JP2015041970A - Communication system, communication method and communication program - Google Patents

Communication system, communication method and communication program Download PDF

Info

Publication number
JP2015041970A
JP2015041970A JP2013173423A JP2013173423A JP2015041970A JP 2015041970 A JP2015041970 A JP 2015041970A JP 2013173423 A JP2013173423 A JP 2013173423A JP 2013173423 A JP2013173423 A JP 2013173423A JP 2015041970 A JP2015041970 A JP 2015041970A
Authority
JP
Japan
Prior art keywords
network
packet
mobile network
tunnel
terminal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2013173423A
Other languages
Japanese (ja)
Other versions
JP5947763B2 (en
Inventor
寛規 井上
Hironori Inoue
寛規 井上
俊一 坪井
Shunichi Tsuboi
俊一 坪井
健 大坂
Takeshi Osaka
健 大坂
聡史 西山
Satoshi Nishiyama
聡史 西山
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2013173423A priority Critical patent/JP5947763B2/en
Publication of JP2015041970A publication Critical patent/JP2015041970A/en
Application granted granted Critical
Publication of JP5947763B2 publication Critical patent/JP5947763B2/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Abstract

PROBLEM TO BE SOLVED: To actualize communication to a mobile enterprise network through a fixed network enterprise network.SOLUTION: A network-by-network packet distribution device 2a tunnels a VLAN tunnel with a Wi-Fi access point 3, and tunnels a UE tunnel in the VLAN tunnel. On receiving an uplink PC packet through the VLAN tunnel, the packet distribution device 2a transfers the PC packet to another device in the fixed network enterprise network 7a, and transmits a downlink PC packet having the transmission destination of a home residence PC 8 to the VLAN tunnel. On receiving an uplink UE packet having the transmission source of a UE 4 through the UE tunnel, the packet distribution device 2a transfers the UE packet to a packet transfer device 2b, and transmits a downlink UE packet having the transmission destination of the UE 4 to the UE tunnel.

Description

本発明は、通信システム、通信方法、および、通信プログラムの技術に関する。   The present invention relates to a communication system, a communication method, and a communication program technique.

移動端末などのUE(User Equipment)は、移動体事業者網に収容され、移動体事業者網用のサービスへアクセスする形態が一般的である。しかし、UEの台数増加に伴い、移動体事業者網内を流れるトラヒックの量が増加しており、輻輳の発生により通信サービスの品質が低下する懸念がある。   A user equipment (UE) such as a mobile terminal is generally accommodated in a mobile operator network and accesses a service for the mobile operator network. However, with the increase in the number of UEs, the amount of traffic flowing in the mobile operator network has increased, and there is a concern that the quality of communication services will deteriorate due to the occurrence of congestion.

そこで、UEから移動体事業者網に直接接続する代わりに、UEのユーザが別途使用している固定網事業者網を、UEの接続先として用いる(換言すると、UEのトラヒックをオフロードする)形態が提案されている。そのため、UEをWi-Fi(登録商標)接続により固定網経由で接続し、固定網事業者網と移動体事業者網との間でUEの認証を実施し、認証が許可されたUEに対して移動体事業者網からIPアドレスを払い出すWi-Fiオフロード方式の標準化が議論されている。   Therefore, instead of connecting directly to the mobile operator network from the UE, a fixed network operator network that is separately used by the user of the UE is used as the connection destination of the UE (in other words, the traffic of the UE is offloaded). A form has been proposed. Therefore, the UE is connected via the fixed network by Wi-Fi (registered trademark) connection, the UE is authenticated between the fixed network operator network and the mobile operator network, and the UE is allowed to be authenticated. Thus, standardization of a Wi-Fi offload method in which an IP address is issued from a mobile operator network is being discussed.

このWi-Fiオフロード方式において、固定網事業者網のエッジルータに相当するTWAG(Trusted Wireless Access Gateway)と、Wi-Fiアクセスポイントとの間は、様々なトンネリング・プロトコルが想定されており、そのプロトコルを実現するために各装置が備えるべき機能要素も、検討されている。
例えば、非特許文献1には、標準化団体である3GPP(3rd Generation Partnership Project)が規定する機能要素が記載されている。
一方、非特許文献2には、標準化団体であるBroadband Forumが規定する機能要素が記載されている。
しかし、非特許文献1,2では、単に機能要素が記載されているだけであり、具体的な方式は決定されていない。 In this Wi-Fi offload method, various tunneling protocols are assumed between the TWAG (Trusted Wireless Access Gateway) equivalent to the edge router of the fixed network operator network and the Wi-Fi access point. Functional elements that each device should have in order to realize the protocol are also being studied.
For example, Non-Patent Document 1 describes functional elements defined by 3GPP (3rd Generation Partnership Project), which is a standardization organization.
On the other hand, Non-Patent Document 2 describes functional elements defined by the standardization organization Broadband Forum.
However, in Non-Patent Documents 1 and 2, only functional elements are described, and a specific method is not determined.

なお、非特許文献3には、NGN(Next Generation Network)における回線認証の概要が記載されている。しかし、非特許文献1,2は、非特許文献3のような回線認証は、考慮されていない。   Non-Patent Document 3 describes an outline of line authentication in NGN (Next Generation Network). However, Non-Patent Documents 1 and 2 do not consider line authentication like Non-Patent Document 3.

3GPP(3rd Generation Partnership Project)、"3GPP TR 23.852 V1.4.1"、[online]、2013年2月、3GPP、[平成25年8月12日検索]、インターネット〈URL:http://www.3gpp.org/ftp/Specs/archive/23_series/23.852/23852-141.zip〉、第7.1.2.3章(Reference Points)、p36-373GPP (3rd Generation Partnership Project), "3GPP TR 23.852 V1.4.1", [online], February 2013, 3GPP, [August 12, 2013 search], Internet <URL: http: //www.3gpp .org / ftp / Specs / archive / 23_series / 23.852 / 23852-141.zip>, Chapter 7.1.2.3 (Reference Points), p36-37 broadband forum、"WT-291 Nodal Requirements for Interworking between Next Generation Fixed and 3GPP Wireless Access"、DRAFT bbf2012.696、April 2013、Revision 04、第7章(Nodal requirements for 3GPP trusted Network-based mobility (S2a))、p28-32broadband forum, "WT-291 Nodal Requirements for Interworking between Next Generation Fixed and 3GPP Wireless Access", DRAFT bbf2012.696, April 2013, Revision 04, Chapter 7 (Nodal requirements for 3GPP trusted Network-based mobility (S2a)), p28-32 日経NETWORK、"[Question6]NTTのNGNはどんなしくみ?"、[online]、2007年1月30日、ITPro、[平成25年8月12日検索]、インターネット〈URL:http://itpro.nikkeibp.co.jp/article/COLUMN/20070125/259673/〉Nikkei NETWORK, "[Question 6] How does NTT's NGN work?", [Online], January 30, 2007, ITPro, [Search August 12, 2013], Internet <URL: http: // itpro. nikkeibp.co.jp/article/COLUMN/20070125/259673/>

図6は、従来の通信システムの概要を示す説明図である。
Wi-Fiアクセスポイントは、ユーザの端末として、自宅PCと、UE(User Equipment)とを収容している。自宅PCは、Wi-Fiアクセスポイントから固定網事業者網を経由して、インターネットにPCパケットを通信する装置である。
UEは、Wi-Fiアクセスポイントから固定網事業者網→移動体事業者網を経由して、移動体網独自サービスの網にUEパケットを通信する装置である。 FIG. 6 is an explanatory diagram showing an outline of a conventional communication system.
The Wi-Fi access point accommodates a home PC and a user equipment (UE) as user terminals. A home PC is a device that communicates PC packets from the Wi-Fi access point to the Internet via a fixed network.
The UE is a device that communicates UE packets from a Wi-Fi access point to a network of a mobile network unique service via a fixed network operator network → a mobile operator network.

UEをWi-Fiアクセスポイントに収容する場合、それぞれ異なるセグメントを構築する必要があるために、VLAN(Virtual Local Area Network)トンネルを、事業者網ごとに分ける必要がある。よって、固定網事業者網内と、収容するWi-Fiアクセスポイントとの間に、2本のVLANトンネルが構築される。1本目のVLANトンネルは、PCパケットの通信用に用いるトンネルであり、2本目のVLANトンネルは、UEパケットの通信用に用いるトンネルである。   When the UE is accommodated in the Wi-Fi access point, it is necessary to construct different segments, and therefore, a VLAN (Virtual Local Area Network) tunnel needs to be divided for each carrier network. Therefore, two VLAN tunnels are constructed between the fixed network operator network and the Wi-Fi access point to be accommodated. The first VLAN tunnel is a tunnel used for PC packet communication, and the second VLAN tunnel is a tunnel used for UE packet communication.

このように、固定網事業者網用のVLANトンネルに加え、Wi-Fiアクセスポイントに収容されるUEの台数分のVLANトンネルを事前に用意することとなる。そのため、1台のWi-Fiアクセスポイントが提供するVLANの数が増加してしまい、NGN(Next Generation Network)における回線認証の管理が煩雑化してしまったり、ネットワーク別パケット振分装置のリソースが消費されることで、Wi-Fiアクセスポイントの収容可能数が減ってしまったりする。   Thus, in addition to the VLAN tunnel for the fixed network operator network, VLAN tunnels corresponding to the number of UEs accommodated in the Wi-Fi access point are prepared in advance. As a result, the number of VLANs provided by one Wi-Fi access point increases, management of line authentication in NGN (Next Generation Network) becomes complicated, and resources for packet distribution devices by network are consumed. As a result, the number of Wi-Fi access points that can be accommodated decreases.

そこで、本発明は、固定網事業者網内を経由する移動体事業者網への通信を、低コストで実現することを、主な課題とする。   Thus, the main object of the present invention is to realize communication to a mobile operator network via a fixed network operator network at a low cost.

前記課題を解決するために、本発明は、固定網によって端末情報が管理される固定網端末、および、移動網によって端末情報が管理される移動網端末がそれぞれ収容されるアクセスポイントと、前記固定網内に配置され、前記アクセスポイントを収容する振分装置と、前記移動網内に配置され、前記振分装置と接続される転送装置と、がネットワークで接続されて構成され、前記振分装置が、前記アクセスポイントとの間のレイヤ2ネットワーク上に、固定網トンネルをトンネリングするとともに、前記固定網トンネル上に移動網トンネルをトンネリングし、前記固定網端末を送信元とする上り固定網パケットを、前記固定網トンネルを介して受信したときは、前記固定網内の他装置に転送し、前記固定網端末を送信先とする下り固定網パケットを、前記固定網トンネルを介して前記アクセスポイントへ送信し、前記移動網端末を送信元とする上り移動網パケットを、前記移動網トンネルを介して受信したときは、前記転送装置に転送し、前記移動網端末を送信先とする下り移動網パケットを、前記移動網トンネルを介して前記アクセスポイントへ送信することを特徴とする。   In order to solve the above problems, the present invention provides a fixed network terminal in which terminal information is managed by a fixed network, an access point in which a mobile network terminal in which terminal information is managed by a mobile network is accommodated, and the fixed A distribution device arranged in a network and accommodating the access point, and a transfer device arranged in the mobile network and connected to the distribution device are connected via a network, and the distribution device Tunnels a fixed network tunnel over a layer 2 network with the access point, tunnels a mobile network tunnel over the fixed network tunnel, and transmits an uplink fixed network packet having the fixed network terminal as a transmission source. When the packet is received through the fixed network tunnel, the packet is transferred to another device in the fixed network, and the downlink fixed network packet having the fixed network terminal as a transmission destination is transferred. Is transmitted to the access point via the fixed network tunnel, and when an uplink mobile network packet originating from the mobile network terminal is received via the mobile network tunnel, it is transferred to the transfer device. A downlink mobile network packet destined for the mobile network terminal is transmitted to the access point via the mobile network tunnel.

これにより、アクセスポイントが構築する固定網トンネルは1つで済むので、固定網事業者網内を経由する移動体事業者網への通信を、低コストで実現することができる。   As a result, only one fixed network tunnel is established by the access point, so communication to the mobile operator network via the fixed network operator network can be realized at low cost.

本発明は、前記アクセスポイントが、前記移動網トンネルを介して送信する前記上り移動網パケットには、移動網用ヘッダを付加し、前記振分装置が、受信したパケット内に前記移動網用ヘッダが付加されているときには、受信したパケットを前記上り移動網パケットと判断し、受信したパケット内に前記移動網用ヘッダが付加されていないときには、受信したパケットを前記上り固定網パケットと判断することを特徴とする。   The present invention adds a mobile network header to the uplink mobile network packet transmitted by the access point via the mobile network tunnel, and the distribution device includes the mobile network header in the received packet. Is added, the received packet is determined to be the uplink mobile network packet, and when the mobile network header is not added to the received packet, the received packet is determined to be the uplink fixed network packet. It is characterized by.

これにより、2種類のトンネルのいずれかを通過したかを、ヘッダから判断できる。   Accordingly, it can be determined from the header whether one of the two types of tunnels has been passed.

本発明は、前記振分装置が、受信した前記上り移動網パケット内の前記移動網用ヘッダから読み取った、前記移動網端末のIMSI(International Mobile Subscriber Identity)をもとに、受信した前記上り移動網パケットの送信先の前記転送装置を1台に特定することを特徴とする。   The present invention relates to the uplink mobile received by the distribution apparatus based on the IMSI (International Mobile Subscriber Identity) of the mobile network terminal read from the mobile network header in the received uplink mobile network packet. The network packet transmission destination is specified as one transfer device.

これにより、振分装置に複数台の転送装置が接続されている構成でも、適切な転送装置へとパケットを転送することができる。   Thereby, even in a configuration in which a plurality of transfer devices are connected to the distribution device, the packet can be transferred to an appropriate transfer device.

本発明は、前記固定網には、さらに、前記アクセスポイントの装置情報を移動網端末のアドレスと対応付けて管理する固定網認証サーバが配置され、前記移動網には、さらに、移動網端末の端末情報を前記移動網端末のアドレスと対応付けて管理する管理する移動網認証サーバが配置され、前記固定網認証サーバが、前記移動網端末から認証要求を受信し、その認証要求に含まれる前記移動網端末のアドレスと、前記移動網端末の端末情報との組み合わせを前記移動網認証サーバに問い合わせ、前記移動網認証サーバが、問い合わせを受けた組み合わせ情報を自身で管理しているときには、認証を許可する旨を前記固定網認証サーバに応答し、前記固定網認証サーバが、認証を許可され、かつ、前記移動網端末のアドレスを自身で管理しているときに、前記認証要求を受けた前記移動網端末に対して前記移動網トンネルを使用させることを許可することを特徴とする。   According to the present invention, the fixed network further includes a fixed network authentication server that manages device information of the access point in association with an address of a mobile network terminal, and the mobile network further includes a mobile network terminal A mobile network authentication server for managing terminal information associated with the address of the mobile network terminal is disposed, the fixed network authentication server receives an authentication request from the mobile network terminal, and is included in the authentication request The mobile network authentication server is queried for a combination of the address of the mobile network terminal and the terminal information of the mobile network terminal. When the mobile network authentication server manages the received combination information by itself, authentication is performed. Responding to the fixed network authentication server to permit, the fixed network authentication server is allowed to authenticate and manages the address of the mobile network terminal by itself. Occasionally, and permits that to use the mobile network tunnel to the mobile network terminal which has received the authentication request.

これにより、移動網認証サーバの認証を行うことで、移動網端末のアドレスの詐称を防止することができる。   As a result, by performing authentication of the mobile network authentication server, it is possible to prevent spoofing of the address of the mobile network terminal.

本発明によれば、固定網事業者網内を経由する移動体事業者網への通信を、低コストで実現することができる。   According to the present invention, communication to a mobile operator network via a fixed network operator network can be realized at low cost.

本発明の一実施形態に関する通信システムの概要を示す説明図である。It is explanatory drawing which shows the outline | summary of the communication system regarding one Embodiment of this invention. 本発明の一実施形態に関する通信システムを示す構成図である。It is a block diagram which shows the communication system regarding one Embodiment of this invention. 本発明の一実施形態に関する各事業者の網内装置の詳細を示す構成図である。It is a block diagram which shows the detail of the network apparatus of each provider regarding one Embodiment of this invention. 本発明の一実施形態に関する事業者網に収容されるユーザ網内装置の詳細を示す構成図である。It is a block diagram which shows the detail of the apparatus in a user network accommodated in the provider network regarding one Embodiment of this invention. 本発明の一実施形態に関するUEの通信前準備処理を示す処理説明図である。It is process explanatory drawing which shows the pre-communication preparation process of UE regarding one Embodiment of this invention. 従来の通信システムの概要を示す説明図である。It is explanatory drawing which shows the outline | summary of the conventional communication system.

以下、本発明の一実施形態について、図面を参照して詳細に説明する。   Hereinafter, an embodiment of the present invention will be described in detail with reference to the drawings.

図1は、通信システムの概要を示す説明図である。まず、パケットの呼び方を定義する。
自宅PC8(下流)からインターネット7d(上流)へ流れるパケット(図1の破線矢印で示すパケット)を、以下では「上りPCパケット(上り固定網パケット)」と呼ぶ。一方、「上りPCパケット」とは逆方向に流れる(つまり、上流から下流に流れる)パケットを、以下では「下りPCパケット(下り固定網パケット)」と呼ぶ。上りPCパケットと下りPCパケットとを合わせて、「PCパケット」と呼ぶ。
Wi-Fiアクセスポイント3に収容されるUE4(下流)から移動体事業者網7bやその先の移動体網独自サービス(上流)へ流れるパケット(図6の破線矢印で示すパケット)を、以下では「上りUEパケット」と呼ぶ。一方、「上りUEパケット(上り移動網パケット)」とは逆方向に流れる(つまり、上流から下流に流れる)パケットを、以下では「下りUEパケット(下り移動網パケット)」と呼ぶ。上りUEパケットと下りUEパケットとを合わせて、「UEパケット」と呼ぶ。 FIG. 1 is an explanatory diagram showing an outline of a communication system. First, how to call a packet is defined.
A packet flowing from home PC 8 (downstream) to the Internet 7d (upstream) (a packet indicated by a broken arrow in FIG. 1) is hereinafter referred to as an “uplink PC packet (uplink fixed network packet)”. On the other hand, a packet that flows in the opposite direction to the “uplink PC packet” (that is, flows from upstream to downstream) is hereinafter referred to as “downlink PC packet (downlink fixed network packet)”. The uplink PC packet and the downlink PC packet are collectively referred to as a “PC packet”.
Packets flowing from the UE 4 (downstream) accommodated in the Wi-Fi access point 3 to the mobile operator network 7b and the mobile network original service (upstream) ahead (the packet indicated by the broken line arrow in FIG. 6) are as follows: This is called an “uplink UE packet”. On the other hand, a packet that flows in the opposite direction to the “uplink UE packet (uplink mobile network packet)” (that is, flows from upstream to downstream) is hereinafter referred to as “downlink UE packet (downlink mobile network packet)”. The uplink UE packet and the downlink UE packet are collectively referred to as “UE packet”.

図1(a)の通信システムと図6の通信システムとを比較すると、インターネット7d、移動体網独自サービス、固定網事業者網7a、移動体事業者網7b、Wi-Fiアクセスポイント3、自宅PC8(固定網端末)、UE4(移動網端末)などの大まかな構成要素では共通する。
しかし、図1(a)の通信システムは、図6の通信システムとは異なり、VLANトンネル(固定網トンネル)の数は、UE4の数に関係なく、1台のWi-Fiアクセスポイント3あたり1つ用意される。そして、図1のVLANトンネルは、PCパケットを通過させるとともに、UE用トンネル(移動網トンネル)が貫通(カプセリング)している。UE用トンネルも、UE4の数に関係なく1台のWi-Fiアクセスポイント3あたり1つだけ用意される。UE用トンネルは、UEパケットを通過させるためのトンネルである。 Comparing the communication system of FIG. 1 (a) with the communication system of FIG. 6, the Internet 7d, mobile network original service, fixed network operator network 7a, mobile operator network 7b, Wi-Fi access point 3, home It is common to the general components such as PC8 (fixed network terminal) and UE4 (mobile network terminal).
However, the communication system of FIG. 1A differs from the communication system of FIG. 6 in that the number of VLAN tunnels (fixed network tunnels) is one per Wi-Fi access point 3 regardless of the number of UEs 4. One is prepared. The VLAN tunnel in FIG. 1 allows a PC packet to pass therethrough and a UE tunnel (mobile network tunnel) penetrates (encapsulates). Only one UE tunnel is prepared per Wi-Fi access point 3 regardless of the number of UEs 4. The UE tunnel is a tunnel for passing UE packets.

図1(b)は、図1(a)の通信システムを流れる各パケットの構成図である。VLANトンネルは、PCパケットもUEパケットも収容する。
VLANトンネルを流れるPCパケットには、パケットの外側(先頭側)から順に、Ethernet(登録商標)のヘッダ、Wi-Fi AP/UE 共用VLANの情報(レイヤ2の回線識別子であり、適宜「VLAN」と略す)、パケットのデータ内容を示すペイロードが順に連結されている。なお、Ethernetは、図2で示すネットワーク別パケット振分装置2aとWi-Fiアクセスポイント3との間のネットワークであり、そのEthernet上にVLANが構築されている。
UE用トンネルを流れるUEパケットには、パケットの外側から順に、Ethernetのヘッダ、Wi-Fi AP/UE 共用VLANの情報、UE用ヘッダ(移動網用ヘッダ)、パケットのデータ内容を示すペイロードが順に連結されている。UEパケットの構成要素として、UE用ヘッダ以外は、PCパケットの構成要素と同じである。なお、UE用ヘッダは、例えば、RFC(Request for Comments)2784に規定されるGRE(Generic Routing Encapsulation)の形式で記述される。 FIG.1 (b) is a block diagram of each packet which flows through the communication system of Fig.1 (a). The VLAN tunnel accommodates both PC packets and UE packets.
The PC packet that flows through the VLAN tunnel has an Ethernet (registered trademark) header, Wi-Fi AP / UE shared VLAN information (layer 2 line identifier, and “VLAN” as appropriate, in order from the outside (front side) of the packet. The payload indicating the data contents of the packets is concatenated in order. The Ethernet is a network between the network-specific packet distribution device 2a shown in FIG. 2 and the Wi-Fi access point 3, and a VLAN is constructed on the Ethernet.
In the UE packet flowing through the UE tunnel, the Ethernet header, Wi-Fi AP / UE shared VLAN information, UE header (mobile network header), and payload indicating the data content of the packet are sequentially ordered from the outside of the packet. It is connected. The constituent elements of the UE packet are the same as the constituent elements of the PC packet except for the UE header. The UE header is described in the format of GRE (Generic Routing Encapsulation) defined in RFC (Request for Comments) 2784, for example.

以上、図1で説明したように、ネットワーク別パケット振分装置2aとWi-Fiアクセスポイント3との間のネットワークとして、第1層(Ethernetなどのレイヤ2ネットワーク)と、その第1層の上に構築される第2層(VLANトンネルの層)と、その第2層の上に構築される第3層(UE用トンネルの層)とがトンネリング(カプセリング)される階層ネットワークが構築される。   As described above with reference to FIG. 1, the first layer (layer 2 network such as Ethernet) and the upper layer of the first layer are used as the network between the packet distribution device 2a for each network and the Wi-Fi access point 3. A hierarchical network is constructed in which the second layer (VLAN tunnel layer) constructed in (1) and the third layer (UE tunnel layer) constructed on the second layer are tunneled (encapsulated).

図2は、通信システムを示す構成図である。この通信システムを構成する各装置は、CPU(Central Processing Unit)とメモリとハードディスク(記憶手段)とネットワークインタフェースを有するコンピュータとして構成され、このコンピュータは、CPUが、メモリ上に読み込んだプログラムを実行することにより、各処理部を動作させる。   FIG. 2 is a configuration diagram illustrating the communication system. Each device constituting the communication system is configured as a computer having a CPU (Central Processing Unit), a memory, a hard disk (storage means), and a network interface, and the computer executes a program read on the memory. Thus, each processing unit is operated.

固定網事業者網7aには、インターネット7dへのゲートウェイであるネットワーク中継装置9aに加え、Wi-Fiアクセスポイント3を収容するネットワーク別パケット振分装置2aと、固定網事業者網7aへのアクセスに伴う認証を行う回線認証サーバ1aとが備えられている。
移動体事業者網7bには、インターネット7dへのゲートウェイであるネットワーク中継装置9bに加え、ネットワーク別パケット振分装置2aとS2a I/F(Interface)で接続されるパケット転送装置2bと、回線認証サーバ1aとSWd I/Fで接続されるUE管理サーバ1bとが備えられている。 The fixed network operator network 7a includes a network relay device 9a that is a gateway to the Internet 7d, a packet distribution device 2a for each network that accommodates the Wi-Fi access point 3, and an access to the fixed network operator network 7a. And a line authentication server 1a for performing authentication accompanying the above.
In addition to the network relay device 9b that is a gateway to the Internet 7d, the mobile operator network 7b includes a packet transfer device 2b that is connected to the network-specific packet distribution device 2a via S2a I / F (Interface), and line authentication. The UE management server 1b connected with the server 1a and SWd I / F is provided.

まず、固定網事業者網7a配下のWi-Fiアクセスポイント3に収容される自宅PC8は、固定網事業者網7aからインターネット7dにアクセス可能である。なお、Wi-Fiアクセスポイント3は、NAT(Network Address Translation)で構築された宅内LAN(図2の下部の破線領域)に、自宅PC8を収容する。
一方、固定網事業者網7a配下のWi-Fiアクセスポイント3に収容されるUE4が、固定網事業者網7aとは別の移動体事業者網7bにアクセス(UE4→Wi-Fiアクセスポイント3→ネットワーク別パケット振分装置2a→パケット転送装置2bのルート)するためには、UE管理サーバ1bの認証が必要である(各認証処理の詳細は、図4,図5で後記)。 First, the home PC 8 accommodated in the Wi-Fi access point 3 under the fixed network operator network 7a can access the Internet 7d from the fixed network operator network 7a. The Wi-Fi access point 3 accommodates the home PC 8 in a home LAN (dotted line area in the lower part of FIG. 2) constructed by NAT (Network Address Translation).
On the other hand, the UE 4 accommodated in the Wi-Fi access point 3 under the fixed network operator network 7a accesses the mobile operator network 7b different from the fixed network operator network 7a (UE4 → Wi-Fi access point 3). In order to perform packet routing device 2a by network → route of packet transfer device 2b), authentication of UE management server 1b is required (details of each authentication process will be described later with reference to FIGS. 4 and 5).

ネットワーク別パケット振分装置2aは、VLANトンネルを介してWi-Fiアクセスポイント3から受信した上りPCパケットを、ネットワーク中継装置9aを介してインターネット7dへ振り分ける。
ネットワーク別パケット振分装置2aは、ネットワーク中継装置9aなどを介して受信した下りPCパケットを、VLANトンネルを介してWi-Fiアクセスポイント3へ振り分ける。 The network-specific packet distribution device 2a distributes the uplink PC packet received from the Wi-Fi access point 3 via the VLAN tunnel to the Internet 7d via the network relay device 9a.
The network-specific packet distribution device 2a distributes the downlink PC packet received via the network relay device 9a or the like to the Wi-Fi access point 3 via the VLAN tunnel.

ネットワーク別パケット振分装置2aは、UE用トンネルを介してWi-Fiアクセスポイント3から受信した上りUEパケットを、移動体事業者網7bのパケット転送装置2bへ振り分ける。なお、ネットワーク別パケット振分装置2aは、2台以上のパケット転送装置2bが接続されているときには、UE用ヘッダのUEの認証識別子であるEAP-AKA/SIM(Extensible Authentication Protocol−Authentication and Key Agreement/Subscriber Identity Module)のIMSI(International Mobile Subscriber Identity)番号を参照することで、上りUEパケットの送信先のパケット転送装置2bを1台に特定する。
ネットワーク別パケット振分装置2aは、パケット転送装置2bなどを介して受信した下りUEパケットを、UE用トンネルを介してWi-Fiアクセスポイント3へ振り分ける。 The network-specific packet distribution device 2a distributes the uplink UE packet received from the Wi-Fi access point 3 via the UE tunnel to the packet transfer device 2b of the mobile operator network 7b. Note that, when two or more packet transfer apparatuses 2b are connected, the network-specific packet distribution apparatus 2a is EAP-AKA / SIM (Extensible Authentication Protocol-Authentication and Key Agreement) which is an authentication identifier of the UE in the UE header. By referring to the IMSI (International Mobile Subscriber Identity) number of / Subscriber Identity Module, the packet transfer device 2b that is the destination of the uplink UE packet is specified as one.
The network-specific packet distribution device 2a distributes the downlink UE packet received via the packet transfer device 2b or the like to the Wi-Fi access point 3 via the UE tunnel.

図3は、各事業者の網内装置の詳細を示す構成図である。
回線認証サーバ1aは、回線情報管理部11aと、ネットワーク間認証部12aと、アドレス払出許可部13aとを有する。
UE管理サーバ1bは、UE認証情報管理部11bと、ネットワーク間認証部12bとを有する。
ネットワーク別パケット振分装置2aは、UE用ヘッダ終端部21aと、アドレス払出機能部22aと、UEアドレス払出中継部23aと、UE認証処理中継部24aと、Wi-Fi AP発着パケット中継部25aと、Wi-Fi AP/UE振分機能部26aと、ネットワーク振分機能部27aと、VLAN終端部28aとを有する。
パケット転送装置2bは、UE発着パケット中継部21bと、UEアドレス払出機能部22bとを有する。 FIG. 3 is a block diagram showing details of the devices in the network of each business operator.
The line authentication server 1a includes a line information management unit 11a, an inter-network authentication unit 12a, and an address issue permission unit 13a.
The UE management server 1b includes a UE authentication information management unit 11b and an inter-network authentication unit 12b.
The packet distribution device 2a for each network includes a UE header termination unit 21a, an address issue function unit 22a, a UE address issue relay unit 23a, a UE authentication processing relay unit 24a, and a Wi-Fi AP incoming / outgoing packet relay unit 25a. Wi-Fi AP / UE distribution function unit 26a, network distribution function unit 27a, and VLAN termination unit 28a.
The packet transfer apparatus 2b includes a UE incoming / outgoing packet relay unit 21b and a UE address issue function unit 22b.

以下、各トンネルと、そのトンネルのために払い出されるIPアドレスとの詳細を説明することで、図3の各構成要素を明らかにする。
VLANトンネルのためのIPアドレスは、固定網事業者網7aによって払い出され、UE用トンネルのためのIPアドレスは、移動体事業者網7bによって払い出される。つまり、2つのIPアドレスが、異なる事業者網によって独立して払い出される。 In the following, the details of each tunnel and the IP address assigned for that tunnel will be described to clarify each component of FIG.
The IP address for the VLAN tunnel is assigned by the fixed network operator network 7a, and the IP address for the UE tunnel is assigned by the mobile operator network 7b. That is, two IP addresses are issued independently by different operator networks.

VLANトンネルは、VLAN終端部28aとVLAN終端部34(図4)とを両端とするトンネルである。Wi-Fiアクセスポイント3は、DHCP(Dynamic Host Configuration Protocol) requestを回線認証サーバ1aに送信する。回線認証サーバ1aは、Wi-Fiアクセスポイント3のユーザがあらかじめ回線情報管理部11aに登録されているときは、アドレス払出許可部13aを介して、アドレス払い出しを許可する。
アドレス払出機能部22aは、アドレス払出許可部13aからの許可を得て、DHCP requestの送信元であるWi-Fiアクセスポイント3に対して、VLANトンネルのためのIPアドレスを払い出す。このIPアドレスは、固定網事業者網7aが管理している。
VLAN終端部28aおよびVLAN終端部34は、払い出されたIPアドレスを用いて、VLANトンネルを確立する。また、払い出されたIPアドレスが使用できなくなったときには、VLAN終端部28aおよびVLAN終端部34は、確立したVLANトンネルを除去する。 The VLAN tunnel is a tunnel having both ends of the VLAN termination unit 28a and the VLAN termination unit 34 (FIG. 4). The Wi-Fi access point 3 transmits a DHCP (Dynamic Host Configuration Protocol) request to the line authentication server 1a. The line authentication server 1a permits address payout via the address payout permission part 13a when the user of the Wi-Fi access point 3 is registered in advance in the line information management part 11a.
The address payout function unit 22a obtains permission from the address payout permission unit 13a, and pays out an IP address for the VLAN tunnel to the Wi-Fi access point 3 that is the transmission source of the DHCP request. This IP address is managed by the fixed network operator network 7a.
The VLAN termination unit 28a and the VLAN termination unit 34 establish a VLAN tunnel using the issued IP address. When the issued IP address becomes unusable, the VLAN termination unit 28a and the VLAN termination unit 34 remove the established VLAN tunnel.

UE用トンネルは、UE用ヘッダ終端部21aとUE用ヘッダ終端部31(図4)とを両端とするトンネルである。Wi-Fiアクセスポイント3は、ネットワーク間認証部12aとネットワーク間認証部12bとが連携する認証処理に成功すると(詳細は、図5のS11〜S15の説明)、DHCP requestをUEアドレス払出機能部22bに送信し、その応答として、UE用トンネルの確立のためのIPアドレスの払い出しを受ける(詳細は、図5のS21〜S23の説明)。   The UE tunnel is a tunnel having both ends of the UE header termination unit 21a and the UE header termination unit 31 (FIG. 4). When the Wi-Fi access point 3 succeeds in the authentication process in which the inter-network authentication unit 12a and the inter-network authentication unit 12b cooperate (for details, the description of S11 to S15 in FIG. 5), the DHCP request is sent to the UE address issue function unit. As a response, the IP address is issued for establishment of the UE tunnel (for details, description of S21 to S23 in FIG. 5).

以上説明したように確立されたVLANトンネルおよびUE用トンネルを用いて、以下に示すように各パケットが転送される。
上りPCパケットは、VLANトンネル(VLAN終端部34→VLAN終端部28a)→Wi-Fi AP/UE振分機能部26a→Wi-Fi AP発着パケット中継部25a→ネットワーク中継装置9a→インターネット7dのルートで伝送される。上りPCパケットや上りUEパケット内のVLAN(図1の「Wi-Fi AP/UE共用VLAN」)は、VLAN終端部28aによって除去される。
下りPCパケットは、インターネット7d→ネットワーク中継装置9a→Wi-Fi AP発着パケット中継部25a→Wi-Fi AP/UE振分機能部26a→VLANトンネル(VLAN終端部28a→VLAN終端部34)のルートで伝送される。下りPCパケットや下りUEパケット内のVLAN(図1の「Wi-Fi AP/UE共用VLAN」)は、VLAN終端部28aによって付加される。
なお、Wi-Fi AP/UE振分機能部26aは、パケット内のUE用ヘッダの有無により、PCパケットかUEパケットかを区別することができる。 Each packet is transferred as described below using the VLAN tunnel and the UE tunnel established as described above.
The upstream PC packet is a VLAN tunnel (VLAN termination unit 34 → VLAN termination unit 28a) → Wi-Fi AP / UE distribution function unit 26a → Wi-Fi AP incoming / outgoing packet relay unit 25a → network relay device 9a → Internet 7d route It is transmitted with. The VLAN in the uplink PC packet or the uplink UE packet (“Wi-Fi AP / UE shared VLAN” in FIG. 1) is removed by the VLAN termination unit 28a.
Downlink PC packet is route of Internet 7d → Network relay device 9a → Wi-Fi AP incoming / outgoing packet relay unit 25a → Wi-Fi AP / UE distribution function unit 26a → VLAN tunnel (VLAN termination unit 28a → VLAN termination unit 34) It is transmitted with. The VLAN in the downlink PC packet or the downlink UE packet (“Wi-Fi AP / UE shared VLAN” in FIG. 1) is added by the VLAN termination unit 28a.
Note that the Wi-Fi AP / UE distribution function unit 26a can distinguish between a PC packet and a UE packet based on the presence or absence of a UE header in the packet.

上りUEパケットは、VLAN終端部28a→Wi-Fi AP/UE振分機能部26a→UE用ヘッダ終端部21a→ネットワーク振分機能部27a→UE発着パケット中継部21bのルートで伝送される。ここで、上りUEパケット内のUE用ヘッダは、UE用ヘッダ終端部21aによって除去される。
下りUEパケットは、UE発着パケット中継部21b→ネットワーク振分機能部27a→UE用ヘッダ終端部21a→Wi-Fi AP/UE振分機能部26a→VLAN終端部28aのルートで伝送される。ここで、下りUEパケット内のUE用ヘッダは、UE用ヘッダ終端部21aによって付加される。 The uplink UE packet is transmitted by the route of the VLAN termination unit 28a → Wi-Fi AP / UE allocation function unit 26a → UE header termination unit 21a → network allocation function unit 27a → UE incoming / outgoing packet relay unit 21b. Here, the UE header in the uplink UE packet is removed by the UE header termination unit 21a.
The downlink UE packet is transmitted through the route of UE incoming / outgoing packet relay unit 21b → network allocation function unit 27a → UE header termination unit 21a → Wi-Fi AP / UE allocation function unit 26a → VLAN termination unit 28a. Here, the UE header in the downlink UE packet is added by the UE header termination unit 21a.

図4は、事業者網に収容されるユーザ網内装置の詳細を示す構成図である。
Wi-Fiアクセスポイント3は、UE用ヘッダ終端部31と、UE認証処理中継部32と、Wi-Fi AP/UE振分機能部33と、VLAN終端部34と、NAT変換部35とを有する。NAT変換部35は、図2で説明した宅内LANを構築するための処理部である。
UE4は、UEパケット終端部41と、UE認証処理部42とを有する。
なお、図4の構成要素のうちの認証処理に関する処理部(UE認証処理中継部32、UE認証処理部42)は、後記する図5の説明で明らかにし、以下では認証処理に関する処理部以外の処理部を説明する。 FIG. 4 is a configuration diagram showing details of a user network device accommodated in the carrier network.
The Wi-Fi access point 3 includes a UE header termination unit 31, a UE authentication processing relay unit 32, a Wi-Fi AP / UE distribution function unit 33, a VLAN termination unit 34, and a NAT conversion unit 35. . The NAT conversion unit 35 is a processing unit for constructing the home LAN described with reference to FIG.
The UE 4 includes a UE packet termination unit 41 and a UE authentication processing unit 42.
In addition, the process part (UE authentication process relay part 32, UE authentication process part 42) regarding the authentication process among the components of FIG. 4 is clarified in the description of FIG. 5 to be described later. The processing unit will be described.

図4では、図3と同様に、確立されたVLANトンネルおよびUE用トンネルを用いて、以下に示すように各パケットが転送される。
上りPCパケットは、自宅PC8→NAT変換部35→Wi-Fi AP/UE振分機能部33→VLAN終端部34→VLAN終端部28aのルートで伝送される。上りPCパケットや上りUEパケット内のVLAN(図1の「Wi-Fi AP/UE共用VLAN」)は、VLAN終端部34によって付加される。
下りPCパケットは、VLAN終端部28a→VLAN終端部34→Wi-Fi AP/UE振分機能部33→NAT変換部35→自宅PC8のルートで伝送される。下りPCパケットや下りUEパケット内のVLAN(図1の「Wi-Fi AP/UE共用VLAN」)は、VLAN終端部34によって除去される。
なお、Wi-Fi AP/UE振分機能部33は、パケット内のUE用ヘッダの有無により、PCパケットかUEパケットかを区別することができる。 In FIG. 4, as in FIG. 3, each packet is transferred as shown below using the established VLAN tunnel and UE tunnel.
The uplink PC packet is transmitted through the route of the home PC 8 → the NAT conversion unit 35 → the Wi-Fi AP / UE distribution function unit 33 → the VLAN termination unit 34 → the VLAN termination unit 28 a. The VLAN in the uplink PC packet or the uplink UE packet (“Wi-Fi AP / UE shared VLAN” in FIG. 1) is added by the VLAN termination unit 34.
The downlink PC packet is transmitted through the route of the VLAN termination unit 28a → the VLAN termination unit 34 → the Wi-Fi AP / UE distribution function unit 33 → the NAT conversion unit 35 → the home PC 8. The VLAN in the downlink PC packet or the downlink UE packet (“Wi-Fi AP / UE shared VLAN” in FIG. 1) is removed by the VLAN termination unit 34.
The Wi-Fi AP / UE distribution function unit 33 can distinguish between a PC packet and a UE packet based on the presence or absence of a UE header in the packet.

上りUEパケットは、UEパケット終端部41→UE用ヘッダ終端部31→Wi-Fi AP/UE振分機能部33→VLAN終端部34→VLAN終端部28aのルートで伝送される。ここで、上りUEパケット内のUE用ヘッダは、UE用ヘッダ終端部31によって付加される。
下りUEパケットは、VLAN終端部28a→VLAN終端部34→Wi-Fi AP/UE振分機能部33→UE用ヘッダ終端部31→UEパケット終端部41のルートで伝送される。ここで、下りUEパケット内のUE用ヘッダは、UE用ヘッダ終端部31によって除去される。 The uplink UE packet is transmitted through a route of UE packet termination unit 41 → UE header termination unit 31 → Wi-Fi AP / UE distribution function unit 33 → VLAN termination unit 34 → VLAN termination unit 28a. Here, the UE header in the uplink UE packet is added by the UE header termination unit 31.
The downlink UE packet is transmitted through the route of the VLAN termination unit 28a → the VLAN termination unit 34 → the Wi-Fi AP / UE distribution function unit 33 → the UE header termination unit 31 → the UE packet termination unit 41. Here, the UE header in the downlink UE packet is removed by the UE header termination unit 31.

図5は、UEの通信前準備処理を示す処理説明図である。
S10(UE登録処理)について、説明する。
自宅PC8は、Wi-Fiアクセスポイント3経由の接続を許可したい、または、許可を取り消したいUE4のMAC(Media Access Control)アドレスの申請を、ユーザから受け付ける。自宅PC8は、受け付けた申請を、NAT変換部35→Wi-Fi AP/UE振分機能部33→VLAN終端部34→VLAN終端部28a→Wi-Fi AP/UE振分機能部26a→UE認証処理中継部24a→回線情報管理部11aのルートで、送信する。
回線情報管理部11aは、受信した申請(UE4のMACアドレス)を、Wi-Fiアクセスポイント3の回線情報(VLAN、ポート番号)に対応付けて自身が管理する回線情報に反映(作成・削除・更新)する。
なお、回線情報管理部11aは、自宅PC8から申請を受け付ける代わりに、事前に、固定網事業者網7a内のSO(Service Order)投入サーバ(図示省略)から申請内容が記載されたサービス定義ファイルを受信して、自身が管理する回線情報に反映してもよい。 FIG. 5 is a process explanatory diagram illustrating a UE pre-communication preparation process.
S10 (UE registration process) will be described.
The home PC 8 accepts from the user an application for the MAC (Media Access Control) address of the UE 4 that wants to permit the connection via the Wi-Fi access point 3 or cancel the permission. The home PC 8 applies the received application to the NAT conversion unit 35 → Wi-Fi AP / UE distribution function unit 33 → VLAN termination unit 34 → VLAN termination unit 28a → Wi-Fi AP / UE distribution function unit 26a → UE authentication. The data is transmitted through the route of the processing relay unit 24a → the line information management unit 11a.
The line information management unit 11a reflects the received application (UE4 MAC address) on the line information managed by itself in association with the line information (VLAN, port number) of the Wi-Fi access point 3 (create / delete / Update.
The line information management unit 11a does not accept an application from the home PC 8, but in advance a service definition file in which the application contents are described from an SO (Service Order) input server (not shown) in the fixed network operator network 7a. May be reflected in the line information managed by itself.

S11(802.1x認証処理)について、説明する。UE4は、802.1xパケット(認証要求)をUE認証処理部42からUE認証処理中継部32へと送信することで、802.1x認証(EAP-SIM/AKA認証)を開始する。   S11 (802.1x authentication processing) will be described. The UE 4 starts 802.1x authentication (EAP-SIM / AKA authentication) by transmitting an 802.1x packet (authentication request) from the UE authentication processing unit 42 to the UE authentication processing relay unit 32.

S12(RADIUS(Remote Authentication Dial In User Service)処理)について、説明する。
UE認証処理中継部32は、S11の802.1xパケットをRADIUSパケットに変換し、UE4のMACアドレス、回線情報、および、EAP-SIM/AKA(Extensible Authentication Protocol−Subscriber Identity Module/Authentication and Key Agreement)識別子を、変換したRADIUSパケットに含める。
そして、UE認証処理中継部32は、RADIUSパケットを、UE認証処理中継部32→Wi-Fi AP/UE振分機能部33→VLAN終端部34→VLAN終端部28a→Wi-Fi AP/UE振分機能部26a→UE認証処理中継部24a→回線情報管理部11a→ネットワーク間認証部12aのルートで送信する。 S12 (RADIUS (Remote Authentication Dial In User Service) processing) will be described.
The UE authentication processing relay unit 32 converts the 802.1x packet in S11 into a RADIUS packet, and the UE 4 MAC address, circuit information, and EAP-SIM / AKA (Extensible Authentication Protocol-Subscriber Identity Module / Authentication and Key Agreement) identifier Is included in the converted RADIUS packet.
Then, the UE authentication processing relay unit 32 converts the RADIUS packet into a UE authentication processing relay unit 32 → Wi-Fi AP / UE distribution function unit 33 → VLAN termination unit 34 → VLAN termination unit 28a → Wi-Fi AP / UE oscillation. It is transmitted by the route of the minute function part 26a → UE authentication processing relay part 24a → line information management part 11a → inter-network authentication part 12a.

S13(認証問い合わせ処理)について、説明する。ネットワーク間認証部12aは、UE4のMACアドレスの正しさを確認するため、S12で受信したRADIUSパケット内のMACアドレスとEAP-SIM/AKA識別子とを組にし、SWd I/Fを介して、ネットワーク間認証部12bに認証問い合わせを行う。   S13 (authentication inquiry process) will be described. In order to confirm the correctness of the MAC address of the UE 4, the inter-network authentication unit 12a combines the MAC address in the RADIUS packet received in S12 and the EAP-SIM / AKA identifier, and sets the network via the SWd I / F. An authentication inquiry is made to the inter-authentication unit 12b.

S14(認証応答処理)について、説明する。ネットワーク間認証部12bは、S13の認証問い合わせに含まれるMACアドレスとEAP-SIM/AKA識別子との組が、UE認証情報管理部11bに登録されていれば認証許可、組が登録されていなければ、認証不許可として、その認証結果をネットワーク間認証部12aに応答する。なお、UE認証情報管理部11bは、移動体事業者網7bにおいて加入者管理を行うHSS(Home Subscriber Server)である。   S14 (authentication response processing) will be described. If the pair of the MAC address and the EAP-SIM / AKA identifier included in the authentication inquiry in S13 is registered in the UE authentication information management unit 11b, the inter-network authentication unit 12b does not authenticate and the pair is not registered. The authentication result is returned to the inter-network authentication unit 12a as authentication not permitted. The UE authentication information management unit 11b is an HSS (Home Subscriber Server) that performs subscriber management in the mobile operator network 7b.

S15(接続可否処理)について、説明する。ネットワーク間認証部12aは、S14の返信で認証許可されたMACアドレスに対応する回線情報が回線情報管理部11a内に登録されているときには、接続許可をWi-Fiアクセスポイント3に通知する。一方、ネットワーク間認証部12aは、S14の応答で認証不許可、または、認証許可されたMACアドレスが回線情報管理部11a内に未登録なら、接続不許可をWi-Fiアクセスポイント3に通知する。
これにより、S14の応答で認証許可されたMACアドレスが、詐称されていないMACアドレスであることが保証されるので、適切なUE4だけを接続許可することができる。 S15 (connection availability processing) will be described. The inter-network authentication unit 12a notifies the Wi-Fi access point 3 of connection permission when the line information corresponding to the MAC address that has been authenticated in response in S14 is registered in the line information management unit 11a. On the other hand, the inter-network authentication unit 12a notifies the Wi-Fi access point 3 that the connection is not permitted if the authentication is not permitted in the response of S14 or if the authenticated MAC address is not registered in the line information management unit 11a. .
As a result, it is ensured that the MAC address that has been authenticated in the response of S14 is a MAC address that has not been spoofed, so that only the appropriate UE 4 can be permitted to connect.

S21(UE接続処理)について、説明する。Wi-Fiアクセスポイント3(UE認証処理中継部32)は、S15で接続許可されたUE4の接続を受け付ける。
S22(アドレス要求処理)について、説明する。
UE認証処理中継部32は、S21で受け付けたUE4について、DHCP Requestによりアドレス払い出しをネットワークへ要求する。DHCP Requestは、UE認証処理中継部32→Wi-Fi AP/UE振分機能部33→VLAN終端部34→VLAN終端部28a→Wi-Fi AP/UE振分機能部26a→UE用ヘッダ終端部21a→UEアドレス払出中継部23a→UEアドレス払出機能部22bのルートでリレー(転送)される。 S21 (UE connection processing) will be described. The Wi-Fi access point 3 (UE authentication process relay unit 32) accepts the connection of the UE 4 permitted to connect in S15.
S22 (address request processing) will be described.
The UE authentication processing relay unit 32 requests the network to issue an address by DHCP Request for the UE 4 received in S21. DHCP Request is a UE authentication processing relay unit 32 → Wi-Fi AP / UE distribution function unit 33 → VLAN termination unit 34 → VLAN termination unit 28a → Wi-Fi AP / UE distribution function unit 26a → UE header termination unit Relay is performed (transferred) through a route of 21a → UE address payout relay unit 23a → UE address payout function unit 22b.

S23(アドレス払い出し処理)について、説明する。UEアドレス払出機能部22bは、S22のDHCP Requestをもとに、UE用トンネルのために払い出すアドレスを決定し、そのアドレスをUE4に応答する。なお、応答メッセージのルートは、S22のルートを逆流するルートである。
S30(通信処理)について、説明する。UE4は、S23で払い出されたアドレスのUE用トンネルを用いて、通信相手(他のUE4など)とデータ通信を開始することができる。 S23 (address payout processing) will be described. The UE address issue function unit 22b determines an address to be assigned for the UE tunnel based on the DHCP request in S22, and responds to the UE 4 with the address. The route of the response message is a route that flows backward through the route of S22.
S30 (communication processing) will be described. The UE 4 can start data communication with a communication partner (such as another UE 4) using the UE tunnel with the address paid out in S23.

以上説明した本実施形態の通信システムは、回線認証サーバ1aによる回線認証を考慮したWi-Fiシステムである。
本実施形態では、固定網事業者網7aの認証により利用できるVLANトンネルと、移動体事業者網7bの認証により利用できるUE用トンネルとを併用することにより、Wi-Fiアクセスポイント3が1台あたり1つのVLANを構築するだけで、インターネットサービスとWi-Fiオフロードサービスとを、Wi-Fiアクセスポイント3のユーザに利用させることができる。
一方、図6に示した従来の場合では、VLANトンネルが複数本必要であり、その本数の増加に伴ってWi-Fiアクセスポイント3の性能や管理コストに負担をかけてしまっていた。 The communication system of the present embodiment described above is a Wi-Fi system in consideration of line authentication by the line authentication server 1a.
In the present embodiment, one Wi-Fi access point 3 is provided by using a VLAN tunnel that can be used by authentication of the fixed network operator network 7a and a UE tunnel that can be used by authentication of the mobile operator network 7b. The user of the Wi-Fi access point 3 can use the Internet service and the Wi-Fi offload service only by constructing one VLAN per one.
On the other hand, in the conventional case shown in FIG. 6, a plurality of VLAN tunnels are required, and the performance and management costs of the Wi-Fi access point 3 are burdened as the number of the VLAN tunnels increases.

また、本実施形態では、移動体事業者網7bへとMACアドレスの正しさを問い合わせる(図5のS13,S14)ことにより、固定網事業者網7a(回線情報管理部11a)が管理するMACアドレスの正しさを保証できるので、Wi-Fiアクセスポイント3は、MACアドレスを詐称したUE4を適切に拒否することができる。
さらに、固定網事業者網7aが、移動体網で管理するユーザ情報(EAP-SIM/AKA)を直接保持せずに、その情報を保持するUE管理サーバ1bへの問い合わせを行う本実施形態の構成は、移動体網事業者にとってのセキュリティ観点から望ましい。
一方、移動体網で管理するユーザ情報を使用せずに、MACアドレスだけでUE4の認証を行ってしまうと、MACアドレスを詐称したUE4まで不正にWi-Fiアクセスポイント3に接続されてしまう。 In this embodiment, the MAC managed by the fixed network operator network 7a (line information management unit 11a) is inquired to the mobile operator network 7b about the correctness of the MAC address (S13, S14 in FIG. 5). Since the correctness of the address can be guaranteed, the Wi-Fi access point 3 can appropriately reject the UE 4 spoofing the MAC address.
Further, the fixed network operator network 7a does not directly hold the user information (EAP-SIM / AKA) managed by the mobile network, but makes an inquiry to the UE management server 1b that holds the information. The configuration is desirable from the viewpoint of security for mobile network operators.
On the other hand, if the UE 4 is authenticated only with the MAC address without using the user information managed by the mobile network, the UE 4 that spoofed the MAC address is illegally connected to the Wi-Fi access point 3.

1a 回線認証サーバ(固定網認証サーバ)
1b UE管理サーバ(移動網認証サーバ)
2a ネットワーク別パケット振分装置(振分装置)
2b パケット転送装置(転送装置)
3 Wi-Fiアクセスポイント(アクセスポイント)
4 UE(移動網端末)
7a 固定網事業者網(固定網)
7b 移動体事業者網(移動網)
7d インターネット
8 自宅PC(固定網端末)
11a 回線情報管理部
12a ネットワーク間認証部
13a アドレス払出許可部
11b UE認証情報管理部
12b ネットワーク間認証部
21a UE用ヘッダ終端部
21b UE発着パケット中継部
22a アドレス払出機能部
22b UEアドレス払出機能部
23a UEアドレス払出中継部
24a UE認証処理中継部
25a Wi-Fi AP発着パケット中継部
26a Wi-Fi AP/UE振分機能部
27a ネットワーク振分機能部
28a VLAN終端部
31 UE用ヘッダ終端部
32 UE認証処理中継部
33 Wi-Fi AP/UE振分機能部
34 VLAN終端部
35 NAT変換部
41 UEパケット終端部
42 UE認証処理部 1a Line authentication server (fixed network authentication server)
1b UE management server (mobile network authentication server)
2a Network-specific packet distribution device (distribution device)
2b Packet transfer device (transfer device)
3 Wi-Fi access points (access points)
4 UE (mobile network terminal)
7a Fixed network operator network (fixed network)
7b Mobile operator network (mobile network)
7d Internet 8 Home PC (fixed network terminal)
11a Line information management unit 12a Inter-network authentication unit 13a Address issue permission unit 11b UE authentication information management unit 12b Inter-network authentication unit 21a UE header termination unit 21b UE sending / receiving packet relay unit 22a Address issue function unit 22b UE address issue function unit 23a UE address issue relay unit 24a UE authentication processing relay unit 25a Wi-Fi AP incoming / outgoing packet relay unit 26a Wi-Fi AP / UE distribution function unit 27a Network distribution function unit 28a VLAN termination unit 31 UE header termination unit 32 UE authentication Processing relay unit 33 Wi-Fi AP / UE distribution function unit 34 VLAN termination unit 35 NAT conversion unit 41 UE packet termination unit 42 UE authentication processing unit

Claims (6)

固定網によって端末情報が管理される固定網端末、および、移動網によって端末情報が管理される移動網端末がそれぞれ収容されるアクセスポイントと、
前記固定網内に配置され、前記アクセスポイントを収容する振分装置と、
前記移動網内に配置され、前記振分装置と接続される転送装置と、がネットワークで接続されて構成され、
前記振分装置は、
前記アクセスポイントとの間のレイヤ2ネットワーク上に、固定網トンネルをトンネリングするとともに、前記固定網トンネル上に移動網トンネルをトンネリングし、
前記固定網端末を送信元とする上り固定網パケットを、前記固定網トンネルを介して受信したときは、前記固定網内の他装置に転送し、前記固定網端末を送信先とする下り固定網パケットを、前記固定網トンネルを介して前記アクセスポイントへ送信し、
前記移動網端末を送信元とする上り移動網パケットを、前記移動網トンネルを介して受信したときは、前記転送装置に転送し、前記移動網端末を送信先とする下り移動網パケットを、前記移動網トンネルを介して前記アクセスポイントへ送信することを特徴とする
通信システム。 A fixed network terminal in which terminal information is managed by the fixed network, and an access point in which each mobile network terminal in which terminal information is managed by the mobile network is accommodated;
A sorting device arranged in the fixed network and accommodating the access point;
A transfer device arranged in the mobile network and connected to the distribution device is configured to be connected by a network,
The sorting device is
Tunneling a fixed network tunnel over a layer 2 network with the access point, and tunneling a mobile network tunnel over the fixed network tunnel;
When an uplink fixed network packet having the fixed network terminal as a transmission source is received via the fixed network tunnel, the packet is transferred to another device in the fixed network and the downlink fixed network having the fixed network terminal as a transmission destination Sending a packet to the access point via the fixed network tunnel;
When an uplink mobile network packet having the mobile network terminal as a transmission source is received via the mobile network tunnel, the packet is transferred to the transfer device, and the downlink mobile network packet having the mobile network terminal as a transmission destination is Transmitting to the access point via a mobile network tunnel. 前記アクセスポイントは、前記移動網トンネルを介して送信する前記上り移動網パケットには、移動網用ヘッダを付加し、
前記振分装置は、受信したパケット内に前記移動網用ヘッダが付加されているときには、受信したパケットを前記上り移動網パケットと判断し、受信したパケット内に前記移動網用ヘッダが付加されていないときには、受信したパケットを前記上り固定網パケットと判断することを特徴とする
請求項1に記載の通信システム。 The access point adds a mobile network header to the uplink mobile network packet transmitted through the mobile network tunnel,
When the mobile network header is added to the received packet, the distribution device determines that the received packet is the uplink mobile network packet, and the mobile network header is added to the received packet. The communication system according to claim 1, wherein when there is not, the received packet is determined as the uplink fixed network packet. 前記振分装置は、受信した前記上り移動網パケット内の前記移動網用ヘッダから読み取った、前記移動網端末のIMSI(International Mobile Subscriber Identity)をもとに、受信した前記上り移動網パケットの送信先の前記転送装置を1台に特定することを特徴とする
請求項2に記載の通信システム。 The allocating device transmits the received uplink mobile network packet based on the IMSI (International Mobile Subscriber Identity) of the mobile network terminal read from the mobile network header in the received uplink mobile network packet. The communication system according to claim 2, wherein the transfer device is specified as one unit. 前記固定網には、さらに、前記アクセスポイントの装置情報を移動網端末のアドレスと対応付けて管理する固定網認証サーバが配置され、
前記移動網には、さらに、移動網端末の端末情報を前記移動網端末のアドレスと対応付けて管理する管理する移動網認証サーバが配置され、
前記固定網認証サーバは、前記移動網端末から認証要求を受信し、その認証要求に含まれる前記移動網端末のアドレスと、前記移動網端末の端末情報との組み合わせを前記移動網認証サーバに問い合わせ、
前記移動網認証サーバは、問い合わせを受けた組み合わせ情報を自身で管理しているときには、認証を許可する旨を前記固定網認証サーバに応答し、
前記固定網認証サーバは、認証を許可され、かつ、前記移動網端末のアドレスを自身で管理しているときに、前記認証要求を受けた前記移動網端末に対して前記移動網トンネルを使用させることを許可することを特徴とする
請求項1ないし請求項3のいずれか1項に記載の通信システム。 The fixed network further includes a fixed network authentication server that manages device information of the access point in association with an address of a mobile network terminal,
The mobile network further includes a mobile network authentication server that manages terminal information of mobile network terminals in association with addresses of the mobile network terminals,
The fixed network authentication server receives an authentication request from the mobile network terminal, and inquires the mobile network authentication server about a combination of the address of the mobile network terminal included in the authentication request and terminal information of the mobile network terminal ,
When the mobile network authentication server manages the combination information that has been inquired by itself, it responds to the fixed network authentication server that the authentication is permitted,
The fixed network authentication server allows the mobile network terminal that has received the authentication request to use the mobile network tunnel when authentication is permitted and the address of the mobile network terminal is managed by itself. The communication system according to any one of claims 1 to 3, wherein the communication is permitted. 固定網によって端末情報が管理される固定網端末、および、移動網によって端末情報が管理される移動網端末がそれぞれ収容されるアクセスポイントと、
前記固定網内に配置され、前記アクセスポイントを収容する振分装置と、
前記移動網内に配置され、前記振分装置と接続される転送装置と、がネットワークで接続されて構成される通信システムによる通信方法であって、
前記振分装置は、
前記アクセスポイントとの間のレイヤ2ネットワーク上に、固定網トンネルをトンネリングするとともに、前記固定網トンネル上に移動網トンネルをトンネリングし、
前記固定網端末を送信元とする上り固定網パケットを、前記固定網トンネルを介して受信したときは、前記固定網内の他装置に転送し、前記固定網端末を送信先とする下り固定網パケットを、前記固定網トンネルを介して前記アクセスポイントへ送信し、
前記移動網端末を送信元とする上り移動網パケットを、前記移動網トンネルを介して受信したときは、前記転送装置に転送し、前記移動網端末を送信先とする下り移動網パケットを、前記移動網トンネルを介して前記アクセスポイントへ送信することを特徴とする
通信方法。 A fixed network terminal in which terminal information is managed by the fixed network, and an access point in which each mobile network terminal in which terminal information is managed by the mobile network is accommodated;
A sorting device arranged in the fixed network and accommodating the access point;
A communication method that is arranged in the mobile network and is configured to be connected by a network with a transfer device connected to the distribution device,
The sorting device is
Tunneling a fixed network tunnel over a layer 2 network with the access point, and tunneling a mobile network tunnel over the fixed network tunnel;
When an uplink fixed network packet having the fixed network terminal as a transmission source is received via the fixed network tunnel, the packet is transferred to another device in the fixed network and the downlink fixed network having the fixed network terminal as a transmission destination Sending a packet to the access point via the fixed network tunnel;
When an uplink mobile network packet having the mobile network terminal as a transmission source is received via the mobile network tunnel, the packet is transferred to the transfer device, and the downlink mobile network packet having the mobile network terminal as a transmission destination is A communication method comprising transmitting to the access point via a mobile network tunnel. 請求項5に記載の通信方法を、コンピュータである前記振分装置に実行させるための通信プログラム。   A communication program for causing the distribution device, which is a computer, to execute the communication method according to claim 5.
JP2013173423A 2013-08-23 2013-08-23 COMMUNICATION SYSTEM, COMMUNICATION METHOD, AND COMMUNICATION PROGRAM Expired - Fee Related JP5947763B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2013173423A JP5947763B2 (en) 2013-08-23 2013-08-23 COMMUNICATION SYSTEM, COMMUNICATION METHOD, AND COMMUNICATION PROGRAM

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2013173423A JP5947763B2 (en) 2013-08-23 2013-08-23 COMMUNICATION SYSTEM, COMMUNICATION METHOD, AND COMMUNICATION PROGRAM

Publications (2)

Publication Number Publication Date
JP2015041970A true JP2015041970A (en) 2015-03-02
JP5947763B2 JP5947763B2 (en) 2016-07-06

Family

ID=52695868

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2013173423A Expired - Fee Related JP5947763B2 (en) 2013-08-23 2013-08-23 COMMUNICATION SYSTEM, COMMUNICATION METHOD, AND COMMUNICATION PROGRAM

Country Status (1)

Country Link
JP (1) JP5947763B2 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2024029085A1 (en) * 2022-08-05 2024-02-08 日本電信電話株式会社 Communication relay device, communication system, communication relay method, and program

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009253431A (en) * 2008-04-02 2009-10-29 Alcatel-Lucent Usa Inc METHOD FOR OFF-LOADING PS TRAFFIC IN UMTS FEMTO CELL SOLUTION HAVING Iu INTERFACE
JP2010136165A (en) * 2008-12-05 2010-06-17 Sumitomo Electric Ind Ltd Compact base station
JP2011523245A (en) * 2008-04-09 2011-08-04 ユビキシス リミテッド access point
WO2012175544A1 (en) * 2011-06-22 2012-12-27 Alcatel Lucent Support of ip connections over trusted non-3gpp access

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009253431A (en) * 2008-04-02 2009-10-29 Alcatel-Lucent Usa Inc METHOD FOR OFF-LOADING PS TRAFFIC IN UMTS FEMTO CELL SOLUTION HAVING Iu INTERFACE
JP2011523245A (en) * 2008-04-09 2011-08-04 ユビキシス リミテッド access point
JP2010136165A (en) * 2008-12-05 2010-06-17 Sumitomo Electric Ind Ltd Compact base station
WO2012175544A1 (en) * 2011-06-22 2012-12-27 Alcatel Lucent Support of ip connections over trusted non-3gpp access

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2024029085A1 (en) * 2022-08-05 2024-02-08 日本電信電話株式会社 Communication relay device, communication system, communication relay method, and program

Also Published As

Publication number Publication date
JP5947763B2 (en) 2016-07-06

Similar Documents

Publication Publication Date Title
US9301191B2 (en) Quality of service to over the top applications used with VPN
US8335490B2 (en) Roaming Wi-Fi access in fixed network architectures
JP4802263B2 (en) Encrypted communication system and gateway device
EP3459318B1 (en) Using wlan connectivity of a wireless device
EP3021528B1 (en) Gre tunnel implementation method, access device and convergence gateway
US8509440B2 (en) PANA for roaming Wi-Fi access in fixed network architectures
US20130239181A1 (en) Secure tunneling platform system and method
KR20090061663A (en) Address management method, address management system, mobile terminal and home domain server
US20130182651A1 (en) Virtual Private Network Client Internet Protocol Conflict Detection
US8611358B2 (en) Mobile network traffic management
JP6373399B2 (en) Access node device for forwarding data packets
WO2020238327A1 (en) Method, apparatus and system for establishing user plane connection
KR20130101663A (en) Apparatus and method for cloud networking
WO2017167249A1 (en) Private network access method, device and system
WO2014101755A1 (en) Service data shunting method and system
EP3007389B1 (en) Gre tunnel implementation method, access point and gateway
US8990916B2 (en) System and method for supporting web authentication
Lai et al. Achieving secure and seamless IP Communications for group-oriented software defined vehicular networks
JP5947763B2 (en) COMMUNICATION SYSTEM, COMMUNICATION METHOD, AND COMMUNICATION PROGRAM
JP5982706B2 (en) Secure tunneling platform system and method
JP5864453B2 (en) Communication service providing system and method
US11818572B2 (en) Multiple authenticated identities for a single wireless association
Nishimura A distributed authentication mechanism for sharing an overlay network among multiple organizations
US10708188B2 (en) Application service virtual circuit
US8605901B1 (en) System and method for provisioning a home agent in a network environment

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20150717

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20160516

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20160531

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20160603

R150 Certificate of patent or registration of utility model

Ref document number: 5947763

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees