JP2017143363A - 通信システム及びその認証接続方法 - Google Patents

通信システム及びその認証接続方法 Download PDF

Info

Publication number
JP2017143363A
JP2017143363A JP2016022429A JP2016022429A JP2017143363A JP 2017143363 A JP2017143363 A JP 2017143363A JP 2016022429 A JP2016022429 A JP 2016022429A JP 2016022429 A JP2016022429 A JP 2016022429A JP 2017143363 A JP2017143363 A JP 2017143363A
Authority
JP
Japan
Prior art keywords
group
terminal
network
subscriber
authentication processing
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2016022429A
Other languages
English (en)
Other versions
JP6472030B2 (ja
Inventor
兼三 奥田
Kenzo Okuda
兼三 奥田
健太 川上
Kenta Kawakami
健太 川上
利幸 倉橋
Toshiyuki Kurahashi
利幸 倉橋
正祥 安川
Masanaga Yasukawa
正祥 安川
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2016022429A priority Critical patent/JP6472030B2/ja
Publication of JP2017143363A publication Critical patent/JP2017143363A/ja
Application granted granted Critical
Publication of JP6472030B2 publication Critical patent/JP6472030B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

【課題】セキュリティ強度の高い通信システム及びその認証接続方法を提供する。【解決手段】加入者端末10をキャリア網100に接続する際に、キャリア網100による端末認証と連動してグループの認証を実施することで、信頼できない加入端末を完全に排除する。また、グループ認証と連動して、認証されたグループのグループ閉域網200に自動的に接続することで、キャリア網100に接続しただけでグループ閉域網200に参加する。また、1つのキャリアだけでなく、複数のキャリアに跨ってグループ閉域網200を構築する。【選択図】図1

Description

本発明は、通信システムに関し、特にその認証及び接続技術に関する。
近年、ネットワークに接続されたマシン同士が人間を介在せずに通信を実行し、マシンの制御などを自動的に実行するMTC(Machine Type Communication)通信の検討が3GPPなどにより進められている(非特許文献1,2参照)。ここで、MTC通信は、必ずしも人間の介入を必要としないデータ通信の一形態であり、センサと自動車など機械同士の通信であるM2M(Machine to Machine)通信も含む。
MTC通信では、厳密なセキュリティが必要とされるユースケースが多数ある。例として、自動車やロボットの遠隔制御やヘルスケアセンサを用いたライフログ収集などがある。これらのユースケースでは、自動車やロボットの遠隔制御情報、ユーザの心身状態などの重大なプライバシ情報などが通信対象となる。自動車やロボットなどの端末の脆弱性を悪用した乗っ取りやプライバシ漏洩の防止のため、徹底的なセキュリティ対策が必要となる。
しかし、現在のMTC通信のアーキテクチャでは、インターネットを介してそれらの通信が行われることとなるため、端末などに脆弱性がある場合には前述の脅威に晒されるなどの問題がある。例えば、悪意のある攻撃者が、インターネットを介して、悪意のある信号を端末に送信することで、端末が遠隔制御できてしまう、また、プライバシ情報を取得できてしまうなどが懸念される。
一方で、端末はインターネットに接続されている必要はなく、データ収集機能や端末制御機能などと通信きればよい。インターネットへの接続性が必要な場合には、それら機能がプロキシとなるなどして、インターネットから完全に遮断することも可能である。
"Architecture enhancements to facilitate communications with packet data networks and applications", 3GPP TS 23.682, 3GPP Std., Rev. 13.3.0, 2015年9月 "Tsp interface protocol between the MTC Interworking Function (MTC-IWF) and Service Capability Server (SCS)", 3GPP TS 29.368, 3GPP Std., Rev. 13.1.0, 2015年9月 "Review of IT Security Suites for Corporate Users, 2010", ISBN: 9783842995431, AV-Comparatives, 2010年10月, [online], [平成28年1月6日検索], インターネット<http://www.av-comparatives.org/wp-content/uploads/2012/04/avc_cor_201010_en.pdf> K. Hamzeh, 他5名, "Point-to-Point Tunneling Protocol (PPTP)", RFC 2637, IETF, 1999年7月,[online], [平成28年1月6日検索], インターネット<URL:https://tools.ietf.org/html/rfc2637> B. Patel, 他4名, "Securing L2TP using IPsec", RFC 3193, IETF, 2001年11月,[online], [平成28年1月6日検索], インターネット<URL:https://tools.ietf.org/html/rfc3193> "Network architecture", 3GPP TS 23.002, 3GPP Std., Rev. 13.3.0, 2015年9月 "General Packet Radio Service (GPRS) enhancements for Evolved Universal Terrestrial Radio Access Network (E-UTRAN) access", 3GPP TS 23.401, 3GPP Std., Rev. 13.4.0, 2015年9月 "Numbering, addressing and identification", 3GPP TS 23.003, 3GPP Std., Rev. 13.3.0, 2015年9月 "System enhancements for the use of IP Multimedia Subsystem (IMS) services in local breakout and optimal routeing of media", 3GPP TR 23.894, 3GPP Std., Rev. 10.0.0, 2009年12月 "Study on roaming architecture for voice over IP Multimedia Subsystem (IMS) with local breakout", 3GPP TR 23.850, 3GPP Std., Rev. 11.0.0, 2011年12月
セキュリティを確保する既存の技術としては、端末に搭載するセキュリティ機能や、VPN(Virtual Private Network)などがあるが、下記のように、いずれも脆弱性の問題がある。このため、徹底的なセキュリティ対策方法が必要である。
セキュリティ機能に関しては、端末に搭載可能なアンチウイルスやファイアウォールなどがあるが(非特許文献3参照)、新たに発見される端末の脆弱性を突いた攻撃(ゼロデイ攻撃)などには対応できず、完全に脅威を排除することはできないという問題がある。
VPNは、端末と機能ノード間などでPPTP(Point-to-Point Tunneling Protocol)やIPSec/L2TP(IP Security / Layer 2 Tunneling Protocol)などのトンネルを構築し、閉域化する技術である(非特許文献4,5参照)。しかし、端末側への機能追加が必要であるという問題がある。ここで機能ノードとは、端末制御機能やログ収集機能など、端末が通信するノードを意味する。MTC通信では、センサと通信機能のみを有する端末のように、高度な機能を搭載できない端末も存在するため、VPNが使用できない場合が多い。また、PPTPは脆弱性が指摘されており、VPNの外部から内部の通信を解読可能である。今後IPSec/L2TPも同様の問題が発生する懸念がある。
本発明は上記事情に鑑みてなされたものであり、その目的とするところは、セキュリティ強度の高い通信システム及びその認証接続方法を提供することにある。
本願発明は、図1に示すように、キャリア網100内に、信頼された加入者端末10や機能ノード20のみで構成されたグループを構成し、端末認証と連動してグループを認証する認証システム、およびそのグループで閉域化されたネットワーク・スライスであるグループ閉域網200に加入者端末を接続する接続システムである。
本発明は、以下の点をポイントとしている。加入者端末10をキャリア網100に接続する際に、キャリア網100による端末認証と連動してグループの認証を実施することで、信頼できない加入端末を完全に排除する認証システムを有する。また、グループ認証と連動して、認証されたグループのグループ閉域網200に自動的に接続することで、キャリア網100に接続しただけでグループ閉域網200に参加できる接続システムを有する。また、1つのキャリアだけでなく、複数のキャリアに跨ってグループ閉域網200を構築できる接続システムを有する。また、キャリア網100による端末認証と連動することで、加入者端末10への新たなクライアント機能の追加は不要である。
すなわち、上記目的を達成するために、本願発明は、加入者端末を収容する一以上のキャリア網と、キャリア網内に配置されキャリア網に接続を要求する加入者端末の端末認証処理を行う端末認証処理手段とを備えた通信システムにおいて、前記端末認証処理と連動して、キャリア網が加入者に対して割り当てる加入者識別子を用いて加入者端末が属するグループの認証処理を行うグループ認証処理手段と、前記端末認証処理手段で端末認証され且つ前記グループ認証処理手段でグループ認証された加入者端末を認証されたグループに対応するグループ閉域網に接続するよう制御する接続処理手段とを備えたことを特徴とする。
ここで、グループとは、図2に示すように、互いに信頼された加入者端末同士で構成された加入者端末群と機能ノードの集合を意味する。また、グループ閉域網とは、グループ内の加入者端末やノード同士のみが通信できるネットワーク・スライスを意味する。
本発明によれば、加入者端末をキャリア網に接続する際に実施されるキャリア網による端末認証と連動してグループの認証を実施するので、信頼できない端末を完全に排除し徹底的なセキュリティを実現できる。また、グループの認証と連動して,認証されたグループのグループ閉域網に自動的に接続するので、キャリア網に接続しただけでグループ閉域網に参加できる。また、1つのキャリア網だけでなく、複数のキャリア網に跨ってグループ閉域網を構築でき、加入者端末が異なるキャリア網から接続してもいつでもグループ閉域網に参加できる。また、キャリア網による端末認証と連動することで、加入者端末へのグループ閉域網のための新たなクライアント機能の追加が不要でグループに参加できる。
本願発明の概要を説明する図 グループ及びグループ閉域網を説明するイメージ図 ネットワークシステムの基本構成図 他の例に係るネットワークシステムの基本構成図 グループ認証とグループ閉域網への接続のシーケンス 他の例に係るグループ認証とグループ閉域網への接続のシーケンス 実施例1に係るグループ認証とグループ閉域網への接続のシーケンス 実施例1に係るグループ認証とグループ閉域網への接続の詳細シーケンス 実施例2に係るグループ認証とグループ閉域網への接続のシーケンス
本発明の一実施の形態に係る通信システムについて図面を参照して説明する。本実施の形態では、通信システムの一例としてLTE(Long Term Evolution)アーキテクチャを採用した移動網において本発明を適用した場合について説明する。
まず、本実施の形態に係る通信システムの基本構成について図3を参照して説明する。LTEアーキテクチャでは、キャリア網100に、HSS(Home Subscriber Server)と呼ばれ加入者情報を格納し端末認証を行う加入者情報管理機能部110と、MME(Mobility Management Entity)と呼ばれ端末(UE:User Equipment)10の移動管理を行う移動管理機能部120と、S−GW(Serving-Gateway)と呼ばれ端末(UE)10の通信を中継する中継ノード130と、P−GW(Packet data network-Gateway)と呼ばれ端末(UE)10の通信を終端しグループ閉域網200に中継するゲートウェイ140と、BTS(Base Transceiver Station)と呼ばれ端末(UE)10を無線区間で収容する基地局150を備えている。なお、LTEアーキテクチャの詳細については、非特許文献6〜8を参照されたい。ここで、端末(UE)10は、携帯電話やスマートフォンなどユーザが操作するものだけでなく、MTC通信における被制御端末やセンサなどの各種装置を含み、キャリア網100に収容される装置全般を含む。
なお、上記において、1つのキャリア網100に対して、端末(UE)10、基地局(BTS)150、移動管理機能部(MME)120、加入者情報管理機能部(HSS)110、中継ノード(S−GW)130、ゲートウェイ(P−GW)140は、それぞれ2つ以上あってもよい。また、キャリア網100も2つ以上であってもよい。また、前記各機能部は、ハードウェアとして実装してもよいし、汎用のハードウェアにプログラムをインストールして実装するようにしてもよい。
端末(UE)10は、基地局(BTS)と通信し、キャリア網100へのアタッチを要求する機能を有する。また、端末(UE)10は、キャリアから指定されたSIM(Subscriber Identity Module)カードを装着しており、SIMカードには加入者識別子であるIMSI(International Mobile Subscriber Identity)、接続先を選択するAPN(Access Point Name)などの情報が格納されている。ここで加入者識別子であるIMSIは、ワールドワイドで加入者を識別する識別子である。また、端末(UE)10には、製造者により予め設定された端末固有の識別子であるIMEI(International Mobile Equipment Identity)が格納されている。前記加入者識別子及び端末識別子は、キャリア網間で共通的に使用され、異なるキャリアであっても唯一性が担保されるものである。
加入者情報管理機能部(HSS)110は、キャリアと契約する加入者の情報、加入者がどのグループに参加しているかの情報を有する。例えば、加入者識別子とグループ識別子とを関連づけて記憶した情報を有する。グループ識別子としては、LTEではIMSI−Group−IDというグループ識別子があり、これを用いることができる。加入者情報管理機能部(HSS)110は、前記記憶情報を用いて、移動管理機能部(MME)120からの要求に応じて従来周知の端末認証を実施するとともに、この端末認証と連動してグループ認証を行う。グループ認証処理では、加入者識別子をキーとして加入者が属するグループのグループ識別子を取得し、端末認証された加入者識別子を有する加入者が前記グループ識別子で特定されるグループに属するか否かを認証する処理を含む。
移動管理機能部(MME)120は、アタッチを要求した端末(UE)10を加入者情報管理機能部(HSS)110に照会し、グループ認証を依頼する機能を有する。中継ノード(S−GW)130は、基地局(BTS)150からの通信をゲートウェイ(P−GW)140に転送する機能を有する。ゲートウェイ(P−GW)は、中継ノード(S−GW)からの通信をグループ閉域網200やインターネットなどの外部ネットワーク(図示省略)に転送する機能を有する。基地局(BTS)150は、端末10と通信し、端末10のアタッチ要求を移動管理機能部(MME)に通知する機能と、端末10の通信を中継ノード(S−GW)に転送する機能を有する。
グループ閉域網200は、グループに属する端末(UE)10や機能ノードが互いに通信するための接続性を提供する機能を有する。ここで、グループとは互いに信頼された端末(UE)10同士で構成された端末群と機能ノード20の集合により構成されるものであり、グループ閉域網200とはグループ内の端末10や機能ノード20同士のみが通信できるネットワーク・スライスである。ここで機能ノード20とは、端末制御機能やログ収集機能など、加入者端末10が通信する通信相手先のノードを意味する。機能ノード20は、キャリア網100又はグループ閉域網200内に配置し、通信相手である加入者端末10と同じグループに属する。例えば、機能ノード20は、キャリア網100内に設置したデータセンタ内に配備される。
グループ閉域網200は、グループ毎に複数存在する。グループ毎の各グループ閉域網200は、それぞれ異なる物理ネットワークにより形成してもよいし、共通の物理ネットワーク上にグループ毎に仮想化したネットワークにより形成してもよい。グループ閉域網200には、前記加入者情報管理機能部(HSS)110で認証された端末(UE)10のみが接続できる。また、同一のグループ閉域網200に属する端末(UE)10及び機能ノード20同士は、収容キャリアが異なっていても互いに通信可能である。また、あるグループ閉域網200に属する端末(UE)10及び機能ノード20は、そのグループ閉域網200に属する端末(UE)及び機能ノード20のみと通信可能であり、グループ外の端末(UE)10及び機能ノード20や、他のグループ閉域網200に属する端末(UE)10及び機能ノード20とは通信できない。本発明における「グループ」はキャリア網100とは独立した概念なので、図2のイメージ図に示すように、グループ閉域網200は複数の通信事業者(キャリア)のキャリア網100を跨がって構成できる。
図4に本実施の形態の変形例に係るネットワークシステムの基本構成を示す。図4の基本構成は、中継ノード(S−GW)130とゲートウェイ(P−GW)を統合ゲートウェイ(S/P−GW)160として単一のエンティティに統合したものである。統合ゲートウェイ(S/P−GW)160は、中継ノード(S−GW)130とゲートウェイ(P−GW)140の両方の機能を具備するエンティティであり、この実施形態では、中継ノード(S−GW)130とゲートウェイ(P−GW)の両方の役割を統合ゲートウェイ(S/P−GW)160が実施するものとする。その他の構成及びその機能は図3の基本構成と同様である。
次に、本実施の形態に係る通信システムにおけるグループ認証とグループ閉域網への接続シーケンスについて図5及び図6を参照して説明する。図5は図3を参照して説明した通信システムにおける認証・接続のシーケンス図である。図6は図4を参照して説明した他の例に係る通信システムにおける認証・接続のシーケンス図である。
図5に示すように、まず、端末(UE)10は、キャリア網100にアタッチする(ステップS1)。基地局(BTS)150は、端末(UE)10のアタッチ要求を移動管理機能部(MME)120に通知する(ステップS2)。移動管理機能部(MME)120は、加入者情報管理機能部(HSS)110にグループ認証と位置登録を要求する(ステップS3)。加入者情報管理機能部(HSS)110は、端末認証を行うとともに、グループ認証を実施する(ステップS4)。移動管理機能部(MME)120は、中継ノード(S−GW)130にゲートウェイ(P−GW)140への接続を指示し、グループへの接続情報を通知する(ステップS5)。中継ノード(S−GW)130は、ゲートウェイ(P−GW)140に接続を要求し、グループへの接続情報を通知する(ステップS6)。ゲートウェイ(P−GW)140は、グループへの接続情報に基づき、グループ識別子に一致したグループ閉域網200に端末(UE)10を接続する(ステップS7)。この際、ゲートウェイ(P−GW)140は、グループへの接続情報に基づき、グループ毎の経路設定を自身に設定する。端末(UE)10が属するグループのグループ閉域網200が未生成の場合には、グループ閉域網200を構成するシステムに対し、該グループのグループ閉域網200の構築を要求する。以上の処理により、端末(UE)10は、自身が属する個々のグループ閉域網200に参加する(ステップS8)。
図6に示すように、図4を参照して説明した他の例に係る通信システムにおいても上記のシーケンスと同様となる。すなわち、前記ステップS5における通知先及び前記ステップS6及びS7において動作主体が統合ゲートウェイ(S/P−GW)160となること以外は、図5のシーケンスと同様である。
LTEアーキテクチャにおいて、加入しているキャリア網(H網)100に端末(UE)10が接続する際の実施例を図7に示す。ここでは、図5及び図6を参照して説明したシーケンスにおいて、特にLTEに特化した部分のみを差分として説明するものとする。
図7に示すように、標準のLTE端末と同様に、端末(UE)10は、キャリア網100にアタッチする(ステップS11)。加入者情報管理機能部(HSS等)110は、端末認証を行うとともに、加入者識別子を用いてグループ認証を実施する(ステップS2)。移動管理機能部(MME等)120は、APNによりゲートウェイ選択を行う(ステップS3)。中継ノード(S−GW等)130は、ゲートウェイに接続要求を行う(ステップS4)。ゲートウェイ(P−GW等)140は、グループへの接続情報に基づき、グループ識別子に一致したグループ閉域網200に端末(UE)10を接続する(ステップS5)。この際、ゲートウェイ(P−GW等)140は、グループへの接続情報に基づき、グループ毎の経路設定を自身に設定する。端末(UE)10が属するグループのグループ閉域網200が未生成の場合には、グループ閉域網200を構成するシステムに対し、該グループのグループ閉域網200の構築を要求する。以上の処理により、端末(UE)10は、自身が属する個々のグループ閉域網200に参加する(ステップS8)。
以上の処理の詳細シーケンスについて図8を参照して説明する。
まず、端末(UE)10は、移動管理機能部(MME)120に対してアタッチ要求を送信する(ステップS101)。ここでアタッチ要求は、端末/無線についての情報(IMSI,APNを含む)を含む。端末(UE)10と移動管理機能部(MME)120間では、認証、秘匿、インテグリティ制御が実施される。
次に移動管理機能部(MME)120は、加入者情報管理機能部(HSS)110に対して、IMSI,MME識別子等を含む位置登録要求を送信する(ステップS102)。加入者情報管理機能部(HSS)110は、位置登録情報の記憶、具体的には端末(UE)10の在圏先MMEの記憶を行う(ステップS103)。次に、加入者情報管理機能部(HSS)は、端末(UE)10が提示した加入者識別子(IMSI)をキーにしてグループ認証処理を行う(ステップS104)。このグループ認証処理では、具体的には、端末(UE)10のIMSIをキーとして属するグループの識別子であるIMSI−Group−IDを特定する。次に、加入者情報管理機能部(HSS)110は、移動管理機能部(MME)120に対して位置登録応答を送信する(ステップS105)。この位置登録応答は、グループ識別子であるIMSI−Group−IDと、加入契約情報(契約APN等)が含まれる。
次に移動管理機能部(MME)120は、中継ノード(S−GW)130及びゲートウェイ(P−GW)140を選択する(ステップS106)。具体的には、端末(UE)10が通知したAPN又は加入者情報管理機能部(HSS)110が指示した契約APNなどに基づき中継ノード(S−GW)130及びゲートウェイ(P−GW)140を選択する。
次に移動管理機能部(MME)120は、選択した中継ノード(S−GW)130に対してベアラ設定要求を送信する(ステップS107)。このベアラ設定要求には、IMSI、IMSI−Group−ID、前記ステップS106で選択したゲートウェイ(P−GW)140の情報が含まれる。
次に中継ノード(S−GW)130は、前記ステップS106で選択したゲートウェイ(P−GW)140に対して経路設定要求を送信する(ステップS108)。この経路設定要求には、IMSI、IMSI−Group−IDの情報が含まれる。ゲートウェイ(P−GW)140は、PDN接続処理、より具体的には、中継ノード(S−GW)130からのベアラをグループ閉域網200に接続する(ステップS109)。この際、ゲートウェイ(P−GW)140は、グループへの接続情報(IMSI−Group−ID)に基づき、グループ毎の経路設定を自身に設定する(ステップS113)。なお、端末(UE)10が属するグループのグループ閉域網200が未生成の場合には、グループ閉域網200を構成するシステムに対し、該グループのグループ閉域網の構築を要求する(ステップS110)。グループ閉域網200を構成するシステムは、ゲートウェイから(P−GW)140の要求に基づき、該グループを収容するグループ閉域網200のネットワーク(VLAN、VxLAN、MPLS−VPN等)を構築する(ステップS111,S112)。そしてゲートウェイ(P−GW)140は、経路設定応答を中継ノード(S−GW)130に送信する(ステップS114)。中継ノード(S−GW)130は、無線アクセスベアラの準備処理を実施し(ステップS115)、移動管理機能部(MME)120に対してベアラ設定応答を送信する(ステップS116)。このベアラ設定応答には、基地局(BTS)150向けの伝達情報が含まれる。
次に移動管理機能部(MME)120は、基地局(BTS)150に対してコンテキスト設定要求を送信する(ステップS117)。このコンテキスト設定要求には、中継ノード(S−GW)130からの伝達情報及びアタッチ受入信号が含まれる。基地局(BTS)150は、端末(UE)10に対して、無線アクセスベアラ設定要求及びアタッチ受入信号を送信する(ステップS118)。そして、基地局(BTS)150は、端末(UE)10から無線アクセスベアラ設定応答を受信すると(ステップS119)、移動管理機能部(MME)120にコンテキスト設定応答を送信する(ステップS120)。一方、端末(UE)10は、移動管理機能部(MME)120に対してアタッチ完了応答を送信する(ステップS121)。以上の処理で、上りユーザパケットデータの接続が完了する(端末(UE)10→グループ閉域網200向け)。
次に移動管理機能部(MME)120は、中継ノード(S−GW)130に対してベアラ更新要求を送信する(ステップS122)。中継ノード(S−GW)130は、中継ノード(S−GW)130から基地局(BTS)150方向の無線アクセスベアラを更新し(ステップS1239)、ベアラ更新応答を移動管理機能部(MME)120に送信する(ステップS124)。以上の処理で、下りユーザパケットデータの接続が完了する(グループ閉域網200→端末(UE)10向け)。
LTEアーキテクチャにおいて、加入していないキャリア網(V網)100bに端末(UE)10が接続し、ローミングによりグループ閉域網に接続する際の実施例を図9に示す。端末(UE)10はキャリア網(H網)100aに加入しているものとする。ここでは、図5及び図6を参照して説明したシーケンスにおいて、特にLTEに特化した部分のみを差分として説明するものとする。
図9に示すように、標準のLTE端末と同様に、端末(UE)10は、キャリア網(V網)100bにアタッチする(ステップS21)。移動管理機能部(MME等)120bは、端末(UE)10が加入しているキャリア網(H網)100aの加入者情報管理機能部(HSS)110aに対して、グループ認証と位置登録を要求する(ステップS22)。キャリア網(H網)100aの加入者情報管理機能部(HSS等)110aは、端末認証を行うとともに、加入者識別子(IMSI)を用いてグループ認証を実施する(ステップS23)。移動管理機能部(MME等)120bは、ゲートウェイを選択し、中継ノード(S−GW等)130bに対し、ローカルブレークアウトを指示する(ステップS24)。中継ノード(S−GW等)130bは、ゲートウェイに接続要求を行う(ステップS25)。ゲートウェイ(P−GW等)140bは、グループへの接続情報に基づき、グループ識別子に一致したグループ閉域網200に端末(UE)10を接続する(ステップS26)。この際、ゲートウェイ(P−GW等)140bは、グループへの接続情報に基づき、グループ毎の経路設定を自身に設定する。端末(UE)10が属するグループのグループ閉域網200が未生成の場合には、グループ閉域網200を構成するシステムに対し、該グループのグループ閉域網200の構築を要求する。以上の処理により、端末(UE)10は、自身が属する個々のグループ閉域網200に参加する(ステップS27)。
なお、上記のローミングやローカルブレークアウトの方式は3GPPで規定されている方式(非特許文献9,10参照)やその他の方式を使用するとし、ここでは規定しないものとする。
このように、本実施の形態によれば、端末(UE)10をキャリア網100に接続する際に実施されるキャリア網100による端末認証と連動して加入者識別子を用いてグループの認証を実施するので、信頼できない端末(UE)10を完全に排除し徹底的なセキュリティを実現できる。また、グループの認証と連動して、認証されたグループのグループ閉域網200に自動的に接続するので、キャリア網100に接続しただけでグループ閉域網200に参加できる。また、1つのキャリア網100だけでなく、複数のキャリア網100に跨ってグループ閉域網200を構築でき、端末(UE)10が異なるキャリア網100から接続してもどこでもグループ閉域網200に参加できる。また、キャリア網100による端末認証と連動することで、端末(UE)10へのグループ閉域網200のための新たなクライアント機能の追加が不要でグループに参加できる。
以上、本発明は一実施の形態について詳述したが、本発明はこれに限定されるものではない。例えば、上記実施の形態ではキャリア網としてLTEアーキテクチャのものを例示したが、他のアーキテクチャのキャリア網でも本発明を実施できる。また、複数のキャリア網が全て同一のアーキテクチャである必要はなく、複数のアーキテクチャが混在していてもよい。
10…端末(UE)
20…機能ノード
100…キャリア網
110…加入者情報管理機能部(HSS)
120…移動管理機能部(MME)
130…中継ノード(S−GW)
140…ゲートウェイ(P−GW)
150…基地局(BTS)
160…統合ゲートウェイ(S/P−GW)
200…グループ閉域網

Claims (5)

  1. 加入者端末を収容する一以上のキャリア網と、キャリア網内に配置されキャリア網に接続を要求する加入者端末の端末認証処理を行う端末認証処理手段とを備えた通信システムにおいて、
    前記端末認証処理と連動して、キャリア網が加入者に割り当てる加入者識別子を用いて加入者端末が属するグループの認証処理を行うグループ認証処理手段と、
    前記端末認証処理手段で端末認証され且つ前記グループ認証処理手段でグループ認証された加入者端末を認証されたグループに対応するグループ閉域網に接続するよう制御する接続処理手段とを備えた
    ことを特徴とする通信システム。
  2. 前記グループ閉域網には異なる複数のキャリア網に接続した同一グループに属する複数の加入者端末が接続する
    ことを特徴とする請求項1記載の通信システム。
  3. 前記接続処理手段は、自身のキャリア網に加入していない加入者端末から接続要求を受けると、該加入者端末の加入しているキャリア網に対して、該キャリア網の端末認証処理手段及びグループ認証処理手段で端末認証処理及びグループ認証処理を行うよう接続要求を送信する
    ことを特徴とする請求項1又は2何れか1項記載の通信システム。
  4. キャリア網内又はグループ閉域網に配置され通信相手である加入者端末と同じグループに属する通信装置を備えた
    ことを特徴とする請求項1乃至3何れか1項記載の通信システム。
  5. 加入者端末を収容する一以上のキャリア網と、キャリア網内に配置されキャリア網に接続を要求する加入者端末の端末認証処理を行う端末認証処理手段とを備えた通信システムにおける認証接続方法であって、
    グループ認証処理手段が、前記端末認証処理と連動して、キャリア網が加入者に対して割り当てる加入者識別子を用いて加入者端末が属するグループの認証処理を行うステップと、
    接続処理手段が、前記端末認証処理手段で端末認証され且つ前記グループ認証処理手段でグループ認証された加入者端末を認証されたグループに対応するグループ閉域網に接続するよう制御する
    ことを特徴とする通信システムにおける認証接続方法。
JP2016022429A 2016-02-09 2016-02-09 通信システム及びその認証接続方法 Active JP6472030B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2016022429A JP6472030B2 (ja) 2016-02-09 2016-02-09 通信システム及びその認証接続方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2016022429A JP6472030B2 (ja) 2016-02-09 2016-02-09 通信システム及びその認証接続方法

Publications (2)

Publication Number Publication Date
JP2017143363A true JP2017143363A (ja) 2017-08-17
JP6472030B2 JP6472030B2 (ja) 2019-02-20

Family

ID=59627530

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2016022429A Active JP6472030B2 (ja) 2016-02-09 2016-02-09 通信システム及びその認証接続方法

Country Status (1)

Country Link
JP (1) JP6472030B2 (ja)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2019022103A1 (ja) 2017-07-25 2019-01-31 東ソー株式会社 膜シール材用ポリウレタン樹脂形成性組成物、ならびに、これを用いた膜シール材及び膜モジュール
US11343669B2 (en) * 2017-10-13 2022-05-24 Telefonaktiebolaget Lm Ericsson (Publ) Method and apparatus for network function service discovery
JP7168746B1 (ja) * 2021-10-04 2022-11-09 株式会社インターネットイニシアティブ 通信制御装置、方法およびシステム

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2013143630A (ja) * 2012-01-10 2013-07-22 Hitachi Ltd Lteシステム、アプリケーション制御装置およびパケットゲートウェイ

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2013143630A (ja) * 2012-01-10 2013-07-22 Hitachi Ltd Lteシステム、アプリケーション制御装置およびパケットゲートウェイ

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2019022103A1 (ja) 2017-07-25 2019-01-31 東ソー株式会社 膜シール材用ポリウレタン樹脂形成性組成物、ならびに、これを用いた膜シール材及び膜モジュール
US11343669B2 (en) * 2017-10-13 2022-05-24 Telefonaktiebolaget Lm Ericsson (Publ) Method and apparatus for network function service discovery
US11991782B2 (en) 2017-10-13 2024-05-21 Telefonaktiebolaget Lm Ericsson (Publ) Method and apparatus for network function service discovery
JP7168746B1 (ja) * 2021-10-04 2022-11-09 株式会社インターネットイニシアティブ 通信制御装置、方法およびシステム

Also Published As

Publication number Publication date
JP6472030B2 (ja) 2019-02-20

Similar Documents

Publication Publication Date Title
KR102529714B1 (ko) 네트워크 슬라이스 발견 및 선택
CN110268690B (zh) 保护物联网中的设备通信
KR101961301B1 (ko) 통합된 스몰 셀 및 wi-fi 네트워크를 위한 통합 인증
EP3202169B1 (en) Methods for restricted direct discovery
EP3069545B1 (en) Methods and devices for bootstrapping of resource constrained devices
CN114128396A (zh) 蜂窝切片网络中的中继选择
US11265294B2 (en) Method for secure WiFi calling connectivity over managed public WLAN access
CN110786031A (zh) 用于5g切片标识符的隐私保护的方法和系统
US20230319549A1 (en) Privacy of relay selection in cellular sliced networks
JP6912470B2 (ja) 複数の接続およびサービスコンテキストをサポートするためのセキュリティモデルを使用したワイヤレス通信のための方法および装置
JP2018528647A (ja) ネットワークセキュリティアーキテクチャ
KR20130029103A (ko) 통신 시스템들에서 가입자 인증과 디바이스 인증을 바인딩하는 방법 및 장치
US20130189955A1 (en) Method for context establishment in telecommunication networks
US10103879B2 (en) Secure data upload/download service
JP2016522639A (ja) 通信ネットワークにおけるデバイス−デバイス間通信に関するデバイス発見方法、ユーザ機器デバイスおよびコンピュータプログラム製品
US11848909B2 (en) Restricting onboard traffic
JP2022535933A (ja) マルチユーザモバイル端末のためのサービス配信を実行するための装置、システム、方法、およびコンピュータ可読媒体
JP6472030B2 (ja) 通信システム及びその認証接続方法
KR20190000781A (ko) 단말의 데이터 전송 방법, 단말 장치 및 데이터 전송 제어 방법
EP3962131A1 (en) Relay selection in cellular sliced networks
EP4030800A1 (en) Privacy of relay selection in cellular sliced networks
US11432158B2 (en) Systems and methods for using a unique routing indicator to connect to a network

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20171215

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20180918

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20180926

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20181120

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20190116

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20190116

R150 Certificate of patent or registration of utility model

Ref document number: 6472030

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150