCP)を用いてIPアドレス割り当てを自動化するとしても、ブロードキャストを利用することから、ネットワークのそれぞれにDHCPサーバあるいはDHCPリレーエージェントを設置する必要がある。一方、VPNで接続する環境では接続先のIPアドレスおよび認証情報などをマニュアルでネットワークデバイスに入力する必要がある。
【0041】
さらに、ネットワークデバイスを外部IP網に接続するにあたって本来接続が許可されていないデバイスからのアクセスが想定されるので、不正なアクセスを防止するためのセキュリティ認証を考慮する必要がある。つまり多数のネットワークデバイスが初期設定無しにネットワークに繋がると、セキュリティ上の問題がある。
【0042】
以上の理由などから、ネットワークデバイスのIP網への配置の自由度をさらに高めるためには、ネットワーク環境に影響されず、人手による初期設定を伴わずに自動で通信を開始可能なシステムアーキテクチャが求められる。
【0043】
そこで第1の実施形態では、セキュアネットワークである内部IP網101に、認証処理部と無線通知部とを設ける。認証処理部は外部IP網102に接続されたネットワークデバイスを、初期設定手順において3段階で認証する。認証に必要な情報および必要なIPアドレスは、基地局により形成される無線ゾーンの無線チャネルを介して、無線通知部により内部IP網101とネットワークデバイスとの間で授受される。この認証処理手順はIPアドレスの割り当ても含み、この手順が成功すれば、ネットワークデバイスは内部IP網101、外部IP網102を接続するゲートウェイを経由して、内部IP網101のネットワークデバイスとの間に通信リンクを形成することが可能になる。
【0044】
このようにしたので、ネットワークデバイスは初期設定に要する情報を無線経由で取得でき、ネットワークデバイスがIP網で機能するための初期設定は自動化される。つまりネットワークデバイスをIP網(詳しくは無線ゾーンの圏内)に設置すれば無線通信により基地局と繋がり、初期設定シーケンスが自動的に実施されるので、人手による設定作業なしにIP網に接続することができる。
【0045】
また、内部IP網101のセキュリティは確保されており、この内部IP網101において認証を行うことでセキュアネットワークの信頼性を利用できる。つまり初期設定の対象は内部IP網101側の無線アクセス網に登録されるネットワークデバイスに限定される。よってネットワークデバイスが外部IP網102に接続されているとしても、不正な端末からの許可されないアクセスを防ぐことができる。
【0046】
これらのことから、システムの運用に係わる手間を軽減し、セキュリティを確保しつつ被監視装置の配置の自由度をさらに向上させることの可能な通信システム、接続装置および運用支援方法を提供することが可能となる。
【0047】
[第2の実施形態]
図7は、通信システムの第2の実施形態の一例を示すシステム図である。図7において図2と共通する部分には同じ符号を付して示し、ここでは異なる部分についてのみ説明する。図7に示されるシステムは外部IP網102を備えておらず、したがってゲートウェイ200も無い。ネットワークデバイス間の通信は内部IP網101に閉じた形態で実施されるケースを想定するものである。第2の実施形態では、ネットワーク501,502が内部IP網101に接続されるとする。
【0048】
図8は、図7に示されるシステムに備わる機能を示す機能ブロック図である。第2の実施形態では管理システムがゲートウェイ200(図3)の機能を肩代わりし、接続処理部400bを備える。接続処理部400bによりSIPサーバの機能が提供され、ネットワークデバイスはゲートウェイを介することなく内部IP網101内での通信が可能である。
【0049】
図9は、図7、図8に示されるシステムで実施される処理手順を示すシーケンス図である。図9に示されるシーケンスでは、管理システム400が、ネットワークデバイス502の運用開始要求および認証要求を受け付け(ステップS40)、運用開始応答および認証応答を返送する(ステップS60)点が特徴的である。ステップS40においてネットワークデバイス502は、MACアドレスに加えてユーザ名、パスワードなどの情報も管理システム400に通知する。ネットワークデバイス502の認証が成功すれば、ステップS60で管理システム400はネットワークデバイス502にIPアドレスを供与する。ここまでの手順が完了したのち、ネットワークデバイス502からの発呼要求に応じてネットワークデバイス501との通信リンクが形成され、VPN接続による通信が可能となる。
【0050】
以上のように管理システム400がSIPサーバの機能を代替することによっても、システムの運用に係わる手間を軽減し、被監視装置の配置の自由度をさらに向上させることが可能になる。
【0051】
[第3の実施形態]
図10は、通信システムの第3の実施形態の一例を示すシステム図である。図10において図2と共通する部分には同じ符号を付して示し、ここでは異なる部分についてのみ説明する。図10に示されるシステムは図7からさらに制御装置G11,G12を省略したものに相当する。すなわち基地局CS11は内部IP網101に直結される。
【0052】
図11は、図10に示されるシステムに備わる機能を示す機能ブロック図である。基地局CS11は例えば有線回線で内部IP網101に接続される。
図12は、図10、図11に示されるシステムで実施される処理手順を示すシーケンス図である。図9のシーケンスに比べ制御装置を経由しないことから、メッセージの授受はさらにシンプルなものになる。必要な初期設定手順は基地局CS11および管理システム400により十分な形で実施される。以上の構成によってもシステムの運用に係わる手間を軽減でき、被監視装置の配置の自由度をさらに向上させることが可能になる。
【0053】
なお、本発明は上記実施の形態に限定されるものではない。例えば制御装置G11,G12が認証処理部を備えるようにしても良い。このケースでは、例えば図3のステップS5の手順は制御装置G11により実施されることとなろう。あるいは、図3のステップS5の手順をゲートウェイ200が実施したり、ステップS8の手順を管理システム400が実行したりしても良い。
【0054】
本発明のいくつかの実施形態を説明したが、これらの実施形態は例として提示されるものであり、発明の範囲を限定することは意図していない。これらの新規な実施形態は、その他の様々な形態で実施されることが可能であり、発明の要旨を逸脱しない範囲で、種々の省略、置き換え、変更を行うことができる。これらの実施形態やその変形は発明の範囲や要旨に含まれるとともに、特許請求の範囲に記載された発明とその均等の範囲に含まれる。
【符号の説明】
【0055】
100…通信ネットワーク、G11,G12…制御装置、400…管理システム、44…データベース、CS11,CS21,CS22(CS)…基地局、PS11,PS12…移動端末、501,502,503…ネットワークデバイス、600…ユーザ宅、700…中継ユニット、101…内部IP網、102…外部IP網、200…ゲートウェイ、CSa,502a,501a…無線部、Ga…登録処理部、200a,400b…接続処理部、CSc…無線通知部、400a,CSb、200b…認証処理部
【技術分野】
【0001】
本発明の実施形態は、複数の基地局を備える通信システムと、この通信システムに用いられる接続装置、および運用支援方法に関する。
【背景技術】
【0002】
既設の回線交換網はInternet Protocol(IP)ネットワークに置き換えられつつある。そのような背景にあって通信事業者は通信のIP化/光化を推し進めており、IP電話の加入者数も年々増加している。また、NGN(Next Generation Network)と呼ばれる次世代IP(Internet Protocol)ネットワーク技術にも注目が集まっている。そこで、クラウド技術に代表されるように、ネットワークデバイスをIPネットワーク上に自由に分散配置したいという要望が高まってきている。この種のデバイスはIPインタフェースを備える。
【0003】
ところで、通信ネットワークを円滑に運用するには、ネットワークに接続された機器(ネットワークデバイス)を監視し、各デバイスの状態を管理する必要がある。監視制御を担う装置(監視装置あるいは制御装置)と、監視制御の対象となる装置(被監視装置)との対応付けはその主な手順である。
【0004】
旧来はこの手順がネットワークオペレータのマニュアル操作で実施されていたのでこれを自動化できるようにすることが提案され、特許出願された(例えば特願2011−057243号)。この出願された発明によれば、オペレータの負荷が軽減されるとともに分散配置通信システムの拡張が容易になるというメリットがある。
【先行技術文献】
【特許文献】
【0005】
【特許文献1】特開2005−94600号公報
【発明の概要】
【発明が解決しようとする課題】
【0006】
実際のシステムの運用にあたっては監視装置と被監視装置との対応付けだけではなく、ネットワークに接続されたデバイスへのIPアドレスの割り当てなどを含む初期設定手順が必要である。初期設定手順が厳格に実施されないまま不特定多数のデバイスがネットワークに接続されると、特にセキュリティの確保の面からも難点がある。しかしながら現時点では、初期設定手順をも自動化し、オペレータの負荷のさらなる軽減とともにセキュリティの向上をも促進する技術は知られていない。
目的は、システムの運用に係わる手間を軽減し、セキュリティを確保しつつ被監視装置の配置の自由度をさらに向上させることの可能な通信システム、接続装置および運用支援方法を提供することにある。
【課題を解決するための手段】
【0007】
実施形態によれば通信システムは、セキュリティを保証されたセキュアネットワークと、無線通信機能を備えるネットワークデバイスと無線通信する、セキュアネットワークに接続される基地局とを含む。セキュアネットワークは、認証処理部と、無線通知部とを備える。認証処理部は、セキュアネットワークと相互接続され当該セキュアネットワークとは異なる外部ネットワークに接続されたネットワークデバイスからの認証要求メッセージを基地局経由で受信すると当該認証要求メッセージの送信元ネットワークデバイスの認証処理手順を実施し、当該認証処理手順の結果を送信元ネットワークデバイスに応答する。無線通知部は、認証処理手順の結果を示す応答メッセージを基地局経由で送信元ネットワークデバイスに通知する。
【図面の簡単な説明】
【0008】
【図1】実施形態に係わる通信システムの一例を示すシステム図。
【図2】通信システムの第1の実施形態の一例を示すシステム図。
【図3】図2に示されるシステムに備わる機能を示す機能ブロック図。
【図4】図2、図3に示されるシステムで実施される処理手順を示すシーケンス図。
【図5】図4に示されるシーケンスにおいてエンティティ間で授受される情報の一例を示す図。
【図6】実施形態に係わる通信システムにおける情報の伝達経路を示す概念図。
【図7】通信システムの第2の実施形態の一例を示すシステム図。
【図8】図7に示されるシステムに備わる機能を示す機能ブロック図。
【図9】図7、図8に示されるシステムで実施される処理手順を示すシーケンス図。
【図10】通信システムの第3の実施形態の一例を示すシステム図。
【図11】図10に示されるシステムに備わる機能を示す機能ブロック図。
【図12】図10、図11に示されるシステムで実施される処理手順を示すシーケンス図。
【発明を実施するための形態】
【0009】
以下、図面を参照してこの発明の実施の形態につき説明する。この実施形態ではPHS(Personal Handy phone System)を想定して説明する。このほかいわゆる携帯電話システムとして知られるセルラフォンシステム、あるいは次世代PHSと称されるXGP(eXtended Global Platform)に対しても実施形態は適用可能である。
【0010】
図1は、実施形態に係わる通信システムを示すシステム図である。このシステムは通信ネットワーク100と、通信ネットワーク100に接続される制御装置G11,G12とを中核として形成される。通信ネットワーク100は例えばIP(Internet Protocol)ネットワーク、IP−VPN(IP-Virtual Private Network)を利用するパケット通信網、あるいはISDN(Integrated Service Digital Network)などを含む。
【0011】
この実施形態では、通信ネットワーク100のプロトコルとしてTCP/IP(Transmission Control Protocol / Internet Protocol)を想定する。また実施形態では、通信ネットワーク100にセキュリティレベルの異なる2つのIP網が含まれることを想定する。
【0012】
通信ネットワーク100には、制御装置G11,G12を遠隔からリモート制御したり、各種通信サービスを提供したりするための管理システム400が設けられる。管理システム400は例えば汎用のサーバ装置に専用のアプリケーションソフトをインストールして実現される。
【0013】
管理システム400はデータベース44を備え、システム内に存在する被監視装置を管理するための上位装置としての機能も担う。つまり管理システム400は制御装置G11,G12の上位階層に位置づけられ、制御装置G11,G12からの通知に基づいて通信システムを管理ないし監視制御する。その機能の一つには、例えば通信システム内の各機器における障害の発生状況を管理する、障害管理機能がある。ネットワーク管理のためのプロトコルとしてはCMIP(Common Management Information Protocol)あるいはSNMP(Simple Network Management Protocol)などがあるが、実施形態に適用可能なプロトコルはこれらに限定されるものではない。
【0014】
制御装置G11は個別回線を介して基地局CS11に接続される。制御装置G12は別の個別回線を介して基地局CS21,CS22に接続される。すなわち基地局CS11は制御装置G11の配下にあり、基地局CS21,CS22は制御装置G12の配下にある。いずれの制御装置G11,G12も、接続された基地局を通信ネットワーク100に接続する、接続装置としての機能を担う。なお制御装置G11,G12に接続される基地局(符合をCSで統一する)の数は図1に示すものに限るものではない。
【0015】
基地局CS11,CS21,CS22はそれぞれ無線ゾーン(以下セルと称する)を形成し、このセルに在圏する移動端末PS(PS11,PS12)と無線チャネルを介して通信する。移動端末PS11,PS12はその移動に伴って各セル間をハンドオーバし、接続先の基地局CSを切り替える。制御装置G11,G12は通信ネットワーク100を介して相互間に通信リンクを形成することもでき、移動端末PS11,PS12はこのリンクを介して互いと通信することができる。
【0016】
制御装置G11,G12は、通信端末間のエンド・ツウ・エンドの通信を実現するため、対向装置(通信ネットワーク100内のゲートウェイ、通信相手方の制御装置など)間でのプロトコル変換、交換処理などの種々の制御を担う。また制御装置G11,G12は基地局CSを経由して通信される信号(音声データや映像、画像データなどのデジタル信号、各種サービスを行なうためのデータなど)を、通信ネットワーク100を経由して指定の通信種別に従って処理する。
【0017】
ところで、図1に示されるシステムは、通信ネットワーク100に有線または無線を介して接続されるネットワークデバイス501,502,503を備える。ネットワークデバイス501〜503は通信ネットワーク100に分散配置され、システム管理の上では下層レイヤに位置づけられて被監視装置として機能する。
【0018】
ネットワークデバイス501〜503は例えばユーザ宅600に設けられる。要するにネットワークデバイスは通信ネットワーク100に直接的あるいは間接的に接続可能な機器である。ネットワークデバイス501〜503は無線チャネルを介して基地局CSに接続する機能を備え、接続先の基地局を介して通信ネットワーク100や管理システム400と通信することができる。
【0019】
このほか図1のシステムは、パーソナルコンピュータ(PC)や固定電話機(TEL)を制御装置G11,G12に接続するための中継ユニット700を備える。中継ユニット700もネットワークデバイスである。この種の装置はターミナルアダプタ(Terminal Adapter:TA)と称されることもある。PCに音声通話ソフトウェアをインストールすれば電話機として利用することも可能である。さらに、無線LAN(Local Area Network)規格に準拠するアクセスポイント(図示せず)が制御装置G11,G12に接続されることもある。次に、複数の実施形態につき説明する。
【0020】
[第1の実施形態]
図2は、通信システムの第1の実施形態の一例を示すシステム図である。図2に示されるシステムは図1に示されるシステムを基礎とする。図2に示される内部IP網101、外部IP網102、およびこれらの網を相互接続するゲートウェイ200が、図1の通信ネットワーク100に対応する。つまり通信ネットワークは内部IP網101、外部IP網102およびゲートウェイ200を含む。
【0021】
実施形態において、管理システム400は認証サービスを提供する。この認証サービスにより内部IP網101のセキュリティは保証される。すなわち内部IP網101はセキュアネットワークとして位置づけられる。
内部IP網101のセキュリティレベルと外部IP網102のセキュリティレベルとは、互いに異なる。すなわち内部IP網101のセキュリティは保証されているが外部IP網102はその限りではない。内部IP網101としては例えば通信キャリアによる私設網を挙げることができ、外部IP網102の例としてはいわゆるインターネットが挙げられる。
【0022】
図1の制御装置G11,G12、管理システム400は内部IP網101に属する。よって基地局CS11,CS22も内部IP網101に属する。ネットワークデバイス501,502は外部IP網102に接続される。ネットワークデバイス503は内部IP網101に接続される。よってネットワークデバイス501,502がネットワークデバイス503と通信するためにはゲートウェイ200を経由する必要があり、そのためには種々の初期設定を要する。第1の実施形態ではその処理手順につき説明する。
【0023】
図3は、図2に示されるシステムに備わる機能を示す機能ブロック図である。図3において、基地局CS11は無線部CSaを備え、ネットワークデバイス502は無線部502aを備える。無線部CSaおよび無線部502aの機能により基地局CS11およびネットワークデバイス502は相互に無線通信が可能である。
制御装置G11は登録処理部Gaを備える。登録処理部Gaは、個々のネットワークデバイスがどの制御装置の監視下に入るのかを決定する。なお、管理システム400が登録処理部Gaを備えるようにしても良い。
【0024】
ゲートウェイ200は接続処理部200aを備える。接続処理部200aは、発呼元ネットワークデバイスと発呼先ネットワークデバイスとの間に通信リンクを形成するための処理機能を提供する。呼接続処理手順として一般的なSession Initiation Protocol(SIP)が採用されるシステムにおいては、接続処理部200aを備えることで、ゲートウェイ200はSIPサーバとしての機能を担う。
【0025】
なお内部IP網101と管理システム400、制御装置G11、ゲートウェイ200との間は有線で接続される。制御装置G11と基地局CS11との間も有線で接続される。基地局CS11とネットワークデバイス502との間は無線接続である。ネットワークデバイス502と外部IP網102との間は有線または無線で接続することが可能である。ネットワークデバイス502と内部IP網101との間も同様である。
【0026】
ところで管理システム400は、実施形態に係わる処理機能として認証処理部400aを備える。基地局CS11は認証処理部CSb、無線通知部CScを備える。ゲートウェイ200は認証処理部200bを備える。
【0027】
認証処理部400a、CSb、200bは、外部IP網102に接続されたネットワークデバイス502から送出された認証を要求するメッセージを基地局CS11経由で受信すると、このメッセージの送信元であるネットワークデバイス502に対する認証処理手順を実施する。そしてネットワークデバイス502に応答メッセージを返送することで、認証処理部400a、CSb、200bは認証処理手順の結果を応答する。
無線通知部CScは、認証処理手順の結果を示す上記応答メッセージを、基地局CS11経由でネットワークデバイス502に通知する。次に、上記構成における作用を説明する。
【0028】
図4は、図2、図3に示されるシステムで実施される処理手順を示すシーケンス図である。実施形態では認証処理手順として次の3段階を考える。
(1)送信元ネットワークデバイスの管理システム400へのアクセスの可否を認証するための第1処理手順。
【0029】
(2)送信元ネットワークデバイスのゲートウェイ200へのアクセスの可否を認証するための第2処理手順。
【0030】
(3)送信元ネットワークデバイスの内部IP網101へのアクセスの可否を認証するための第3処理手順。
(1)〜(3)の処理は、ネットワークデバイスの運用を開始する際に必要となる初期設定手順の一例である。このほか初期設定手順には、ネットワークデバイスへのIPアドレスの割り当てなどがある。
【0031】
図2および図3に示されるようにネットワークデバイス502は外部IP網102に接続され、ネットワークデバイス503は内部IP網101に接続される。図4においてはネットワークデバイス502を接続元とし、ネットワークデバイス503をその接続先とする。
【0032】
図4において、外部IP網102に接続されると、ネットワークデバイス502は基地局CS11に通信要求を送出する(ステップS1)。これを受けて基地局CS11はセキュリティ認証を実施し、ネットワークデバイス502の基地局CS11へのアクセスの可否を判定する(ステップS2)。この認証に成功すると、基地局CS11は通信確立応答をネットワークデバイス502に返送する(ステップS3)。これにより(1)の手順が完了し、ネットワークデバイス502は管理システム400へのアクセスを許可される。ここまでの手順はネットワークデバイス502および基地局CS11に備わる無線通信機能を主体とする手順である。
【0033】
次に、通信確立応答を受けたネットワークデバイス502は、管理システム400に対し、制御装置G11を経由して運用開始要求を送信する(ステップS4)。この運用開始要求はネットワークデバイス502の端末識別情報(加入者番号、電話番号といった登録情報など)とMedia access control(MAC)アドレスとを含む。管理システム400はデータベース44を参照し、受信した識別情報とMACアドレスとの対応関係を検証することにより認証の可否を判定する(ステップS5)。認証が不成功であればNGとなる。
【0034】
認証が成功すれば(ステップS5でYes)、運用開始応答がネットワークデバイス502に返送される(ステップS6)。この運用開始応答はゲートウェイ200のIPアドレスなど、ネットワークデバイス502がゲートウェイ200にアクセスするために要する初期設定情報を含む。これにより(2)の手順が完了し、ネットワークデバイス502はゲートウェイ200へのアクセスを許可される。
【0035】
次にネットワークデバイス502は、ゲートウェイ200のIPアドレスを用いて認証要求メッセージをゲートウェイ200に送信する(ステップS7)。この認証要求はネットワークデバイス502に対応付けられたユーザ名、パスワードなどを含む。ゲートウェイ200はこれらの情報に基づいてネットワークデバイス502の認証処理を実施する(ステップS8)。認証が不成功であればNGとなる。
【0036】
認証が成功すれば(ステップS8でYes)、認証応答がネットワークデバイス502に返送される(ステップS9)。この認証応答はネットワークデバイス502に割り当てられるIPアドレスなど、ネットワークデバイス502が内部IP網101にアクセスするために必要な情報を含む。これにより(3)の手順が完了し、ネットワークデバイス502は内部IP網101へのアクセスを許可される。
【0037】
ここまでの手順は初期設定手順が主体となる。この手順はIPアドレス割り当てを含む、ネットワークデバイスの初期設定に係わる手順である。また初期設定手順には、ネットワークデバイスが異なるIP網にVPN接続するに際してセキュリティ認証に必要な情報(ユーザ名、パスワードなど)、および接続先デバイス情報(IPアドレスなど)を基地局経由で取得する手順が含まれる。実施形態ではこのような手順を自動化することで、従来のマニュアルでの設定処理からオペレータを開放する。
【0038】
さて、ステップS9までの手順が完了すると、ネットワークデバイス502は外部IP網102から、内部IP網101に属するネットワークデバイス503に接続することが可能になる。ネットワークデバイス502はネットワークデバイス503を接続先とする発呼要求をゲートウェイ200に送信する(ステップS10)。ゲートウェイ200はネットワークデバイス503のIPアドレスを含む呼接続応答をネットワークデバイス502に返送する(ステップS11)。そうすると呼接続処理手順が実施されたのち(ステップS12)、ネットワークデバイス502,503との間に例えばVirtual Private Network(VPN)接続による通信リンクが形成されて、両デバイスは通信状態となる(ステップS13)。
【0039】
図5は、図4に示されるシーケンスにおいてエンティティ間で授受される情報の一例を示す図である。括弧書きは認証処理手順におけるそれぞれの段階に対応する。
図6は、実施形態に係わる通信システムにおける情報の伝達経路を示す概念図である、実施形態では、ネットワークデバイス502が、初期設定に要する情報を基地局CS11の無線チャネルを経由して管理システム400から取得する。そして、取得した情報に含まれる自己のIPアドレス、およびゲートウェイ200のIPアドレスを用いてゲートウェイ200にアクセスして、外部IP網102から内部IP網101への発呼を可能としている。その際、認証処理手順を実施し、いずれかの手順がNGであれば、IPアドレスを含む初期設定情報がネットワークデバイス502に通知されることはない。
【0040】
既存の通信システムにおいては、膨大な数のネットワークデバイスをIP網上に分散配置するにあたり、個々のネットワークデバイスをオペレータによるマニュアル操作で初期設定する必要があった。例えばIP網上での通信に先立ち、IPアドレス割り当てやVPNなどの設定をマニュアルで行う必要があった。Dynamic Host Configuration Protocol(DHCP)を用いてIPアドレス割り当てを自動化するとしても、ブロードキャストを利用することから、ネットワークのそれぞれにDHCPサーバあるいはDHCPリレーエージェントを設置する必要がある。一方、VPNで接続する環境では接続先のIPアドレスおよび認証情報などをマニュアルでネットワークデバイスに入力する必要がある。
【0041】
さらに、ネットワークデバイスを外部IP網に接続するにあたって本来接続が許可されていないデバイスからのアクセスが想定されるので、不正なアクセスを防止するためのセキュリティ認証を考慮する必要がある。つまり多数のネットワークデバイスが初期設定無しにネットワークに繋がると、セキュリティ上の問題がある。
【0042】
以上の理由などから、ネットワークデバイスのIP網への配置の自由度をさらに高めるためには、ネットワーク環境に影響されず、人手による初期設定を伴わずに自動で通信を開始可能なシステムアーキテクチャが求められる。
【0043】
そこで第1の実施形態では、セキュアネットワークである内部IP網101に、認証処理部と無線通知部とを設ける。認証処理部は外部IP網102に接続されたネットワークデバイスを、初期設定手順において3段階で認証する。認証に必要な情報および必要なIPアドレスは、基地局により形成される無線ゾーンの無線チャネルを介して、無線通知部により内部IP網101とネットワークデバイスとの間で授受される。この認証処理手順はIPアドレスの割り当ても含み、この手順が成功すれば、ネットワークデバイスは内部IP網101、外部IP網102を接続するゲートウェイを経由して、内部IP網101のネットワークデバイスとの間に通信リンクを形成することが可能になる。
【0044】
このようにしたので、ネットワークデバイスは初期設定に要する情報を無線経由で取得でき、ネットワークデバイスがIP網で機能するための初期設定は自動化される。つまりネットワークデバイスをIP網(詳しくは無線ゾーンの圏内)に設置すれば無線通信により基地局と繋がり、初期設定シーケンスが自動的に実施されるので、人手による設定作業なしにIP網に接続することができる。
【0045】
また、内部IP網101のセキュリティは確保されており、この内部IP網101において認証を行うことでセキュアネットワークの信頼性を利用できる。つまり初期設定の対象は内部IP網101側の無線アクセス網に登録されるネットワークデバイスに限定される。よってネットワークデバイスが外部IP網102に接続されているとしても、不正な端末からの許可されないアクセスを防ぐことができる。
【0046】
これらのことから、システムの運用に係わる手間を軽減し、セキュリティを確保しつつ被監視装置の配置の自由度をさらに向上させることの可能な通信システム、接続装置および運用支援方法を提供することが可能となる。
【0047】
[第2の実施形態]
図7は、通信システムの第2の実施形態の一例を示すシステム図である。図7において図2と共通する部分には同じ符号を付して示し、ここでは異なる部分についてのみ説明する。図7に示されるシステムは外部IP網102を備えておらず、したがってゲートウェイ200も無い。ネットワークデバイス間の通信は内部IP網101に閉じた形態で実施されるケースを想定するものである。第2の実施形態では、ネットワーク501,502が内部IP網101に接続されるとする。
【0048】
図8は、図7に示されるシステムに備わる機能を示す機能ブロック図である。第2の実施形態では管理システムがゲートウェイ200(図3)の機能を肩代わりし、接続処理部400bを備える。接続処理部400bによりSIPサーバの機能が提供され、ネットワークデバイスはゲートウェイを介することなく内部IP網101内での通信が可能である。
【0049】
図9は、図7、図8に示されるシステムで実施される処理手順を示すシーケンス図である。図9に示されるシーケンスでは、管理システム400が、ネットワークデバイス502の運用開始要求および認証要求を受け付け(ステップS40)、運用開始応答および認証応答を返送する(ステップS60)点が特徴的である。ステップS40においてネットワークデバイス502は、MACアドレスに加えてユーザ名、パスワードなどの情報も管理システム400に通知する。ネットワークデバイス502の認証が成功すれば、ステップS60で管理システム400はネットワークデバイス502にIPアドレスを供与する。ここまでの手順が完了したのち、ネットワークデバイス502からの発呼要求に応じてネットワークデバイス501との通信リンクが形成され、VPN接続による通信が可能となる。
【0050】
以上のように管理システム400がSIPサーバの機能を代替することによっても、システムの運用に係わる手間を軽減し、被監視装置の配置の自由度をさらに向上させることが可能になる。
【0051】
[第3の実施形態]
図10は、通信システムの第3の実施形態の一例を示すシステム図である。図10において図2と共通する部分には同じ符号を付して示し、ここでは異なる部分についてのみ説明する。図10に示されるシステムは図7からさらに制御装置G11,G12を省略したものに相当する。すなわち基地局CS11は内部IP網101に直結される。
【0052】
図11は、図10に示されるシステムに備わる機能を示す機能ブロック図である。基地局CS11は例えば有線回線で内部IP網101に接続される。
図12は、図10、図11に示されるシステムで実施される処理手順を示すシーケンス図である。図9のシーケンスに比べ制御装置を経由しないことから、メッセージの授受はさらにシンプルなものになる。必要な初期設定手順は基地局CS11および管理システム400により十分な形で実施される。以上の構成によってもシステムの運用に係わる手間を軽減でき、被監視装置の配置の自由度をさらに向上させることが可能になる。
【0053】
なお、本発明は上記実施の形態に限定されるものではない。例えば制御装置G11,G12が認証処理部を備えるようにしても良い。このケースでは、例えば図3のステップS5の手順は制御装置G11により実施されることとなろう。あるいは、図3のステップS5の手順をゲートウェイ200が実施したり、ステップS8の手順を管理システム400が実行したりしても良い。
【0054】
本発明のいくつかの実施形態を説明したが、これらの実施形態は例として提示されるものであり、発明の範囲を限定することは意図していない。これらの新規な実施形態は、その他の様々な形態で実施されることが可能であり、発明の要旨を逸脱しない範囲で、種々の省略、置き換え、変更を行うことができる。これらの実施形態やその変形は発明の範囲や要旨に含まれるとともに、特許請求の範囲に記載された発明とその均等の範囲に含まれる。
【符号の説明】
【0055】
100…通信ネットワーク、G11,G12…制御装置、400…管理システム、44…データベース、CS11,CS21,CS22(CS)…基地局、PS11,PS12…移動端末、501,502,503…ネットワークデバイス、600…ユーザ宅、700…中継ユニット、101…内部IP網、102…外部IP網、200…ゲートウェイ、CSa,502a,501a…無線部、Ga…登録処理部、200a,400b…接続処理部、CSc…無線通知部、400a,CSb、200b…認証処理部
【特許請求の範囲】
【請求項1】
セキュリティを保証されたセキュアネットワークと、
無線通信機能を備えるネットワークデバイスと無線通信する、前記セキュアネットワークに接続される基地局とを具備し、
前記セキュアネットワークは、
前記セキュアネットワークと相互接続され当該セキュアネットワークとは異なる外部ネットワークに接続されたネットワークデバイスからの認証要求メッセージを前記基地局経由で受信すると当該認証要求メッセージの送信元ネットワークデバイスの認証処理手順を実施し、当該認証処理手順の結果を前記送信元ネットワークデバイスに応答する認証処理部と、
前記認証処理手順の結果を示す応答メッセージを前記基地局経由で前記送信元ネットワークデバイスに通知する無線通知部とを備える、通信システム。
【請求項2】
さらに、前記セキュアネットワークと前記外部ネットワークとを相互接続するゲートウェイを具備し、
前記応答メッセージは前記ゲートウェイのアドレス情報を含む、請求項1に記載の通信システム。
【請求項3】
さらに、前記セキュアネットワークのセキュリティを保証するサーバを具備し、
前記認証処理手順は、
前記送信元ネットワークデバイスの前記サーバへのアクセスの可否を認証するための第1処理手順と、
前記送信元ネットワークデバイスの前記ゲートウェイへのアクセスの可否を認証するための第2処理手順と、
前記送信元ネットワークデバイスの前記セキュアネットワークへのアクセスの可否を認証するための第3処理手順との、少なくともいずれか1つの処理手順を含む、請求項2に記載の通信システム。
【請求項4】
前記セキュアネットワークおよび外部ネットワークの少なくともいずれか一方はInternet Protocol(IP)ネットワークである、請求項1乃至3のいずれか1項に記載の通信システム。
【請求項5】
前記認証処理部は、認証の成功した前記送信元ネットワークデバイスにIPアドレスを割り当てる、請求項4項に記載の通信システム。
【請求項6】
さらに、前記送信元ネットワークデバイスを接続元ネットワークデバイスとする接続要求に応じて、当該接続要求に示される接続先ネットワークデバイスと前記接続元ネットワークデバイスとの間に通信リンクを形成する接続処理部を具備し、
前記認証処理部は、認証の成功した前記接続元ネットワークデバイスに前記接続先ネットワークデバイスのIPアドレスを通知する、請求項4に記載の通信システム。
【請求項7】
前記ゲートウェイは、前記認証処理部を備える、請求項2に記載の通信システム。
【請求項8】
前記サーバは、前記認証処理部を備える、請求項3に記載の通信システム。
【請求項9】
さらに、前記基地局を前記セキュアネットワークに接続する接続装置を具備し、
前記接続装置は、前記認証処理部を備える、請求項1に記載の通信システム。
【請求項10】
前記基地局は、前記無線通知部を備える、請求項1に記載の通信システム。
【請求項11】
前記基地局は、前記認証処理部を備える、請求項1に記載の通信システム。
【請求項12】
セキュリティを保証されたセキュアネットワークと、
無線通信機能を備えるネットワークデバイスと無線通信する、前記セキュアネットワークに接続される基地局と、
前記セキュアネットワークに接続されたネットワークデバイスからの認証要求メッセージを前記基地局経由で受信すると当該認証要求メッセージの送信元ネットワークデバイスの認証処理手順を実施し、当該認証処理手順の結果を前記送信元ネットワークデバイスに応答する認証処理部と、
前記認証処理手順の結果を示す応答メッセージを前記基地局経由で前記送信元ネットワークデバイスに通知する無線通知部とを備える、通信システム。
【請求項13】
さらに、前記基地局を前記セキュアネットワークに接続する接続装置を具備し、
前記接続装置は、前記認証処理部を備える、請求項12に記載の通信システム。
【請求項14】
さらに、前記セキュアネットワークのセキュリティを保証するサーバを具備し、
前記認証処理手順は、
前記送信元ネットワークデバイスの前記サーバへのアクセスの可否を認証するための処理手順を含む、請求項12に記載の通信システム。
【請求項15】
セキュリティを保証されたセキュアネットワークおよび前記セキュアネットワークと相互接続され当該セキュアネットワークとは異なる外部ネットワークを具備する通信システムに用いられ、無線通信機能を備えるネットワークデバイスと無線通信する基地局を前記セキュアネットワークに接続する接続装置であって、
前記外部ネットワークに接続されたネットワークデバイスからの認証要求メッセージを前記基地局経由で受信すると当該認証要求メッセージの送信元ネットワークデバイスの認証処理手順を実施し、当該認証処理手順の結果を前記送信元ネットワークデバイスに応答する認証処理部を備える、接続装置。
【請求項16】
セキュリティを保証されたセキュアネットワークと、無線通信機能を備えるネットワークデバイスと無線通信する、前記セキュアネットワークに接続される基地局と、前記セキュアネットワークと相互接続され当該セキュアネットワークとは異なる外部ネットワークとを具備する通信システムの運用支援方法であって、
前記セキュアネットワークに備わる認証処理部が、前記外部ネットワークに接続されたネットワークデバイスからの認証要求メッセージを前記基地局経由で受信し、
前記認証処理部が、前記認証要求メッセージの送信元ネットワークデバイスの認証処理手順を実施し、
前記認証処理部が、前記認証処理手順の結果を前記送信元ネットワークデバイスに応答し、
前記セキュアネットワークに備わる無線通知部が、前記認証処理手順の結果を示す応答メッセージを前記基地局経由で前記送信元ネットワークデバイスに通知する、運用支援方法。
【請求項17】
前記応答メッセージは、前記セキュアネットワークと前記外部ネットワークとを相互接続するゲートウェイのアドレス情報を含む、請求項16に記載の運用支援方法。
【請求項18】
前記認証処理手順は、
前記セキュアネットワークのセキュリティを保証するサーバへの前記送信元ネットワークデバイスのアクセスの可否を認証するための第1処理手順と、
前記送信元ネットワークデバイスの前記ゲートウェイへのアクセスの可否を認証するための第2処理手順と、
前記送信元ネットワークデバイスの前記セキュアネットワークへのアクセスの可否を認証するための第3処理手順との、少なくともいずれか1つの処理手順を含む、請求項17に記載の運用支援方法。
【請求項19】
前記セキュアネットワークおよび外部ネットワークの少なくともいずれか一方はInternet Protocol(IP)ネットワークである、請求項16乃至18のいずれか1項に記載の運用支援方法。
【請求項20】
前記認証処理部は、認証の成功した前記送信元ネットワークデバイスにIPアドレスを割り当てる、請求項19項に記載の運用支援方法。
【請求項21】
さらに、前記送信元ネットワークデバイスが、当該送信元ネットワークデバイスを接続元ネットワークデバイスとする接続要求を送出し、
前記認証処理部が、認証の成功した前記接続元ネットワークデバイスに、前記接続要求に含まれる接続先ネットワークデバイスのIPアドレスを通知し、
接続処理部が、前記接続先ネットワークデバイスと前記接続元ネットワークデバイスとの間に通信リンクを形成する、請求項19に記載の運用支援方法。
【請求項1】
セキュリティを保証されたセキュアネットワークと、
無線通信機能を備えるネットワークデバイスと無線通信する、前記セキュアネットワークに接続される基地局とを具備し、
前記セキュアネットワークは、
前記セキュアネットワークと相互接続され当該セキュアネットワークとは異なる外部ネットワークに接続されたネットワークデバイスからの認証要求メッセージを前記基地局経由で受信すると当該認証要求メッセージの送信元ネットワークデバイスの認証処理手順を実施し、当該認証処理手順の結果を前記送信元ネットワークデバイスに応答する認証処理部と、
前記認証処理手順の結果を示す応答メッセージを前記基地局経由で前記送信元ネットワークデバイスに通知する無線通知部とを備える、通信システム。
【請求項2】
さらに、前記セキュアネットワークと前記外部ネットワークとを相互接続するゲートウェイを具備し、
前記応答メッセージは前記ゲートウェイのアドレス情報を含む、請求項1に記載の通信システム。
【請求項3】
さらに、前記セキュアネットワークのセキュリティを保証するサーバを具備し、
前記認証処理手順は、
前記送信元ネットワークデバイスの前記サーバへのアクセスの可否を認証するための第1処理手順と、
前記送信元ネットワークデバイスの前記ゲートウェイへのアクセスの可否を認証するための第2処理手順と、
前記送信元ネットワークデバイスの前記セキュアネットワークへのアクセスの可否を認証するための第3処理手順との、少なくともいずれか1つの処理手順を含む、請求項2に記載の通信システム。
【請求項4】
前記セキュアネットワークおよび外部ネットワークの少なくともいずれか一方はInternet Protocol(IP)ネットワークである、請求項1乃至3のいずれか1項に記載の通信システム。
【請求項5】
前記認証処理部は、認証の成功した前記送信元ネットワークデバイスにIPアドレスを割り当てる、請求項4項に記載の通信システム。
【請求項6】
さらに、前記送信元ネットワークデバイスを接続元ネットワークデバイスとする接続要求に応じて、当該接続要求に示される接続先ネットワークデバイスと前記接続元ネットワークデバイスとの間に通信リンクを形成する接続処理部を具備し、
前記認証処理部は、認証の成功した前記接続元ネットワークデバイスに前記接続先ネットワークデバイスのIPアドレスを通知する、請求項4に記載の通信システム。
【請求項7】
前記ゲートウェイは、前記認証処理部を備える、請求項2に記載の通信システム。
【請求項8】
前記サーバは、前記認証処理部を備える、請求項3に記載の通信システム。
【請求項9】
さらに、前記基地局を前記セキュアネットワークに接続する接続装置を具備し、
前記接続装置は、前記認証処理部を備える、請求項1に記載の通信システム。
【請求項10】
前記基地局は、前記無線通知部を備える、請求項1に記載の通信システム。
【請求項11】
前記基地局は、前記認証処理部を備える、請求項1に記載の通信システム。
【請求項12】
セキュリティを保証されたセキュアネットワークと、
無線通信機能を備えるネットワークデバイスと無線通信する、前記セキュアネットワークに接続される基地局と、
前記セキュアネットワークに接続されたネットワークデバイスからの認証要求メッセージを前記基地局経由で受信すると当該認証要求メッセージの送信元ネットワークデバイスの認証処理手順を実施し、当該認証処理手順の結果を前記送信元ネットワークデバイスに応答する認証処理部と、
前記認証処理手順の結果を示す応答メッセージを前記基地局経由で前記送信元ネットワークデバイスに通知する無線通知部とを備える、通信システム。
【請求項13】
さらに、前記基地局を前記セキュアネットワークに接続する接続装置を具備し、
前記接続装置は、前記認証処理部を備える、請求項12に記載の通信システム。
【請求項14】
さらに、前記セキュアネットワークのセキュリティを保証するサーバを具備し、
前記認証処理手順は、
前記送信元ネットワークデバイスの前記サーバへのアクセスの可否を認証するための処理手順を含む、請求項12に記載の通信システム。
【請求項15】
セキュリティを保証されたセキュアネットワークおよび前記セキュアネットワークと相互接続され当該セキュアネットワークとは異なる外部ネットワークを具備する通信システムに用いられ、無線通信機能を備えるネットワークデバイスと無線通信する基地局を前記セキュアネットワークに接続する接続装置であって、
前記外部ネットワークに接続されたネットワークデバイスからの認証要求メッセージを前記基地局経由で受信すると当該認証要求メッセージの送信元ネットワークデバイスの認証処理手順を実施し、当該認証処理手順の結果を前記送信元ネットワークデバイスに応答する認証処理部を備える、接続装置。
【請求項16】
セキュリティを保証されたセキュアネットワークと、無線通信機能を備えるネットワークデバイスと無線通信する、前記セキュアネットワークに接続される基地局と、前記セキュアネットワークと相互接続され当該セキュアネットワークとは異なる外部ネットワークとを具備する通信システムの運用支援方法であって、
前記セキュアネットワークに備わる認証処理部が、前記外部ネットワークに接続されたネットワークデバイスからの認証要求メッセージを前記基地局経由で受信し、
前記認証処理部が、前記認証要求メッセージの送信元ネットワークデバイスの認証処理手順を実施し、
前記認証処理部が、前記認証処理手順の結果を前記送信元ネットワークデバイスに応答し、
前記セキュアネットワークに備わる無線通知部が、前記認証処理手順の結果を示す応答メッセージを前記基地局経由で前記送信元ネットワークデバイスに通知する、運用支援方法。
【請求項17】
前記応答メッセージは、前記セキュアネットワークと前記外部ネットワークとを相互接続するゲートウェイのアドレス情報を含む、請求項16に記載の運用支援方法。
【請求項18】
前記認証処理手順は、
前記セキュアネットワークのセキュリティを保証するサーバへの前記送信元ネットワークデバイスのアクセスの可否を認証するための第1処理手順と、
前記送信元ネットワークデバイスの前記ゲートウェイへのアクセスの可否を認証するための第2処理手順と、
前記送信元ネットワークデバイスの前記セキュアネットワークへのアクセスの可否を認証するための第3処理手順との、少なくともいずれか1つの処理手順を含む、請求項17に記載の運用支援方法。
【請求項19】
前記セキュアネットワークおよび外部ネットワークの少なくともいずれか一方はInternet Protocol(IP)ネットワークである、請求項16乃至18のいずれか1項に記載の運用支援方法。
【請求項20】
前記認証処理部は、認証の成功した前記送信元ネットワークデバイスにIPアドレスを割り当てる、請求項19項に記載の運用支援方法。
【請求項21】
さらに、前記送信元ネットワークデバイスが、当該送信元ネットワークデバイスを接続元ネットワークデバイスとする接続要求を送出し、
前記認証処理部が、認証の成功した前記接続元ネットワークデバイスに、前記接続要求に含まれる接続先ネットワークデバイスのIPアドレスを通知し、
接続処理部が、前記接続先ネットワークデバイスと前記接続元ネットワークデバイスとの間に通信リンクを形成する、請求項19に記載の運用支援方法。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【公開番号】特開2013−34153(P2013−34153A)
【公開日】平成25年2月14日(2013.2.14)
【国際特許分類】
【出願番号】特願2011−170055(P2011−170055)
【出願日】平成23年8月3日(2011.8.3)
【出願人】(000003078)株式会社東芝 (54,554)
【Fターム(参考)】
【公開日】平成25年2月14日(2013.2.14)
【国際特許分類】
【出願日】平成23年8月3日(2011.8.3)
【出願人】(000003078)株式会社東芝 (54,554)
【Fターム(参考)】
[ Back to top ]